WordCamp Tokyo 2014 で必ず押さえておきたい、今すぐできるセキュリティ対策に登壇しました。

「コードを書かない」という条件

セッションの対象者を初心者〜、としました。このため、「コードを書かないでできる」という制約のもとで、最低限何をすべきか、という観点で、話す内容を決めました。なのでサーバーやプログラムに詳しい人には物足りなかったかもしれません。

セッションのスライドは、補足等を加えた上で、近いうちに公開されます。

この記事では、セッション内容が物足りなかった、という方向けに補足を書きたいと思います。

不正ログインに対して

サーバーの設定等を編集できるのであれば、ネットワークレベルで制限してしまうのが確実です。wp-login.phpや、xmlrpc.phpや、wp-admin/ディレクトリは、アクセス可能な範囲を特定のIPアドレス／プロバイダに制限する、とすれば良いでしょう。制限できるのであれば、パスワードを複雑にするのと合わせて、制限するのが好ましいです。

プラグイン／テーマについて

公式のプラグイン／テーマが絶対安全という保証は無いのですが、チェックする人が多い、という点では大分良いと思われます。JVNの報告にもあるように、プラグイン／テーマに脆弱性が発見された場合は、作者に報告されています。
公式以外のプラグイン／テーマを使う場合は、品質担保をどうするのか、という問題が生じます。この点をクリアにできるのであれば、公式以外のプラグイン／テーマも検討して良いでしょう。(例えば、有料プラグイン／テーマは、公式登録している作者から買う、等。)

バージョンアップについて

WordPressの古いバージョンは、脆弱性があります。致命的なものも、致命的ではないものもありますが、バージョンアップするだけで既知の脆弱性に対応できるのですから、よほどの理由が無い限り、バージョンアップしない、という選択にはならない、と思います。
不安であれば、バックアップに加えて、検証環境で確認してから実行すればよいでしょう。

自分でWPを管理するのか、プロに依頼するのか

くり返しになりますが、今回のセッションは、「コードを書かないでできる」というテーマがあります。その場合に、最低限何ができるか（何をすべきか）、という話です。自分でブログを運営している、という場合は参考になったと思います。一方で、サイト制作や保守管理をウェブ制作会社に依頼している場合は、セッションの話そのまま、ではないかもしれません。

ウェブ制作会社等を依頼している場合は、

• 管理画面へのアクセス制限を設定する
• 公式以外のプラグイン／テーマを使う場合は、コードレビューした上で納品する

といった対策を制作会社が行ってくれる可能性が高いでしょう。また、制作会社によっては「バージョンアップではなく、独自でセキュリティパッチを作成する」ケースもあるかもしれません。このような場合、セッション内容がそのまま当てはまるとは限りません。

「WordCamp Tokyoで『プラグイン／テーマは公式のものを』と言われていたのに、ウェブ制作会社に依頼したら、公式テーマではなかった」というような場合もあるかもしれません。そのような場合はテーマのレビューが行われているはずです。もし不明な点があれば、ウェブ制作会社にセキュリティについて確認してもらうのが確実です。

最後に、セッション内容を企画してくださった松尾 祥子さん、一緒に登壇してくださった大串 肇さん、田島 優也、ありがとうございました。

※お知らせ
WordPressセキュリティを考える会第７回を開催します。10/17(金)19:00-コワーキングスペース茅場町で開催します。