Scribble at 2023-05-20 10:52:50 Last modified: unmodified
WordPress のセキュリティについて論説を公開しているのだが、大きなテーマをわざとスルーしてきた。もちろん WordPress を手掛けているウェブ・アプリケーションのエンジニアであればご承知だとは思うが、それは WordPress のセキュリティ対策として導入するプラグインと、WordPress のセキュリティ対策を担うと謳っているセキュリティ会社についてである。
セキュリティ対策のプラグインについては、そもそもコア・システムやサーバの運用が適正にできていなければ身も蓋もないという理由から、あくまでもプラグインを使った防御や対策は二次的であり、reactive である。サイトの health check だとか監視を目的とする機能がサポートされているプラグインばかりなのは、それが理由だ。よって、軽視したり無視しても大過はない。そもそも、情報セキュリティの実務家であれば、プラグインがやっているていどのことは自力で実装できるのが当たり前であろう。
これに対して、WordPress のセキュリティ対策を担うという専門のサービスなり企業があって、そこで公開されているドキュメントを、もう少し僕の論説に取り入れてもいいとは思う。もちろん、そういう会社は10年以上も前からあるわけだが、当時はブログを開設するブームの余波で WordPress に手を出す素人が多かったために、僕らから見たら初歩的なことをアドバイスしたり代行しているにすぎない、はっきり言えば地方公共団体の情報システム課とかにいるクルクルパーな役人に、出鱈目を提案して小銭を稼いでる出入り業者の三流 IT コンサルみたいなものだったのだ。したがって、そういう連中がブログ・ブームの衰退とともに淘汰されていくのを待っていたという事情もある。もちろん、凡庸な役人なんて何年経とうと知識もスキルも向上しないし knowledge-base の継承もないから、常に代々能無しが役人をしているわけで、そういうインチキな業者が或る程度は残ってしまう。でも、ガラクタの中からまともそうな業者をスクリーニングする手間は、この10年くらいで相当に省けるようになっただろう。ブームが過ぎ去るまでのあいだに、適正な仕事をする業者がクズ業者のマーケティングに負けて廃業してしまうリスクはあるが、同じくクズ業者が廃業する見込みとを比較すれば、圧倒的に後者の方が量も割合も高いとみるべきであろう。であれば、まともな業者として10年間に10社のうち5社が残っている状況と、クズ業者として10年間に100社のうち20社が残っている状況とで、5社と20社を比較する方が、10社と100社とを比較するよりも簡単である。或る意味では冷酷というかシニカルではあるが、そういうタイミングを待っていたのである。
上で紹介している WordFense は、そういう中でも生き残ったまともな業者の一つだと思う。彼らがリリースしているセキュリティ対策のプラグインも、「WordPress に追加する気がある人たちには」という但し書きは必要だが、よく知られている。そこで、彼らや同様の業者が公開しているドキュメントも参考にして、いま僕が公開している論説を拡充する予定がある。あと、さくらインターネットのクラウドで何度か使った(というか、いまでも某県で史跡を世界遺産に登録しようというキャンペーンのサイトで何年も運用しているが)Prime Strategy の KUSANAGI という WordPress 専用 OS イメージ(VM)についても取り上げたい。