Scribble at 2025-03-12 16:57:51 Last modified: 2025-03-12 17:00:03

当サイトでも公開している WordPress のセキュリティ対策は、そもそもウェブ・サーバやデータ・ベース・サーバのセキュリティという一般論もあるし、パスワードの管理ポリシーなどのマネジメントという話も加えて、やり始めたら情報セキュリティやウェブ・アプリケーションの構築全般に関わる。

もちろん、ISMS とプライバシーマークの実務家でもあり、サーバ・エンジニアでもある僕が全てカバーして、どこかの出版社から本を出せるていどの見識と、電通・博報堂案件での数々の実績という経験も含めて概略を述べる本くらい書ける自信はあるわけだが、正直なところ WordPress についは（必ずしも Automattic の最近の騒動とは関係なく）僕が残りの人生を使って公に何か貢献したいという意欲を起こさせるようなものではない。原稿料として四桁くらい積んでくれたら考えてやってもいいが（なかば反社の疑いが濃厚になってきた秀和システムだけはゴメンだね）。そんな酔狂は出版社はあるまい。それに、この手の話題についてなら更に相応しい人がいくらでもいるわけで、例えば徳丸浩氏や大垣靖男氏などに期待してもいいだろう。ただ、ここ最近は彼らもキリがないと感じているのか、あまり表では活動していないように見える。実際、WordPress の「セキュリティ大全」などと ISMS の知識もないガキが全能ぶってみても底が知れてるわけで、情報セキュリティ対策というものは本を一冊書いたていどでどうにかなるわけではないし、専門家のブログ記事を読んでいればよいというものでもない。どういうベクターや手法での攻撃が可能になるのかは、やはり自分で考えたり実行してみないことには分からないし見つからないものだ。彼ら専門家は、そのきっかけを与えるのが仕事なのであって、情報セキュリティの「決定的な解決策」を与える神でもなければ、インチキ理系のように或る対策を「解」などとたやすく言うものでもない。

ということなので、個別の事例や状況に応じて幾らでも話題がある。たとえば僕がいま運用している Kusanagi という WordPress 専用の OS を謳うプラットフォームにおいても、この OS はディレクトリ構造などが特殊で、僕のように RedHat、Debian 系統の Linux や FreeBSD くらいしか使っていない者には、とにかくどこに何があるのかまるで分からない OS だ。httpd の設定ファイルがどこにあるのかすら、提供元のプライム・ストラテジーのサイトには書かれていないので（こういう、情報を秘匿することがセキュリティだと思ってる人々が、われわれセキュリティの実務家から見るといちばん厄介なのだが）、結局のところ何分も工数を使って自力で割り出したという経緯がある。

で、この Kusanagi という OS は SELinux などとは違った独自のセキュリティ・ポリシーで組み立てられているため、たとえば Let's Encrypt をベーシック認証がかかっているステージング・サイトで自動更新しようとして .htaccess に /.well-known へ認証なしにアクセスさせるディレクティブを追加すると、即座に 500 Error となってしまう。結局、僕が三ヶ月ごとにベーシック認証を解除して # certbot renew して再び戻すという「人間 cron」をやっている。もちろん、こんな工数にお金なんて自治体が払うわけない。