• このエントリーをはてなブックマークに追加

WEMIE第3回目のイベントを行いました。

第2回目の続きで、テーマを作成するという内容を予定していましたが、参加者が4人と、メンバーが知っている人どおしだったので、雑談と気になっていることを話しました。

気になっていることというのは、セキュリティ。自分以外の人がログインすると、いたずらされたり・改変されたりすることは困るので、困る。CMSはいつもそういったリスクがあるもの。どうやって問題を解決するか、解決方法を考えてみました。

主な流れ

  • 12:30~13:00
    • 会場準備
    • テーブル・椅子の移動
    • 持参した電源タップの準備
    • Wi-Fiの準備・確認
    • プロジェクターの確認
  • 13:00~16:45
    • 意見交換・フリートーク・雑談
  • 16:50
    • 現状復帰・片付け
  • 17:00
    • 退出

セキュリティについて

誰でも、wp-adminにアクセスできると、id・pwのセットがわかってしまうとログインはできてしまう。WordPressにおいては、authorのURLが表示されるため、うまく設定しておかないとidは簡単に漏れてしまう。そうなるとあとはpwがわかるだけでログインできる。

防ぐためのアイデアとしては、

idを隠すために

  • authorという、投稿者一覧というページがデフォルトでは表維持されてしまうので、テンプレートファイル:author.phpにリダイレクトをかけたりして隠す
  • プラグインを使ってアクセスできなくする
  • 管理者を1つインストール用に作っておき、投稿はすべてもう一つのアカウントを使う(編集者など)

誰でも管理画面にアクセスできないようするために

  • .htaccessにlogin画面のみ自分のipアドレスの制限をかける
  • .htaccessにlogin画面のみ自分のインターネットプロバイダの範囲で制限をかける(こちらだと、ipアドレスが変わってもログインしやすいし、自分の町・近くでそのプロバイダを使っている人の中で悪意のある人がいるかどうかということになる。確率が下がる・現実的に自分のサイトにアクセスする人はほぼいないということである意味では良い案)
  • basic認証をかける
  • プラグインを使う

セキュリティの現実的な問題

残念なことに、セキュリティ対策を行っていないWebサイトは多い。SSL化や攻撃されないようにセキュリティホールを埋めるための対策。他にも暗号化や安全な通信。こういったことに目を向けなければいけない。

ただし、できる範囲で、期限がある程度早く、予算が少ないケースでは現実的にSSL化などの目に見える部分だけの対策になること、ログイン画面を制限するといったところでバランスをとることがお客様や実現したいサイトにとって良いのかもしれない。

理想

Webサイトを硬化している間は、システムが入っているのであれば、アップデートを行い、システムを最新の状態にしておき、費用がコンスタントに出て、最良のもの・十分なセキュリティ対策が行えるならば提案したほうが良い。メリットをお客様にうまく伝えられないと、不完全・不安全なサイトが1つ増えてしまう。

退出

机・椅子を現状復帰しました。汚したときは、掃除などが必要みたいです。時間はきっかりです。17:00になったら退出しましょう。

開催した場所

松阪公民館:松阪ショッピングセンター マーム