投稿日:

ノンプログラマーの為のWordPressセキュリティ入門 〜 懇親会 | WordFes Nagoya 2013 Report (4)


写真 1

最後に、「ノンプログラマーの為のWordPressセキュリティ入門」と懇親会について書きます。もう2週間近くたってしまったのですが WordFes Nagoya 2013 のレポートです。長くなりましたので、分けました。本稿は4つ目のセッションの参加のまとめと、懇親会の感想です。なお、他の記事へのリンクは、本稿末尾に掲載しています。

 

Session 4: ノンプログラマーの為のWordPressセキュリティ入門

はじめに:

  • 初心者向けセッション
  • WordPressを安全に運用するためのノウハウについてのお話
  • レンタルサーバーを想定したお話(VPSやクラウドは対象外)

1)パーミッション(755とか666とか)

  • どのユーザーがファイルやディレクトリを扱える
  • 3桁の数字は左から、オーナー、グループ、その他を表していて
  • 数字の内容が、それぞれが何をできるかを決めている
    • 数字の意味は次の数字の足し算
      4 読み込み
      2 書き込み
      1 実行
    • 7 は 4+2+1 なので、全部できる
    • 6 は 4+2 なので、読み書きできて、実行はできない
    • 5 は 4+1 なので、読み込み実行できて、書き込みできない
  • これがわかんねーよって人は、共有サーバーなら次にしておこう!
    • ディレクトリは 705
    • ファイル 604
    • wp-config.php 600
    • ※共有サーバーなら、グループ(真ん中の数字)は 0 にしておくこと

2)安全なパスワード

  • 今、WordPress へのブルートフォースアタックが話題
    • パスワード手当たり次第にあたってログインしかける攻撃
    • たくさんログインさせるので、サーバー負荷増大
  • 安全なパスワードを付けよう
    • 最低でも9文字以上
    • 数字、文字、できれば記号も混ぜる

3)信頼できるテーマやプラグインを使おう

  • 公式ディレクトリ上のテーマを使おう
    • 公式のテーマは審査済み
    • 自動アップデートで最新版を利用することができる
    • 豊富なフィードバックが作者にあるので、信頼性が高いものが多い
  • 野良テーマはそれらの恩恵が受けられず、問題がある場合が、ほとんどである
  • 有料テーマでも同様です。
  • 本番デバッグモードで確認をする
    • デバッグモードで Error や Notice が出るテーマは使わない

4)本体、テーマ、プラグインのアップデートをちゃんとす

  • 必ずする(当たり前)
  • ほっといたらセキュリティリスクがある
  • アップデートに問題があることを危惧する人は
    • そもそもアップデートに問題がある場合は、テーマやプラグインに問題がある
    • そういうテーマ・プラグインの利用を避けるべき
  • Hotfix プラグイン:Core の問題を Core のリリースより先に一時的に改善してくれるプラグイン。新しいバージョンに問題があった時にも、いち早くフィックスされる可能性があるので利用すべき

5)バックアップは vaultpress を使うと良い

  • 有名なものも含めて、無料のバックアッププラグインは、ある程度スキルが無いと、利用には問題がある場合があるよ!

 

以上です。初心者向けとのことでしたが、正直なところ僕も参考になる部分も沢山ありました。「信頼できるテーマやプラグインを使おう」と言うのは当たり前の話ではあるのですが、その意識を普段から維持できているかというと、そこには疑問が残らないでしょうか? 日常業務においては「便利だから」ではなく「要件として必要だから」という観点で、プラグインの選択に代替が無い場合があります。それを振り切って「何か問題があるかも知れない」とお客様に追加の開発コストをお願いしたり、あるいは要件の変更をお願いしたりできる場面が一体どれぐらいあるかなーと思います。その葛藤はこれからも、そしてきっと誰にとっても存在し続けるんだと思いますが、このセッションを聞いた人はきっと、「安易に使うことを躊躇する」ことが出来るようになったのではないかなーと思います。お客様と話をし、リスクを理解し、出来ればそのリスクに対する対処方を身につけ、そして導入を考えていく。そういう意識の形成に、このセッションはとても有用だったのではないかと思います。

また、セッションの発表のテクニックもとても参考になりました。宮内さんが Leep Motion の操作に失敗してアタフタしている様などは、「ネタとはいえ迫真の演技だなーと」とても感心できました。セッションを楽しく盛り上げつつ、重要なところをキリッと締めるとか、かっこいいなーと思いました。せっかくなので、楽しんで聞いてもらえるように、僕も発表する時には何か工夫できたらなーと思いました。

 

むしろ懇親会がメインでした。

むしろ懇親会がメインです。ごめんなさい。でも大事ですよね。懇親会。みんな楽しみにしてましたよね?

WordFes Nagoya 2013 懇親会!盛り上がりましたー。これまであまりお話できなかったイケメンたちと沢山お話できたので良かったです!

細谷さん、宮内さん、西村さん、杉田さん、小長谷さん、瀬口さん、菱川さん、藤本さん、他たくさんの皆さんとお話させていただいてありがとーございました! ヽ(*´∀`)/

また、お昼休みに Windows Azure のハンズオンを企画いただいた プライムストラテジー様、そして Microsoft さま、武田さん、またスタッフの皆様、ありがとうございましたー。頂いた「WordPress の教科書2」も拝見させて頂いて勉強させていただきます! あと武田さん、ハンズオンご苦労様でした! Azure にも興味を持てました。また利用を検討してみたいと思います!

 

最後になりましたが、本編の運営スタッフの皆さん、大変貴重な機会をありがとうございましたー。つながろまい! 楽しかったですわ! 来年も楽しみにしています!

 

—————-

 

 

ノンプログラマーの為のWordPressセキュリティ入門 〜 懇親会 | WordFes Nagoya 2013 Report (4)」への1件のフィードバック

  1. […] それでは最後に、「Session 4: ノンプログラマーの為のWordPressセキュリティ入門 〜 懇親会」の話に続きます〜。 […]

帰ってきた!そこが聞きたい レンタルサーバー座談会 | WordFes Nagoya 2013 Report (3) | Foreignkey, Inc. にコメントする コメントをキャンセル