2013/04/27 Saturday

CMSえらびは慎重に。

チップスリーズ

この数年間でウェブサイトのカタチも随分かわりました。
一昔前のサイト更新作業は最低限の制作スキルが必要でしたが、
大躍進するCMSのおかげでテキストを入力するだけのスキルがあれば、
簡単にサイト更新できる時代になりました。



制作スキルがなくてもサイト更新が容易で、誰でも無償で利用でき、
ソフトウェアの設計図にあたるソースコードも公開されている(オープンソース)CMSは、
大幅に利便性を向上できるので需要はドンドン広がりましたが、
その一方でサイトの脆弱性に対する知識が求められるようになりました。




『ある日突然、インターネット上の検索結果から自サイトが消えた』




依頼をうけ調査してみると、不正アクセスによりサイトが改ざんされ、
知らない間に不正なコンテンツへ誘導するコードが埋め込まれていたことにより
検索エンジン運営側(Googleなど)の処置だったなんてこともある。
サイト更新用のPCからFTP情報が漏洩する場合もあるけれど、
CMSや他プログラムの脆弱性が原因であることも多い。



ユーザーアカウント・パスワードを強固に設定し、こまめに最新バージョンへアップデートし、
脆弱性が報告された際に迅速に対応できるスキルがある場合は、
そういったトラブルの発生も極力抑えられると思うが、
CMSを利用するユーザーの多くは『憶えやすい簡単なパスワード』を使い続け、
『サイト完成時のままのバージョン』で使い続けていることも多い。



しかも、サイトの利便性や運営効率向上のため、
サードパーティが開発した様々なプラグイン(機能拡張)を多用しながらも、
日々のセキュリティ管理を疎かにしている運営サイトも多い。



弊社も顧客のご要望に応えるために様々なCMSを利用していますが、
サードパーティが開発するプラグインを用いて機能を拡張するタイプ(WordPressなど)の
CMSはできるだけ選択しないようにしている。
なぜならサイト機能を充実するために搭載したプラグインが原因で、
将棋でいう『詰んだ』状態になる可能性も高いから。



たとえばWordPress本体のバージョンアップデートを行ないたくても、
プラグイン側が最新バージョンのWordPressに対応していないからアップデートを断念せざる得ないとか、
本体アップデートをしたことにより、プラグイン(拡張機能)が突然使えなくなることもある。
また、プラグインの脆弱性が直接の原因となり、不正アクセス・ユーザー情報漏えいにつながる場合もある。



決してWordPressが駄目なCMSということではない。
世界中の多くのユーザーから支持され運営者が欲する機能は、
サードパーティより開発された豊富なプラグインにより、
殆どが手に入るであろう世界を代表する高機能なCMSだと思います。



世界的にもメジャーなシステムであるから狙われやすいし、
実際現在もWordPressサイトを狙う大規模な攻撃も続いていると、
米国セキュリティ機関であるUS-CERTが述べている。
サイト運営者は状況を正しく認識した上で、それらツールを使いこなしていくための
最低限のスキルと対応が必要であることを申し伝えたいのです。



運営側のずさんな管理はサイト消滅だけでなく、社会的信用問題にまで発展する場合もある。


 ・ アカウント・パスワードは強固なものにする。
 ・ 本体はこまめにアップデートする。
 ・ プラグイン側もこまめにアップデートする。
 ・ 本体か拡張機能を悩んだら本体を優先し、潔く拡張機能を捨てる。
 ・ バックアップはこまめにとる。
 ・ 編集後はかならずログアウトする。



本気で狙われたら恐らく一溜りもありませんが、最低限これだけでもトラブル発生率は大幅にさがる。
ウェブサイトは大切な資産であり、活用するユーザーの情報は運営サイト以上に尊い資産である。
面倒くさがらず運営されることを願います。



また、これからサイト制作を検討される方は、本当にいまその機能が必要か不必要かを見極め、
できる限りシンプルに小さくスタートされることをお勧めします。


これまた珍しく真面目に投稿してしまった(笑)

CALENDAR

    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    
2020年12月 次月≫

OTHER