プライム・ストラテジー「KUSANAGI」開発チームの石川です。
2023年8月24日から26日にアメリカのメリーランド州、ナショナルハーバーで開催された「WordCamp US 2023」にスポンサーとして参加してきました。
ブースに関しては 当社ニュースリリース] で紹介しているので、こちらではセッションの紹介をしたいと思います。
WordCamp US 2023の発表セッションの一覧は タイムテーブル から参照できます。
また、全てのセッションは YouTubeで公開 されていますので、興味がある方は プレイリスト も見てみてください。
ここでは、KUSANAGIとWEXALの観点から興味深いと思ったセッションを取り上げたいと思います。
エンタープライズにおけるWordPressのセキュリティ
Webのセキュリティの重要性は日々増していますが、その中でもWordPressの脆弱性を突く攻撃が増加している中で、WordPressのセキュリティ対策はエンタープライズにおける重要事項になりました。
KUSANAGIはVMのレベルでセキュアに運用できるようにはしていますが、WordPressのプラグインやテーマのセキュリティに関しては、どうしてもWordPressの運用者に委ねられている部分があります。
The enterprise approach to WordPress Security のセッションでは発表者である Peter Wilson 氏が、これまでエンタープライズ向けにWordPressサイトを構築・運用してきた経験から、その対策を発表しました。
YouTubeの動画は こちら から。
以下にその要点をまとめました。
サニタイズの重要性
WordPressにデータを入力する方法は様々にあります。その際に「入力されるデータを決して信用してはならない」というのが鉄則です。
具体的には、入力データにインジェクションのようなもの (SQLにしろ、JavaScriptにしろ、HTMLにしろ) が含まれている可能性を常に認識し、必ずサニタイズを行うようにします。
また、入力データをWeb上に表示する必要がある場合は htmlentities() や esc_html() で事前にエスケープして表示します。
WordPressの権限を分ける
複数の人間でWordPressのサイトを運用している場合、記事を書く人、変更する人、公開する人、運用する人など立場が分かれている場合があります。部門によって変更・公開できる記事の範囲が異なる場合があります。
人は間違いを犯すもの、という認識のもとで、WordPressでユーザの権限を正しく設定しておき、万が一ユーザが間違った操作をしたとしても、それができないようにしておくことが重要です。
また、開発サイトと本番サイトを誤って更新してしまうことがないように、開発サイトと本番サイトではユーザも権限も分けておくことを推奨しています。
自分でVPSを立てない
(これは KUSANAGI を提供する当社としてはあまり書きくないのですが…)
VPSを立てるということは、インフラやOSの運用責任が生じます。それぞれのセキュリティ対策も行う必要がでてきます。
セキュアなサイトを運用する、という視点に立つならば、自分でVPSを立てて運用することはせず、WordPressを使用できるマネージドなサービスを利用することを考えましょう。
サーバのIPアドレスに直接アクセスさせない
WordPressを運用しているサーバのIPアドレスを直接DNSに登録することはせず、WAFを間に入れるようにします。
WordPressに対するDoS攻撃や脆弱性を狙った攻撃を事前に防ぐことが期待できます。
コードは必ずレビューする
当たり前のことですが、コードは公開する前に必ずレビューしましょう。
ただ、開発しているチームが小さいと、レビューアが一緒(コードを書いた本人)という場合もあります。
そういう時は、書き終わった直後にレビューするのではなくて、頭をリフレッシュするために別の日にレビューをするとよいです。
最後に
「自分でVPSを立てない」に関して補足をしますと、VPSをセキュアに運用するという視点では、KUSANAGIは一般的なLinux OSを自分で立てて運用することと比べれば、デフォルトでセキュアに動作するように設定されています。また、セキュリティ対策も定期的に配信するようにしています。
自分でVPSを立てて運用することに不安がある場合は、当社が代わって運用するマネージドサービスも提供していますので、ご検討ください。
