安全なWEBサイトの作り方

以前WordPressの大幅改竄（かいざん）事件が発生した頃の話です。

レンタルサーバー会社の問題と思いきや、全然別の理由でサイトの乗っ取り被害に遭った方がいました。原因はパスワードの脆弱性とバックアップ運用でした。

数百個のPHPファイルに対して暗号化されたスクリプトが仕込まれていて、その除去対応をしました。

当時ロリポップのレンタルサーバーの脆弱性が問題となりました。

⇒「ロリポップ WordPress」で検索

数字が公表されてるだけでも8000件以上。

当時海外のハッカーがWordPressサイトの乗っ取りコンテストを開催しており、改竄されたサイトにはヘッダ部分に目印が書き込まれてました。

ご丁寧に改竄結果ランキングまで集計されていて、数万件の被害サイトがリスト化されてたと思います。

違う原因

ところが、私に依頼があった件は原因が別でした。

3万円程でエステ系・美容系サイト向けにホームページを制作している会社さんがありまして、見た目はまあまあのものですが、セキュリティがガバガバでした。

その会社さんの制作実績の中から数件選んで見てみたところ、いずれも改竄されていました。ロリポップのサーバーではありません。

私に依頼して来た方のWordPressの管理画面パスワードは「1234」でした。

恐らく他のお客さんもそれに近いチープなパスワードだった可能性があります。

※今のWordPressは反省して、そこまで脆弱なパスワードを許可してないと思います。

一般人向けにサイト制作しながら、維持保守について何もコントロールしていません。別に直接面倒を見なくても、自動バックアップぐらい設定してもよさそうなものですが、ありません。

仕方が無いのでPHPファイルの全てを修復しつつ、Googleのキャッシュと見比べて復元しました。

ホームページの制作に関して、見た目や文言、機能を中心に制作会社さんと話すと思います。一方で、サーバーはどうする、バックアップはどうする、サイトの表示速度は何秒かといった要件（非機能要件）を考慮できない制作会社さんが多いです。

依頼する側としてそこまでの知識が無いのは仕方ないですが、どういう点を機にすれば良いか、なかなか情報が得られないですよね。

「WordPress　セキュリティ」で検索して、簡単に書かれた資料や動画を探してみると発注者側が考慮すべき点が書かれていると思います。

また、単純なホームページでなく、WEBシステムを発注する場合もあるかと思います。そういう方向けの資料があります。

IPA（独立行政法人 情報処理推進機構）の作成した「安全なウェブサイトの作り方」という資料です。

ココナラだとブログ文中にリンクが張れませんね。。。

「IPA 安全なウェブサイトの作り方」でネット検索すると出てくると思います。

SQLインジェクション、CSRFって何？みたいな説明、それによって起こり得るリスクが分かりやすく図解されています。

発注者側もシステムを使う以上はIT企業の側面を持ちますので、正しく使うための（使ってもらうための）リテラシーを上げていく必要がある時代ですね。

以上ご紹介まで。