自力でトラブルシューティングできない人や組織は、自前でWordPresでサイトを構築してはいけない? 40
ストーリー by hylom
実は恐ろしいWordPress 部門より
実は恐ろしいWordPress 部門より
あるAnonymous Coward曰く、
セキュリティ研究者の徳丸浩氏がTwitterに「自力でトラブルシューティングできない人や組織は、自前でWordPres立ててはいけない」というコメントを投稿したことが一部で話題になっている。
WordPressやそのプラグインではたびたび脆弱性が発見されており、単純に情報を漏洩させるだけで無く、別の攻撃を行う踏み台にされるケースもある。そういう状況を受けての発言だが、これに対し反論もあるようだ(「おおいわのこめんと」ブログ、Geekなぺーじ)。
「反論もあるようだ」 どこ? (スコア:5, すばらしい洞察)
提示されている
・「おおいわのこめんと」ブログ
・Geekなぺーじ
両方とも徳丸氏のコメントに対して同意されているようにしか読めませんがね。
「正直なところ、徳丸さんの元のコメントには100%同意」
「「インターネットは超荒波だから気をつけようね」という点に関しては見解が一致してそうだと思います。」
どこらへんに「反論」があったのでしょうか。
Re:「反論もあるようだ」 どこ? (スコア:3, おもしろおかしい)
中身を読んでない [it.srad.jp]のでは。
Re: (スコア:0)
俺はオフトピ扱いでいいから元コメにプラスモデしてやってくれ
反論とやらを探すのに無駄な時間食ったわ。
失笑が止まらない元記事のレベルの低さ (スコア:5, 興味深い)
ぼくはそんなにプログラマーではないので(?)あんまり難しいことは分からないけれど、Amazon Web Service(AWS)ってのがすごいらしい。Amazonといえば完全にぼくの中では欲しいものが1日で手に入るお店やさんだったけれど、AWSも2006年7月の運用からかれこれ10年もの歴史があって、なんかすごいらしい。SmartNewstとかCookpadとか、いろんなサービスがAWS上で動いていてすごいらしい(そのへんに詳しいひとがいたら解説してほしい)。
でもなんだか コンソールとかデプロイとか難しそうな用語ばかり出てきてなんだか敷居が高い(まさにクラウドだけに雲の上の存在だった)ので、もっとシンプルにAWSでブログを運用してみたかった。それに、多くのノンプログラマーのブロガーやWebデザイナーにとっては技術的なことは極力避けたいし、設定とかそういうのはパパッと済ませて、面白い記事を書くことに集中したい。だから、堅苦しい話は抜きにして、超わかりやすく自分のブログをクラウド上で運営する方法について解説していく。
ちなみに、この方法は超低コストだ。AWSサミットっていうのがこの間開催されたおかげで、日本では今なら1年間分のAWSの利用料は無料 [amazon.com]だ。かかるのは、ムームードメインで格安で取得したたった99円の「.xyzドメイン」だけ(別に他のでもいいし、ドメイン要らないひとはドメイン取得費用も不要)。すでにドメインを持っているひとならサブドメインを使って実験的にWordpressサイトを持つこともできるので、実験的にやってみるのもいいだろう。
この程度の知識で IaaS に手を出そうというのがヤバい。SaaS の WordPress.com [wordpress.com] で全くもって十分だし、月額 ¥ 983.33 のプレミアムプランにアップグレードすれば独自ドメインも使える。
まあ、アラート設定したから安心!とか笑って放置して、AWS 無料利用枠が失効して、こういうことになる [qiita.com]のがオチですかね。
WordPress.com は使い物にならない (スコア:2)
はてブコメントやTwitterなどを眺めてみると、一般ブロガーやWebデザイナーがAmazon Web Service(AWS)で独自ドメインのWordpressサイトを10分で作る方法 [hatenablog.jp] に対する反論として WordPress.com を使えばいいだけだと主張している人が多いようですが、実際に使ってみてそう主張しているのでしょうか?
JavaScript を使うことができない [wordpress.com](フォーラム [wordpress.com])ので、任意のブログパーツを貼り付けることすらできません。
これだと、アフィリエイトができませんし、AdSense を貼るのには審査が必要で、収入が WordPress.com 側に中抜きされてしまいます [wordpress.com]。アフィリエイトやAdSenseをやらない場合であっても、例えばショップブログだったら在庫をリアルタイムに表示したいとか、個人サイトでも、それこそ気に入った外部のブログパーツを使いたいとか、そういったこともできないので多くのユーザーの要求を満たせません。
確かに JavaScript にはセキュリティ上のリスクがあるのは事実ですが、今時 JavaScript が自由に使えないブログシステムなんていうのは使い物にならないと思います。
そもそも、「WordPress を使いたい」という欲求が出てくるのは、豊富なプラグインを色々インストールしていろいろなことをしたいので、Amebaプレミアムとかはてなブログなどのブログサービスでは満足できないからだと思います。そういった人が自由にプラグインをインストールできない制約された環境に満足できるはずがありませんし、自由にプラグインをインストールできる環境のWordPressというものはセキュリティ上大変危険度が高いものです。
従って、現実的な解決策はなく、Amebaプレミアムとかはてなブログで妥協(我慢)できないか検討してもらうことぐらいしかできないと思います。
# ところで、元記事 [hatenablog.jp] では Elastic IP アドレス [amazon.com] の設定がされていないので、再起動するとIPアドレスが変わってしまいますね。絶対にサーバを再起動しないつもりなのか、ダイナミックDNSで運用する気なんでしょうか……。
Re: (スコア:0)
元記事はなぜAWSを勧めるのかがわかりませんね。
自由に使いたいのなら安価なVPSで十分じゃないかと思うのですが。
AWSを使わないといけないほど大量のアクセスがある想定なのでしょうか。
Re:失笑が止まらない元記事のレベルの低さ (スコア:1)
なるほど、wordpress.comか、ということで、ググると、
WordPressには2種類ある!?「WordPress.org」と「WordPress.com」の違いってなに? [wisdommingle.com]
確かに、「WordPress.com」(ワードプレス・ドット・コム)の無料ブログサービスを利用すれば、今すぐにでも簡単に「WordPress(ワードプレス)」のブログをつくることができます。
ですが、これからインターネットを使ってビジネスをしていこうというのであれば、自分でレンタルサーバーを借りて、実際にインストールする経験を積んでおいたほうがいいです。
しかし、経験を積むのに、初めてのがwordpress、というのもどうかな。じゃあ、最初は何から始めればよいのか?
Re: (スコア:0)
WANではなくLANやローカルなどにサーバーを立てて学習すべきでしょう。
何が危険か左右すらわからない状態でいきなり荒波がいっぱいのWANにサーバーを立ててはいけない。
そういう話だと思うんですよね。
Re:失笑が止まらない元記事のレベルの低さ (スコア:5, おもしろおかしい)
> WANではなくLANやローカルなどにサーバーを立てて学習すべきでしょう。
それじゃダメですね.全然だめです.話になりません
まずはCPUの仕組みを理解して,ポインタ,スタックと慣れ親しまないとダメです.
OSの仕組み,特権レベル(スーパーバイザーモード)とかメモリのランダマイズも大事です.
それから,ヒープオーバーフロー,コマンドインジェクション,CVEの読み方
公開鍵暗号,楕円曲線,量子もつれも学習すべきでしょう
何が危険か左右すらわからない状態でいきなりサーバーを立ててはいけません
そういう話だと思うんですよね
Re: (スコア:0)
自動車を運転するのにAT限定免許なんてもってのほか。
吸排気から駆動系から物理学から工学から何から何まで基礎を習得した上で、自分で一台組み上げられる程度の知識と技量を持ってから運転しろ!って感じですよね。
ええ、同感ですとも。
Re: (スコア:0)
何言ってんの鉱脈掘り当てるところからでしょ。
Re: (スコア:0)
Re: (スコア:0)
光あれ!
Re: (スコア:0)
ガソリンを吸い込んで、直接吹き付ける力があれば十分だろ。
俺の生き様を見ろ!(Witnessed!!)
Re: (スコア:0)
WordPressだけが必要なら WordPress.comでいいし、サーバー立てる勉強もしたいならレンタルサーバー借りてお仕着せのWordPressで独自ドメイン取って使えばいいのに…と思わずにはいられないですね。出費に天井があって、最悪、馬鹿みたいに転送量が増えたりしたら、サーバー屋さんからブロックして貰えるだけでも、安心感が高いですし。
AWSは料金が青天井に近いので、素人が何となく設定したら痛い目にあう事必至ですし。
「自力でトラブルシューティングできない人は (スコア:2)
WordPressのセキュリティチェックソフト? (スコア:1)
WordPressのセキュリティを自らチェックできるような、できるだけ公式のプラグイン?はないんでしょうか?
SSHが使える環境で、updateをもうすこし簡単にできるような公式のスクリプト?はありますか?
Re: (スコア:0)
wpscanあたり使ってみればいいのでは?
そもそも本体は自動でアップデートできるはず。
WordPressなんて著名な単語を簡単にtypoしちゃう人にセキュリティ専門家なんて名乗って欲しく (スコア:0)
編集者も同罪
Re: (スコア:0)
hylomだからそのままコピペは無罪
Re: (スコア:0)
WorkPlusとか書かなかっただけ今回はヨシとしようよ。人間の想像力の範囲外の間違いが多々あるから、つきあってるときりがないよ。
WordPresを使ってるのに (スコア:0)
WordPresを使ってるのに自前なの?
Re: (スコア:0)
パチモンサイトでマルウェア取ってきちゃうような輩はサイト構築なんてすべきじゃないですね。
Re: (スコア:0)
そうだよ、パーツ組み立てるだけの自作○○だよ
おおもとの記事読めば理由は明白 (スコア:0)
徳丸さんがその発言をすることとなった元ネタの記事は
「AWSはセキュリティばっちり!」
というアホな認識で書いていて、完全に自分で管理しなければならないWordpress部分・Linux OS部分と、完全にAmazonが管理してくれるAWS基盤部分の区別が付いていないからね。
Re: (スコア:0)
WordPressで…じゃなくて、IaaSクラウドで…と言うべきではないのか。そのレベルだと「じゃあMovable Typeがいいのか」とかなりかねない。
Re:おおもとの記事読めば理由は明白 (スコア:1)
採用数が多いのもあるけど、WordPressはプラグイン含めて公表される脆弱性の量が飛び抜けて多いですからねえ。
JVN (http://jvn.jp) みてると、「日刊WordPress脆弱性」レベルで掲載されてるし。
ITそのものへの認識の問題として (スコア:0)
IT全般への認識の問題として「トラブルシューティングを自力でできる技術力」か「トラブルがあった時に金で解決する(エンジニアを雇う)予算と覚悟」のどちらかは本来、あって然るべきだと思う。
オフラインで運用するならシステムが止まったり正しく動作せず被害が出るぐらいで済むだろうが(それでも企業の生産ラインとか暴走したら命の危険はあるだろうけど)、インターネット上で脆弱性を放置すると、スパムの温床やフィッシング等の踏み台にされて、どれだけ多くの人に迷惑をかけるかすらわからない状態だしね。
筋を通すというか、本来の責任で考えたらインターネットに繋いでるPCを悪用された場合は、悪用された側にも無過失責任を問うことを一般化していかないといけないと思う。
少なくとも脆弱性がある環境をネットに繋いだまま放置するのはオンラインでの犯罪を行う人たちを手助けする結果になるのだけど、それを幇助とカウントできない限り、サイバーノーガード戦法が最適解になってしまうわけで、それはこれからの社会にとってプラスになるとは思えない。一時的には「きちんと管理できないし金も無い人」から反発は出るだろうけどね。
Re: (スコア:0)
別にITに限った話じゃない当たり前のことを
そんな一生懸命に主張されてもなぁ
Re:ITそのものへの認識の問題として (スコア:1)
それが「当たり前のこと」なら、ゾンビPCによるボットネットワークなんてできてないと思うよ
実際にはそれができてない(緩いセキュリティでウイルス感染したままほったらかしてる人も責任を問われてない)から現状があるんだし
Re: (スコア:0)
責任を持つべき人間が問題をほったらかしにしてるなんて、どこでもごく普通にあるでしょ
ちゃんと車検受けてない車だとか、ろくに歯医者にも行かないで歯をボロボロにしちゃう人とか、
消防設備の点検をほったらかしの雑居ビルとか
パソコンだけが無責任な人間のせいで世界に迷惑をかけてると思ってるならおめでたいね。
Re: (スコア:0)
虫歯の人や雑居ビルがネットワーク化して世界中に攻撃飛ばすの?
虫歯はウイルス (スコア:0)
虫歯は感染します
キスや回し飲みなんかで歯周病が感染します
ちなみに歯医者に行っても定期顧客を得るために虫歯を残す手法が蔓延してるので
完治するのは稀です
ベンダーだって言われたことしかサポートしません
セキュリティにアホな顧客は金づるなんです
あまりいらんこと書かないでほしいわ
Re: (スコア:0)
車検受けてない車や消防設備の点検をほったらかしてる雑居ビルは違法なので見つかれば責任を問われるのだが(たとえ事故や火災を起こさなくても)
虫歯に関しては別に第三者に迷惑かけるという程じゃないので勝手にすればいいだけ
それに比べてパソコンはセキュリティリスク放置しても違法でも取り締まり対象でもないからおかしい、って話じゃん
Re: (スコア:0)
別に一生懸命さは伝わってこないな。在り来りな内容を、ダラダラ書いてるだけでしょ。
Re: (スコア:0)
インターネットが普及する前までは、免許など持っていない素人が気軽に触れるのに、全世界へ迷惑をかけてしまうものなんてそうそうなかったと思うんですけど。
Re: (スコア:0)
そもそも企業の大半は「フリーだから金をケチれる」って意識でソフトウェアを選択してるから。
出発点からして違うのですよ。
そんな綺麗事を考える会社が多いなら奴隷人身売買が横行するような業界になってないです。
法で縛るにも行政がグレーゾーンをあえて残すわ、企業も抜け道で回避するわ、の繰り返しな業界ですもん。
Re: (スコア:0)
金を払っていれば、セキュリティーが充分であり続けるという認識の所も、怖いと思うが。(要は管理)
Re: (スコア:0)
そうですね
建築や運転に免許不要ってのが現状ですからね
物理世界では無免許論外なのに
でも法が整備される前の物理世界でも
無免許当たり前だった時代もあるわけで
建築や運転免許に関する法ができて困るなんて声に
どう対処するかなんてのは物理世界の事例参考にすればいい
相応の犠牲を生贄に
嘆く声を煽って世論を味方に
既得権益者に裏で十分配慮
この辺のロビー活動をする団体の設立が第一歩ってとこでしょうね
Re: (スコア:0)
免許制まで行くと、相応な犠牲ですかね?
法律作って、試験から免状発行まで一通りシステム作って運用して、
ウェブサーバ運用側も、試験テキストから勉強、試験費用払って、定期的に更新などのコストかけても、
防ぐのは、スパムメールやフィッシングサイトやDOS攻撃の一部。
そもそも、全世界同時に実施しないと、ほぼ意味がない。
# 利権団体立ち上げるならいい案です。ぜひ仲間に入れてください!ポンチ絵なら自信あります!