パスワードを忘れた? アカウント作成
12823445 story
インターネット

自力でトラブルシューティングできない人や組織は、自前でWordPresでサイトを構築してはいけない? 40

ストーリー by hylom
実は恐ろしいWordPress 部門より
あるAnonymous Coward曰く、

セキュリティ研究者の徳丸浩氏がTwitterに「自力でトラブルシューティングできない人や組織は、自前でWordPres立ててはいけない」というコメントを投稿したことが一部で話題になっている。

WordPressやそのプラグインではたびたび脆弱性が発見されており、単純に情報を漏洩させるだけで無く、別の攻撃を行う踏み台にされるケースもある。そういう状況を受けての発言だが、これに対し反論もあるようだ(「おおいわのこめんと」ブログGeekなぺーじ)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年06月25日 7時05分 (#3035696)

    提示されている
    ・「おおいわのこめんと」ブログ
    ・Geekなぺーじ

    両方とも徳丸氏のコメントに対して同意されているようにしか読めませんがね。
    「正直なところ、徳丸さんの元のコメントには100%同意」
    「「インターネットは超荒波だから気をつけようね」という点に関しては見解が一致してそうだと思います。」

    どこらへんに「反論」があったのでしょうか。

  • 一般ブロガーやWebデザイナーがAmazon Web Service(AWS)で独自ドメインのWordpressサイトを10分で作る方法 - Brian'z Imagination [hatenablog.jp] より

    ぼくはそんなにプログラマーではないので(?)あんまり難しいことは分からないけれど、Amazon Web Service(AWS)ってのがすごいらしい。Amazonといえば完全にぼくの中では欲しいものが1日で手に入るお店やさんだったけれど、AWSも2006年7月の運用からかれこれ10年もの歴史があって、なんかすごいらしい。SmartNewstとかCookpadとか、いろんなサービスがAWS上で動いていてすごいらしい(そのへんに詳しいひとがいたら解説してほしい)。

    でもなんだか コンソールとかデプロイとか難しそうな用語ばかり出てきてなんだか敷居が高い(まさにクラウドだけに雲の上の存在だった)ので、もっとシンプルにAWSでブログを運用してみたかった。それに、多くのノンプログラマーのブロガーやWebデザイナーにとっては技術的なことは極力避けたいし、設定とかそういうのはパパッと済ませて、面白い記事を書くことに集中したい。だから、堅苦しい話は抜きにして、超わかりやすく自分のブログをクラウド上で運営する方法について解説していく

    ちなみに、この方法は超低コストだ。AWSサミットっていうのがこの間開催されたおかげで、日本では今なら1年間分のAWSの利用料は無料 [amazon.com]だ。かかるのは、ムームードメインで格安で取得したたった99円の「.xyzドメイン」だけ(別に他のでもいいし、ドメイン要らないひとはドメイン取得費用も不要)。すでにドメインを持っているひとならサブドメインを使って実験的にWordpressサイトを持つこともできるので、実験的にやってみるのもいいだろう。

    この程度の知識で IaaS に手を出そうというのがヤバい。SaaS の WordPress.com [wordpress.com] で全くもって十分だし、月額 ¥ 983.33 のプレミアムプランにアップグレードすれば独自ドメインも使える。
    まあ、アラート設定したから安心!とか笑って放置して、AWS 無料利用枠が失効して、こういうことになる [qiita.com]のがオチですかね。

    • SaaS の WordPress.com [wordpress.com] で全くもって十分だし、月額 ¥ 983.33 のプレミアムプランにアップグレードすれば独自ドメインも使える。

      はてブコメントやTwitterなどを眺めてみると、一般ブロガーやWebデザイナーがAmazon Web Service(AWS)で独自ドメインのWordpressサイトを10分で作る方法 [hatenablog.jp] に対する反論として WordPress.com を使えばいいだけだと主張している人が多いようですが、実際に使ってみてそう主張しているのでしょうか?

      JavaScript を使うことができない [wordpress.com](フォーラム [wordpress.com])ので、任意のブログパーツを貼り付けることすらできません。

      これだと、アフィリエイトができませんし、AdSense を貼るのには審査が必要で、収入が WordPress.com 側に中抜きされてしまいます [wordpress.com]。アフィリエイトやAdSenseをやらない場合であっても、例えばショップブログだったら在庫をリアルタイムに表示したいとか、個人サイトでも、それこそ気に入った外部のブログパーツを使いたいとか、そういったこともできないので多くのユーザーの要求を満たせません。

      確かに JavaScript にはセキュリティ上のリスクがあるのは事実ですが、今時 JavaScript が自由に使えないブログシステムなんていうのは使い物にならないと思います。

      そもそも、「WordPress を使いたい」という欲求が出てくるのは、豊富なプラグインを色々インストールしていろいろなことをしたいので、Amebaプレミアムとかはてなブログなどのブログサービスでは満足できないからだと思います。そういった人が自由にプラグインをインストールできない制約された環境に満足できるはずがありませんし、自由にプラグインをインストールできる環境のWordPressというものはセキュリティ上大変危険度が高いものです。

      従って、現実的な解決策はなく、Amebaプレミアムとかはてなブログで妥協(我慢)できないか検討してもらうことぐらいしかできないと思います。

      # ところで、元記事 [hatenablog.jp] では Elastic IP アドレス [amazon.com] の設定がされていないので、再起動するとIPアドレスが変わってしまいますね。絶対にサーバを再起動しないつもりなのか、ダイナミックDNSで運用する気なんでしょうか……。

      親コメント
      • by Anonymous Coward

        元記事はなぜAWSを勧めるのかがわかりませんね。
        自由に使いたいのなら安価なVPSで十分じゃないかと思うのですが。
        AWSを使わないといけないほど大量のアクセスがある想定なのでしょうか。

    • なるほど、wordpress.comか、ということで、ググると、
      WordPressには2種類ある!?「WordPress.org」と「WordPress.com」の違いってなに? [wisdommingle.com]

      確かに、「WordPress.com」(ワードプレス・ドット・コム)の無料ブログサービスを利用すれば、今すぐにでも簡単に「WordPress(ワードプレス)」のブログをつくることができます。

      ですが、これからインターネットを使ってビジネスをしていこうというのであれば、自分でレンタルサーバーを借りて、実際にインストールする経験を積んでおいたほうがいいです。

      しかし、経験を積むのに、初めてのがwordpress、というのもどうかな。じゃあ、最初は何から始めればよいのか?

      親コメント
      • by Anonymous Coward

        WANではなくLANやローカルなどにサーバーを立てて学習すべきでしょう。
        何が危険か左右すらわからない状態でいきなり荒波がいっぱいのWANにサーバーを立ててはいけない。
        そういう話だと思うんですよね。

        • > WANではなくLANやローカルなどにサーバーを立てて学習すべきでしょう。

          それじゃダメですね.全然だめです.話になりません

          まずはCPUの仕組みを理解して,ポインタ,スタックと慣れ親しまないとダメです.
          OSの仕組み,特権レベル(スーパーバイザーモード)とかメモリのランダマイズも大事です.

          それから,ヒープオーバーフロー,コマンドインジェクション,CVEの読み方
          公開鍵暗号,楕円曲線,量子もつれも学習すべきでしょう

          何が危険か左右すらわからない状態でいきなりサーバーを立ててはいけません
          そういう話だと思うんですよね

          親コメント
          • by Anonymous Coward

            自動車を運転するのにAT限定免許なんてもってのほか。
            吸排気から駆動系から物理学から工学から何から何まで基礎を習得した上で、自分で一台組み上げられる程度の知識と技量を持ってから運転しろ!って感じですよね。
            ええ、同感ですとも。

            • by Anonymous Coward

              何言ってんの鉱脈掘り当てるところからでしょ。

            • by Anonymous Coward

              ガソリンを吸い込んで、直接吹き付ける力があれば十分だろ。
              俺の生き様を見ろ!(Witnessed!!)

    • by Anonymous Coward

      WordPressだけが必要なら WordPress.comでいいし、サーバー立てる勉強もしたいならレンタルサーバー借りてお仕着せのWordPressで独自ドメイン取って使えばいいのに…と思わずにはいられないですね。出費に天井があって、最悪、馬鹿みたいに転送量が増えたりしたら、サーバー屋さんからブロックして貰えるだけでも、安心感が高いですし。

      AWSは料金が青天井に近いので、素人が何となく設定したら痛い目にあう事必至ですし。

  • 親戚に頼ることを前提にPCを使ってはいけない」に空目した。ほんと深刻
  • WordPressのセキュリティを自らチェックできるような、できるだけ公式のプラグイン?はないんでしょうか?

    SSHが使える環境で、updateをもうすこし簡単にできるような公式のスクリプト?はありますか?

    • by Anonymous Coward

      wpscanあたり使ってみればいいのでは?
      そもそも本体は自動でアップデートできるはず。

    • by Anonymous Coward

      hylomだからそのままコピペは無罪

    • by Anonymous Coward

      WorkPlusとか書かなかっただけ今回はヨシとしようよ。人間の想像力の範囲外の間違いが多々あるから、つきあってるときりがないよ。

  • by Anonymous Coward on 2016年06月25日 9時08分 (#3035732)

    WordPresを使ってるのに自前なの?

    • by Anonymous Coward

      パチモンサイトでマルウェア取ってきちゃうような輩はサイト構築なんてすべきじゃないですね。

    • by Anonymous Coward

      そうだよ、パーツ組み立てるだけの自作○○だよ

  • by Anonymous Coward on 2016年06月25日 9時09分 (#3035734)

    徳丸さんがその発言をすることとなった元ネタの記事は

    「AWSはセキュリティばっちり!」

    というアホな認識で書いていて、完全に自分で管理しなければならないWordpress部分・Linux OS部分と、完全にAmazonが管理してくれるAWS基盤部分の区別が付いていないからね。

    • by Anonymous Coward

      WordPressで…じゃなくて、IaaSクラウドで…と言うべきではないのか。そのレベルだと「じゃあMovable Typeがいいのか」とかなりかねない。

  • by Anonymous Coward on 2016年06月25日 13時06分 (#3035838)

    IT全般への認識の問題として「トラブルシューティングを自力でできる技術力」か「トラブルがあった時に金で解決する(エンジニアを雇う)予算と覚悟」のどちらかは本来、あって然るべきだと思う。

    オフラインで運用するならシステムが止まったり正しく動作せず被害が出るぐらいで済むだろうが(それでも企業の生産ラインとか暴走したら命の危険はあるだろうけど)、インターネット上で脆弱性を放置すると、スパムの温床やフィッシング等の踏み台にされて、どれだけ多くの人に迷惑をかけるかすらわからない状態だしね。

    筋を通すというか、本来の責任で考えたらインターネットに繋いでるPCを悪用された場合は、悪用された側にも無過失責任を問うことを一般化していかないといけないと思う。
    少なくとも脆弱性がある環境をネットに繋いだまま放置するのはオンラインでの犯罪を行う人たちを手助けする結果になるのだけど、それを幇助とカウントできない限り、サイバーノーガード戦法が最適解になってしまうわけで、それはこれからの社会にとってプラスになるとは思えない。一時的には「きちんと管理できないし金も無い人」から反発は出るだろうけどね。

    • by Anonymous Coward

      別にITに限った話じゃない当たり前のことを
      そんな一生懸命に主張されてもなぁ

      • by Anonymous Coward on 2016年06月25日 15時10分 (#3035881)

        別にITに限った話じゃない当たり前のことを
        そんな一生懸命に主張されてもなぁ

        それが「当たり前のこと」なら、ゾンビPCによるボットネットワークなんてできてないと思うよ
        実際にはそれができてない(緩いセキュリティでウイルス感染したままほったらかしてる人も責任を問われてない)から現状があるんだし

        親コメント
        • by Anonymous Coward

          責任を持つべき人間が問題をほったらかしにしてるなんて、どこでもごく普通にあるでしょ
          ちゃんと車検受けてない車だとか、ろくに歯医者にも行かないで歯をボロボロにしちゃう人とか、
          消防設備の点検をほったらかしの雑居ビルとか
          パソコンだけが無責任な人間のせいで世界に迷惑をかけてると思ってるならおめでたいね。

          • by Anonymous Coward

            虫歯の人や雑居ビルがネットワーク化して世界中に攻撃飛ばすの?

            • by Anonymous Coward

              虫歯は感染します
              キスや回し飲みなんかで歯周病が感染します

              ちなみに歯医者に行っても定期顧客を得るために虫歯を残す手法が蔓延してるので
              完治するのは稀です

              ベンダーだって言われたことしかサポートしません

              セキュリティにアホな顧客は金づるなんです
              あまりいらんこと書かないでほしいわ

          • by Anonymous Coward

            車検受けてない車や消防設備の点検をほったらかしてる雑居ビルは違法なので見つかれば責任を問われるのだが(たとえ事故や火災を起こさなくても)

            虫歯に関しては別に第三者に迷惑かけるという程じゃないので勝手にすればいいだけ

            それに比べてパソコンはセキュリティリスク放置しても違法でも取り締まり対象でもないからおかしい、って話じゃん

      • by Anonymous Coward

        別に一生懸命さは伝わってこないな。在り来りな内容を、ダラダラ書いてるだけでしょ。

      • by Anonymous Coward

        インターネットが普及する前までは、免許など持っていない素人が気軽に触れるのに、全世界へ迷惑をかけてしまうものなんてそうそうなかったと思うんですけど。

    • by Anonymous Coward

      そもそも企業の大半は「フリーだから金をケチれる」って意識でソフトウェアを選択してるから。
      出発点からして違うのですよ。
      そんな綺麗事を考える会社が多いなら奴隷人身売買が横行するような業界になってないです。
      法で縛るにも行政がグレーゾーンをあえて残すわ、企業も抜け道で回避するわ、の繰り返しな業界ですもん。

      • by Anonymous Coward

        金を払っていれば、セキュリティーが充分であり続けるという認識の所も、怖いと思うが。(要は管理)

    • by Anonymous Coward

      そうですね
      建築や運転に免許不要ってのが現状ですからね
      物理世界では無免許論外なのに

      でも法が整備される前の物理世界でも
      無免許当たり前だった時代もあるわけで

      建築や運転免許に関する法ができて困るなんて声に
      どう対処するかなんてのは物理世界の事例参考にすればいい

      相応の犠牲を生贄に
      嘆く声を煽って世論を味方に
      既得権益者に裏で十分配慮

      この辺のロビー活動をする団体の設立が第一歩ってとこでしょうね

      • by Anonymous Coward

        免許制まで行くと、相応な犠牲ですかね?

        法律作って、試験から免状発行まで一通りシステム作って運用して、
        ウェブサーバ運用側も、試験テキストから勉強、試験費用払って、定期的に更新などのコストかけても、
        防ぐのは、スパムメールやフィッシングサイトやDOS攻撃の一部。
        そもそも、全世界同時に実施しないと、ほぼ意味がない。

        # 利権団体立ち上げるならいい案です。ぜひ仲間に入れてください!ポンチ絵なら自信あります!

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...