【対策 その3】 Wordpress からレンタルブログへの移転を決意
とまあ、前までのページで書いたように、Wordpress とWEBサイトの脆弱性を潰すべく、あれやこれやと努力をしてきたわけですが、結局、Wordpress から既存のレンタルブログサービスに移転することを決意したのでした。
Wordpress から既存のレンタルブログサービスに移転しようと決意した理由
同アカウントの他のドメインが汚染されてしまう可能性がある
レンタルサーバーでマルチドメインの契約をしている場合、ルートフォルダの下に各ドメインのフォルダを設置する形になっています。
なので、一つのドメインでハッキングが成功した場合、他のドメインも改ざんの対象になる場合があるのです。
今回のハッキング被害はこれでした。
公表していないドメインにすら悪意のあるファイルを設置されてしまったのです。
これでは、問題のない静的ファイルのみで構成されているドメインでも、ハイリスクな動的ファイルと同等の危険に晒されます。
(実は私はこれが一番怖かった)
何だか色々とアホらしくなってきた
Wordpress は、確かにセキュリティ用プラグインとして優れたプラグインが多数存在します。
でも、それらのセキュリティ用のプラグインで、ブログの不正なアクセス・コアファイルの改ざんなどの監視し続けることに疲れてしまいました。
また、不正アクセスに怯え続けることも、プラグイン・テンプレート・WPのシステムデータ・データベースのセキュリティに目を光らせ続けることも嫌でした。
それを誰か第三者に丸投げできれば良いのですが、企業でもない限り、個人でそれらを丸投げすると言うのは現実的ではありません。
なので、既存のレンタルブログを使い、自分はテンプレートのデザインを弄くって投稿するだけの状態にするのが、一番現実的なような気がしました。
オープンソースのWordpressはセキュリティの穴を突かれやすい
Wordpress はオープンソースです。
オープンソースって言うのは、一般にコードとかが公開されているプログラムです。
ですので、誰でもそれを目にすることができますので、『 お?これはもしや脆弱性があるのでは? (★ー★) ニヤリ 』 と悪意のあるハッカーに目を付けられたら、それを利用しているユーザーが攻撃対象になりやすいのです。
このように、オープンソースのプログラムの利用は安価で便利で発展性が高い反面、常にそれなりのリスクが付き纏います。
脆弱性を突かれてハッキングされた場合、対策に追われる可能性がある
かように脆弱性の穴を突かれやすい Wordpress ですが、脆弱性を突かれてハッキングされた場合、その対処に追われてしまうのも難点です。
何せ、どこまで汚染されているのかもわからないのです。
自作テンプレートまでか、Wordpress のシステムファイルまでか、投稿した記事までか、コメントまでか、それともデータベースごと汚染されているのか、どこまで汚染されているのか調べるのも自身の責任になります。
特に、データベースの汚染は深刻で、調査はかなり困難です。
(一応、利用中のヘテムルの担当者の方に、悪意のあるコードが含まれていないかの確認はしましたし、投稿した記事とコメントを全てエキスポートして、VirusTotal でファイルに不正なコードなどが含まれていないかどうかチェックするのはやりましたが、正直な話、それでチェックしきれていたのかどうかは不明です)
また、何がセキュリティの穴(脆弱性の原因)になったのか、自分で調査する必要があります。
これは意外と大変で、一度疑心暗鬼に陥ると、せっかく作ったり導入したあれもこれもドンドン削除して、便利で楽しいはずの Wordpress が、ビックリするほどつまらないものになる可能性もあります。
既存のレンタルサーバーの場合、テンプレートの変更ができるものは、テンプレートの脆弱性は自身に原因がありますが、システム関連のプログラムや、各種便利機能のプログラムの脆弱性の管理監督は各レンタルサーバー会社にあるため、原因の追求や対策がWordpress のそれと比べると、かなり容易で負担が少ないです)
プラグインも安全じゃないものがある
Wordpress のプラグインの中には、更新が停止され、セキュリティに穴が開きっぱなしのものがあります。
最初は、「 プラグイン作るぞーヾ(´・∀・`)ノ 」 とノリノリでプラグインを作ったは良いものの、バージョンアップ時の更新、セキュリティの穴を塞ぐ作業などを地道に何年も何年もやり続けるのはかなり大変なので、何年かしたらそれらのメンテナンス作業を放棄するのは普通にありえる話です。
でも、もうすでにそのプラグインを入れてしまったユーザーにとって、それは死活問題で、セキュリティの穴を自分で一々チェックして更新するなんてことは通常はしませんので、数年後、セキュリティに穴の開きっぱなしのプラグインを使い続けて、知らない間にハッキング被害に会う可能性があります。
一定以上の規模の企業単位でやっていれば、セキュリティのチェックをする部署、投稿記事を各部署は別れていることが多いでしょうから、作業の分担がされているぶん、楽なのかもしれませんが、何もかも個人でやるぶんには、負担が大きくなりすぎるのではないかと思います。
この他、まだ一般に知られていないセキュリティの穴がある可能性があると言うのも問題です。
既知の問題であれば、そのプラグインをセキュリティ対策されるまで停止させたりアンインストールしたりできるのですが、知られていないセキュリティの穴の場合、それができずに被害が拡大しやすくなります。
セキュリティを考慮すると、Wordpress の良さが半減してしまうこと
とりあえず、セキュリティの穴を塞ぐため、WAFをONにしたのは良いのですが、これではコメントしづらくてたまりません。
お客さんだけでなく、私自身もコメントできないことが多く、コメント欄が使い物にならなくなる可能性が高くなります。
(コメントしようと意気揚々と長々とコメントを書いたのに、WAFで全部拒否られたとか洒落になりません。(;´_`;))
ですので、WAFをONにすると同時にコメント欄は停止したのですが、このせいで、うちのブログはブログの意味を成さなくなってしまいました。
コメントなどの機能のない静的なWEBサイトは、自分が公表したいと思っているものを公表できます。
しかしその反面、コメントなどの相互交流はできません。
そして、コメント欄のないブログは、この静的WEBサイトとほぼ同様のものになってしまいます。
(これだけハッキングやセキュリティの脆弱性に気を使いながら運営しているにも関わらずです)
ブログはコメント機能などの相互交流の機能が付けられるからこそ意味があるのです。
人気ページランキングや、自動カテゴリ・アーカイブ更新機能などは便利ですが、静的なWEBサイトでもそれをやろうと思うとできなくはありません。
(ページ数が多くなってくると結構面倒ですが)
ping送信は Fetch as google で代替可能ですし、ちょっと面倒くさいですが、RSSファイルを作るツールもありますので、RSSファイルを作ろうと思えば作れなくもありません。
でもコメントやトラックバックはそうはいきません。
静的なWEBサイトでそれを実現することはとても困難です。
(かなり重くなってしまうようですが、当該ページのことについてTwitterでツイートされたものを表示することは、専用のサービスを利用すれば可能ですが)
これがまだ、セキュリティなどの手間がかからないブログなら、これでも良いのかもしれませんが、やたらとセキュリティに気を使うブログで、これはちょっと頂けません。
さらに、余計なプラグインをガバガバ入れていると、ハッキングのリスクが高まるため、管理可能な最小限のプラグインを・・・となると、いよいよ Wordpress の良さがなくなります。
沢山のプラグインを使って、コメント欄などで相互交流しながら、楽しく便利な Wordpress のはずが、最小限のプラグインで、それもコメント無しでセキュリティの穴があかどうか戦々恐々しながら使うとか、、、
最終的に行き着いた結論
この状態がダラダラと1ヶ月ほど続いたため、結局、私はレンタルブログへの移転を決意しました。
そこで、どのレンタルサーバーに移転するのが一番良いのか考えました。
移転先のレンタルブログで必要な機能
- 独自ドメイン(各ブログはサブドメインで使用)を利用できる
(ドメインの変更は絶対にしたくなかった) - ムームードメインを利用できる
(ドメインの移管は手間とコストがかかるため) - できるだけ安い
(あくまでも趣味の範疇でやっているブログなので) - 挿入される広告をOFFにできる
(広告は少なければ少ないほど良いのと、できれば自分の広告を挿入したいため)
どのレンタルブログにするか決める
当然ながら、上の項目をすべて網羅しているレンタルブログはありませんでした。
あえて言うなら、FC2が一番近かったでしょうか。
しかしながら、FC2は使用中のムームードメインを使用できない可能性もあるので、かなり魅力的ではあったが乗り換え候補からは外れました。
(後で試しに契約してみて、できるようであれば乗り換えるかもしれません)
結局のところ、最終的に残ったのは、ライブドアブログでした。
ライブドアブログは、スマホ広告が消せない以外は、全ての条件をクリアしていました。
スマホ広告が消せないのが唯一の難点。
でも多分、アクセス数の非常に多い多数のブログの負荷を軽減するためには、スマホの広告を消さず、無料化することが一番だったのかもしれない。
(さもないと、相当なサーバー代金をとらないと全く割に合わないか、表示の遅延、503エラー出まくりなどの問題が起こっていた可能性があったのかも)
使用中のムームードメインを使って独自ドメイン(独自ドメインのサブドメインも)を設定できたのでかなり良かった。
(ドメイン設定のマニュアルページが存在したため、途中問題は発生したものの、安心して移転作業できた)
有料にすると全広告を消せるが、使用中の独自ドメインは使えない。
(Ameba Blogのドメインのみ使用可)
有料化することで、PC広告だけでなくスマホ広告まで全消しできるが、ムームードメインを使用したかったため、移転先としては選ばなかった。
ただ、FC2ブログでムームードメインの設定ができることさえわかれば、確実にFC2ブログを選んでいたと思う。
Wordpressからの乗り換えができるかどうかよくわからなかった。
また、ムームードメインで契約中の独自ドメイン(独自ドメインのサブドメイン)の設定ができるのかどうかもよくわからなかったので、乗り換え候補からは外した。
広告
