こんにちは。
みなさんはWordPressを使っていますか？

今日は、WordPressの更新方法に関するセキュリティリスクについてお話します。

接続形式としてFTPは避けるべき

wordpressとそのプラグインは
セキュリティや機能改善のため
時々バージョンアップします。

wordpressの管理画面から更新作業を行おうとすると
以下のような画面が表示されることがあります。

このとき接続形式にFTPを使うとパスワード漏洩の可能性があるので、
パスワードを他人に知られたくない場合はFTPを使わないでください。

FTPは、パソコン同士をネットワークでつないで、
ファイルをやり取りする仕組みです。
その際、パソコン同士をつなぐためのパスワードや、
ファイルの内容を暗号化せずにやりとりします。
ですから、通信を盗聴している人がいれば
簡単にパスワードを知られてしまうのです。

パスワードを知られてしまうと
wordpressによるwebサイトやブログが乗っ取られたり
犯罪の踏み台に使われることがあります。

どうしてもFTPを使わねばならないときは
通常はFTP接続を無効化しておき、
接続が必要になるたびにその場限りのパスワードを用意します。
更新のためだけにFTP接続を有効化し、
更新が終わったらすぐにFTP接続を無効化します。

セキュリティの基本

ところで、FTPを使ったからといって必ず被害にあうわけではありません。
実害を被る可能性は高くはないかもしれません。

では、もし実害を被ったら、それはどのくらいの害になるでしょうか。
個人のブログであれば、記事やコメントを全て消されたとしたらどうでしょう。
法人であれば、サーバが乗っ取られて犯罪の踏み台にされ、警察の操作が入ったらどうでしょう。
いざというときに失うものの価値は大きいでしょうか？

セキュリティでは以下の2点を考えます。

• 実害がどのくらいの頻度で発生するか
• もし実害を被ったらどのくらいの損失になるか

例えば、以下の2つでは被る損失が同じになります。

• 『毎日』『1万円損』する
• 『1年に1回』【365万円損】する

ですから、実害の『頻度』だけでも、実害の『大きさ』だけでもなく、
二つの要素の両方を勘案してセキュリティ対策の必要性を考えます。
上の例でいえば、セキュリティ対策が毎日1万円以上掛かるなら
対策しない方が良いと言えます。

セキュリティ対策には必ずコスト(お金や手間)が掛かります。
今日ご紹介したセキュリティリスクとその対策が、
みなさんがセキュリティ対策を考えるときにご参考になれば幸いです。

お問い合わせについて

業務として技術コンサルティングやシステム設計・開発を行っております。

• 既にFTPを使ってしまった後だが、どうしたらよいのか？
• FTPSの使い方が分からない。
• インターネットで調べた安全とされる方法を使っているが、本当に安全なのか知りたい。

など、気になることがありましたらご相談ください。
ご相談のみで完結する場合、コンサルティング費用の目安は内容によりますが1時間で5千円〜1万円ていどです。
WordPressやFTPに限らずセキュリティに関して気になっていることがあれば、セキュリティ、コンサルティングや開発の前に、まずはお気軽にコメントやメールでご連絡下さい。
※ご契約前のコメントやメールでのやりとりは無料です。