2025年04月12日

【制作実録③】HPを要塞化！？　セキュリティーにこだわった開発

はじめに：なぜ“要塞化”が必要なのか？
前回IP制限を掛けると、IPに変化があった場合管理できなくなる問題の続き

この問題に一瞬、思考が止まりました。
通常HPを管理する時、パソコンで行う為そこまでIPの変化を恐れなくともいい 実際、私のIPはほとんど変わっていない。
しかし、IPは数週間〜数か月で変わることもあり、そうなると管理が煩雑になってしまう。

WordPressとShopifyのセキュリティ事情を徹底比較

CMSの普及率と脆弱性リスクの関係性
WordPress：CMSシェア64.2%。圧倒的普及率ゆえに攻撃対象の筆頭

Shopify：セキュリティは高水準。しかしシェア上昇に伴い、攻撃の集中リスクが上昇中

EC-CUBE：過去に大規模サイバー攻撃で脆弱性露呈した事例あり

ワードプレスはその普及率から大々的な攻撃を受けています。

たいていの場合プラグインが攻撃対象となることが多い。

ログイン画面、データーベースと攻撃される場所はいろいろとあるが プラグインは常に脆弱性が見つけられ続け、そして世界に脆弱性が公開され続けその対策をアップデートし続けている。
ですので古いプラグインを使っていると危ない状況で放置する状態になる。

だが、製作者の一部はワードプレスの自動アップデート機能を止めたりする。 理由はエラー回避のため。 アップデートを自動でやると、古いPHPやJSなどが問題を引き起こしエラーを起こすことがあるのです。
その回避のためアップデート機能をわざと止めたりします。

そうです…とても危険ですよね？

普及率と安全性の関係性

ショッピファイの場合、セキュリティーは高い。
おそらくあらゆるCMSの中で一番と言っていいのだけど、普及率は6％弱程度になる そろそろ大々的な攻撃が始まる可能性もあり、万が一脆弱性が見つかった場合はむしろワードプレスよりも危ない。

ECキューブの前例もある。
万が一脆弱性を露呈し攻撃を受けてしまうと ワードプレスと違うのは引っ越しすらままならない・・・ 火事場で家財道具全部を捨てて逃げるがごとしになる。

どのプラットフォームを選択する場合でも、セキュリティ対策を怠らず、常に最新の対策を施すことが最も重要です。

このようにどんな素晴らしいセキュリティーもヒューマンエラーと普及率によって危険に晒される可能性があるって話ですね。

オリジナルCMSのセキュリティ性能とは？意外と安全な理由

上記あるように普及率が上がると脆弱性が露呈しまう可能性も高くなる。
そもそも巷のHTMLとPHPで作ったお問い合わせフォームがガチガチに作られたワードプレスよりも セキュリティが高いはずがない。 だが、現実はワードプレスの方が危ない状態だ。

大企業でもない限り、ある程度のセキュリティでも十分威力を発揮する。 理由はBOT攻撃にある。

通常BOTは余程高性能のでない限り、攻める場所。攻めるポイントを絞ってくる。 例えばワードプレスならadminだとかURLで言うとcontactなども攻撃対象となる。 contact＝お問い合わせ　があると知られているのですね。 そうする事でより攻撃者は効率的に多くの攻撃をする事ができるのです。

IP制限・API認証・データレス構造による多層防御の実態

散々寄り道をしたけど、私の方は・・結論からいうと「IP制限」は実装出来ました。 しかも、ちゃんと登録、管理、目視によるチェック、などよりパワーアップする形で

そしてほとんどの操作系機能にAPIによる制限を設け、毎日APIが変わる仕様、改ざん検知などなど

正直オーバースペックのセキュリティを搭載しています。
せいぜい（IP以外の）ログ監視機能を入れてないってくらいなもの

そもそもになりますが、基本サーバーには攻撃材料となるめぼしいものは入れてません。 お問い合わせ機能はあるがメール機能が無いためジャンプ台にされることもなく データーベースも無いため、重くなることも攻撃される事もなく、サーバーに管理画面が無いためID,パスを狙われるフィッシング詐欺にあうこともない、なによりHTMLなので軽量コンパクトで楽ちんです。

今後EC機能などを実装する時にVPSなどを扱うこともあると思いますが サイト製作をするには十分すぎるセキュリティーとなっております。