重要ファイルを外部流出させない工夫

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

こんにちは、WPホームページ研究所の運営サポートチーム(@WP_LABO)です。

本記事は注意喚起を兼ねたお知らせです。ごく稀にサーバー上で重要データが放置された状態になったまま情報が世界中へ公開されてしまっているケースが見受けられます。下記ではなぜ漏洩状態になっていたのかの考察と問題点について詳しくご紹介させていただきます。とても需要な内容となりますのでぜひご参考くださいませ。

重要ファイルを外部流出させない工夫

先日にお客様よりカスタマイズのご依頼を受けた際にサーバーへ接続すると驚きのデータを発見いたしました。これまでも何度かまったく同じ状況に遭遇しましたので念のためざっと解説いたします。

なぜ重要ファイルが放置されてしまうのか?

結論から言うと大半が「制作を担当していた前任者のミス」です。多くのパターンで「最終的にディレクターが削除すると思い込んでいた」といった小さなコミュニケーションエラーから起こる問題がほとんど。

カンタンに言えば「検索エンジンの拒否タグ解除忘れ」の致命的版ですね。筆者は過去にデザイナーだったのでワードプレス担当のプログラマーへ引き継ぎする際に伝え漏れがあるといった状況も理解できます。

裏側の事情はさておき運営者側としても本番へ公開する前はなるべく慎重にチェックしなければなりません。

コアにアクセスできる情報は厳重に扱う

下記の通りブラウザで開くと誰もが情報を知れる状態がウェブサイトをいつでも乗っ取れるパターンですね。

さらにログインするためのツールもサーバー上で公開していると丸ごとハッキングされる可能性は大。

上記の基本的なミスで数年運営したウェブサイトが一瞬で消えることもあるので注意しておきましょう。格安で外部へ業務を依頼する場合は特に念入りなチェックが必要です。作業者によってどんなツールを使ってアクセスするか方法はバラバラなのでご依頼時はしっかりと伝えるか納品後に確認する癖をつけてくださいね。

作業依頼後の簡易チェックシート

念のため下記にカンタンなチェック項目を残しておきます。

・ブラウザからアクセスできる場所に重要ツールを置いていないか?
・作業へ入る前一時的に設定変更した箇所を元の状態へ戻したかどうか?
・ログイン情報を共有している場合は納品後にパスワード変更したか?

外部への依頼時はなるべくパスワードを変えたり、個別アカウントを作って作業を依頼するなど行いましょう。

まとめ

本日は「重要な情報を漏洩させない方法」をご紹介させていただきました。

最近はデザイナーもプログラマーもまとめてクリエイターと呼ばれたり、総称してエンジニアと呼ばれることもありますよね。実際はそれぞれで得意な領域も違います。サーバーを扱える人はサーバーエンジニアなので作業を行う箇所や目の届く範囲も異なるためすべてを一緒くたにしてしまうといつしか大きな問題へつながります。

この機会に各業務の違いやセキュリティ面に興味を持ってもらえると幸いです。

最新式の無料プラグインを事前公開

WordPressは公式サイトに登録済みのプラグインだけで全機能を補足しきれません。当サイトでは使いやすさを追求した魅惑的なプラグインを無料でダウンロードいただけます。運営ホームページのマーケティング力をさらに高めるチャンスです。まずは無料でDLしてお試しくださいませ。
改良されたプラグインを確認する