謹賀新年

昨年WordPressセミナーに多くの方にご参加いただき、ありがとうございました。

本年も、よろしくお願い申し上げます。

さて、新年早々WP界隈で興味深いニュースを見かけました。

実は、アメリカのホワイトハウスのHPにワードプレスが使われていると言うのです。

https://www.whitehouse.gov/

セキュリティ要求の高い状況ではWPを使うのは避けるべき、というのはWEBデベロッパーの共通認識になっており、その理由としては

・オープンソースであり、セキュリティホールを解析され狙われる可能性が高い

・普及率が高く、侵入者側もノウハウを蓄積している

・外部プラグインにもリスクが存在する

などであり、当セミナーでもそのようにお伝えしております。

そこへ来て、全米でも最も強固なセキュリティを施すべき施設であるホワイトハウスが唐突にWordPressを採用する(実際にはDrupalからの移行)とはどういう事情なのだろうか?ということで推測が駆け巡っているようです。

直接の関係者からのコメントは得られず、すべて推測の域なのですが、ソースを解析すると( Chromeのインスペクタなどで簡単に確認することができる)ホスティング自体はWPのサーバではなくCDN(コンテンツ配信ネットワーク)から配信され、侵入に対してかなり強固な体制になっているようです。

つまり、一般のWPサイトのようにWPコア(やプラグインのコア)がページを生成するのではなく、静的化したhtmlコンテンツとしてデリバリーされており、その関係でWPの管理画面から侵入したりコアファイルをハックすることが事実上不可能になっています。ある意味管理画面やコアファイルそのものがオンライン上では存在しないので、これまで散々サイトオーナーを悩ましてきた様々なハッキング技法が歯が立たないわけです。

あたかも、WPをコンテンツ生成と管理のためだけに使っているということで、セキュリティを高めるための、こうした利用方法が今後ますます増えてくるのではないかと予想できます。

もちろん、このような高いレベルのセキュリティでの運用については、インフラやコンテンツ配信のノウハウが求められますので、どんな場合でもこのような運用が出来るわけではありません。

いずれにしても、WordPressを巡る「常識」が覆された(もちろん、これは特殊な事例ではあるのですが・・・)と言っても良い、インパクトの大きいニュースでした。

ちなみに我が国の安倍晋三大先生のサイト

https://www.s-abe.or.jp/

こちらも何と、WordPress製でした!

ただし、こちらは使われているスクリプトなどがずいぶん古いですし、セキュリティの方は万全なのか、ちょっと心配になりますね。