GMOペパボが提供する人気レンタルサーバーLOLIPOP! がセキュリティ診断サービスWPセキュリティ診断を公開した。ロリポップレンタルサーバーを契約している場合は1サイト500円から利用できる。
WPセキュリティ診断サービスの提供内容
サービスの特徴はざっと以下の通り。
- 毎日自動で診断される。
- 診断結果に異常があったらメールが届く。
- 診断結果のレポートが入手できる。
セキュリティの異常を修正してくれるわけではないが、異常があった場合にすぐ検知できるというのは助かる人も多いだろう。ロリポップのページでは「Web担当者・運営者」「Web制作会社」がターゲットとして挙げられている。特にWeb制作会社への訴求点として挙げられている点にグッとくるものがある。
・クライアントからサイトのセキュリティ対策を依頼された
・サイトの脆弱性にすばやく気付き対処したい
・サイトが安全であることをクライアントに証明したい
Webサイトをクラッキングされることを「障害」と考えると、障害対応の第一歩は「障害の検知」である。「自分はいま被害を受けている」ということを認識できなければ、障害を取り除くこともできない。実際、スパムの踏み台を数年単位で続けているWordPressサイトも少なくないだろう。そういう意味で、常時監視機能がついていることは大きな利点だ。価格も安く、クライアントワークなら月500円の出費はそれほど痛いものではない。
ざっとレビュー
さて、筆者は試しにロリポップで運営してるサイトで申し込んでみた。10日間までなら無料お試し期間があるようだ。申し込み自体はロリポップの管理画面から簡単に行える。
診断は毎日自動実行されるが、スポットで診断を行うこともできる。管理画面で表示されるのは次のような簡易的なレポート。
また、この診断結果はレポートしてPDFをダウンロードできる。見積もり項目に成果物としての文書を求めるタイプのクライアントにはうってつけの機能だ。
このセキュリティチェックはグループ企業のGMOペパボガーディアンがリリースした「サラマンダー」というサービスのAPIを利用しているようだ。レポートを見る限り、プラグインやテーマ、そしてコアの脆弱性情報をリストアップし、チェックしている様子。もしかしたらファイルのチェックサム(変更がないかどうかを保証するハッシュ値)確認なども行っているのかもしれない。
ただ、カスタマイズされたテーマは対応していないようなので、静的解析(ソースコードを解析して脆弱性がありそうな箇所を列挙する)は行っていないようだ。子テーマ、そしてクライアントワークで作成テーマ・プラグインは対象外となってしまう。このサービスを利用しても、「自分が作ったコードは安全か」までは担保されないので、別のアイデアが必要なのかもしれない。
WordPressのシェアも全Webサイトの39.1%に達し、もはやCMSを使わないサイト(静的サイト)の38.7%を上回るに至った。セキュリティの重要性はより増してくるはずなので、こうしたサービスは今後も増えてくることだろう。どこのレンタルサーバーも無料SSLを提供しているし、さくらインターネットのようにステージング機能を提供しているところもある。SSL・CDN・ステージング・バックアップ・セキュリティ診断が全部セットになったWordPressが月額1,000円です、というサービスも近いうちにでてきそうだ。
コメントを残す