考えた(About:CMS運用)

当文書は、ブログ『足の踏み場もない雑文倉庫』、最後のエントリー『考えた(About:ブログ廃止)』の加筆、修正を加え、転載したものです。僕に手書きHTML化への道を急がせ、混乱を招いた(とは言いつつ、それもやはり自分自身による)思考について言及しています。

とりあえず、公開時原文

こんな感じ。(引用元は現存しません。)

ここ数日、世間を賑わせているのは、例の脅迫カキコの冤罪事件だ。

もちろん、乗っ取られたPCの主らにも、無用心に信頼性の不明なアプリケーションを入れるという、絶対にやってはいけないことをやってしまった(しかし、特にWindowsユーザというのは、それを平気でやる。僕もそうだった)という落ち度はあるものの、何らかの手段を用いてネットに接続している一人として、他人ごとでは、決してない。

そして、それらの件とは直接の関係はないにしても、インターネット全体の安全性という事を考えようとした時に、我々のようなサイト運営者も、他人ごとではいけないんだろうと思うのである。

そこで、先々日か、うちのサイトのホスティングをお願いしているSAKURAインターネットさんからのメールについて話をしたのだが、この件について、我々は、『ええ、そうなんですか。でも、Wordpressもアップデートしてるし(現に、今現在、最新の日本語版で運営している)、どうしろっていうんですか?』ではいけないんだろうと思う。

こういう時に、私は、己の無能を呪うのだ。

ウェブプログラムに長けた人であれば、ウェブサーバ、httpサーバの扱いに長けた人であれば、その才を遺憾なく発揮し、悪意に負けないウェブサイトの運用ができるのだろう。

ただ、プログラミングについて疎い僕には、それはできそうにない。仮に何らかの努力をしたところで、『ローマは一日にしてならず』の諺の通り、やはり、時間がかかる。焼き付け刃では、どうにもならない。

WordPressとて万能ではないので、いかに優秀な才能が集って作ったものであったとしても、扱う人間がバカだったらどうしょうもない。そのくらいのことは『バカはバカなりに』わかっている。いや、分かりたくはなかったけど、こうなってしまっては、分からないとしらを切るわけにもいかないだろう。

しかし、HTMLならば、HTMLだけならば、なんとか手に扱える。更に、僕の手の届かない機構については、ホスティング主のSAKURAインターネットさんが何とかしてくれるだろうと信じ、このサイトのすべてを身の丈に戻そうと考えている。

もともと、遅かれ早かれ、手書きに戻す気ではいた。ただ、昨今のウェブの危なっかしさを受けて、急に、いやがおうにも、一人ひとりのサイト製作者に、抜き打ち的に管理能力を問われている空気を感じた僕は、決断を急いでいるのである。

問題は、いつからにしようか、という事のみなのだが、現段階で書き上がっているHTMLページだけを上げて、今すぐにでも、このWordpressというサーバサイドプログラムをアンインストールするか、あるいは、もうちょっと新しいページが出来上がってからにするのか。

いつからにしよう。

世の中には、僕のように『プログラムとかには疎いけど、他所でサーバを借りて、WordpressなりMovableTypeなりを動かしてます』という人たちは、いると思うんだよな。そういう人たちは、現状を、どう見ているんだろうか。

考えた(About:ブログ廃止) - Low man's Lyric(現・ぐらさん家のガラクタ倉庫)より引用。引用元、現存せず。

ここまでが、僕が、Wordpressにて構築したブログに綴った、最後のエントリ。

加筆と弁明と僕の思いと

相変わらず、誤解を受けそうな文章なんで、言い逃れ、基、いろいろ弁明させてください……。

SAKURAインターネットさんからのお便り

そもそも、話のきっかけになった、SAKURAインターネットさんからのお便りが、一体、どんなものだったかというのを、もう一度振り返りましょう。全文引用に気が引けるので、大まかな内容を箇条書きにします。

  • 昨今、バージョンアップされていないプログラムなどの脆弱性を突いて、ウェブサーバを乗っ取る事案が増えている。
  • 中でも、Wordpressがその標的にされる案件が、特に増えている。
  • 不正アクセスの踏み台にされてるウェブアプリが見っかったら、こっちの判断で勝手に止めるよ。怒んないでね。

こういうこと。

だから、すべての話の前に、そういうサーバサイドプログラムの更新をしないバカがいて……から始まる話だったんですけどもね、という脚注は必要だったかも知れませんね。

しかし、Wordpress開発チームとて超人の集いではなく、穴を見つけてから埋めるにも、それなりに時間を要するし、攻撃に追いつかないこともあるので、注意や警戒、パッチが追いつくまでの対策をするに越したことはないし、それをするには、やはり、それなりの知識とか、技術とか、手間とか、費やさなきゃいけないものはたくさんあるでしょう。

僕は、自分自身で、そこまでできる自信がない、という部分を、このメールで再確認してしまったと、そういうわけです。

Wordpressは悪くない!

さすがに、これについては、言わずとも分かってもらえると思うんですけどね。

あれだけ、簡単で、便利なCMSウェアですから、当然、いろんな人が評判を聞きつけ、ダウンロードして、自分のウェブサーバで動かしてると思うんですが、さすがに、これだけ広まると、例えば、僕のように、技術的に疎い人も使っていると思うのです。

そうした時に、仮に、ウェブサーバが、Wordpressというブログラムを利用して、悪意の人に乗っ取られた場合、我々、無知なユーザには、取り得る対策がないわけで。ということを言いたかっただけなのです。

静的サイトだったら安全か?

僕が、件の文章で『手書き』と言ってるのは、いわゆる、CGIなどのサーバサイドプログラムを使わない『静的なサイト』のこと。線引きは人によってまちまちでしょうが、僕の言う『静的サイト』は、javascriptさえ含まない、純粋なHTMLとCSSオンリーなサイトを指しています。

という前提に立って、じゃあ、CMSみたいなんじゃなくて、静的な(≠性的な)サイトなら安全なのかっつーと、もちろん、まるっきりそうでもないんでしょうが、少なくとも、自分の無知のせいで、自分で置いた物を使って踏み台にされる、的なことはなくなるでしょう。

問題は、何が安全で何が危険かと言うより、まずは、自分でサーバに置いたものについて、きちんと分かっているか、いないか、ということなのです。ここが一番の鍵です。

自分で入れたものについて、知識と技術を持ち、有事に責任をとれるならいいのですが、僕には、そういう技術がないのです。

僕の身の振り方

というわけで、僕は、完全に、勝手CGI不使用の、完全手書きサイトへ移行しました。短期的に、ライブドアだの、アメーバブログだのに引っ越す選択肢も、ちらっとは考えたんだけど、もともと、手書きに戻したかったので、これでよかったと思っています。

SAKURAインターネット様、そういうわけで、今後共、よろしくお願いしたします。ああ、でも、ひとつ言いたいんだけど、大事なお知らせのメールをくれる時には、ちゃんとした電子署名のついたメールでもらえないものかな。

Wordpressさん、申し訳ない。こんなお別れになってしまったが、でも、僕は言い続けるよ。本当に使いやすいCMSウェアはWordpressだって、僕は言い続けるからね!