WordPressを商用、企業利用する上で注意する点(セキュリティ対策やOSSの制限について)

WordPressを商用、企業利用する上で注意する点

A OSSのセキュリティを高める方法

企業案件なのに、どうしてもwordpress使わないといけない場合
そうは言ってもセキュリティやサポートが気になるというのが現状です。

A-1 OSSの立場を明確にする

OSSで利用されている多くのライセンス形態であるGPLがwordpressでは採用されています。
自由に配布し、利用できる分、その責任やサポートの義務は無いというのがポイントです。

つまりは致命的なバグやセキュリティ問題があったとしても、そのサポートを依頼するベンダーがいないというのがポイントです。

A-2 セキュリティについての提案をする

セキュリティに関してはCMS側でできる物と外部にWAFなどを設定するなどの方法があります。

A-3 動作環境に対する考慮も必要

上記のとおり、wordpressの最低動作条件を見ると結構古いPHPでも動作します。
CMSのセキュリティ要件と言語やサーバの要件は別と考えておく必要があります。

※ 極端な話しをするとサーバ側のOSやミドルウェア自体もOSSがほとんどを締めています。完全にサポートが必要ならRedHatやウィンドウズ系のサーバを利用する必要があります。

A-3 出来ない事や限界をしっかり伝えましょう。

  • 致命的なバグやセキュリティの問題に対してはOSSをささえるボランティアのバックアップは期待できますが、そこに迅速な対応は期待できません。
  • セキュリティ保持には基本的にはお金がかかり有料です。
  • 言語、OSミドルウェアは別の話しになります。