あくまでも僕ががかかわるお客さんだけなのかもしれませんが、「セキュリティホール」とか「脆弱性」という言葉に、全く関心がありません。
一時期話題となったロリポップで運営しているWordPressに対して攻撃され、不正ログインされた跡がしっかりと残っているサイトに出会うことがそこそこあります。
よそでサイト作ったお客さんのWordPressの更新とかを頼まれたときに、なんかサイトが怪しいなぁ。と思いながらログインしてびっくり。
設定しているタイトルが思いっきり変わってるじゃないか…。って不正ログインされた証拠がわかるように残してあっても全然気づかないんですよね…。
(いや、見て見ぬふり?)
こういう時は「不正ログインされてますよ。ここ修正します?」ともちろんお客さんにききます。
でも、そこに費用が発生するとなると、修正することなく放置されていきます。
目次
なぜ不正ログインされるのか
そもそも、なぜ不正ログインされるのか。というところですが、ここは共通している部分が少なからずあります。
WordPressに限った経験しかありませんが、IDがadmin、パスワードが英字8文字程度の単語。
僕が経験したお客さんはすべてあてはまってました。
その理由としてはやはり「覚えるのがめんどくさい」というのがあると思います。
不正ログインを指摘した後「パスワード変えたよ」と言ってくるお客さんももちろんいます。
新しいパスワードを聞くと、中学校の英語の時間に習いそうな英単語がもう一つ追加されただけ…。
これじゃあまり効果的とは言えないと思うんだけどなぁ…。と心の中で思いながら、さらなる変更を求めます。
なぜ修正せずに放置するのか
不正ログインされているのになぜ修正しないのか。
それは「実害がないから」につきると思います。
不正ログインなにそれ怖い。
でも、今のところ問題ないし、そこにお金かけるくらいならページを追加しましょうよ。といった感じかな。
確かに被害にあってないし、そんなところでお金をとられるくらいなら、よりアクセスに、より売り上げにつながるようなことにお金を使いたいと思うんだろうなと。
強制的に修正するか
本来であればWordPressの利用に限らず、しっかりと自分たちのサイトがどういう状態にあるかを把握しておくのがベストだと思います。
ただ、そこまでの時間がないとかって理由をつけるのであれば、制作元と管理、保守の契約を結んでおくのがいいんじゃないかと。
その場合だと、マンションの修繕積立費と同じようなイメージで、毎月積み立ててる分からそういう対応してくれるんじゃないかなぁ。
僕個人としては、強制的にでも修正したいと思うけれど、その分費用をもらいたい。
でも費用が出ないから、放置。その時見積もった作業だけやって終了。
だって、一度でも無料でやってしまうと「この前、無料やったやん」って突っ込まれても何も言えませんし…。
お客さんへの教育が必要?
システムを使う以上、必ずバージョンアップやセキュリティホールに対するパッチなどなど、対応することがあるわけです。
本来であれば、その都度お金をいただく、もしくは毎月積み立てみたいな形でお金をいただくなどして、そこを対応していくのが一番いいと思います。
でもそこを渋られて、僕がかかわったサイトが見ただけでウイルスに感染するサイトなんてなった日にはたまったもんじゃありません。
そこで、お客さんへの教育です。
教育といっても、別に上から物申すわけじゃなくて、最低限安全な対策をとるために、IDはこうしましょう。パスワードはこうしましょう。といったところも打ち合わせの段階で入れておくことが重要なんじゃないかなと。
もちろん、たったこれだけで完璧ではありませんが、そうすることで、お客さんがサイトを運営していくうえでのセキュリティに対しての意識が変わってくれれば、後々費用が発生する状態になっても、「今、その更新が必要か」を理解して、ただ言いなりの対応じゃなく、納得してどう対応するかを考えてくれると思います。
おわりに
なんだかんだまとまりがなくなってきましたが、フリーランスで仕事をする身としては、やはり毎月積み立て型にしてもらえるとうれしいですよね。
ただ…
最初(サイトを制作した分の費用)から積み立てパターンでお支払いとなると、不払いになったときとか大変そうですけどね。
そうならないように契約書とかかわすんでしょうけど。
みなさん、ウイルスとかセキュリティホールとか、きちんと意識しておきましょうね。
大手だなんだ限らず、いつでも狙われているという認識を持つだけでだいぶ違いますよ。
参考:閲覧だけでウイルス感染も–不正アクセスでKADOKAWAのサイトが改ざん – CNET Japan
そいぎ~