サポート » 使い方全般 » パーマリンクの設定とセキュリティとの関係について教えていただきたい

  • お世話になっています。
    初歩的な質問ですが、よろしくお願い致します。

    サイトを作り始めたばかりなのですが、
    パーマリンクというのは、どうするのがよいのでしょうか。

    というのも、パーマリンクが理解できていないということもあるのですが、
    いろいろと調べてみると、デフォルトを避けるべき、
    といった内容をよく見かけます。
    (その理由が自分で理解できていないので、また問題ですが。)

    ただ、デフォルトだと、
    例えば、投稿者ページなどは
    /?author=2といったように、その人のIDがバレてしまうということがあり、
    こういった情報がURLで分かってしまうことが、
    もしセキュリティなどの問題と関わってくる、
    といったようなことがあったら不安だと思ったので
    質問させていただきました。

    質問が散らかってしまいましたが、
    パーマリンクをデフォルトにして、投稿者や記事のIDが
    分かってしまうのは、セキュリティに問題があるのか、
    ということが気になったので、教えていただきたいです。

    もし、/?author=2などが表示されても、セキュリティ面で
    問題が無ければ、個人的にはパーマリンクは
    そのままで行きたいと思っています。

    パーマリンクとセキュリティについて、
    またはパーマリンクだけでも嬉しいですが、
    情報など知っていることがありましたら、
    ぜひ教えていただきたいです。

    初心者の質問で申し訳ないですが、
    お答えいただけますと幸いです。
    よろしくお願いします。

5件の返信を表示中 - 1 - 5件目 (全5件中)
  • パーマリンクをどのように変更してもauthorは分かってしまうはずです(確か)

    セキュリティを気にされるのであれば
    パスワードを難解なモノにする
    Limit Login Attempts等を使う
    .htaccessで管理画面へのアクセス許可ホストを制限する

    等の対策を施してみてください。
    これらはセキュリティを気にせずとも最低限行なっておいた方が良いと思う対策です。

    ちなみに当方の場合、wp-login.phpにSSL無しでアクセスして来たら
    一発で48時間アクセス拒否するようサーバー側で制限を掛けています。
    48時間と云うと長すぎるかもしれませんが、大概は海外からのアクセスなので
    長時間拒否しても日本のユーザーには何ら影響無いと思っています。

    windows-userさん、
    お答えいただき、ありがとうございます。

    質問なのですが、
    パーマリンクをどのように変更してもauthorは分かってしまう
    ということですが、
    私が最初に示した?/author=2といったような、
    パーマリンクのデフォルトの設定であろうと、
    数字ベースなどで設定したパーマリンクであろうと、
    セキュリティに関しては、特に差がないという
    認識で大丈夫でしょうか?

    お答えいただけますと嬉しいです。

    パスワードを難解なものにする、などは行っているので、
    Limit Login Attemptsなどは
    参考にしたいと思います。

    こんにちは

    WordPressは、オープンソースで、常にバグの修正や改良が行われています。
    現在 3.6に向けて改修が行われている項目は、公開されています。

    http://core.trac.wordpress.org/report/6

    厳密な意味で、パーマリンクの設定が、一切のバグを含まないという事を言い切ることは、困難です。

    IDが知られるとやばいという発言は、ログインユーザー名の類推や、権限の類推に関するものがほとんどだと思いますが、それが類推されにくく努力する事は、悪い事ではなく、よりよい選択かもしれませんが、パーマリンクがセキュリティに直結すると考えるのは、極論だと思います。

    WordPressでWEBサイトを構築する場合、サードパーティのテーマやプラグイン、オリジナルのコーディングを行うと思いますが、そちらのほうが脆弱性の要因になる事が圧倒的に多いと思います。

    WordPressのプラグインなどの脆弱性リポートを行っているサイトの例

    http://wpsecure.net/

    なにを信頼し、自分のサイトに十分なセキュリティを確保するかは、ほとんどが制作者の考え方やスキルに依存します。

    Passwords and Brute Force

    上記のリンクは、WordPressに向けられるブルーとフォースアタックについて言及していますが、IP制限による セキュリティの確保という点にも疑問が表明されているようなので、

    単にプラグインを入れたから安心という事ではなく、自分なりに、どうすべきなのかという事に対する答えを探すことが大事だと思います。

    まずは、パーマリンクについて仕組みや使い方を理解する事がいいのではないかと思います。

    nobitaさん、ご返信していただき、ありがとうございます。

    パーマリンクについては、勉強不足の部分が
    まだまだあるように思うので、
    自分で勉強を重ねていきたいと思います。

    自分のサイトに対するセキュリティは、
    自分で今後も考えていきたいと思います。

    一つ気になったのですが、
    IDがURLで表示されるのは危険である、
    というのはいくつかのサイトやブログで示されていたので、
    今回のトピックでも書いたのですが、
    このような、パーマリンクのセキュリティに対する一般論のような
    ものはないのでしょうか。

    もちろん、今回のnobitaさんのおっしゃるように、
    考え方はそれぞれで、セキュリティに対して
    どのようなことをやるのか、という部分は
    人によって違うということも十分に理解しているのですが、
    例えば、今回のようなパーマリンクでIDが分かることで、
    どのようなセキュリティ面での問題があるか、
    ということを知らないと、判断も難しいと感じてしまいました。
    自分で調べても、IDを表示することのデメリットについて
    詳しく書かれている人を発見できませんでしたので、
    改めての質問になって申し訳ないですが、
    一般論という言い方ですが、気になりました。

    nobitaさんが極論とおっしゃっていただいたのですが、
    IDがURLでわかることで、
    どのような危険性が想定されるのか、
    といったようなことは、自分の経験などで
    知っていくしかないのでしょうか。

    長文ですいません。

    IDがURLで表示されるのは危険である、
    というのはいくつかのサイトやブログで示されていたので、
    今回のトピックでも書いたのですが、
    このような、パーマリンクのセキュリティに対する一般論のような
    ものはないのでしょうか。

    「いくつかのサイトやブログ」の管理者に問い合わせて、理由を明確にしましょう

    問題意識を持っている人に聞いたほうが、よりよい収穫があるかもしれません。

    また、著者アーカイブを表示する場合に、IDを秘匿するパーマリンク構造は、どのようにすれば実現できるかも、聞いてみるといいと思います。

    方法や理由が明確になりましたら、書き込んでください

5件の返信を表示中 - 1 - 5件目 (全5件中)
  • トピック「パーマリンクの設定とセキュリティとの関係について教えていただきたい」には新たに返信することはできません。