Wordpressを商用、企業利用する上で注意する点について
A OSSのセキュリティを高める方法
企業案件なのに、どうしてもwordpress使わないといけない場合 そうは言ってもセキュリティやサポートが気になるというのが現状です。
A-1 OSSの立場を明確にする
OSSで利用されている多くのライセンス形態であるGPLがwordpressでは採用されています。 自由に配布し、利用できる分、その責任やサポートの義務は無いというのがポイントです。
つまりは致命的なバグやセキュリティ問題があったとしても、そのサポートを依頼するベンダーがいないというのがポイントです。
A-2 セキュリティについての提案をする
セキュリティに関してはCMS側でできる物と外部にWAFなどを設定するなどの方法があります。
A-3 動作環境に対する考慮も必要
上記のとおり、wordpressの最低動作条件を見ると結構古いPHPでも動作します。 CMSのセキュリティ要件と言語やサーバの要件は別と考えておく必要があります。
※ 極端な話しをするとサーバ側のOSやミドルウェア自体もOSSがほとんどを締めています。完全にサポートが必要ならRedHatやウィンドウズ系のサーバを利用する必要があります。
A-3 出来ない事や限界をしっかり伝えましょう。
- 致命的なバグやセキュリティの問題に対してはOSSをささえるボランティアのバックアップは期待できますが、そこに迅速な対応は期待できません。
- セキュリティ保持には基本的にはお金がかかり有料です。
- 言語、OSミドルウェアは別の話しになります。