wordpressサイトのセキュリティ補償について
例えば、ワードプレスで作ったサイトを納品し、
・定期アップデートの費用を貰って、コアとプラグインは月1でアップデートするようにしてる。
・でもブルートフォースアタックとかゼロデイ攻撃でクラックされて、様々な被害が出た。
そんな場合、復元作業の費用はどちらが持つべきでしょうか?
私の考えとしては、セキュリティの施策はあくまでリスクを低くするためであって完全に防ぐことは不可能であり
サイバー攻撃によって発生した費用はお客さん持ちという考えなんですが。
ワードプレスに限定しなくてもよいのですが、
みなさんはセキュリティに関する取り決め・補償はどのようにされてます?
一緒に読まれている質問
- W3QはTters内にてサービス継続中です。今後とも当サービスをご愛顧のほど、よろしくお願い申し上げます。
- CSSのpadding-topで画像のアスpeクト比が調整できる仕組みがバカだから全然理解できないままとりあえず使ってる...
- ディスクリプションとかキーワードとかseo的になんの効果もないのに聞きかじった知識披露するクライントって何なんだろうこん...
- 単発の案件で作った Slack のワークスペースって終わったらどうしたらいいん? 継続して取引のあるクライアントなら残し...
- 一般的にiPhoneユーザーってGoogleアカウント持ってるもんなの?特に20代~30代で。肌感でもいいから教えてくだ...
20 件の回答
サーバの管理まで含めて契約している場合は、サーバにバックアップオプションつけて無償復旧対応してます。
サーバ管理といっても、うちはポンコツのレンタルサーバ借りて、お客様の代わりに契約更新するのと、WPのバージョン管理、プラグイン管理だけなので、ほとんどレンタルサーバ代に毛の生えた程度しかもらってないですが。。
契約時に保障範囲を明瞭にしておけばいいんじゃない
セキュリティの専門でもないかぎり一般的なパッチを適用するとかしか出来ないし
客がそれ以上を求めるならそれに見合う企業に頼んで
見合う費用かけてもらうしかないよね
Re:2
ご回答ありがとうございます。
管理費内に含めてるんですね。
あんまりもらってないのに、その辺の責任も負わされると怖いですねぇ。
Re:3
ご回答ありがとうございます。
契約時に線引きは決めとこうと思うのですが、どの辺が一般的なのかなと思いまして。
セキュリティを専門にしている業者さんって関わってる仕事で被害が起きた場合、損害賠償とかするもんなんでしょうかねぇ。
そのリスクってどんどん高くなってるような気がするんですよね。
どっちにもとれるね。
たとえば、クライアントがセキュリティを重視していてコストがあるにも関わらず、制作側が運用システムにWordPressを勧めたとしたら、かなり大問題だ。Wordpressとはいわゆる廉価商品の代名詞であって、そもそもWordpressにセキュリティを求めるのが誤りだからだ。
しかしながら、問題発生後に、クライアント側が制作側を正当に訴えることができるかといえば、おそらく難しい。制作側は逃れられてしまう。Wordpressを扱う業者は特に程度の低いのが集まってるから、制作者選びには慎重になりたい。
Re:6
トピ主です。
ご回答ありがとうございます。
Wordpressはセキュリティだめなんですかね。アクセスログとかみてると狙われてるのは感じます。
でもコアのアップデートとかは手厚いんで、他の主要なCMSや自前のCMSより安心な部分もあるかなとも思います。
まずWordPressは選択する時にそのようなセキュリティリスクを十分に説明し、契約書などの文章にて合意を求めるべきだわな。これはWordPressに限らない。サーバーとかAPIとか他のサービスでも同様だし。
Re:8
トピ主です。
ご回答ありがとうございます。
お客さんは1度作ったら、動作し続けて当たり前って感覚な事、結構ありますね。
その辺の説明も大事ですよね。下記ページがまとまってて参考になりました。
Webサイトを良い状態で持続させるために必要な運用保守|LIG
https://liginc.co.jp/257438
契約時に話をしとけば、サイバー攻撃被害の費用負担はお客さんということでも、おかしくなさそうですね。
Re:7
コスパが良いという話と、セキュリティがしっかりしてるという話は、だいぶ違うと思うんだ。当然WPは前者だよね。それともすばらしいWPは無料なのにとてつもないセキュリティを確保してるってか。
Re:11
セキュリティに万全をきすなら、他のフレームワーク・CMSが良さそうですね。
でもWordpressも無料としては余りあるくらいにセキュリティの事も念頭において開発されているとも感じています。
Wordpressが狙われやすい理由って、利用者が多い+オープンソースなので構造を知られている、というのが大きいと思っているのですが、作りの部分で他のCMS等より脆弱な部分ってどのあたりなのでしょう?
Re:13
Windowsと比較するとわかりやすいと思う。
1. Windowsはウィルスの温床だが、システムが脆弱なわけではない。
2. Windowsはビジネスモデル(他社介入)が脆弱だからウィルスの温床になる。
3. しかし、多くの人は、Windows以外の選択肢を持たないから、Windowsは利用される。
WordPressの場合は、Windowsの例の1、2は、当てはまるが、3は当てはまらない。それ以外の選択肢があるからだ。当てはまらない理由があるとしたら、ユーザー側(クライアント)ではなく、制作者側の能力に所以する。だから、制作者の無知は罪だ。
Re:13
議題からはそれるけど、WPのコスパがいいのは、初動だけで、WP以上の機能(セキュリティなど)を積もうとした途端に、フルスクラッチよりもコストが高くなってしまうものだから、セキュリティが最優先事項にあるなら、やはり、WPを選択する理由がない。最初からセキュリティにコストを書けて、CMSをスクラッチしたほうが安い。
Re:15
拡張していく中で脆弱性が生まれやすいという感じですかね。
詳しくありがとうございます。
WordPressに限って、そういう保守を組むのは自爆だと思っているので、WP案件は作りっぱなしでいい案件しか請けないねぇ。
馬鹿みたいにアタック受けるし、アプデ多いし、WP案件の保守費用なんて知れてるし。
Re:17
ご回答ありがとうございます。
自分もそう思う部分はありますね...
Re:6
またアンチWPが湧いてるのか
Re:19
アンチWPって…。WordPressに保守性を求めるのは無理がある、というのはごくごく一般的な見解として正しいだろ?
Re:19
君はWP信者なのかな?
悪いものは悪い、良いものは良いと言える人間になれるといいね。
あばたもえくぼな人に論説しても意味ないけど。