2016-03

そもそも「外部APIキー」とは何かまず前提をそろえましょう。外部APIキーというのは、Google MapsreCAPTCHA外部メールサービス（SendGrid など）決済サービス各種外部APIとい...

「投稿者権限の最小化」とは何をすることかまず言葉をほぐします。「投稿者権限の最小化」とは、“記事を書く人に、本当に必要な権限だけを与えて、それ以上は持たせないようにすること”です。WordPress ...

「管理者権限を乱用しない」とはどういうことかWordPress でいう「管理者権限（Administrator）」は、サイトのほぼすべてを操作できる、いわば「神モード」です。テーマやプラグインのインス...

なぜ「プラグイン脆弱性の監視」が超重要なのかまず一番大事なことから。WordPress サイトが乗っ取られる原因のかなり大きな割合は、「プラグインの脆弱性」です。理由はシンプルで、プラグインは機能が豊...

「ログイン通知を受信する」とは何をしているのかまずイメージからいきましょう。「ログイン通知」とは、誰かがあなたの WordPress アカウントにログインしたときに、メールなどで知らせてもらう仕組みで...

なぜ「テーマの脆弱性情報」を定期チェックする必要があるのかまず一番大事な前提から。WordPress のセキュリティ事故のかなりの割合は、「WordPress 本体」ではなく「テーマやプラグイン」の脆...

ブラウザキャッシュの「セキュリティ対応」とは何をすることかまず前提から整理します。ブラウザキャッシュ自体は「表示を速くするための仕組み」です。しかし、扱うページの内容によっては“セキュリティリスク”に...

Content-Security-Policy（CSP）は「サイトに読み込んでよいものを“ホワイトリスト化”する最強の防御壁」まず、CSP を一言でまとめると、「このページでは、どのスクリプト・画像・...

X-XSS-Protection は「ブラウザ側の簡易XSSフィルターのスイッチ」まず、X-XSS-Protection をざっくり一言でいうと、「ブラウザに備わっている“簡易的なXSSフィルター”を...

X-Frame-Options は「フレームに入れていいかどうか」を決めるスイッチまず、X-Frame-Options を一言でいうと、「このページを、他のサイトの <iframe> や <frame...

Mixed Content ってそもそも何？SSL を有効化してサイトを https:// で表示できるようにしても、ブラウザのアドレスバーに「保護されていません」「一部のみ安全」みたいな警告が出るこ...

「SSLを有効化する」とは何をしているのかまず言葉をほぐします。「SSLを有効化する」というのは、ざっくり言うと、サイトのURLをhttp:// ではなく https:// で動かすようにするそのため...

reCAPTCHA は「人間かボットかを見分けるフィルター」まず、reCAPTCHA を一言でいうと、「この操作をしているのは、本物の人間か？ それともボットか？」をチェックするためのフィルターです。...

セキュリティプラグインって、ざっくり何をしてくれるのかまずイメージからいきましょう。「セキュリティプラグイン」は、WordPress にとっての・見張り役（監視）・門番（ブロック）・健康診断（スキャン...

「ファイル変更監視」って何をする仕組み？まずイメージからいきましょう。ファイル変更監視とは、ざっくり言うと、「サーバー上のファイルが、いつ・どこで・どう変わったかを記録し、怪しい変更があれば気づけるよ...

なぜ WordPress に「ウイルススキャン」が必要なのかまず前提として、ここでいう「ウイルススキャン」は、PC に入れるウイルス対策ソフトと同じ発想を、サーバー上の WordPress ファイルや...

なぜ「不正ログインログの定期確認」がセキュリティ対策になるのかまず大事な前提から。セキュリティは「設定して終わり」ではなく、「ちゃんと見続ける」ことで強くなります。強力なパスワード2段階認証ログイン試...

REST APIって何をしているのかをイメージしようWordPress の REST API は、「ブラウザ以外のもの（アプリ・ツール・スクリプト）が、WordPress と会話するための窓口」です。...

XML-RPCってそもそも何者？まず「XML-RPCって何？」からいきましょう。WordPress のルートにある xmlrpc.php というファイル、見たことありますよね。これはざっくり言うと、外...