ウェブ制作業界には怪しげなTipsが多々あるようです。

その中で最も酷いものは「バージョン番号を隠す」というTipsです。実際、そのような対策をされたサイトは比較的多く見かけます。

でも、それ「ダメ」です!

そもそも、攻撃者は攻撃対象を探すのに一つ一つサイトの情報を確認なんてしません。そんな面倒なことをしていては労多くして功少なしですからね。基本的には脆弱性を突くコードを作成して機械的に攻撃をしていきます。実際、当サイトはセキュリティ対策をかなりしっかりしていますが、アクセスログを分析すると攻撃コードは日常的に飛んできています。

ちなみに、当サイトはWordPressで作成されていますが、それ以外のCMSに対する攻撃コードも飛んできますし、そもそもブラウザベースのデータベース操作アプリ(例えばphpMyAdminなど)は入れていないのですが、それに対する攻撃コードすら飛んできます。

だいたい、怪しげなTipsを信じている人達は、そのTipsで対策したら安心しちゃうようで脆弱性とかを放置している例を見かけます。その結果、無残にも改竄されてしまうわけです。実際、改竄されたサイトを調査すると、そのような怪しげなTipsを信じたんだろうなという対策がされている事が多いのです。

バージョン番号を隠すことをしてはいけないとまでは言いませんが、それで安心してはいけませんという事です。先にも書いたとおり攻撃者視点に立てば理由は明白です。

まあ、そもそも怪しげなTipsを信じないで頂きたいというのが、情報セキュリティで飯を食っている人間から言えることではあります。その手のTipsって何故かウェブ制作をされる方のブログに書かれていることが多いので...