EC-CUBEやWordPressなどのCMSで懸念される問題の一つが、管理画面への不正アクセスによる機密情報漏えいのリスクだ。
今回はEC-CUBE3について、不正アクセスのリスクを軽減させるセキュリティ対策を紹介する。
基本のキ ログインID・パスワードの強化
これは言わずもがなであるが、ログインID・パスワードは推測の困難な強固なものに設定する。
「パスワード生成ツール」などを利用すると良い。
管理画面URLの変更
EC-CUBE3の管理画面URLはデフォルトだと「admin」となっている。
デフォルトURLは攻撃者から容易に推測されてしまうので、変更しておくことをおすすめする。
管理画面URLは以下のファイルを修正するだけで変更することができる。
/app/config/eccube/path.yml
admin_route: admin
↓
admin_route: ※推測されにくいURLに変更
ベーシック認証をかける
さらにガードを固めるのであれば、変更した管理画面URLにベーシック認証をかけておく。
ここまでやっておけば、不正アクセス対策としては十分と言えるだろう。