知り合いのECサイトのフォームメールが乗っ取られて迷惑メールが大量送信されたことがありました。
セキュリティーは、わりと意識ふつー系だったのですが 、そんなこともあったので意識を高めました。
まあ、意識を高く持っても対策しないと意味がないですけど。
そんなわけで、ECサイト運営者がおさえておきたいセキュリティー強化ポイントを。
サイトの常時SSL化
もはや定番中の定番ですが、いまだにSSL化(通信の暗号化)されていないサイトを見かけます。
無料のSSLがあるので、ポチッとするだけで簡単に常時SSL化ができます。
ショップサーブも無料のSSLを提供していますが、申込みが必要です。
ちなみに、常時SSL化は独自ドメインを取得していることが前提です。
ワードプレスのログイン画面
いろいろなサイトを見ていて、「このサイトってワードプレスかな?」思いながらURLに「wp-admin」を入力。
するとこんな画面が。
「やっぱりWPだ。」
なんてやったことある人多いと思いますが、この状態は実はかなりヤバい。。。
この画面を公開していると、悪いロボットちゃんが自動でログインを数千回、数万回と繰り返す恐れがあります。
安全性の高いパスワードを設定していたら、破られることは少ないと思いますが、不正アクセスの回数分サーバーに負担をかけちゃうんですよね。
そして、サーバー管理会社から「御社のサーバーの使い方ちょっとやめてもらえますか?(不正ログイン攻撃されてますよ。)」みたいなメッセージが入ることも。
BASIC認証をつける
できれば、このログインページを表示させる前にロックさせるのが良いです。
「BASIC認証」というのを導入します。
このようなやつです。
これだと2重ロックになるので、セキュリティーがさらに強化できます。
作るのは2つのファイル
メモ帳などで2つのファイルを作ります。
パスワードの暗号化
1つ目は、IDをパスワードを記録したファイルです。
こちらのサイトで、パスワードを暗号化させます。
IDは暗号化されません。
「123」というパスワードも、このように複雑な暗号に変換されます。
でも、ログインのときの入力は「123」でOKです。
メモ帳に、上記画像の一行をペーストして、ファイル名を「.htpasswd」とします。
これをワードプレスの「wp-login.php」というファイルがあるフォルダに放り込んでおきます。
BASIC認証ファイル
次にBASIC認証のコードを、ワードプレスのindex.phpのフォルダに入っている「.htaccess」をローカル(パソコン上)に取り出します。
開いて、下記のコードをコピペして上書き保存します。
<Files wp-login.php>
AuthType Basic
AuthUserFile /home/store2000/www/.htpasswd
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
require valid-user
</Files>元あったサーバーに放り込んで上書き保存します。
以上で完了です。
IDとパスワードをお忘れなく。ま、忘れてもFTPが使えればいつでも変更可能ですけど。
ちなみに2行目のAuthUserFile /home/store2020/www/ .htpasswd
この部分は、通常のURLではなく、何ていうんでしょうか?
ドメインが収納されている、そのサーバーのURL?
サーバーによって若干異なる場合があるので、マニュアル等を見てください。
上記は、さくらインターネットのURLです。
