ECサイト運営者のセキュリティー対策いろいろ

ECサイトセキュリティー

この記事は約5分で読むことができます。

知り合いのECサイトのフォームメールが乗っ取られて迷惑メールが大量送信されたことがありました。

セキュリティーは、わりと意識ふつー系だったのですが 、そんなこともあったので意識を高めました。

まあ、意識を高く持っても対策しないと意味がないですけど。

そんなわけで、ECサイト運営者がおさえておきたいセキュリティー強化ポイントを。

サイトの常時SSL化

もはや定番中の定番ですが、いまだにSSL化(通信の暗号化)されていないサイトを見かけます。

無料のSSLがあるので、ポチッとするだけで簡単に常時SSL化ができます。

ショップサーブも無料のSSLを提供していますが、申込みが必要です。

SSL化

ちなみに、常時SSL化は独自ドメインを取得していることが前提です。

ワードプレスのログイン画面

いろいろなサイトを見ていて、「このサイトってワードプレスかな?」思いながらURLに「wp-admin」を入力。

するとこんな画面が。

ログイン画面

「やっぱりWPだ。」

なんてやったことある人多いと思いますが、この状態は実はかなりヤバい。。。

この画面を公開していると、悪いロボットちゃんが自動でログインを数千回、数万回と繰り返す恐れがあります。

安全性の高いパスワードを設定していたら、破られることは少ないと思いますが、不正アクセスの回数分サーバーに負担をかけちゃうんですよね。

そして、サーバー管理会社から「御社のサーバーの使い方ちょっとやめてもらえますか?(不正ログイン攻撃されてますよ。)」みたいなメッセージが入ることも。

BASIC認証をつける

できれば、このログインページを表示させる前にロックさせるのが良いです。

「BASIC認証」というのを導入します。

このようなやつです。

これだと2重ロックになるので、セキュリティーがさらに強化できます。

作るのは2つのファイル

メモ帳などで2つのファイルを作ります。

パスワードの暗号化

1つ目は、IDをパスワードを記録したファイルです。

こちらのサイトで、パスワードを暗号化させます。

IDは暗号化されません。

パスワード

「123」というパスワードも、このように複雑な暗号に変換されます。

でも、ログインのときの入力は「123」でOKです。

メモ帳に、上記画像の一行をペーストして、ファイル名を「.htpasswd」とします。

これをワードプレスの「wp-login.php」というファイルがあるフォルダに放り込んでおきます。

BASIC認証ファイル

次にBASIC認証のコードを、ワードプレスのindex.phpのフォルダに入っている「.htaccess」をローカル(パソコン上)に取り出します。

開いて、下記のコードをコピペして上書き保存します。

<Files wp-login.php>
AuthType Basic
AuthUserFile /home/store2000/www/.htpasswd
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
require valid-user
</Files>

元あったサーバーに放り込んで上書き保存します。

以上で完了です。

IDとパスワードをお忘れなく。ま、忘れてもFTPが使えればいつでも変更可能ですけど。

ちなみに2行目のAuthUserFile /home/store2020/www/ .htpasswd

この部分は、通常のURLではなく、何ていうんでしょうか?

ドメインが収納されている、そのサーバーのURL?

サーバーによって若干異なる場合があるので、マニュアル等を見てください。

上記は、さくらインターネットのURLです。