EC-CUBE4 管理機能
設定>システム設定>セキュリティ管理
セキュリティ管理の概要
EC-CUBE4の管理画面へのアクセスに制限を掛け、セキュリティを高める為の設定機能です。
セキュリティ機能設定画面
デフォルトでは、以下の状態で設定されています。
- 管理画面URL・・・・・・・インストール時に設定した文字列
- 管理画面 IP制限(許可リスト)・・・・(未設定)
- 管理画面 IP制限(拒否リスト)・・・・(未設定) 4.1.0から利用可能
- フロント画面 IP制限(許可リスト)・・・・(未設定) 4.2.1から利用可能
- フロント画面 IP制限(拒否リスト)・・・・(未設定) 4.2.1から利用可能
- SSLを強制・・・・・・・・(未設定)
- 信頼できるホスト名・・・・(ホスト名) 4.1.2から利用可能
つまり、管理画面へのアクセスはログインIDとパスワードによる認証でのアクセス制限のみ、フロント画面へはアクセス制限なしの状態となります。 管理画面へアクセスするIPアドレスが決まっている場合は、IP制限(許可リスト)に設定しておくとよいでしょう。
4.1.0から、管理画面 IP制限(拒否リスト)を設定できるようになりました。管理画面へアクセスさせたくないIPアドレスがわかっている場合(不正ログインのアタックを繰り返されるなど)は、IP制限(拒否リスト)に設定しておくとよいでしょう。
4.2.1から、フロント画面 IP制限(許可・拒否リスト)を設定できるようになりました。管理画面へのアクセス制限同様、フロント画面へアクセスさせたくないIPアドレスが分かっている場合(クレジットマスター攻撃などの不正アクセスが認められるなど)は、IP制限(拒否リスト)に設定しアクセスを禁止できます。
不正ログインや疑わしいIPアドレスからのログインは、4.1.0で追加されたログイン履歴で確認ができます。 詳しくは本マニュアルサイトの「設定>システム設定>ログイン履歴」を参照してください。
信頼できるホスト名は、4.1.1まではインストール後にサーバーへ入り.envファイルへ設定する必要がありましたが、4.1.2からインストール時に自動設定されるようになり管理画面でも設定が可能になりました。
ワンポイント
SSL制限を強制的に有効とする場合、管理画面へのアクセスがhttps通信によるログインでなければ設定できません。
httpsによる通信にはSSL証明書を取得後、サーバーへの設定が必要になります。
WEBサイトデータのSSL暗号化通信については、Google検索エンジンのアルゴリズムにも採用されたこともあり、さらにApple製端末からはTLS1.2以前の旧バージョンの通信プロトコルを利用しているWEBサイトについてはブラウザの起動すらさせない・・・というような方向に流れつつあり、SEO的にもサイト全域のSSL化は必須の項目となっています。
一般的にSSL証明書の取得は年間費用が数千円~十数万円の有償証明書の購入が必要ですが、専用サーバーやVPSサーバーなどでroot権限があるサーバーであれば、非営利団体のISRG (Internet Security Research Group)が運営する、Let's Encryptという無償利用可能な証明書も2016年4月から利用可能となっています。
Let's Encryptは、TLSやhttps通信を普及させる事を目的としたプロジェクトです。
ただし、現時点3か月程度ごとに証明書の再設定が必要になります。