アカウントロックプラグイン(管理画面ログイン)

EC-CUBEの管理画面におけるセキュリティ対策を強化し、不正アクセスを防止するための重要な機能を提供するツールです。

EC-CUBEの管理画面のログインにおいて、以下のセキュリティ対策機能を提供します。

1. アカウントロック機能
不正ログインの試行を検知し、同一のアカウントIDにて、一定回数以上連続でログイン失敗した場合、アカウントを一時的にロックします。
この機能により、ブルートフォース攻撃やパスワードリスト攻撃のリスクを低減します。

EC-CUBEを安全にご利用いただくためには、ご利用の環境にあわせて正しくセットアップされていること、既知の脆弱性などのパッチやバージョンアップがされていることが大切です。
セキュリティ対策について、特設ページを開設しております。
チェック方法から対応方法まで、セキュリティ対策の流れをご案内していますので、合わせてご確認いただけますようお願いいたします。

操作方法は以下をご確認ください。

■アカウントロック
- 設定方法について
1. プラグイン設定画面でアカウントロックプラグインを有効化します。

以上で設定は完了です。

- ログインについて
1. 正しいIDを入力し、誤ったパスワードで一定回数ログインに失敗すると、アカウントが一定時間ロックされます。

以上で設定は完了です。

・本プラグインは、EC-CUBE 4.0/4.1系で動作します。
・本プラグインのファイル構造は以下になっております。
導入前に権限設定やカスタマイズの影響をご確認ください。

■ファイル構造
アカウントロックプラグイン
├── Entity
│ └── MemberTrait.php
├── EventListener
│ └── LoginListener.php
├── README.md
├── Resource
│ ├── config
│ │ └── services.yaml
│ └── locale
│ ├── messages.ja.yaml
│ └── validators.ja.yaml
├── Service
│ └── MemberLockService.php
└── composer.json

■アカウントロックの仕様について
アカウントロックがかかる連続失敗回数や解除時間は、以下で設定されています。
対象ファイル:
app/Plugin/AccountLock40/Resource/config/services.yaml
--------------------------------
/** 許容ログイン連続失敗回数 */
LOGIN_FAIL_LIMIT: 10
--------------------------------

デフォルトは10回で設定。"10"の部分を任意の値に変更できます。

--------------------------------
/** アカウントロック解除時間(分) */
ACCOUNT_UNLOCK_TIME: 30
--------------------------------
デフォルトは30分で設定。"30"の部分を任意の値に変更できます。(単位:分)

設定ファイルは以下になります。
・app/Plugin/AccountLock40/Resource/config/services.yaml
このファイル内の「eccube_file_uploadable_extensions」を編集することで、アップロード可能なファイルの種類を制限できます。

ご利用の際になにかエラーが発生しましたら、エラーログと環境情報をこちらへご連絡ください。

アカウントロックプラグイン(管理画面ログイン) ver1.0.0を公開しました