商品情報
EC-CUBE管理ログイン画面の前にBasic認証風の追加認証を設けられるプラグインです。
.htaccess不要で管理画面から設定でき、管理画面URLが知られた場合の不安を軽減し、日々の運用にもう一段の安心を追加できます。
このプラグインでできること
本プラグインは、EC-CUBE管理ログイン画面を表示する前に、Basic認証風の追加認証を行う機能を追加します。
HTTP 401 Unauthorized と WWW-Authenticate ヘッダーにより、ブラウザ標準の認証ダイアログを表示します。
管理画面から機能の有効・無効、認証ユーザー名、認証パスワードを設定できます。
認証パスワードは password_hash() / password_verify() により管理されます。
管理画面URLを変更している環境にも対応します。
導入することで解決できる課題
EC-CUBE管理画面URLを変更しているだけでは不安な場合に、管理ログイン画面の前へもう一段のアクセスガードを追加できます。
.htaccess や .htpasswd の作成・編集が不要なため、サーバー設定に不慣れな店舗運営者でも導入しやすくなります。
レンタルサーバーなど、Webサーバー設定を自由に変更しづらい環境でも、EC-CUBEプラグインとして追加認証を設定できます。
サーバー側Basic認証の設定ミスやファイル管理ミスを避けたい場合にも役立ちます。
導入後に得られるメリット
管理画面URLが第三者に知られても、すぐにEC-CUBE管理ログイン画面を表示させにくくできます。
管理ログイン画面の前に簡易的な追加防御を置けるため、管理画面運用時の安心感を高められます。
認証情報をEC-CUBEのプラグイン設定として管理でき、日々の管理作業を分かりやすく整理できます。
Webサーバー側の設定変更を行わずに、管理画面から設定を変更できるため、運用負荷の軽減につながります。
想定される利用シーン
EC-CUBEの管理画面をもう一段保護したい店舗での利用に適しています。
管理画面URLを変更しているものの、それだけでは不安が残る場合に役立ちます。
.htaccess や .htpasswd の設定に不安がある場合や、レンタルサーバーでEC-CUBEを運用している場合にも導入しやすいプラグインです。
制作会社が納品先のEC-CUBE管理画面に、手軽な追加防御を入れたい場合にも利用できます。
運用時の注意事項
本プラグインは、ApacheやNginxなどのWebサーバーで設定するBasic認証そのものではありません。
EC-CUBE / Symfony のリクエスト処理内で認証チェックを行うため、Webサーバーレベルで完全遮断する機能ではありません。
Webサーバー側Basic認証との併用時の動作は保証対象外です。
併用する場合は、事前に検証環境で認証ダイアログの表示順やログイン画面への到達可否を確認してください。
HTTPS環境での利用を推奨します。
本プラグインの追加認証に成功しても、EC-CUBE管理者としてログインしたことにはなりません。
追加認証後は、通常どおりEC-CUBE管理者ログインが必要です。
本格的なサーバーレベルの遮断が必要な場合は、サーバー側Basic認証、IP制限、WAFなどの利用をご検討ください。
この商品に対するお客様の声