簡単に出来る a-blog cms のセキュリティ強化方法
記事を書いた人:Webデザイナー 新謙二
最近ではWebサイトに対する不正アクセスや改ざんなど、悪意のある者による攻撃・被害が増加しています。
そこで専門的な技術者ではなくても簡単にできる、a-blog cms 版のセキュリティを強化する方法を考えてみました。
(1)ログイン画面のアドレスを変更
a-blog cms にはログイン画面のアドレスを変更する機能が備わっています。
初期設定のまま運用されている場合は機能を活用しましょう。
//config.server.php
define('LOGIN_SEGMENT', 'ログイン画面のアドレスを設定');(2)ユーザーのログイン情報を複雑なものに変更
簡単に推測されるようなログイン情報(ユーザーID、パスワード)は、悪意のある者に簡単にログインされてしまう可能性があります。
もちろんパスワードも推測不能な桁数の多いものに変更をおすすめします。
最新の a-blog cms では「パスワードポリシー」の設定で、パスワードの命名ルールを決めることが出来ますので、設定しておくと複数ユーザーの運用時に安心して利用できます。
また、ページの内容によっては、エントリーをポストしたユーザーの「名前」が表示されている場合がありますが、「名前」が「ユーザーID」と同じ設定内容になっている場合は、必ずどちらかの情報を変更をおすすめします。
//管理ページ コンフィグ > 機能設定「パスワードポリシー」
(3)SSL対応で通信データの暗号化
通信する情報が暗号化されずそのままでは、いつか悪意のある者に情報が盗まれてしまうかもしれません。
SSL対応しWebサイト上でやり取りするデータの暗号化をおすすめします。
SSLの導入はすでに一般化しており、安価(サーバによっては無料なところも)なサービスも増えています。
ぜひSSLを導入して安心安全なWebサイト運営を行いましょう。
なお、a-blog cms の完全SSL対応は、ver2.6.1.3以上になりますので、それ以下のバージョンをご利用の方は、まずは a-blog cms のバージョンアップからの対応になります。
(4)a-blog cms のバージョンアップ
本当はこれを一番最初に書いても良かったですね…。
どのようなシステムでも、最新版は数多くのバグフィックスがされていますので、古いシステムをそのまま使っている場合は、ぜひ最新バージョンへのバージョンアップをご検討ください。
もちろん最新バージョンには追加された機能が多数ありますので、セキュリティ向上以外にもバージョンアップするメリットは必ずあります。
(5)怪しいIPからログイン画面へのアクセスを遮断する
ログイン画面に海外IPなどから怪しいアクセスが増加した場合は、リスクを減らすために「アクセス設定」のログイン拒否リストにIPを追加することをおすすめします。
//管理ページ コンフィグ > アクセス設定「ログイン 拒否リスト」 ※CIDR記法で入力(例:a.b.c.d/32) ※指定されたIPアドレスからのアクセスに限りログインが拒否されるようになります。
(6)ログイン画面にbasic認証をかける
basic認証を使いログイン画面を2段階認証にします。
a-blog cms はテーマの継承という機能がありますので、a-blog cms を設置した階層に、ログイン画面のアドレスに設定した値と同じ名称のディレクトリを作ります。
あとは作ったディレクトリに.htaccessでbasic認証をかけるだけで、ログイン画面が2段階認証になります。
なお、.htaccessの設定はサーバの仕様によりますので、自己責任でお試しください。
また、basic認証を利用する場合は、SSL環境での運用をおすすめしています。
(7)WAFの導入
WAF(Web Application Firewall)を導入し、Webサイトを攻撃から保護します。
WAFは一般的に高価なものですが、最近ではXSERVERやCPIなど、WAFの機能を無料で提供しているサーバもあります。
ただし、WAFを導入すると a-blog cms の更新時に検知・ブロックし正常に動作しない場合がありますので、運用に合わせて設定をおこなえたり、機能のON・OFFができるものがおすすめです。
最後に
a-blog cms 自体はしっかりセキュリティに配慮された素晴らしいシステムですが、Webサイトの制作方法や運用次第でリスクを増やしてしまう場合があります。今回上げた幾つかのポイントは、少ないコストで簡単に強化できる内容が多いので、気になる方は是非お試しください。
弊社のお客様には別途ご連絡させていただく予定ですが、もし何か気になる内容がございましたら、お気軽に担当までご相談ください。