タグ検索:a-blogcms , web制作

まずは、「Zoho CRM 勉強会」よりも以前から参加している「a-blog cms勉強会」で、少しだけZohoの説明を聞いてきました。
a-blog cmsを開発しているアップルップルさんは、Zohoインドとパートナー提携をし、a-blog cmsとの連携もできるようにしていますので、今回はアップルップルさんでの具体的な活用方法を画面を見ながら教えていただきました。

Zohoならびに、Zoho CRMとは

Zoho CRMは、オンラインビジネスアプリケーション Zohoサービスの1つであり、Zohoには、様々なアプリケーションが準備されてされています。
詳しくは、Zohoサイトへ

  • 営業やマーケティング支援をするサービス
  • メールを利用したコミュニケーションツール
  • 会計を効率化するサービス
  • ヘルプデスクといった顧客対応のサービス

など、種類豊富です。

必要なアプリを選んで契約することも可能ですが、それぞれに月額契約が発生すると費用はやりたいことが多岐にわたる場合は、複合パッケージで契約する方がランニングを抑えることができそうです。

弊社には、どのアプリが必要か

様々なアプリのなかで、具体的に利用したいアプリを選定し、契約プランを考えていこうと思います。

やりたいことを書き出してみる

  • ローカルなどで運用している顧客管理を、一元化したい
  • Webサイト(自社サイト、ブランドサイト、ショップサイト)の顧客をもっと分析し、活用したい
  • 収集した顧客データを活用し、Webサイトのさらなるマーケティングに役立てたい
  • Web制作事業と平行して、オリジナルブランドの顧客運用も管理したい
  • オリジナルブランドはSNSを利用しているので、もっと上手く活用して顧客に取り込みたい

どのアプリが利用できるか

顧客管理 → CRM

顧客の管理、Webフォームとの連携、顧客へのメール配信管理

Webサイトの分析、活用 → Salesiq、Campaigns

Salesiq:サイト訪問者の追跡と把握からCRMへ見込み客の連携
Campaigns:CRMから連絡先の連携、メルマガ配信管理、配信の自動化

オリジナルブランドの運用 → CRM

購入者情報の管理、顧客情報項目の追加による分類や分析など

SNSの活用 → Social

Twitter、facebook、Instagrumなどとの連携、配信管理、広告連携、フォロワー分析、モニタリング

弊社が今やりたいことでアプリを探して行くと、複数のアプリが必要になってくることがわかりました。
また、「顧客管理」だけでなく通常の業務に使えそうなアプリもたくさんあります。

通常業務でも使えそうなアプリ

  • Survey:リアルタイムアンケート集計
  • Forms:Webフォーム管理
  • Desk:カスタマーサポート、ヘルブデスクツール
  • Books:請求管理
  • Inventory:商品管理(在庫管理)
  • Invoice:見積書、請求書、支払い管理
  • WorkDrive:オンラインファイル管理(組織向け)
  • Docs:ファイル共有(個人向け)
  • Writer:文書作成ツール
  • Sheet:表計算ツール

まずはお試し運用をしてみる

Zohoの有料アプリは、15日〜30日のお試し期間があるので、アカウントを取得し試してみることにしました。
まずは、社内で一番興味があった、「Zoho Social」を試してみようと思います。

次回のコラムで、「Zoho Social」について詳しく書いてみます。


XSERVERのXアクセラレーター Ver.2が、Ver.2.1にバージョンアップしたようです。

Xアクセラレーターの設定は、「OFF」「Ver.1」「Ver.2(Ver.2.1のこと)」の3つから選べますが、
公式サイトの情報によると、

  • Ver.1:静的ファイルの高速化と同時アクセス数の拡張が行われます。
  • Ver.2:「Ver.1」の特徴に加えて、PHPプログラムが高速化されます。

普段はVer.1を使っていますので、新しくなったVer.2をa-blog cmsで試してみようと思ったのですが、残念ながら「ioncube loader」の部分でエラーになりました。

Site error: the ionCube PHP Loader needs to be installed. This is a widely used PHP extension for running ionCube protected PHP code, website security and malware blocking. Please visit get-loader.ioncube.com for install assistance.

エラーの内容的には「ioncube loaderをインストールしてください」という感じですが、すでにPHPに合わせたものが設置済みで、Xアクセラレータ Ver.1では動作しています。もしかしたらVer.2では「ioncube loader」自体が使えないのでしょうか。

でも「PHPが従来の10倍以上高速!」とか聞くと、どうしても使いたくなります…。
Ver.2の方はPHPの設定も制限があるようですが、何とかして動かす方法ないんでしょうかね。
ひとまずVer.1を継続ですが、今後に期待したいと思います。

2019/8/2 追加:
現在この件についてXSERVERに問い合わせ中ですので、また返答あり次第報告したいと思います。

2019/8/6 追加:
XSERVERより返答いただきましたが、Xアクセラレーター Ver.2はphpの設定により、ioncube loaderは動作不可という事でした。現時点ではver.1を利用してくださいとのことです。ただ、ユーザーからの要望という事で、今後の検討材料にはしていただける様です。非常に丁寧な対応をしていただけたので、今回の結果は残念でしたが好印象でした。今後に期待したいと思います。

先日の「簡単に出来る a-blog cms のセキュリティ強化方法」の時にも少し出ましたが、今回はWAF(Web Application Firewall)の話です。

最近はクラウド型や、サーバに付属で提供されているものが多く、手軽に使えるものがありますので、出来るだけ多くのサイトに導入したいと思っています。
しかしその反面、CMSでは更新時に誤検知してエラーになるなど、運用でネックになる場合があります。まだサイト運営者が把握していれば良いんですが、知識がない方だとトラブルの元にもなったり…。

そんな悩ましいWAFですが、サーバによっては大丈夫だったりもしますので、a-blog cmsで使えるところを見極めたい。

まだXSERVERとCPIのWAFしか使ったことがないのですが、今までの経験ではXSERVER(X10系)は誤検知は少なく、CPI(シェアードプランACE01)は頻繁にエラーが出る印象でした(個人的な見解です)

ということで、CPI(シェアードプランACE01)を使う時は、WAFはOFFで考えていましたが、今回調べる中でCPIのWAF設定方法(CPIオンラインヘルプ:特定シグネチャの除外方法)をオフィシャルのヘルプで見つけましたので、メモしておきます。

方法はとても簡単で、.htaccessに記述するだけです。

#特定のIPを指定して除外する方法
<IfModule siteguard_module>
SiteGuard_User_ExcludeSig ip(xxx.xxx.xxx.xxx)
</IfModule>

「ip(xxx.xxx.xxx.xxx)」のxに作業環境のIPを入れます。
ここで設定したIPの時にだけWAFをOFFにしますので、IPは固定である必要があります。
複数IPの場合は3行目の内容「SiteGuard_User_ExcludeSig ip(xxx.xxx.xxx.xxx)」のIPを変えて、下に1行追加すれば大丈夫みたいです。
決められた環境からしか更新しない場合で、外部からの投稿がないサイトはこれでOKな気がします。

また、検出されたシグネチャ毎に除外を設定する方法もある様です。

#特定のシグネチャを指定して除外する方法
<IfModule siteguard_module>
SiteGuard_User_ExcludeSig signature1,signature2
</IfModule>

この場合、検出されなくなる反面、この部分は機能しませんのでセキュリティ面からみると微妙ですよね…。
サイトに外部から投稿されるものがあり、仕方なく一部制限を緩和するといった感じでしょうか。

a-blog cmsでWAF搭載の他サーバを使う機会があれば、また調べてみようと思います。
WAFはクラウドサービスも沢山ありますし、まだまだ勉強中なので、また何か良い情報があったら書きたいと思います。


最近ではWebサイトに対する不正アクセスや改ざんなど、悪意のある者による攻撃・被害が増加しています。
そこで専門的な技術者ではなくても簡単にできる、a-blog cms 版のセキュリティを強化する方法を考えてみました。

(1)ログイン画面のアドレスを変更

a-blog cms にはログイン画面のアドレスを変更する機能が備わっています。
初期設定のまま運用されている場合は機能を活用しましょう。

//config.server.php
define('LOGIN_SEGMENT', 'ログイン画面のアドレスを設定');

(2)ユーザーのログイン情報を複雑なものに変更

簡単に推測されるようなログイン情報(ユーザーID、パスワード)は、悪意のある者に簡単にログインされてしまう可能性があります。

もちろんパスワードも推測不能な桁数の多いものに変更をおすすめします。
最新の a-blog cms では「パスワードポリシー」の設定で、パスワードの命名ルールを決めることが出来ますので、設定しておくと複数ユーザーの運用時に安心して利用できます。

また、ページの内容によっては、エントリーをポストしたユーザーの「名前」が表示されている場合がありますが、「名前」が「ユーザーID」と同じ設定内容になっている場合は、必ずどちらかの情報を変更をおすすめします。

//管理ページ
コンフィグ > 機能設定「パスワードポリシー」

(3)SSL対応で通信データの暗号化

通信する情報が暗号化されずそのままでは、いつか悪意のある者に情報が盗まれてしまうかもしれません。
SSL対応しWebサイト上でやり取りするデータの暗号化をおすすめします。

SSLの導入はすでに一般化しており、安価(サーバによっては無料なところも)なサービスも増えています。
ぜひSSLを導入して安心安全なWebサイト運営を行いましょう。

なお、a-blog cms の完全SSL対応は、ver2.6.1.3以上になりますので、それ以下のバージョンをご利用の方は、まずは a-blog cms のバージョンアップからの対応になります。

(4)a-blog cms のバージョンアップ

本当はこれを一番最初に書いても良かったですね…。

どのようなシステムでも、最新版は数多くのバグフィックスがされていますので、古いシステムをそのまま使っている場合は、ぜひ最新バージョンへのバージョンアップをご検討ください。

もちろん最新バージョンには追加された機能が多数ありますので、セキュリティ向上以外にもバージョンアップするメリットは必ずあります。

(5)怪しいIPからログイン画面へのアクセスを遮断する

ログイン画面に海外IPなどから怪しいアクセスが増加した場合は、リスクを減らすために「アクセス設定」のログイン拒否リストにIPを追加することをおすすめします。

//管理ページ
コンフィグ > アクセス設定「ログイン 拒否リスト」
※CIDR記法で入力(例:a.b.c.d/32)
※指定されたIPアドレスからのアクセスに限りログインが拒否されるようになります。

(6)ログイン画面にbasic認証をかける

basic認証を使いログイン画面を2段階認証にします。

a-blog cms はテーマの継承という機能がありますので、a-blog cms を設置した階層に、ログイン画面のアドレスに設定した値と同じ名称のディレクトリを作ります。
あとは作ったディレクトリに.htaccessでbasic認証をかけるだけで、ログイン画面が2段階認証になります。

なお、.htaccessの設定はサーバの仕様によりますので、自己責任でお試しください。
また、basic認証を利用する場合は、SSL環境での運用をおすすめしています。

(7)WAFの導入

WAF(Web Application Firewall)を導入し、Webサイトを攻撃から保護します。
WAFは一般的に高価なものですが、最近ではXSERVERやCPIなど、WAFの機能を無料で提供しているサーバもあります。

ただし、WAFを導入すると a-blog cms の更新時に検知・ブロックし正常に動作しない場合がありますので、運用に合わせて設定をおこなえたり、機能のON・OFFができるものがおすすめです。

最後に

a-blog cms 自体はしっかりセキュリティに配慮された素晴らしいシステムですが、Webサイトの制作方法や運用次第でリスクを増やしてしまう場合があります。今回上げた幾つかのポイントは、少ないコストで簡単に強化できる内容が多いので、気になる方は是非お試しください。

弊社のお客様には別途ご連絡させていただく予定ですが、もし何か気になる内容がございましたら、お気軽に担当までご相談ください。