ＥＣサイト運営者のセキュリティー対策いろいろ

知り合いのＥＣサイトのフォームメールが乗っ取られて迷惑メールが大量送信されたことがありました。

セキュリティーは、わりと意識ふつー系だったのですが 、そんなこともあったので意識を高めました。

まあ、意識を高く持っても対策しないと意味がないですけど。

そんなわけで、ＥＣサイト運営者がおさえておきたいセキュリティー強化ポイントを。

サイトの常時ＳＳＬ化

もはや定番中の定番ですが、いまだにＳＳＬ化（通信の暗号化）されていないサイトを見かけます。

無料のＳＳＬがあるので、ポチッとするだけで簡単に常時ＳＳＬ化ができます。

ショップサーブも無料のＳＳＬを提供していますが、申込みが必要です。

ちなみに、常時ＳＳＬ化は独自ドメインを取得していることが前提です。

ワードプレスのログイン画面

いろいろなサイトを見ていて、「このサイトってワードプレスかな？」思いながらURLに「wp-admin」を入力。

するとこんな画面が。

「やっぱりWPだ。」

なんてやったことある人多いと思いますが、この状態は実はかなりヤバい。。。

この画面を公開していると、悪いロボットちゃんが自動でログインを数千回、数万回と繰り返す恐れがあります。

安全性の高いパスワードを設定していたら、破られることは少ないと思いますが、不正アクセスの回数分サーバーに負担をかけちゃうんですよね。

そして、サーバー管理会社から「御社のサーバーの使い方ちょっとやめてもらえますか？（不正ログイン攻撃されてますよ。）」みたいなメッセージが入ることも。

BASIC認証をつける

できれば、このログインページを表示させる前にロックさせるのが良いです。

「BASIC認証」というのを導入します。

このようなやつです。

これだと２重ロックになるので、セキュリティーがさらに強化できます。

作るのは２つのファイル

メモ帳などで２つのファイルを作ります。

パスワードの暗号化

１つ目は、IDをパスワードを記録したファイルです。

こちらのサイトで、パスワードを暗号化させます。

IDは暗号化されません。

「１２３」というパスワードも、このように複雑な暗号に変換されます。

でも、ログインのときの入力は「１２３」でＯＫです。

メモ帳に、上記画像の一行をペーストして、ファイル名を「.htpasswd」とします。

これをワードプレスの「wp-login.php」というファイルがあるフォルダに放り込んでおきます。

BASIC認証ファイル

次にBASIC認証のコードを、ワードプレスのindex.phpのフォルダに入っている「.htaccess」をローカル（パソコン上）に取り出します。

開いて、下記のコードをコピペして上書き保存します。

<Files wp-login.php>
AuthType Basic
AuthUserFile /home/store2000/www/.htpasswd
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
require valid-user
</Files>

元あったサーバーに放り込んで上書き保存します。

以上で完了です。

IDとパスワードをお忘れなく。ま、忘れてもFTPが使えればいつでも変更可能ですけど。

ちなみに２行目のAuthUserFile /home/store2020/www/ .htpasswd

この部分は、通常のURLではなく、何ていうんでしょうか？

ドメインが収納されている、そのサーバーのＵＲＬ？

サーバーによって若干異なる場合があるので、マニュアル等を見てください。

上記は、さくらインターネットのURLです。