EC-CUBEの管理画面へBasic認証をかける .htaccessでベーシック認証
EC-CUBEの管理画面へBasic認証をかける .htaccessでベーシック認証
EC-CUBEの管理画面へBasic認証をかける .htaccessでベーシック認証
EC-CUBE管理画面のアドレスにhtaccessベーシック認証をかける
EC-CUBEに限らず管理画面のログイン画面は通常誰でもアクセスすることができます。 このご時世少しでもセキュリティを高めたほうが越したことはありません。
そのような場合は http://www.ドメイン名.com/admin/ のアドレス開こうとすると.htaccessの単純なベーシック認証の設定をするだけで2段階認証になりかなりセキュリティは高まります。
万が一EC-CUBEのバグなどで管理画面のID・PWでログインされる状態になったとしてもその前にベーシック認証のログインもクリアしないとアクセスできませんので重要な顧客情報を扱うネットショップには最適なセキュリティ設定の一つですね。
基本的に管理画面は誰でも見えるとアタック掛けられる心配があるので、ベーシック認証を掛けときます。
ベーシック認証ページは、クローラーからアクセスされない(出来ない)為、インデックスされません。
結果、管理画面はベーシック認証とフォーム認証の2段階認証となります。
それでは手順ですが、私の環境では、管理画面のパスは以下になります。
1 | /var/www/html/eccube/html/admin |
上記ディレクトリまで移動して、
1 2 3 | # htpasswd .htpasswd ユーザーID New password: パスワード Re-type new password: パスワードの確認入力 |
これで.htpasswdファイルが出来ます。
今度は、vi .htaccess と打ってドットエイチティーアクセスファイルを作成します。
内容は、以下です。
1 2 3 4 5 6 7 8 9 | AuthType Basic AuthName "ID and password input please" AuthUserFile /var/www/html/eccube/html/admin/.htpasswd AuthGroupFile /dev/null require valid-user <Files ~ "^.(htpasswd|htaccess)$"> deny from all </Files> |
AuthUserFileは先ほど作った.htpasswdファイルのフルパスを指定します。
.htpasswdと.htaccessは全てのアクセスを拒否するように設定します。
(ターミナル上でしか編集付加)
では、確認します。
ベーシック認証画面
EC-CUBE管理画面ベーシック認証のページが表示され、IDとPASSを入れて管理画面が出ればOK。