2015.
02.
02
18:29:56
「Windowsのxampp環境にEC-CUBE2.13.3をインストールする」の記事で書いた通り、
取りあえずEC-CUBEが動く環境はできました。
次に最低限のセキュリティ周りの調整をしておきます。
具体的には
1.不要なファイルやフォルダを削除する
2.「data」フォルダを公開ディレクトリの外に置く
の2つの作業を行いました。
1.不要なファイルやフォルダを削除する
動作させる上で不要なファイルやフォルダを置いておくのはトラブルの元なので、
以下のフォルダを削除します。
私の場合は、もしまた必要になったらイヤなので
「install」は「install_」にリネームして残してあります。
「docs」「test」「tests」は多分使う機会が無いので削除しました。
実サービスに導入する際は「install」フォルダも削除すると思いますけどね。
とありあえず実験なので残してあります。
2.「data」フォルダを公開ディレクトリの外に置く
「data」フォルダの中は他人様にお見せしたくないので、
公開ディレクトリの外に移動しました。
手順としては、まず
を
に移動します。
※パスはご自身の環境に置き換えて読み替えてください。
「htdocs」と同階層かそれより上に移動すればOKです。
ついでに、フォルダ名が「data」のままなのも気持ち悪いので
から
に変更しました。
その後、
を開き
から
に変更しました。
EC-CUBEさんに現在の「data」フォルダの場所を教えてあげたのです。
※パスはご自身の環境に置き換えて読み替えてください。
「html」フォルダからの相対パスで記述します。
これで「data」フォルダの移動は完了です。
「data」フォルダの中身を悪い人に見られる可能性は減ったはずです。
ちなみにレンタルサーバとかの環境の問題で「data」フォルダを公開ディレクトリの外に置けない場合は、
特に気にしなくて構いません。
バージョン2.13.3の場合、以下の内容を記述した「.htaccess」ファイルが
「data」フォルダ内に既に置いてあるはずです。
これは「誰もHTTP経由でこのフォルダにアクセスするんじゃねーぞ!」な設定なので、
公開ディレクトリの外に置けない場合の次善の対処は既に成されています。
取りあえず、インストール後に行った設定変更はそれくらいです。
あとは、定期的に脆弱性リストを見て、都度対処することになると思います。
■脆弱性リスト|EC-CUBE
https://www.ec-cube.net/info/weakness/
最後にもう一度まとめておきますね。
EC-CUBEを導入したら、最低限
1.不要なファイルやフォルダを削除する
2.「data」フォルダを公開ディレクトリの外に置く
は実施してあげてください。
ただし「2.」が実施できない場合は、気にしなくても良いです。
そんなところで、EC-CUBE導入時の最低限のセキュリティ対策、完了\(--)/
取りあえずEC-CUBEが動く環境はできました。
次に最低限のセキュリティ周りの調整をしておきます。
具体的には
1.不要なファイルやフォルダを削除する
2.「data」フォルダを公開ディレクトリの外に置く
の2つの作業を行いました。
1.不要なファイルやフォルダを削除する
動作させる上で不要なファイルやフォルダを置いておくのはトラブルの元なので、
以下のフォルダを削除します。
\xampp\htdocs\eccube-2.13.3\docs\
\xampp\htdocs\eccube-2.13.3\test\
\xampp\htdocs\eccube-2.13.3\tests\
\xampp\htdocs\eccube-2.13.3\html\install\
\xampp\htdocs\eccube-2.13.3\test\
\xampp\htdocs\eccube-2.13.3\tests\
\xampp\htdocs\eccube-2.13.3\html\install\
私の場合は、もしまた必要になったらイヤなので
「install」は「install_」にリネームして残してあります。
「docs」「test」「tests」は多分使う機会が無いので削除しました。
実サービスに導入する際は「install」フォルダも削除すると思いますけどね。
とありあえず実験なので残してあります。
2.「data」フォルダを公開ディレクトリの外に置く
「data」フォルダの中は他人様にお見せしたくないので、
公開ディレクトリの外に移動しました。
手順としては、まず
\xampp\htdocs\eccube-2.13.3\data\
を
\xampp\data\
に移動します。
※パスはご自身の環境に置き換えて読み替えてください。
「htdocs」と同階層かそれより上に移動すればOKです。
ついでに、フォルダ名が「data」のままなのも気持ち悪いので
\xampp\data\
から
\xampp\data_eccube\
に変更しました。
その後、
\xampp\htdocs\eccube-2.13.3\html\define.php
を開き
/** HTMLディレクトリからのDATAディレクトリの相対パス */
define('HTML2DATA_DIR', '../data/');
define('HTML2DATA_DIR', '../data/');
から
/** HTMLディレクトリからのDATAディレクトリの相対パス */
//define('HTML2DATA_DIR', '../data/');
define('HTML2DATA_DIR', '../../../data_eccube/');
//define('HTML2DATA_DIR', '../data/');
define('HTML2DATA_DIR', '../../../data_eccube/');
に変更しました。
EC-CUBEさんに現在の「data」フォルダの場所を教えてあげたのです。
※パスはご自身の環境に置き換えて読み替えてください。
「html」フォルダからの相対パスで記述します。
これで「data」フォルダの移動は完了です。
「data」フォルダの中身を悪い人に見られる可能性は減ったはずです。
ちなみにレンタルサーバとかの環境の問題で「data」フォルダを公開ディレクトリの外に置けない場合は、
特に気にしなくて構いません。
バージョン2.13.3の場合、以下の内容を記述した「.htaccess」ファイルが
「data」フォルダ内に既に置いてあるはずです。
Order deny,allow
deny from all
deny from all
これは「誰もHTTP経由でこのフォルダにアクセスするんじゃねーぞ!」な設定なので、
公開ディレクトリの外に置けない場合の次善の対処は既に成されています。
取りあえず、インストール後に行った設定変更はそれくらいです。
あとは、定期的に脆弱性リストを見て、都度対処することになると思います。
■脆弱性リスト|EC-CUBE
https://www.ec-cube.net/info/weakness/
最後にもう一度まとめておきますね。
EC-CUBEを導入したら、最低限
1.不要なファイルやフォルダを削除する
2.「data」フォルダを公開ディレクトリの外に置く
は実施してあげてください。
ただし「2.」が実施できない場合は、気にしなくても良いです。
そんなところで、EC-CUBE導入時の最低限のセキュリティ対策、完了\(--)/
