はじめての方必見!EC-CUBE3の管理画面の設定項目・操作方法。
EC-CUBE3をデフォルトインストール(初期設置)した後、以下の画面へアクセスして管理画面にログインすると、EC-CUBE3で構築したネットショップの全ての管理操作が出来ます。
ネットショップに掲載する商品の登録・編集や注文管理、登録会員の管理、フロントページのレイアウト変更(ブロック追加・配置)、など全操作はEC-CUBE3の管理画面にログインして作業を行います。
※管理画面にログインすると、会員の顧客情報や売り上げデータ、商品情報など全ての操作が出来るようになりますので、管理画面へのログインIDとパスワードは他人に盗まれないように大切に扱いましょう。
EC-CUBE3のインストーラーでインストール途中に「セキュリティの設定」で「管理画面のディレクトリ名」を設定する項目があります。
この「管理画面のディレクトリ名」は管理ログイン画面のアクセスURLになりますので、容易に想像できないような名称にしておきましょう。
例えば、デフォルト構成での設置例としては、
「https://ドメイン名/html/管理画面のディレクトリ名」
という風になりますよね。
不正にアクセスを試みようとすると「https://ドメイン名/html/」までは容易に想像できますので、その後ろがありがちな文字列だと、管理画面までは表示させる事が出来てしまいます。
それを防ぐには、IP制限をかけて、自社内から(特定)のアクセスでなければログイン画面に到達できない様にしておくことが望ましいですね。
過去の事例として、ECサイトの構築をさせて頂いたお客様から「どうしても管理画面にログインできなくなりました!」という連絡があり、調査したところ何の問題もなく普通にログインできる状態でしたので、管理画面を開いているURLを教えてもらった所、なんとそのURLが全く別の会社の管理画面へのログイン画面だったので、どのようにしてその画面にアクセスしたのかの操作手順を聞いてみると「ブラウザの検索の所にEC-CUBE管理画面と入れて一覧に出てきたEC-CUBE管理画面をクリックした」という事でした。
そうなのです「EC-CUBE管理画面」というキーワードでググった。という事でした(笑)
admin側(管理機能側)のテンプレートは基本的にnoindex、nocacheで検索エンジンにはヒットしないと思うのですが、サイト内ページのSEO対策を熱心にやるあまり、下手にいじってしまい、管理画面側のテンプレートファイルを検索エンジンに拾わせてしまっているサイトさんもあるみたいです。
ココ最近は殆どないだろうと思っていたのですが、2017年現在もググってみると出てきたリするところもあります。
同様にログインIDやパスワードも不便とは思わずに「ob5q3poMZB#U")B$f」というようなランダムな文字列にしておくことが本当は望ましいと思います。メモ帳やパスワード管理ツールなどで毎回コピペしてログインするように習慣づけておけば、そんなに苦になるものでもありません。
あと個人的には、PCの設定で、パスワードやフォームデータの記憶は全てしない様にして利用しています。特にノートPCやタブレットなど外に持ち出す端末の場合は紛失、盗難等に注意しなければなりません。
EC-CUBEの管理画面内には、会員データや受注、配送先などの個人情報が盛り沢山ですので、その辺りのセキュリティ面はデータの取り扱い運用ルールも含めて、厳重に管理されることを強くお勧めします。何百万円も売り上げても一瞬で何千万円の損害賠償・・・に発展してしまうかもしれませんよね
マニュアル項目一覧
ワンポイント
EC-CUBE3のインストーラーでインストール途中に「セキュリティの設定」で「管理画面のディレクトリ名」を設定する項目があります。
この「管理画面のディレクトリ名」は管理ログイン画面のアクセスURLになりますので、容易に想像できないような名称にしておきましょう。
例えば、デフォルト構成での設置例としては、
「https://ドメイン名/html/管理画面のディレクトリ名」
という風になりますよね。
不正にアクセスを試みようとすると「https://ドメイン名/html/」までは容易に想像できますので、その後ろがありがちな文字列だと、管理画面までは表示させる事が出来てしまいます。
それを防ぐには、IP制限をかけて、自社内から(特定)のアクセスでなければログイン画面に到達できない様にしておくことが望ましいですね。
過去の事例として、ECサイトの構築をさせて頂いたお客様から「どうしても管理画面にログインできなくなりました!」という連絡があり、調査したところ何の問題もなく普通にログインできる状態でしたので、管理画面を開いているURLを教えてもらった所、なんとそのURLが全く別の会社の管理画面へのログイン画面だったので、どのようにしてその画面にアクセスしたのかの操作手順を聞いてみると「ブラウザの検索の所にEC-CUBE管理画面と入れて一覧に出てきたEC-CUBE管理画面をクリックした」という事でした。
そうなのです「EC-CUBE管理画面」というキーワードでググった。という事でした(笑)
admin側(管理機能側)のテンプレートは基本的にnoindex、nocacheで検索エンジンにはヒットしないと思うのですが、サイト内ページのSEO対策を熱心にやるあまり、下手にいじってしまい、管理画面側のテンプレートファイルを検索エンジンに拾わせてしまっているサイトさんもあるみたいです。
ココ最近は殆どないだろうと思っていたのですが、2017年現在もググってみると出てきたリするところもあります。
同様にログインIDやパスワードも不便とは思わずに「ob5q3poMZB#U")B$f」というようなランダムな文字列にしておくことが本当は望ましいと思います。メモ帳やパスワード管理ツールなどで毎回コピペしてログインするように習慣づけておけば、そんなに苦になるものでもありません。
あと個人的には、PCの設定で、パスワードやフォームデータの記憶は全てしない様にして利用しています。特にノートPCやタブレットなど外に持ち出す端末の場合は紛失、盗難等に注意しなければなりません。
EC-CUBEの管理画面内には、会員データや受注、配送先などの個人情報が盛り沢山ですので、その辺りのセキュリティ面はデータの取り扱い運用ルールも含めて、厳重に管理されることを強くお勧めします。何百万円も売り上げても一瞬で何千万円の損害賠償・・・に発展してしまうかもしれませんよね