EC-CUBE3 管理機能
設定>システム情報設定>セキュリティ管理
セキュリティ管理の概要
EC-CUBE3の管理画面へのアクセスに制限を掛け、セキュリティを高める為の設定機能です。
具体的な方法としては、管理画面のファイル群が格納されているフォルダに対するアクセスにIPによる制限を設定するものと、接続時のデータ通信を暗号化する設定項目があります。
セキュリティ機能設定画面
デフォルトでは、設置直後の設定は何もされていませんので、全てのアクセスが許可された状態となっています。
つまり、管理画面のログインページのログインIDとパスワードのみの制限になります。
セキュリティの向上の為、特定のIPからのアクセス以外を拒否する設定と、接続して管理画面操作でhttp通信によるデータ送受信にSSLによる暗号化をした通信とする設定が可能です。
ワンポイント
SSL制限を強制的に有効とする場合、管理画面へのアクセスがhttps通信によるログインでなければ設定できません。
httpsによる通信には所謂SSL証明書を取得後、サーバーへの設定が必要になります。
WEBサイトデータのSSL暗号化通信については、Google検索エンジンのアルゴリズムにも採用されたこともあり、さらにApple製端末からはTLS1.2以前の旧バージョンの通信プロトコルを利用しているWEBサイトについてはブラウザの起動すらさせない・・・というような方向に流れつつあり、SEO的にもサイト全域のSSL化は必須の項目となっています。
一般的にSSL証明書の取得は年間費用が数千円~十数万円の有償証明書の購入が必要ですが、専用サーバーやVPSサーバーなどでroot権限があるサーバーであれば、非営利団体のISRG (Internet Security Research Group)が運営する、Let's Encryptという無償利用可能な証明書も2016年4月から利用可能となっています。
Let's Encryptは、TLSやhttps通信を普及させ事を目的としたプロジェクトです。
ただし、現時点3か月程度毎に証明書の再設定が必要になります。