ECサイトとマーケットプレイスを保護する方法：9つのセキュリティのヒントとコツ

スポンサードサーチ

ECは、ECサイトのセキュリティ、そして注文手続き中に保存・処理されるすべての機密データに関して、非常に厳しい要件が求められる分野です。CS-Cart Store Builder や CS-Cart Multi-Vendorなどの最新のECパッケージやサービスにはすでに強力なセキュリティ保護機能が搭載されていますが、他のソフトウェアと同様に、プロジェクト内のあらゆる脆弱性が検出され、悪用される可能性があることを認識した上で、適切な設定、監視、包括的なセキュリティポリシーとの統合が行われた場合のみ、その効果を最大限に発揮できます。 

管理画面への共有アクセス、全アカウント共通のパスワード、アクセス時のハッキング対策とサイバーセキュリティに関するデータポリシーとトレーニングの欠如といった、セキュリティ上の過ちが広く見られます。端末のセキュリティも非常に重要です。キャッシュは適時に消去する必要があります。また、ウイルス対策ソフトを定期的に使用することも重要です。この記事では、CS-Cart Store Builder や CS-Cart Multi-Vendor ベースのECサイトにおける、最も一般的なハッカー攻撃とセキュリティ脅威を防ぐための9つのヒントをまとめました。

今回は、CS-Cartの公式ブログの記事から How to protect your online shop and marketplace: 9 security tips and tricks（ECサイトとマーケットプレイスを保護する方法：9つのセキュリティのヒントとコツ）をご紹介します。

1. 管理画面のURLを変更する

管理画面のURLは、パスワード・ジェネレーターで生成されたCiFmHsKHSilw.phpのようなランダムで安全な文字列に設定することをお勧めします。admin.php、 secureadmin.phpなどの類似のURLは使用しないでください。

2. SSLをインストールし、HTTPSにリダイレクトする

Secure Sockets Layer（SSL）は、企業のサーバーとユーザーのブラウザ間で暗号化された接続を確立するセキュリティプロトコルです。ECでは、オンライン取引を保護し、顧客データのセキュリティを確保することが不可欠です。これにより、購入者との信頼関係を築くシームレスな注文手続きプロセスが実現します。ECサイトにSSL証明書がない場合、ブラウザは「安全でない接続」についてユーザーに警告します。潜在的なお客様はあなたのECサイトを信頼するでしょうか？おそらく難しいでしょう。ホスティング・プロバイダーがデフォルトでSSLを提供していない場合は、ご自身でSSLを購入してください。

3. 強力なパスワードと二要素認証を使用する

作成するアカウントごとに、必ず固有のパスワードを使用してください。CS-Cart の管理者パスワードを含む、ECサイトのすべてのパスワードが強力かつ安全であることを確認してください。大文字、小文字、数字、記号を含めることを強くお勧めします。異なるアカウントに同じパスワードを使い回さないでください。

二要素認証を導入することで、ECサイトの管理画面のアカウントへの不正アクセスを防止できます。二要素認証は、パスワードを第一の保護要素として提供し、セキュリティ・トークンや指紋、顔認証などの生体認証要素を第二の保護要素として利用します。CS-Cart の公式マーケットプレイスでは、ワンタイム・パスコードの生成、プッシュ通知、通話機能など、推奨されるアドオンを見つけることができます。

4. 安全なアドオンとテーマをインストールする

CS-Cartのアドオンやテーマを選ぶ際は、お使いのCMSバージョンと互換性があるかご確認ください。アプリやデザインテーマは、CS-Cart公式マーケットプレイスからダウンロードすることをお勧めします。マーケットプレイスに掲載されている開発者は、CS-Cart基準に基づいて認定されています。CS-Cartのスペシャリストがランダムにアドオンをテストし、特別なラベルを付けています。また、投稿されたレビューは、CS-Cartストアの実際のオーナーによるものであることを確認しています。 

5. CS-Cart、アドオン、テーマを最新の状態に保つ

ECサイトをアップグレードして、個人データの保護、パフォーマンスの向上、そして全体的なセキュリティ強化を実現しましょう。CS-Cart 、アドオン、テーマの開発者が発行するアップデートには、セキュリティとパフォーマンスのパッチが含まれているため、インストールすることを強くお勧めします。アップデート後に適切なセキュリティ管理検証プロセス（英語）を実施することで、すべてのセキュリティ対策の有効性を維持できます。本番環境に移行する前に、必ずバックアップを作成し、開発サーバーでアップデートをテストしてください。無料で毎日、自動バックアップと開発環境を提供しているホスティング・プロバイダーを選択してください。これにより、アップデート・プロセス中に問題が発生した場合でも、データを保護できます。 

6. PHP、Nginx、Apacheのバージョンを隠す 

expose_phpディレクティブが有効になっていると、HTTP レスポンスヘッダーに PHP のバージョンが含まれます。ただし、ECサイトで使用している PHP のバージョンを公開したくない場合があります。php.iniファイルでexpose_php = offを設定することで、Webサーバーが「X-Powered-By」ヘッダーを送信するのを防げます。これは PCI準拠にも役立ちます。 

Add server_tokens= off to the http- section of the NGINX configuration file.

Apache2 設定ファイルの最後にある、ServerTokens Prod と ServerSignature Off を含む行を追加や変更してください。

7. ルートフォルダにある設定ファイルで調整を行う

CS-Cart のパフォーマンス向上のため、設定ファイル内の調整項目は常に増加しています。セキュリティを強化するには、これらの項目を適切に設定する必要があります。config.local.php ファイルで 以下の項目を true に設定することをお勧めします。

• api_https_only
• api_allow_customer（未認証クライアントを許可する場合）
• secure_cookies

cors_allowlist と csp_frame_ancestors を設定することを忘れないでください。

8. 機密ファイルを削除する

temp_dump.sql、error_log、test.phpなどのファイルを削除してください。これらのファイルは、侵入者がECサイトに関する詳細情報を取得するのに役立つ可能性があります。開発者やシステム管理者に以下の種類のファイルについて確認してください。

phpinfo.php,info.php,log.txt,errorlog等
config.local.phpのバックアップファイル（save,bck,log,lol,old等）,backup.zip,old_storeフォルダ,new_storeフォルダ等
sph.php関連ファイル（1,2,3,4,l,lite）,admin.php.adminer.php等

9. セキュリティ監査を実施する

CS-Cart Store Builder と CS-Cart Multi-Vendor の新バージョンリリースのたびに、インフラとセキュリティパートナーである ASAP Lab と共同で、SASTとDASTセキュリティテストを実施しています。これにより、CS-Cartのコアと標準アドオンにおける一般的な脆弱性と侵入リスクを特定しています。

多数の変更、統合、サードパーティ製アドオンを含むプロジェクトでは、定期的な強化セキュリティ監査の実施をお勧めします。上記のいずれかにおけるミスや見落としは、機密性の高い重要なプロジェクトデータの漏洩、さらには侵害につながる可能性があります。通常、セキュリティ監査後には、プロジェクトのセキュリティ状況に関する詳細なレポート、特定された脆弱性と潜在的な攻撃のリスト、そしてセキュリティリスクを軽減するためのそれらの排除と防止に関する推奨事項が提供されます。

サイバー攻撃の兆候を少しでも感じられたら、ITセキュリティの専門家にご相談ください。プロジェクトのセキュリティ対策を真剣に検討し、CS-Cart Store Builder と CS-Cart Multi-Vendor の24時間365日稼働を実現することで、売上向上、企業評価の向上、顧客ロイヤルティの強化が実現します。

スポンサードサーチ