EC-CUBEのセキュリティを確保するためしておいた方がよいことがありますか?(その1)

ECサイトには貴重な個人情報がたくさん格納されています。そのためアタックを受けるリスクは比較的高いと考えられます。EC-CUBEならではの、セキュリティ確保のためにしておいた方がよいことを紹介したいと思います。

EC-CUBEをインストールした後、管理画面の上部に「>> /install/index.php は、インストール完了後にファイルを削除してください。」と表示されます。まず、このファイルは必ず削除しましょう。このファイルをアクセスできる状態にしていると誰でも再インストールできてしまいます。簡単に第3者によってサイトが乗っ取られ、顧客情報が流出したり、データを全て消されたりといった事が生じる可能性があります。セキュリティ上、非常に危険ですので、/install/index.php は絶対に削除しましょう。

また、/install/index.php だけを削除して良しとするのではなく、installディレクトリごと削除するか、外部から閲覧できない状態にしておく事をオススメします。

installディレクトリ内には、インストールログ(install/temp/install.log)が残っています。このファイルを見れば、インストールした日時やインストール作業を行なったIPなどの情報が全てわかってしまいます。使用しているDBの種類(PostgreSQLなのかMySQLなのか)や、EC-CUBEをインストールしたディレクトリパス等の情報も見えてしまいます。これらの情報は攻撃者にとっては重要な手がかりになる可能性があります。

もちろん、インストールログを見られたから、すぐに攻撃されるという訳ではありませんが、installディレクトリの中身は、一度インストールが完了すれば必要の無くなるファイルですし、システム内部の情報が公開されるのはセキュリティ上好ましくないので、削除しておくに越した事はありません。http://自分のECサイトのURL/install/temp/install.log でアクセス可能なので、参照可能になっていないかどうか調べてみてください。

ちなみに、このインストールログですが、インストールがうまくいかない時には重要なヒントになります。