ブログ - a-blog cms

ablogcms

a-blog cms

a-blog cmsで「添付ファイル」のセキュリティを上げる

「basic認証+archives」でのセキュリテイを上げる

basic認証をかけているサイトにおいて 

  • 内容が外部に流出してしまう

ことは、当然避けたい事案です。
では、basic認証のかかったサイトのセキュリティをあげるためには、何を考えればいいのでしょうか。

サイトは3つのURLを経由する

  • a-blog cmsにおいて、サイトは主に3つのURLを経由します。 
  • 例えば、datafarm.jp/member

というドメインがあった場合 

  • テキスト情報は「member
  • 画像はやファイルは「archives
  • メディアを利用した場合は「media-download

という文字列を含んだurlを経由します。 

それぞれに分けて、セキュリティ対策を考える必要があります。

basic認証のかかったブログについて

にgooglebotがアクセスしようとした場合。
basic認証がかかっているのでアクセスすることはできません。

それに加えて「robots.txt」にクロールをしない様に設定する。
これにも十分に意味があります。 

ただし将来的に「basic認証を解除した」場合。robots.txtから該当ディレクトリを除外しなければいけません。
お客様がrobots.txtをコントロールができない場合は、無理にrobots.txtで除外しなくても大丈夫かと思います。

archivesフォルダのファイルを、直接開かせない

archivesフォルダのトップは、直接開くことはできないようになっています。
そこに含まれているファイル一覧も、もちろん表示されません。 

だたし、ファイルへのURLは「100%流出しない」とは限りません。
お客様がメールにURLを記載したことがきっかけで流出してしまう、という可能性もなくはありません。 

万が一の流出にそなえ、情報へのアクセスを遮断できる用意を最初にしておくことが重要です。 

.htaccessで直接参照を拒否する

こうすることで 

  • googleなどに万が一archivesへのリンクがクロールされた場合

でも、リンク先を開くことができなくなります。
クリックしてもエラーが返され、画像やpdfなどを直接閲覧することはできません。
ただし、サイト内を閲覧しクリックした場合には、問題なく表示することができます。 

archives内に「.htaccess」を作成し、以下の様なコードを記載します。
太字のドメイン部分は、必要に応じて変更してください。

記載するコード

SetEnvIf Referer "^https://datafarm\.jp" ref_ok
Order Deny,Allow
Deny from all
Allow from env=ref_ok

archives、media-downloadをクロールさせない

・archives
・media-download 

については「そもそもクロールをさせない」に越したことはありません。
サイトにrobots.txtを設置し、該当するurlを含む場合にクロールをさせない準備をしておくことは重要です。
以下のテキストをサイトルートに設置することで、クロールを回避できます。 

robots.txtに記載するコード

User-agent: * 
Disallow: */media-download/*
Disallow: */archives/*

不要なRSSを削除する

Google Search Consoleでサイトマップ登録をしていなくても、ページのソース内にRSSへのリンクがあると、googleはクロールを行います。 

会員制サイトの場合は、更新通知をそもそも必要としないケースもあります。 

不要なRSSへのリンクは削除
中身が空白のrss2.xmlを利用テーマに用意する

などの対策を必要に応じてしておきましょう。

万が一googleにクロールされていたら

Google Search Consoleから削除依頼を申請することで、対象URLを削除できます。 

削除ツールとセーフサーチ レポートツール 

運用における注意点

サイトのセキュリティをあげることで安全性は上がります。
ただし、運用の方法によっては 

セキュリティをあげたことで、思わぬエラーが出る

こともあります。
その様な場合には、セキュリティの方法を運用にあわせて調整します。

HTMLメールでの注意点

ポイント

・HTMLメールは、画像ファイルをサーバから直接参照する
・archivesのファイルを直接開けない場合、表示に問題が発生 

対策

・archives全体に制限をかけず、必要なブログフォルダ毎に制限をかけることで回避する

添付ファイル付きメールフォームでの注意点

ポイント

・メールフォームで添付ファイルを利用 

この場合、フォームから送信する添付ファイルはarchivesフォルダに蓄積されます。
個人情報が含まれた添付ファイル(履歴書など)が添付される可能性もあるので、 

・archivesフォルダを直接開けない様に、先だって対応しておく 

ことを忘れずに行う必要があります。 
 

フォームが設置されているブログで「画像」や「ファイル」ユニットを利用していない。
メディアしか利用していない場合に、思わぬ落とし穴になるかもしれません。


お困りごとをお聞かせください。

a-blog cmsについてのご相談、ご依頼など。
頂いた内容については、3営業日以内の返信を心がけております。

他社作成のa-blog cms修正、コーディング済htmlへのa-blog cms導入もOK。
小さなことから、お気になさらずお気軽にご相談ください。

  • 必須

    詳細を入力してください。

  • 必須

    お名前を入力してください。

  • 必須

    メールアドレスを入力してください。

    正しいメールアドレスを入力してください。



関連タグ

この記事をシェアする

その他のa-blog cms一覧