「basic認証+archives」でのセキュリテイを上げる
basic認証をかけているサイトにおいて
- 内容が外部に流出してしまう
ことは、当然避けたい事案です。
では、basic認証のかかったサイトのセキュリティをあげるためには、何を考えればいいのでしょうか。
サイトは3つのURLを経由する
- a-blog cmsにおいて、サイトは主に3つのURLを経由します。
- 例えば、datafarm.jp/member
というドメインがあった場合
- テキスト情報は「member」
- 画像はやファイルは「archives」
- メディアを利用した場合は「media-download」
という文字列を含んだurlを経由します。
- datafarm.jp/member
- datafarm.jp/archives
- datafarm.jp/member/media-download
それぞれに分けて、セキュリティ対策を考える必要があります。
basic認証のかかったブログについて
- datafarm.jp/member
にgooglebotがアクセスしようとした場合。
basic認証がかかっているのでアクセスすることはできません。
それに加えて「robots.txt」にクロールをしない様に設定する。
これにも十分に意味があります。
ただし将来的に「basic認証を解除した」場合。robots.txtから該当ディレクトリを除外しなければいけません。
お客様がrobots.txtをコントロールができない場合は、無理にrobots.txtで除外しなくても大丈夫かと思います。
archivesフォルダのファイルを、直接開かせない
- datafarm.jp/archives
archivesフォルダのトップは、直接開くことはできないようになっています。
そこに含まれているファイル一覧も、もちろん表示されません。
だたし、ファイルへのURLは「100%流出しない」とは限りません。
お客様がメールにURLを記載したことがきっかけで流出してしまう、という可能性もなくはありません。
万が一の流出にそなえ、情報へのアクセスを遮断できる用意を最初にしておくことが重要です。
.htaccessで直接参照を拒否する
こうすることで
- googleなどに万が一archivesへのリンクがクロールされた場合
でも、リンク先を開くことができなくなります。
クリックしてもエラーが返され、画像やpdfなどを直接閲覧することはできません。
ただし、サイト内を閲覧しクリックした場合には、問題なく表示することができます。
archives内に「.htaccess」を作成し、以下の様なコードを記載します。
太字のドメイン部分は、必要に応じて変更してください。
記載するコード
SetEnvIf Referer "^https://datafarm\.jp" ref_ok
Order Deny,Allow
Deny from all
Allow from env=ref_okarchives、media-downloadをクロールさせない
・archives
・media-download
については「そもそもクロールをさせない」に越したことはありません。
サイトにrobots.txtを設置し、該当するurlを含む場合にクロールをさせない準備をしておくことは重要です。
以下のテキストをサイトルートに設置することで、クロールを回避できます。
robots.txtに記載するコード
User-agent: *
Disallow: */media-download/*
Disallow: */archives/*不要なRSSを削除する
Google Search Consoleでサイトマップ登録をしていなくても、ページのソース内にRSSへのリンクがあると、googleはクロールを行います。
会員制サイトの場合は、更新通知をそもそも必要としないケースもあります。
・不要なRSSへのリンクは削除
・中身が空白のrss2.xmlを利用テーマに用意する
などの対策を必要に応じてしておきましょう。
万が一googleにクロールされていたら
Google Search Consoleから削除依頼を申請することで、対象URLを削除できます。
運用における注意点
サイトのセキュリティをあげることで安全性は上がります。
ただし、運用の方法によっては
・セキュリティをあげたことで、思わぬエラーが出る
こともあります。
その様な場合には、セキュリティの方法を運用にあわせて調整します。
HTMLメールでの注意点
ポイント
・HTMLメールは、画像ファイルをサーバから直接参照する
・archivesのファイルを直接開けない場合、表示に問題が発生
対策
・archives全体に制限をかけず、必要なブログフォルダ毎に制限をかけることで回避する
添付ファイル付きメールフォームでの注意点
ポイント
・メールフォームで添付ファイルを利用
この場合、フォームから送信する添付ファイルはarchivesフォルダに蓄積されます。
個人情報が含まれた添付ファイル(履歴書など)が添付される可能性もあるので、
・archivesフォルダを直接開けない様に、先だって対応しておく
ことを忘れずに行う必要があります。
フォームが設置されているブログで「画像」や「ファイル」ユニットを利用していない。
メディアしか利用していない場合に、思わぬ落とし穴になるかもしれません。
投稿がお役に立ちましたら、いいねをしていただけると嬉しいです。
お困りごとをお聞かせください。
a-blog cmsについてのご相談、ご依頼など。
頂いた内容については、3営業日以内の返信を心がけております。
他社作成のa-blog cms修正、コーディング済htmlへのa-blog cms導入もOK。
小さなことから、お気になさらずお気軽にご相談ください。
投稿がお役に立ちましたら、いいねをしていただけると嬉しいです。
その他のa-blog cms一覧
-
FileMaker
FileMaker の自習室にて「Claris Connect を使って Outlook 経由でスクリプトを実行する(Claris FileMaker - 10分でスキルアップ)」が公開されました
動画内のサンプルがダウンロードできます。 ダウンロードはこちらから この動画のこぼれ話Claris Connect自体を私も十分に使いこなせているとは言えないので、自身の勉強も兼ねながらの動画作成となりました。Out...
続きを読む
-
FileMaker
FileMaker の自習室にて「Claris Connect を使って Chatwork に新着状況・タスク追加を実行する(Claris FileMaker - 10分でスキルアップ)」が公開されました
動画内のサンプルがダウンロードできます。 ダウンロードはこちらから この動画のこぼれ話Claris ConnectからChatWorkへの連動は、Claris Connectがリリースされてから割と早い段階で、実例としてサンプルになっ...
続きを読む
-
a-blog cms
AIで営業メールを判定し、管理者への送信を防ぐ「DFフォームガード」を公開しました
新しく開発したa-blog cmsの拡張アプリ「DFフォームガード」について、具体的な機能や設定方法を詳しくご紹介します。ダウンロードはこちらからhttps://github.com/datafarmjp/acms-df-form-guard/releases/lates...
続きを読む
-
a-blog cms
記事制作をもっとスムーズに。a-blog cms専用拡張アプリ「DF入力支援」を公開しました
サイト運用の現場では、記事の下書き作成、Markdown原稿の反映、誤字脱字の確認、文章の一括修正など、細かな作業が日々発生します。一つひとつは小さな作業でも、積み重なると大きな負担になります。「DF入力支...
続きを読む
-
a-blog cms
a-blog cms に「いいね」機能を追加できる拡張アプリ「DFいいね」を公開しました
このたび、a-blog cms のエントリーに「いいね」ボタンを追加できる拡張アプリ 「DFいいね」 を公開しました。GitHub にて無料で公開しています。最新版ダウンロード: https://github.com/datafarmjp/acms-df-lik...
続きを読む
-
a-blog cms
a-blog cms拡張アプリで管理画面「だけ」真っ白になった原因
a-blog cmsの拡張アプリを開発している中で、ある環境だけ管理画面が真っ白になる問題がありました。状況としては、次のような状態です。ローカル環境では問題なく動いている別のサイトでも動いているフロント側...
続きを読む
