警告メッセージに見えるものは

現在Magentoの管理画面にログインすると以下のようなメッセージが表示されるようになっています。驚かれた方もいらっしゃるのではないでしょうか。

popup security

Magento1系の場合

 



Magento2系の場合

特にMagento1系の場合、CRITICALとして表示されるので

  • 「セキュリティに問題が?」
  • 「フィッシング詐欺か?」
  • 「急いで何かをしないといけないのか?」

など不安に思われる事と思います。

弊社にも既に不安になられたお客様から何件かお問い合わせいただいております。

こちらは、Magentoの管理画面を「総当り攻撃」によるパスワードのハッキングから保護するための設定方法を紹介してくれているもので、何か問題があることを示しているわけではありません。

管理画面を総当り攻撃から保護する

「詳細を読む」のリンク先では次のように、管理画面を総当り攻撃から保護する方法が紹介されています。

  1. 管理画面のURLを確認する
    Magentoでは管理画面のURLを変更する機能が備わっています。/adminなどの推測されやすいURLはできるだけ避けることを推奨します。
    設定画面としては、次のリンクをたどっていったところになります。
    • Magento1系の場合: メニューの システム > 設定 > 高度な設定 > 管理 > 管理ページベースURL
    • Magento2系の場合: メニューの 店舗 > 設定 > 高度な設定 > 管理者 > 管理ページベースURL
  2. 管理者ユーザのセキュリティを高める
    Magentoでは管理者ユーザのパスワード試行回数やログインセッションの時間を設定できるようになっています。パスワードを間違えても良い最大回数やパスワード再発行のリクエストをできるだけ少なく設定し、不正なログインから守ることを推奨します。
    設定画面としては、次のリンクをたどっていったところになります。
    • Magento1系の場合: メニューの システム > 設定 > 高度な設定 > 管理 > セキュリティ
    • Magento2系の場合: メニューの 店舗 > 設定 > 高度な設定 > 管理者 > セキュリティ
  3. CAPTCHAを有効にする
    Magentoでは管理者ユーザのログイン画面にCAPTCHAが備わっていますので、こちらを有効にして総当り攻撃の対策をすることができます。CAPTCHAとは機械的なログイン操作を防ぐため、人間以外は認識しづらい文字を表示しその文字を入力することで人間の操作であるかどうかを確認するものです。
    こちらも以下の画面から設定可能です。
    • Magento1系の場合: メニューの システム > 設定 > 高度な設定 > 管理 > CAPTCHA
    • Magento2系の場合: メニューの 店舗 > 設定 > 高度な設定 > 管理者 > CAPTCHA

原文を確認する

「詳細を読む」をクリックしていただければMagento公式サイトで元の内容がご覧いただけます。
今回紹介されている方法以外でも、通称二段階認証と呼ばれる2つの要素を使った認証方式を採用できるモジュールのご紹介もされています。

security scan tool

未導入の方は是非導入を検討してみてはいかがでしょうか。