BaserCMSをインストールした直後の状態では、管理画面のURLが「/admin/」となっています。
管理画面URLが初期設定のままだと、第三者から管理画面の場所を推測されやすくなり、ブルートフォース攻撃(総当たり攻撃)の対象となる可能性があります。
また、初期管理ユーザー名として「admin」を使用している場合は、さらに攻撃を受けやすくなるため注意が必要です。
この記事では、BaserCMSの管理ユーザー名および管理画面URLの変更方法について解説します。
管理ユーザー名「admin」を使用しない
BaserCMSの初期設定では、管理者ユーザー名として「admin」が利用されることがあります。
攻撃者は多くの場合、まず「admin」というユーザー名を前提にパスワードを試行します。そのため、ユーザー名が推測されやすい状態は好ましくありません。
まだ変更していない場合は、推測されにくい管理ユーザー名へ変更することをおすすめします。
例えば以下のようなユーザー名は避けた方がよいでしょう。
- admin
- administrator
- baser
- webmaster
できるだけ推測されにくいユーザー名を設定してください。
管理画面URL(/admin/)を変更する
BaserCMS 2.1.0以降では、設定ファイルを編集することで管理画面URLを変更できます。
設定ファイルを編集する
以下のファイルを開きます。
app/Config/core.php
次の記述を探します。
Configure::write('Routing.prefixes', array('admin'));
「admin」の部分を任意の文字列へ変更します。
例えば、
Configure::write('Routing.prefixes', array('securelogin'));
と変更した場合、管理画面URLは以下のようになります。
https://example.com/securelogin/users/login
設定後は、従来のURLである
https://example.com/admin/users/login
ではアクセスできなくなります。
URL変更時の注意点
管理画面URLを変更した場合は、変更後のURLを必ず控えておきましょう。
URLを忘れてしまうと管理画面へアクセスできなくなり、再度設定ファイルを確認する必要があります。
また、保守担当者が複数いる場合は、変更内容を記録として残しておくことをおすすめします。
キャッシュをクリアする
設定変更後に反映されない場合は、キャッシュが残っている可能性があります。
管理画面から削除する
管理画面へログインし、
システムナビ → サーバーキャッシュ削除
を実行します。
または、
システム設定 → ユーティリティ
からも実行できます。
FTPで手動削除する
管理画面へアクセスできない場合は、FTPソフトなどを使用してキャッシュを削除します。
対象フォルダは以下です。
app/tmp/cache/
各フォルダ内のキャッシュファイルを削除してください。
ただし、以下のようなファイルは削除しないよう注意してください。
.gitkeep
empty
これらはフォルダ構成の維持に利用されている場合があります。
ブラウザキャッシュも確認する
サーバー側のキャッシュを削除しても反映されない場合は、ブラウザキャッシュが原因のことがあります。
ブラウザのキャッシュを削除するか、シークレットモード(プライベートブラウズ)で動作確認を行ってみてください。
まとめ
BaserCMSの管理画面URL変更は、比較的簡単に実施できるセキュリティ対策のひとつです。
特に以下の項目は実施しておくことをおすすめします。
- 管理ユーザー名「admin」を使用しない
- 管理画面URL(/admin/)を変更する
- 強力なパスワードを設定する
- 不要な管理者アカウントを削除する
- 定期的にアップデートを行う
管理画面URLの変更だけで攻撃を完全に防げるわけではありませんが、不要なアクセスや自動攻撃を減らす効果が期待できます。
BaserCMSを安全に運用するための基本的なセキュリティ対策として実施しておきましょう。
コメントを残す