EC-CUBE4｜セキュリティチェックプラグイン（4.0系）をインストールしてみた

EC-CUBEの管理画面にログインするとおすすめのプラグインという項目があり、「EC-CUBE4セキュリティチェックプラグイン（4.0系）」が常に表示されており、気になりましたのでインストールしてみました。

おすすめのプラグインのリンクをクリックしてプラグインをインストールすることができました。
（オーナーズストアでの購入は必要ありませんでした）

Securitycheker4という名称でプラグイン一覧に追加されていればOKです。

プラグインを有効化して、設定ボタン（歯車のアイコン）が表示されたら、設定ボタンをクリックします。
（有効化して設定ボタンが表示されない場合はリロードしてみてください）

（余談ですが、プラグインを有効化して停止ボタンと設定ボタンがレイアウト崩れしているのが気になります…うちの問題だけかな？？？）

セキュリティチェックプラグインの画面を開くと、株式会社イーシーキューブと共有について、共有しない or　共有するのいずれかにチェックをしますが、今回は共有しないとしました。

共有すると、セキュリティリスクの分析にも役立つ情報が開発元にも届くので、結果としてEC-CUBE開発に寄与できることになると思いますので、今後検討したいと思います。

次に「約款に同意する」にチェックを入れ、画面右下のとセキュリティチェックを実行ボタンを押します。

セキュリティチェックの結果

以下がセキュリティ診断の結果です。

codeception が公開されていないか、という項目にcodeception フォルダが外部から存在確認出来ますと赤字で記載されています。

codeceptionとはなにか？と思い調べてみますとPHPコードをテストするテストフレームワークのようです。公式は英語のページとなりますが、以下のQiitaのページでわかりやすく解説されています。

・Codeceptionというテストフレームワークを使ってPHPのテストをする
https://qiita.com/Esfahan/items/44c38b15c36e1adb05ff

codeception が公開されていないか の対処方法

実際の運用サーバーでは codeception ディレクトリ（フォルダ）は必要ないとのことですので、念の為ローカル環境にバックアップととり、リモート側は削除しておきました。

codeception ディレクトリを削除した後、改めてセキュリティチェックを行うと結果はすべて問題なしとなりました。

セキュリティチェックプラグイン（4.0系）はインストールしておくと良い

今回、私の環境においては「codeception が公開されていないか」という項目のみ赤字のチェックが入っていましたので、その対処方法を記載しましたが、その他にも以下の内容がチェック可能です。

• var 以下のファイル、フォルダが公開されていないか
• vendor 以下のファイル、フォルダが公開されていないか
• .env が公開されていないか
• デバッグモードが有効になっていないか
• SSLが導入されているか
• 管理画面へのアクセスには常に SSL を利用しているか
• 不正が疑われるデータのチェック
• 会員情報
  • お届け先情報
  • 受注情報
  • 配送情報

しかし、カスタマイズやプラグインにより生じた脆弱性はチェックできないようですので、その点は理解した上で使う必要があります。

詳細はEC-CUBEセキュリティチェックプラグイン(4.0系)のページをご確認の上、ご自身の判断で導入してください。

・EC-CUBEセキュリティチェックプラグイン(4.0系)
https://www.ec-cube.net/products/detail.php?product_id=2040

以上、簡単な説明ですが、EC-CUBE4セキュリティチェックプラグイン（4.0系）の使い方から一部の対処方法を記載しました。

• ネットショップ