OneThird CMS

Lightweight CMS for Small website, Web application framework.

Download Document

japanese

メールアップデータの使い方

OneThird CMSでは、よりセキュアな運用方法としてメールアップデータ機能を提供しています

メールアップデータでは、メールサーバーを仲介することにより、安全にデータをサーバーに送ることができます


※ この方法を使うと本番環境にはログインできません

※ 会員制サイトなどのプラグインやRSS pubsubhubbub等のログインする機能はご利用いただけません


OneThird CMSのメールアップデータが安全な理由


最近のホームペーでは、

手口が主流になっています

逆に言うと、ログインシステムを使わずに、かつFTPも使わなければ大半の攻撃を防げることになります

そこで、メールアップデータでは、Webサイトからログインシステムを排除し、メール経由でアップロードする方法をサポートしました

具体的には、以下のステップでデータをサーバに送ります


動作の概要

  1. ローカルPCでWebサイトを構築する
  2. バックアップツールでバックアップデータを作成、データをメール送信
  3. サーバー側にメールを送信したことを伝える
  4. サーバーがメールサーバーからデータを取り出し処理(リストア)


セキュリティ上のポイント


なぜ、FTP転送だとだめなのか?

FTP転送機能を持っているCMSは存在します

しかし、FTP転送の場合FTPサーバー機能または、ファイルアップロード機能をサーバーに持たせなければいけません

ファイルアップロード機能は、他のユーザーに対してアクセスを開放することになりますので、IDとパスワードが漏れればそこからクラッキングされてしまいます

そこで、外部にアクセスを解放するサーバー動作をやめて、データをメールサーバー経由し、サーバーにメールクライアント動作を行わせます

そうすると、アカウントにまつわる脆弱性が入り込むスキを大幅に軽減することが可能になります


具体的な操作方法

メールアップデータを使うには以下の手順で運用します

※ ここでは、SQLiteを利用した場合を想定して説明します


事前準備1 : ローカルPCに構築した環境を本番環境にコピーする

  1. ローカルPCにホームページを構築する
  2. 配布ファイルのinstall.phpをインストールフォルダに追加コピー(インストール完了時に自動削除されるため)
  3. config.phpと.htaccessを削除して、本番環境のURLを開くとインストール完了


事前準備2 : メールアップデータプラグインをインストール

  1. メールアップデータプラグインをダンロードし、ローカルのインストールフォルダにコピー
  2. インストールフォルダ/admin/mail_updater.php を開く
  3. 「mail settings」をクリックし、メール設定画面を開く
  4. 各種サーバー設定を行う (site urlは、本番環境のURLです、ローカル環境のURLではないので注意してください)


事前準備3 : メールアップデータプラグインを本番環境にインストール

事前準備1,2でメール設定やサーバー制御用phpのリネームなど必要な処理が自動調整されます

調整されたファイルをそのままサーバーにコピーし、不要な制御プログラムを削除すれば事前準備完了です

インストールフォルダ/admin/のphpはupdaterフォルダ以外全て削除します

これで事前準備は完了です、以後FTPは使用しません




※ config.php の session_start()をコメントアウトすることをおすすめします


次に、メールアップデータの使い方を説明します


メールアップデータの操作方法