Japanized for WooCommerce

[カード会員データの漏えい等対策] – クレジットカード・セキュリティガイドライン対策

in ,

2024年8月現在、クレジットカードの EMV-3D セキュア対応の連絡などが多くの決済代行会社から連絡が進んでいると思います。ネットショップは2025年3月までに EMV-3D セキュア対応以外にも「クレジットカード・セキュリティガイドライン」に対応する必要があります。もう時間も無くなってきておりますので、WooCommerce のサイトにおいての対策の記事を書くことにします。

まずは、クレジットカード・セキュリティガイドラインに関しては、以下のサイトで詳細を説明しているので、ご覧ください。

クレジットカード・セキュリティガイドライン対策 – [SoftSteps EC]

今回の記事では、この中の「カード会員データの漏えい等対策」に関して、レンタルサーバーでの具体的な対策方法を説明します。

WooCommerce を利用したネットショップにおいてのクレジットカードセキュリティガイドライン対策を施したサービスとして、以下のサービスを提供しております。開発会社等で対応してもらえない場合や、ご自身で対応できない場合はご検討ください。

WooCommerce 専用運営保守サービス

カード会員データの漏えい等対策

①管理者画面のアクセス制限と管理者のID/PW管理

WordPress の場合は wp-admin や wp-login.php にIPアドレスの制限かベーシック認証をつけなさいということです。

「Xserver」と「さくらのレンタルサーバー」の場合

管理画面から .htaccess を設定することによって、管理画面やログインページへIPアドレスの制限や Basic 認証をかけることができます。以下のページを参考に設定して下さい。

Xserver とさくらのレンタルサーバーではディレクトリに対して Basic 認証をかける機能が管理画面にあるのですが、wp-login.php などのファイル単位に Basic 認証をかけることが出来ないので、.htacccess に追記することによって実装する形になります。

※注意事項: このページで記載する .htaccess の記入例はあくまでも例となりますので、自己責任の元、設定して下さい。詳しい設定方法や機能についてはWebサーバー(Apache)の専門書籍をご確認ください。

IP アドレス制限を実装する場合の例

IP アドレス制限をする場合は、以下のように記載します。[xxx.xxx.xxx.xxx]が許可される IP アドレスとなります。

<FilesMatch "wp-login.php|wp-admin">
  Order deny allow
  Deny from all
  Allow from xxx.xxx.xxx.xxx
</FilesMatch>

Basic認証を実装する場合の例

Basic認証を.htaccessで実装する例は Vector さんのサイトに丁寧に説明されていましたので、そちらを参考にご対応ください。

WordPressの管理画面のセキュリティ対策にBASIC認証を設定しよう| 株式会社ベクトル

wp-login.php においての「ログイン画面のURLを変更」では、丸が付けられない

いくつかの WordPress のセキュリティー対策の一つとして、「ログイン画面の URL を変更」というのが、プラグイン等で提供されていますが、クレジットカード・セキュリティガイドラインに関しては、対応が不十分と判断される内容となります。ご注意ください。

②データディレクトリの露見に伴う設定不備への対策

公開ディレクトリには、重要なファイルを配置しない。

「さくらのレンタルサーバー」の場合

まず、WordPressをインストールする先が公開ディレクトリではない場合になります。例えば、https://www.test.com/wp/ に WordPress 本体をインストールしてしまった場合はwp-config.phpファイルを公開ディレクトリ外に配置することができません。あくまで、https://www.test.com/ 直下に WordPress 本体をインストールしている事が前提となります。その場合は一つ上のディレクトリに wp-config.php を移動することで対応できます。

ちなみに一つのサーバーに複数の WordPress をインストールしている場合は、wp-config.php が重ならないようにディレクトリ構成を注意する必要があります。

「Xserver」の場合

Xserver の場合は「WordPress 簡単インストール」を使う限り、wp-config.php を移動する事ができません。そのため、申告書には×をつけて、「各種対策未充足時における代替策」の部分に「wp-config.phpのパーミッションを600に設定」と記載してそれを実行する必要があります。デフォルトでは644となっていますので、手動で変更して下さい。

③ Web アプリケーションの脆弱性対策

三項目ありますが、基本的には WordPress 本体や WooCommerce や他のサードパーティーのプラグインのアップデートを定期的に行うようにします。出来れば1週間に1回程度が理想です。

また、カスタマイズした子テーマや拡張プラグインを使っている場合は WordPress 公式のプラグインの診断プラグイン Plugin Check (PCP) がありますので、これで診断を定期的に行い、最新のセキュリティ対応をしていることを確認する必要があります。

サーバー自体の PHP などに関しても、セキュリティーパッチ対応期間中のバージョンにしっかりあげる必要があります。現在、サポート終了しているのは PHP 8.0 なのでそれ以下の場合は対策が出来ていないということになります。早急にセキュリティーアップデート対応期間中のバージョンにあげる必要があります。

④マルウェア対策としてのウイルス対策ソフトの導入、運用

現在、レンタルサーバーでマルウェアチェックを提供しているレンタルサーバーはほぼありません。

そのため、マルウェアチェックのサービスは外部の物を導入しないといけません。基本的には、
WordPress の公式サービスである JetPack Sceruity を利用すれば、セキュリティ検知に対応できます。もちろん、JetPack Sceruity 以外にも複数のプラグインがありますが、それらを導入する際には、内容をしっかりと確認して検討する必要があります。

あと、マルウェア診断された後にしっかりと対応(除去および更新など)する事も必要です。

⑤悪質な有効性確認、クレジットマスターへの対策

この機能は現在、適切なプラグイン等が無いので、Japanized for WooCommerce PRO に実装することを検討しております。9月中には実装予定ですので、今しばらくお待ちください。

早めの対策を推奨

2025年3月までに対応すればいい内容となっていますが、現時点でも不正利用やセキュリティーの問題は多く取り出されていますので、早めの対応を推奨いたします。

委託先が見つからない場合などは、当サービスのご利用をご検討ください。

購入前無料相談に関して

ご興味をお持ちの商品やサービスについて、お気軽にご相談ください。30分間のZoomミーティングを通じて、ご購入前にご不明点や詳細を確認いただけます。相談は無料であり、ミーティング後にご購入を決めない場合でも全く問題ございません。安心してご相談いただけるよう、以下のリンクからお申し込みいただけます。

お申し込みの際には、次の手順に従ってください:

  1. 「主催者へのメッセージ」という欄に「WooCommerce 専用運営保守サービスについて」と記入してください。
  2. 予定している WEB サイトの URL を入力し、事前に気になる点があればその欄に記載してください。
  3. 「主催者へのメッセージ」の記載がない場合、登録されたメールアドレス宛に確認メールを送ります。
  4. 確認メールに返答がない場合、打ち合わせはキャンセルされる可能性があります。
購入前 30分 Zoom 相談