コンテンツメニュー

XoopsCubeLegacy を使いましょ~♪
    インストールしよう~♪
      ディストリビューション pack2011(XoopsX)
        ディストリビューションpack2011をインストールしよう!
        pack2011にアップグレードしよう!
        XCLのデザイン変更
        デザイナーの為のXOOPSマニュアル
          プロWEB制作者向けXOOPS基礎実習
          今日からあなたもテーマ職人
          basic5を3カラム対応に改造する
          ローカル環境
            WARP
            テーマ
              Colors2x
              Colors3x

              テーマ選択

              screenshot

              (59 テーマ)

              ディストリビューションpack2011をインストールしよう!

              10 Protectorの設定

              Protectorは、XCLのセキュリティを高めてくれる有用なモジュールです。

              詳しい説明は別サイトに譲るとして、ここではやっておいた方が良い設定などを説明します。
              XUGJ ModuleManuals Protector
              http://www.xugj.org/modules/xpwiki/?ModuleManuals%2FprotectorV3

              管理画面左メニューの「Protector」から「一般設定」を選んでください。

              またも、「一般設定」という文字はどこにもありませんが、Protectorの一般設定画面です。

              Protectorの一般設定画面


              ここでの設定は、既にお奨め設定となっているので特に変更は必要ありません。

              ただし、F5アタックと見なす回数が20と少ないことから、訪問者が次々とリンクをクリックしていった場合、1分間で20回のクリックを超えると画面が真っ白となってしまうことがあります。

              そこで、F5アタックと見なす回数を30か40くらいに設定して、悪意あるクローラーと見なす回数を60とか80くらいにしても良いかもしれません。

              設定を変更したら、下部にある「送信」ボタンを押して確定してください。

              セキュリティガイド

              Protectorには、現在のサイトのセキュリティ状態を診断する機能があります。

              左メニューの「Protector」「セキュリティガイド」をクリックしてページを表示してください。

              まず、XOOPS_TRUST_PATHにWEBブラウザで直接アクセスできないことを確認してみましょう。

              「TRUST_PATH内のPHPファイルに直アクセスできないことの確認(リンク先が404,403,500エラーなら正常)」という文字列をクリックしてみてください。

              404や403、500などのエラー画面が表示されましたか?

              それであれば、OKです。

              もしも、ディレクトリなどの一覧やエラー画面以外が表示されるようなら、サーバの設定が間違っているか、XOOPS_TRUST_PATHの設置場所の誤りです。今一度、XOOPS_TRUST_PATHの設置場所を確認・検討する必要があります。

              また、サーバによっては、XOOPS_TRUST_PATHをROOT直下に配置した場合もあるでしょう。

              その場合もディレクトリ一覧やエラー画面以外が表示されることと思います。

              その場合、XOOPS_TRUST_PATH直下にDENY FROM ALLの一行を持つ.htaccessを追加するなどして、XOOPS_TRUST_PATH内に直接アクセスできないようにする必要があります。

              その他の項目については、末尾に緑色でOKと表示されていますが・・・

              おっと、末尾に赤色で非推奨となっているものがありますね。これも、解消しておきましょう。

                              

              これについては、XUGJの下記記事が参考になります。
               http://www.xugj.org/modules/xpwiki/?ModuleManuals%2FprotectorV3#g4d8564f

              「XOOPS Cube 2.1 Legacy の場合は、以下のようになります。」と書かれている箇所を参考にして、 mainfile.phpにprecheckのための記述を追加しましょう。

              ここで追加するのは、現にサーバにあるmainfile.phpですから、先ほどバックアップしておいたmainfile.phpを利用するのが良いでしょう。(もしものため、バックアップしたmainfile.phpは、別途保存しておきましょう。)

              末尾、99行目の次の記述

              if (!defined('_LEGACY_PREVENT_LOAD_CORE_') && XOOPS_ROOT_PATH != '') {
                      include_once XOOPS_ROOT_PATH.'/include/cubecore_init.php';
                      if (!isset($xoopsOption['nocommon']) && !defined('_LEGACY_PREVENT_EXEC_COMMON_')) {
                          include XOOPS_ROOT_PATH.'/include/common.php';
                      }
                  }
              }
              ?>
              
              if (!defined('_LEGACY_PREVENT_LOAD_CORE_') && XOOPS_ROOT_PATH != '') {
                     include XOOPS_TRUST_PATH.'/modules/protector/include/precheck.inc.php' ;
                     @include_once XOOPS_ROOT_PATH.'/include/cubecore_init.php';
                     if (!isset($xoopsOption['nocommon']) && !defined('_LEGACY_PREVENT_EXEC_COMMON_')) {
                         include XOOPS_ROOT_PATH.'/include/common.php';
                     }
                     include XOOPS_TRUST_PATH.'/modules/protector/include/postcheck.inc.php' ;
                  }
              }
              ?>
              
              に書き替えます。

              追記できたら、FTPにてサーバにてXOOPR_ROOT_PATH(html)にアップロード、上書きします。

              完了したら、管理画面をリロードして確認してみましょう。


              はい。全てOKになりましたね。

              お疲れさまでした。これで、インストールとインストール後の作業が完了です。

              さて、ここからはお待ちかねのサイト構築です。
              さあ、どんなサイトを作るかは・・・あなた次第です。

              まずは、テーマ変更とかデザインを変えてみましょうか?
                http://xoops123.com/modules/pico/index.php?content_id=50

               

              • Sec9-1. 初めての管理画面
                9 サイトが表示されたら・・・ 9-1 初めての管理画面 では、まずは管理画面を見てみましょう。 XCLでは、モジュールやテーマのインストール、ブロックの…続きを読む (2011-11-24)  
              • Sec9-2. 管理画面で設定しておくべきこと
                9 管理画面の表示(初めての管理画面) 9-2 管理画面で設定しておくべきこと ここまで来たら、本当のインストール完了! さて、追加モジュールをインストー…続きを読む (2011-11-24)  
              •   »  Sec10. Protectorの設定(2011-11-24)

              • 最新のディストリビューション XoopsX (ten)
                最新のディストリビューション XoopsX (ten) 2013年現在、pack2011に変わる新しいディストリビューション XoopsX がリリースされています。 XoopsXでは、p…続きを読む (2013-10-14)  

              コメント一覧

              投稿ツリー


              新しくコメントをつける

              題名
              ゲスト名
              投稿本文
              より詳細なコメント入力フォームへ
              kuma   投稿日時 2012/8/27 12:31

              解消出来ました。ありがとうございます。
              初心者なのでまた初歩的な質問をするかもしれません。
              すみませんが宜しくおねがいします。

              marine  投稿日時 2012/8/25 22:10

              kumaさん、こんばんは。

              え~っと、ほかの投稿へお答えさせていただきましたけど・・・
              register_globals off
              'allow_url_fopen' : off
              にした方が、セキュリティ的に良いということですね。

              なので、設定を変更された方が良いということで・・・
              ご利用になっているサーバ会社が php.ini を直接編集できるなら、それを編集して反映してください。
              場合によっては、サーバの管理画面(WEB)でそれらの変更ができることもあるようです。
              もしくは、.htaccess の設置で反映できるものもありますね。

              その辺り、ご確認のうえ、ご対応していただければと思います。

              kuma   投稿日時 2012/8/25 13:29

              何度もすみません
              下記のメッセージが解消出来ません。
              どのようにしたらいいですか?

              以前!xoopsを使った時には問題なかったのですが・・・
              .htaccessの設置も問題ないと思うのですが?
              教えてください。
              ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
              'register_globals' : on 非推奨
              この設定は、様々な変数汚染攻撃を招きます
              もし、.htaccessを置けるサーバであれば、XOOPSインストールディレクトリの.htaccessを作るか編集するかして下さい

              /usr/home/x106116/html/xoops/.htaccess

              php_flag register_globals off
              'allow_url_fopen' : on 非推奨
              この設定だと、外部の任意のスクリプトを実行される危険性があります
              この設定変更にはサーバの管理者権限が必要です
              ご自身で管理しているサーバであれば、php.iniやhttpd.confを編集して下さい
              そうでない場合は、サーバ管理者にお願いしてみて下さい
              'session.use_trans_sid' : on 非推奨
              セッションIDが自動的にリンクに表示される設定となっています。
              セッションハイジャックを防ぐためにも、XOOPSインストールディレクトリに.htaccessを作るか編集するかして下さい
              php_flag session.use_trans_sid off