| タイプ |  |
| 有料/無料 | 無料 |
| ライセンス | GPL |
| 執筆時のバージョン | 1.00.01 |
| ユーザ登録の要否 | 不要 |
- ここに掲載している記事は執筆時点のものです。内容が古くなっている事もありますのでご注意下さい。
- ここで紹介しているエクステンションの利用を推奨するものではありません。ご利用は自己責任でお願いします。
- ご自分が利用しているエクステンションの最新情報は常に確認しましょう。様々なエクステンションで日々脆弱性が見つかっており、あなたのサイトがクラックの被害に遭わないとも限りません。脆弱性情報はこちら。
- ファイルの改ざんを検出できるエクステンション。正常な状態のファイルのハッシュ値を計算して保存しておき、後から比較する事で改ざんを検出する。
- その他セキュリティ設定をガイドする機能などがある。
インストール・日本語化
ダウンロードしたコンポーネント(com_guardxt.zip)をJoomla!のバックエンドからインストールします。日本語化する場合は、上記の「言語ファイル」リンクからGuardXTのランゲージパックをダウンロードし、コンポーネントと同様にバックエンドからインストールして下さい。以下は日本語化した状態での説明です。
使い方
「コンポーネント」→「GuardXT」を選択すると次のような警告画面が表示されます。というのも、GuardXTにはサーバやPHPの設定を変更する機能を搭載しているため、よく理解せずに利用すると404エラーやInternal Server Errorでサイトにアクセスできなくなる恐れがあるためです。GuardXTを使用する前に、何らかのファイルにアクセスする手段(FTPやファイルマネージャ等)を持つことが必要です。また1.99ユーロでクイックガイドが購入できるようですので、心配な方は購入すると良いかもしれません(英語です)。よく理解できたら「このメッセージを表示しない」にチェックを入れ、「閉じる」をクリックします。
「セキュリティニュース」には、Joomla!の脆弱性に関する最新情報が表示されます。これはJoomla! Security AnnouncementsのRSSを取得しているようです。
「Version Checks」には、Joomla!とGuardXTそれぞれの最新バージョンについての情報が表示されます。旧バージョンを使用していると次のように赤い警告となります。「すぐにアップデート!」をクリックすると、joomla.orgにアクセスできます。また「追加コンポーネントをチェック」では、その他のコンポーネントのバージョンを確認しようとするのですが、すべて「不明」と表示されてしまうので利用する意味はありません。
「ファイル保護」の部分が、GuardXTの核となる部分です。インストール直後では、赤い警告で「初期化はまだ実行されていません」と表示されています。その右横にある「すぐに初期化!」をクリックし、「データベースの初期化は~」という確認メッセージが表示されたらOKをクリックします。この操作を行う事で、サイトで使用している全ファイルのハッシュ値をデータベースに格納されます。なおJoomla!のコアファイルのハッシュ値については、guardXTにハッシュ値のテキストファイルが同梱されているので計算は行わずそれを利用するようです。もしエラーが出る場合、GuardXTのサイトからJoomla!のバージョンと一致するハッシュファイルをダウンロードし、/administrator/components/com_guardxt/assets/hashes へアップロードする必要があります。
初期化を実行しても何も変わらない(赤い警告のまま)場合、MySQLの設定ファイルmy.cnfのmax_allowed_packetの容量を上げる事で動作する可能性があります(デフォルトでは1MB)。この値はphpMyadminのSQLタブで「SHOW VARIABLES」と実行すると確認できます。例えばさくらインターネットの場合は約4MB、エックスサーバの場合は約1MBに設定されており、おそらく1MB程度では正常に動作しません。一般的な共用レンタルサーバの場合、my.cnfの編集が許可されていないため、この機能の利用はあきらめるしかありません。
では改ざんを検知してみます。このまま改ざんチェックをしても、当然何も変わっていないので何も検知されません。そこで試しに「サイト」→「基本設定」から、どれでもいいので設定項目を変更し保存して下さい。これによってJoomla!のルートフォルダにあるconfiguration.phpが変更されます。その後GuardXTの画面へ戻り「すぐにチェック」をクリックすると、「時間がかかる」旨のメッセージが表示されますがOKを押します。しばらくすると「ファイルがチェックされました」というメッセージが表示され、赤い警告だったマークが緑色に変わります。その下にある「1 件の未確認ファイル・フォルダ変更」をクリックすると、どのファイルが変更されたのかが確認できます。今回の場合はconfiguration.phpが1件のみ「Modified」 と表示されます。これ以外にも、新たにファイルが追加された場合は「Added」、削除された場合「Deleted」のように表示されます。
また画面右上の「設定」をクリックすると、チェック終了時にメールを送るアドレスや、チェックをスキップするフォルダなどが指定できます。
ここではGuardXTの仕組みを知るために初期化とチェックを同時に行いましたが、初期化はサイトの構成がある程度固まった時点で行って下さい。でないとエクステンションをインストールしただけで大量のログが出力されることになります。またチェック作業を毎日手動で行うのも大変なので、Cronを利用して定期的に実行しましょう。Cronで実行する場合は、/components/com_guardxt/cron.guardxt.phpを実行するように設定して下さい。Cronの設定方法については、お使いのサーバ管理者/事業者に確認して下さい。参考までに、さくらインターネットで設定するコマンドを記載しておきます。
cd /home/アカウント名/www/administrator/components/com_guardxt/;/usr/local/bin/php ./cron.guardxt.php 1> /dev/null
これ以外に、パーミッションのチェックも行ってくれます。「すぐに確認」のリンクをクリックすると、非推奨のパーミッションを持つファイルやフォルダの一覧が表示され、個別または一括で推奨のパーミッションへ設定できます。ただし正常に動作しなくなるエクステンションもあるかもしれないので注意が必要です。
「Joomla!サーバ設定チェック」の欄では、Joomla!関連のセキュリティ設定についてガイドしてくれます。右横にあるリンクをクリックすると、その項目に応じて設定の変更などが行われます。
「PHP Checks」の欄では、PHPに関するセキュリティ設定についてガイドします。php.iniファイルや.htaccesファイルで設定する内容になります。この設定を誤ると、サイトにアクセスできなくなる恐れもありますので細心の注意を払って設定して下さい。
