Security Notes
==============

Minimal Kojin-site CMS には、個人サイト向けの基本的な安全対策を入れています。
ただし、どのようなCMSでも完全な安全を保証するものではありません。
設置後は、サーバー設定や運用面でも対策を行ってください。


最初に必ず行うこと
------------------

1. インストール完了後、install.php を削除してください。
2. 管理IDとパスワードは推測されにくいものにしてください。
3. サーバー上に配布zip、バックアップzip、古いPHPファイルを置いたままにしないでください。
4. data と uploads を定期的にバックアップしてください。


パーミッションについて
----------------------

多くのレンタルサーバーでは、次の状態で問題ありません。

- フォルダ: 755
- ファイル: 644
- .htaccess: 644

通常は手動変更不要です。
インストール時に書き込みエラーが出る場合だけ、data と uploads のパーミッションを確認してください。

安易に 777 に変更することはおすすめしません。
必要な場合は、サーバー会社の案内に従ってください。


設置後に確認すると安心なこと
----------------------------

次のようなURLにアクセスして、表示・ダウンロードされないことを確認してください。

- https://example.com/data/site.sqlite
- https://example.com/data/

実際のURLは、自分のサイトURLに置き換えてください。

もし data/site.sqlite が表示またはダウンロードできてしまう場合は、すぐに公開を止め、サーバーの .htaccess 設定や公開フォルダの配置を確認してください。


上級者向けの追加対策
--------------------

必要に応じて、以下も検討してください。

- 管理画面のURLを変更する
- 管理画面にBasic認証を追加する
- 管理画面だけIPアドレスでアクセス制限する
- 海外からのアクセスを制限する
- サーバーのWAFを有効にする
- FTPではなく、可能であればFTPS / SFTPを使う
- サーバー管理画面、FTP、CMS管理画面のパスワードを使い回さない

これらはサーバーや契約プランによって設定方法が異なります。
設定を誤るとサイトや管理画面にアクセスできなくなる場合があるため、必ずバックアップを取ってから行ってください。


問題を見つけた場合
------------------

不具合やセキュリティ上の懸念を見つけた場合は、配布元サイトに記載の連絡先から連絡してください。
