中途半端を極める

web関連で役に立ちそうなものを紹介いたします

MovableType

MovableTypeのバージョンアップをしたくない人必見!!簡単セキュリティ対策 MovableTypeのmt.cgiの名前を変更して管理画面にBASIC認証をかける方法

投稿日:2014年5月23日 更新日:

コンピュータセキュリティ情報を収集、配信するJPCERTコーディネーションセンターよ
旧バージョンの「Movable Type」「Movable Type Open Source」を利用している
WEBサイトにおいて、サイトが改ざんされる被害が多数報告されているとして、
注意喚起が発表されています。
https://www.jpcert.or.jp/at/2014/at140024.html

セキュリティアップデートを適用すればよいようなことを書いていますが、バージョンアップするとプラグインなどが使えるかどうか…と不安になる人も多いかと思われます。

面倒くさいからセキュリティアップデートしたくないという人やMT4やMT3など古いバージョンを使用している人は、比較的簡単なmt.cgiの名前変更と管理画面にBASIC認証をかける方法をお勧めします。

1.mt.cgiの名前を変更

mt.cgiをダウンロードし、適当な名前にリネームします。
サーバにあるmt.cgiは残しておいても動作に影響はしませんが、削除しておいた方がよいでしょう。
リネームしたmt.cgiをアップロードしたら、mt-config.cgiに以下のような記述を加えます。
(mt.cgiをhogehoge.cgiに変更した場合)

AdminScript hogehoge.cgi

mt-config.cgiに記述を書き加えたら、実際にリネームしたmt.cgiにアクセスできるか確認します。

※リネームは特定されにくいように以下のようなサイトでランダムに生成することをお勧めします。
http://www.luft.co.jp/cgi/randam.php

2.管理画面にBASIC認証をかける

(MTのシステムディレクトリに.htaccessと.htpasswordをアップロードする前提の説明です。)
まずは適当なテキストエディタでhtaccess.txtを作成します。

<Files ~ "^\.(htaccess|htpasswd)$">
deny from all
</Files>
AuthUserFile MTのシステムディレクトリへのフルパス/.htpasswd
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
AuthType Basic
order deny,allow
<Files hogehoge.cgi>
require valid-user
</Files>

※hogehoge.cgiとなっている部分は自分で変更したときの名前に変更してください。

同じく適当なテキストエディタでhtpasswd.txtを作成します。
パスワードの暗号化などはこちらのようなサイトで行ってください。
http://orange-factory.com/tool/crypt.cgi
生成されたものをコピーして貼り付けします。

htaccess.txtとhtpasswd.txtをMTのシステムディレクトリへアップロードし、
それぞれ.htaccess、.htpasswordというようにサーバ上でリネームします。

こういう作業は本当に面倒くさいですよね…

2014年5月27日追記

MovableTypeのプラグインで管理画面にBasic認証をかけられるプラグインなんてのもあるんですね。
http://junnama.alfasado.net/online/2014/05/basic_movable_type.html

-MovableType
-,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

関連記事

【MovableType】ユーザマスター用のロールの設定

MovableTypeでは細かくロールの設定ができます。 自由に記事の編集・投稿、カテゴリ追加・削除、アイテムの管理いろんなことがしたいといったような設定をご紹介します。ただエンドユーザにはテンプレー …

【MovableType】ブログ記事にNEWの文字をつける方法まとめ

MovableTypeでブログ記事を出力する時に「NEW」の文字をつけたい。そういうとき使用するコードをまとめました。 PHP、Javascriptなどを使用して出力します。MovableTypeを使 …

MovableTypeでRSS2形式のフィードを出力する

MovableTypeデフォルトのフィードはatom形式で出力されております。 RSS2形式でも出力したい場合どのようにすればよいのか、紹介いたします。 step1.該当ブログのインデックステンプレー …

【MovableType】MTで概要がない時は本文をいれないようにする

MTで概要がない時は本文をいれないようにする方法を記載します。 結構使います。

【MovableType】スパムコメントを受け付けなくする方法

スパムコメントの対応でいやな思いをしたことがある人必見 少しの作業で効果てきめんのスパムコメントを紹介いたします。 ※コミュニケーション設定でもある程度は防げますが、設定によっては通常のコメントもスパ …