中途半端を極める

web関連で役に立ちそうなものを紹介いたします

MovableType

MovableTypeのバージョンアップをしたくない人必見!!簡単セキュリティ対策 MovableTypeのmt.cgiの名前を変更して管理画面にBASIC認証をかける方法

投稿日:2014年5月23日 更新日:

コンピュータセキュリティ情報を収集、配信するJPCERTコーディネーションセンターよ
旧バージョンの「Movable Type」「Movable Type Open Source」を利用している
WEBサイトにおいて、サイトが改ざんされる被害が多数報告されているとして、
注意喚起が発表されています。
https://www.jpcert.or.jp/at/2014/at140024.html

セキュリティアップデートを適用すればよいようなことを書いていますが、バージョンアップするとプラグインなどが使えるかどうか…と不安になる人も多いかと思われます。

面倒くさいからセキュリティアップデートしたくないという人やMT4やMT3など古いバージョンを使用している人は、比較的簡単なmt.cgiの名前変更と管理画面にBASIC認証をかける方法をお勧めします。

1.mt.cgiの名前を変更

mt.cgiをダウンロードし、適当な名前にリネームします。
サーバにあるmt.cgiは残しておいても動作に影響はしませんが、削除しておいた方がよいでしょう。
リネームしたmt.cgiをアップロードしたら、mt-config.cgiに以下のような記述を加えます。
(mt.cgiをhogehoge.cgiに変更した場合)

AdminScript hogehoge.cgi

mt-config.cgiに記述を書き加えたら、実際にリネームしたmt.cgiにアクセスできるか確認します。

※リネームは特定されにくいように以下のようなサイトでランダムに生成することをお勧めします。
http://www.luft.co.jp/cgi/randam.php

2.管理画面にBASIC認証をかける

(MTのシステムディレクトリに.htaccessと.htpasswordをアップロードする前提の説明です。)
まずは適当なテキストエディタでhtaccess.txtを作成します。

<Files ~ "^\.(htaccess|htpasswd)$">
deny from all
</Files>
AuthUserFile MTのシステムディレクトリへのフルパス/.htpasswd
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
AuthType Basic
order deny,allow
<Files hogehoge.cgi>
require valid-user
</Files>

※hogehoge.cgiとなっている部分は自分で変更したときの名前に変更してください。

同じく適当なテキストエディタでhtpasswd.txtを作成します。
パスワードの暗号化などはこちらのようなサイトで行ってください。
http://orange-factory.com/tool/crypt.cgi
生成されたものをコピーして貼り付けします。

htaccess.txtとhtpasswd.txtをMTのシステムディレクトリへアップロードし、
それぞれ.htaccess、.htpasswordというようにサーバ上でリネームします。

こういう作業は本当に面倒くさいですよね…

2014年5月27日追記

MovableTypeのプラグインで管理画面にBasic認証をかけられるプラグインなんてのもあるんですね。
http://junnama.alfasado.net/online/2014/05/basic_movable_type.html

-MovableType
-,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

関連記事

【MovableType】CKEditor for Movable Type 1.075をIE11で利用すると画像がうまく挿入されない。

CKEditor for Movable Type を利用しているとうまく動作しない場合があります。大抵IEを利用している時に起こります。どのように対応すればよいのか調べてみましたので紹介いたします。

【MovableType】サーバにImage::Magickがインストールされていない時の対応法

サーバにImage::Magickがインストールされていない状態ですと、画像処理ができなくMovableTypeが正常に動作しません。ごくたまにImage::Magickが利用できず困ったことがあった …

MovableTypeでRSS2形式のフィードを出力する

MovableTypeデフォルトのフィードはatom形式で出力されております。 RSS2形式でも出力したい場合どのようにすればよいのか、紹介いたします。 step1.該当ブログのインデックステンプレー …

【MovableType】スパムコメントを受け付けなくする方法

スパムコメントの対応でいやな思いをしたことがある人必見 少しの作業で効果てきめんのスパムコメントを紹介いたします。 ※コミュニケーション設定でもある程度は防げますが、設定によっては通常のコメントもスパ …

【MovableType】違うサーバに移してログインしようとすると「必要なモジュールが見つかりません Digest::SHA」と表示されログインができない現象を解消

テスト環境と本環境が違う場合このようなエラーが出てログインができなくなる場合があります。その解消法を紹介いたします。(そもそも環境は合わせておくべきなのですが…)