Site icon Tips Note by TAM

【Movable Type】Movable Typeのセキュリティ対策

運用中のMovable Typeのサイトに対してやれる、
セキュリティ対策を集めてみました。




Movable Typeを安全に使うには、何より「最新版を使う」ということが一番大切です。

でも既に運用稼働中の案件では、プラグインの対応状況やサーバのスペック、またアップデートにかかる
コストなどの問題で、そうそう簡単には最新バージョンに切り替えられないことが多いです。

そんなときに、「とりあえず」「比較的簡単に」できる対処方法を集めてみました。

■管理画面にアクセス制限をかける ベーシック認証やIP制限をかけます。最も簡単で、すぐできる方法です。 合わせて管理画面をSSLにするとなおよいのですが、SSLが無理な場合は、 定期的にベーシック認証やMTサインインのIDPWを変えるなどの 運用ルールを作ると良いと思います。
※検索機能や動的パブリッシングを利用している場合は mt.cgiファイルのみにベーシック認証をかけるようにします。 MTファイルのディレクトリ全体にアクセス制限をかけてしまうと、 動的な各機能が使えなくなってしまうため、注意が必要です。
■管理画面のURLを変える いつもの管理画面URL、「xxx/xxxx/mt.cgi」の 「mt.cgi」の部分を変更します。 「mt.cgi」はMTユーザーなら誰でも知っているファイル名なので、 これを他人が予測しにくいものに変えてしまいます。 ファイル名の変更は、mt-config.cgi 上で 環境変数「AdminScript」を設定して行います。以下のように記述します。
AdminScript hogehoge.cgi
上記「hogehoge」の部分に変更後のmt.cgiファイルの名前を書き、 実際のファイル名も変更します。 ⇒「AdminScript」参考 http://www.movabletype.jp/documentation/appendices/config-directives/adminscript.html
■使わないcgiファイルの実行権限を外す インストール後は使われないcgiファイル、またブログの機能として使っていないcgiファイルは 削除、もしくは実行権限を外してしまいます。 例えばインストール完了後は、以下のcgiファイルは使われません。 mt-check.cgi、mt-wizard.cgi、mt-testbg.cgi、mt-upgrade.cgi 比較的新しいMTではインストール後自動的に無効化されるものもありますが、 古いバージョンだとそのまま残ってしまっているので、手動で権限を変更します。   また、コメント機能を使っていなければ、mt-comments.cgi は必要ありませんし、 検索機能を使っていなければ、mt-search.cgi も要りません。 これらも全て、実行権限を外してしまいましょう。
もうひとつ、こんな対策もありました。

■アップロードアイテムを制限 サーバ上におかしなファイルを設置されないよう、MTからアップロードできるアイテムを限定します。 環境変数「AssetFileExtensions」を使います。 例えばjpeg、gif、pngの画像ファイルだけしか記事で使用しないブログであれば、 mt-config.cgi に以下のように記述します。
AssetFileExtensions jpe?g, gif, png
拡張子は正規表現で記述可能です。 ⇒「AssetFileExtensions」参考 http://www.movabletype.jp/documentation/appendices/config-directives/assetfileextensions.html
以上です。 基本的なことばかりですね。 簡単にできるのですぐやりましょう!