Movable Typeを使っていると、
なんだか、セキュリティ面が気になる。
以下のサイトで具体的な懸念点や
対処方法が書かれている。
Movable Type における CSRF の可能性と各種対処法
気になっていた項目もあるんだが、
なんせ、ヤリ過ぎたら使い勝手が悪くなる。
mt.cgiの管理画面をどうにかしたいという
欲求は前々からあったので、
現実的且つ簡単な対応方法として、
mt.cgiの名前を変更する方法を選んだ。
.htaccessでのアクセス制限は何かと
不便だしヤリたくない。
というわけで、
以下のサイトを参考に設定を実施した。
mt.cgi のファイル名を変更する。
【参考設定】
1.まず「mt.cgi」を任意の名称に変更します。
ここでは、「blog777.cgi」に変更してみます。
2.mt-config.cgiの378行目付近を変更
# AdminScript mt.pl
↓
AdminScript blog777.cgi
3./lib/MT/App.pm ファイルのmt.cgi部分をblog777.cgiに置き換え。
4./search_templates/default.tmpl の<$MTEntryEditLink$>を削除。
5./search_templates/comment.tmpl の<$MTEntryEditLink$>を削除。
※公式な変更方法ではありませんので完璧ではないかもしれません…
Movable Type 3.2-ja-2の場合においても、
上記の設定変更が有効だった。
何れにせよ、ヤラれちゃった時の為に
バックアップとか設定手順書の作成は心掛けたい。
コメントする