- 2010年3月11日 19:54
- MT
MTの管理画面への不正アクセスを防止
MTの管理画面はデフォルトではmt.cgiというファイル名なので、そのことを知っている人はカンタンにアクセスできてしまいます。
そこで管理画面へ2つのセキュリティを掛ける方法をご紹介します。
mt.cgiファイルの名前を変更
ますひとつめは割りとカンタンな方法で、mt.cgiを任意の名前に変更してしまいます。
他人からは類推しにくい名前にしてしまえば、それだけでかなりの効果が得られるでしょう。
この方法を使う場合に気をつけることはひとつだけで、mt-config.cgiに
AdminScript 変更した名前.cgi
の一文を追加するだけです。どうです、カンタンでしょう?
さらにBasic認証で万全のセキュリティに
さて、さらにセキュリティを強固なものにするために、.htaccessを利用したBasic認証を掛けましょう。
Basic認証を掛けるには、『.htaccess』と認証時に入力するユーザー名・パスワードを設定する『.htpasswd』の2つのファイルが必要となります。
.htaccessには以下のように記述します。
<Files ~ "^\.ht">
deny from all
</Files>
<Files mt.cgi>
AuthUserFile /●●●/●●●/.htpasswd
AuthGroupFile /dev/null
AuthName "Enter ID and Password"
AuthType Basic
require valid-user
order deny,allow
</Files>
mt.cgiの部分は、先程変更したファイル名に変えてください。
AuthUserFileの/●●●/●●●/は.htpasswdファイルまでのパスが入ります。このパスが分からない場合は、先程一文を加えたmt-config.cgiのStaticFilePathを見てみてください。
先頭に記述した3行は、名前が.htになっているファイルへのアクセスを拒否するよという指定です。これによって.htaccessと.htpasswdへの外部からのアクセスをはじくことができます。
.htpasswdの作成
さて最後は認証時に入力するIDとパスワードを設定しましょう。
このID・パスワードは、たとえばIDをabc、パスワードを12345とした場合、.htaccessへ
abc:●●●●●●(12345を暗号化したもの)
と記述するのですが、その際にパスワードを暗号化しておく必要があります。
ではどうやって暗号化すればいいのかということになりますが、これも設定したID・パスワードを入力すると暗号化してくれるという、とても便利なサイトがありますので、ご紹介します。
ちなみに実際にBasic認証で入力するときのパスワードは暗号化された文字列ではなく、自分で決めた文字列(12345)ですので、お間違いなく。
以上で、Basic認証の設定も完了です。これで管理画面へのセキュリティはバッチリでしょう。
データベース(SQLite)へのセキュリティ
最後に、データベースにSQLiteを使用している場合のセキュリティです。
こちらも.htaccessへ下記のコードを記述します。
<Files ~ "^^db*">
deny from all
</Files>
これは.htaccessファイルへのアクセス拒否と同様、データベースフォルダへのアクセスを禁止する指令です。
以上で、MTへのセキュリティは完了です。これで安心してブログを楽しめますね。
- Newer: 404エラーページをつくってみた
- Older: デザインテンプレートの適用
Comments:0
Trackbacks:0
- TrackBack URL for this entry
- http://www.imparl.net/mt/mt-tb.cgi/4
- Listed below are links to weblogs that reference
- MT管理画面・データベースのセキュリティ強化 from Web制作事件簿