MovableTypeのセキュリティ対策。.htaccessでMT配下にアクセス制御。

MTのセキュリティ対策

最終更新日:2017年8月16日

MovableTypeはそのままだとインストールディレクトリ配下に誰でもアクセス出来ます。
ログイン画面へのアタックも可能です。

MT6ではこれを防ぐために、管理関係のファイル名を好きなファイル名に変更できるようになりました。

https://www.movabletype.jp/guide/movable-type-security-guide.html

さらに安全にするためには、MTインストールディレクトリ配下へのすべてのアクセスを弾く方法があります。

※管理者は固定IPである必要があります。

インストールディレクト直下に、「.htaccess」ファイルを作成し、以下を記述します。

.htaccess

order deny,allow
deny from all
allow from (許可する固定IPを書く。 例:111.111.11.11)
<Files ~ mt-search.cgi|mt-comments.cgi>
allow from all
</Files>

一旦すべてのアクセスを拒否してから、指定した固定IPのみアクセスを許可しています。
続いて、特定のファイルのみアクセスを許可しています。
この例では、MovableTypeの検索機能とコメント機能を使うためのファイルのみアクセス許可をしています。
これを書かないと、これらの機能が使えなくなってしまいます。
他のファイルも許可する場合は、同じようにパイプ(|)で区切って記述します。

固定IPがない方でも、同じように記述してグローバルIPアドレスを都度書き換えれば出来ます。
アクセス情報
こちらにアクセスして出てくるのが、現在のグローバルIPアドレスです。
固定回線であれば、ルーターの電源を切る等しなければあまり変わりません。

フリーでWEBのお仕事をする場合は、固定IPを取得しておいたほうがいいです。
結構固定IP必須の案件多いので。
私は、固定回線もモバイルWifiも固定グローバルIPを取得しています。

コメント(0)

  • ※コメント確認画面はありません。
  • ※コメント投稿後は再読み込みをしてください。
CLOSE ×