デジタリストBlog

« 前の記事 | トップ

2019年02月01日

movable type open source で実施したセキュリティ対策

movable type open source で実施したセキュリティ対策に関するメモ。

2019年、世間のサーバーインストール型のブログCMSはすっかりWordpressに置き換わり、書店を訪れてもmovable typeの書籍はほとんど無い。一方でmovable typeは大規模なビジネスサイトの運営に力を入れていて、MT3の頃と比べてみれば個人向けサイトへのサポートは必要最小限になっている(それでも個人向け無償ライセンスがまだ提供されているだけでもありがたいことだが。これもいつまで続くことか...)。

例えば個人商店の小規模なサイトを運営していたり、慈善事業を行うNPO法人のブログを作ったりしていて、movable typeに高いライセンス料(現在は最小パックでも初年度9万円〜)を支払う余裕はなく、もう少しmovable type open source(MTOS)で粘りたいというサイトもあるだろう。セキュリティに懸念があるのでMT5系を使い続けるのは推奨されないが、かといってmovable typeを使うのをやめるのは敷居が高いという人もいる。なんとか工夫して、お金をかけずにMTOS 5.2.13でセキュリティを可能な限り高めつつ使用を継続する方法はないものか。

以下に、費用をかけずに実施できそうなMTOSのセキュリティ強化策をメモしておく。

FTPは暗号化通信を利用する(SFTP)

movable typeの管理画面をSSL化する

管理画面をBASIC認証にする

使用しないCGIのパーミッションを000にする

  • mt-comments.cgi(コメント機能を使用しない場合)
  • mt-data-api.cgi(DATA APIを使用しない場合)
  • mt-feed.cgi
  • mt-search.cgi(MTそのもののブログ内検索機能を使用しない場合)
  • mt-ftsearch.cgi(MTそのもののブログ内検索機能を使用しない場合)
  • mt-xmlrpc.cgi
  • mt-atom.cgi(ATOMフィードを使用しない場合)
  • mt-tb.cgi(トラックバック機能を使用しない場合)
  • mt-wizard.cgi
  • mt-upgrade.cgi(ただしMT本体やプラグインのアップグレードの際には必要)
  • mt-add-notify.cgi
  • mt-view.cgi
  • https://www.movabletype.jp/guide/movable-type-security-guide.html

mt.cgiそのもののファイル名を変更する

  • mt-1.cgiなどにする
  • mt-confit.cgiの中も書き変える必要がある

Posted at 2019/02/01(金曜日) 7:54

この記事を読んだ人はこんな記事も読んでいます

« 前の記事 | トップ

« 前の記事 | トップ