コンピュータセキュリティ情報を収集、配信するJPCERTコーディネーションセンターよ
旧バージョンの「Movable Type」「Movable Type Open Source」を利用している
WEBサイトにおいて、サイトが改ざんされる被害が多数報告されているとして、
注意喚起が発表されています。
https://www.jpcert.or.jp/at/2014/at140024.html
セキュリティアップデートを適用すればよいようなことを書いていますが、バージョンアップするとプラグインなどが使えるかどうか…と不安になる人も多いかと思われます。
面倒くさいからセキュリティアップデートしたくないという人やMT4やMT3など古いバージョンを使用している人は、比較的簡単なmt.cgiの名前変更と管理画面にBASIC認証をかける方法をお勧めします。
1.mt.cgiの名前を変更
mt.cgiをダウンロードし、適当な名前にリネームします。
サーバにあるmt.cgiは残しておいても動作に影響はしませんが、削除しておいた方がよいでしょう。
リネームしたmt.cgiをアップロードしたら、mt-config.cgiに以下のような記述を加えます。
(mt.cgiをhogehoge.cgiに変更した場合)
[php]
AdminScript hogehoge.cgi
[/php]
mt-config.cgiに記述を書き加えたら、実際にリネームしたmt.cgiにアクセスできるか確認します。
※リネームは特定されにくいように以下のようなサイトでランダムに生成することをお勧めします。
http://www.luft.co.jp/cgi/randam.php
2.管理画面にBASIC認証をかける
(MTのシステムディレクトリに.htaccessと.htpasswordをアップロードする前提の説明です。)
まずは適当なテキストエディタでhtaccess.txtを作成します。
[php]
<Files ~ "^\.(htaccess|htpasswd)$">
deny from all
</Files>
AuthUserFile MTのシステムディレクトリへのフルパス/.htpasswd
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
AuthType Basic
order deny,allow
<Files hogehoge.cgi>
require valid-user
</Files>
[/php]
※hogehoge.cgiとなっている部分は自分で変更したときの名前に変更してください。
同じく適当なテキストエディタでhtpasswd.txtを作成します。
パスワードの暗号化などはこちらのようなサイトで行ってください。
http://orange-factory.com/tool/crypt.cgi
生成されたものをコピーして貼り付けします。
htaccess.txtとhtpasswd.txtをMTのシステムディレクトリへアップロードし、
それぞれ.htaccess、.htpasswordというようにサーバ上でリネームします。
こういう作業は本当に面倒くさいですよね…
2014年5月27日追記
MovableTypeのプラグインで管理画面にBasic認証をかけられるプラグインなんてのもあるんですね。
http://junnama.alfasado.net/online/2014/05/basic_movable_type.html