MTの管理画面へのアクセスは、MTを知る人には容易に推測できてしまう。勝手にいじられたらやばい!そこで、IDとパスワードを入力するBASIC認証を挟むようにしてみた。
手順としては .htaccess の作成 → .htpasswd の作成 → さらに mt.cgi の名前変更 の流れ。
.htaccess の作成
以下のように記述する。
<Files mt.cgi> AuthUserFile /パス/.htpasswd AuthGroupFile /dev/null AuthName "Enter ID and Password" AuthType Basic require valid-user order deny,allow </Files>
パス のところは、次に作成する .htpasswd の置かれたパスを記述する。普通は以下のような感じ。
AuthUserFile /home/ドメイン名/mt/.htpasswd
-
以上を、.htaccess として保存する。
.htpasswd の作成
-
.htpasswd へ記述するパスワードは、.htpasswd 作成ツールを利用する。
.htpasswdファイル生成(作成) (lufttools) -
ID と パスワード を入力し、「生成」を押すと暗号化された .htpasswd が生成される。
-
暗号化された ID:パスワード を貼り付け、.htpasswd として保存する。
mt.cgi の名前変更
-
管理画面にアクセスするCGIの名前を変更しておくと不正にアクセスされにくい。
-
mtフォルダ にある管理画面のCGI、mt.cgi のファイル名を任意のものに変更する。
-
.htaccess の mt.cgi 指定部分を変更する。
例えば kanri.cgi とした場合、.htaccess の以下の部分を変更する。
<Files mt.cgi> ↓ <Files kanri.cgi>
-
MTに管理画面CGIが変更されたことを認識させるため、mtフォルダの config.cgi に以下を追記する。
AdminScript kanri.cgi
作成した .htaccess と .htpasswd をFTPで mtフォルダ に置く。
これで、名前を変更した管理画面のCGIにアクセスすると以下のような画面が出る。
正しいIDとパスワードを入力すると、管理画面が開く。これでセキュリティ度アップ!というか、今まで入れてなくてやばかった!
参考
Movable Type 管理画面に BASIC 認証を設定する (NEO-SHOCKER.COM)
コメント