らっぱ王子

MTの管理画面へのアクセスは、MTを知る人には容易に推測できてしまう。勝手にいじられたらやばい！そこで、IDとパスワードを入力するBASIC認証を挟むようにしてみた。

手順としては .htaccess の作成 → .htpasswd の作成 → さらに mt.cgi の名前変更 の流れ。

.htaccess の作成

1. 以下のように記述する。

   <Files mt.cgi>
   AuthUserFile /パス/.htpasswd
   AuthGroupFile /dev/null
   AuthName "Enter ID and Password"
   AuthType Basic
   require valid-user
   order deny,allow
   </Files>
   

   パス のところは、次に作成する .htpasswd の置かれたパスを記述する。普通は以下のような感じ。

   AuthUserFile /home/ドメイン名/mt/.htpasswd
   

2. 以上を、.htaccess として保存する。

.htpasswd の作成

1. .htpasswd へ記述するパスワードは、.htpasswd 作成ツールを利用する。
   .htpasswdファイル生成(作成) (lufttools)

2. ID と パスワード を入力し、「生成」を押すと暗号化された .htpasswd が生成される。

3. 暗号化された ID:パスワード を貼り付け、.htpasswd として保存する。

mt.cgi の名前変更

• 管理画面にアクセスするCGIの名前を変更しておくと不正にアクセスされにくい。

1. mtフォルダ にある管理画面のCGI、mt.cgi のファイル名を任意のものに変更する。

2. .htaccess の mt.cgi 指定部分を変更する。

   例えば kanri.cgi とした場合、.htaccess の以下の部分を変更する。

   <Files mt.cgi>
   ↓
   <Files kanri.cgi>
   

3. MTに管理画面CGIが変更されたことを認識させるため、mtフォルダの config.cgi に以下を追記する。

   AdminScript kanri.cgi
   

作成した .htaccess と .htpasswd をFTPで mtフォルダ に置く。

これで、名前を変更した管理画面のCGIにアクセスすると以下のような画面が出る。

正しいIDとパスワードを入力すると、管理画面が開く。これでセキュリティ度アップ！というか、今まで入れてなくてやばかった！

参考
Movable Type 管理画面に BASIC 認証を設定する (NEO-SHOCKER.COM)