Movable Typeの管理画面へのアクセスにID・PASS認証を挟む

MTの管理画面へのアクセスは、MTを知る人には容易に推測できてしまう。勝手にいじられたらやばい!そこで、IDとパスワードを入力するBASIC認証を挟むようにしてみた。

手順としては .htaccess の作成 → .htpasswd の作成 → さらに mt.cgi の名前変更 の流れ。

.htaccess の作成

  1. 以下のように記述する。

    <Files mt.cgi>
    AuthUserFile /パス/.htpasswd
    AuthGroupFile /dev/null
    AuthName "Enter ID and Password"
    AuthType Basic
    require valid-user
    order deny,allow
    </Files>
    

    パス のところは、次に作成する .htpasswd の置かれたパスを記述する。普通は以下のような感じ。

    AuthUserFile /home/ドメイン名/mt/.htpasswd
    
  2. 以上を、.htaccess として保存する。

.htpasswd の作成

  1. .htpasswd へ記述するパスワードは、.htpasswd 作成ツールを利用する。
    .htpasswdファイル生成(作成) (lufttools)

  2. ID と パスワード を入力し、「生成」を押すと暗号化された .htpasswd が生成される。

  3. 暗号化された ID:パスワード を貼り付け、.htpasswd として保存する。

mt.cgi の名前変更

  • 管理画面にアクセスするCGIの名前を変更しておくと不正にアクセスされにくい。

  1. mtフォルダ にある管理画面のCGI、mt.cgi のファイル名を任意のものに変更する。

  2. .htaccess の mt.cgi 指定部分を変更する。

    例えば kanri.cgi とした場合、.htaccess の以下の部分を変更する。

    <Files mt.cgi>
    ↓
    <Files kanri.cgi>
    
  3. MTに管理画面CGIが変更されたことを認識させるため、mtフォルダの config.cgi に以下を追記する。

    AdminScript kanri.cgi
    

作成した .htaccess と .htpasswd をFTPで mtフォルダ に置く。

これで、名前を変更した管理画面のCGIにアクセスすると以下のような画面が出る。

正しいIDとパスワードを入力すると、管理画面が開く。これでセキュリティ度アップ!というか、今まで入れてなくてやばかった!

参考
Movable Type 管理画面に BASIC 認証を設定する

コメント(0) トラックバック(0)