MT5のセキュリティ対策

2018年現在のMTの最新バージョンはMT7です。つまりMT5はかなり古いバージョンということになり、開発もサポートも既に終了しています。自動インストールで用意されてるのが何故そんな古いバージョンなのかというと、ライセンスの関係でMT6以降はオープンソース版がなくなってしまったからです。そのため、MT5を使うには自分の責任でセキュリティに気をつける必要があります。そのための一番簡単な方法はMTの設置場所や本体スクリプトを分かりにくくすることですね。以下にその方法をメモ。

■MTのディレクトリ名を推測されにくいものにする

こちらでも書きましたが、「mt」「mt5」等ではMTの場所がまるわかり。簡単に推測できないオリジナルな名前にすること。

■mt.cgiのリネーム

これもデフォルトのmt.cgiのままでは本体スクリプトがまるわかり。URL直打ちで攻撃されます。これも簡単に推測できないオリジナルな名前に変更しておきます。仮にhoge.cgiに変えたなら、mt-config.cgiに

AdminScript hoge.cgi

と記入。これでMTがhoge.cgiで動くようになります。

*mt-config.cgiは設定ファイルなので、拡張子.cgiでもパーミッションは700にしないこと。600にしておきます。

■コメント・サーチcgiのリネーム

スパム対策も兼ねてコメントcgiやサーチcgiもリネームしておきます。mt.cgi同様にmt-config.cgiに追記。以下はhoge-***に変更する例。

CommentScript hoge-comments.cgi

SearchScript hoge-search.cgi

*コメントやサーチを使わないならバックアップして削除しちゃうのが一番ベスト。トラックバックも使わないならトラバ用cgiも削除でOK。

■使わないcgiは断捨離

以下のcgiはインストールが終わったら必要ないものなので、バックアップを取って削除。

mt-check.cgi
mt-wizard.cgi
mt-testbg.cgi
mt-upgrade.cgi

その他のcgiも使わないものは実行権限を落とすかバックアップして削除。
取りあえずブログ書くだけならmt.cgiだけあればいいです(^^;。

■管理画面にBasic認証を

XREAはコンパネから簡単にBasic認証が作れるので、さらに厳重にしたい方はMTディレクトリに認証をどうぞ。

以上で運営準備完了。楽しいブログライフを!

関連する記事

このサイトについて

雑記 2018/10/10

テンプレートを変更

雑記 2018/10/09

ドメイン設定とSSL化

雑記 2018/10/06