MT4にベーシック認証入れてみた

 今日さくらインターネットから下記メールが来ていて古いMovable Typeが危ないとの注意喚起が書かれていた。このブログはまさに古いMovable Typeに該当すると思うのだが、なんか外部からエントリーそのものが書き換えられるのだそうだ。
 で、最新のMTが入らないのは分かっているので、移行を念頭に国産のbasercmsていうのの最新ブログプラットフォームを入れてみたのだが、サーバにエラーが出てたので諦めた(ネット情報では入るはずだったのだが、バージョンが違ったのか、インストールの過程で失敗したのか)。
 しかたがないので、ググりながら頭をひねりMT4のエントリー書き込みをつかさどる(見る側は関係ないです)cgiファイルにベーシック認証をかけることにした。かなり簡易な認証なんだけど、それでもあるとないじゃ大違いらしく、該当cgiファイルにアクセスするのに一応パスワードが要求されることになる。暗号の設定に少し手間取ったものの、うまく投入できたみたいなのでよかった。
 しかしアクセスログを見ると、我が過疎ブログには今のとこそんなに怪しげなのはない感じというか、以前ロシア語のアダルト広告がコメント欄に連投されてコメント欄を認証制にしたんだけど、それ以降はきわめて平穏。まあ、あとは臨機応変に構えとこう。

追記(2014/05/24):
.htaccessで特定cgiファイルに対して自分のIP以外を弾くような設定を付加してしまった。ちょっと厳重すぎるというか、公衆LANとかネカフェから更新するのがやや面倒になってはしまうけど、そんな機会はたぶんあんまりない。これでIP制限に二重認証(ベーシック認証とMT本来の認証)てことで過疎ブログにしてはやや滑稽なほどの多重防御なわけだが、しばらくやってみるけど、飽きたらさすがに緩和していくかもしれない。サーバそのものをクラックされたらもちろんダメだがそれはサーバ会社側の範疇。


----------------------------------------------------------------------
【重要】Movable Type の利用に関する注意喚起
----------------------------------------------------------------------

                             2014年5月20日
お客様各位
                     さくらインターネット株式会社

平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうござい
ます。

この度、CMS「Movable Type」の古いバージョンにおいて、Webサイトの改ざん
が行われるケースが多数報告されているとして、コンピュータセキュリティ
関連の情報発信などを行うJPCERTコーディネーションセンターから注意喚起が
発表されています。

 ▼JPCERTコーディネーションセンター
  旧バージョンの Movable Type の利用に関する注意喚起
  https://www.jpcert.or.jp/at/2014/at140024.html

「Movable Type」ご利用のお客様におかれましては、下記ご参照の上、最新
バージョンへのアップデートをお願いいたします。

さくらインターネットでは、今後もよりよいサービスの提供が行えますよう、
精一杯努めて参ります。引き続き変わらぬご愛顧を賜りますようお願い申し上
げます。

| コメント(0) | トラックバック(0) |  

トラックバック(0)

トラックバックURL: http://purplebaby.opal.ne.jp/mt/mt-tb.cgi/230

コメントする

今日の日付

広告

月別 アーカイブ

※随時加筆修正する場合があります。

※コメント・サインイン用のOpenIDは、GoogleYahoo! JAPANmixiはてなlivedoor等のアカウントに、あらかじめ付属しているものがあります。

Powered by Movable Type 4.22-ja