拙著「WordPress Web開発逆引きレシピ」が発売されました。
WordPressの様々なカスタマイズについて、逆引きの形式で取り上げています。
PHP 7.0での動作確認も行っています。
「第三者による不正アクセスの危険性」への対策
5月12日に、Movable Typeに「第三者による不正アクセスの危険性」の脆弱性があるということが発表されました。
元記事はこちら
上記のエントリーには、脆弱性への対策方法も書かれています。ただ、対策法の内容がいまいち分かりにくいのではないかと思います。
今回の脆弱性は、以下のようなものです。
盗聴等によって、Movable Typeのシステム(mt.cgi)へログインする際のIDやパスワードが知られてしまう可能性がある。
また、この脆弱性を助長する問題点として、以下のことがあります。
1.mt.cgiは、トラックバックを処理するCGI(mt-tb.cgi)や、コメントを処理するCGI(mt-comments.cgi)と同じディレクトリにある。
2.mt-tb.cgiやmt-comment.cgiの場所は、Blogを開いてHTMLのソースを見れば分かるので、そこからmt.cgiの場所が推測できる。
そこで、対策として「AdminCGIPath」を使う方法が挙げられています。
これは、以下のような作業をすることを指しています。
1.mt.cgiをmt-tb.cgi等とは別のディレクトリに移動して、mt.cgiを見つけにくくする
2.mt.cgiの移動先のディレクトリを、AdminCGIPathに指定する
これによって、仮にパスワード等が漏れたとしても、mt.cgiを見つけにくいので、ログインされにくくなるという仕組みです。
ただ、この「mt.cgiをmt-tb.cgi等とは別のディレクトリに移動する」ということが書かれていないので、対策法が分かりにくくなっています。
なお、mt.cgiを移動する手順については、小粋空間さんのこちらのエントリーに解説されていますので、そちらを参照ください。
最小限の作業で済ませる方法が解説されています。
ただし、ダイナミックパブリッシングを使っている場合は、上記エントリーの手順に加えて、「php」のディレクトリも移動することが必要になります。
なお、移動先のディレクトリにはなるべく分かりにくい名前をつけて、そのディレクトリが見つかりにくくしておくことをお勧めします。
また、可能な方は、mt.cgiを他のディレクトリに移動するだけでなく、.htaccessを使ってそのディレクトリにパスワードを設定するなど、二重三重の対策をしておくとより良いでしょう。