「WordPressで学ぶPHP(1)変数・制御構造編」が発売されました。
「WordPressで学ぶPHP」シリーズの第1巻で、WordPressを通してPHPを学んでいく本です。
この本では、PHPの基本となる変数と制御構造について解説します。
Kindle本で、定価500円です。
「第三者による不正アクセスの危険性」への対策
5月12日に、Movable Typeに「第三者による不正アクセスの危険性」の脆弱性があるということが発表されました。
元記事はこちら
上記のエントリーには、脆弱性への対策方法も書かれています。ただ、対策法の内容がいまいち分かりにくいのではないかと思います。
今回の脆弱性は、以下のようなものです。
盗聴等によって、Movable Typeのシステム(mt.cgi)へログインする際のIDやパスワードが知られてしまう可能性がある。
また、この脆弱性を助長する問題点として、以下のことがあります。
1.mt.cgiは、トラックバックを処理するCGI(mt-tb.cgi)や、コメントを処理するCGI(mt-comments.cgi)と同じディレクトリにある。
2.mt-tb.cgiやmt-comment.cgiの場所は、Blogを開いてHTMLのソースを見れば分かるので、そこからmt.cgiの場所が推測できる。
そこで、対策として「AdminCGIPath」を使う方法が挙げられています。
これは、以下のような作業をすることを指しています。
1.mt.cgiをmt-tb.cgi等とは別のディレクトリに移動して、mt.cgiを見つけにくくする
2.mt.cgiの移動先のディレクトリを、AdminCGIPathに指定する
これによって、仮にパスワード等が漏れたとしても、mt.cgiを見つけにくいので、ログインされにくくなるという仕組みです。
ただ、この「mt.cgiをmt-tb.cgi等とは別のディレクトリに移動する」ということが書かれていないので、対策法が分かりにくくなっています。
なお、mt.cgiを移動する手順については、小粋空間さんのこちらのエントリーに解説されていますので、そちらを参照ください。
最小限の作業で済ませる方法が解説されています。
ただし、ダイナミックパブリッシングを使っている場合は、上記エントリーの手順に加えて、「php」のディレクトリも移動することが必要になります。
なお、移動先のディレクトリにはなるべく分かりにくい名前をつけて、そのディレクトリが見つかりにくくしておくことをお勧めします。
また、可能な方は、mt.cgiを他のディレクトリに移動するだけでなく、.htaccessを使ってそのディレクトリにパスワードを設定するなど、二重三重の対策をしておくとより良いでしょう。