Movable Typeセキュリティ

Movable Typeセキュリティ

最近、話題のホームページ改ざんについて。

『ウチはちゃんとホームページ業者さんにお願いしてるから大丈夫!』

って仰る法人様のホームページがドンドン改ざんされているのを御存知ですか?

思う存分お金を使った政府機関のホームページが改ざんされてますので一般企業のホームページも改ざんされない理由がございません。。


すぐにでも対策せねばなりませんが、安全対策って、いくらくらいかかるのでしょう・・?


実は・・ 対策費はゼロ円 (タダで対策できます。)

Movable Typeのセキュリティ対策

コレ、実は非常に簡単で誰にでもすぐに出来ます。

はてなブックマークに追加 Google Bookmarks livedoorクリップに追加 ニフティクリップに追加 Buzzurlに追加 Yahoo!ブックマークに追加 つぶやく


ホームページを改ざんする=愉快犯で、大抵は外人の犯行です。

よって、海外向けに対策すれば効果的ですので意外に簡単です。

最近話題の総当たり攻撃 (そうあたりこうげき)によりIDやパスワードを盗まれて侵入されてしまい・・・

セキュリティを突破された後に、ホームページを改ざんされてしまうニュースが後を絶ちません。

これは、決して特殊なことではなく・・・★Movable Typeのインストールフォルダがバレれば
普通に攻撃されます。


★ かいざんを防ぐには??

ブログは外部からプログラムを動かして記事を書き込む機能がありますので・・・他人が勝手に動かして改ざんされると困ります!・・で、勝手にされないよう対策するわけでございます。

① 動くプログラムを規制すればOK!

・つまり、自分だけが動かせるようにすれば良いって事です。

#其のためにログインのIDとパスワードが有るわけですが・・それだけでは防ぎ切れないので改ざんされてしまうということです。

② 不要なプログラムは止めてしまえば良い。

Movable Typeを例にあげますと、最初のインストールの時しか使わないプログラムがありますが、設置業者様がそのまま放置してしまう事があります。
(mt-check.cgi mt-testbg.cgi mt-wizard.cgi mt-upgrade.cgi)

★インストールが終了したら削除するようにと、チャンと書いてあるんですけどね・・
http://www.movabletype.jp/faq/post-7.html

このプログラムを放置すると危険です!(使わないプログラムは削除しちゃいましょう!)

(つまり、普段の運用には全く使っていないプログラムが攻撃されるということです。)
例=http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-000043.html
http://www.intellilink.co.jp/article/vulner/130128_02.html

③ 当然ですが、外部の人にMovable Type や WordPressの設置場所を教えるのはNGです。


ちなみに このブログ(Movable Type)を設置してある場所はこちらですが・・
(もちろん!普通は教えちゃダメです。(^^ゞ)

ソコソコ対策してありますので、総当たり攻撃などで、ログインIDやパスワードを盗んで侵入するのは相当困難だと思います。
(多分、無理です。)

なぜなら、①と②を対策してあるからなのです。

備考:総当り攻撃とは?=こちらをクリック


④ ホームページ屋さんは、何でも知ってるので全部任せればOKと思ってはいけない。

自称プロで、それで飯食ってる人でも・・知らない人って結構います。


⑤ パソコンがウィルス感染しないよう、対策をする。
(至極当然ですが、忘れちゃいけません。)

ウィルス感染により他人にIDやパスワードを知られてしまうことはNGです。
Movable Typeのセキュリティ対策の一環ですので必ず対策しましょう。

無料体験版はこちらから

無料体験版はこちらから

ブログで人気!世界No1シェアのワードプレスのセキュリティ問題がクローズアップされている今日此の頃・・

やはり、サーバーを含めたセキュリティって大事です。



でも、ワードプレスだけが危なくて、Movable Typeにしとけば安全かというとそうでも有りません。

プログラムで動いている物はプログラムを丸裸にしておけばリスクが発生しますので

どちらもセキュリティはソレナリにしておかないと、無用なリスクを抱えることになります。

★とはいえ!なんでもかんでも、気にし始めるとキリがないですが・・最低限はやっておかねば!です。


★以下、何のことかわからない方も心配ご無用!!(最後に解説します!)


① とりあえず、投稿画面などの管理画面系統を第三者に見せなければだいぶ安全性が向上します。

② さらに、サーバーに接続できる条件を設定してしまえば、さらに安全です。

コレ、実は非常に簡単です。

★以下、何のことかわからない方も心配ご無用!!(最後に解説します!)

Movable Typeのインストールディレクトリに以下の.htaccessファイルを入れて、特定のIPアドレスからしか管理画面系のCGIにアクセスできないようにする。

allow from .国内プロバイダー.ne.jp などの箇所は自分のIPに置き換えます。

<Files ~ "(mt|mt-upgrade|mt-wizard|mt-xmlrpc)\.cgi$">
order deny,allow
deny from all
allow from .国内プロバイダー.ne.jp
allow from .国内プロバイダー.net
allow from .勤務先.co.jp
</Files>

ついでに、ftpアクセス制限で対策をしておけば、多分大丈夫。

コレ ↑ 万一、何のことかわからなければ・・・ホームページ屋さんに依頼しましょう!


依頼の仕方について。(下記をコピペしてホームページ業者さんに送るだけ。)

① Movable Typeのセキュリティアップのため、Movable Typeのインストールディレクトリに.htaccessファイルをアップして、特定のIPからしか管理画面系のCGIにアクセスできないようにして下さい。

例 

<Files ~ "(mt|mt-upgrade|mt-wizard|mt-xmlrpc)\.cgi$">
order deny,allow
deny from all
allow from .国内プロバイダー.ne.jp
allow from .国内プロバイダー.net
allow from .勤務先.co.jp
</Files>


② ホームページ改ざん対策としてホームページディレクトリトップに .ftpaccess をアップして下さい。

<Limit ALL>
order deny,allow
deny from all
allow from .国内プロバイダー.ne.jp
allow from .国内プロバイダー.net
allow from .勤務先.co.jp
</Limit>

③ 各ファイルには適切なパーミッションを設定して下さい。


たった3項目だけコピペしてホームページ業者さんに送信するだけでセキュリティが向上します。

さほど、手間はかかりません(数分で終わります。)ので、少額でやってもらえると思います。
(たぶんです。。)

さらに!適当なセキュリティ意識の希薄なサーバーで運用すると対策しててもセキュリティの穴を突破されます。

各社とも『自分の会社のサーバーは安全!』って言いますけどね・・駄目なとこはダメです。

安全なサーバーを選びましょう!!



それでも、どうしても分からない方は。。こちらへ

★ 超暇な時にだけレスポンスするかもしれません。。。^^;


追記  mt-check.cgi mt-testbg.cgi mt-wizard.cgi mt-upgrade.cgi を削除するか、パーミッション変えて動かなくしてから。。

Files ~ "^(mt|mt-xmlrpc|mt-config)\.cgi$" の方がベターかも?

例 

<Files ~ "^(mt|mt-xmlrpc|mt-config)\.cgi$">
order deny,allow
deny from all
allow from .国内プロバイダー.ne.jp
allow from .国内プロバイダー.net
allow from .勤務先.co.jp
</Files>


その他の対策。http://www.movabletype.jp/blog/secure_movable_type.htmlより引用。

使わないCGIスクリプトの権限を変える

Movable Type には、前述のように様々な CGI スクリプトが提供されています。利用状況によっては、利用していない CGI スクリプトもあると思います。そういった CGI スクリプトは、実行権限を与えないようにする事で安全性を高めることができます。

また、古いバージョンからの上書きアップグレードをしている場合は、現在配布していない機能の CGI スクリプトが残っている場合があります。利用していない機能であれば、それらの実行権限を無くしても問題ありません。

【解説】使ってないもんは止めとけって事です。

Movable Type が提供する機能と CGI スクリプト

Movable Type のコメント機能を利用していない

★mt-comments.cgi の実行権限を無くす

【解説】コメント機能使ってなきゃ止めてOKってこと。

トラックバック機能を利用していない ★mt-tb.cgi の実行権限を無くす

【解説】トラバ機能使ってなきゃ止めてOKってこと。

Movable Type Data API 機能を利用していない mt-data-api.cgi の実行権限を無くす

【解説】MT6の新機能:4とか5は対象外

ログフィード機能を利用していない mt-feed.cgi の実行権限を無くす
公開サイト側で Movable Type の検索機能を利用していない ★mt-search.cgi, mt-ftsearch.cgi の実行権限を無くす
【解説】検索機能使うか否かによる


XMLRPC 機能を利用していない
mt-xmlrpc.cgi の実行権限を無くす

【解説】mt-xmlrpc.cgi を使ってる場合=コレは自分だけ動かせれば問題は生じないので前述のように自分以外は動作不能になるよう規制すればOK!

Atom API 機能を利用していない mt-atom.cgi の実行権限を無くす
上書きアップグレードで残っている可能性がある CGI スクリプト
【解説】#補足=4とか5を使ってる人は普通にあるかも知れない。
mt-add-notify.cgi【mt5.12以前】 mt-view.cgi【普通は止めて良さげ】

インストール後は利用しない CGI スクリプト

mt-wizard.cgi mt-upgrade.cgi

【解説】前述の.htaccessファイルで停止・もしくは削除しておけば問題ない。

※ ただし、Movable Type や プラグインのアップグレード時に必要になります

まとめ

『よくわかんないから、放っておこう!』 って放置するから改ざんされるってことっす。


出来る範囲で対策したほうが良さそうかも??

あと、ウィルスは知らぬ間に感染することが多い上、感染しても気が付かないこともあるようです。

ウィルス感染により他人にIDやパスワードを知らえてしまう前に信頼性の高い対策ソフトで必ずウィルス対策しましょう。

無料体験版はこちらから

無料体験版はこちらから

2013年9月 5日|

カテゴリー:MT, MTOS, セキュリティ対策