今日Movable Typeの管理画面に行くと、「Movable Type セキュリティ対策ガイドを公開しました」と通知がありました。これは見ておいた方が良いのでブログに覚書。

ーMovable Type セキュリティ対策ガイド

1. 最新の Movable Type を利用する
2. 管理画面に BASIC 認証をかける
3. 管理画面を SSL 通信にする
4. CGI スクリプト名を変更する
5. 使わないCGIスクリプトの権限を変える
6. パスワードの強度をあげる
7. ロックアウトを設定する
8. Data API の設定
9. サーバーのセキュリティの見直し

の項目からなっているようです。

私は別のサーバでMT用テーマの開発を行っているのですが、その開発の為のフォルダはweb上にキャッシュされたくないし、また、URL上からアクセスされるのを防ぐ為にBasic認証をかけています。でも、通常のサイト用のMT管理画面もBasic認証をかけた方が良いかもしれないと思いました。使わないCGIスクリプトを削除したりというのは、アルファサード様のブログ記事で読んで実行していました。SSLを通すのは以前一度やりかけた事があったのですが、当時はうまくいかなくて挫折した記憶があります。もう一度チャレンジしてみるのも良いかもしれません。上記の７．８辺りはSomething Newなので後でチェックしておこうと思います。