ファイルやフォルダにアクセス制限をかける

MovableTypeにはmt-config.cgiやdbディレクトリといったシステム設定に関するファイルが存在しますが、これらが何らかの形で第三者に取得・解析された時、セキュリティ上問題が発生する可能性があります。
MovableTypeをデフォルトの状態でインストールした場合、ディレクトリ構造やファイル名は第三者にもある程度予想できるためURLを直接打ちこむことで取得されてしまいます。

そこで、 .htaccess ファイルを作成しmt-config.cgiにアクセス制限をかけてみました。
mt-config.cgiと同ディレクトリに設置した .htaccess ファイルの中身は下記のとおり。

<Files mt-config.cgi>
deny from all
</Files>

上記が特定ファイルだけにアクセス制限をかけるのに対し、フォルダ内の全ファイルにアクセス制限をかける場合には、ファイル名で指定していた部分を * に変更するだけで完了。

<Files *>
deny from all
</Files>

これで、アクセス制限のかけられたファイルやフォルダにアクセスを試みようとすると「403 Forbidden」と表示されます。
「403 Forbidden」とは、「アクセスが禁止されています」というエラーです。

▽参考サイト
からくり屋ブログ:そもそもMovableTypeはどこにインストールするか?
小粋空間:mt-config.cgi のアクセス制限について
nlog(n):mt.cfg とデータベースを守る

関連記事

  1. NO IMAGE
  2. NO IMAGE

    2009.08.20

    WP-DBManager
  3. NO IMAGE
  4. NO IMAGE

    2010.02.16

    Quick Comments
  5. NO IMAGE
  6. NO IMAGE

    2008.11.17

    MovableType4.22

コメントをお待ちしております