ってもうこれ10日以上前ですけど(汗) アップグレードしましたよん。
しかし、以前に比べると格段にアップグレードが簡単になったような気がしたのはわたしだけでしょうか?
もしそうでないとすれば、Six Apart の皆様がいろいろ工夫を重ねられた末のことなんでしょう。多謝♪
さてと、わたくしなりの追記でございます。
コメントフォームを加工してのコメントスパム対策としては MT3.2 とほぼ同じ方法が使えます。ただし、3.2用と3.31用では mt-comments.cgi に異なる部分がありますので、必ず MT3.31用(3.3 以降用)の mt-comments.cgi に手を加えたものを使ってください。
あと、アップグレードとは直接関係がありませんが、この機会にセキュリティがらみでひとつ気がついたことがあるので、ちょっと書いておきましょう。
実はかなり前から、アクセスログにしばしばこんなメッセージが出るようになっていました。
X 日XX 時間前 | ログイン名、またはパスワードが正しくありません。 (IPアドレス: XXX.XXX.XXX.XXX)
IPアドレスは、調べてみると見知らぬ異国、ブラジルとかウクライナなんかになっていたことも珍しくありません。
MT の管理メニュー CGI は .htaccess で BASIC 認証をかけて、実質わたししかアクセスできないようにしているはず。何度かユーザ名とパスワードを変更しましたが、効果がありません。どうもBASIC認証を突破しようとしているわけでもなさそうです。
さて、今回のアップグレードの時、MTのソースを見ていてふと思いました。
前から気づいていたのですが、MTの「本体」は、MTディレクトリのトップにあるファイルたちというよりは、むしろ lib ディレクトリや extlib ディレクトリの下にある .pm ライブラリファイルのほうにあります。
ヤツらはもしかしてそのライブラリを直接アクセスしようとしているのではないでしょうか。
そこで、ブラウザから lib ディレクトリ内にあるライブラリファイルをアクセスしてみました。
いきなりソースが出てきました。 (怖っ!)
うむ、ここがセキュリティホールになっていることは大いにありうることでしょう。
extlib, lib, データベース用ディレクトリは、プログラム内部からアクセスすべきファイルばかりですので、 .htaccess で蓋をすることにしました。
魔法の呪文は簡単です。
deny from all
蓋をしたあとは、念のため管理メニューやコメント等がちゃんと動作するかもチェックしておきましょう。
これでも異国の見知らぬ誰かがおいたをするようであれば、別の対策を考えなくっちゃですわ。
* comments *