WWW WATCH

知っている人には当たり前すぎて何をいまさらな話ですが、ちょっと質問されたのでメモついでのエントリー。

Movable Type の管理画面 （mt.cgi） が丸見えなんで、そこに Basic 認証をかけたいって場合、MT のインストールディレクトリ以下のディレクトリに普通に Basic 認証かけちゃうと、検索やらコメントやらトラックバックが軒並み認証通らないと使えなくなっちゃいますよね、mt.cgi にだけ認証かけれませんかというのがいただいた質問。

ということで、.htaccess で特定ファイルにのみ Basic 認証かける方法を。 Basic 認証自体がセキュリティ的にどうかという話もあるかもしれませんが、対象が Blog の管理画面なら十分。

結論から書いてしまえば、.htaccess ファイルに下記のように記述すれば OK。.htpasswd は別途用意。

<Files mt.cgi>
AuthUserFile /path/to/.htpasswd
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
AuthType Basic
require valid-user
order deny,allow
</Files>

「mt.cgi」 のところはファイル名を変更している場合はそのファイル名に合わせてあげましょう。

ついでに mt.cgi のファイル名を変更しておくと、なおセキュアかも。まずは mt.cgi のファイル名を hogehoge_mt.cgi のように適用に変更し、元の場所にアップロード。次に mt-config.cgi に下記の1行を追加すれば完了。

AdminScript hogehoge_mt.cgi

もちろん、「hogehoge_mt.cgi」 の部分は変更したファイル名に。

.htaccess や .htpasswd の作成は 「.htaccess Editor」 が便利。

その他、Apache のユーザー認証や .htaccess に関しては下記を参考にどうぞ。

• Apache モジュール mod_auth
• Apache チュートリアル ： .htaccess ファイル

あと、対象となるファイルやディレクトリの指定方法は下記を。

• セクションの設定 ： Apache

Movable Type の mt.cgi ファイル名変更に関しては下記を。

• AdminScript ： Movable Type 4 環境変数リファレンス