Movable Typeの不正ログイン対策。

2010年2月13日不具合修正及びIPホワイトリスト/ブラックリスト対応しました。最新版は以下から。

• [続]Movable Typeの不正ログイン対策。

環境設定で出来ないかなぁと思って見てみたんだけど...なさそうだったので「それplu」。

• 環境設定ファイル mt-config.cgi の設定 | Movable Type 4 ドキュメント

1時間以内にログインが3回失敗していたら(回数や時間は設定で変更可能)そのIPアドレスからはログインできなくなります。

安全性の検証はあまりしていません。MTのログをチェックして、(設定時間内に設定回数)ログインに失敗していたら以後、正しいIDとパスワードでログインしても強制的にログアウト(画面へリダイレクト)するようになります。

もしもあなたが正しいユーザーで、間違ってログインできなくなったら...それは知らんw

いや、プラグイン外せるなら、外してログインしてMTのログを消去すれば元通りです。まぁその間我慢すればいいんですけどね。

• Protection.zip(4KB)

もちろん、ミッション・クリティカルなサービスであればApacheの側でIPで制限するとか、正攻法で対策してくださいませ。

あと、念のため。ご利用は自己責任でお願いしますね。