Bluehawk's lab.

管理用mt.cgiについて

１．CGIのパスを無駄に出力しないように変更

MovableTypeにログインした後、自ブログ上で検索などを行うと「編集」ボタンが表示される。しかし、ほとんど使用しないのと「mt.cgi」へのパスが含まれるので、出力しないように変更。

テンプレート設定画面より検索キーワードで「MTEntryEditLink」を検索、当方の環境では「検索結果」テンプレートが対象となった。テンプレート内の「<$MTEntryEditLink$>」記述を削除。

２．mt.cgiのアクセスを限定

管理用のCGIへのアクセスを.htaccessにより制限設定。

例）

<Files mt.cgi>
order deny,allow
deny from all
allow from プロバイダ
allow from IPアドレス
</Files>

※上記のプロバイダ、IPアドレスはお好みで。

コメントスパム対策

１．投稿ボタンを押さないスパムボットによるコメント投稿を抑制

テンプレート設定画面より検索キーワードで「MTEntryIfCommentsOpen」を検索 、当方の環境では「エントリーアーカイブ」「コメント・プレビュー」が対象となった。コメント機能部分にMT-Keystrokesプラグインを設置。

【参考情報】

WEBデザインBLOG様　MT-Keystrokesプラグイン Movable Typeコメントスパム対策

プラグインダウンロード　Keystrokes for Movable Type

２．スパムを弾いたとしてもCGIは動いてしまうのでJavascriptによる予防策を実施（JavascriptによりURLを補完。Javascriptを解析しないスパムボットに有効）

（DOM未対応の対応と、Javascriptオフの場合に説明を表示するようにアレンジしてみました）

・コメントフォーム（上記MT-Keystrokesの修正箇所）のformタグに「id="comments_form"」を追加、「action="-"」もURLをハイフン（ダミー）に変更。（ハニーポット的なURLを設置するのもありかも）

<form method="post" action="-" name="comments_form" id="comments_form"
onsubmit="if (this.bakecookie.checked) rememberMe(this)">

・投稿ボタンの下あたりに以下のソースを設置

<script type="text/javascript"> <!-- if(document.getElementById){ document.getElementById('comments_form').setAttribute("action", ["<$MTCGIPath$>", "<$MTCommentScript$>"].join("") ); }else{ document.comments_form.action = ["<$MTCGIPath$>", "<$MTCommentScript$>"].join(""); } //--> </script> <noscript> <div>大変申し訳ありませんがコメントスパム対策により、コメントを送信するにはJavascriptが有効である必要があります。Javascriptを使わないサイドメニューの「お問い合わせフォーム」をご利用いただければ幸いです。</div> </noscript>

※noscript内の文章は、各自の環境に合わせてお好みで。

【参考情報】

OpenMagicVox.net様　JavaScriptを使ってスパムによるCGIの過負荷を防ぐ

トラックバックのURL隠蔽

１．トラックバックURL表示のJavascript化（JavascriptによりURLを補完。Javascriptを解析しないスパムボットに有効）

・トラックバックURLを表示しているテンプレート（通常は「エントリーアーカイブ」テンプレートが対象）のinputタグのvalueとidを以下のように適当なものに変更。

<input type="text" size="70" value="-" onClick="this.select();" id="tb_adrs" />

・上記inputタグの下あたりに以下のソースを設置

<script type="text/javascript"> <!-- if(document.getElementById){ document.getElementById('tb_adrs').value = ["<$MTCGIPath$>", "<$MTTrackbackScript$>", "/<$MTEntryTrackbackID$>"].join(""); }else{ document.write( ["<span>", "<$MTCGIPath$>", "<$MTTrackbackScript$>", "/<$MTEntryTrackbackID$>", "</span>"].join("") ); } //--> </script> <noscript> <span><$MTCGIPath$><!-- dummy --><$MTTrackbackScript$><!-- dummy -->/<$MTEntryTrackbackID$></span> </noscript>

※inputタグの「id="tb_adrs"」とJavascript内「getElementById('tb_adrs')」の名称は一致させておく。

２．トラックバックとコメントCGIのファイル名の変更

「mt-comments.cgi」「mt-tb.cgi」をリネームする。例えば「mt-comments.cgi」は「mtc-200704abcdefg.cgi」の様に適当な名前に変更する。変更後の新しいファイル名は「mt-config.cgi」で指定する。

mt-config.cgiに以下の記述を追加（変更）

CommentScript mtc???.cgi
TrackbackScript mtt???.cgi

※いきなりリネームしないで、変更後のファイル名で先にコピーして用意して、動作確認してから古いファイルを消すとうっかりミスがないかも。（実際にリネームするのではなく、htaccessのRewriteRuleを使う手も）

３．「MTEntryTrackbackData」の削除（予定）

テンプレート設定画面より検索キーワードで「MTEntryTrackbackData」を検索 、当方の環境では「エントリー・アーカイブ」「カテゴリー・アーカイブ」「日付アーカイブ」「メインページ」が対象となった。

「MTEntryTrackbackData」タグを削除することによりトラックバック用データの RDF出力を抑制でき、トラックバックスパムには非常に効果があるとされる方法。（しかし一部の自動処理などに若干支障が出るが、手作業でトラックバックする場合は問題なし）

トラックバックスパム対策の要とも言える措置だが、現状でどの程度、トラックバックスパムが推移するのか観察してみたいので一時保留。（近々実施予定）

【参考情報】

MovableTypeMEMO様　スパム・トラックバック対策３

その他、ついでにいくつか設定

１．検索エラーになりやすかったので、ThrottleSecondsを調整

（デフォルトの60秒は長すぎるので10秒に変更。コメント投稿の間隔などにも連動するので注意が必要）

mt-config.cgiに以下の記述を追加（もしくは変更）

ThrottleSeconds 10

２．TempDirの設定

（テンポラリディレクトリの設定を追加、MovableTypeのインストールディレクトリに「tmp」ディレクトリを作成）

mt-config.cgiに以下の記述を追加（変更）

TempDir ./tmp

MT用RORサイトマップのテンプレートソースコード

<?xml version="1.0" encoding="<$MTPublishCharset$>"?> <!-- This file is a ROR Sitemap for describing this website to the search engines. For details about the ROR format, go to www.rorweb.com. --> <rss version="2.0" xmlns:ror="http://rorweb.com/0.1/" > <channel> <title>ROR Sitemap for <$MTBlogURL encode_xml="1"$></title> <link><$MTBlogURL encode_xml="1"$></link> <item> <title>ROR Sitemap for <$MTBlogURL encode_xml="1"$></title> <link><$MTBlogURL encode_xml="1"$></link> <ror:about>sitemap</ror:about> <ror:type>SiteMap</ror:type> </item> <MTEntries lastn="9999"> <item> <link><$MTEntryPermalink encode_xml="1"$></link> <ror:updated><$MTEntryModifiedDate utc="1" format="%Y-%m-%dT%H:%M:%SZ"$></ror:updated> <ror:updatePeriod>week</ror:updatePeriod> <ror:sortOrder>0</ror:sortOrder> <ror:resourceOf>sitemap</ror:resourceOf> </item> </MTEntries><MTCategories><MTIfNonZero tag="MTCategoryCount"> <item> <link><$MTCategoryArchiveLink encode_xml="1"$></link> <ror:updatePeriod>day</ror:updatePeriod> <ror:sortOrder>0</ror:sortOrder> <ror:resourceOf>sitemap</ror:resourceOf> </item> </MTIfNonZero></MTCategories> <item> <link><$MTBlogURL$>sitemap.html</link> <ror:updatePeriod>week</ror:updatePeriod> <ror:sortOrder>0</ror:sortOrder> <ror:resourceOf>sitemap</ror:resourceOf> </item> </channel> </rss>

※生成されたソースの改行がそれっぽくなるように調整したので、一部のMTのタグの位置がアレです。

※一度、投稿した後はそれほど更新しないだろうということで、updatePeriodについては通常のエントリーをweek、その集合のカテゴリをdayとしています。

※当サイトでは人間用（？）サイトマップを生成していますので、最後の方にsitemap.htmlを追加しています。不要の場合は最後の<item>～</item>の部分を削除します。人間用サイトマップについては過去記事の「MovableTypeに階層式サイトマップを追加してみました」をご覧下さい。（共通サイトマップ形式で作った「sitemap.xml」等を指定するという考え方もあるようです）

※ROR形式のサイトマップを設置するには、トップページなどのHTMLの<head>～</head>内に以下のようにlinkタグを設置する必要があります。

<link rel="alternate" type="application/rss+xml" title="ROR" href="http://自サイトのURL/ror.xml" />

※RORのサイトROR

※お気づきの点等、お知らせいただけると助かりますm(_ _)m

MT用階層式サイトマップのテンプレートソースコード

<MTIfArchiveTypeEnabled archive_type="Category"> <div class="search-results-container"> <h2 class="search-results-header">サイトマップ</h2> <div> <ul> <li><a href="<$MTBlogURL$>" title="<$MTBlogDescription$>">トップページ</a> <MTTopLevelCategories> <MTSubCatIsFirst> <ul class="tree"> </MTSubCatIsFirst> <MTIfNonZero tag="MTCategoryCount"> <li><a href="<$MTCategoryArchiveLink$>" title="<$MTCategoryDescription$>"><MTCategoryLabel></a> <ul> <MTEntries> <li><a href="<$MTEntryPermalink$>"><$MTEntryTitle$></a></li> </MTEntries> </ul> <MTSubCatsRecurse> </li> </MTIfNonZero> <MTSubCatIsLast> </ul> </MTSubCatIsLast> </MTTopLevelCategories> <MTIfArchiveTypeEnabled archive_type="Monthly"> <ul class="tree"> <li>月間アーカイブ <ul> <MTArchiveList archive_type="Monthly"> <li><a href="<$MTArchiveLink encode_xml="1"$>"><$MTArchiveTitle$></a></li> </MTArchiveList> </ul> </li> </ul> </MTIfArchiveTypeEnabled> </li> </ul> </div> </div> </MTIfArchiveTypeEnabled>

ちなみにおなじく自動生成しているGoogle向け汎用サイトマップ（sitemap.xml）のMTテンプレートは以下のような感じです。

（エントリーとカテゴリーを出力するようにしています）

MT用汎用サイトマップのテンプレートソースコード

<?xml version="1.0" encoding="UTF-8"?> <urlset xmlns="http://www.sitemaps.org/schemas/sitemap/0.9"> <url> <loc><$MTBlogURL encode_xml="1"$></loc> <priority>1.0</priority> </url> <MTEntries lastn="9999"> <url> <loc><$MTEntryPermalink encode_xml="1"$></loc> <lastmod><$MTEntryModifiedDate utc="1" format="%Y-%m-%dT%H:%M:%SZ"$></lastmod> </url> </MTEntries><MTCategories><MTIfNonZero tag="MTCategoryCount"> <url> <loc><$MTCategoryArchiveLink encode_xml="1"$></loc> </url> </MTIfNonZero></MTCategories></urlset>