MovableTypeでサイト改ざん被害

Movable Type を使ってサイトを運営している方に注意喚起です。

古いバージョンのMovable Type を使っているサイトを標的にしたサイト改ざん被害が多発しているようです。

この記事を参考に。

 旧バージョンの Movable Type の利用に関する注意喚起

Movable Type 公式サイトの参考資料。

 6.0.3、5.2.10、5.17 セキュリティアップデートの提供を開始
 Movable Type を安全に利用するためにできること

わたしも、MTOSを最新バージョンのMT5.2.10にバージョンアップしているところです。

現在の管理人のMTOS運用状況

わたしのMTOS運用状況

  • 使用サーバーはさくらのレンタルサーバー
  • ファイルはhtmlとshtmlでスタティック静的運用
  • プラグインはほとんど使ってない
  • コメント、トラックバック、検索、タグも使ってない(MTOSのURLを使用したリンクをどこにも使っていない

phpやダイナミックパブリッシングは使っていないので、よくわかりません。

あと、プラグインはほとんど使ってないので、プラグインの復旧については、以下の復旧手順ではふれていません。今回のやり方だと、MTOSのURLが変わるので、プラグインに不具合が出るかもしれません。

MT管理画面のパスワードを必ず確認しておく

バックアップをとる前に、必ずMovableType管理画面へのパスワードを確認してください。

わからない人は、再設定して、必ずわかる状態でバージョンアップにのぞんでください。

わたしは、これを忘れてどつぼにはまりました。

これの復旧については記事の終わりで。

とにかくバックアップをとっておく

そして、バックアップをする前には必ず、自分が元の環境に戻せると思うだけのバックアップをとってください。

特に、データベースのバックアップは必ずとっておくこと。これがあると、ぶっとんだ時の復旧がかなり近います。

実際、わたしも一つのサーバーで、途中MTへのログインパスワードを忘れて身動きとれなくなり、バックアップしていたデータベースファイルを使って元の環境に復帰させ、やっと復旧しました。

マジ焦った(汗

わたしが考えられるバックアップは、

  • phpMyAdminでデータベースのバックアップ(ほぼ環境が再現できる最強バックアップ、必須)
  • MT管理画面から記事エクスポート(データベースのバックアップがぶっとんだ時用の最悪の事態を想定して。記事、コメントデータくらいしか復旧できない)
  • MT管理画面からバックアップ(バージョンが違うと復旧に使えないという実に残念なバックアップ。わたしは使ったことはない。しかし、上の2つがぶっとんだ時用にとっておくとよいかもしれない。)

の3つくらいですか。自分でこれがあれば復旧できるという自信があるところまでバックアップをとってください。

MT 5のマイナーバージョンアップ

これは、MT5のマイナーバージョンアップの手順です。MT4からMT5の手順ではありません。

バックアップを取ったあと、次の作業を行いました。

ただし、これは、わたしの環境でこうだった、ということですので、バージョンアップされる方は、必ず元の環境に戻せるだけのバックアップを取って、自己責任でお願いします。

失敗しても、責任もとれないし、サポートもできません。

ほかに、もっとよいやり方もあるかもしれません。間違ってるかもしれません。

あくまで、わたしはこうやった、というメモなので、その点ご了承を。

5サーバーあるので、作業が終わる頃には屍と化している可能性大ですから、コメントやメッセいただいても、返信できませんので、よろしく。

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

5/18 14:11追記:わたしは、mt-config.cgiを編集する方法でやりましたが、元のMTOSのフォルダ名を変更し、新MTOSを元のフォルダ名のままでバージョンアップする方法の方が一般的かもしれません。

MTフォルダの名称を変えると、タグのURLが変わるという指摘をもかりさんに受けました!わたしはタグは使ってないので、よくわかりませんが、確かに、検索エンジンにインデックスされているURLが変わると、検索順位が変動するかも。

もかりさん、ありがとう!

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

  1. サーバーに新MTOS用のMTフォルダー作成。現在使っているMTフォルダーとは名前を変える
  2. MTOS 最新バージョンをサーバーの新しく作ったフォルダーへFTPソフトでアップロード
  3. アップロードしたMTOSのcgi ファイルをさくらの場合、755へ変更
  4. 旧バージョンのMTOSのmt-config.cgiをローカルへダウンロード
  5. ダウンロードしたmt-config.cgiの「CGIPath・StaticWebPath・StaticFilePath」に書いてあるMTOSのURLを、新MTOSのurlに修正
  6. 新MTOSのmtフォルダー直下へ修正したmt-config.cgiをアップロード
  7. 新MTOSのurl、/mt.cgiからログインすると、バージョンアップスタート!

これで、バージョンアップできました。

さらに、アップグレード後に必要な作業があるようですので、該当の人はチェックしてください。

あと、ファイルのパーミッションを755に最初設定していますが、これでセキュリティ上OKなのかどうかは謎なので、各自ご確認を。

わたしのサイトはクラッキングされていませんが、念の為、MTOSで作成されるファイルは、一度ファイルを削除して、再構築し、ファイルを新しいものに入れ替えました。

ここまでやる必要があるのかどうかはわかりませんが、まあ、念の為。

なんか変なファイル置かれて気づいてなくても気色悪いし。

しかし、MTがクラッキング!とか言う話題が周りで反応する人が少ないのも、時代の流れですかねえ。

みんな、WordPressに移行しちゃったんだろうな。

おまけ:ログインパスワードを忘れて沼にはまった場合

新しいMTOSのアップロードが完了、mtconfig.cgiも修正して、いざバージョンアップ!という場面で、ログインパスワードを覚えてないことに気がつきましたorz

沼にはまって半日うろうろしましたが、結局、

  1. データベース新規作成
  2. バックアップしてあった、データベースのsqlファイルを新データベースにインポート
  3. 旧MTOSのmt-config.cgiのデータベース名を新規に作成したデータベース名に変更
  4. 旧MTOSで新データベースにログイン
  5. パスワード変更、うまくログインできるか確認
  6. 今回アップロードして失敗したMTOSを削除
  7. MTOS を再アップロード
  8. 通常の手順でアップグレード作業再開

で、なんとか復旧しました。

もしかしたら、もっと簡単な手順があるかもしれませんので、ご注意を。

バックアップって、本当に大切だ、と痛感しました。

参考ページ

 現在の最新MTOSのダウンロードができるページ
※これはMTOSと有償ライセンス・個人ライセンスのMT5は違うので、ご注意を。

 さくらインターネットサーバーへのインストール