Movable Type
見つかったMovable Typeの脆弱性を解決と、スパム対策。
Movable Typeに脆弱性が発見されたようです。放っておくとMovable Typeがスパムメールの踏み台にされるらしいので、早速対策しました。悪事の片棒は担ぎたくないですからね。って言っても開発元が用意している「patch-20050124-mail-spam.pl」というプラグインをインストールするだけでなので簡単に作業は終了しちゃいましたけどね。(ダウンロードと作業手順はこちらを参照)
後、対策済みのMovable Type 3.122がリリースされているんですが、もうすぐ3.14がリリースされるので、システムのバージョンアップは、とりあえず今回は上記の対策のみとし、スルーします。
Movable Typeの脆弱性により、スパムメールの送信を幇助してしまう現象が発生することが分かりました。出荷済みのすべてのMovable Type日本語版に、この脆弱性があることが確認されました。
後、ついでにコメントや、トラックバックを検索エンジンの登録対象から外す、「nofollow.pl」プラグインも入れました。コメントや、トラックバックのanchorタグにrel="nofollow"という一文を自動的に挿入します。「google」などの検索エンジンは、これで、Page Rank稼ぎだけのコメントやトラックバックを排除できると言っていますが、効果の程は実際どうなんでしょうか。嫌がらせ目的のスパムには効果はないと思いますが…、とりあえず、コメントのTypeKey認証は行ったまま、トラックバックで効果を見てみようと思っています。
まぁ、こちらもイントールは簡単なので、手軽に導入できます。気軽に試してみるのもいいんじゃないかと思います。まだ、日本語では解説されていないのでイントール手順を書いておきます。
1.こちらから、プラグインをダウンロードします。
2.圧縮ファイルを解凍すると、2つのフォルダが生成され、そこにプラグインファイルが入っています。
3.「plugins」フォルダに「nofollow.pl」、「php」の「plugins」フォルダに「init.nofollow.htm」 をそれぞれインストールします。
以上で終わりです。コメントや、トラックバックの部分をバリバリ改造していなければ、すんなりと動くはずです。
--追記--
「nofollow.pl」と「patch-20050124-mail-spam.pl」プラグインを入れてからなんだろうと思うのですが、再構築時にロリポのサーバが500エラーを連発するようになってしまいました。「Ogawa:Memoranda」さんの「エントリー」によると、「nofollow.pl」プラグインにはバグが存在しているみたいです。これが直接の500エラーの原因だと思えないのですが、とりあえず、削除しました。