###(1).追加したプラグインや、修正したデータの記録をしておく
⇒これが、あるとバージョンアップの作業の際に、楽。設定に漏れが無い。
----------------------------------------------------------
/mt/.htaccess
/mt/mt.cgi
/mt/mt-config.cgi
/mt/plugins/mt-truncateurl.pl
/mt/plugins/MTRelativeURL.pl
/mt/plugins/MTAppjQuery
/mt/mt-static/plugins/MTAppjQuery
----------------------------------------------------------
###(2).セキュリティ面
⇒mt.cgiにbasic認証をかける、他にも接続情報があるものに関しては、認証をかける。
ブラウザから閲覧できないようにする,出来れば、IP制限をかけたほうがいいが、
特定の場所からしかアクセスできなくなるので、クライアントと相談する。
----------------------------------------------------------
# 管理画面はbasic認証
<Files "hogegogo.cgi">
AuthUserFile /var/www/htpasswd
AuthGroupFile /dev/null
AuthName "CMS."
AuthType Basic
require valid-user
order deny,allow
</Files>
# 接続情報ありなのでアクセス禁止
<Files "abcde-file">
order deny,allow
deny from all
</Files>
----------------------------------------------------------
⇒推測されにくくするため、管理画面にアクセスするcgiのパスも変える。
mtディレクトリも推測されにくいものに変更する。
----------------------------------------------------------
# config.cgiの環境変数
AdminScript henkou.cgi
http://www.movabletype.jp/documentation/appendices/config-directives/adminscript.html
----------------------------------------------------------
⇒使わないcgiの実行権限を無くす。
----------------------------------------------------------
Movable Type が提供する機能と CGI スクリプト
http://www.movabletype.jp/blog/secure_movable_type.html
・Movable Type のコメント機能を利用していない
mt-comments.cgi の実行権限を無くす
・トラックバック機能を利用していない
mt-tb.cgi の実行権限を無くす
・Movable Type Data API 機能を利用していない
mt-data-api.cgi の実行権限を無くす
・ログフィード機能を利用していない
mt-feed.cgi の実行権限を無くす
・公開サイト側で Movable Type の検索機能を利用していない
mt-search.cgi, mt-ftsearch.cgi の実行権限を無くす
・XMLRPC 機能を利用していない
mt-xmlrpc.cgi の実行権限を無くす
・Atom API 機能を利用していない
mt-atom.cgi の実行権限を無くす
・上書きアップグレードで残っている可能性がある CGI スクリプト
mt-add-notify.cgi
mt-view.cgi
・インストール後は利用しない CGI スクリプト
mt-wizard.cgi
mt-upgrade.cgi
※ ただし、Movable Type や プラグインのアップグレード時に必要になります
----------------------------------------------------------
###(3).画像が格納されるディレクトリの変更
⇒デフォルトだと、設定したルート直下に画像がアップされてしまうので、
上記のファイルを変更して格納先を変える。
----------------------------------------------------------
/mt/alt-tmpl/cms/include/asset_upload.tmpl
↓
こんな感じで日別にディレクトリに格納したりも出来る。
assets/\\
http://www.gravity-works.jp/gravica/web/mt/001008.html
http://nplll.com/archives/2011/12/movabletype5mt5.php
----------------------------------------------------------
###2015/10/9 追記
mt6.2から「アップロード先やファイル名の自動変換などの初期値を設定可能に」
とのことなので(3)は不要になりそうです。
http://www.sixapart.jp/movabletype/news/2015/10/08-1100.html
###(4).おすすめプラグイン
----------------------------------------------------------
■管理画面をカスタマイズできる。Jqueryなどでアレンジも出来る。
http://www.bit-part.net/blog/news/mtappjquery/
■フルパスをサイトルートパスに変換してくれる。
https://github.com/ogawa/mt-plugin-TruncateURL
http://www.nonplus.net/software/mt/MTRelativeURL.htm
----------------------------------------------------------
###(5).cronの設定
⇒これをしないと、mtは指定日公開、指定日非公開が出来ない。
問題なのが、これによって公開、非公開しても、反映されるのは、該当ページだけでインデックスは再構築されないというクソ仕様。
なので、mt6からは標準に入っているプラグイン「MultiBlog」の再構築トリガーを使う必要がある。http://junnama.alfasado.net/online/2014/05/mt_15.html なんかも便利そう。
----------------------------------------------------------
#こいつをcronで定期的に叩く
/mt/tools/run-periodic-tasks
http://www.movabletype.jp/documentation/designer/multiblog/configure_portal_blog.html
http://www.pc-fdp.com/customizing/mtmultiblogtug.php
http://www.mtcms.jp/movabletype-blog/tech/200910162120.html
----------------------------------------------------------