2025年2月18日
掲示板に広告の投稿や攻撃的でヒステリックな投稿のIPアドレスのアクセス制限をしているのですが、時々、アクセス制限を通り抜ける事例があったりするので、改めて調べてみました。
.htaccess を記入するにあたって
文字コードがUTF-8、改行コードLF
内容に全角が含まれていない
最後に空行がある
というのが大事なのですが、間違ってはいませんでした。
.htaccessのパーミッションは604が良いようです。
.htaccess に
order deny,allow
allow from all
deny from XXX.XXX.XXX.XXX XXX.XXX.XXX.XXXはアクセス禁止のIPアドレス
を記入するっていうのが今までの一般的な方法でした。
よく調べると、サーバーのApacheのバージョンが新しいと、denyやallowが効かない事があるとの事です。
最近主流なのは
<RequireAll>
Require all granted
<RequireNone>
Require ip XXX.XXX.XXX.XXX
</RequireNone>
</RequireAll>
という記述のようです。
さっそく変更しました。
2025年2月24日
以前から、自サイトにアクセスした時に、「あなたの情報(パスワード、メッセージ、クレジット情報など)を不正に取得しようとしている可能性があります」の表示がある事があって、なんでだろうと不思議に思っていたのです。
モバイル対策のため、端末の画素数を判断して表示方法を変えるという操作はしてるし、ページごとのアクセス数をカウントして、どのページのアクセス数が多いかを調べているのですが、それが個人情報を吸い取っている事に関係しているとは思えません。
Google Chromeを使っていたので、Googleが意地悪しているのかなと思っていましたが、Microsoft Edgeでも表示されていたので、そうではないようです。
.htaccessを書き換えていて気づいたのですが、IPアドレスを読み取ってアクセス制限をしているので、これが影響しているのかもしれません。
これなら確かに個人情報を吸い取っている事になります。
アクセス制限は自サイト全体にかけていたのですが、特定のページ(掲示板・ブログ)だけに掛けるように変更しました。
ちなみにMovableTypeには.htaccessを使わなくても独自でIPアドレスのアクセス制限を設定できます。