Movable Type (MT)がセキュリティに強いと言われる理由、フロントにCMSを置かないことの重要性

CMS, 制作
2021-12-25
更新日: 2023-2-18
hiromitsu.nose

WordPressに比べ、Movable Type (MT) がセキュリティに強いというのは、10年以上前から言われています。そして現在も、WordPressと比べると、その優位性はあまり変わりがありません。これは、そもそも根本的な部分の違いがあるのが理由です。

今回はポイントを絞って、簡易的に書いていきます。

静的出力＆ファイル同期

静的出力（スタティック・パブリッシング）

MTは静的ファイルの出力ができます。出力するファイルは設計者・構築者が自由に決めることができるため、HTMLのみならずCSV、XML、JSONなどなんでも出力することが可能です。ウェブサイトをMTで構築する場合は、多くの場合は静的なHTMLを出力するケースがほとんどです。HTMLなので、PHPを必要とせず、PHPの脆弱性を気にする必要はありません（WebサーバにPHPはインストール不要）。

これに対し、WordPressはPHPを利用してページ表示を行います。これは、WordPressが動的出力によるページ表示を行うためです。どうしてもWrodPressじゃなければならない場合は、StaticPressプラグインや Shifter などもあるので検討してみてください。

ファイル同期

静的なファイルをWebサーバにファイル同期します。この機能は、MTクラウドと Movable Type Premium には標準搭載されており、その他のMTラインナップの場合は、プラグインを導入することで利用することができます。ファイル同期には、2つのメリットがあります。

メリット1: CDNやS3、ファイル配信用のWebサーバを利用できる

まず最初のメリットは、静的ファイルなので、シンプルなWebサーバで対応できることです。動的なプログラムを必要としないため、ほぼほぼ落ちることがないAmazon S3でサイトを公開することもできます。

メリット2: CMSサーバへのアクセスを制限できる

MTが動くCMSサーバへのアクセスを、IP制限やVPN接続などを行い、アクセス制限をかけることができます。これにより、たとえ未知の脆弱性があったとしても、アクセス自体が困難なため攻撃を受ける可能性はほぼなくなります。WordPressはどうしてもフロント側のサーバに設置しなければならないため、未知の脆弱性への対応を防げない可能性があります。

セキュリティを意識した構成（Webサーバ＋CMSサーバ）

WebサーバとCMSサーバをわけることで、CMSサーバにはアクセス制限をかけることが可能。MTを利用したセキュリティを意識した構成が構築できるようになります。

MTで利用できるファイル同期プラグイン

プラグイン・ソリューションステージングを参照ください。どのプラグインが最適化かはプロジェクトによって異なります。ポイントは、配信に利用するプロトコルとなり、構成にあったものを選ぶ必要があります。特に Amazon S3 への配信を考えている方は、Movable Type Premiumを選択する必要があります。

なお、今回の記事よりももっと詳しい記事がシックス・アパート社にあります。詳細を知りたい方はこちらをご覧ください。

・サーバー配信機能について

その他の注意点

今回はフロントのWebサーバとCMSサーバをわけるということにフォーカスした記事になっています。しかしながら、セキュリティはCMSだけを意識しても意味がありません。OSしかりミドルウェアしかり、利用しているシステムでセキュリティパッチが発表されたら、できる限り素早くパッチを適用することが重要です。このほか、不要なプログラムをインストールしない、利用していないプラグインは削除するなどの管理も非常に重要です。