CMSで管理画面のURLが分かってしまう

導入したCMSなのですが、CMSで作成したコンテンツを表示すると
URLの中に　control/news/123/1234.html となってしまい
news以下を削除すると
control/index.cgi が表示されログイン画面が分かってしまいます。

もちろん、ログイン用のID　パスワードが分からなければ
管理画面にログインできませんが、セキュリティ上問題ないでしょうか。

または、このような場合回避策はあるのでしょうか。
開発した会社に相談したところ回答いただけませんでした。

No.1 ベストアンサー 回答者： John_Papa 回答日時： 2010/04/06 09:59

FTPが使用できることが前提ですが、

control/　に　なにも書かれていないindex.htmlを置いてみてください。
これが、一番初歩的な回避策になります。
ブラウザでファイル名無しのcontrol/　をリクエストして何も表示されなければ成功です。
以後、直接control/index.cgiをリクエストしてCMSにログインします。
index.cgiの名前を変更しても正常に動作すれば変更しておきましょう。正常動作しなければindex.cgiで使うしかありません。開発会社から返事がないのはリネームできないということなんでしょうね。

もう少しセキュリティを高めたい場合には、次のように記載した .htaccess をcontrol/　に置きます。
（相談箱の都合上、半角スペースは△に置き換えています）
Redirect△permanent△/control/index.html△/control/news/123/1234.html

control/news/123/1234.htmlは、代わりに表示させたいページです。どこでもＯＫで、html://～の記述もできますのでサイト外にリダイレクトさせることもできます。

最初に提案したindex.htmlが有効でなくindex.cgiのログインが現れる場合は
DirectoryIndex△index.html△index.cgi
Redirect permanent△/control/index.htm△ control/news/123/1234.html
の２行にすれば、このディレクトリ配下においてファイル名無しのリクエストをindex.html優先に振る事ができ、control/においてはindex.htmlの代わりの指定ページに飛ばせます。

.htaccess　はWindows上では拡張子だけのファイルになるので標準では作成できません。htaccess.txtなどという普通のテキストファイルとして作成し、FTP転送後サイト上で.htaccessにリネームしてください。
サイトに転送した.htaccessが有効になるまでに数秒掛かります。

一部、.htaccessの機能が制限されているサーバーもありますので、その場合はご容赦ください。

この回答へのお礼

ありがとうございます。
初歩的な回避策で解決いたしました。

また、.htaccessに関しても大変参考になりました。
ありがとうございました。

お礼日時：2010/04/06 11:19