Movable Type クラウド版では、サイト、コンテンツの閲覧を制限する機能として IP アドレスや Basic 認証などによるアクセス制限機能を提供しています。

• 公開サイトでの Basic 認証の設定（Apache プラン）
• 公開サイトでの Basic 認証の設定（nginx プラン）
• 公開サイトのアクセス制限（Apache プラン）
• 公開サイトのアクセス制限（nginx プラン）

しかし、アクセス制限機能を利用して、サイトやコンテンツの閲覧制限をおこなっていても、Movable Type の Data API や検索については、制限する設定がなされておらず、結果的に、外部からコンテンツやメタデータの取得ができる可能性があります。

Data API を制限したい場合、管理画面のサイドメニュー「Webサービス」設定から「Data API のアクセスを許可する」のチェックを外すことで可能です。これはサイト単位で設定できます。

• Data API を設定する

Data API をまったく使っていない場合は、管理画面のサイドメニュー「クラウドサービス」>>「MT環境変数」で
RestrictedPSGIApp data_api
を設定することで、Movable Type 全体で Data API を停止できます。

• RestrictedPSGIApp - 環境変数リファレンス

検索に mt-search.cgi や mt-cdsearch.cgi を利用していない場合、管理画面のサイドメニュー「クラウドサービス」>>「MT環境変数」で
RestrictedPSGIApp new_search
RestrictedPSGIApp cd_search
を設定することで、mt-search.cgi の利用を禁止する、もしくは
ExcludeBlogs
ContentDataExcludeBlogs
に、制限をおこないたいサイトの ID を設定することで、アクセスを制限できます。

• ExcludeBlogs - 環境変数リファレンス
• ContentDataExcludeBlogs - 環境変数リファレンス

また、Data API や検索を利用している場合、環境変数の設定により、スクリプト名を複雑なものに変更することで、意図しないアクセスを困難にできます。

• DataAPIScript - 環境変数リファレンス
• SearchScript - 環境変数リファレンス
• ContentDataSearchScript - 環境変数リファレンス