乗っ取り・改竄リスクを減らす！WordPressのセキュリティ

こんにちわ、ma-ya’s CREATE［まーやずくりえいと］です。

全世界で約30％、日本国内だと80％以上のWEBサイトで採用されているWordPress。

このサイトもWordPressで構築されています（テーマはma-ya’s CREATEオリジナル）。

そんなWordPressは、世界中のハッカーからも大人気。WordPressサイトの乗っ取りや改ざんは意外と身近に潜んでいます。

個人サイトだから自分には関係ないだろうなんて思ってると痛い目を見るのでそこら辺の対策は最低限やっておいた方が良いわけです。

そもそもハッカーは最初からターゲットサイトを決めていない可能性もあります。「このサイトを乗っ取ってナニをしてやろう」ではなく「乗っ取れたサイトでナニをしてやろう」というケースも多いと思います。

wp-config.phpにアクセスさせない

wp-config.phpはWordPressのIDやパスワードが記録されている超機密ファイルです。

ブラウザからアクセスしても何も表示されませんが、ワカる人間にとってはこのファイルにアクセスできればサイト乗っ取り完了のようなもの。

これを実装するには下記を.htaccessに記述します。

<files wp-config.php>
  order allow,deny
  deny from all
</files>

お前ら全員wp-config.phpファイルにはアクセスさせないぞ！という決意表明です。

パーミッションの設定

続いて超重要ファイルである .htaccess、wp-config.phpのパーミッション設定。

ざっくり言うとパーミッション設定とはそのファイルを誰が見れて何をできるかを設定することです。

このサイトは今のところさくらインターネットでサーバー契約していますが、さくらの場合、設定は

1. コントロールパネル
2. ファイルマネージャ
3. 対象ファイルを右クリック
4. プロパティ

から設定可能。

.htaccessのパーミッション設定

• 604
  ※パーマリンク設定変更時は606に変更

WordPressでパーマリンク設定を変更する場合は606に変更しますが、変更後は基本的に604に戻しておいた方が良いと思われます。

wp-config.phpのパーミッション設定

• 400
  ※設定不可の場合は600

400が最も安全で、権限は所有者のみ、読み取りのみ可能という設定。

レンタルサーバーによっては400設定ができない可能性もあるそうなので、その場合は600に設定します。

セキュリティ対策に終わりはない

↑で上げたのはWordPressセキュリティ対策のあくまで一例です。

他にもプラグインを使って対策したり、やりだしたらキリがないのがセキュリティ対策だと思います。

それでも自分のできる範囲で最低限の施策はやっておいた方が良いですよね。

自分もこの分野の知識はまだまだ足りないのでちょこちょこ勉強していきたいと思ってます。

ちなみにパーミッションの数字の意味については参考サイトをご覧あれ（丸投げ）。

• WordPressで推奨されるパーミッション設定について
• WordPressの理想的なパーミッション設定は？権限を見直してセキュリティ強化しよう
• wordpressのセキュリティ対策＠さくらのレンタルサーバー