2013年夏に「ロリポップ!」のワードプレスユーザが狙われた大規模ハッキング攻撃が話題になりました。
個人的にもロリポで所有しているサイトがあったのですが、幸い改竄は免れました。
その時、セキュリティ対策の一つとして、ロリポップからファイルのパーミッションを変更するように指示があったのですが、そのパーミッションの値をいくつにするのかというのも二転三転し、最終的にはロリポップ側で強制変更になりました。
ワードプレスは素人でも扱えるため、設定の変更など知らずにそのままにしているという人も少なくないのではないかと思います。
ロリポップにかかわらず、共用サーバーを使用している場合は共通して行っておくべきことですので、ここで、改めてパーミッション設定の方法を確認しておくのもよいかもしれません。
やっておきたい基本のセキュリティ対策というよりは、当たり前のことらしいですが…
ファイルのパーミッションを変更する
共用サーバーの場合、デフォルトだとwebサーバ上にある重要なファイルが、他人からアクセスできるようなアクセス権の設定になっています。これを、他人は一切関与できないように変更しをすることになります。
使用しているサーバーや環境によって多少設定が変ることもあります。また、ファイル設定の変更は自己責任で行うようにしてください。
変更するのは【wp-config.php】【.htaccess】(【wp-admin/install.php】)です。
ロリポップの設定を参考にしています。
パーミッションの変更
.htaccessパーミッションのの設定
wp-config.phpを「400」にする
【wp-config.php】のファイルを右クリックすると、「属性変更」や「パーミッション」とあるので、それを選択します。
上記はデフォルトの値です。
これを、【所有者のパーミッション】の「読み込む」のみチェックを残し、値を「400」に設定を更新します。
.htaccessを「604」にする
同じように【.htaccess】のファイルを右クリック。
上記はデフォルトの値です。
これを、【所有者のパーミッション】を「読み込む」「書き込む」【公開パーミッション】を「読み込む」のチェックを残し、値を「604」にして更新します。
install.phpを「000」にする
/wp-admin/配下にある【install.php】を「000」(チェックを全て外す)ようにするのだけれど、元々このファイルはインストールを終えたら削除しても問題ないようです。
というか、通常は削除するものとされているようです。
うっかりこのファイルにアクセスして現れたボタンを押してしまうと、ワードプレスが初期化されてしまったりする怖いものらしい。(試したことはありません。)
残したまま「000」にすると、「Backwpup」(バックアッププラグイン)でエラーメッセージが出たり(メッセージが出るだけで問題なし)するらしいので、ないほうがいいかも。(削除する場合は自己責任で行ってください。)
ちなみに、過去にhetemlサーバーのマニュアルでこのファイルの削除を手順としていたようですが、同じく削除ファイルとされていた「update.php」は後で必要になるファイルのようなので、残しておいたほうがよさそうです。