【WordPress】自サイトを守るために必要な、ファイルのアクセス権限の設定方法とセキュリティの注意点

data-security-defended-by-police-officer WordPress
記事内に広告が含まれていることがあります。

WordPressの乗っ取りなどを防ぐために、主要なファイルはアクセス権限(パーミッション)を正しく設定しておく必要があります。

基本的には、自分(オーナー)のみに主だった権限が与えられていて、その他のユーザーは必要に応じて読み込みができるようにうする必要があります。

また、自分(オーナー)であっても実行権限は必要な場合のみ付与します。

注意点

次のアクセス権限は誰でも書き込める設定のため、これらの権限にはしないこと。

権限(数値)権限(シンボル)
777rwxrwxrwx
666rw-rw-rw-

主要ファイルとアクセス権限(パーミッション)の設定

ファイル・ディレクトリ権限(数値)権限(シンボル)
.htaccess604rw—-r–
wp-config.php400r——–
HTMLや画像604rw—-r–
ディレクトリ705rwx—r-x
CGIの実行ファイル700rwx——
CGIのデータファイル600rw——-

プラグインとテーマの注意点

ファイルやディレクトリのアクセス権以外にも、テーマやプラグインに脆弱性がある場合に、サイトが改ざんされるリスクがあります。

このため、プラグインとテーマに関しては以下を守ることが大切です。

  1. 使用中のテーマやプラグインは常に最新版にする。
  2. WordPressの公式サイトで配布されているテーマやプラグイン以外は利用しない。
  3. 長期間更新されていないプラグインは利用しない。(Wordpressの現在のバージョンに適合されているか確認する)
  4. 使用しないプラグインは削除する(無効ではない)

特にテーマはファイル数も多く、サーバー容量を圧迫するため使わないものは削除しておくべきです。※ただし、何かあった時のために公式テーマは1つ残しておきます。(現在のテーマが使えなくなったとき、自動的にインストールされている公式テーマに切り替わります。)

FTPソフト利用時の注意点

FTPソフトを使えばサーバーに置いてあるWordpressの根幹となるファイルにアクセスできます。

このため、FTPを使う際のプロトコルは必ず暗号化されているものを使う必要があります。FTPは暗号化されていないのでNGです。

暗号化されているプロトコルの例は以下になります。サーバー側がサポートしているプロトコルをご使用ください。

プロトコル内容備考
SFTP暗号化にSSH(Secure Shell)を使った接続秘密鍵と公開鍵を使ったSSHを使う。ポートは22
SCP暗号化にSSH(Secure Shell)を使った接続。SFTPよりも速い。UNIX系サーバーで使える。ポートは22
WebDAVhttpの拡張。ドラッグドロップなどができる。FTPソフトで接続したときの見え方はFTPなどと同じ。ポートは443(または80)。
Amazon S3Amazonが提供するストレージサービスS3。ポートは443。AWS CLI接続を簡単にできる

WordPressインストール後に削除可能なファイル

WordPressはwp-admin/index.php ファイルなど、インストール後に不要になるファイルがいくつかあります。

正確には、再インストールや初期化をする場合に必要になるのですが、サイトを消す可能性がない場合は、第三者に実行されのっとられてしまうこともあります。

このため、不要なファイルは削除することもセキュリティを改善するためには推奨となります。

また、 /license.txt のように、サイトの機能に関係のないファイルが含まれているのでこれらも削除しても問題ありません。

インストール後不要になるファイル

/wp-admin/install.phpインストール用ファイル
/wp-admin/install-helper.phpインストールのヘルプファイル
/wp-config-sample.php設定ファイルのサンプル
/wp-admin/setup-config.phpWordPress設定ファイル

WordPressの説明ファイル

/license.txtWordPressのライセンス規約
/readme.htmlWordPressの説明文
\readme-ja.htmlWordPressの説明文(日本語)
/wp-admin/about.phpWordPressのver説明
/wp-admin/credits.phpWordPressの開発者紹介
/wp-admin/freedoms.phpWordPressの利用説明

利用されていないファイル

/wp-admin/user/
/wp-admin/css/about.css

rtlファイル

末尾に「-rtl」とついているファイルは、アラビア語など右から左に読む言語用のファイルなので、日本語のみの利用の場合は不要です。

タイトルとURLをコピーしました