wp-config.phpのパーミッションを変更。

今月(2013年4月)に入って、当サイト管理人が利用しているレンタルサーバーから相次いで、セキュリティ関連のメールが届きました。

最初に届いたのは、当サイトで利用しているレンタルサーバーのミニバード

メールのタイトルは、「「WordPressの管理画面」に対するセキュリティ向上を目的とした国外IPアドレスからのアクセス制限の実施および「WordPress国外IPアクセス制限」機能、「管理ツール(ダッシュボード)の国外IPアクセス制限」機能の追加について」。

思考停止してしまいそうなほど長いタイトルのメールですが、要点は2つ。

1つめは、最近、ネットオウル運営の各レンタルサーバーで利用されているWordPressサイトに、「ブルートフォースアタック
(ID/パスワードを手当たり次第試してログインを試みる方法)による攻撃事例が多く報告されて」(メールより引用)いるので、ネットオウル運営のレンタルサーバーでは、WordPress管理画面への国外IPアドレスからのアクセスを制限することになったということ。

2つめは、それでは、国外から利用している人が困るので、サーバーの管理画面から制限を解除できる機能を追加したので、必要な方は利用してくださいということ。

何もこれは、ネットオウル運営のレンタルサーバーだけで起きていることではなく、1週間後くらいに、ロリポップ!からも、「サイト改ざんに関する注意と対策のお願い」というタイトルのメールが。

内容は、「WordPress,Movable Type,XOOPS 等の CMS ツールで管理画面のログイン情報を推測される、また、ブルートフォースアタックによりパスワードを解析されることで管理画面へ不正にログインされるケースが増えております。」(メールより引用)とのこと。

ロリポップ!では最近、WAF(ウェブアプリケーションファイアウォール)が標準装備になりました。新規申し込みをする場合はデフォルトでこの機能が有効になっていますが、以前からのユーザーは無効になっているので、私もさっそく、「有効」に設定しました。

そして、WordPressの「wp-config.php」ファイルのパーミッションを「404 (r—–r–)」に設定することも、対策の1つとして書かれていました。

パーミッションと言われても、ブロガーとしてWorPressを利用している方にはご存知でない方もおられると思いますが、ファイルやフォルダへのアクセス権の設定のことです。

くわしく知りたい方は、linuxの初心者向け解説本に書かれているので、目を通してみることをおすすめします。

今回、ロリポップ!のメールをもらってから、wp-config.phpのパーミッション設定のことを手持ちのWordPress本で調べてみたのですが、このことについて書かれている本はありませんでした。

そこで、ネットで調べてみたところ、参考になったのは、法人向けレンタルサーバーで有名なKAGOYAさんの「WordPressインストール 後処理」ページ。こちらでは、「444」に設定することが勧められてました。

この、KAGOYAさんの「WordPressインストール 後処理」ページは、wp-config.phpのパーミッション変更だけでなく、インストール後のインストールファイルの削除のことなども書かれていて、とても参考になりました。もしKAGOYAさんに個人ユーザー向けレンタルサーバーがあったら(ありませんけど)、今すぐ申し込みたいくらい。

しかし、すぐにwp-config.phpのパーミッション設定をするのはためらわれたので、後日、大型書店に行った時に、wp-config.phpのパーミッション設定について書かれたWordPress本がないか探してみたのですが、やはり見つけることはできませんでした。

そこで、とりあえず様子見に、当サイトのwp-config.phpのパーミッションを「444」に設定。

設定自体は、FTPソフトや、レンタルサーバーのファイルマネージャーで「wp-config.php」ファイルにアクセスして、パーミッションを変更すればいいだけなので、簡単なもの。

ミニバードの場合は、「FTPアカウント設定」ページから、対象ドメインを選択して、「WebFTP」にログイン。ファイルマネージャーが起動するので、「wp-config.php」ファイルを探して、歯車のアイコンをクリックすると、パーミッション設定用の窓が表示されます。

wp-config-php-01

「wp-config.php」ファイルは「666」に設定されているので、これを「444」に修正して、「変更」ボタンをクリックするだけ。

wp-config-php-02

パーミッション変更後も、サイト閲覧には問題ないようなので、「wp-config.php」ファイルのパーミッションを「444」のままにしておくことにしました。

今、WordPress人気の高まりで、世界中のWordPressが攻撃にさらされているみたいです。

次回は、その他の対策方法について、ちょこっと書いてみたいと思います。

end.

※追記: 2013年8月29日に起きた、ロリポップ!のWordPressサイト改ざんを教訓に、「wp-config.php」ファイルのパーミッションを「404」に、「.htaccess」ファイルを「604」に変更しました。

  • このエントリーをはてなブックマークに追加

コメント

  1. […] 参考URL:http://wp.8jimeyo.info/tips/wp-config-php-permission/ […]

  2. […] ■ サイト改ざんへの対策をお願いいたします – ロリポップ!レンタルサーバー ■ wp-config.phpのパーミッションを変更。 […]

  3. […] 参考記事:wp-config.phpのパーミッションを変更。 ゼロから始めるWordPressなど […]

コメントをどうぞ

メールアドレスが公開されることはありません。