【パーミッション】WordPressセキュリティ対策

WordPressは狙われる可能性が非常に高いツールです。

・URLを踏むと「変なサイト」へ飛ばされてしまう
・ハッキングの「踏み台」にされる
などの事態が多く見受けられます。

上記の症状が起きた際に、サーバー提供会社により対応が変わります。

さくらサーバ 負荷エラーで一時的にページが開けなくなる
Xserver 強制停止措置
AWS 膨大な課金をされてしまう可能性

WordPressのセキュリティ対策の一環として、パーミッションの変更があげられます。
「パーミッション=権限」です。
わかりやすくいうと「書き込み権限」や「読み込み権限」のことです。
※要は勝手に「ファイル書き換えないで」「怪しいファイル作らないで」ということです。

セキュリティ的面で不安があれば、「全てのファイルに対して書き込み不可」とすれば良し、という考え方もありますがWordPressの思わぬ不具合やエラーに遭遇する可能性もあるため、細やかに設定していく必要があります。

推奨の設定

.htaccess 606 そのファイルの所有者とその他のユーザーに読み取りと書き込みを許可。
wp-config.php 600 そのファイルの所有ユーザーのみに読み取りと書き込みを許可。
その他のディレクトリ 705 そのファイルの所有者に読み取り、書き込み、実行を許可。
所有グループには権限を与えない。
その他のユーザーには読み取りと実行を許可。
その他のファイル 604 そのファイルの所有者に読み取り、書き込みを許可。
所有グループには権限を与えない。
その他のユーザーには読み取りを許可。

推奨の設定2

特に「themes」や「uploads」は狙われやすいため優先的に「705」に設定してください。

パーミッション変更後に行うテスト

サーバーの環境によりパーミッション変更後に不具合が出る可能性がありますので、変更後は最低限下記の動作確認をしておくと安心です。

  1. WordPress管理画面へのログイン
  2. 記事の投稿及び画像のアップロード
  3. プラグインの追加と削除
  4. テーマの変更

FTPソフト(WinSCP)でのパーミッション変更方法