WordPressは狙われる可能性が非常に高いツールです。
・URLを踏むと「変なサイト」へ飛ばされてしまう
・ハッキングの「踏み台」にされる
などの事態が多く見受けられます。
上記の症状が起きた際に、サーバー提供会社により対応が変わります。
| さくらサーバ | 負荷エラーで一時的にページが開けなくなる |
| Xserver | 強制停止措置 |
| AWS | 膨大な課金をされてしまう可能性 |
WordPressのセキュリティ対策の一環として、パーミッションの変更があげられます。
「パーミッション=権限」です。
わかりやすくいうと「書き込み権限」や「読み込み権限」のことです。
※要は勝手に「ファイル書き換えないで」「怪しいファイル作らないで」ということです。
セキュリティ的面で不安があれば、「全てのファイルに対して書き込み不可」とすれば良し、という考え方もありますがWordPressの思わぬ不具合やエラーに遭遇する可能性もあるため、細やかに設定していく必要があります。
推奨の設定
| .htaccess | 606 | そのファイルの所有者とその他のユーザーに読み取りと書き込みを許可。 |
| wp-config.php | 600 | そのファイルの所有ユーザーのみに読み取りと書き込みを許可。 |
| その他のディレクトリ | 705 | そのファイルの所有者に読み取り、書き込み、実行を許可。 所有グループには権限を与えない。 その他のユーザーには読み取りと実行を許可。 |
| その他のファイル | 604 | そのファイルの所有者に読み取り、書き込みを許可。 所有グループには権限を与えない。 その他のユーザーには読み取りを許可。 |
推奨の設定2
特に「themes」や「uploads」は狙われやすいため優先的に「705」に設定してください。
パーミッション変更後に行うテスト
サーバーの環境によりパーミッション変更後に不具合が出る可能性がありますので、変更後は最低限下記の動作確認をしておくと安心です。
- WordPress管理画面へのログイン
- 記事の投稿及び画像のアップロード
- プラグインの追加と削除
- テーマの変更
FTPソフト(WinSCP)でのパーミッション変更方法
