オープンソースである WordPress の運用にはセキュリティ対策が不可欠です。特に、wp-config.phpファイルは WordPress に関する重要な情報を含んでいるため、間違った管理は致命的となりえます。
この記事では、wp-config.php ファイルのバックアップをサーバー上に残すリスクと、実際に発生したケースの紹介、さらに適切に管理・保存するための方法について解説します。ウェブサイトのセキュリティを強化し、不正アクセスから大切な WordPress を守るための情報を提供します。
目次
wp-config.php ファイルは最も重要なファイル
wp-config.php ファイルは WordPress に関する重要な情報を含んでいます。
- ユーザー名、パスワード、ホスト名などといったデータベース接続情報
- セキュリティキーとソルト情報
- テーブル接頭辞
- 各種定義した設定
このような重要な情報が含まれているため、wp-config.php 内の情報が悪意のあるユーザーに漏れると、侵入しデータを盗んだり、WordPress を破壊したりすることが可能になります。
wp-config.php のパーミッション
wp-config.php ファイルのパーミッションは 400 または 600 に設定することが推奨されます。
参照: ファイルパーミッションの変更 – サポートフォーラム – WordPress.org 日本語
400 であれば安全ですが、プラグイン等により書き込みが発生する場合やファイルを上書きする際に都度600等に戻す必要があります。運用を優先し600に設定したりと、環境に合わせて設定します。
バックアップが作成されたまま忘れられてしまうケース
wp-config.php ファイルは重要がゆえ、新しい情報で上書きする際にはバックアップを作成することが推奨されます。ただしその際、wp-config.php のバックアップを公開可能なサーバー上に残しておくことはセキュリティ上のリスクとなります。
実際に、他社が構築した WordPress を弊社で保守管理する際に、wp-config.php ファイルのバックアップファイルと思われるファイル名でサーバーに残されていたことがありました。ファイルが作成されてから数年間経過しており、さらに、パーミッションは 604 のため、その他のユーザーが読み取りが可能でした。データベース接続情報が一部以前の情報だったので良かったものの、正しい情報だったとしたらと思うと怖いです。
wp-config.php のバックアップファイルを公開領域に保存していたからといって、必ずしもセキュリティ被害にあうわけではありませんが、クラッキングを目的とするクラッカーにより情報が盗まれる可能性があります。
独自のセキュリティ対策を行うレンタルサーバーも
ちなみに、エックスサーバーでは独自のセキュリティ対策を行っており、wp-config.php へのアクセスは遮断されるようです。
通常は644等のパーミッションでも問題になることはございませんが、
『WordPress』におけるセキュリティの強化対応について – 2013/09/04 | レンタルサーバー【エックスサーバー】
セキュリティの多重化を目的としてより安全性を高めるため対応を実施しております。
wp-config.php ファイルのバックアップ作成方法
wp-config.php ファイルを上書きする、編集するといった場合、バックアップを作成します。その際は以下のような手段が推奨されます。
- ローカルのコンピュータにバックアップを保存する。
- クラウドストレージサービスを使用する。その場合は、適切なセキュリティ対策(暗号化など)を施した上で保存してください。
- サーバー上にバックアップを保存する。その場合は、新たにディレクトリを作成し、Basic 認証等によりそのディレクトリへのアクセスを制限します。公開されアクセスできる形は避けましょう。作業完了後、バックアップファイルやディレクトリを削除します。
重要なファイルのため、常にセキュリティを第一に考え、適切に保護することが大切です。
WordPress の保守を自分で行っている場合などはサーバー上を確認
WordPress の保守を制作会社や制作してもらったフリーランス等に依頼していない場合、自社や自分で行うこととなりますが、そういった場合は今回のような重要ファイルを誰もがアクセスできる領域に公開している状況になっている可能性もあるため、十分注意しましょう。
一方、外部に保守を依頼しているからといって安心はできません。今回のように wp-config.php ファイルのバックアップファイルが作られたまま数年間放置されていた例があったように、人為的ミスが起こる可能性はゼロではありません。
wp-config.php ファイルのバックアップデータが存在していないか、定期的にサーバー上を確認することをおすすめします。
コメントを残す