• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer

株式会社ハイファイブクリエイト

東京都を拠点にWebサイト制作やシステム構築、WordPress保守管理やウェブコンサルティングを提供。

  • SERVICE
  • ABOUT
  • WORKS
  • BLOG
  • NEWS
  • CONTACT
ホーム / ブログ / WordPress / 注意。wp-config.php ファイルのバックアップはサーバーに置いてはいけない

注意。wp-config.php ファイルのバックアップはサーバーに置いてはいけない

池田祐太郎 | 2023年5月2日 公開 コメントを書く

オープンソースである WordPress の運用にはセキュリティ対策が不可欠です。特に、wp-config.phpファイルは WordPress に関する重要な情報を含んでいるため、間違った管理は致命的となりえます。

この記事では、wp-config.php ファイルのバックアップをサーバー上に残すリスクと、実際に発生したケースの紹介、さらに適切に管理・保存するための方法について解説します。ウェブサイトのセキュリティを強化し、不正アクセスから大切な WordPress を守るための情報を提供します。

目次

  • 1 wp-config.php ファイルは最も重要なファイル
    • 1.1 wp-config.php のパーミッション
  • 2 バックアップが作成されたまま忘れられてしまうケース
    • 2.1 独自のセキュリティ対策を行うレンタルサーバーも
  • 3 wp-config.php ファイルのバックアップ作成方法
  • 4 WordPress の保守を自分で行っている場合などはサーバー上を確認

wp-config.php ファイルは最も重要なファイル

wp-config.php ファイルは WordPress に関する重要な情報を含んでいます。

  • ユーザー名、パスワード、ホスト名などといったデータベース接続情報
  • セキュリティキーとソルト情報
  • テーブル接頭辞
  • 各種定義した設定

このような重要な情報が含まれているため、wp-config.php 内の情報が悪意のあるユーザーに漏れると、侵入しデータを盗んだり、WordPress を破壊したりすることが可能になります。

wp-config.php のパーミッション

wp-config.php ファイルのパーミッションは 400 または 600 に設定することが推奨されます。

参照: ファイルパーミッションの変更 – サポートフォーラム – WordPress.org 日本語

400 であれば安全ですが、プラグイン等により書き込みが発生する場合やファイルを上書きする際に都度600等に戻す必要があります。運用を優先し600に設定したりと、環境に合わせて設定します。

バックアップが作成されたまま忘れられてしまうケース

wp-config.php ファイルは重要がゆえ、新しい情報で上書きする際にはバックアップを作成することが推奨されます。ただしその際、wp-config.php のバックアップを公開可能なサーバー上に残しておくことはセキュリティ上のリスクとなります。

実際に、他社が構築した WordPress を弊社で保守管理する際に、wp-config.php ファイルのバックアップファイルと思われるファイル名でサーバーに残されていたことがありました。ファイルが作成されてから数年間経過しており、さらに、パーミッションは 604 のため、その他のユーザーが読み取りが可能でした。データベース接続情報が一部以前の情報だったので良かったものの、正しい情報だったとしたらと思うと怖いです。

wp-config.php のバックアップファイルを公開領域に保存していたからといって、必ずしもセキュリティ被害にあうわけではありませんが、クラッキングを目的とするクラッカーにより情報が盗まれる可能性があります。

独自のセキュリティ対策を行うレンタルサーバーも

ちなみに、エックスサーバーでは独自のセキュリティ対策を行っており、wp-config.php へのアクセスは遮断されるようです。

通常は644等のパーミッションでも問題になることはございませんが、
セキュリティの多重化を目的としてより安全性を高めるため対応を実施しております。

『WordPress』におけるセキュリティの強化対応について – 2013/09/04 | レンタルサーバー【エックスサーバー】

wp-config.php ファイルのバックアップ作成方法

wp-config.php ファイルを上書きする、編集するといった場合、バックアップを作成します。その際は以下のような手段が推奨されます。

  • ローカルのコンピュータにバックアップを保存する。
  • クラウドストレージサービスを使用する。その場合は、適切なセキュリティ対策(暗号化など)を施した上で保存してください。
  • サーバー上にバックアップを保存する。その場合は、新たにディレクトリを作成し、Basic 認証等によりそのディレクトリへのアクセスを制限します。公開されアクセスできる形は避けましょう。作業完了後、バックアップファイルやディレクトリを削除します。

重要なファイルのため、常にセキュリティを第一に考え、適切に保護することが大切です。

WordPress の保守を自分で行っている場合などはサーバー上を確認

WordPress の保守を制作会社や制作してもらったフリーランス等に依頼していない場合、自社や自分で行うこととなりますが、そういった場合は今回のような重要ファイルを誰もがアクセスできる領域に公開している状況になっている可能性もあるため、十分注意しましょう。

一方、外部に保守を依頼しているからといって安心はできません。今回のように wp-config.php ファイルのバックアップファイルが作られたまま数年間放置されていた例があったように、人為的ミスが起こる可能性はゼロではありません。

wp-config.php ファイルのバックアップデータが存在していないか、定期的にサーバー上を確認することをおすすめします。

メールコンサルティング
WordPress保守管理サービス

Filed Under: WordPress 関連タグ:保守管理

池田祐太郎

WordPress の構築・保守を10年以上にわたって手掛けており、主に小〜中規模のコーポレートサイト・ECサイト・ブランドサイト等の企画・開発・保守・コンサルティングなどを行ってきました。2012年にハイファイブクリエイトを創業し、現在は WordPress の保守やコンサルティング、ディレクションや開発業務などを担当しています。 プロフィール詳細

Reader Interactions

コメントを残す コメントをキャンセル

メールアドレスが公開されることはありません。 ※ が付いている欄は必須項目です

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

この記事と関連する記事

「更新に失敗しました。 返答が正しい JSON レスポンスではありません。」というエラーの解決方法
2023年9月21日
タグ: 保守管理
カテゴリー: WordPress
WordPress保守あるある:プラグインを更新したらエラー表示
2023年9月12日
タグ: 保守管理
カテゴリー: WordPress
WordPressのアップデートはどのタイミングで行うのが正解か
2023年9月6日
タグ: 保守管理
カテゴリー: WordPress

人気記事

  1. git pull してもエラーが出てファイルが反映されないときの対処法
  2. 同一サーバー上に構築するWordPressのテスト環境の作り方
  3. サイト制作の要件定義書に普段書いている内容(ダウンロード可)
  4. ダウンロードして即使えるサイトマップ(サイト構成図)のテンプレート5点
  5. WordPressの固定ページでタグやカテゴリーを使いたいときはカスタム投稿タイプを検討する
  6. WordPress で PHP エラーメッセージを非表示にしたい時

最初のサイドバー

WordPress保守管理サポート

Search

最近の投稿

  • 「更新に失敗しました。 返答が正しい JSON レスポンスではありません。」というエラーの解決方法
  • WordPress保守あるある:プラグインを更新したらエラー表示
  • WordPressのアップデートはどのタイミングで行うのが正解か
  • 同一ページでMW WP Formのフォームを切り替える方法
  • WordPressの不要なプラグインは残していいのか、それとも削除したほうがいいのか

カテゴリー

  • CSS初心者
  • HTML初心者
  • TIPS
  • WooCommerce
  • WordPress
  • エステサロン
  • お知らせ
  • キュレーション
  • サイトマップ
  • システム会社
  • デベロッパーツール入門
  • ブログ
  • ホームページ制作
  • ホームページ制作無料講座
  • メール
  • モバイル
  • 仕事のこと
  • 制作実績
  • 整体院
  • 美容院
  • 雑感

タグ

ai Android ChatGPT CMS css elementor git google workspace Gutenberg HTML iPhone jQuery Mac MAMP Photoshop php SEO SNS ssh Sublime Text UpdraftPlus Webサイト高速化 Windows WordPress WordPressカスタマイズ WordPressテーマ WordPress構築調査 WPRocket アクセス解析 アプリ クラウドソーシング サイト引っ越し サブスクリプション サーバー ショートカットキー スマホサイト スマートフォン ツール ブログ プラグイン マーケティング リニューアル 保守管理 効率化 最適化

アーカイブ

CONTACT

お問い合わせはこちら

Footer

  • PRIVACY POLICY
  • 情報セキュリティ基本方針
  • 特定商取引法に基づく表示
  • 転載/引用

© 2023 high five create All rights reserved.