ホーム / ブログ / WordPress / 注意。wp-config.php ファイルのバックアップはサーバーに置いてはいけない

注意。wp-config.php ファイルのバックアップはサーバーに置いてはいけない

| 公開 コメントを書く

オープンソースである WordPress の運用にはセキュリティ対策が不可欠です。特に、wp-config.phpファイルは WordPress に関する重要な情報を含んでいるため、間違った管理は致命的となりえます。

この記事では、wp-config.php ファイルのバックアップをサーバー上に残すリスクと、実際に発生したケースの紹介、さらに適切に管理・保存するための方法について解説します。ウェブサイトのセキュリティを強化し、不正アクセスから大切な WordPress を守るための情報を提供します。

wp-config.php ファイルは最も重要なファイル

wp-config.php ファイルは WordPress に関する重要な情報を含んでいます。

  • ユーザー名、パスワード、ホスト名などといったデータベース接続情報
  • セキュリティキーとソルト情報
  • テーブル接頭辞
  • 各種定義した設定

このような重要な情報が含まれているため、wp-config.php 内の情報が悪意のあるユーザーに漏れると、侵入しデータを盗んだり、WordPress を破壊したりすることが可能になります。

wp-config.php のパーミッション

wp-config.php ファイルのパーミッションは 400 または 600 に設定することが推奨されます。

参照: ファイルパーミッションの変更 – サポートフォーラム – WordPress.org 日本語

400 であれば安全ですが、プラグイン等により書き込みが発生する場合やファイルを上書きする際に都度600等に戻す必要があります。運用を優先し600に設定したりと、環境に合わせて設定します。

バックアップが作成されたまま忘れられてしまうケース

wp-config.php ファイルは重要がゆえ、新しい情報で上書きする際にはバックアップを作成することが推奨されます。ただしその際、wp-config.php のバックアップを公開可能なサーバー上に残しておくことはセキュリティ上のリスクとなります。

実際に、他社が構築した WordPress を弊社で保守管理する際に、wp-config.php ファイルのバックアップファイルと思われるファイル名でサーバーに残されていたことがありました。ファイルが作成されてから数年間経過しており、さらに、パーミッションは 604 のため、その他のユーザーが読み取りが可能でした。データベース接続情報が一部以前の情報だったので良かったものの、正しい情報だったとしたらと思うと怖いです。

wp-config.php のバックアップファイルを公開領域に保存していたからといって、必ずしもセキュリティ被害にあうわけではありませんが、クラッキングを目的とするクラッカーにより情報が盗まれる可能性があります。

独自のセキュリティ対策を行うレンタルサーバーも

ちなみに、エックスサーバーでは独自のセキュリティ対策を行っており、wp-config.php へのアクセスは遮断されるようです。

通常は644等のパーミッションでも問題になることはございませんが、
セキュリティの多重化を目的としてより安全性を高めるため対応を実施しております。

『WordPress』におけるセキュリティの強化対応について – 2013/09/04 | レンタルサーバー【エックスサーバー】

wp-config.php ファイルのバックアップ作成方法

wp-config.php ファイルを上書きする、編集するといった場合、バックアップを作成します。その際は以下のような手段が推奨されます。

  • ローカルのコンピュータにバックアップを保存する。
  • クラウドストレージサービスを使用する。その場合は、適切なセキュリティ対策(暗号化など)を施した上で保存してください。
  • サーバー上にバックアップを保存する。その場合は、新たにディレクトリを作成し、Basic 認証等によりそのディレクトリへのアクセスを制限します。公開されアクセスできる形は避けましょう。作業完了後、バックアップファイルやディレクトリを削除します。

重要なファイルのため、常にセキュリティを第一に考え、適切に保護することが大切です。

WordPress の保守を自分で行っている場合などはサーバー上を確認

WordPress の保守を制作会社や制作してもらったフリーランス等に依頼していない場合、自社や自分で行うこととなりますが、そういった場合は今回のような重要ファイルを誰もがアクセスできる領域に公開している状況になっている可能性もあるため、十分注意しましょう。

一方、外部に保守を依頼しているからといって安心はできません。今回のように wp-config.php ファイルのバックアップファイルが作られたまま数年間放置されていた例があったように、人為的ミスが起こる可能性はゼロではありません。

wp-config.php ファイルのバックアップデータが存在していないか、定期的にサーバー上を確認することをおすすめします。

メールコンサルティング
WordPress保守管理サービス

Reader Interactions

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

この記事と関連する記事

外部のプロフェッショナルによる WordPress サイトの保守・運用:安心と安全性を手軽に手に入れる方法
2023年1月25日
タグ:
カテゴリー: WordPress
WordPress のクロスサイト・スクリプティング被害にあった事例を共有します
2023年1月11日
タグ: ,
カテゴリー: WordPress
エラーログに wp-admin, wp-include 配下のファイルが含まれているエラーの対応方法
2022年11月15日
タグ:
カテゴリー: TIPS

人気記事

  1. git pull してもエラーが出てファイルが反映されないときの対処法
  2. 同一サーバー上に構築するWordPressのテスト環境の作り方
  3. サイト制作の要件定義書に普段書いている内容(ダウンロード可)
  4. WordPressの固定ページでタグやカテゴリーを使いたいときはカスタム投稿タイプを検討する
  5. ダウンロードして即使えるサイトマップ(サイト構成図)のテンプレート5点
  6. WordPressのパフォーマンスチームがパフォーマンス改善プラグインをリリース

CONTACT

お問い合わせはこちら