大東 信仁(ものくろ) 
WordPressサイトを運営していく上で、最も大切な設定ファイルの一つが「wp-config.php」なんです。
このファイルには、データベースの接続情報や認証用の秘密鍵など、サイトの重要な情報がたくさん含まれており、今日は、このファイルをしっかり守る方法についてお話ししていきますね。
なぜwp-config.phpの保護が重要なのか
wp-config.phpファイルには、データベース名やユーザー名、パスワード、ホスト情報など、サイトの重要な情報が詰まっているんです。
これが攻撃者に漏れてしまうと、サイトを完全にコントロールされてしまう可能性があって、とても怖いですよね。
やっちゃダメなこと
wp-config.phpの拡張子をtxtに変更してバックアップしたファイルをサーバーに配置すると、データベースのパスワードなどの重要な情報がWEBに公開され、誰でもアクセスできるため、セキュリティが危険となり、絶対にやっちゃダメなことになります。
wp-config.phpの配置場所を変更できます
セキュリティ対策で一番効果的なのは、ファイルの置き場所を変えることとパーミッションをきちんと設定することなんです。
従来は、wp-config.phpはWordPressのドキュメントルート(普通は「public_html」や「www」フォルダ)に置いていました。
でも、セキュリティを高めるために、このファイルをドキュメントルートの1階層上に移動するのがおすすめです。
username
example.com
ここに wp-config.php を配置する
public_html
通常はここだけども、、
例えば、上のように「/home/username/wp-config.php」みたいな感じですね。
こうすると、Webブラウザから直接アクセスされるのを防げるんです。
WordPressは賢くて、1階層上のwp-config.phpも自動的に読み込んでくれるので、サイトは問題なく動きます。
次に大切なのが、パーミッションの設定です。
ファイルのパーミッションを「400」にすることで、所有者だけが読み取れる状態にして、他のユーザーからのアクセスを完全にブロックできます。
これで不正アクセスからファイルを守れるんですよ。
設定手順とその注意点
実は、設定はとてもシンプルなんです。SSHやFTPでサーバーに接続して、wp-config.phpファイルをドキュメントルートの1階層上に移動します。そして、同時に、パーミッションを400に変更するだけ。
ただし、いくつか気をつけることがあります。まず、ファイルを移動する前に必ずバックアップを取っておいてくださいね。それから、レンタルサーバーによっては、ドキュメントルート外にファイルを置けない場合もあります。そんなときは、別の対策を考える必要がありますよ。
パーミッションを変更したら、必ずWordPressが正常に動くか確認してください。万が一の時のために、元の設定に戻せるように準備しておくのもおすすめです。
まとめ
wp-config.phpファイルの保護は、WordPressサイトのセキュリティ対策の基本中の基本です。
ドキュメントルートの1階層上に置いて、パーミッション400に設定するという2つの対策で、サイトのセキュリティがグッと上がります。
新しくサイトを作るときはもちろん、既存のサイトでもすぐにできる対策なので、ぜひ試してみてくださいね。
