プログラミングイメージ

wordpress

WordPressをインストールしたら確認したい「パーミッション」について

今日も、ともログにご来訪いただきありがとうございます。

さて、ブログを運営している人にはなじみがある「Wordpress(ワードプレス)」。
私も仕事で、wordpressサイトの制作や保守を行っているので、普段からなじみのあるシステムです。

wordpressは常にセキュリティについて、厳しく管理を行う必要があり、その対策を行っていく必要があります。
今回は、Wordpressを構成するファイルやディレクトリのパーミッション設定について考えたいと思います。

パーミッション(アクセス権)とは?

パーミッションとは、ファイルやディレクトリに対するユーザーの権限を指定するものになります。
パーミッションの設定には、以下の3種類があります。

ファイルへのアクセス権限

アクセス権英字数字説明
読み取りr4readファイルの読み取りが可能
書き込みw2writeファイルへの書き込みが可能
実行x1executeファイルの実行が可能

ディレクトリへのアクセス権限

アクセス権英字数字説明
読み取りr4readディレクトリの読み取りが可能
書き込みw2writeディレクトリの書き込みが可能
実行x1executeディレクトリに登録されているファイルへのアクセスが可能

例えば、「rwx rw r-」の場合は、1)ユーザー(所有者)に対しては、読み取り可能、書き込み可能、実行可能。2)グループに対しては、読み取り可能、書き込み可能。3)その他のユーザーに対しては、読み取り可能。という形になります。

パーミッションを適切に設定するべき理由について

パーミッションを適切に設定するべき理由は、下記の通りとなります。

  • ウェブサイトのセキュリティを安全にするため
  • ウェブサイトの動作不良を防ぐため

となります。

WordPressは、オープンソースのシステムです。ソースファイルが公開されているので、脆弱性が発見されやすいため、いたずらの標的になりやすいといった特徴があります。
その為Wordpressでは、パーミッションの設定を適切に行う必要があります。

レンタルサーバーを自身で契約し、サーバー会社が提供するクイックインストールサービスを使用した際も、念のため確認をするとよいかと思います。
一般的に推奨されているパーミッションをご紹介したいと思います。

.htaccess(ドットエイチティーアクセス)

「604」または「606」

「.htaccess」は、wordpressを使用する際にも重要な働きをするファイルです。

wp-config.php

「404」または「600」

「wp-config.php」は、wordpressをカスタマイズするための重要なファイルになります。
データベースの接続情報や、wordpressのコア設定などが含まれています。

ファイルのオーナーのみが読み込むことができる「400」が最も安全な設定になります。
サーバー会社が提供するクイックインストールなどのサービスでwordpressをインストールした場合、パーミッションは「646」又は「666」になっています。
この場合は、FTPソフトやサーバーのコントロールパネルから、パーミッションの設定を変更します。

ちなみに、Wordpress.orgでは、「600」を推奨しています。

その他のファイルやディレクトリ

通常、その他のファイルやディレクトリのパーミッションは下記となります。

  • その他のディレクトリ「705」
  • その他のファイル「604」

ファイルの所有者に対して実行を含めた全権限を与え、所有グループには権限を与えないようにしておくのがセオリーとなります。
その他のユーザーには実行と読み取りの権限のみを許可。
そうすることで、ファイルが編集されることがないまま、ファイルの読み取り・実行が可能となります。

WordPressのパーミッションを設定したら動作確認をしよう

WordPressのパーミッション設定を変更したら、必ず動作確認をします。
WordPressのパーミッション設定の変更で誤った設定をしてしまったりすると、画像のアップロードができなかったりなどの不具合の他、攻撃を受けるリスクが高まってしまいます。

パーミッション設定の変更後の動作確認の内容について

  • サイトが正常に表示されるか
  • 管理画面へログインできるか
  • 記事の投稿や画像のアップロードができるか
  • プラグインの追加や削除ができるか

上記の動作が問題なければ、おそらく問題はないかと考えます。

ただし、テーマの変更やプラグインの追加や削除は、バックアップを取ってから行うことをオススメします。

まとめ

ブログやサイト管理に便利なWordpress。
オープンソースウェアならではの悩みがありますが、適切にセキュリティ対策を行うことで、安全に快適に使用することができます。
上記パーミッションの設定は、サーバー等の環境にも依存しますので、使用のレンタルサーバー会社は公開している運用マニュアル等を参考に設定を行ってください。

また、Wordpress.org内のコミュニティーでも、過去の実績などから調べることもできますので、参考にするとよいかと思います。

それでは、最後までお読みいただきありがとうございました。

-wordpress
-