WordPressサイトのセキュリティ対策にパーミッションを見直そう

お店や会社のサイトをWordPressで作成・リニューアルされることが最近多くなっています。

しかし、人気であるがゆえにウイルスや改ざんなどのサイバー攻撃のターゲットとされやすくなっています。

セキュリティ対策はいくつかありますが、そのなかでも特にやっておいたほうが良いのが「パーミッションの設定」です。

WordPressはたくさんのファイル郡で構成されています。
重要なファイルはパーミッションを厳しめに設定することで、不正アクセスを防ぐことができます。

ここでは、最低限しておいたほうがいいパーミッション設定について紹介します。
また、利便性が高い分セキュリティに弱い機能があります。
ここで紹介するパーミッション設定を参考にセキュリティ強化することをお勧めいたします。

各ファイルとパーミッション設定

606

.htaccessはWordPressのファイル郡ではありませんが、サーバーに関して様々な設定が可能なファイルです。
サイト表示や動作に関わる重要なファイルですので厳しめにしたいところですが、WordPressのパーマリンク設定への影響を考慮し「604」ではなく「606」を推奨します。
（パーマリンクいじらないよ！という人は「604」のほうがセキュリティが高いです）

400 or 600

WordPressの一番重要なファイルのため、外部のアクセスは完全にブロックしておくとよいでしょう。
ファイルのオーナーのみが読み込むことが出来る「400」が最も安全な設定になります。
ただし利用しているサーバによっては「400」では利用できない、wp-configを書き換えたい場合があるなどのときは「600」がおすすめです。

000

リモートで投稿したりJetPackなど一部プラグインで使用するファイルです。
実はこのファイル、悪用や攻撃をされるケースがとても多いファイルなので、利用しない場合は必ず「000」にしておきましょう！
もしリモート投稿等の利用があっても、そこまで活用されていないようでしたら、無効化を優先したほうが、セキュリティ上はオススメです。
※WordPressをアップデートすると復活してしまうので、アップデート時はまた設定する必要あり
なお、.htaccessで書く方法が一番確実ですが、ここではパーミッションのみの紹介とさせていただきます。

000

Windows Live Writerを使ってWordPressサイトが更新するためのファイルです。
こちらも悪用されるケースが多いため「000」に設定しておきましょう。

※WordPressをアップデートすると復活してしまうので、アップデート時はまた設定する必要あり
なお、.htaccessで書く方法が一番確実ですが、ここではパーミッションのみの紹介とさせていただきます。

000

メールでWordPressの投稿をするためのファイル。こちらも使わないなら「000」にしておきましょう。

※WordPressをアップデートすると復活してしまうので、アップデート時はまた設定する必要あり
なお、.htaccessで書く方法が一番確実ですが、ここではパーミッションのみの紹介とさせていただきます。

705 or 755

「705」のほうがセキュリティ高いですが、利用サーバー等よってはエラーとなってしまう場合があります。
その場合は「755」の設定にするとよいでしょう。

604 or 644

「604」のほうがセキュリティ高いですが、利用サーバー等よってはエラーとなってしまう場合があります。
その場合は「644」の設定にするとよいでしょう。

ご利用サーバが推奨されているパーミッションにすることが基本です。
しかしながら、セキュリティが甘い場合もあるため、上記に紹介したオススメのパーミッション設定を参考に、臨機応変に設定をしてみてください。

パーミッションの数字の見方

パーミッション設定は３つの数字の羅列で表現されます。
左の数字から「Owner(自分)」「Group(グループ)」「Other(その他)」のアクセス権限の設定になります。
WordPressの管理画面の操作でファイルへのアクセス等が起こった場合は「Other（その他)」の扱いとなります。

「Owner(自分)」に絞って、数字を見ていきましょう。
まず、パーミッションの種類は「読み込み権限」「書き込み権限」「実行権限」の３つがあります。
この３つの権限の設定をひとつの数字で表すことになります。

権限を付けたい数字を足していき、１つの数字にしたものが設定値になります。