今回は、WordPressの設定ファイル「wp-config.php」へのアクセス制限についてのお話しです。
wp-config.phpへのアクセス制限を検討されている方は、ぜひお読みください。
wp-config.phpへのアクセスを制限する
WordPressを使っていると、外部からのwp-config.phpへのアクセスを制限した方がいいという話を聞きます。
私も、念の為、外部からアクセスされないように.htaccessを使って制限を掛けるようにしています。
.htaccessを使って簡単に設定できるので、まずはアクセス制限の方法を以下で方法を説明します。
wp-config.phpへのアクセス制限方法
以下の記述を追記した.htaccessをwp-config.phpと同じ階層にアップします。
<Files wp-config.php>
Order deny,allow
Deny from all
</Files>
これでアクセス制限は完了です。
もし、特定のIPアドレスからのアクセスのみ許可したい場合には、
以下のように設定することも可能です。
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from xxxx.xxxx.xxxx.xxxx
</Files>
「xxxx.xxxx.xxxx.xxxx」は各環境のIPアドレスに変更して下さい。
ただし、IPアドレスを固定していない場合には変わってしまうこともあります。
もし、固定IPアドレスを取得していない場合には気を付けてください。
といっても、固定していなくてもIPアドレスはなかなか変わることは無いですが。
wp-config.phpへのアクセス制限は意味があるのか?
wp-config.phpへのアクセス制限ですが、
「本当に意味があるのか?」という疑問をお持ちの方もいるのではないでしょうか?
というのも、
例えば、ブラウザ上から「wp-config.php」へアクセスしても、
記載しているデータベースやテーブルのプレフィクスの情報を閲覧できるわけではありません。
で、セキュリティに詳しい知り合いに聞いてみると、「やらないよりはマシ!」というレベルとのことでした。
設定しても意味がないわけではないです
ですが。それよりも、データベースやWordPress管理画面へのログインパスワードに気を付ける方がはるかに大事とのことでした。
要は、
・パスワードは必ず記号を入れて複雑なものにしましょう
・パスワードは定期的に変更しましょう
とのことでした。
パスワードは16文字以上、半角英字(大文字・小文字)、半角数字を必ず混ぜください。
あと、記号を1文字入れておくだけで、パスワードはかなり強力になります。
あとは、WordPress本体やプラグイン、テーマのバージョンは常に最新にしておいて下さい!
とのことでした。
攻撃された際に被害を受けているのは、大概の場合、バージョンが古いサイトらしいです。
なので、WordPress本体の自動バージョンアップを有効にするなどの対策をとっておくようにしましょう。
もちろん、これら以外にも設定しておかないといけないことはあります。
ですが、まずは、パスワードの複雑化・定期変更とバージョン対応が最優先と言われていました。
因みに、もう一度記載しておきますが、wp-config.phpへのアクセス制限は全く意味がないわけではないです。
時間が無い時に無理してやる必要はないですが、余裕があれば、念の為に設定しておくことをおすすめします。
因みに、WordPressのSSL(常時SSL化)も必ず設定しておきましょう。
もし悪意のあるユーザーにデータを盗まれても、SSL通信により暗号化されていれば解読されることはありません。
その為、WEBサイトのセキュリティレベルもかなり上がります。
