この記事の所要時間: 226

サイトの改ざんや乗っ取りなど、情報セキュリティ関係のニュースが毎日のように流れていますが、どこか他人事のように考えていました。
身近な場所でも実際に被害は発生しており、職場の関連企業でもWordpressの脆弱性を狙ったサイト改ざん事件が発生しました。

セキュリティ強化をする手段はいくつかありますが、その中のひとつとしてパーミッションの設定について書きます。

パーミッションとは

サーバのファイルには、それぞれユーザが用意されており、「読み込み」「書き込み」「実行」という権限が設定できるようになっています。この権限のことをパーミッションといいますが、パーミッションは、FTPソフトやサーバのコントロールパネルから変更することができます。パーミッションの設定を変更することで、セキュリティ対策の強化をはかることができます。

パーミッションには、以下のユーザがあります。

所有者(Owner)ファイル/ディレクトリの所有者、本人
グループ(Group)同じサーバーを利用できるユーザ全体
他のユーザ(Other)その他全て、第三者

各ユーザの権限および表記は以下の通りです

記号数値
読み込みr4
書き込みw3
実行x1

パーミッションの設定方法

.htaccessファイル

606 もしくは 604

「.htaccess」ファイルの改ざんによる事例が多数あります。
「.htaccess」ファイルのアクセス権限設定は必ず実施してください。

wp-config.php

400 もしくは 600

安全なのは「400」ですが、共有サーバを使用する際、設定できない場合があるそうです。Wordpress.orgでは、「600」を推奨しています。

その他のファイル・ディレクトリ

その他、細かく設定することもできますが、一般的には

その他のファイル:「604」
その他のディレクトリ:「705」

としておくのがいいようです。ただし、テーマファイル等アップロードできなくなった場合は、「707」に変更する必要があります。

なお、パーミッションが「777」や「666」の場合は誰でも書き込みができる状態になっています。誤って設定しないようにしてください。

合わせてやっておきたい

企業やビジネスサイトの場合を覗くと、多くの方が共用サーバを利用していると思います。パーミッションの真ん中の数字は「Group」に対する権限となりますが、そのグループ権限が許可されていると、共用サーバ内の別のユーザが勝手にファイルを書き換えたり、削除するといったことが可能となってしまいます。

共用サーバを利用している場合は、グループユーザ権限を必ず「0」に設定するようにしましょう。