wp-config.phpへのアクセスを制限する
WordPressを使っていると、外部からのwp-config.phpへのアクセスを制限した方がいいという話を聞きます。
弊社でも、念の為、外部からアクセスされないように.htaccessを使って制限を掛けるようにしています。
.htaccessを使って簡単に設定できるので、まずはアクセス制限の方法を以下で方法を説明します。
wp-config.phpへのアクセス制限方法
以下の記述を追記した.htaccessをwp-config.phpと同じ階層にアップします。
<Files wp-config\.php>
Order deny,allow
Deny from all
</Files>
これでアクセス制限は完了です。
もし、特定のIPアドレスからのアクセスのみ許可したい場合には、
以下のように設定することも可能です。
<Files wp-login\.php>
Order deny,allow
Deny from all
Allow from xxxx.xxxx.xxxx.xxxx
</Files>
「xxxx.xxxx.xxxx.xxxx」は各環境のIPアドレスに変更して下さい。
ただし、このIPアドレスによる設定はIPアドレスが固定されている場合に利用できる方法です。
もし、オフィスのIPアドレスが固定されていない場合には、
設定できないので注意して下さい。
wp-config.phpへのアクセス制限は意味があるのか?
wp-config.phpへのアクセス制限ですが、
「本当に意味があるのか?」という疑問をお持ちの方もいるのではないでしょうか?
というのも、
例えば、ブラウザ上から「wp-config.php」へアクセスしても、
記載しているデータベースやテーブルのプレフィクスの情報を閲覧できるわけではありません。
で、セキュリティに詳しい知り合いに聞いてみると、
「やらないよりはマシ!」というレベルとのことでした。
設定しても意味がないわけではないですが、
それよりも、
データベースやWordPress管理画面へのログインパスワードに気を付ける方がはるかに大事とのことでした。
要は、
・パスワードは必ず記号を入れて複雑なものにしましょう
・パスワードは定期的に変更しましょう
とのことでした。
あとは、
WordPress本体やプラグインのバージョンは常に最新にしておいて下さい!
とのことでした。
攻撃された際に被害を受けているのは、大概の場合、バージョンが古いサイトらしいので、
WordPress本体の自動バージョンアップを有効にするなどの対策をとっておくようにしましょう。
勿論、これら以外にも設定しておかないといけないことはありますが、
まずは、パスワードとバージョンが最優先と言われていました。
因みに、もう一度記載しておきますが、
wp-config.phpへのアクセス制限は全く意味がないわけではないです。
時間が無い時にまで無理してやる必要はないですが、
余裕があれば、念の為に設定しておくことをおすすめします。
