今日はWPのセキュリティについてです。
といっても専門分野ではないので、
自分なりに調べた結果ですが、
私は各ファイルやディレクトリのパーミッションを以下の様な設定にしています。
wp-config.php:404
.htaccess:604
readme.html:400
wp-contentディレクトリ:705
uploadsディレクトリ:705
pluginsディレクトリ:705
まずwp-config.phpですが、
こいつにはデータベース情報を記載しています。
なので、漏れると非常にまずい事になります。
パーミッションは「404」にしておいて、
かつ、
<files wp-config.php> order allow,deny deny from all </files>
と記述した.htaccessをアップしています。
あと、WEB上から書き込みを行う可能性があるディレクトリは、
全て705にしています。
また、パーミッションというのは、
左から順に
・オーナー
・グループ
・その他
の3者で構成されていますが、
個人的には「グループ」には何も権限は必要ないと思うので、
重要なファイル、ディレクトリに対してはパーミッションは「0」を設定しています。
