ワードプレスでブログやホームページを安心して運用するためにはセキュリティ対策が欠かせません。
ワードプレスで行うセキュリティ対策の一つとしてあげられるのが、「パーミッションを変更しよう!」というものです。
今回はワードプレスに必要なパーミッションの設定について書いて行きます。
パーミッションとは?
パーミッションとは、サーバー上にあるファイルの読み込み・書き込み・実行の権限を指定するものです。
ワードプレスに関わらず、WEBサイトはサーバーにアップロードされたファイルに書かれているコードにより表示されます。
そのファイルの内容が変更されれば、当然表示されるWEBサイトの内容は変わります。
つまり、パーミッションを設定しないとWEBサイトの改ざん・乗っ取りといった被害に遭ってしまう可能性が高まります。
WEBサイトの改ざん・乗っ取り被害の結果、訪問者がホームページの利用やブログ記事を読むことを安心して行えなくなってしまいます。
なので、セキュリティ対策の一環として推奨されているんですね。
パーミッションによる権限の設定
では、どのようにサーバー上のファイルを扱う権限をパーミッションで指定するかですが。
「パーミッション」についてネット上の情報を調べると、3桁の数字か10桁の英字が出てくると思います。
これは、「Owner(オーナー)」「Group (グループ)」「Other(その他)」という3種類の立場に分けて制限していることを表しています。
まずはこの3種類の分類について説明しておきます。
どのように分けられているかと言うと、サーバー上のファイルとのかかわり方による違いです。
「Owner」はファイルの作成者自身です。WEBサイトの「所有者」という言い方になります。
WEBサイトを編集・更新を行うので、すべてのファイルやフォルダにアクセスできた方が便利です。
「Group」は同じサーバーを使用している人達です。「所有グループ」という難しい言い方になりますが。
自分自身のサーバーであれば、一緒に管理する人と言えます。しかし共用のレンタルサーバーであれば、まったくの他人という事になってしまいます。
自分のWEBサイトを表示するファイルに近いので、セキュリティ的には一番怖いところかもしれません。
「Other」はそれ以外の人達ですね。人以外にも、ファイル変更・更新を行うアプリケーションもこちらに分類されます。
すこしイメージしにくいかと思うので、関係を図で書いておきます。
この図はあくまでサーバー上のファイルと分類の関係をイメージしやすくするためのものなので、ご了承下さい。
厳密に言うとファイルを操作する権限なので、この図の区分けとは多少異なります。
次に、パーミッションの変更方法について説明します。
パーミッションの変更方法
パーミッションを変更するには、サーバー上のファイルの設定を変更しなければなりません。
なので、FTPソフトと呼ばれる、サーバーにアクセスするためのソフトを使用します。
FTPソフトは様々なものがあるのでお好きなものをご利用下さい。
この記事では、Windowsパソコンで良く使用される、「FFFTP」の画面表示を見ながら解説していきます。
設定されているパーミッションの確認方法
まずは、FFFTPでサーバーに接続して、サーバーにアップロードされているファイルやフォルダを表示します。
接続後に表示される一覧の「属性」の列で、現在設定されている英字表記のパーミッションを確認できます。
ディレクトリでもファイルでも良いので、右クリックのメニューから「属性変更」を選ぶと、パーミッションの設定状況をチェックボックスと数字表記で確認できます。
冒頭で紹介した数字と英字による2種類の表記をこれで確認できます。
次にそれぞれの意味を説明します。
パーミッションの表記の意味
数字表記の場合は、それぞれの桁でパーミッションを設定する権限グループを表し、数字で許可する内容を表しています。
図のように左の数字から「所有者(Owner)」権限、「所有グループ(Group)」権限、「その他(Other)」権限の許可内容を表しています。
許可の内容を表す数字はあらかじめ決められています。
| 4 | 読み取り(read) | 内容の表示などの操作の許可 |
| 2 | 書き込み(write) | 編集、上書きコピーといった操作許可 |
| 1 | 実行(execute) | プログラムの実行を許可 |
| 0 | 読み取り、書き込み、実行を禁止 | |
この3つ(0は禁止なので除外しています。)の数字の足し算で、許可している内容を表しています。
なので数字表記の場合は、7・5・6・3・0の組み合わせで表現されているんですね。
数字だけを見ると意味が良くわかりませんが、意味が分かれば理解しやすい表記と言えます。
続いて英字表記ですが、これも基本は数字表記と同じです。
一番左の文字はディレクトリかどうかの判定なので、省略されていることもあります。
なので、権限設定をするのは残りの9文字です。これを3文字ごとに分けて設定します。
文章だと分かりにくいので表にしてみます。
| 順番の表す内容 | 読み取り(read) | 書き込み(write) | 実行(execute) |
| 許可する時の対応記号 | r | w | x |
| 禁止の時の対応記号 | – | – | – |
・・・これでも分かりにくいかもしれませんね。
簡単に言うと、3文字区切りで「読み取り」「書き込み」「実行」の順番に表現しているということです。
なので、図の例は実際だと「 r w x – – – r – – 」という表記になり、
・所有者は全て許可( r w x – – – r – – )
・所有者グループは全て禁止( r w x – – – r – – )
・その他は読み取りだけ許可( r w x – – – r – – )
というパーミッションになっていると理解できます。
パーミッションの変更方法
以上を踏まえて、FFFTPを使って設定を変えます。
変更したいファイル上で右クリック→「属性変更」で以下のウインドウを開きます。
FFFTPの場合は、権限グループごとにチェックを入れることでも設定できますし、数字を入力して変更することもできます。
入力した後に「OK」を押すと、属性列の英字表記の内容が変わり、変更を確認できます。
パーミッションの設定方法は以上です。
繰り返しになりますが、ご使用のFTPソフトに合わせて変更するようにして下さい。
WordPressで推奨されるパーミッション設定
説明した方法を使えば自由にパーミッションの設定を変えることができますが、一つ一つのファイルを確認して設定するのは大変です。
なので、ワードプレスが公式に推奨しているパーミッション設定を書いておきます。
①.htaccess
リダイレクトやSSLなどのアクセスされた時の動作を管理する「.htaccess」を利用している場合は、「604」か「606」に設定しましょう。
リダイレクトの設定ができるので狙われやすいファイルの一つです。
しかしワードプレスの機能もこのファイルを使用するので、「その他」の権限にも「読み取り」と「書き込み」を許可しておきます。
②wp-config.php
ワードプレスとデータベースをつなぐための各設定情報を記載している、重要なファイルの一つです。
公式で推奨されているパーミッションの設定は「600」です。
所有者権限以外はアクセスを禁止する設定ですね。
③他のファイル・ディレクトリ
ディレクトリは「705」、ファイルは「604」の設定が推奨されています。
記事の投稿や画像等のアップロード、プラグインの追加や削除等、ワードプレスの運営に関わる操作を、ワードプレス側から行える設定にしておきます。
パーミッションの変更後は動作確認を忘れずに
パーミッション変更後はホームページの動作テストを行ってください。
特に確認して欲しいのはこちらです。
・ダッシュボードへのログインができるか
・記事の投稿やメディアのアップロードが正常にできるか
・プラグインの追加、削除ができるか?
・テーマの変更ができるか
パーミッションの変更を間違っていれば、これらのページへのアクセスや作業を行った場合に、500エラーが起きるか真っ白な画面が表示されます。
その場合は該当する変更したファイル・ディレクトリのパーミッションを再度変更して対処しましょう。
WordPressで出来るセキュリティ対策の一つ
ワードプレスは個人・法人問わず、世界中で使用されているCMSです。
そのため、セキュリティ対策をしっかりとしておかないと思わぬ事態が起きてしまう可能性があります。
ワードプレスを元に会員制サイトなど、個人情報を扱うつもりであればセキュリティ対策は万全にしておきたいものです。
セキュリティプラグインも様々なものが用意されていますが、サーバー上のファイル・フォルダに対するセキュリティもチェックしておきましょう。