トップページ > WordPressセキュリティ対策 > セキュリティ対策【共有サーバーの方は必ず確認してください】パーミッションを変更して、セキュリティを強化する

セキュリティ対策【共有サーバーの方は必ず確認してください】パーミッションを変更して、セキュリティを強化する

2013/07/24 0:37:34

テーマ: Wordpressセキュリティ対策

大幅改ざん騒動の手口は、WordPressの設定情報ファイル「wp-config.php」からデータベース接続に必要な情報を抜き出して情報を書き換えるという手法でした。なんでそんなころができるの?wordpresってこわいね。ではないのです。共用サーバーを利用しているweb全体で言えることなのです。

では、サーバーについて勉強しましょう。

共用サーバーについて

企業用サイトでない限り、独自サーバーではなく共用サーバーを使っている方がほとんどだと思います。

共用サーバーとは、一つのサーバーを複数のサイト(何人かで)共有して使っています。

通常は複数のサイトが入っていることが感じない、気づかないで使用できます。

一つのサーバーを、複数サイトで共有しているということは、サーバー上では同じグループになっている ということをまず、覚えておいてください。

サーバーに 個々のwebのデータファイルがあり、それを見に行くと ホームページが見ることができます。
webのデータファイルはデータなので 読んだり、書いたり、動かしたりすることができます。その動作をファイルごとで権限を与えることができます。
その権限がパーミッションです。
  

FTTPについて

FTTPはそれぞれのファイルのパーミッション(管理権限:UNIXのファイルの保護モード)が変更できます

ユーザー:オーナー、グループ、その他
パーミッション:読み込み、書き込み、実行

FTTPでは、これらがキーワードになりますので、これがわからない方、まずココから始めましょう。

パーミッション

ユーザー

  意味
所有者(Owner) ファイル/ディレクトリの所有者、自分、本人のこと
グループ(Group) 同じサーバーを利用できるユーザ全体
他のユーザ(Other) その他全て、第三者のこと(他人、その他)

実行権

では、ファイルやディレクトに権限で何が違うのか

  ファイル ディレクトリ
読み 指定したファイルの内容を表示する リストの表示可能
書き ファイルの上書き、削除 ディレクトリに新規ファイル作成可能
実行 実行ファイルの実行(プログラム、CGIなど) カレントディレクトリにすることができる

「読み」「書き」「実行」の3つの実行権

パーミッション(権限)は、記号または数字で表されています。

  記号 数字
読み(Readable) r 4
書き (Writable) w 2
実行 (eXecutable) x 1
なにもできない 0

記号で表すと「r」「w」「x」によるパーミッションの表記は、数字で表すと、「r=4」「w=2」「x=1」という数字をそれぞれに当てはめます。

ファイルやフォルダを各ユーザーに対して どのようなパーミッションが与えることができるか、この表記方法で設定できます。

ファイルにそれぞれパーミッションの設定で、「読み込み」「書き込み」「実行」権限を設定することで安全性を強化できます。

3桁の数字でパーミッションは表現

3桁の数字は、左から自分・所有者、グループ、その他・他人になり、それぞれに指定た読み、書き、実行、の合計が属性値になります。

式:読み+書き+実行=属性値

例:rwx = 4(r)+2(w)+1(x)=7 
例:r-x  = 4(r)+0(w)+1(x)=5
例:r–   = 4(r)+0(w)+0(x)=4

所有者・自分(Owner) グループ(Group) その他・他人(Other)
読み+書き+実行=属性値 読み+書き+実行=属性値 読み+書き+実行=属性値
例1:パーミッションが「rw-r–r–」のとき

「自分」→ r+w = 4+2=6
「グループ」→ r=4
「他人」→ r=4

「644」と表記することが可能です

つまり、あるファイルの所有者は「AAAA」さんで、他の人は「読むことは可能」ですが、「書き込むことは許可しない」 などの権限をファイル毎に設定することができます。

グループなんて他人です!自分のデータに何もさせないで!

ホームページやWordpressでは、あなたはオーナーですが、あなたのサイトあるHTMLファイルや画像データは、削除したり、書き換えたりすることがオーナーであるあなた自身でできます。しかし、別の会員(グループの人、や他の人)があなたのホームページにあるファイルを勝手に削除したり、書き換えたりすることがパーミッションの設定で できたりするように設定もできるのです。
実際のところ、オーナー以外は他人なのでファイルを書き込めたり、実行したりできるのは 論外ですね。

もう、お気づきですよね?
共用サーバーの場合、グループのパーミッションを許可している場合、グループつまり同じサーバー内の他のユーザーがアクセスすることができる!ってことを。

WordPressの各ファイルのパーミッションを見直そう!

WordPressの各ファイルのパーミッションを見直して、必要ならば変更をして下さい。

パーミッションの変更方法

1.FFFTPなどのFTPソフトで該当のファイルを右クリック

2.「属性変更」をクリック

3.属性の変更という別画面が出ます。
(オーナー、グループ、その他や「現在の属性(パーミッション)」が表示されています)

4.<数字で変更する場合>「現在の属性」の数字を変更してください。
それぞれの権限にチェックを入れることで「現在の属性」を変更させることも可能です。

理想的なWordpressファイルのパーミッション

画像ファイル・HTML 604 rw—-r–  
wp-config.php 404 r—–r– より安全性を高めるために「400 (r——–)」
.htaccessファイル 604 rw—-r– 【重要】「.htaccess」ファイルが
書き換えられる事例が多発
※パーマリンクの設定が可能なのは「606」
ディレクトリ 705

rwx—r-x

 
php.ini 600  -rw——-  
php.cgi 711 -rwx–x–x  
php5.cgi 100 —x——  

パーミッションの設定を「777 (rwxrwxrwx)」、「666 (rw-rw-rw-)」などに設定されている場合は、「誰でも書き込める」設定となっているため、改ざんが行われる可能性があります。その設定だけは 無いように変更してください。

どうしても わからない 難しいという方は

すべてのディレクトリは705
wp-config.php は400(動かないときは404)
その他のすべてのファイルは604

にするだけでも かなり違います!

必ず、共用サーバーのパーミッションは見直して設定しましょう。

共用サーバーの方は 「グループ」の権限だけは、どのファイルも、「0」にしてくださいね。
パーミッションの3ケタの真ん中の数字が「0」になっていること! 


もう一度言います、グループ(パーミッション3ケタのうちの真ん中)は、共用サーバー(一つのサーバーの複数人でエリアを分けて使っている)内の、見ず知らずの違うユーザー達のことです。
パーミッションとは、自分のエリア内のファイルやフォルダのアクセス(読み込み、書き込み、実行)権限のことを指し、この値で「0」は権限を与えないのですが、なにか数字が入っていれば何かしらの権限を与えることになります。
見ず知らずの人に自分の大切なデータは触らせる必要は全くないので、必ずパーミッション3ケタの真ん中の数字は「0」にしてください。

  

サーバー管理者が厳格に言わせると、Wordpressだけでなくても、なんらかのサイト運営をするならパーミッションがわからないユーザーは 共用サーバーを使わず、企業のように独自サーバーを使うべきだとさえいわれるくらいです。ただし、管理費が馬鹿になりません。共用サーバーに入るしかないのです。独自サーバーを持つことだたり、記事を更新するたびにエクスポートをとる作業コストを考えたら、有料の自動バックアップツールは安い買い物とも思えるこの頃です。
サーバー会社もこのようなトラブルは死活問題なので、セキュリティはどんどん厳しくなっていますので、バックアップをしっかりとって 便利に有効に使っていきましょう。

IPアドレスが違うとログインさせない!
ロリポップからも発表されている『.htaccessによる特定のホスト・IPの許可と制限』
も行えたら 良いに越したことのない設定なのですが、ノマドユーザーには無理な話だったりします。

おまけ:パーミッション例

FFTPでみかける パーミッションはどういう意味なのか。よくあるパーミッション設定はこのような意味があります。
Read(読みこみ)、Write(書き込み)、eXecute(実行)

文字列 説明
777 rwxrwxrwx

自分、グループ、他のユーザにread、write、execute (7) を許可。
すべての人にすべての実行権を許可します。

705 rwx—rwx 自分にread、write、execute (7) を許可 、
グループは権限なし (0)、他のユーザにread、execute (5) を許可
677 -rw-rwxrwx 他のユーザにread、write、execute (7) を許可
666 -rw-rw-rw- 自分、グループ、他人に read、write (6) を許可
607 -rw—-rwx 自分に read、write (6) を許可、
グループは権限なし (0)、他人 read、write、execute (7) を許可
600 -rw——- 自分に read、write (6) を許可、グループと他人は権限なし (0)
477 -r–rwxrwx 自分に read (4)、
グループと他のユーザに read、write、execute (7) を許可
444 -r–r–r– 自分、グループ、他人に read (4) を許可
400 -r——– 自分に read (4) を許可、グループと他の他人は権限なし (0)
470 -r–rwx— 自分に read (4)、
グループに read、write、execute (7) を許可、他人は権限なし (0)
407 -r—–rwx 自分に read (4) を許可、
グループは権限なし (0)、他人に read、write、execute (7) を許可

 

 

この記事を気に入っていただけましたら下記ソーシャルボタンのクリックや、RSSやFacebookでの購読、Twitterのフォロー等よろしくお願いします!

アメブロからWordPressに移行・引越し

Wordpress移行本