wp-config.phpのセキュリティ対策~初心者向け解説~

記事内にプロモーションを含む場合があります。
ワンクリックで目的地へGO!

wp-config.php とは? なぜセキュリティ対策が重要なのか

wp-config.php ファイルは、WordPress サイトにとって重要な情報が含まれているファイルです。

ここには、データベース情報やセキュリティに関わる秘密鍵が記載されており、悪意のある第三者にアクセスされると、サイトの乗っ取りや情報流出のリスクが高まります。

初心者の方でもできるセキュリティ対策として、以下の3つの方法を使い、 wp-config.php ファイルを保護することが推奨されます。

事前準備!対策を始める前に必ず行うバックアップ手順と注意点

対策を実施する前に、サイト全体のバックアップを取得しておくことが重要です。
特に初心者の場合、誤って設定を変えてサイトが動作しなくなる可能性もあるため、バックアップは必須です。

バックアップ方法

FTPを使って手動でバックアップ

サーバーから全てのファイルをローカルにダウンロードします。(例:FaileZillaなど)

バックアッププラグインの活用

WordPressプラグインで簡単にバックアップできます(例:UpdraftPlusなど)

バックアップを取得後、すぐに復元できるかも確認しておくと安心です。

なぜバックアップが必要なのか
誤ってファイルが破損したり、手違いで機能に問題が発生した場合に備えるためです。

wp-config.php を守る「3つの対策方法

方法1: wp-config.phpを1階層上に移動する

wp-config.php ファイルを、現在の場所から1階層上に移動することで、外部からアクセスされるリスクを低減できます。

wp-config.php が通常配置される public_html フォルダの外に移動することを指します。
例えば、public_html の上の階層に配置することで、直接アクセスを避けられるようになります。

これは最も推奨される方法ですが、サブドメインが複数ある場合など、実施が難しいケースもあります。
可能な場合は最優先で行うと良いでしょう。

手順
FTPソフトを使ってファイルを1階層上にドラッグ&ドロップして移動します。
移動後、サイトが正常に動作するか確認してください。

注意:複数のサブドメインを使っている場合、1階層上に移動すると他のサブドメインとの干渉が発生するため、この方法は避けた方がよい場合もあります

方法2:.htaccessによるアクセス制限

.htaccess ファイルを使って、wp-config.php へのアクセスを制限する方法です。

この方法は比較的簡単で、サーバーの設定を変更せずに対策を施せるため、多くの WordPress サイトで利用されています。

ファイルの直接アクセスを防ぐ簡単な方法であり、他の対策と併用しても問題ありません。
wp-config.php の移動が難しい場合にはこの対策が効果的です。

実施手順(サーバー:XServer)

STEP
ファイルの作成・編集方法

各サブドメインのフォルダ内に .htaccess ファイルを作成(または既存のファイルを編集)します。
注意点:.htaccess ファイルを編集する際は、必ずバックアップを取ってから作業することをおすすめします。

STEP
コードの追加
以下のコードをファイルに.htaccess ファイルの先頭部分追加します。
# wp-config.php へのアクセス制限
<Files wp-config.php>
    order allow,deny
    deny from all
</Files>
STEP
設定が有効か確認する

ブラウザでの確認: ブラウザのアドレスバーに https://ドメイン/wp-config.php を入力して、404エラーや「403 Forbidden」などのエラーページが表示されることを確認します。

.htaccess ファイルの編集後は、サーバーのキャッシュをクリアしたり、ブラウザのキャッシュをクリアしてから確認すると、正しく反映されることがあります。

方法3:WAF(ウェブアプリケーションファイアウォール)の設定

WAF(ウェブアプリケーションファイアウォール)は、外部からの攻撃や不正アクセスを防ぐサーバー機能です。WordPress 専用の設定ではありませんが、wp-config.php への不正アクセスを防ぐのにも役立ちます。

これはサーバー全体のセキュリティを強化するもので、wp-config.php 以外にも有効です。
サーバーにWAF機能があれば、他の対策と合わせて設定するとより安心です。

WAF項目の説明と推奨設定(XServer)

STEP
エックスサーバーの管理画面にログイン

サーバーの管理画面にアクセスし、アカウント情報を使ってログインします。

STEP
WAF設定の確認

サーバーパネル > セキュリティ > 「WAF設定」のメニューをクリックします。

STEP
WAFの各項目を確認

初期の状態ではOFFになっています

STEP
設定の変更

必要に応じて、各項目を「状態ON」に変更することで、WAFを有効化することができます。

XSS対策説明: クロスサイトスクリプティング(XSS)攻撃からサイトを保護します。
推奨設定: ONにすることを強く推奨します。
SQL対策説明: SQLインジェクション攻撃からデータベースを保護します。
推奨設定: ONにすることを強く推奨します。
ファイル対策説明: 不正なファイルアップロードやファイル実行を防ぎます。
推奨設定: ONにすることを強く推奨します。
メール対策説明: 不正なメール送信を防止します。
推奨設定: サイトにメール機能がない場合はOFFにできますが、通常はONを推奨します。
コマンド対策説明: シェルコマンドの実行を防ぎます。
推奨設定: ONにすることを強く推奨します。
PHP対策:説明: PHPに関する脆弱性を防ぎます。
推奨設定: ONにすることを強く推奨します。
STEP
変更後の確認

設定をOFF→ONに変更

変更後、反映されるまでには一定時間かかります。

注記:WAF の設定は、利用サーバーによって異なります。必要に応じて、サーバーのサポートに問い合わせてください。

WAF設定についてのまとめ

全体的に、XSS、SQL、ファイル、コマンド、PHP対策はONにすることが推奨されます。

メール対策は必要に応じて設定してください。サイトの安全性を高めるためにも、基本的にはこれらの対策を有効にしておくことが重要です。

もし設定後に何か問題が発生した場合は、すぐに設定を見直すことができます。
必要に応じて、特定の項目を一時的にOFFにして動作確認を行ってください。

3つの対策をすべて行う必要があるのか?

基本的には、3つの対策すべてを行うことが推奨されますが、最低でもいずれか1つを設定すれば、基本的な保護が得られます。

以下に、それぞれの対策の組み合わせやおすすめポイントを示します。

  • wp-config.phpを1階層上に移動する方法:できる場合は最も効果的。
  • .htaccessのアクセス制限:移動が難しい場合に簡単に設定できる方法として有効。
  • WAFの設定:.htaccess と併用してサーバー全体のセキュリティを強化したい場合におすすめ。
wp-config.php3つの対策について

「すべてを設定すればより安全」であるものの、どれか一つを実施するだけでも十分に対策できます。
状況に応じて選択しやすいものから設定するようにし、「wp-config.php の1階層上への移動が難しい場合は .htaccess や WAF を活用する」というように、柔軟に対応するとよいでしょう。

まとめ

wp-config.php のセキュリティ対策は、サイトの安全性を高めるために重要です。

特に、サーバーへの攻撃や不正アクセスを防ぐためには、いずれかの方法を必ず設定しておくことが推奨されます。

最低限どれか1つの方法を設定
3つすべてを実施するとさらに効果的ですが、少なくとも1つを設定するだけでも基本的な保護になります。

定期的なバックアップ
セキュリティ対策を行った後も、サイトのバックアップを定期的に取得しておきましょう。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
ワンクリックで目的地へGO!