wp-config.php とは? なぜセキュリティ対策が重要なのか
WordPressを使ってサイトを運営すると、必ず存在するのが 「wp-config.php」 というファイルです。
このファイルには データベースの接続情報 や セキュリティに関わる秘密鍵 が含まれていて、サイト全体を動かすための大切な設定が詰まっています。まさに“サイトの心臓部”と言える部分なんです。
もしこのファイルに第三者がアクセスできてしまうと、サイトが乗っ取られる・情報が流出する といった深刻なトラブルにつながります。
考えるだけでも不安になりますよね…。
でも安心してください!このあと紹介する方法を取り入れるだけで、リスクを大きく減らすことができます。
スクール講師から「wp-config.phpの保護は必ずやってください」と言われて、そのとき初めて「ここまで重要なんだ…!」と実感しました。
まず押さえる「3つの対策」
初心者でも取り入れやすいセキュリティ対策は大きく3つあります。
- wp-config.phpを1階層上に移動する(可能なら最優先)
- .htaccessでアクセス制限をかける(移動が難しいときの有効策)
- WAF(ウェブアプリケーションファイアウォール)を設定する(サイト全体の防御を強化)
専門用語が出てくるので「難しそう…」と感じるかもしれませんが、手順は思ったよりシンプルです。順番に解説していくので、気になるものから読み進めてくださいね。
事前準備!対策を始める前に必ず行うバックアップ手順と注意点
セキュリティ対策を始める前に、まずやっておきたいのがサイト全体のバックアップです。
なぜかというと、作業中に設定を間違えてしまったり、ファイルを壊してしまうと、最悪サイトが表示されなくなることもあるからです。特に初心者の方は、ちょっとした操作ミスが大きなトラブルにつながりやすいんですよね。
「怖いな…」と思ったかもしれませんが、安心してください!バックアップを取っておけば、万が一のときでもすぐ復元できるので、心強い保険になります。
バックアップ方法
バックアップには大きく2つの方法があります。自分に合ったやり方を選びましょう。
1. FTPを使って手動でバックアップ
- サーバー上のすべてのファイルをローカル(自分のパソコン)にダウンロードします。
- 無料ソフト「FileZilla」などを使うと簡単に操作できます。
中級者はFTPで細かく管理
2. バックアッププラグインの活用
- WordPressには、ボタン一つでバックアップを取れるプラグインがあります。
- 有名なのは「UpdraftPlus」で、初心者でも扱いやすいのが魅力です。
時間がない方はプラグインでのバックアップがおすすめ◎
復元まで確認しておく!
バックアップを取っただけで満足してしまう人も多いですが、実際に復元できるか確認しておくとさらに安心です。
バックアップは「保存」だけでなく「戻せること」に意味があるので、ここまでできれば万全です。
wp-config.php を守る「3つの対策方法」
方法1: wp-config.phpを1階層上に移動する
まず最も効果的で推奨されるのが、wp-config.phpを現在の場所から1階層上に移動する方法です。
通常、このファイルは public_html フォルダ内(WordPressを設置するための標準フォルダ)に置かれていますが、それを 1つ上の階層に移す ことで、外部から直接アクセスされにくくなります。
ありぃイメージとしては「玄関に金庫を置いていたのを、家の奥に移す」ような感じです!
…いや、普通そんなことしませんよね(笑)
もっと分かりやすく言うと、「テーブルの上に置きっぱなしの財布を、引き出しにしまう」イメージです。
手順
- FTPソフトを使って、wp-config.phpを1階層上へドラッグ&ドロップで移動する
- 移動後、サイトが正常に表示されるか確認する
ただし注意点もあります!
特に複数のサブドメインを利用している場合、wp-config.php を 1 階層上に移動すると干渉が起こり、正常に動作しないケースがあります。
これは、同じ public_html を共有するために「このサブドメイン用の設定」と「別のサブドメイン用の設定」が区別できなくなるからです。
そのため、サブドメイン環境ではこの方法は推奨されません。
ありぃ私も以前サブドメインを複数使っていたときに試しましたが、やはりうまく動作しませんでした。
その代わりに .htaccessでのアクセス制限+WAFの設定 を組み合わせて対策しました。
環境によってベストな方法は違うので、無理のない範囲で選んで大丈夫ですよ◎
方法2:.htaccessによるアクセス制限
次に紹介するのは、.htaccessファイルを利用してアクセス自体を制限する方法です。
wp-config.phpを移動できないときや、さらに補強したいときにおすすめです。
この方法は比較的シンプルで、サーバー設定を大きくいじらなくても実施できます。移動が難しい方にとっては心強い選択肢ですよ。
実施手順(例:XServerの場合)
各サブドメインのフォルダ内に.htaccessファイルを作成、または既存のものを編集する
注意点:編集前に必ずバックアップを取ること!
以下のコードを.htaccessファイルの先頭に追加する
# wp-config.php へのアクセス制限
<Files wp-config.php>
order allow,deny
deny from all
</Files>
.htaccess ファイルの編集後は、サーバーのキャッシュをクリアしたり、ブラウザのキャッシュをクリアしてから確認すると、正しく反映されることがあります。
方法3:WAFの設定
最後に紹介するのが、WAF(Web Application Firewall:外部からの攻撃を防ぐ仕組み)の設定です。
これはサーバーに備わった機能で、外部からの攻撃や不正アクセスを防ぐ仕組みです。wp-config.phpに限らず、サイト全体のセキュリティを底上げしてくれます。
実施手順(例:XServerの場合)
サーバーパネルにアクセスします。
「サーバーパネル 」→「セキュリティ」→「WAF設定」を選択
初期状態ではOFFになっているので、各項目を「ON」に変更する
主な設定項目と推奨内容
- XSS対策:クロスサイトスクリプティングを防止 → ON推奨
- SQL対策:データベースへの不正攻撃を防止 → ON推奨
- ファイル対策:不正なファイルアップロードを防止 → ON推奨
- メール対策:不正メール送信を防止 → 通常はON(サイトにメール機能がない場合はOFFでも可)
- コマンド対策:不正なシェルコマンド実行を防止 → ON推奨
- PHP対策:PHPに関する脆弱性を防止 → ON推奨
設定を変更すると反映まで少し時間がかかる場合があります。
うまく動作しないと感じたら、一部を一時的にOFFにして確認することも可能です。
全体的に、XSS、SQL、ファイル、コマンド、PHP対策はONにすることが推奨されます。
メール対策は必要に応じて設定してください。サイトの安全性を高めるためにも、基本的にはこれらの対策を有効にしておくことが重要です。
もし設定後に何か問題が発生した場合は、すぐに設定を見直すことができます。
必要に応じて、特定の項目を一時的にOFFにして動作確認を行ってください。
3つの対策をすべて行う必要があるのか?
結論から言うと、可能であれば3つすべてを実施するのが理想です。
ただ、初心者の方にとっては「全部いきなりやるのは大変そう…」と感じますが、実際のところ最低でもどれか1つを設定すれば基本的な保護は得られます。
それぞれの対策の特徴をまとめると、こんなイメージです。
- wp-config.phpを1階層上に移動する方法:できる場合は最も効果的。
- .htaccessのアクセス制限:移動が難しい場合にすぐ取り入れられる簡単な方法
- WAF(ウェブアプリケーションファイアウォール):.htaccessと併用して、サーバー全体を守りたいときにおすすめ。
つまり「すべて設定すればより安心」ですが、まずは1つからでOK。「移動が難しいなら.htaccessやWAFで代替」という柔軟な考え方で大丈夫です。
まとめ
wp-config.phpはWordPressで最も大切な設定ファイルの一つ。ここを守ることが、サイト全体を守ることにつながります。
- 最低限どれか1つの方法を必ず設定しましょう。
- 3つ全部を組み合わせればさらに安心ですが、できる範囲から始めるだけでも十分効果があります。
- そして忘れてはいけないのが、定期的なバックアップです。対策後もこまめにバックアップを取っておくことで、もしもの時にすぐ復元できます。
セキュリティ対策は「少し面倒だな」と感じるかもしれませんが、やっておくと安心感が全然違います。
まずはできる方法から一つ、今日から取り入れてみましょう!
- まずは「.htaccessによるアクセス制限」からスタート
- 余裕があれば「wp-config.phpの移動」
- サーバー全体を守りたいなら「WAF設定」
