最終更新日
目次
WordPressパーミッション設定とは
WordPressサイトを運営していると、「パーミッション」という言葉を聞いたことがあるかもしれません。「パーミッション(ファイル権限)」設定は、WordPressセキュリティ対策の基本中の基本であり、サイトを不正アクセスから守る重要な防御策です。
パーミッションの基本概念
パーミッションとは、サーバー上のファイルやフォルダに対して「誰が・何ができるか」を決めるアクセス権限設定のことです。WordPressサイトは数多くのPHPファイル、CSSファイル、画像ファイルで構成されており、それぞれに適切な権限設定が必要です。
権限の3つのカテゴリ
パーミッション設定では、以下の3つのユーザー区分に対して権限を設定します:
- 所有者(Owner):ファイルやフォルダを作成したユーザー(通常はWebサーバーユーザー)
- グループ(Group):特定の権限を共有するユーザーグループ
- その他(Others):所有者やグループに属さない全てのユーザー
3つの基本権限
各ユーザー区分に対して、以下の権限を組み合わせて設定します:
- 読み込み(Read: r):ファイル内容の閲覧・フォルダ内ファイル一覧の表示
- 書き込み(Write: w):ファイル内容の変更・削除、フォルダ内への新規ファイル作成・削除
- 実行(Execute: x):プログラムファイルの実行・フォルダへのアクセス
パーミッション数値の読み方
パーミッションは3桁の数字(八進数)で表現されます。例:755、644
| 数値 | 権限内容 |
|---|---|
| 0 | 権限なし |
| 1 | 実行のみ (x) |
| 2 | 書き込みのみ (w) |
| 3 | 書き込み+実行 (w+x) |
| 4 | 読み込みのみ (r) |
| 5 | 読み込み+実行 (r+x) |
| 6 | 読み込み+書き込み (r+w) |
| 7 | すべての権限 (r+w+x) |
例:755の場合
- 1桁目(所有者):7 = 読み込み+書き込み+実行
- 2桁目(グループ):5 = 読み込み+実行
- 3桁目(その他):5 = 読み込み+実行
なぜパーミッション設定が重要なのか
WordPressのパーミッション設定を適切に行うことで、以下のセキュリティリスクを大幅に軽減できます。
セキュリティリスクの防止
「不正アクセス・改ざん対策」適切でないパーミッション設定により、悪意のある第三者がファイルを改ざんしたり、不正なコードを埋め込んだりするリスクが高まります。特にWebからアクセス可能なファイルに不要な書き込み権限を与えると、サイト乗っ取りの原因となります。
「情報漏洩の防止」重要な設定ファイル(wp-config.phpなど)が誰でも読み取れる状態になっていると、データベース情報などの機密情報が漏洩する危険性があります。
WordPress機能の正常動作
「機能不全の回避」権限が不足していると、以下のような問題が発生します:
- プラグインのインストールができない
- 画像のアップロードができない
- テーマの更新ができない
- サイトが正常に表示されない
WordPress推奨パーミッション設定値
WordPressセキュリティを最適化するための推奨パーミッション設定をご紹介します。
基本的な推奨設定
すべてのファイル:644
所有者:読み込み+書き込み(6)
グループ:読み込みのみ(4)
その他:読み込みのみ(4)すべてのディレクトリ:755
所有者:読み込み+書き込み+実行(7)
グループ:読み込み+実行(5)
その他:読み込み+実行(5)重要ファイルの特別設定
wp-config.php(設定ファイル):600
所有者:読み込み+書き込み(6)
グループ:権限なし(0)
その他:権限なし(0)データベース接続情報など最重要データが含まれるため、所有者のみアクセス可能に設定します。
wp-content/uploads/(アップロードフォルダ):755
所有者:読み込み+書き込み+実行(7)
グループ:読み込み+実行(5)
その他:読み込み+実行(5)画像アップロード機能のため、Webサーバーからの書き込み権限が必要です。
※「重要な注意点 777設定は絶対に避けてください」。誰でも書き込み可能となり、セキュリティリスクが極めて高くなります。
パーミッション設定の変更方法
WordPressのパーミッション設定は、以下の方法で確認・変更できます。
1. FTPクライアントソフトを使用する方法
FileZillaなどのFTPクライアント利用手順:
- FTPクライアントでサーバーに接続
- 対象ファイル・フォルダを右クリック
- 「ファイルのパーミッション」を選択
- 権限設定を変更し適用
2. レンタルサーバーのファイルマネージャー
Webベースでの設定変更手順:
- レンタルサーバー管理画面にログイン
- 「ファイルマネージャー」機能を開く
- 対象ファイルを選択
- 「パーミッション変更」で権限設定
3. WordPressプラグインを活用
セキュリティプラグインの活用:
- SiteGuard WP Plugin
- Wordfence Security
- iThemes Security
これらのプラグインには、パーミッション診断・修正機能が含まれています。
パーミッション設定のベストプラクティス
- 定期的なチェック:月1回程度のパーミッション状態確認
- 変更前のバックアップ:設定変更前は必ずバックアップを取得
- 段階的な変更:一度に全て変更せず、重要なファイルから順次実施
その他のセキュリティ対策
パーミッション設定と合わせて実施すべきWordPressセキュリティ対策をご紹介します。
基本的なセキュリティ対策
WordPress本体・プラグインの更新
- WordPress本体の最新版維持
- プラグイン・テーマの定期更新
- セキュリティパッチの即座適用
強力なパスワード設定
- 12文字以上の複雑なパスワード
- 大文字・小文字・数字・記号の組み合わせ
- 定期的なパスワード変更
不要なファイル削除
- 使用していないプラグインの完全削除
- 不要なテーマファイルの削除
- デフォルトテーマの削除検討
高度なセキュリティ対策
SSL化(HTTPS化)
- データ通信の暗号化
- SEO効果の向上
- ユーザー信頼度の向上
ログイン試行回数制限
- ブルートフォース攻撃対策
- 不正ログイン試行の自動ブロック
- セキュリティプラグインでの実装
定期的なバックアップ
- サイト全体の自動バックアップ設定
- データベースの定期バックアップ
- 復旧テストの実施
WAF(Webアプリケーションファイアウォール)導入
- 悪意のあるトラフィックのブロック
- SQLインジェクション対策
- XSS攻撃対策
WordPressセキュリティは継続的な取り組み
WordPressパーミッション設定は、サイトセキュリティの基礎となる重要な対策です。適切な権限設定により、不正アクセスや改ざんリスクを大幅に軽減できます。
今すぐ実施すべきアクション
- 現在のパーミッション状態の確認
- 推奨値との比較・修正
- 定期的なチェック体制の構築
セキュリティ対策の心構え
WordPressセキュリティは「設定したら終わり」ではありません。最新の脅威情報をキャッチし、継続的に対策を更新することが、安全で信頼性の高いサイト運営につながります。
重要なことはわかったけど、上記のような設定を触るのはこわいですよね? ウェビデザインでは、こういったセキュリティの設定も制作時に行いますので、安心してご依頼ください。まずはお気軽にお問い合わせください。
- 参考ページ:5つのサービスのページはこちら
- お問い合わせ / ご相談:お問い合わせフォームはこちら
