最終更新日
WordPressサイトをハッカーから守る最終防衛線:パーミッション設定を徹底理解する
あなたのWordPressサイトは、サイバー攻撃の脅威に常に晒されています。不正なログイン、改ざん、情報漏洩……。これらの脅威からサイトを守るための最も基本的でありながら、非常に重要な防御策の一つが「パーミッション(ファイル権限)設定」です。
「パーミッション? 何となく触ってはいけない気がする……」と感じている方も多いかもしれません。しかし、この設定を正しく理解し、適切に管理することは、WordPressサイトのセキュリティを盤石にする上で不可欠です。今回は、パーミッション設定の基本から、なぜ重要なのか、そしてどのように設定すべきなのかを徹底的に解説します。
パーミッションとは何か?WordPressサイトの「ドアの鍵」
パーミッションとは、ウェブサーバー上にあるファイルやフォルダに対し、「誰が、何ができるか」というアクセス権限を設定するものです。WordPressサイトは、PHPファイルや画像ファイル、CSSファイルなど、様々なファイルとフォルダで構成されており、それぞれに適切なパーミッションが設定されている必要があります。
この権限は、主に3つのカテゴリの「人」に対して与えられる
- 【所有者(Owner)】そのファイルやフォルダを作成したユーザー(通常はウェブサーバーのユーザー)。
- 【グループ(Group)】特定の権限を共有するユーザーの集まり。
- 【その他(Others/Public)】上記の所有者やグループに属さない、全てのユーザー(インターネット上の不特定多数を含む)。
それぞれの「人」に対して、以下の3つの「権限」を組み合わせで付与
- 【読み込み(Read: r)】ファイルの内容を閲覧する権限。フォルダ内のファイル一覧を表示する権限。
- 【書き込み(Write: w)】ファイルの内容を変更・削除する権限。フォルダ内にファイルを新規作成・削除する権限。
- 【実行(Execute: x)】プログラムとしてファイルを実行する権限。フォルダにアクセスしたり、その中を移動したりする権限。
これらの権限は、通常、3桁の数字(八進数)で表現されます。例えば「755」や「644」といった数字を見たことがあるかもしれませんね。
各桁の数字の意味
- 1桁目: 所有者(Owner)の権限
- 2桁目: グループ(Group)の権限
- 3桁目: その他(Others/Public)の権限
各数字が表す権限
0: 権限なし1: 実行 (x)2: 書き込み (w)3: 書き込み + 実行 (w+x)4: 読み込み (r)5: 読み込み + 実行 (r+x)6: 読み込み + 書き込み (r+w)7: 読み込み + 書き込み + 実行 (r+w+x)
例えば、755の場合、所有者は読み込み・書き込み・実行の全ての権限を持ち、グループとその他は読み込み・実行の権限を持つ、という意味になります。
なぜパーミッション設定がこれほどまでに重要なのか?
パーミッション設定は、WordPressサイトのセキュリティと安定運用に直接関わります。
1. セキュリティリスクの軽減
- 【不正アクセス・改ざんの防止】悪意のある第三者がファイルに書き込み権限を持っていると、勝手にファイルを改ざんしたり、不正なコードを埋め込んだりするリスクが高まります。特に、ウェブからアクセス可能なファイルに不要な書き込み権限を与えていると、サイトが乗っ取られる原因にもなりかねません。
- 【情報漏洩の防止】重要な設定ファイルなどが誰でも読み取れる状態になっていると、データベース情報などの機密情報が漏洩する危険性があります。
2. WordPressの正常な動作
- 【機能の動作不良】逆に権限が不足していると、WordPressが正しく動作しないことがあります。例えば、新しいプラグインがインストールできない、画像のアップロードができない、テーマの更新ができない、といった問題が発生します。
- 【エラー表示】適切な権限がないために、ウェブサイトが正常に表示されず、エラーメッセージが表示されることもあります。
WordPressにおける推奨パーミッション設定
WordPressの公式サイトや多くのレンタルサーバーが推奨する、一般的なパーミッション設定の目安があります。
1. すべてのファイル:644 (または 604)
- 【所有者】読み込み、書き込みが可能。
- 【グループ】読み込みのみ可能。
- 【その他(全員)】読み込みのみ可能。
この設定により、ファイルの内容を閲覧することはできますが、所有者以外はファイルの変更ができないため、改ざんのリスクを減らせます。
2. すべてのディレクトリ(フォルダ):755
- 【所有者】読み込み、書き込み、実行が可能。
- 【グループ】読み込み、実行が可能。
- 【その他(全員)】読み込み、実行が可能。
ディレクトリの場合、「実行」権限がないと、そのフォルダの中に入ったり、その中に格納されているファイルにアクセスしたりすることができません。そのため、適切な実行権限が必要です。
3. 特に重要なファイルの設定
【wp-config.php】 (設定ファイル):600 (または 400)
- WordPressのデータベース接続情報など、最も機密性の高い情報が記載されているファイルです。所有者のみが読み書き可能(または読み込みのみ)に設定し、グループやその他からは一切アクセスできないようにするのが理想的です。
【wp-content/uploads/ 】(アップロードフォルダ):755 (または 775)
- ここに画像をアップロードするため、ウェブサーバーから書き込み権限が必要です。サーバーの設定によっては775が必要な場合もありますが、可能な限り755を推奨します。777は、誰でも書き込み可能で、セキュリティリスクが非常に高いため絶対に避けましょう。
パーミッションの確認・変更方法
パーミッションは、主に以下のいずれかの方法で確認・変更できます。
1. FTPクライアントソフトを使う方法
FileZilla (ファイルジラ) などのFTPクライアントソフトを使えば、サーバー上のファイルやフォルダのパーミッションを視覚的に確認し、変更できます。
- FTPクライアントでサーバーに接続します。
- パーミッションを確認・変更したいファイルまたはフォルダを右クリックします。
- 「ファイルのパーミッション」や「属性の変更」といった項目を選択します。
- 表示されるウィンドウで、読み込み・書き込み・実行のチェックボックスを操作するか、直接3桁の数字を入力して変更を適用します。
2. レンタルサーバーのファイルマネージャーを使う方法
多くのレンタルサーバーは、管理画面内に「ファイルマネージャー」や「ウェブFTP」といった機能を提供しています。
- レンタルサーバーの管理画面にログインします。
- ファイルマネージャー機能を探し、開きます。
- サーバー上のファイル構造が表示されるので、目的のファイルやフォルダを選択します。
- 「パーミッション変更」や「属性変更」といったボタンをクリックし、FTPクライアントと同様に権限を設定します。
3. WordPressプラグインを使う方法
一部のセキュリティプラグイン(例: SiteGuard WP Plugin など)には、パーミッションの状態を確認・修正する機能が含まれていることがあります。
- WordPressの管理画面にログインします。
- 該当のセキュリティプラグインの設定画面に移動します。
- 「ファイルパーミッション」や「サイト診断」のような項目を探し、現在の状態を確認したり、推奨値に修正したりする機能を利用します。
パーミッション設定以外の基本的なセキュリティ対策も忘れずに!
パーミッション設定は重要ですが、これだけでセキュリティが万全になるわけではありません。以下の基本的な対策も合わせて実施しましょう。
- 【WordPress本体、テーマ、プラグインの常に最新バージョンに保つ】セキュリティ脆弱性が修正されたバージョンにアップデートすることで、攻撃のリスクを大幅に減らせます。
- 【強力なパスワードの使用】推測されにくい複雑なパスワードを設定し、定期的に変更しましょう。
- 【不要なプラグインやテーマの削除】使用していないものは削除し、潜在的な脆弱性の源を減らしましょう。
- 【定期的なバックアップ】万が一、サイトが被害を受けても、すぐに復旧できるように定期的にサイト全体のバックアップを取りましょう。
- 【SSL化(HTTPS化)】サイトへのアクセスを暗号化し、データの盗聴や改ざんを防ぎます。
- 【ログイン試行回数制限】不正なログイン試行からサイトを保護するために、ログイン試行回数に制限を設けるプラグインを導入しましょう。
まとめ:セキュリティは「設定」と「継続」で守る
WordPressサイトのパーミッション設定は、サイトの安全性を確保するための基礎中の基礎です。適切な権限設定を行うことで、不正アクセスや改ざんのリスクを大幅に低減できます。「なんとなく」で放置せず、今一度、あなたのWordPressサイトのパーミッション設定を確認してみましょう。そして、今回ご紹介した推奨値を参考に、必要であれば設定を修正してください。
ウェブサイトのセキュリティは、一度設定すれば終わりではありません。常に最新の脅威に目を光らせ、継続的に対策を講じることが、安全で信頼性の高いサイト運営への道です。
重要なことはわかったけど、上記のような設定を触るのはこわいですよね? やはり専門業者に任せるのが一番んです。まずはお気軽にお問合せください。
