はじめに:なぜファイル権限が重要なのか
WordPressはPHPやMySQLを利用する動的CMS。
もしファイル権限が緩すぎると、攻撃者は簡単に改ざんできます。逆に厳しすぎると自分が編集できなくなります。つまり、「適切な権限」が必要です。
推奨される基本設定
- ファイル:644
- ディレクトリ:755
- wp-config.php:600 または 640
この設定により、管理者以外が変更できない状態を確保できます。
wp-config.phpを守る
最も重要な設定ファイルです。
- サーバー設定で直接アクセスを禁止
- 所有者以外は読み取り不可に設定
- 可能であれば
/public_html外に移動
例:Apache
<files wp-config.php>
order allow,deny
deny from all
</files>
よくある危険な設定
- 777(誰でも書き込み可能)
- wp-config.phpが644で公開状態
- テーマ編集を管理画面から直接有効化
これらは「玄関の鍵を開けっ放し」にするのと同じです。
SMB向け簡単チェックリスト
- ✅ サーバーFTPでファイルパーミッション確認
- ✅ wp-config.phpを600に変更
- ✅ テーマ・プラグイン編集機能を無効化
- ✅ 余計なファイル(readme.htmlなど)を削除
ケーススタディ
- 小売店サイト:パーミッション777のまま放置 → 改ざんされスパム広告表示
- 建設業サイト:wp-config.php保護で不正侵入を防止
- 士業サイト:管理画面編集禁止によりヒューマンエラー減少
まとめ
WordPressを安全に運用するには「適切なファイル権限」が欠かせません。特にwp-config.phpの保護は最優先です。
FAQ
Q1. ファイル権限を間違えたらどうなりますか?
サイトが動かなくなるか、不正アクセスに弱くなります。適切に戻せばOKです。
Q2. 初心者でも設定できますか?
はい。レンタルサーバーの管理画面やFTPソフトから簡単に変更できます。
Q3. 権限を強くしすぎると更新できません。どうすれば?
必要時だけ一時的に権限を緩め、作業後すぐに戻しましょう。
How-To:ファイル権限セキュリティ5ステップ
- ファイルは644、ディレクトリは755に設定
- wp-config.phpは600に変更
- サーバーで直接アクセスを禁止
- 管理画面のテーマ編集を無効化
- 不要ファイルを削除
🗂️
WordPressの“ファイル権限”を正しく設定しませんか?
Kumidiaはwp-config保護から改ざん防止まで、実践的なセキュリティ運用をサポートします。
導入ガイド-300x300.jpeg)