wp-config.phpの内容やこのファイルの流出の危険性とそれを守る方法を解説いたしま。
wp-config.php とは?wp-config.phpが外部のハッカーに閲覧されるとどうなる?
wp-config.php とは、ワードプレスに関する設定が書き込まれているファイルです。
このファイルに含まれる最も重要な情報は、データベースの接続設定となります。
・データベースの接続URL
・データベースのユーザー名
・データベースのパスワード
データベースの接続情報が洩れるとどうなる?
データベースの接続情報が洩れると、ワードプレスの使用しているデータベースに接続可能となります。
ただ、多くのサーバーでは、データベースに外部からは接続できないようになっています。
(そのサーバーにあるプログラム経由からしか接続できないようになっています)
このため、wp-config.phpのデータベース接続情報が洩れても、PHPMYADMIN等のデータベース接続ソフトウェアがサーバー上に無ければ、悪意のある活動はしにくいとは言えます。
ただ、何らかの方法で、ハッカーがデータベースのデータを取得できた場合は、
管理者ユーザーを含む、ワードプレスの利用するユーザーのIDやメールアドレスが流出することになります。
しかし、これらのユーザーのパスワードは、暗号化されているため、データベースの情報が洩れてもワードプレスにログインできるようになるわけではありません。
ワードプレスの管理者権限を乗っ取り悪意のあるかハッキング活動を行うには、さらにユーザーのパスワードを書き替えたり、不正な管理者ユーザーを作る等データベースを書き換える必要があります。
wp-config.phpを守る
wp-config.phpを守る比較的簡単な一般的な方法が、サーバーの設定情報が書き込まれるワードプレスのインストールされているフォルダにある。HTACCESファイルにwp-config.phpを外部からアクセスできない設定を書き込むことになります。
<FilesMatch "wp-config\.php"> Require all denied </FilesMatch">
また、wp-config.phpの書き込み権限(パーミッション)を適切な設定にすることも重要です。
FTPソフトウェアでサーバーに接続の上、パーミッションを600,または400にします。
※400にするとHTACCESSファイルの書き込みができなくなり、プラグインやサーバーの設定の書き込みエラーが生じる可能性がございますのでご注意ください。
また、wp-config.php のAUTH_KEY、SECURE_AUTH_KEY、LOGGED_IN_KEY 等の項目は、必ずランダムな長い文字列を設定するようにされることもセキュリティー上重要でございます。
参考
ワードプレスのwp-config.php にある証用ユニークキーは何に何のために使われる?
