WordPressどしろーと実験室♪

ココロデザイン分室

wp-config.phpと.htacsessの属性変更を試みる

このところ、ロリポップのWordPressでデータベースから
ユーザー情報が流出したとかで大騒ぎになっている。

このブログを置いてるサーバ、@pagesでもそう。

ファイルのパーミッションとか、正直よく分かってないのだけれども、
自分が読み書きできて、グループが読み、その他が読めるようにするときは、
属性は644になる。

誰もが、読み書き実行できるのは、777。これは非常に危ない。

wp-config.phpの設定は、今、644。
このファイルの中には、WPに使っているデータベースのパスワードと
認証用のユニークキーが書かれているので、これが外部から見えてしまうのは、
ほんとはまずい。

試しに、自分が読み書きできて、グループ・その他が読めない600にすると、
サイトが真っ白になった。640でも同様。
サイトが外部から見えなきゃ仕方がないので、644に戻す。

.htacsessについても、600、640では、サイトにアクセスできませんと
表示されるので、元の644に戻した。

今まで、他の人には書き込まれなきゃOK、って思ってたけど、
こんな落とし穴があったのだな。むむむむ。

追記:.htacsessを604、wp-config.phpを404にしてみた。気休めかな。

追記:@Pages のセキュリティが強化されたそうで、wp-config.phpを
   400にしてもサイトが見られるようになったので400に変更。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

トラックバックURL: https://cotokoto.net/wp_lab/archives/221/trackback