ロリポップ FTP で WordPress のファイルパーミッションを確認・変更する方法

photo credit: Skimaniac via photopin cc
photo credit: Skimaniac via photopin cc

ロリポップ上の WordPress サイトに対する改ざん被害が8,438件(本日19時33分時点)にも上ることが明らかになりました。ロリポップは被害のない全サイトについても wp-config.php ファイルのパーミッションを変更したとしています。ただ、これ以外に .htaccess ファイルのパーミッション変更も必要とされています。ロリポップの FTP サイトでパーミッションを確認・変更する方法をまとめました。

目次

  1. ロリポップの対応
  2. ユーザー専用ページからログイン
  3. wp-config.php を編集
  4. .htaccess を編集
  5. WAF の設定も

ロリポップの対応

ロリポップは公式サイトの次のページで、随時情報を更新しています。

また、次のページでサイト改ざん対策についてまとめています。

この中で、wp-config.php ファイルのパーミッションを400に、.htaccess ファイルのパーミッションを604にするようアナウンスしています。このうち前者の wp-config.php ファイルのパーミッションについてはロリポップ側で、被害に遭っていないサイトも含めて全サイトで400に変更したと、午後5時すぎにメールが届きました。

ただし、メールでは .htaccess ファイルについては触れられていません。なので604よりも弱いパーミッションのままになっているサイトがあることも考えられます。パーミッションというのは、そのファイルを「誰が」「どのように」扱えるかについての設定です。これが必要十分な程度よりも緩くなっていれば、それだけセキュリティ上の危険が増すことになります。

ユーザー専用ページからログイン

ロリポップのサイト上で FTP の作業を行うには、まずユーザー専用ページにアクセスします。

ログインしたら左側のメニューから「アカウント情報」を選びます。

「サーバー情報」→「ロリポップ!FTP」の「ログイン」ボタンをクリックすると、ロリポップ!FTPの画面に切り替わり、自動的にログインします。もし自動ログインせずに、ロリポップ!FTPのログイン画面になるようでしたら、「FTP・WebDAVアカウント」と「FTP・WebDAVパスワード」を使ってログインします。

wp-config.php を編集

ログインして最初に表示される画面で、並んでいるファイルやフォルダの中から wp-config.php ファイルを探します。WordPress を wp などのサブフォルダにインストールしている人は、そのフォルダの中にあるはずです。「属性」の欄が400になっているかどうかを確認しましょう。

属性の数字が400よりも大きい場合は、その分セキュリティが緩くなっています。ファイルをクリックし、編集画面にします。右上の「現在の属性」のところを、「オーナー」の「呼出」だけを残してすべてチェックを外します。数字が400になったことを確認した上で、画面下の「保存する」ボタンをクリックします。

.htaccess を編集

続いて、.htaccess ファイルについてもパーミッションを確認し、必要があれば修正します。このファイルは wp-config.php ファイルと同じ階層にあります。

また、WordPress を wp などサブフォルダにインストールし、サイトの URL 自体はルートにしているケースでは、.htaccess ファイルはルートとサブフォルダの両方にあるはずですので、どちらも確認してください。

ロリポップは .htaccess のパーミッションを604に設定するよう求めています。604とは、次の場所だけにチェックが入っている状態です。

  • 「オーナー」の「呼出」と「書込」
  • 「そのほか」の「呼出」

WAF の設定も

ファイルパーミッションの変更はこれで終わりです。これ以外に、ロリポップには WAF というセキュリティ機能があるのでこれを有効にした方がいいと思います。やり方は公式ページに解説があります。

WAF が有効になっていると管理画面でテーマファイルの編集ができなくなったり、モブログができなくなったりする支障もありますが、セキュリティが優先です。私自身、ブログを始めたばかりの頃に次のような記事を書いたぐらいで、ずっと WAF を無効にしてきましたが、今回の事態を受けて常時有効化することに決めました。

まだ詳しい原因が分かりませんし、対策としてこれで十分とは決して言えないかもしれません。ただ、何もしないよりはましなはず。次のサイトではバックアップ関係などについてもまとめられているので、ぜひ目を通してみてください。

また、パスワード変更については今朝記事に書いたので、こちらをご参照ください。

2 thoughts on “ロリポップ FTP で WordPress のファイルパーミッションを確認・変更する方法

  1. Pingback: WordPress乗っ取り対策セキュリティ強化 | 流星に魅せられて var ? = f(Node.js, Meteor, MongoDB, TypeScript){ };

  2. Pingback: レンタルサーバーでWordPress設置 | Hanaのブログ

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です