Wordpress

【wordpressのセキュリティ】大丈夫? wp-config.phpのバックアップで中身を大公開の悲劇

投稿日:2019-07-10 更新日:

こんにちは。ワラゴンです。

みなさん、wordpress のセキュリティ対策は大丈夫でしょうか?

この記事を読んでいる人は、きっとエンジニアさんか、ブログ初心者の方が多いのではないかと思います。

ブログ初心者の方の場合は、wordpressを立ち上げて記事を書くことだけで精いっぱいと思うので、wordpressのセキュリティなんて、あまり関心がないところかもしれません。

まあ、アクセスが少ないうちは仕方がないかもしれませんが、サイトが大きくなってきたなら必ず一度はwordpressのセキュリティに関して振り返ってみたほうが良いと思います。

一方、Web制作会社のエンジニアさんなら、wordpress のセキュリティ問題はみなさんいつも注意を払っているところなのではないでしょうか?

 

今日は、プロのエンジニアでもやってしまう可能性がある、wp-config.php のうっかり脆弱性を紹介したいと思います。

 

wp-config.php をどうやってバックアップしていますか?

wordpress のカスタマイズでは、たまにwp-config.php に手を加えなければならない時があります。

そんな時、みなさんはどうやってバックアップを取っていますか?

 

個人ブロガーさんなら、ローカルにバックアップを取っているかもしれないですね。

 

しかし、多くの制作会社さんでやってしまいがちなのは、

サーバー上にバックアップを置いておく

です。

ギクッと思った人、いますね。

特に、規模の小さめな制作会社さんだと、こういうことをする人って結構いると思います。

仮にgitで管理していたとしても、wp-config.phpはバージョン管理の対象外になっていることの方が多いと思うので、やっぱりサーバ上にバックアップを残しておく文化って、そう簡単に潰せないのが現実かもしれません。

 

どんな名前で残す?

さて、百歩譲ってサーバ上にバックアップを残すのをOKとしたとき、どんな名前で残しましょう?

①wp-config_.php
②wp-config.php_

あなたなら上のどちらを選ぶでしょうか?

初心者ブロガーさんはなら「どっちでもいいんじゃないの?」と思うかもしれません。

 

制作会社でphpを触っている人なら、「②の方がいい」という人もいるのではないでしょうか。

なぜなら、拡張子が.phpではなくなることで、phpが実行されずに済むためです。

phpが実行されなければ、何かの誤作動を起こすこともないので、安全ですね。

 

うんうん。

 

と思った人、アウトです(私も昔は一瞬アウトの時期がありました)。

 

知らないうちに全世界に大公開

やってみれば分かりますが、wp-config.php_にアクセスすると、以下のようになります。

 

 

そうや、そうやった、、、

 

と思った人もいるかもしれません。

そうなんです。

少なくともapacheは、未知の拡張子は全てテキスト形式とみなして処理する設定になっています。

なので、.php_という未知の拡張子のファイルは、テキストファイルだと思ってその中身をそのままブラウザに渡してしまうんですね。

 

一方、①の wp-config_.php とした場合、これにアクセスしても画面には何も表示されません。

phpとして実行された結果、「何も表示しない」という結果を得ているためです。

 

このように、「phpとして処理されない方が良い」という考え方が、かえってDB情報を丸出しにするという無残な結果に終わってしまうことがあります。

 

それってどのくらい危険なの?

全世界に公開しているとは言っても、実際問題、どのくらい深刻なんでしょうか?

言うまでもなく、バックアップしたファイル名を知らなければ、アクセスすることもできません。

そう考えると、どこかからリンクが貼られているわけでもないので、言うほど深刻ではないかもしれません。

 

しかし、攻撃者からしてみれば、無数にあるURLリストに対してwp-config.php-, wp-config.php_, wp-config.phpxあたりで機械的にアクセスしてみて、1,000サイトのうちひとつくらいヒットしたらラッキーくらいのものですから、それがあなたのサイトだったらあなたにとってはアンラッキーです。

 

しかしまあ、それでもDBの接続情報が分かったところで、通常DBサーバへのアクセスはIPアドレスによって制限されています。

なので、DB情報公開が即ハッキングにつながるかといえばそうでもなさそうなので、やっぱりあまり深刻ではないという意見もあるかもしれません。

 

そうはいっても、DBへのアクセス情報を世間にさらすなんて、私が発注する側だったら激おこなわけですが(どっちだよ!)。

 

まとめ

いかがでしたでしょうか?

 

やっべ、俺やってたわ・・・・

 

なんて制作会社のエンジニアさんやフリーランスの方もいるのではないでしょうか。

 

まとめると以下のようになります。

・基本的にはサーバ上にバックアップファイルを置かない(バージョン管理ソフトを使う)

・サーバ上に置く場合でも、wp-config.php のようなコンフィグファイルは拡張子を.phpのままして名前を変更する

・そのほかのファイルをバックアップしたい場合も、ソースを晒すのがいやなら拡張子は変更しない

 

 

この手の失敗は wordpress に限らず、一般的なPHPのショッピングサイトやフレームワークでも十分に起こり得ますので、みなさんチーム開発するときはメンバによく注意喚起するようにしましょう。

 

補足

ちなみに、世間で言われているような「wp-config.phpのパーミッションは400にせよ!」を実施している場合はどうでしょう?
この場合、バックアップを取る時にサーバ上で直接ファイル名の変更を行っていれば、ブラウザからの読み取りも禁止されるのでセーフとなります。

 

 

ごちゃごちゃ書いてきましたが、個人的な感覚としては、100人に1人くらいはやっちまっている人がいそうな気がします。どうなんでしょう?

参考:
エンジニアが選ぶWordPressのセキュリティ対策6選(基本編)

おすすめ記事

1

こんにちは。ワラゴンです。 今日は、アメリカで見つけた、日本ではあまり知られていないけど超絶おいしいお菓子を紹介したいと思います。 その名も Loacker Quadratini。 なんて読むのかは分 ...

2

こんにちは。ワラゴンです。 アメリカに在住することのひとつのデメリットは、「日本への一時帰国が簡単ではない」という点です。 特に、子供が小さいうちはなるべく親に孫を見せてあげたいと思うのが心情なのでは ...

3

こんにちは。ワラゴンです。 みなさん、Netflix(ネットフリックス)って知っていますか? アメリカ発の動画配信サービスなんですが、これが英語の勉強をするのにとても便利なのです。 英語学習では、映画 ...

4

0. はじめに こんばんわ。ワラゴンです。 さて、今日は久しぶりにアメリカ生活について、 特にロサンゼルスの賃貸事情について少しお話したいと思います。 これからロサンゼルス周辺に駐在でいらっしゃる皆様 ...

5

どうもワラゴンです。 今日は、タイトルにもあるように、一歩進んだバックアップのプラグイン、 UpdraftPlusを紹介したいと思います 1. はじめに みなさん、Wordpressのバックアップを取 ...

6

0. はじめに こんにちは。ワラゴンです。 調べ物をしている最中、すごいサイトを発見したので紹介したいと思います。 そのサイトというのは、以下になります。 副業クエスト100 もう、何というか、アフィ ...

7

前回、アメリカ生活のここがイヤ!移住して後悔したこと 前編 3つという記事を書きました。 今回はその続きになります。 シリーズを最初から読みたい方は以下の目次ページが便利です エンジニアのアメリカ進出 ...

-Wordpress

Copyright© 40歳から始める資産ブログ , 2020 All Rights Reserved Powered by STINGER.