WordPressサイトのセキュリティを高める

wp-config.phpファイルを外部からのアクセス不可に設定する方法。.htaccessファイルに記載して外部からのアクセスを禁止にする。具体的な記入例と記載後の検証結果の例をお伝えします。 WordPressサイトをお持ちのあなたにとっても大事なことです。

セキュリティ（Security）を高める（切り出し編）

以前の記事で、「wp-config.php」のファイルのセキュリティについて書いたのですが、

　テーブルのリネーム(wp-プイレイックスの変更)など、色々な設定と織り交ぜて記載している為（分かりにくいかもしてませんので）

今回はこの部分の設定だけ切り出してお伝えします。

「wp-config.php」ファイルを外部からのアクセス不可に設定する

データベースのアカウント情報が記載されている「wp-config.php」のファイルは、WordPressを利用する上で、最も重要で、最もセキュリティレベルを高く設定しなければいけないファイルです。

（これも以前の記事にも書いたことですが、大事なことなので、改めて書いています）

このファイルが、攻撃者の手に渡ってしまったら、データベースが直に操作されてしまう危険性があります。

そのため、外部からのアクセスを不可に設定し、パーミッションも厳しく設定する必要があります。（今回の例では触れませんが、パーミッションは600に設定しています）

「.htaccess」ファイルに追記する

「wp-config.php」と同じ階層の「.htaccess^※」ファイルに、下記を入力してください。
※. 分散設定ファイル：ドット・エイチ・ティ・アクセス ファイルは、Apache（アパッチ）を用いたWebサーバにおいて、ディレクトリ単位でサーバの挙動の決定を設置できる設定ファイル

<files wp-config\.php>

order allow,deny

deny from all

</files>

　⇧￥はサーバ環境ではバックスラッシュ（Unix制御文字として、Linuxも）です。

これで、外部からのアクセスは不可能になります。

「.htaccess」ファイルは、様々な設定をすることができます。
設定の範囲を後から分かりやすくするためには、
前後にコメント(#で始まる)を挟むのもよいかも知れません
（多くのプラグインもセットアップでその様な注釈を自動で入れてくれます）

例えば、

#Begin wp-config.php Security -2020/03/12

#END wp-config.php Security -2020/03/12

の様に

実際のサーバ環境（XSERVER）のWebFTPでメンテナンス

• .htaccessへの追記です。
• 既にある記載の変更・削除は、絶対に行わない様に注意して行ってください

設置後検証

https://イイネ.biz/wp-config.php/ では、

ChromeもFirefoxでも、Edgeでもみんな真っ白な画面

筆者が検証を行ったところ、⇧ 403^※エラーでなく真っ白の何もない画面になります？

403画面になって欲しかったけど

本来、“HTTP 403、またはエラーメッセージ Forbidden（「閲覧禁止」「禁止されています」の意）は、HTTPステータスコードの一つ。
　ページが存在するものの、特定のアクセス者にページを表示する権限が付与されず、アクセスが拒否されたことを示すもの。”

403になって欲しかった（XSERVERの場合）のだけど

なぜ？を調べてみた「403でなく画面が真っ白」で検索しても・・・

403と関係している様な記載はみかけるものの、

「画面が真っ白に」では、どの記載も・どれも当てはまらない。

「意図した内容とはちがったもののこれはこれで良いか！」と居直りぎみ

もちろんちゃんとしたURL入力では、正常に操作もできますので。

あなたが、ご存知なら

あなたが、403でなく真っ白になる理由・原因をご存知ならコメント戴けると嬉しいです。