さくらのVPSでKUSANAGIを設定したあとのセキュリティ対策

このブログは以前はAWSのAMIMOTOで運営していましたが、ランニングコストがやや高くて困っていたので、さくらのVPSに乗り換えました。

さくらのVPSでWordPressをインストールしたあとダッシュボードにアクセスしたら「セキュリティ情報」が真っ赤だったので直し方を紹介します。

ちなみに、、、さくらVPSでKUSANAGIを使ってWordPressをインストールするやり方は公式ドキュメントを読んでください。

KUSANAGI for さくらのVPSの設定方法

理屈は良いから修正したい人向け

とりあえず解説はすっ飛ばして直したい人はKUSANAGIのDocumentRootに移動してから以下のコマンドを実行してください。

再びダッシュボードを表示するとすべてグリーンになります。

オール・グリーン！良かった！

真面目にセキュリティ状況の直し方を解説

さっきのコマンドで何をしたのか知りたい人向けにちょっとだけ解説します。

wp-config.phpの設定

ここで出てくる警告は3つですね。

• 公開ディレクトリにwp-config.phpが存在しています。DocumentRootの上に移動させて安全性を向上してください。
• wp-config.php ファイルの権限は644です、推奨ファイル権限は 440 です。
• wp-config.php ファイルのオーナーはhttpd.www です、推奨ファイルオーナーはkusanagi.www です。

wp-config.phpに対するセキュリティの警告が3つ表示されます。1番目はDocumentRoot直下にwp-config.phpがあることで予期せぬセキュリティホールが出来るのではないかという警告です。対応としては、1階層上に上げるのが正解です。

この辺をうまく解説している記事はこちらです。
wp-config.phpはドキュメントルートよりも上の階層に置いたほうがいいという話

あとはファイルの所有権と権限を変えます。

これに対応する操作は次のとおりです。

wp-contents フォルダの設定

• wp-contesnts/フォルダの権限は 777 です、推奨フォルダ権限は 755 です。

と表示されるので、以下のコマンドを実行してフォルダの権限を変更します。

以上で設定は完了です。

オール・グリーンになれば安心だね

さて、今回はさくらのVPSを使ったので本記事のコマンドをコピペすれば対応可能ですが、使うサーバーによっては若干操作が異なる場合があります。Azureで作ったときはセキュリティの設定方法が若干異なりました。

WordPressサイトを作る際のサーバー選びは過去記事を参考にしてね。

WordPressサイト製作の際のサーバー選び4タイプ

はじめてのLinuxサーバー構築運用入門 - コマンド操作がはじめてでも自分でWebサーバを構築できるオンライン講座 (Udemy)

• 初歩的なPC操作の知識が必要
• 初歩的なHTMLの知識が必要
• インターネットの基礎的な用語が分かる