セキュリティを高める(1) wp-config.phpにパスワードを記載しない
WordPressのデフォルトなのかわからないが、ユーザー名やパスワードといった機密情報がwp-config.phpファイルにハードコーディングされていることに気づいた。
wwwフォルダ以下に置かれているので、セキュリティ上よろしくない。
home\ユーザー名\www\サイト\wp-config.php
セキュリティを高めるため、wp-config-db.phpファイルを作成して、そちらにユーザー名やパスワード情報を記載することにした。
home\ユーザー名\wp-config-db.phpファイル
この結果、万一、wp-config.phpファイルが漏洩しても、情報が漏洩する心配はなくなった。
ポイントは wwwフォルダの外部に機密情報を書いておくということ。これで、Webからのアクセスでは情報にアクセス出来ないはず。
.htaccessファイルなどでアクセス制限をかけることもお忘れなく。
| home\ユーザー名\www\サイト\wp-config.php | 1. wp-config-db.phpを呼び出す 抜粋: /** DB設定を外部ファイルから読み込む */ require_once(‘/home/xxx/wp-config-db.php’); // define(‘DB_NAME’, ‘******’); // /** MySQL データベースのユーザー名 */ // define(‘DB_USER’, ‘******’); // /** MySQL データベースのパスワード */ // define(‘DB_PASSWORD’, ‘******’); /** MySQL のホスト名 */ // define(‘DB_HOST’, ‘******’); |
| home\ユーザー名\wp-config.php | 1.ユーザー名やパスワード等、機密情報を定義する <?php define(‘DB_NAME’, ‘xxxx’); define(‘DB_USER’, ‘yyyy’); define(‘DB_PASSWORD’, ‘xxxx’); define(‘DB_HOST’, ‘aaaa’); |
