なんか簡単にできるセキュリティ対策ってないかな?
今回はそんな悩みに添いたいと思います。
- 簡単にできるセキュリティ対策が知りたい
- レンタルサーバーにアクセスされたらどうしよう
- ホームページが改ざんされないようにしたい
- パーミッションって何?どうやって設定するの?
ホームページの大切なファイルやフォルダは許可された人しかアクセスできないようにするのが、パーミッションです。このパーミッションは一度設定したら、それでOKなので簡単にできるセキュリティ対策なんじゃないかなと思います。
そこで、今回はパーミッションについて解説したいと思います。説明は難しく感じるかもしれませんので、なるべく画像を多めにしました。パーミッションとは何?からファイルの設定まで解説しようと思います。
目次にはリンクが張ってありますので、気になるところに飛ぶことができます
パーミッションについて
パーミッションとは
パーミッションはファイルやディレクトリへのアクセス権利(許可)です。
複数の人が使うパソコン、複数の人が使うサーバーの場合はパーミッションの設定が必要となります。そうでないと、誰でもがそのパソコンの中にあるファイルへアクセスが可能になります。
アクセス権は、「見る」「書く」「実行」の3種類あります。ファイルを「見る」くらいいいじゃないの?と思うかもしれません。IDやパスワードが書かれたファイルもあるため、正しく設定しないと「見る」だけでも危険なんです。
パーミッションはどんなファイルに設定が必要か
「見る」「書く」「実行」のどれをされても困るファイルやフォルダにはパーミッションの設定が必要になります。
例えば、「wp-config.php」ファイルにはWordPressのダッシュボードにログインするユーザー名とパスワードまたWordPressのデータベースphpMyAdminにログインするIDとパスワードが掲載されています。(詳しくは「ユーザ名とパスワード忘れた場合のWordpressにログインする方法」を見て頂けるといいかなと思います。)
- CGI
- .htaccess
- wp-config.php
- 他人に見られては困るファイル
推奨パーミッションは各レンタルサーバーで
推奨パーミッションはレンタルサーバーによって若干違います。ご契約のレンタルサーバーのマニュアルでご確認ください。
ロリポップ!のパーミッションは
さくらインターネットのCGIについてのパーミッションは「755」か「705」です。
まとめると大体こんなパーミッションになります。設定の参考にしてください。
| .htaccess | 「604」「644」 |
| wp-config.php | 「400」「404」「600」 |
| .htmlや画像ファイル | 「604」「644」 |
| ディレクトリ(フォルダ) | 「705」「755」 |
| 設定に悩むファイル | 「604」「644」 |
パーミッションは何で設定するのか
パーミッションの設定は各種レンタルサーバが提供するFTPソフトで行います。
例えばバリュードメイン系のサーバーの場合はnet2ftpファイルマネージャー、さくらインターネットのレンタルサーバーはファイルマネージャーになります。
パーミッションの対象者と権利
上の画像はバリュードメイン系のサーバーのファイルサーバの画面です。この画像の属性がパーミッションになります。ここを見ると、rwx-の4つの文字が見えます。
属性はディレクトリ(ファイル)の3種類の対象者に「rwx-」を使って3種類の権利を表しています
対象者は・・・
| Owner | 所有者 | ファイルやディレクトリの所有者、HPの管理者、本人 |
| Group | グループ | ファイルやディレクトリが入っているサーバの人、共有サーバ全体、 |
| Other | その他の人 | まったくの他人 |
注意があります!Groupは同じサーバを使っている人になりますので、ハッキリ言って他人です。Owner以外他人になりますので注意くださいね。
権利は文字や数字で表されます。
| 見る(読み取り) | read | r | 4 |
| 書く | write | w | 2 |
| 実行 | execute | x | 1 |
| 権利なし | ー | – | 0 |
ファイルとディレクトリの権限の違い
「見る」「書く」「実行」だけだと、わかったような分からないような感じですよね。その違いをまとめます。
| ファイル | ディレクトリ | |
| 見る | ファイルの内容を読み取る、表示する | ディレクトリの中のファイルリストを表示する |
| 書く | ファイルの書き込み、上書き、削除 | ディレクトリ内に新規ファイルが作成できる |
| 実行 | プログラムの実行 | カレントディレクトリにできる |
「カレントディレクトリにできる」とは絶対パス、相対パスを変えられます。URLを書き換えられるっていうイメージです。
たとえば、ディレクトリで「書く」「実行」が出来る場合は、インデックスファイルを作って、それをホームページのトップ画面にすることができます。そうすると、同じURLなのになぜか違うところに飛ばされるって恐いことが起こります。(そんな感じです、違ってたらごめんなさい。)
詳しくは外部リンクになりますが、「Wordpressセキュリティ対策 パーミッションを変更する」を読むと理解が深まると思いますよ。
パーミッションの表記の仕方
文字の場合は並べて書き、数字の場合は数字の合計で表します。
文字の場合
上の画像のMaildirディレクトリ(フォルダ)の属性は「rwxrwx—」です。また、_db_dumpディレクトリの属性はrwxr-xr-x」、logディレクトリは「rwx—r-x」です。
見方は、
- アクセス権は、対象者と権利の組み合わせで表します。
- 文字3つごとが対象者の権利を表します
- 対象者は「所有者」「グループ」「他人」を表します
Maildirディレクトリは「rwxrwx—」なので、所有者とグループは「見る」「書く」「実行」ができるけど、他人は何も出来ない。
_db_dumpディレクトリは「rwxr-xr-x」なので、所有者は「見る」「書く」「実行」が出来るけが、グループと他人は「見る」「実行」はできる。
logディレクトリは「rwx—r-x」なので、所有者は「見る」「書く」「実行」が出来るけど、グループは何も出来ないが、他人は「見る」「実行」が出来る。
数字の場合
数字は3つの文字の合計を並べて3桁の数で表します。
- 「r」は「4」、「w」は「2」、「x」は「1」、「-」は「0」
- 「rwx」だったら「4+2+1」と合計して「7」になる
- 所有者、グループ、他人の数字を3つ並べる
- 「rwxrwx—」だったら「770」になる
Maildirディレクトリは「rwxrwx—」なので「770」。_db_dumpディレクトリは「rwxr-xr-x」なので「715」。logディレクトリは「rwx—r-x」なので「705」。
「777」は誰でも「見る・書く・実行」が出来るので設定しないようにしましょうね!
ほぼ自分でファイルの属性を決めなくても、大丈夫ですよ。いじった場合はファイルが開けない、実行できない場合があるので、どこかに変更したメモを残しておくといいですよ。
バリュードメイン系のサーバー(コアサーバー)の場合の設定手順
コントロールパネルのサイト設計の設定したいドメインを選びます。つぎに、「net2ftp ファイルマネージャー」ボタンをクリックします。
- 変更したいファイルやディレクトリを選びます
- 右上の「属性変更」を選びます。
チェックを入れていきます。ディレクトリ内も一括で変更できます。便利ではありますが、必要なければ外すといいでしょう。
さくらインターネットの場合の設定手順
コントロールパネルのファイルマネージャーから開きます。
さくらインターネットのファイルマネージャーの画面です。
- ディレクトリまたはファイルを選びます
- 左上の指マークの「操作」を選びます
- 「操作」のメニューの中から「プロパティ」を選びます
最後に
チェックをつけるか、数字で指定します。「全ユーザ」は私でいう「他人」です。
楽に出来ますが、うっかり変更を間違うとファイルが実行できない開けないことがありますので、よく確認して変更しましょう。間違えた場合は、パーミッションの設定変更を元に戻せば大丈夫です。でも、作業はメモをしながら進めると「なにやったっけ?」とならなくて、復旧が楽になります。
ファイルの改ざんなどのサイバー攻撃を見守るサイトロック
があります。月額350円から利用できますので、予算の合う人は利用するとより安全です。
パーミッションの設定なら、簡単だし、セキュリティ対策になるね!