WordPress での興味深いインシデント記事を見かけ、ファイルパ-ミッションの設定が出てきたので設定してみた。
件の記事
Qiita WordPressを運用中のサーバがまるごとPHPマルウェアに感染していた時の対応メモ
読んだ限り、WordPress の管理画面から正規ログイン→不正な動作のするプラグインをインスト-ル→変なフィッシングサイトへ誘導されるようになったという感じ。
同じ轍を踏まないためには
- 管理画面へのログインペ-ジをアクセス制御
- ログインパスワ-ドを強力にしておく
をしておけば良い筈。
とは言え…
セキュリティに完璧は無いので、紹介されていた
を参考にファイルパ-ミッションを設定してみた。
…と言ってもやったのは『wp-config.php』を 600 にするだけだったけど。
ファイルの所有権を Web サ-バ-プロセス以外にするのは、直ぐには出来ないので次のリプレ-スでの課題かなぁ。