.htaccess や wp-config.php へのアクセス制限方法【WordPressサイトを安全に保つ基本】
WordPressサイトを運用するうえで、重要ファイルへの不正アクセスを防ぐことは欠かせない課題です。.htaccess や wp-config.php は、WordPressの根幹を支える非常に重要なファイルであるため、適切に保護することが求められます。この記事では、これらのファイルを安全に守るための基本的なアクセス制限方法について、わかりやすく解説します。
サイト全体のセキュリティを高めたい場合は、あわせてWordPressプラグインの基本と安全な使い方や、ログインURLを変更する方法なども参考になります。
Contents
.htaccess が重要とされる理由
.htaccess は、Apacheサーバーで動作するWordPressの動作を制御するための設定ファイルです。主に以下のような役割があります。
- パーマリンク設定の反映
- リダイレクト設定
- アクセス制御
- セキュリティルールの適用
このファイルに不正アクセスされると、サイトの挙動を自由に書き換えられる可能性があるため、適切な制限が必要です。
関連記事:
wp-config.php が重要とされる理由
wp-config.php は、データベース接続情報や認証用のキーなど、WordPressの根幹を構成する重要な設定を保持するファイルです。
内容が漏洩すると、サイトの乗っ取りやデータ改ざんの危険性が高まります。
WordPressを安全に運用する基礎知識として、WordPressユーザー権限の基本やcurrent_user_can() の権限チェック方法などを理解しておくと、より全体の安全性が高まります。
■ .htaccess へのアクセスを制限する方法
1. 特定のファイルを完全に拒否する
以下のコードを WordPress ルートにある .htaccess の最下部へ追加することで、外部からのアクセスを遮断できます。
<Files ".htaccess">
Require all denied
</Files>この設定により、ブラウザ経由で .htaccess ファイルを開こうとしてもアクセスが拒否されます。
2. アクセス元IPアドレスを限定する
特定のIPのみ許可する方法もあります。
<Files ".htaccess">
Require ip 123.123.123.123
Require all denied
</Files>管理者が決まっているサイトでは、有効なセキュリティ方法となります。
■ wp-config.php を保護する方法
wp-config.php は、WordPress本体より上層の階層に移動させても正常に動作するため、移動が可能な場合は「階層を上げる」ことが最も強力な防御になります。
1. wp-config.php への外部アクセスを拒否する
以下を .htaccess に追加して保護します。
<files wp-config.php>
Require all denied
</files>WordPress公式が推奨する一般的な保護方法です。
2. セキュリティプラグインで保護を補強する
All in One Security (AIOS) や SiteGuard WP Plugin などのセキュリティプラグインには、重要ファイルを保護する機能があります。
特に、AIOS は「ファイル変更監視」や「ログイン試行回数制限」など多機能で、複合的な対策が可能です。
あわせて読む:
■ ディレクトリ自体へのアクセスを制限する
WordPress本体以外のフォルダ(uploads など)は安全性が比較的低くなることがあります。
ディレクトリ単位でアクセス制限を行うことで、総合的な安全性が向上します。
ディレクトリ一覧表示を無効化する例
Options -Indexes特定フォルダに .htaccess を配置して制限する
Order deny,allow
Deny from allメディアフォルダなどには適用しすぎないよう注意が必要です。
■ セキュリティ対策のポイントまとめ
- .htaccess と wp-config.php は、WordPressサイトの中でも特に重要なファイル
- 外部からの不正アクセスを遮断する設定を行うと、サイト全体の安全性が大きく向上する
- セキュリティプラグインやログインURL変更、ユーザー権限管理とも併用することで堅牢な運用が可能
WordPressサイト全体の安全性を高めるには、WordPressプラグインの基本と安全な使い方 や ログインURLの変更、テーマカスタマイズ時の安全な作業手順 など、複数の記事とあわせて理解することが効果的です。