wp-config.phpを保護する方法【WordPress】

# protect wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

.htaccessに上記を書く

参考:
.htaccessでWordPressを守る | さくらインターネットのVPS設定マニュアル
WordPress の安全性を高める - WordPress Codex 日本語版


wp-config.phpファイルをhttp/https経由で読むことはないはずなので、すべて拒否して問題ないと思う。
意味ある設定かどうかは個人的には疑問だったのですが、以下のような事例があります。

事例

おそらく設定してたら上記ケースでも見えなかったと思われます。

状況はわかりませんが、WEBサーバーはOKで、PHPだけサービス停止?とかしてる場合は、wp-config.phpの中身がそのまま見えてしまうという現象だと思う。

スポンサーリンク

コメントを残す

メールアドレスは公開されません。
また、コメント欄には、必ず日本語を含めてください(スパム対策)。