# protect wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
.htaccessに上記を書く
参考:
・.htaccessでWordPressを守る | さくらインターネットのVPS設定マニュアル
・WordPress の安全性を高める - WordPress Codex 日本語版
wp-config.phpファイルをhttp/https経由で読むことはないはずなので、すべて拒否して問題ないと思う。
意味ある設定かどうかは個人的には疑問だったのですが、以下のような事例があります。
事例
おそらく設定してたら上記ケースでも見えなかったと思われます。この度の障害におきまして、wp-config.phpの内容が見えてしまった件につきまして、ご案内いたします。弊社のサーバーでは、DBのユーザー名、パスワードが漏えいした場合も、外部からのアクセス、及び同一サーバー内の他ユーザーからのアクセスはできない仕様となっております。
— mixhostクラウド型レンタルサーバー (@mixhostjp) 2017年2月24日
状況はわかりませんが、WEBサーバーはOKで、PHPだけサービス停止?とかしてる場合は、wp-config.phpの中身がそのまま見えてしまうという現象だと思う。
スポンサーリンク
コメントを残す