noupeのエントリー「Wordpress Security Tips and Hacks」から、WordPressを安全に運営するための10のTipsを紹介します。
WordPressを安全に運営するための10のTips | コリス
この10のTipsを見ていくつか試したんだが、その内の一つにとんでもない罠があったので報告の意味を込めて。
9番目のTips、
「wp-config.php」ファイルにデータベースのユーザー名やパスワードが記述してあるので、下記を「.htaccess」に記述するなどして守る。
<filesmatch ^wp-config.php$>deny from all</filesmatch>
とまぁこれなんだが、まずこの記事のネタ元(英語版)にはこうある。
<FilesMatch ^wp-config.php$>deny from all</FilesMatch>
大文字と小文字が違うのが気になる。多分WordPressの設定で不正なXHTMLタグを自動修正とかにしてあるのが原因で全部小文字になってるんだと思う。と言うか俺はなった。
それはさておき、実はこの日本語版、英語版共に間違い。このままコピーして.htaccessに書き込むとエラーになり、管理画面に入れない。正しくは、以下のようにする。
- <FilesMatch ^wp-config.php$>
- deny from all
- </FilesMatch>
改行が必要です。
と言うのが正解。といっても文法を厳密に確認したわけではなく、俺の環境では動くようだレベルだが。
これでガンハマリした。要注意です。