接頭辞”wp_”のままで使うのは危険!
今年1月,このブログの開設を機に初めてWordPressに触れました。
最初のインストール画面で「データベースの接頭辞」の意味が良く分からず,初期値の「wp_」にしていました。
実はこれ,セキュリティ上では危険な行為なんだそうです。
接頭辞を変更しないと、WordPress の DB 接頭辞がデフォルトの「wp_」や「wpl_」である事が脆弱とされ、SQLインジェクションによって攻撃されてしまう可能性があります。
また、有害サイトなどにリダイレクトするURLを仕掛けられてしまい、さらにはサイトそのものが改ざんされてしまう恐れがあります。
【WordPress】Change Table PrefixでDBの接頭辞を変更する – SEブログ (soma-engineering.com)
Change Table Prefix 実践
上のサイトを参考に,WordPressプラグイン「Change Table Prefix」を使って,私も接頭辞を「wp_」からランダムな英数字に変更してみました。
「Click to Change Table Prefix」ボタンを押すと,すべての設定項目に✓がついて,成功したと言ってきました。
これでAllways Security OK ALSOK♪~
って感じでダッシュボードに戻った瞬間…
リロード後、最初のインストール画面に!?
あ…終わった…データ終わった…
変更の反映に時間がかかっているんだと思い5分待ったものの変化なし。
こんなイレギュラーなことしなければよかった…と10分くらいたそがれて,FTPソフトでWordPressフォルダーを眺めていたら,「wp-config.php」というファイルを見つけました。
ここの接頭辞は置き換わったのかな?
以前データベースのパスワードを変更したことがあってwp-configの内容をだいたい知ってるぼくは,そう思いました。
テキストエディタで開くと,
接頭辞が変わってない!wp_のままだ!!
この部分を変更後の文字列に書き換えてみたところ,すぐに復旧しました。
wp-configのファイルパーミッションを600にしてたのがいけなかったんでしょうか?
いやー,それにしても初期インストール画面が出たときそのまま進まなくてよかったです。これ以外はとても使いやすいプラグインでした。
この記事がお役に立てれば幸いです。
コメント