WordPressのセキュリティプラグイン「Wordfence Security」でサイトのスキャンを実行した際に、以下のようなメッセージが出た時の対処法をご紹介いたします。
Publicly accessible config, backup, or log file found: .user.ini
Type: Publicly Accessible Config/Backup/LogURL: https://techmemo.biz/.user.ini
Details: https://techmemo.biz/.user.ini is publicly accessible and may expose source code or sensitive information about your site. Files such as this one are commonly checked for by scanners and should be made inaccessible. Alternately, some can be removed if you are certain your site does not need them. Sites using the nginx web server may need manual configuration changes to protect such files. Learn more
メッセージの意味は「https://techmemo.biz/.user.ini」にアクセスできる状態にあることを示しており、.user.iniを開くとサーバーの設定内容が見えてしまいます。これではセキュリティ上問題があるため、.user.iniにアクセスできないようにする方法をご紹介いたします。
Wordfenceでスキャンを実行した際に「Publicly accessible config, backup, or log file found: .user.ini」が出た時の対処法
メッセージの内容は.user.iniが一般公開されてしまっていることを示しているので、.user.iniにアクセスできないようにすればOKです。
WordPressが設置されているディレクトリにある.htaccessに、以下のコードを追加しましょう。
<FilesMatch "^(\.user\.ini)"> order allow,deny deny from all </FilesMatch>
とりあえず、これで.user.iniへの対処は完了なのですが、ついでにwp-config.phpやinstall.phpなどへのアクセスも拒否するようにしておくとより良いです。
<FilesMatch "^(wp-config\.php|wp-mail\.php|install\.php|\.ht|\.user\.ini)"> order allow,deny deny from all </FilesMatch>
上記を追加することで、以下ファイルへのアクセスを拒否できます。
- wp-config.php
- wp-mail.php
- install.php
- .htaccess
- .user.ini
なお、今回スキャン時にメッセージが出たサーバーはエックスサーバーです。他のサーバーでは、「.user.ini」のファイル名が異なるかもしれません。ファイル名が違っていたら、「\.user\.ini」の部分を変更してください。\(バックスラッシュ)は.(ドット)の前に付けます。
あとがき
Wordfenceでスキャンを実行した際は、対処法までは表示されません。もし同じメッセージが表示されて、どう対処すれば良いか迷っていたら参考にしていただければと思います。