WordPressのセキュリティを高めるには、ファイルやディレクトリのパーミッション(アクセス権)設定が非常に重要です。
この記事では、セキュリティの観点から推奨されるパーミッションの一覧と、実際にその設定に変更した場合に起こる可能性のある影響について、初心者にもわかりやすく解説します。
パーミッションとは?
サーバー上で「誰が・どのファイルを・どう扱えるか」を指定する仕組みです。
通常、3桁の数字(例:644や755)で設定され、それぞれ「所有者」「グループ」「その他のユーザー」への権限を表します。
WordPressにおける推奨パーミッション一覧
| 対象 | 推奨パーミッション | 備考 |
|---|---|---|
| ルートディレクトリ | 755 | WordPressのインストールディレクトリ |
| index.php | 644 | 読み取り・実行のみ |
| wp-config.php | 400 または 440 | 読み取り専用。400は一部環境で注意 |
| .htaccess | 444 | 読み取り専用。プラグイン編集に制限あり |
| wp-content/ | 755 | テーマ・プラグイン・アップロード保存先 |
| wp-content/uploads/ | 755 | メディアアップロードに必要 |
| wp-content/themes/・plugins/ | 755 | 各フォルダ内も同様 |
| wp-includes/・wp-admin/ | 755 | WordPress本体のコア部分 |
| PHPファイル全般 | 644 | 書き込み不可で安全 |
| robots.txt | 644 | 検索エンジン制御ファイル |
| .user.ini / php.ini | 444 | PHP制御ファイル。変更不要 |
注意点:パーミッション変更で影響が出る可能性のあるケース
| 対象 | 推奨設定 | 影響内容 | 対策 |
|---|---|---|---|
| .htaccess | 444 | SEOやWAF系プラグインの自動書き換え不可 | 一時的に644にして編集後、戻す |
| wp-config.php | 400 | 一部サーバーで読み込みエラー(500) | 440で運用、問題なければ400へ |
| robots.txt | 644 | SEO系プラグインの保存が失敗する場合 | 書き換え時だけ666に変更 |
| テーマやプラグインの .php ファイル | 644 | 管理画面からの直接編集が制限される | 基本的に安全。編集時は一時的に666に |
まとめ
- WordPressサイトを守る基本は「正しいパーミッション設定」から。
- uploadsディレクトリ以外は原則書き込みを制限することでセキュリティ強化に。
- プラグインやテーマの自動更新・編集機能を使う際は、一部の権限だけ柔軟に運用するのがコツ。
安全でトラブルの少ないサイト運営のために、ぜひ一度、あなたのWordPress環境のパーミッションを確認してみてください。
Web制作やHTML/CSSの学習に役立つ情報を初心者向けに発信しています。
プロフィールはこちら