そのバックアップ、危険です!wp-config.phpの中身が丸見えに!

WordPress個別サポート

WordPressの構成ファイルを開いて編集する場合、作業前にオリジナルのファイルをバックアップしておくのが普通です。また、場合によってはバックアップしたファイルをサーバーに置いておくこともあるかもしれません。

ただし、新たなファイル名を付けるときに「php」という拡張子は絶対に変更しないでください!

たとえば、設定ファイル(wp-config.php)を編集する前に「wp-config.php-bak」のような名前でバックアップしてサーバーに置いている方へ。

そのファイル名は危険です!

wp-config.php-bakとして保存すると…
wp-config.php-bakとして保存すると…

このファイル名でバックアップすると恐ろしいことが起きます。

ブラウザのアドレスバーにwp-config.php-bakのURL(例:http://example.com/wp-config.php-bak)を直接打ち込んでみましょう。ファイルの内容がブラウザに表示されるはずです。

データベースパスワードなどが丸見えになります!

データベースパスワードなどが丸見えに!
データベースパスワードなどが丸見えに!

オリジナルのwp-config.phpはPHPファイルなのでURLを直接入力しても中身は見えませんが、「wp-config.php-bak」とすることでPHPファイルではなく、ただのテキストファイルになってしまい、ブラウザ画面に内容が表示されてしまうのです!

「wp-config.php-bak」というファイル名は1つの例です。次のように拡張子がPHPではなくなるファイル名はすべて危険だと思って下さい。

▼危険なバックアップファイル名の例

  • wp-config.php-20150101
  • wp-config.php-001修正後
  • wp-config.php_修正002

次のように「inc」や「bak」という拡張子にするのも危険です。

▼危険なバックアップファイル名の例

  • wp-config.php.inc
  • wp-config.php.bak

サーバー設定によっては中身が丸見えにならずに済む場合もありますが、データベースパスワードが書かれたテキストファイルがサーバー上に置いてあるという危険な状態であることに違いはありません。

このようなファイル名でバックアップを作成していた方は今すぐ、バックアップファイルをローカルPCにダウンロードして、サーバー上の不要な「テキストファイル」は削除しましょう。

作業中に重要なオリジナルファイルを削除しないように注意してください。

どうしてもサーバー上にファイルをバックアップしたい場合は、拡張子を「php」にしたままで次のようなファイル名に変更する方法があります。

  • wp-config-bak.php
  • wp-config-20150101.php

※できればサーバー上にバックアップを置かない方が無難ですが。

拡張子が「php」のままであれば、ブラウザからアクセスしても中身を見ることはできません。

拡張子が「php」なら丸見えにならない
拡張子が「php」なら丸見えにならない

この話はwp-config.phpに限りません。テーマにもheader.php、footer.php、functions.phpなど多くのPHPスクリプトが含まれます。ご注意ください。「大丈夫!」だという知識をお持ちの方を除いて、「php」という拡張子は絶対に変更しないようにしてください。