ポイント
- WordPress をアップグレードするとソースコード全体を上書きするため wp-admin/install.php が復活する
このことから、次のようなうっかりなセキュリティのシナリオは避けたいと思いますの♪
- セキュリティを高めたいと思う。
- wp-admin/install.php を削除する。
- セキュリティを高めたいと思う。
- WordPress をアップグレードする。
- wp-admin/install.php が復活!しかし気がつかない!もしくはもう一度削除を忘れていた!
ではどうしたらよいかしら?次のように考えればよろしいですわね♪
- wp-admin/install.php の有無にかかわらず、http://example.com/wp-admin/install.php へのアクセスを禁止する。
これを実現するには、、、実は以前に取り組みました。次の投稿です♪
せっかくですので、wp-admin/install.php が復活するさまを、WordPress 3.8 へのアップグレードで確かめたいと思いますの♪
WordPress アップグレード前に wp-admin/install.php を消す
wp-admin/install.php を移動してしまいますの。
[root@oki2a24 oki2a24.com]# ll wp-admin/install.php -rw-r--r-- 1 apache apache 10381 Oct 31 00:32 wp-admin/install.php [root@oki2a24 oki2a24.com]# mv wp-admin/install.php /tmp/install.php [root@oki2a24 oki2a24.com]# ll wp-admin/install.php ls: wp-admin/install.php: No such file or directory [root@oki2a24 oki2a24.com]#
これで、wp-admin/install.php を削除した時と同じ状態になりました。
そして WordPress をアップグレード!すると!wp-admin/install.php が復活!
wp-admin/install.php は滅びぬ!何度でもよみがえるさ!と元気な声が聞こえてきそうですの♪
[root@oki2a24 oki2a24.com]# ll wp-admin/install.php -rw-r--r-- 1 apache apache 10472 Dec 17 23:16 wp-admin/install.php [root@oki2a24 oki2a24.com]#
おわりに
WordPress のセキュリティの話題をよく調べますわ。そのとき、install.php を削除すべし!という記述をよく目にします。
わたくしも、なるほど!と合点したのですけれども、あるときアップグレードしてみてからふとファイルのタイムスタンプを見ますと新しくなっております。
それは当たり前なのですが、そのときふと思ったのです。
WordPress アップグレードで wp-admin/install.php だけを避けて上書きインストールするはずがない
と。
そのとおりでしたの。
今回、その点をしっかりと確認できてよかったですわ♪
以上です。
「【WordPress】install.php 削除でのセキュリティ向上狙いはイタチごっこになるのであまり意味ない事がわかりましたわ♪」への2件の返信
こんにちは。
やはりアップグレードの度に復活するのですね。
確か削除したはずなのにーーーと悩んでいました。
ありがとうございます。
コメントありがとう存じます。
わたくしたちも、悩んでおりました。
お役に立てて嬉しく存じます。