.
WEB/DB 関連 => CMSサイト制作環境の構築 > 4.サーバーに CMS(WordPress)を設置する手順 2/4
Linux 活用ガイド:目次

サーバ構築ガイド

レンタル ガイド

ショップ 構築ガイド

情報漏洩対策

サーバーに CMS(WordPress)を設置する手順 2/4

前のページの続きです。

STEP4:CMS のセットアップ ~ WordPress の場合

FTPクライアントを使って任意のWeb公開ディレクトリにプログラム本体を設置したら、次はブラウザで当該URLへアクセスします。

大抵の CMS などのウェブアプリケーションは、この手順で対話式のセットアップスクリプトが実行されます。

上の図は最初に WordPress を設置したディレクトリにアクセスした際に表示される画面です。以下の記述があります。

この情報は wp-config.php ファイルを作成するために使用されます。もし何かが原因で自動ファイル生成が動作しなくても心配しないで下さい。
この機能は設定ファイルにデータベース情報を記入するだけです。テキストエディターで wp-config-sample.php を開き、データベース接続の詳細を記入して、このファイルの名前を wp-config.php として保存してもかまいません。

CMSの動作に必要なデータベースにCMSが接続するには、CMSは常に DBアカウント情報を知っている必要があります。セットアップスクリプトでは、この入力をユーザーに求めます。

その結果、書き込み権限が付与された設定ファイルが作成され、そこにはデータベースのアカウント情報が平文で記述されています。これはWordPress に限った話しではなく、SQLデータベースと連携して動作するウェブアプリケーションにおいて共通します。

WordPress において、これらのデータベースアカウント情報が記録されたファイルが、 wp-config.php ということになります。このファイルはセキュリティ上、大変重要なファイルです。(追々説明します)

データベースのアカウント情報は、決して第三者に漏れてはいけない重要な情報であることは先のページで説明した通りです。

さぁ始めましょうをクリックすると、左の画面が表示されます。先程の画面は扉であり、ここからが本題になります。

本来、扉ページで説明されるべき筈のリスク説明が WordPress に関しては全くありません。多くのCMSはそうですが、簡単であることばかりが強調されます。

内容は見ての通りですが、ブラウザのURLが https:// で始まるURLでアクセス出来ない場合は、通信経路は暗号化で保護されていません。よって、平文でデータベースのアカウント情報がネットワークを流れる事になります。

これが流れるのは、初回のセットアップ時のみであり、後は、wp-config.php に記述されたSQLデータベースのアカウント情報を用いて接続する事になるため、ネットワークをデータベースアカウントが流れることはありません。(Webサーバーとデータベースの位置関係が localhost であった場合)

ホスティングサービスの場合、自分のドメインで SSLによる接続が不可能な場合が多々あります。

この場合、FTP側でデータを含めて通信経路が暗号化されるのであれば、説明にあるように、この対話式の手順を踏まず、自分でデータベースのアカウント情報が記載されたwp-config.php を作成したファイルをFTPでアップすべきです。

セットアップスクリプトではなく、自分で作成した方が良い理由はもう一つあります。それはセットアップスクリプトで生成されたファイルのオーナーの問題です。

設置したサーバーが、PHPの実行権限が、FTPでファイルをアップロードしたユーザーと異なるサーバーだった場合、生成された wp-config.php のオーナーは PHPを実行しているユーザーとなります。

そのためFTPクライアントからパーミッションを変更したり、削除したりといった事が出来なくなる場合があります。つまり、ファイルオーナーの不整合です。それを解消するために、パーミッションでその他に対して最小限に認める必要があることは先に説明したとおりです。

そもそも、それぞれのユーザー権限でPHPやCGI等が実行出来ないサーバーで、CMS を利用したサイト運用は、別に漏えいしても困らない公開が前提の匿名の日記系サイトでは許容できても、業務に関わるサイト運用には使えません。

通信経路の暗号化について

ホスティングサービスによっては独自ドメインによるサイト運用を可能にしているところもありますが、これらは名前ベースのバーチャルドメインによって運用されることが多く、ドメインに対して独自SSLを利用できない制約のある場合も多いと思われます。

ホスティングサービスは専用サーバーと比較すると、様々な面で制約の多いデメリットがありますが、逆に専門知識を必要とするサーバー管理者を立てる必要が無い、ランニングコストが低いなどのメリットがあります。

LAN内の開発環境の場合

主に本稿の対象者がこれに該当しますが、LAN内に構築したサーバーをLAN内の制作スタッフに提供する場合は、通信経路の暗号化といったサーバー管理側に求められる多くの対策は必ずしも必要ではありません。

インターネットを経由してサーバーの利用を認める場合は別ですが。

また、ユーザー(社内制作スタッフ)がCMSを設置する際にユーザーに対して接続制限を求めたり、ということも必要もありませんが、実際の納品環境に近い、一般的なホスティングサービスと同様の事が行えるような環境をサーバー管理者が整えておくと良いかもしれません。

ひきつづき

このページ、STEP4では、FTPで WordPress 本体をアップロードして、ブラウザでアクセスしたところまでです。STEP5へ続きます。

CMSサイト制作環境の構築

bottom_mark
ページ最上部
ページ最上部 前のページ