今年の8月末から9月上旬にかけてロリポップのレンタルサーバで WordPress が大量に改ざんされた事件がありました。その報告は 当社「ロリポップ!レンタルサーバー」における 第三者によるユーザーサイトの改ざん被害に関するご報告 及び 第三者によるユーザーサイトの改ざん被害に関するご報告 に上がっているのですが、「第三者による〜」の中に
また、wp-config.php のパーミッションが 644 だったことを利用して、設置されたスクリプトによりデータベースの接続情報の取得がおこなわれ、データベース上のデータの書き換えが可能な状態となっておりました。
という事が改ざんの原因の一つに上げられています。
ところで WordPress.org 本家配布のWordPressパッケージや WordPress.org 日本語版で配布されている WordPress 日本語版パッケージは .zip 形式や .tar.gz 形式で圧縮されていて、これを UNIX/Linux 環境で展開すると中の *.php 等のファイルのパーミッションは 644 になっています。このままアップロードしてしまったらロリポップのレンタルサーバで起こったことと同じことが起こってしまうかも。適切なパーミッションに変更すべきです。さくらのレンタルサーバの場合は、 WordPress|CMSインストールマニュアル|さくらのレンタルサーバ|さくらインターネット公式サポートサイト によると *.php のパーミッションは 705 にするようにと書いてあります。このインストールマニュアルの場合はローカル側は Windows 環境なのでアップロード時にパーミッションを変更するようになってますね。一旦アップロードしてから端末上でパーミッションを変更したり、ローカル側が UNIX/Linux 環境な場合はローカル側で端末からパーミッション変更したりする方が楽かも。 カレントディレクトリ以下の全ての PHP ファイル (*.php) のパーミッションを変更する というエントリーを以前書いておりますので、そちらをご参照下さい。