Wordfence でSCANした時に「Publicly accessible config, backup, or log file found: .user.ini」が出た時の対処メモ

運営している別のサイトでWordfenceから以下の警告が出ていた。

Publicly accessible config, backup, or log file found: .user.ini

Publicly accessible config, backup, or log file found: .user.ini
Type: Publicly Accessible Config/Backup/Log

内容は以下の通り、.user.iniファイルはアクセスできないようにするか、削除できるのなら削除していいよ。という内容です。.user.iniを調べるとwordfenceのWAFに関する記述があるのみ・・削除していいのか・・でもなぁ・・消して面倒なことになったら嫌だし・・

URL: https://〇〇〇.com/.user.ini
Details: https://〇〇〇.com/.user.ini is publicly accessible and may expose source code or sensitive information about your site. Files such as this one are commonly checked for by scanners and should be made inaccessible. Alternately, some can be removed if you are certain your site does not need them. Sites using the nginx web server may need manual configuration changes to protect such files. Learn more

上記の文章の最後「Learn more」をクリックすると.htaccessに以下のソースを加えると削除しないでも良いみたいな記述があったので試してみた。

<Files ".user.ini"> 
<IfModule mod_authz_core.c> 
Require all denied 
</IfModule> 
<IfModule !mod_authz_core.c> 
Order deny,allow 
Deny from all 
</IfModule> 
</Files>

再度SCANをかけてみてるとエラーが出なくなりました。良かった!

このサイトではWordfenceの同様のエラーが出なかった理由

上記のエラーは運営している別のサイトで出ていたのですが、そういえばこのサイトも同じような構成でWordfenceをインストールしているのにエラーが出ていません。なぜか?このサイトの.htaccessを調べてみると以下の内容が追記されていました。

# Wordfence WAF
<Files ".user.ini">
<IfModule mod_authz_core.c>
	Require all denied
</IfModule>
<IfModule !mod_authz_core.c>
	Order deny,allow
	Deny from all
</IfModule>
</Files>

# END Wordfence WAF

あれ?いつの間に・・・先ほど別サイトで記述した内容と同じものが最初から入っていました。自分で記述した記憶がないので、SCANするときにそんな設定があったのかもしれません・・。

コメント