WordPressファイルを管理画面とSFTP両方で編集するための権限設定

Linux
2017.08.16
Linuxクラウド
CentOSWordPress
スポンサーリンク

WordPress の構成ファイルを管理画面から編集したり、複数のユーザーがSFTPなどでファイルやディレクトリをアップロードしていると「変更を保存するには事前にこのファイルを書き込み可能にする必要があります」や「アップロードに失敗しました Permission denied. Please contact your web hosting service provider for assistance.」などのエラーが発生することがよくあります。そこで今回は、管理画面や複数のユーザーで WordPress の構成ファイルを編集しても、これらのエラーが発生しない権限の設定方法をまとめてみました。

  1. WordPress で権限周りのエラーが発生する原因
  2. 環境
  3. SFTP 接続用のユーザー作成
  4. WordPress ファイルの権限設定
  5. SFTP アップロード時の umask 設定
    1. scp や rsync は umask が設定できない?
  6. WordPress の umask 設定
  7. WEBサーバーの実行ユーザー apache の umask 設定
  8. 動作確認
  9. おわりに

WordPress で権限周りのエラーが発生する原因

これは WordPress に限った話ではありませんが、一般的にSFTPでファイルをアップロードすると、そのファイルはアップロードしたユーザーのみしか編集することができなくなります。(ここで言う「ユーザー」は WordPress のユーザーではなくSFTPなどの接続に使うユーザーのことです、WordPress のユーザーはファイルやディレクトリの権限にはまったく関係ありません)

例えば Aさん(user-a)が style.css をアップロードしたとして、他の人が WordPress の管理画面から style.css を編集しようとしても、style.css への書き込み権限がないため編集することはできません。

Aさんがアップロードしたstyle.cssが、WordPressの管理画面から編集できない図

少しややこしい話なのですが、WordPress の管理画面からの編集は、必ず apache など WEBサーバーの実行ユーザーが使われます。上の図でアップロードした style.css は、Aさんのみしか書き込みできないためこのような権限周りのエラーが発生します。

環境

今回設定に使った環境の WEBサーバーの実行ユーザーと WordPress ファイルの配置先は次の通りです。サーバーOSは CentOS 7.3 (1611) です。

  • WEBサーバーの実行ユーザー:apache
  • WordPress ファイルの配置先:/var/www/wordpress

SFTP 接続用のユーザー作成

SFTP接続用のユーザー(user-a)を作成しパスワードを設定します。

useradd user-a
passwd user-a

作成したユーザーをWEBサーバーの実行ユーザーのプライマリグループ「apache」に追加しておきます(プライマリグループは一般的にユーザー名と同じです)

gpasswd --add user-a apache

この「apache」グループに所属しているユーザーが、すべての WordPress ファイルを編集できるようにファイルやディレクトリの権限を設定していきます。

WordPress ファイルの権限設定

WordPress のファイルやディレクトリのオーナーとグループをすべて apache に変更します。

chown -R apache:apache /var/www/wordpress

オーナーとグループに読み書き可能な権限をつけます。ディレクトリの権限は 2775 を指定して setgid を付けるのがポイントです。setgid を付けることによりどのユーザーがファイルやディレクトリを作成しても、設定されるグループは apache グループになります。

find /var/www/wordpress -type f -exec chmod 664 {} \;
find /var/www/wordpress -type d -exec chmod 2775 {} \;

WordPress の設定ファイルはデータベースのパスワードなどが書かれていますので、オーナーのみがアクセス可能にしておくことをオススメします。

chmod 600 /var/www/wordpress/wp-config.php

SFTP アップロード時の umask 設定

SFTP でアップロードしたときに設定される権限が、オーナー、グループともに読み書き可能になるように SFTPサーバーの umask を設定します。

vi /etc/ssh/sshd_config
-----(下記を変更)-----
Subsystem sftp /usr/libexec/openssh/sftp-server
 ↓
Subsystem sftp /usr/libexec/openssh/sftp-server -u 0002

sshd を再起動します。

systemctl restart sshd

scp や rsync は umask が設定できない?

CentOS 7.3 (1611) で色々試してみましたが、ローカルファイルの権限が優先されるためか scp や rsync でファイルをアップロードした場合の umask は設定できないようです。そのため scp もしくは rsync でファイルをアップロードしてしまうと、意図しない権限が設定されますので注意が必要です。

WordPress の umask 設定

続いて、テーマやプラグインのインストールなど WordPress の管理画面から作成されるファイルやディレクトリの umask を設定します。こちらも、オーナー、グループともに読み書き可能な権限が設定されるようにします。

vi /var/www/wordpress/wp-config.php
-----(最終行に下記を追加)-----
define('FS_CHMOD_FILE', (0664 & ~ umask()));
define('FS_CHMOD_DIR', (02775 & ~ umask()));

WEBサーバーの実行ユーザー apache の umask 設定

WordPress の umask 設定でグループにも書き込み権限が設定されるはずですが、CentOS 7.3 (1611) + WordPress 4.8.1 では、WEBサーバーの実行ユーザー apache の umask も設定する必要がありました。(デフォルトでは 0022 なのでグループは読み出しのみ可能が設定されます)

WEBサーバーの実行ユーザーの umask は systemdの設定ファイルで指定します。

vi /etc/systemd/system/httpd.service
-----(下記を追加)-----
.include /lib/systemd/system/httpd.service
[Service]
UMask=0002

上記設定を systemd に反映します。

systemctl --system daemon-reload

WEBサーバーを再起動します。

systemctl restart httpd

動作確認

SFTPでファイルやディレクトリをアップロードすると、グループが「apache」で読み書き可能な権限が設定されていることが確認できると思います。

ls -l /var/www/wordpress/
(略)
drwxrwsr-x 2 user-a apache 6 8月 15 5:48 TEST_DIR
-rw-rw-r-- 1 user-a apache 11 8月 15 5:48 TEST_FILE.txt

おわりに

WordPress ファイルの権限周りのトラブルは、チームで WordPress を運用しているとよく発生します。なんとかならないものかと今回調べてみましたが、上にも書いたようにユーザーがアップロードに scp や rsync を使ったり、SFTPのクライアントソフトでアップロード時の権限を設定していると、この記事のような設定をしていてもアップロードしたファイルに意図した権限が設定されず、権限周りのトラブルが発生することもあります(^^;) もしなにか回避方法をご存知でしたら教えていただけるとうれしいです。

コメント

タイトルとURLをコピーしました