以下は、2010年4月13日に Matt が書いた WordPress.org 公式ブログの記事、「Secure File Permissions Matter」を訳したものです。 概要: 適切でないサーバー設定を行っていたホスティングサービスの一部のサーバー上で、他のユーザーの設定ファイルを読み取れるようになっていました。一部の「セキュリティ」記者が、これを「WordPress 脆弱性」のストーリーに仕立て上げようと試みました。 WordPress は 他のあらゆる Web アプリケーションと同じように、データベース接続情報を平文でテキストファイルに保存します。暗号化証明書は意味がありません。なぜなら、データを解読するためには暗号解除用のキーも同じく Web サーバーが読み取れる場所に保存しなくてはならないからです。 今回のケースでおそらくそうだったように、悪意あるユーザーがファイルシス