ディレクトリブラウジングを無効にするのを忘れているウェブサイトをよく見かけます。一見すると大したことではないように思えるかもしれませんが、この小さな見落としが機密情報を公開し、サイトを危険にさらす可能性があります。
ディレクトリブラウジングが有効になっていると、誰でもサーバー上のファイルやフォルダを表示できます。ハッカーは、この情報を使用して、プラグイン、テーマ、さらにはホスティング環境の脆弱性を特定できます。
幸いなことに、この問題を修正するのは迅速かつ簡単です。ディレクトリブラウジングをオフにすることで、保護層が追加され、攻撃者があなたのサイトを標的にすることがはるかに困難になります。
このガイドでは、WordPressでディレクトリブラウジングを無効にする簡単な手順を説明します。これにより、ウェブサイトを保護し、データを安全に保つことができます。
このガイドで取り上げるトピックの簡単な概要を以下に示します。
- WordPressでディレクトリブラウジングを無効にするとどうなりますか?
- WordPressでディレクトリブラウジングが有効になっているか確認する方法
- How to Disable Directory Browsing in WordPress
- ディレクトリブラウジングの無効化に関するよくある質問
- WordPressセキュリティに関する追加資料
WordPressでディレクトリブラウジングを無効にするとどうなりますか?
ディレクトリブラウジングを無効にすると、インデックスファイルが存在しない場合に、訪問者がサイト上のファイルやフォルダのリストを表示できなくなります。その生のディレクトリを表示する代わりに、サーバーは空白ページまたはエラーメッセージを表示します。
誰かがあなたのウェブサイトを訪れると、サーバーは通常、インデックスファイル(index.html や index.php など)をブラウザに配信します。そのファイルが見つからない場合、多くのサーバーはフォールバックしてそのフォルダー内のすべてのファイルを表示します。
この動作はディレクトリブラウジングと呼ばれ、ホスティングサーバーではデフォルトで有効になっていることがよくあります。
問題は、これによりサイトの構造に関する機密性の高い詳細が公開されてしまうことです。ハッカーはこれを利用して、プラグイン、テーマ、あるいはホスティング環境の脆弱性を探すことができます。
場合によっては、ディレクトリブラウジングによって、電子書籍のダウンロードやオンラインコースなどのプライベートまたは有料コンテンツが公開され、許可なくコピーされる可能性があります。
だからこそ、私たちは初心者の方を支援する際に常にこのリスクを指摘しています。ディレクトリブラウジングを無効にすることは、サイトを保護し、不必要な収益損失を防ぐための迅速な変更です。
WordPressでディレクトリブラウジングが有効になっているか確認する方法
ディレクトリブラウジングがWordPressウェブサイトで有効になっているかどうかを確認する簡単な方法は、/wp-includes/フォルダに直接アクセスすることです。
例えば、ブラウザに https://example.com/wp-includes/ のようなURLを入力するだけです。
example.com を実際のウェブサイトのドメイン名に置き換えてください。この簡単なテストは、ほとんどの WordPress インストールで機能します。
403 Forbiddenメッセージまたは類似のエラーが表示される場合、ディレクトリブラウジングはすでに無効になっています。これは良い兆候であり、ウェブサイトがより安全であることを意味します。
ファイルとフォルダのリストが表示される場合は、ディレクトリブラウジングが有効になっています。
ディレクトリブラウジングを有効にしたままにすると、ウェブサイトが悪意のある攻撃に対して脆弱になります。
私たちの経験では、ディレクトリブラウジングを有効にすると機密情報が公開され、セキュリティリスクが増大します。このため、サイトを安全に保つためにWordPressでディレクトリブラウジングを無効にするのが最善です。
WordPressでディレクトリブラウジングを無効にする方法
WordPressの.htaccessファイルに1行コードを追加することで、ディレクトリブラウジングを無効にできます。
これは強力なサーバー設定ファイルですので、変更を加える前に.htaccessファイルのバックアップを作成することが非常に重要です。不適切な編集はサイトにアクセスできなくなる可能性があります。
ヒント: 私たちは Duplicator を使用して、すべてのWordPressウェブサイトを自動的にバックアップしています。これにより、スケジュールバックアップとオンデマンドバックアップを作成できます。さらに重要なのは、1クリックで簡単にウェブサイトを復元できることです。詳細については、当社の完全な Duplicatorレビュー をご覧ください。
このファイルには、主に2つの方法でアクセスできます。
方法1:cPanelのファイルマネージャーを使用して.htaccessファイルを編集する
ほとんどのユーザーにとって最も簡単な方法は、WordPressホスティングアカウントのコントロールパネル(cPanel)で提供されているファイルマネージャーアプリを使用することです。
まず、ホスティングアカウントにログインし、ファイルマネージャーを開きます。
ウェブサイトのルートフォルダ(多くの場合public_htmlという名前です)に移動します。
表示されない場合は、ファイルマネージャーの設定で「隠しファイルを表示」が有効になっていることを確認してください。
ファイルを右クリックして「編集」または「コードエディタ」を選択します。
方法2:FTPクライアントを使用した.htaccessファイルの編集
または、FTPクライアントを使用してウェブサイトのファイルに接続することもできます。
初めての方は、FTPを使用してサイトに接続する方法に関する完全なガイドに従ってください。
- FTPで接続したら、サイトのルートディレクトリ(例:
public_html)に移動します。 .htaccessファイルを見つけます。- ファイルをコンピューターにダウンロードしてから、メモ帳やTextEditのようなプレーンテキストエディターで開いてください。
.htaccessにコードを追加する
どちらの方法でも.htaccessファイルを編集用に開いたら、ファイルの末尾に次のコード行を追加するだけです。
Options -Indexes
このようになります:
次に、変更を保存します。FTPクライアントを使用した場合は、編集した.htaccessファイルをサーバーに再アップロードし、元のファイルを上書きする必要があります。
Nginxユーザーへの注意 📝: この.htaccessメソッドは、Apacheウェブサーバーで実行されているウェブサイトに適用されます。ウェブサイトがNginxサーバーにある場合、この設定は通常、ホスティングプロバイダーによってサーバーレベルで処理され、ディレクトリブラウジングは通常デフォルトで無効になっています。詳細については、Apache vs Nginx vs LiteSpeedウェブサーバーの比較をご覧ください。
これで、同じhttp://example.com/wp-includes/ URLにアクセスすると、403 Forbiddenまたは類似のメッセージが表示されます。
ボーナスヒント:プラグインを優先しますか?
コードの編集に慣れていない場合は、優れたWordPressセキュリティプラグインがこれを代行してくれます。
ほとんどのWordPressセキュリティプラグインには、ウェブサイトの強化機能の一部としてディレクトリブラウジングを無効にするワンクリックオプションが含まれているため、ファイルを一切編集する必要はありません。
ディレクトリブラウジングの無効化に関するよくある質問
ディレクトリブラウジングとは何ですか?また、なぜセキュリティ上のリスクとなるのですか?
ディレクトリブラウジングは、index.phpのようなインデックスファイルが存在しない場合に、ディレクトリ内のすべてのファイルとフォルダを一覧表示するサーバー機能です。これは、テーマやプラグインの使用状況を含むサイトの構造を攻撃者に公開するため、セキュリティリスクとなります。
ディレクトリブラウジングを無効にすると、ウェブサイトのSEOに影響しますか?
いいえ、ディレクトリブラウジングを無効にしてもSEOに悪影響はありません。検索エンジンはコンテンツに関心があり、ファイル構造には関心がありません。実際、ウェブサイトのセキュリティを向上させることは、検索エンジンにとってプラスのシグナルです。
プラグインを使用するのと.htaccessファイルを編集するのと、どちらが良いですか?
どちらの方法でも同じ結果が得られます。.htaccessファイルを編集するのは、迅速な1回限りの修正です。Sucuriのようなセキュリティプラグインを使用することは、初心者にとって素晴らしいです。なぜなら、コードを編集することなく、ワンクリックでこれや他の多くのセキュリティ設定を処理してくれるからです。
WordPressサイトでNginxサーバーを使用している場合はどうなりますか?
.htaccess ファイルは Apache Web サーバーに固有のものです。Nginx サーバーでは、通常、ディレクトリ一覧表示はメインサーバー構成でデフォルトで無効になっています。有効になっていると思われる場合は、ホスティングプロバイダーに連絡して無効にしてもらう必要があります。
WordPressセキュリティに関する追加資料
WordPressウェブサイトを安全でエラーのない状態に保ちたいですか?以下の記事が役立つかもしれません:
- WordPressのファイルとディレクトリ構造の初心者向けガイド
- WordPressで最も一般的なエラーとその修正方法
- WordPress でファイルとフォルダの権限エラーを修正する方法
- WordPress管理画面(wp-admin)ディレクトリにパスワード保護をかける方法
この記事がWordPressでディレクトリブラウジングを無効にする方法を学ぶのに役立ったことを願っています。また、WordPressセキュリティの究極ガイドや、専門家が選んだ最高のWordPressセキュリティプラグインもご覧ください。
この記事が気に入ったら、WordPressのビデオチュートリアルについては、YouTubeチャンネルを購読してください。 TwitterやFacebookでもフォローできます。
デニス・ムトミ
WordPressサイトでディレクトリブラウジングが無効になっていることに気づきました。wp-includesにアクセスしようとした際に403エラーが表示されたのですが、それを意図して.htaccessファイルを編集した記憶がありません。
WordPressは初期インストール時にディレクトリブラウジングを自動的に無効にしますか?
WPBeginnerサポート
最近の変更がなければ、デフォルトではそうではありません。htaccess のホスティングプロバイダーのデフォルト設定である可能性があります。
管理者
デニス・ムトミ
That’s what I was suspecting also, thanks for clarifying that WordPress doesn’t disable directory browsing by default.
And the respond too
Dayo Olobayo
この脆弱性が存在することすら知りませんでした。自分のサイトを確認したところ、403エラーが表示されました。これはディレクトリブラウジングが無効になっていることを意味します。ありがとうございます。
WPBeginnerサポート
You’re welcome
管理者
イジー・ヴァネック
アドバイスありがとうございます。ディレクトリブラウジングについて、または私がそれを有効にしていることについて、AIO SEOプラグインが常に警告してきます。現在、フォルダに空のindexファイルを作成することで問題を解決しました。これを可能な解決策の1つとして受け入れることはできますか?
WPBeginnerサポート
その方法を試すことはできますが、ガイドのhtaccess方法を引き続きお勧めします。
管理者
イジー・ヴァネック
アドバイスありがとうございます。最終的に Options -Indexes メソッドを使用し、AIO SEO はすでに問題を解決済みと報告しています。重ねて感謝いたします。
Ka Khaliq
提供されたガイドラインに従ってhtaccessファイルを編集した後、/wp-includes/に対して403 Forbiddenメッセージが表示されます。しかし、投稿の編集ができません。投稿を編集すると、同じ403 Forbiddenメッセージが表示されます。これを解決するにはどうすればよいですか?
WPBeginnerサポート
ファイルの権限に問題がある可能性があります。権限の修正については、以下のガイドをご覧ください。
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
管理者
Ka Khaliq
ウェブ履歴/キャッシュをクリアした後、問題は解決しました。
お時間をいただきありがとうございました。
Dina D
本当にありがとうございます!明確で簡潔で、わかりやすいです。本当にありがとうございます!
WPBeginnerサポート
どういたしまして!
管理者
Rabee Khan
ありがとうございます…正確で分かりやすいです!
WPBeginnerサポート
ガイドがお役に立てて嬉しいです!
管理者
Kimmy
2単語の解決策をありがとう!笑。完璧に機能しました!
WPBeginnerサポート
Glad we could help!
管理者
Seashell
ブラウザでフォルダに直接アクセスできるのを見てショックを受けました。
解決策をありがとうございます!
WPBeginnerサポート
Glad we could help!
管理者
ディーパック・クマール
魔法のように機能します。wpbeginners の記事は、すぐに使えるソリューションのようです。頑張ってください。
Ayo
その後に出てくる404エラーはどのように解決すればよいですか?
Pradip Singh
このウェブサイトが大好きです。毎日、このウェブサイトから新しい記事を読むたびに驚かされます。幸いなことに、今日この記事を読んで、すぐにアドバイスを実践しました。
WPBeginnerサポート
Glad you found our content helpful
管理者
Sourabh
これにより、CDNが静的コンテンツのために私のウェブサイトにアクセスできなくなりますか?
WPBeginnerサポート
いいえ、そうはなりません。
管理者
sami
この方法はGoogleのクロールに影響しますか?SEOフレンドリーですか?
WPBeginnerサポート
検索エンジンがサイトをクロールするのに影響を与えるべきではありません。
管理者
Meera Shaikh
ありがとう、完了しました
WPBeginnerサポート
You’re welcome
管理者
Pradeep
ありがとう、友よ。これを試したらうまくいったよ。
君は天才だ。
WPBeginnerサポート
Glad our guide was helpful
管理者
mousam
ありがとうございます。適用したらうまくいきました。
皆さんはWordPressを学ぶ上で最高の情報源です。
WPBeginnerサポート
You’re welcome, glad our guide was helpful
管理者
Kevine
本当にありがとうございました。これで問題が解決しました。
再度、ありがとうございます。
WPBeginnerサポート
You’re welcome, glad our guide was helpful
管理者
マリカ
情報共有ありがとうございます!
WPBeginnerサポート
You’re welcome
管理者
Jonthan
ルートフォルダにindex.phpファイルが存在する場合でも、このコードを.htaccessファイルに記述しても問題ありませんか?
ご返信ください。
WPBeginnerサポート
Yes
管理者
テレサ・クエルボ
Filezillaが必要ですか、それともCpanelからFTPにアクセスして行うことができますか?
ありがとうございます
WPBeginnerサポート
You can use either, not all hosts have a file manager is why we show Filezilla
管理者
マイケル
こんにちは
このアクションは検索エンジンでのページのインデックス作成に影響しますか?
また、私のWordPressウェブサイトのインデックス作成済みページに何か問題が発生しますか?
ありがとうございます
WPBeginnerサポート
いいえ、それは否定的な影響を与えません。
管理者
Rhen Castrodes
ありがとうございます。うまくいきました。
WPBeginnerサポート
Glad our recommendation was able to help you
管理者
ジョン
ありがとうございます!2020年現在でも動作します。
WPBeginnerサポート
You’re welcome
管理者
Shams
素晴らしい投稿です、
簡単な質問ですが、このコードを追加したら機能しました。質問は、Googleがこれらのページ(例:sitecom/wp-contents/2019/2)をインデックス化するのか、それともこれらは404なのでGoogleが自動的に削除するのかということです。それともサーチコンソールで削除すべきでしょうか?
ありがとう
WPBeginnerサポート
このコードは、画像やファイルへの直接リンクが404になることを防ぐはずです
管理者
Bill
こんにちは!
このルールを最近適用したところ、その日のうちにブログのフロントページがGoogleインデックスから消えてしまいました。
何か関連性はありますか?
WPBeginnerサポート
これをhtaccessに追加してもインデックス作成には影響しません。複数の理由があり、Google Search Consoleでホームページに関する情報を確認する必要があります。
管理者
Ionel G
提供していただいたヒント、ありがとうございます!
wp-contentとwp-includeフォルダをソースコードから非表示にする方法について、まだ疑問に思っています。誰かが右クリックしてソースを表示して、私のプラグインをすべて見ることができるのが嫌なんです :)。これに関するスクリプトはありますか?
よろしくお願いします!
WPBeginnerサポート
現時点では推奨される方法はありません。開発者ツールでこれらのフォルダが表示されない最も一般的な理由は、サイトのキャッシュです。
管理者
Mayur
WordPressをサブフォルダ(例:[www.mydomain.com]にあるWordPressインストール)で無効にする方法を教えていただけますか?[www.mydomain.com/customscript]でWordPressを無効にしたいのですが。
WPBeginnerサポート
まず、カスタムページテンプレートの作成を検討することをお勧めします:https://www.wpbeginner.com/wp-themes/how-to-create-a-custom-page-in-wordpress/
それ以外の場合は、その名前のフォルダを作成し、そのフォルダ内にindex.htmlファイルを追加して、WordPress以外のページを表示する必要があります。
管理者
ラファエル
ありがとうございます。すべてのブラウザで完璧に動作しました。
ディパンカル
しかし、wp-contentが表示されています。これも削除するにはどうすればよいですか。
Deatram
ディレクトリブラウジングを無効にしましたが、Chromeブラウザの開発者ツールを使用すると、まだ誰かが私のディレクトリを見ることができます。それも無効にするにはどうすればよいですか?
Faeze
.htaccessに言われた行を追加しましたが、まだディレクトリが表示されます。
どうすればいいですか??
Nathan
パーマリンク設定ページで「変更を保存」をクリックすると、.htaccessファイルが更新され、「Options -Indexes」コードが消去されます。コードは正常に機能しますが、他のタスクを実行中に誤って削除してしまうのではないかと心配しています。コードを消去する可能性のある、他に知っておくべきダッシュボード設定の変更はありますか?ありがとうございます。
Tôi Sống
すごい、とてもよく機能します!
バッジョ
wpbeginner、Optin Monsterの熱烈なファンです。WPに関する多くの役立つヒントやコツを得ました。そして、サイトのデザインはまさに素晴らしいと言わざるを得ません。もちろん、ここのコンテンツは非常に役立ちます。
ありがとう、みんな!
daniel
こんにちは!うまくいかないようです。画像を別のページにドラッグすると、次のリンクで開かれます: example.com/wp-content/uploads/…
何かアイデアはありますか?ありがとうございます!
WPBeginnerサポート
ダニエルさん、こんにちは
ディレクトリ内の画像やファイルには直接アクセスできます。ただし、サーバーは誰かがディレクトリを直接ブラウズしてその内容を見ることを許可しません。
管理者
アクセル・イェベンス
これについて詳しく説明していただけると幸いです。この問題の解決策を見つけるのに苦労しました。htaccessを使用してPHPファイルにリダイレクトし、ユーザーがログインしているかどうかを確認するというアイデアがいくつかあります。そのような機能を提供するプラグインはありますか?
Ünal Hoca
ありがとうございます
Khalid Mahmud
ありがとうございます。動作しました……。
Kim
返信が遅れてすみません。これらのテクニックはSEOスコアに関して安全に使用できますか?回答をお待ちしています!
WPBeginnerサポート
はい、そうです。
管理者
Kimmy
まだかなりうまく機能しています。素晴らしい、シンプルで、動作します。ありがとう!
Charles
何週間も同じコードを書いていますが、ディレクトリがユーザーに表示されたままです。何が間違っていますか?それとも、私のサイトはまだキャッシュされたコンテンツから読み込まれているのでしょうか?皆、機能していると言いますが、私の経験は異なります。どなたか助けていただけませんか?返信をお待ちしています。
Kimmy
どの部分で困っていますか?ちなみに、あなたのホスティングプロバイダーはどこですか?
Lily
ありがとうございます。魔法のように機能しました!
Prakash
この上のトリックはうまくいかないよ…。
マイク
特定のページに対して、ディレクトリの表示は許可するが、親ディレクトリリンクだけを非表示にする方法はありますか?これは、複数の人がアクセスするネットワーク共有フォルダであり、親ディレクトリリストが必要なサブフォルダがある場合です。共有フォルダより上に移動してほしくないだけです。
Christian Nastari
これは私にはうまくいきませんでした。以前に試しましたが、WordPress の #END の前後でうまくいきませんでした。また、「Options All -Indexes」も試しましたが、うまくいきませんでした。
hrwhisper
とても参考になりました、どうもありがとうございます
nitai
本当に素晴らしいです。今日、まさに直面していて、Joomla のようにどうやって禁止できるか考えていたところ、まさにその解決策を見つけました。
Rob Myrick
とても役に立ち、迅速でした。ありがとうございます
Anita in SD
どうもありがとうございます。サイトの画像が親ディレクトリに表示されるのを見てがっかりしていました:0。これは非常に役立ち、うまくいきました。
祝福を – A
Heather Jacobsen
Thanks for this tutorial. It worked great for hiding my uploads from anyone just wanting to browse that directory. One question, though. Does this by chance turn off the ability of search engines to browse my website. Sorry if it seems like a dumb question. I am a newbie, after all.
Wasil Burki
htaccessファイルにOptions -Indexesコードを追加しましたが、サイトにアクセスできなくなり、503エラーが表示されます。何か間違っていますか?至急助けが必要です!!よろしくお願いします。