ディレクトリブラウジングを無効にするのを忘れているウェブサイトをよく見かけます。一見すると大したことではないように思えるかもしれませんが、この小さな見落としが機密情報を公開し、サイトを危険にさらす可能性があります。
ディレクトリブラウジングが有効になっていると、誰でもサーバー上のファイルやフォルダを表示できます。ハッカーは、この情報を使用して、プラグイン、テーマ、さらにはホスティング環境の脆弱性を特定できます。
幸いなことに、この問題を修正するのは迅速かつ簡単です。ディレクトリブラウジングをオフにすることで、保護層が追加され、攻撃者があなたのサイトを標的にすることがはるかに困難になります。
このガイドでは、WordPressでディレクトリブラウジングを無効にする簡単な手順を説明します。これにより、ウェブサイトを保護し、データを安全に保つことができます。
このガイドで取り上げるトピックの簡単な概要を以下に示します。
WordPressでディレクトリブラウジングを無効にするとどうなりますか?
ディレクトリブラウジングを無効にすると、インデックスファイルが利用できない場合に、訪問者がサイト上のファイルやフォルダのリストを表示できなくなります。サーバーは、生のディレクトリを表示する代わりに、空白のページまたはエラーメッセージを表示します。
誰かがあなたのウェブサイトを訪れると、サーバーは通常、インデックスファイル(index.html や index.php など)をブラウザに配信します。そのファイルが見つからない場合、多くのサーバーはフォールバックしてそのフォルダー内のすべてのファイルを表示します。
この動作はディレクトリブラウジングと呼ばれ、ホスティングサーバーではデフォルトで有効になっていることがよくあります。
問題は、これによりサイトの構造に関する機密情報が公開されることです。ハッカーはこれを利用して、プラグイン、テーマ、またはホスティング環境の脆弱性を探すことができます。
場合によっては、ディレクトリブラウジングによって、電子書籍のダウンロードやオンラインコースなどのプライベートまたは有料コンテンツが公開され、許可なくコピーされる可能性があります。
だからこそ、私たちは初心者の方を支援する際に常にこのリスクを指摘しています。ディレクトリブラウジングを無効にすることは、サイトを保護し、不必要な収益損失を防ぐための迅速な変更です。
WordPressでディレクトリブラウジングが有効になっているか確認する方法
WordPressウェブサイトでディレクトリブラウジングが有効になっているかどうかを確認する簡単な方法は、/wp-includes/フォルダに直接アクセスすることです。
例えば、ブラウザに https://example.com/wp-includes/ のようなURLを入力するだけです。
example.com を実際のウェブサイトのドメイン名に置き換えてください。この簡単なテストは、ほとんどの WordPress インストールで機能します。
403 Forbiddenメッセージまたは同様のエラーが表示される場合は、ディレクトリブラウジングは既に無効になっています。これはウェブサイトがより安全であることを意味するため、良い兆候です。
ファイルとフォルダのリストが表示される場合は、ディレクトリブラウジングが有効になっています。
ディレクトリブラウジングを有効にしたままにすると、ウェブサイトは悪意のある攻撃に対して脆弱になります。
私たちの経験では、ディレクトリブラウジングを有効にすると機密情報が公開され、セキュリティリスクが増大します。このため、サイトを安全に保つためにWordPressでディレクトリブラウジングを無効にするのが最善です。
WordPressでディレクトリブラウジングを無効にする方法
WordPressの.htaccessファイルに1行コードを追加することで、ディレクトリブラウジングを無効にできます。
これは強力なサーバー設定ファイルであるため、変更を加える前に.htaccessファイルのバックアップを作成することが非常に重要です。誤った編集は、サイトにアクセスできなくなる可能性があります。
ヒント: 私たちはDuplicatorを使用して、すべてのWordPressウェブサイトを自動的にバックアップしています。これにより、スケジュールされたバックアップとオンデマンドバックアップの両方を作成できます。さらに重要なのは、1クリックで簡単にウェブサイトを復元できることです。詳細については、当社の完全なDuplicatorレビューをご覧ください。
このファイルには、主に2つの方法でアクセスできます。
方法1:cPanelのファイルマネージャーを使用して.htaccessファイルを編集する
ほとんどのユーザーにとって最も簡単な方法は、WordPressホスティングアカウントのコントロールパネル(cPanel)で提供されているファイルマネージャーアプリを使用することです。
まず、ホスティングアカウントにログインし、ファイルマネージャーを開きます。
ウェブサイトのルートフォルダ(多くの場合public_htmlという名前です)に移動します。
表示されない場合は、ファイルマネージャーの設定で「隠しファイルを表示」が有効になっていることを確認してください。
ファイルを右クリックして「編集」または「コードエディタ」を選択します。
方法2:FTPクライアントを使用した.htaccessファイルの編集
または、FTPクライアントを使用してウェブサイトのファイルに接続することもできます。
初めての場合は、FTPを使用してサイトに接続する方法に関する完全なガイドに従ってください。
- FTPで接続したら、サイトのルートディレクトリ(例:
public_html)に移動します。 .htaccessファイルを見つけます。- ファイルをコンピューターにダウンロードしてから、メモ帳やTextEditのようなプレーンテキストエディターで開いてください。
.htaccessにコードを追加する
どちらの方法でも.htaccessファイルを編集用に開いたら、ファイルの末尾に次のコード行を追加するだけです。
Options -Indexes
このようになります:
次に、変更を保存します。FTPクライアントを使用した場合は、編集した.htaccessファイルをサーバーに再アップロードし、元のファイルを上書きする必要があります。
Nginxユーザー向けの注意 📝:この.htaccess方法は、Apacheウェブサーバーで実行されているウェブサイトに適用されます。ウェブサイトがNginxサーバーにある場合、この設定は通常、ホスティングプロバイダーによってサーバーレベルで処理され、ディレクトリブラウジングは通常デフォルトで無効になっています。詳細については、Apache vs Nginx vs LiteSpeedウェブサーバーの比較をご覧ください。
これで、同じhttp://example.com/wp-includes/ URLにアクセスすると、403 Forbiddenまたは類似のメッセージが表示されます。
ボーナスヒント:プラグインを優先しますか?
コードの編集に慣れていない場合は、優れたWordPressセキュリティプラグインがこれを処理できます。
ほとんどのWordPressセキュリティプラグインには、ウェブサイトの強化機能の一部としてディレクトリブラウジングを無効にするワンクリックオプションが含まれているため、ファイルを一切編集する必要はありません。
ディレクトリブラウジングの無効化に関するよくある質問
ディレクトリブラウジングとは何ですか?また、なぜセキュリティ上のリスクとなるのですか?
ディレクトリブラウジングは、index.phpのようなインデックスファイルが存在しない場合に、ディレクトリ内のすべてのファイルとフォルダを一覧表示するサーバー機能です。これは、テーマやプラグインの使用状況を含むサイトの構造を攻撃者に公開するため、セキュリティリスクとなります。
ディレクトリブラウジングを無効にすると、ウェブサイトのSEOに影響しますか?
いいえ、ディレクトリブラウジングを無効にしてもSEOに悪影響はありません。検索エンジンはコンテンツに関心があり、ファイル構造には関心がありません。実際、ウェブサイトのセキュリティを向上させることは、検索エンジンにとってプラスのシグナルです。
プラグインを使用するのと.htaccessファイルを編集するのと、どちらが良いですか?
どちらの方法も同じ結果を達成します。.htaccessファイルを編集することは、迅速な1回限りの修正です。Sucuriのようなセキュリティプラグインを使用することは、コードを編集する必要なく、これや他の多くのセキュリティ設定を1クリックで処理するため、初心者にとって素晴らしいです。
WordPressサイトでNginxサーバーを使用している場合はどうなりますか?
.htaccess ファイルは Apache Web サーバーに固有のものです。Nginx サーバーでは、通常、ディレクトリ一覧表示はメインサーバー構成でデフォルトで無効になっています。有効になっていると思われる場合は、ホスティングプロバイダーに連絡して無効にしてもらう必要があります。
WordPressセキュリティに関する追加資料
WordPressウェブサイトを安全でエラーのない状態に保ちたいですか?以下の記事が役立つかもしれません:
- WordPressのファイルとディレクトリ構造の初心者向けガイド
- WordPressで最も一般的なエラーとその修正方法
- WordPress でファイルとフォルダの権限エラーを修正する方法
- WordPress管理画面(wp-admin)ディレクトリにパスワード保護をかける方法
この記事がWordPressでディレクトリブラウジングを無効にする方法を学ぶのに役立ったことを願っています。また、究極のWordPressセキュリティガイドや、専門家が選んだ最高のWordPressセキュリティプラグインもご覧ください。
この記事が気に入った場合は、WordPressのビデオチュートリアルのために、YouTubeチャンネルを購読してください。また、TwitterやFacebookでも私たちを見つけることができます。
デニス・ムトミ
WordPressサイトでディレクトリブラウジングが無効になっていることに気づきました。wp-includesにアクセスしようとした際に403エラーが表示されたのですが、それを意図して.htaccessファイルを編集した記憶がありません。
WordPressは初期インストール時にディレクトリブラウジングを自動的に無効にしますか?
WPBeginnerサポート
最近の変更がなければ、デフォルトではそうではありません。htaccess のホスティングプロバイダーのデフォルト設定である可能性があります。
管理者
デニス・ムトミ
That’s what I was suspecting also, thanks for clarifying that WordPress doesn’t disable directory browsing by default.
And the respond too
Dayo Olobayo
この脆弱性が存在することすら知りませんでした。自分のサイトを確認したところ、403エラーが表示されました。これはディレクトリブラウジングが無効になっていることを意味します。ありがとうございます。
WPBeginnerサポート
You’re welcome
管理者
イジー・ヴァネック
アドバイスありがとうございます。ディレクトリブラウジングについて、または私がそれを有効にしていることについて、AIO SEOプラグインが常に警告してきます。現在、フォルダに空のindexファイルを作成することで問題を解決しました。これを可能な解決策の1つとして受け入れることはできますか?
WPBeginnerサポート
その方法を試すことはできますが、ガイドのhtaccess方法を引き続きお勧めします。
管理者
イジー・ヴァネック
アドバイスありがとうございます。最終的に Options -Indexes メソッドを使用し、AIO SEO はすでに問題を解決済みと報告しています。重ねて感謝いたします。
カ・ハリク
提供されたガイドラインに従ってhtaccessファイルを編集した後、/wp-includes/に対して403 Forbiddenメッセージが表示されます。しかし、投稿の編集ができません。投稿を編集すると、同じ403 Forbiddenメッセージが表示されます。これを解決するにはどうすればよいですか?
WPBeginnerサポート
ファイルの権限に問題がある可能性があります。権限の修正については、以下のガイドをご覧ください。
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
管理者
カ・ハリク
ウェブ履歴/キャッシュをクリアした後、問題は解決しました。
お時間をいただきありがとうございました。
ディーナ・D
本当にありがとうございます!明確で簡潔で、わかりやすいです。本当にありがとうございます!
WPBeginnerサポート
どういたしまして!
管理者
ラビー・カーン
ありがとうございます…正確で分かりやすいです!
WPBeginnerサポート
ガイドがお役に立てて嬉しいです!
管理者
キミー
2単語の解決策をありがとう!笑。完璧に機能しました!
WPBeginnerサポート
Glad we could help!
管理者
シーシェル
ブラウザでフォルダに直接アクセスできるのを見てショックを受けました。
解決策をありがとうございます!
WPBeginnerサポート
Glad we could help!
管理者
ディーパック・クマール
魔法のように機能します。wpbeginners の記事は、すぐに使えるソリューションのようです。頑張ってください。
アヨ
その後に出てくる404エラーはどのように解決すればよいですか?
プラディップ・シン
このウェブサイトが大好きです。毎日、このウェブサイトから新しい記事を読むたびに驚かされます。幸いなことに、今日この記事を読んで、すぐにアドバイスを実践しました。
WPBeginnerサポート
Glad you found our content helpful
管理者
スラウブ
これにより、CDNが静的コンテンツのために私のウェブサイトにアクセスできなくなりますか?
WPBeginnerサポート
いいえ、そうはなりません。
管理者
サミ
この方法はGoogleのクロールに影響しますか?SEOフレンドリーですか?
WPBeginnerサポート
検索エンジンがサイトをクロールするのに影響を与えるべきではありません。
管理者
ミーラ・シェイク
ありがとう、完了しました
WPBeginnerサポート
You’re welcome
管理者
Pradeep
ありがとう、友よ。これを試したらうまくいったよ。
君は天才だ。
WPBeginnerサポート
Glad our guide was helpful
管理者
ムサーム
ありがとうございます。適用したらうまくいきました。
皆さんはWordPressを学ぶ上で最高の情報源です。
WPBeginnerサポート
You’re welcome, glad our guide was helpful
管理者
ケヴィン
本当にありがとうございました。これで問題が解決しました。
再度、ありがとうございます。
WPBeginnerサポート
You’re welcome, glad our guide was helpful
管理者
マリカ
情報共有ありがとうございます!
WPBeginnerサポート
You’re welcome
管理者
ジョナサン
ルートフォルダにindex.phpファイルが存在する場合でも、このコードを.htaccessファイルに記述しても問題ありませんか?
ご返信ください。
WPBeginnerサポート
Yes
管理者
テレサ・クエルボ
Filezillaが必要ですか、それともCpanelからFTPにアクセスして行うことができますか?
ありがとうございます
WPBeginnerサポート
You can use either, not all hosts have a file manager is why we show Filezilla
管理者
マイケル
こんにちは
このアクションは検索エンジンでのページのインデックス作成に影響しますか?
また、私のWordPressウェブサイトのインデックス作成済みページに何か問題が発生しますか?
ありがとうございます
WPBeginnerサポート
いいえ、それは否定的な影響を与えません。
管理者
レーン・カストロデス
ありがとうございます。うまくいきました。
WPBeginnerサポート
Glad our recommendation was able to help you
管理者
ジョン
ありがとうございます!2020年現在でも動作します。
WPBeginnerサポート
You’re welcome
管理者
シャムス
素晴らしい投稿です、
簡単な質問ですが、このコードを追加したら機能しました。質問は、Googleがこれらのページ(例:sitecom/wp-contents/2019/2)をインデックス化するのか、それともこれらは404なのでGoogleが自動的に削除するのかということです。それともサーチコンソールで削除すべきでしょうか?
ありがとう
WPBeginnerサポート
このコードは、画像やファイルへの直接リンクが404になることを防ぐはずです
管理者
ビル
こんにちは!
このルールを最近適用したところ、その日のうちにブログのフロントページがGoogleインデックスから消えてしまいました。
何か関連性はありますか?
WPBeginnerサポート
これをhtaccessに追加してもインデックス作成には影響しません。複数の理由があり、Google Search Consoleでホームページに関する情報を確認する必要があります。
管理者
イオネル・G
提供していただいたヒント、ありがとうございます!
wp-contentとwp-includeフォルダをソースコードから非表示にする方法について、まだ疑問に思っています。誰かが右クリックしてソースを表示して、私のプラグインをすべて見ることができるのが嫌なんです :)。これに関するスクリプトはありますか?
よろしくお願いします!
WPBeginnerサポート
現時点では推奨される方法はありません。開発者ツールでこれらのフォルダが表示されない最も一般的な理由は、サイトのキャッシュです。
管理者
Mayur
WordPressをサブフォルダ(例:[www.mydomain.com]にあるWordPressインストール)で無効にする方法を教えていただけますか?[www.mydomain.com/customscript]でWordPressを無効にしたいのですが。
WPBeginnerサポート
まず、カスタムページテンプレートの作成方法を確認することをお勧めします:https://www.wpbeginner.com/wp-themes/how-to-create-a-custom-page-in-wordpress/
それ以外の場合は、その名前のフォルダを作成し、そのフォルダ内にindex.htmlファイルを追加して、WordPress以外のページを表示する必要があります。
管理者
ラファエル
ありがとうございます。すべてのブラウザで完璧に動作しました。
ディパンカル
しかし、wp-contentが表示されています。これも削除するにはどうすればよいですか。
ディアトラム
ディレクトリブラウジングを無効にしましたが、Chromeブラウザの開発者ツールを使用すると、まだ誰かが私のディレクトリを見ることができます。それも無効にするにはどうすればよいですか?
フェーゼ
.htaccessに言われた行を追加しましたが、まだディレクトリが表示されます。
どうすればいいですか??
ネイサン
パーマリンク設定ページで「変更を保存」をクリックすると、.htaccessファイルが更新され、「Options -Indexes」コードが消去されます。コードは正常に機能しますが、他のタスクを実行中に誤って削除してしまうのではないかと心配しています。コードを消去する可能性のある、他に知っておくべきダッシュボード設定の変更はありますか?ありがとうございます。
Tôi Sống
すごい、とてもよく機能します!
バッジョ
wpbeginner、Optin Monsterの熱烈なファンです。WPに関する多くの役立つヒントやコツを得ました。そして、サイトのデザインはまさに素晴らしいと言わざるを得ません。もちろん、ここのコンテンツは非常に役立ちます。
ありがとう、みんな!
ダニエル
こんにちは!うまくいかないようです。画像を別のページにドラッグすると、次のリンクで開かれます: example.com/wp-content/uploads/…
何かアイデアはありますか?ありがとうございます!
WPBeginnerサポート
ダニエルさん、こんにちは
ディレクトリ内の画像やファイルには直接アクセスできます。ただし、サーバーは誰かがディレクトリを直接ブラウズしてその内容を見ることを許可しません。
管理者
アクセル・イェベンス
これについて詳しく説明していただけると幸いです。この問題の解決策を見つけるのに苦労しました。htaccessを使用してPHPファイルにリダイレクトし、ユーザーがログインしているかどうかを確認するというアイデアがいくつかあります。そのような機能を提供するプラグインはありますか?
ウナル・ホジャ
ありがとうございます
ハリド・マフムド
ありがとうございます。動作しました……。
キム
返信が遅れてすみません。これらのテクニックはSEOスコアに関して安全に使用できますか?回答をお待ちしています!
WPBeginnerサポート
はい、そうです。
管理者
キミー
まだかなりうまく機能しています。素晴らしい、シンプルで、動作します。ありがとう!
Charles
何週間も同じコードを書いていますが、ディレクトリがユーザーに表示されたままです。何が間違っていますか?それとも、私のサイトはまだキャッシュされたコンテンツから読み込まれているのでしょうか?皆、機能していると言いますが、私の経験は異なります。どなたか助けていただけませんか?返信をお待ちしています。
キミー
どの部分で困っていますか?ちなみに、あなたのホスティングプロバイダーはどこですか?
Lily
ありがとうございます。魔法のように機能しました!
プラカーシュ
この上のトリックはうまくいかないよ…。
マイク
特定のページに対して、ディレクトリの表示は許可するが、親ディレクトリリンクだけを非表示にする方法はありますか?これは、複数の人がアクセスするネットワーク共有フォルダであり、親ディレクトリリストが必要なサブフォルダがある場合です。共有フォルダより上に移動してほしくないだけです。
クリスチャン・ナスタリ
これは私にはうまくいきませんでした。以前に試しましたが、WordPress の #END の前後でうまくいきませんでした。また、「Options All -Indexes」も試しましたが、うまくいきませんでした。
hrwhisper
とても参考になりました、どうもありがとうございます
ニタイ
本当に素晴らしいです。今日、まさに直面していて、Joomla のようにどうやって禁止できるか考えていたところ、まさにその解決策を見つけました。
ロブ・マイリック
とても役に立ち、迅速でした。ありがとうございます
アニータ・イン・SD
どうもありがとうございます。サイトの画像が親ディレクトリに表示されるのを見てがっかりしていました:0。これは非常に役立ち、うまくいきました。
祝福を – A
ヘザー・ジェイコブセン
Thanks for this tutorial. It worked great for hiding my uploads from anyone just wanting to browse that directory. One question, though. Does this by chance turn off the ability of search engines to browse my website. Sorry if it seems like a dumb question. I am a newbie, after all.
ワシル・ブルキ
htaccessファイルにOptions -Indexesコードを追加しましたが、サイトにアクセスできなくなり、503エラーが表示されます。何か間違っていますか?至急助けが必要です!!よろしくお願いします。