ディレクトリブラウジングを無効にするのを忘れているウェブサイトをよく見かけます。一見すると大したことではないように思えるかもしれませんが、この小さな見落としが機密情報を公開し、サイトを危険にさらす可能性があります。
ディレクトリブラウジングが有効になっていると、誰でもサーバー上のファイルやフォルダを表示できます。ハッカーは、この情報を使用して、プラグイン、テーマ、さらにはホスティング環境の脆弱性を特定できます。
幸いなことに、この問題を修正するのは迅速かつ簡単です。ディレクトリブラウジングをオフにすることで、保護層が追加され、攻撃者があなたのサイトを標的にすることがはるかに困難になります。
このガイドでは、WordPressでディレクトリブラウジングを無効にする簡単な手順を説明します。これにより、ウェブサイトを保護し、データを安全に保つことができます。
このガイドで取り上げるトピックの簡単な概要を以下に示します。
WordPressでディレクトリブラウジングを無効にするとどうなりますか?
ディレクトリブラウジングを無効にすると、インデックスファイルが利用できない場合に、訪問者がサイト上のファイルやフォルダのリストを表示できなくなります。サーバーは、生のディレクトリを表示する代わりに、空白のページまたはエラーメッセージを表示します。
誰かがあなたのウェブサイトを訪れると、サーバーは通常、インデックスファイル(index.html や index.php など)をブラウザに配信します。そのファイルが見つからない場合、多くのサーバーはフォールバックしてそのフォルダー内のすべてのファイルを表示します。
この動作はディレクトリブラウジングと呼ばれ、ホスティングサーバーではデフォルトで有効になっていることがよくあります。
問題は、これによりサイトの構造に関する機密情報が公開されることです。ハッカーはこれを利用して、プラグイン、テーマ、またはホスティング環境の脆弱性を探すことができます。
場合によっては、ディレクトリブラウジングによって、電子書籍のダウンロードやオンラインコースなどのプライベートまたは有料コンテンツが公開され、許可なくコピーされる可能性があります。
だからこそ、私たちは初心者の方を支援する際に常にこのリスクを指摘しています。ディレクトリブラウジングを無効にすることは、サイトを保護し、不必要な収益損失を防ぐための迅速な変更です。
WordPressでディレクトリブラウジングが有効になっているか確認する方法
WordPressウェブサイトでディレクトリブラウジングが有効になっているかどうかを確認する簡単な方法は、/wp-includes/フォルダに直接アクセスすることです。
例えば、ブラウザに https://example.com/wp-includes/ のようなURLを入力するだけです。
example.com を実際のウェブサイトのドメイン名に置き換えてください。この簡単なテストは、ほとんどの WordPress インストールで機能します。
403 Forbiddenメッセージまたは同様のエラーが表示される場合は、ディレクトリブラウジングは既に無効になっています。これはウェブサイトがより安全であることを意味するため、良い兆候です。
ファイルとフォルダのリストが表示される場合は、ディレクトリブラウジングが有効になっています。
ディレクトリブラウジングを有効にしたままにすると、ウェブサイトは悪意のある攻撃に対して脆弱になります。
私たちの経験では、ディレクトリブラウジングを有効にすると機密情報が公開され、セキュリティリスクが増大します。このため、サイトを安全に保つためにWordPressでディレクトリブラウジングを無効にするのが最善です。
WordPressでディレクトリブラウジングを無効にする方法
WordPressの.htaccessファイルに1行コードを追加することで、ディレクトリブラウジングを無効にできます。
これは強力なサーバー設定ファイルであるため、変更を加える前に.htaccessファイルのバックアップを作成することが非常に重要です。誤った編集は、サイトにアクセスできなくなる可能性があります。
ヒント: 私たちはDuplicatorを使用して、すべてのWordPressウェブサイトを自動的にバックアップしています。これにより、スケジュールされたバックアップとオンデマンドバックアップの両方を作成できます。さらに重要なのは、1クリックで簡単にウェブサイトを復元できることです。詳細については、当社の完全なDuplicatorレビューをご覧ください。
このファイルには、主に2つの方法でアクセスできます。
方法1:cPanelのファイルマネージャーを使用して.htaccessファイルを編集する
ほとんどのユーザーにとって最も簡単な方法は、WordPressホスティングアカウントのコントロールパネル(cPanel)で提供されているファイルマネージャーアプリを使用することです。
まず、ホスティングアカウントにログインし、ファイルマネージャーを開きます。
ウェブサイトのルートフォルダ(多くの場合public_htmlという名前です)に移動します。
表示されない場合は、ファイルマネージャーの設定で「隠しファイルを表示」が有効になっていることを確認してください。
ファイルを右クリックして「編集」または「コードエディタ」を選択します。
方法2:FTPクライアントを使用した.htaccessファイルの編集
または、FTPクライアントを使用してウェブサイトのファイルに接続することもできます。
初めての場合は、FTPを使用してサイトに接続する方法に関する完全なガイドに従ってください。
- FTPで接続したら、サイトのルートディレクトリ(例:
public_html)に移動します。 .htaccessファイルを見つけます。- ファイルをコンピューターにダウンロードしてから、メモ帳やTextEditのようなプレーンテキストエディターで開いてください。
.htaccessにコードを追加する
どちらの方法でも.htaccessファイルを編集用に開いたら、ファイルの末尾に次のコード行を追加するだけです。
Options -Indexes
このようになります:
次に、変更を保存します。FTPクライアントを使用した場合は、編集した.htaccessファイルをサーバーに再アップロードし、元のファイルを上書きする必要があります。
Nginxユーザー向けの注意 📝:この.htaccess方法は、Apacheウェブサーバーで実行されているウェブサイトに適用されます。ウェブサイトがNginxサーバーにある場合、この設定は通常、ホスティングプロバイダーによってサーバーレベルで処理され、ディレクトリブラウジングは通常デフォルトで無効になっています。詳細については、Apache vs Nginx vs LiteSpeedウェブサーバーの比較をご覧ください。
これで、同じhttp://example.com/wp-includes/ URLにアクセスすると、403 Forbiddenまたは類似のメッセージが表示されます。
ボーナスヒント:プラグインを優先しますか?
コードの編集に慣れていない場合は、優れたWordPressセキュリティプラグインがこれを処理できます。
ほとんどのWordPressセキュリティプラグインには、ウェブサイトの強化機能の一部としてディレクトリブラウジングを無効にするワンクリックオプションが含まれているため、ファイルを一切編集する必要はありません。
ディレクトリブラウジングの無効化に関するよくある質問
ディレクトリブラウジングとは何ですか?また、なぜセキュリティ上のリスクとなるのですか?
ディレクトリブラウジングは、index.phpのようなインデックスファイルが存在しない場合に、ディレクトリ内のすべてのファイルとフォルダを一覧表示するサーバー機能です。これは、テーマやプラグインの使用状況を含むサイトの構造を攻撃者に公開するため、セキュリティリスクとなります。
ディレクトリブラウジングを無効にすると、ウェブサイトのSEOに影響しますか?
いいえ、ディレクトリブラウジングを無効にしてもSEOに悪影響はありません。検索エンジンはコンテンツに関心があり、ファイル構造には関心がありません。実際、ウェブサイトのセキュリティを向上させることは、検索エンジンにとってプラスのシグナルです。
プラグインを使用するのと.htaccessファイルを編集するのと、どちらが良いですか?
どちらの方法も同じ結果を達成します。.htaccessファイルを編集することは、迅速な1回限りの修正です。Sucuriのようなセキュリティプラグインを使用することは、コードを編集する必要なく、これや他の多くのセキュリティ設定を1クリックで処理するため、初心者にとって素晴らしいです。
WordPressサイトでNginxサーバーを使用している場合はどうなりますか?
.htaccess ファイルは Apache Web サーバーに固有のものです。Nginx サーバーでは、通常、ディレクトリ一覧表示はメインサーバー構成でデフォルトで無効になっています。有効になっていると思われる場合は、ホスティングプロバイダーに連絡して無効にしてもらう必要があります。
WordPressセキュリティに関する追加資料
WordPressウェブサイトを安全でエラーのない状態に保ちたいですか?以下の記事が役立つかもしれません:
- WordPressのファイルとディレクトリ構造の初心者向けガイド
- WordPressで最も一般的なエラーとその修正方法
- WordPress でファイルとフォルダの権限エラーを修正する方法
- WordPress管理画面(wp-admin)ディレクトリにパスワード保護をかける方法
この記事がWordPressでディレクトリブラウジングを無効にする方法を学ぶのに役立ったことを願っています。また、究極のWordPressセキュリティガイドや、専門家が選んだ最高のWordPressセキュリティプラグインもご覧ください。
この記事が気に入った場合は、WordPressのビデオチュートリアルのために、YouTubeチャンネルを購読してください。また、TwitterやFacebookでも私たちを見つけることができます。
ディーパック・クマール
魔法のように機能します。wpbeginners の記事は、すぐに使えるソリューションのようです。頑張ってください。
アヨ
その後に出てくる404エラーはどのように解決すればよいですか?
プラディップ・シン
このウェブサイトが大好きです。毎日、このウェブサイトから新しい記事を読むたびに驚かされます。幸いなことに、今日この記事を読んで、すぐにアドバイスを実践しました。
WPBeginnerサポート
私たちのコンテンツがお役に立てて嬉しいです
管理者
スラウブ
これにより、CDNが静的コンテンツのために私のウェブサイトにアクセスできなくなりますか?
WPBeginnerサポート
いいえ、そうはなりません。
管理者
サミ
この方法はGoogleのクロールに影響しますか?SEOフレンドリーですか?
WPBeginnerサポート
検索エンジンがサイトをクロールするのに影響を与えるべきではありません。
管理者
ミーラ・シェイク
ありがとう、完了しました
WPBeginnerサポート
どういたしまして
管理者
Pradeep
ありがとう、友よ。これを試したらうまくいったよ。
君は天才だ。
WPBeginnerサポート
当社のガイドがお役に立てて嬉しいです
管理者
ムサーム
ありがとうございます。適用したらうまくいきました。
皆さんはWordPressを学ぶ上で最高の情報源です。
WPBeginnerサポート
どういたしまして、当社のガイドがお役に立てて嬉しいです
管理者
ケヴィン
本当にありがとうございました。これで問題が解決しました。
再度、ありがとうございます。
WPBeginnerサポート
どういたしまして、当社のガイドがお役に立てて嬉しいです
管理者
マリカ
情報共有ありがとうございます!
WPBeginnerサポート
どういたしまして
管理者
ジョナサン
ルートフォルダにindex.phpファイルが存在する場合でも、このコードを.htaccessファイルに記述しても問題ありませんか?
ご返信ください。
WPBeginnerサポート
はい
管理者
テレサ・クエルボ
Filezillaが必要ですか、それともCpanelからFTPにアクセスして行うことができますか?
ありがとうございます
WPBeginnerサポート
どちらでも使用できます。すべてのホストにファイルマネージャーがあるわけではないため、Filezillaを表示しています
管理者
マイケル
こんにちは
このアクションは検索エンジンでのページのインデックス作成に影響しますか?
また、私のWordPressウェブサイトのインデックス作成済みページに何か問題が発生しますか?
ありがとうございます
WPBeginnerサポート
いいえ、それは否定的な影響を与えません。
管理者
レーン・カストロデス
ありがとうございます。うまくいきました。
WPBeginnerサポート
当社の推奨事項がお役に立てて嬉しいです
管理者
ジョン
ありがとうございます!2020年現在でも動作します。
WPBeginnerサポート
どういたしまして
管理者
シャムス
素晴らしい投稿です、
簡単な質問ですが、このコードを追加したら機能しました。質問は、Googleがこれらのページ(例:sitecom/wp-contents/2019/2)をインデックス化するのか、それともこれらは404なのでGoogleが自動的に削除するのかということです。それともサーチコンソールで削除すべきでしょうか?
ありがとう
WPBeginnerサポート
このコードは、画像やファイルへの直接リンクが404になることを防ぐはずです
管理者
ビル
こんにちは!
このルールを最近適用したところ、その日のうちにブログのフロントページがGoogleインデックスから消えてしまいました。
何か関連性はありますか?
WPBeginnerサポート
これをhtaccessに追加してもインデックス作成には影響しません。複数の理由があり、Google Search Consoleでホームページに関する情報を確認する必要があります。
管理者
イオネル・G
提供していただいたヒント、ありがとうございます!
wp-contentとwp-includeフォルダをソースコードから非表示にする方法について、まだ疑問に思っています。誰かが右クリックしてソースを表示して、私のプラグインをすべて見ることができるのが嫌なんです :)。これに関するスクリプトはありますか?
よろしくお願いします!
WPBeginnerサポート
現時点では推奨される方法はありません。開発者ツールでこれらのフォルダが表示されない最も一般的な理由は、サイトのキャッシュです。
管理者
Mayur
WordPressをサブフォルダ(例:[www.mydomain.com]にあるWordPressインストール)で無効にする方法を教えていただけますか?[www.mydomain.com/customscript]でWordPressを無効にしたいのですが。
WPBeginnerサポート
まず、カスタムページテンプレートの作成方法を確認することをお勧めします:https://www.wpbeginner.com/wp-themes/how-to-create-a-custom-page-in-wordpress/
それ以外の場合は、その名前のフォルダを作成し、そのフォルダ内にindex.htmlファイルを追加して、WordPress以外のページを表示する必要があります。
管理者
ラファエル
ありがとうございます。すべてのブラウザで完璧に動作しました。
ディパンカル
しかし、wp-contentが表示されています。これも削除するにはどうすればよいですか。
ディアトラム
ディレクトリブラウジングを無効にしましたが、Chromeブラウザの開発者ツールを使用すると、まだ誰かが私のディレクトリを見ることができます。それも無効にするにはどうすればよいですか?
フェーゼ
.htaccessに言われた行を追加しましたが、まだディレクトリが表示されます。
どうすればいいですか??
ネイサン
パーマリンク設定ページで「変更を保存」をクリックすると、.htaccessファイルが更新され、「Options -Indexes」コードが消去されます。コードは正常に機能しますが、他のタスクを実行中に誤って削除してしまうのではないかと心配しています。コードを消去する可能性のある、他に知っておくべきダッシュボード設定の変更はありますか?ありがとうございます。
Tôi Sống
すごい、とてもよく機能します!
バッジョ
wpbeginner、Optin Monsterの熱烈なファンです。WPに関する多くの役立つヒントやコツを得ました。そして、サイトのデザインはまさに素晴らしいと言わざるを得ません。もちろん、ここのコンテンツは非常に役立ちます。
ありがとう、みんな!
ダニエル
こんにちは!うまくいかないようです。画像を別のページにドラッグすると、次のリンクで開かれます: example.com/wp-content/uploads/…
何かアイデアはありますか?ありがとうございます!
WPBeginnerサポート
ダニエルさん、こんにちは
ディレクトリ内の画像やファイルには直接アクセスできます。ただし、サーバーは誰かがディレクトリを直接ブラウズしてその内容を見ることを許可しません。
管理者
アクセル・イェベンス
これについて詳しく説明していただけると幸いです。この問題の解決策を見つけるのに苦労しました。htaccessを使用してPHPファイルにリダイレクトし、ユーザーがログインしているかどうかを確認するというアイデアがいくつかあります。そのような機能を提供するプラグインはありますか?
ウナル・ホジャ
ありがとうございます
ハリド・マフムド
ありがとうございます。動作しました……。
キム
返信が遅れてすみません。これらのテクニックはSEOスコアに関して安全に使用できますか?回答をお待ちしています!
WPBeginnerサポート
はい、そうです。
管理者
キミー
まだかなりうまく機能しています。素晴らしい、シンプルで、動作します。ありがとう!
Charles
何週間も同じコードを書いていますが、ディレクトリがユーザーに表示されたままです。何が間違っていますか?それとも、私のサイトはまだキャッシュされたコンテンツから読み込まれているのでしょうか?皆、機能していると言いますが、私の経験は異なります。どなたか助けていただけませんか?返信をお待ちしています。
キミー
どの部分で困っていますか?ちなみに、あなたのホスティングプロバイダーはどこですか?
Lily
ありがとうございます。魔法のように機能しました!
プラカーシュ
この上のトリックはうまくいかないよ…。
マイク
特定のページに対して、ディレクトリの表示は許可するが、親ディレクトリリンクだけを非表示にする方法はありますか?これは、複数の人がアクセスするネットワーク共有フォルダであり、親ディレクトリリストが必要なサブフォルダがある場合です。共有フォルダより上に移動してほしくないだけです。
クリスチャン・ナスタリ
これは私にはうまくいきませんでした。以前に試しましたが、WordPress の #END の前後でうまくいきませんでした。また、「Options All -Indexes」も試しましたが、うまくいきませんでした。
hrwhisper
とても参考になりました、どうもありがとうございます
ニタイ
本当に素晴らしいです。今日、まさに直面していて、Joomla のようにどうやって禁止できるか考えていたところ、まさにその解決策を見つけました。
ロブ・マイリック
とても役に立ち、迅速でした。ありがとうございます
アニータ・イン・SD
どうもありがとうございます。サイトの画像が親ディレクトリに表示されるのを見てがっかりしていました:0。これは非常に役立ち、うまくいきました。
祝福を – A
ヘザー・ジェイコブセン
このチュートリアルをありがとうございます。アップロードを、そのディレクトリを閲覧したいだけの誰かから隠すのにうまくいきました。ただし、1つ質問があります。これにより、検索エンジンが私のウェブサイトを閲覧する機能がオフになることはありますか?初心者なので、愚かな質問のように思えるかもしれませんが、すみません。
ワシル・ブルキ
htaccessファイルにOptions -Indexesコードを追加しましたが、サイトにアクセスできなくなり、503エラーが表示されます。何か間違っていますか?至急助けが必要です!!よろしくお願いします。
テッド
私の問題は、このWordPressサイトのディレクトリが見えてしまうことです。もしこの解決策を使っているなら、それは機能しません… (テーマ wpbv4)
ラフル
チュートリアルをありがとうございます!
テーマディレクトリの一部が閲覧可能になっているのを発見して、非常に心配していました。チュートリアルのおかげで、すべてうまくいきました。.htaccessがこれほど強力だとは知りませんでした。
KeelAha
こんにちは、Syed Balkhiさん
あなたのサイトlist25.comの以下のフォルダでディレクトリブラウジングが有効になっていることに気づきました。
それがあなたにとって重要かどうかはわかりません。
http://list25.com/wp-includes/
素晴らしい週末をお過ごしください。そして、あなたの素晴らしい仕事を続けてください。
よろしくお願いいたします
KeelAha
WPBeginnerサポート
無効にしました、ありがとうございます
管理者
ローガン
../wordpress/wp-content/ または ../wordpress/wp-content/plugins/ にアクセスしようとすると、エラーではなく空白のページが表示されるのはなぜですか?
WPBeginnerサポート
テーマまたはホスティング環境によって異なる場合があります。ディレクトリブラウジングを有効にしてから、これらのディレクトリにアクセスしてみてください。それでも空白のページが表示される場合は、それらのディレクトリに空白のindex.phpファイルがあることを意味します。
管理者
チャーリー・ササー
インデックスファイル(index.phpや.htmファイル)がない場所で変更を加える前にこれをテストしましたが、はい、すべてのファイルを確認できます。提案された行を.htaccessの末尾に追加しました。その場所では、WordPressからの404エラーではなく、ホストからの403エラーが発生します。WP 3.8を実行しています。これは期待される動作ですか?
ベルン
私も同じ問題です。404ではなく403エラーが表示されます。この問題を解決しましたか?
Christian
同じ問題が発生しました、どうすればいいですか?最新版のWordPressを使用しています。
アビシェク
Better WordPress Securityプラグインがそれに対応します。
ゴヴィンダ
Better Wp securityでこれをどうすればいいですか。
プラグインはインストールしましたが、この機能が見つかりません
コスティン
こんにちは、
「Options All -Indexes」は同じか、それ以上か教えていただけますか?
ありがとうございます!
WPBeginnerサポート
同じです。
管理者
デイビッド・ツリーズ
この重要な情報をありがとうございます。
次のような意味ですか?
ここ
オプション -インデックス
# END WordPress
または
# END WordPress
オプション -Indexes
返信ありがとうございます。
乾杯
デビッド
WPBeginnerサポート
どちらも同じように機能するはずですが、WordPressのENDの後の方を指していました
管理者
イヴァン・R・リナレス
ありがとうございます、見事に機能しました!