ディレクトリブラウジングを無効にするのを忘れているウェブサイトをよく見かけます。一見すると大したことではないように思えるかもしれませんが、この小さな見落としが機密情報を公開し、サイトを危険にさらす可能性があります。
ディレクトリブラウジングが有効になっていると、誰でもサーバー上のファイルやフォルダを表示できます。ハッカーは、この情報を使用して、プラグイン、テーマ、さらにはホスティング環境の脆弱性を特定できます。
幸いなことに、この問題を修正するのは迅速かつ簡単です。ディレクトリブラウジングをオフにすることで、保護層が追加され、攻撃者があなたのサイトを標的にすることがはるかに困難になります。
このガイドでは、WordPressでディレクトリブラウジングを無効にする簡単な手順を説明します。これにより、ウェブサイトを保護し、データを安全に保つことができます。
このガイドで取り上げるトピックの簡単な概要を以下に示します。
WordPressでディレクトリブラウジングを無効にするとどうなりますか?
ディレクトリブラウジングを無効にすると、インデックスファイルが利用できない場合に、訪問者がサイト上のファイルやフォルダのリストを表示できなくなります。サーバーは、生のディレクトリを表示する代わりに、空白のページまたはエラーメッセージを表示します。
誰かがあなたのウェブサイトを訪れると、サーバーは通常、インデックスファイル(index.html や index.php など)をブラウザに配信します。そのファイルが見つからない場合、多くのサーバーはフォールバックしてそのフォルダー内のすべてのファイルを表示します。
この動作はディレクトリブラウジングと呼ばれ、ホスティングサーバーではデフォルトで有効になっていることがよくあります。
問題は、これによりサイトの構造に関する機密情報が公開されることです。ハッカーはこれを利用して、プラグイン、テーマ、またはホスティング環境の脆弱性を探すことができます。
場合によっては、ディレクトリブラウジングによって、電子書籍のダウンロードやオンラインコースなどのプライベートまたは有料コンテンツが公開され、許可なくコピーされる可能性があります。
だからこそ、私たちは初心者の方を支援する際に常にこのリスクを指摘しています。ディレクトリブラウジングを無効にすることは、サイトを保護し、不必要な収益損失を防ぐための迅速な変更です。
WordPressでディレクトリブラウジングが有効になっているか確認する方法
WordPressウェブサイトでディレクトリブラウジングが有効になっているかどうかを確認する簡単な方法は、/wp-includes/フォルダに直接アクセスすることです。
例えば、ブラウザに https://example.com/wp-includes/ のようなURLを入力するだけです。
example.com を実際のウェブサイトのドメイン名に置き換えてください。この簡単なテストは、ほとんどの WordPress インストールで機能します。
403 Forbiddenメッセージまたは同様のエラーが表示される場合は、ディレクトリブラウジングは既に無効になっています。これはウェブサイトがより安全であることを意味するため、良い兆候です。
ファイルとフォルダのリストが表示される場合は、ディレクトリブラウジングが有効になっています。
ディレクトリブラウジングを有効にしたままにすると、ウェブサイトは悪意のある攻撃に対して脆弱になります。
私たちの経験では、ディレクトリブラウジングを有効にすると機密情報が公開され、セキュリティリスクが増大します。このため、サイトを安全に保つためにWordPressでディレクトリブラウジングを無効にするのが最善です。
WordPressでディレクトリブラウジングを無効にする方法
WordPressの.htaccessファイルに1行コードを追加することで、ディレクトリブラウジングを無効にできます。
これは強力なサーバー設定ファイルであるため、変更を加える前に.htaccessファイルのバックアップを作成することが非常に重要です。誤った編集は、サイトにアクセスできなくなる可能性があります。
ヒント: 私たちはDuplicatorを使用して、すべてのWordPressウェブサイトを自動的にバックアップしています。これにより、スケジュールされたバックアップとオンデマンドバックアップの両方を作成できます。さらに重要なのは、1クリックで簡単にウェブサイトを復元できることです。詳細については、当社の完全なDuplicatorレビューをご覧ください。
このファイルには、主に2つの方法でアクセスできます。
方法1:cPanelのファイルマネージャーを使用して.htaccessファイルを編集する
ほとんどのユーザーにとって最も簡単な方法は、WordPressホスティングアカウントのコントロールパネル(cPanel)で提供されているファイルマネージャーアプリを使用することです。
まず、ホスティングアカウントにログインし、ファイルマネージャーを開きます。
ウェブサイトのルートフォルダ(多くの場合public_htmlという名前です)に移動します。
表示されない場合は、ファイルマネージャーの設定で「隠しファイルを表示」が有効になっていることを確認してください。
ファイルを右クリックして「編集」または「コードエディタ」を選択します。
方法2:FTPクライアントを使用した.htaccessファイルの編集
または、FTPクライアントを使用してウェブサイトのファイルに接続することもできます。
初めての場合は、FTPを使用してサイトに接続する方法に関する完全なガイドに従ってください。
- FTPで接続したら、サイトのルートディレクトリ(例:
public_html)に移動します。 .htaccessファイルを見つけます。- ファイルをコンピューターにダウンロードしてから、メモ帳やTextEditのようなプレーンテキストエディターで開いてください。
.htaccessにコードを追加する
どちらの方法でも.htaccessファイルを編集用に開いたら、ファイルの末尾に次のコード行を追加するだけです。
Options -Indexes
このようになります:
次に、変更を保存します。FTPクライアントを使用した場合は、編集した.htaccessファイルをサーバーに再アップロードし、元のファイルを上書きする必要があります。
Nginxユーザー向けの注意 📝:この.htaccess方法は、Apacheウェブサーバーで実行されているウェブサイトに適用されます。ウェブサイトがNginxサーバーにある場合、この設定は通常、ホスティングプロバイダーによってサーバーレベルで処理され、ディレクトリブラウジングは通常デフォルトで無効になっています。詳細については、Apache vs Nginx vs LiteSpeedウェブサーバーの比較をご覧ください。
これで、同じhttp://example.com/wp-includes/ URLにアクセスすると、403 Forbiddenまたは類似のメッセージが表示されます。
ボーナスヒント:プラグインを優先しますか?
コードの編集に慣れていない場合は、優れたWordPressセキュリティプラグインがこれを処理できます。
ほとんどのWordPressセキュリティプラグインには、ウェブサイトの強化機能の一部としてディレクトリブラウジングを無効にするワンクリックオプションが含まれているため、ファイルを一切編集する必要はありません。
ディレクトリブラウジングの無効化に関するよくある質問
ディレクトリブラウジングとは何ですか?また、なぜセキュリティ上のリスクとなるのですか?
ディレクトリブラウジングは、index.phpのようなインデックスファイルが存在しない場合に、ディレクトリ内のすべてのファイルとフォルダを一覧表示するサーバー機能です。これは、テーマやプラグインの使用状況を含むサイトの構造を攻撃者に公開するため、セキュリティリスクとなります。
ディレクトリブラウジングを無効にすると、ウェブサイトのSEOに影響しますか?
いいえ、ディレクトリブラウジングを無効にしてもSEOに悪影響はありません。検索エンジンはコンテンツに関心があり、ファイル構造には関心がありません。実際、ウェブサイトのセキュリティを向上させることは、検索エンジンにとってプラスのシグナルです。
プラグインを使用するのと.htaccessファイルを編集するのと、どちらが良いですか?
どちらの方法も同じ結果を達成します。.htaccessファイルを編集することは、迅速な1回限りの修正です。Sucuriのようなセキュリティプラグインを使用することは、コードを編集する必要なく、これや他の多くのセキュリティ設定を1クリックで処理するため、初心者にとって素晴らしいです。
WordPressサイトでNginxサーバーを使用している場合はどうなりますか?
.htaccess ファイルは Apache Web サーバーに固有のものです。Nginx サーバーでは、通常、ディレクトリ一覧表示はメインサーバー構成でデフォルトで無効になっています。有効になっていると思われる場合は、ホスティングプロバイダーに連絡して無効にしてもらう必要があります。
WordPressセキュリティに関する追加資料
WordPressウェブサイトを安全でエラーのない状態に保ちたいですか?以下の記事が役立つかもしれません:
- WordPressのファイルとディレクトリ構造の初心者向けガイド
- WordPressで最も一般的なエラーとその修正方法
- WordPress でファイルとフォルダの権限エラーを修正する方法
- WordPress管理画面(wp-admin)ディレクトリにパスワード保護をかける方法
この記事がWordPressでディレクトリブラウジングを無効にする方法を学ぶのに役立ったことを願っています。また、究極のWordPressセキュリティガイドや、専門家が選んだ最高のWordPressセキュリティプラグインもご覧ください。
この記事が気に入った場合は、WordPressのビデオチュートリアルのために、YouTubeチャンネルを購読してください。また、TwitterやFacebookでも私たちを見つけることができます。
デニス・ムトミ
WordPressサイトでディレクトリブラウジングが無効になっていることに気づきました。wp-includesにアクセスしようとした際に403エラーが表示されたのですが、それを意図して.htaccessファイルを編集した記憶がありません。
WordPressは初期インストール時にディレクトリブラウジングを自動的に無効にしますか?
WPBeginnerサポート
最近の変更がなければ、デフォルトではそうではありません。htaccess のホスティングプロバイダーのデフォルト設定である可能性があります。
管理者
デニス・ムトミ
That’s what I was suspecting also, thanks for clarifying that WordPress doesn’t disable directory browsing by default.
And the respond too
Dayo Olobayo
この脆弱性が存在することすら知りませんでした。自分のサイトを確認したところ、403エラーが表示されました。これはディレクトリブラウジングが無効になっていることを意味します。ありがとうございます。
WPBeginnerサポート
You’re welcome
管理者
イジー・ヴァネック
アドバイスありがとうございます。ディレクトリブラウジングについて、または私がそれを有効にしていることについて、AIO SEOプラグインが常に警告してきます。現在、フォルダに空のindexファイルを作成することで問題を解決しました。これを可能な解決策の1つとして受け入れることはできますか?
WPBeginnerサポート
その方法を試すことはできますが、ガイドのhtaccess方法を引き続きお勧めします。
管理者
イジー・ヴァネック
アドバイスありがとうございます。最終的に Options -Indexes メソッドを使用し、AIO SEO はすでに問題を解決済みと報告しています。重ねて感謝いたします。
カ・ハリク
提供されたガイドラインに従ってhtaccessファイルを編集した後、/wp-includes/に対して403 Forbiddenメッセージが表示されます。しかし、投稿の編集ができません。投稿を編集すると、同じ403 Forbiddenメッセージが表示されます。これを解決するにはどうすればよいですか?
WPBeginnerサポート
ファイルの権限に問題がある可能性があります。権限の修正については、以下のガイドをご覧ください。
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
管理者
カ・ハリク
ウェブ履歴/キャッシュをクリアした後、問題は解決しました。
お時間をいただきありがとうございました。
ディーナ・D
本当にありがとうございます!明確で簡潔で、わかりやすいです。本当にありがとうございます!
WPBeginnerサポート
どういたしまして!
管理者
ラビー・カーン
ありがとうございます…正確で分かりやすいです!
WPBeginnerサポート
ガイドがお役に立てて嬉しいです!
管理者
キミー
2単語の解決策をありがとう!笑。完璧に機能しました!
WPBeginnerサポート
Glad we could help!
管理者
シーシェル
ブラウザでフォルダに直接アクセスできるのを見てショックを受けました。
解決策をありがとうございます!
WPBeginnerサポート
Glad we could help!
管理者