WordPressのディレクトリ閲覧を無効化しますか?
ディレクトリの閲覧は、ハッカーに重要な情報を見せ、サイトのプラグインやテーマ、さらにはホスティングサーバーの脆弱性を突くために利用され、サイトを危険にさらす可能性があります。
この投稿では、WordPressでディレクトリ閲覧を無効化する方法を紹介します。
WordPressのディレクトリ閲覧無効化とは?
誰かがあなたのサイトを訪問するたびに、Webサーバーはそのリクエストを処理します。
通常、サーバーはindex.htmlのようなインデックスファイルを訪問者のブラウザーに配信します。しかし、サーバーがインデックスファイルを見つけられない場合、代わりにリクエストされたディレクトリ内のすべてのファイルとフォルダーを表示することがあります。
これはディレクトリブラウジングと呼ばれ、ホスティングサーバーでは初期設定で有効化されていることが多い。
サイトを訪問したときに、ウェブページの代わりにファイルやフォルダーのリストを見たことがあるなら、ディレクトリ・ブラウジングを実際に見たことがあるはずだ。
問題は、ハッカーがディレクトリブラウジングを使って、使用しているすべてのテーマやプラグインを含むサイトを構成するファイルを見ることができることです。
これらのテーマやプラグインに既知の脆弱性がある場合、ハッカーはその知識を利用してWordPressブログやサイトをコントロールしたり、データを盗んだり、その他の行為を行うことができます。
攻撃者はまた、ディレクトリ・ブラウジングを利用して、ファイルやフォルダー内の機密情報を覗き見することもあります。電子書籍のダウンロードや オンラインコースなど、通常であれば課金されるようなコンテンツも含め、サイトのコンテンツをコピーされる可能性もあります。
そのため、WordPressではディレクトリ閲覧を無効化するのがベストプラクティスとされている。
WordPressでディレクトリブラウジングが有効化されているかどうかを確認する方法は?
WordPress サイトでディレクトリ閲覧が有効化されているかどうかを確認する最も簡単な方法は、https://example.com/wp-includes/ のように /wp-includes/ フォルダーにアクセスすることです。
www.example.com、あなたのサイトのURLに置き換えてください。
403 Forbiddenまたは同様のメッセージが表示された場合、WordPressサイトではすでにディレクトリ閲覧が無効化されています。
代わりにファイルとフォルダーのリストが表示された場合は、あなたのサイトでディレクトリブラウジングが有効化されていることを意味します。
これではサイトが攻撃を受けやすくなるため、WordPressでは通常、ディレクトリ閲覧をブロックすることをお勧めします。
WordPressでディレクトリ閲覧を無効化する方法
ディレクトリ・リスティングを無効化するには、サイトの.htaccessファイルにコードを追加する必要があります。
ファイルにアクセスするには、FTPクライアントが必要ですが、WordPressホスティングコントロールパネル内のファイルマネージャーアプリを使用することもできます。
初めてFTPを使用する場合は、FTPを使用してサイトに接続する方法についての完全なガイドを参照してください。
サイトに接続したら、サイトの「public」フォルダーを開き、.htaccessファイルを見つけます。.htaccessファイルをデスクトップにダウンロードし、メモ帳のようなテキストエディターで開くことで編集できます。
ファイルの一番下に、以下のコードを追加するだけだ:
Options -Indexes
こんな感じになるだろう:
完了したら、.htaccessファイルを保存し、FTPクライアントを使ってサーバーにアップロードしてください。
これで完了だ。これで、同じhttp://example.com/wp-includes/ URLにアクセスすると、403 Forbiddenまたは同様のメッセージが表示されます。
専門家のアドバイス: WordPressサイトがハッキングされた可能性がある場合は、ハッキングされたWordPressサイトの修復に関するガイドをご覧ください。また、ハッキングされた WordPress サイトの修復サービスや、WordPress セキュリティの専門家によるサイトのクリーニングもご利用いただけます。
この投稿がWordPressでディレクトリ閲覧を無効化する方法を学ぶのにお役に立てば幸いです。究極のWordPressセキュリティガイド、またはWordPressセキュリティプラグインのエキスパートセレクションもご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Jiří Vaněk
Thanks for the advice. On directory browsing, or that I have it enabled, the AIO SEO plugin keeps warning me. I have currently solved the problem by making the folders have an index file that is empty. Is it possible to take this as one of the possible solutions?
WPBeginner Support
You can try that method but we would still recommend the htaccess method from our guide.
管理者
Jiří Vaněk
Thanks for the advice, I finally used the Options -Indexes method now and AIO SEO already reports the problem as solved. Thanks again.
Ka Khaliq
After editing the htaccess file as per the provided guidelines, I do see 403 Forbidden message for /wp-includes/. But I’m unable to see edit any post. Upon editing a post, I see the same 403 Forbidden message. How to solve this?
WPBeginner Support
There may be an issue with your file permissions, we would recommend taking a look at our guide below for fixing your permissions:
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
管理者
Ka Khaliq
The issue resolved after clearing the web history/cache.
Thanks for your time.
Dina D
Thank you so much! Clear, concise, and easy to follow. Thank you so much!
WPBeginner Support
You’re welcome!
管理者
Rabee Khan
Thank You… precise and easy to understand!
WPBeginner Support
Glad our guide was helpful!
管理者
Kimmy
Thanks for the two-word solution! Lol. Worked perfectly!
WPBeginner Support
Glad we could help!
管理者
Seashell
I was shocked to see the folders accessible right in the browser.
Thanks for your solution!
WPBeginner Support
Glad we could help!
管理者