Webサイト公開前に最終チェック！「.htaccess」でできる、セキュリティ強度を高める設定集

2025/10/06

Webサイトを公開する前、ついデザインや機能のチェックに集中してしまいがちですが、「セキュリティ対策」はそれ以上に重要です。
対策が不十分なまま公開してしまうと、サイトの改ざんや個人情報の漏洩といった、取り返しのつかない事態に繋がる可能性があります。

しかし、「セキュリティ対策って何から手をつければいいか分からない･･･」と感じる方もいるかもしれません。

そこで今回は、「.htaccess」を使って、セキュリティ強度を高められる基本的な設定をご紹介します。

1 ディレクトリ（フォルダ）の一覧表示を禁止する
2 .htaccessファイル自体へのアクセスを禁止する
3 サイト全体を常時SSL（HTTPS）化する
4 クリックジャッキング攻撃を防ぐ
5 特定のIPアドレスからのアクセスを拒否する
6 クロスサイトスクリプティング（XSS）対策
7 サーバーの署名（バージョン情報）を非表示にする
8 【WordPress向け】wp-config.phpへのアクセスをブロック
9 【WordPress向け】XML-RPCへのアクセスを遮断する
10 【WordPress向け】管理画面（wp-login.php）へのアクセスをIPアドレスで制限する
11 まとめ

ディレクトリ（フォルダ）の一覧表示を禁止する

index.htmlなどが存在しないディレクトリにアクセスされた際、ファイル一覧が表示されるのを防ぎます。
意図しないファイルの公開を防ぐための、最も基本的なセキュリティ設定です。

Options -Indexes

.htaccessファイル自体へのアクセスを禁止する

セキュリティ設定が書かれた.htaccessファイルに、外部からブラウザ経由でアクセスされるのを防ぎます。
設定ファイルを保護するための非常に重要な記述です。

<Files .htaccess>
	order allow,deny
	deny from all
</Files>

サイト全体を常時SSL（HTTPS）化する

Webサイトのすべての通信を、暗号化されたHTTPS接続に強制的に切り替えます。ユーザーが入力した情報が第三者に盗み見されるのを防ぎます。

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

クリックジャッキング攻撃を防ぐ

第三者のサイトに設置されたiframe内で自サイトが表示されるのを防ぎ、ユーザーが意図しない操作をさせられる「クリックジャッキング攻撃」から保護します。

Header always append X-Frame-Options SAMEORIGIN

特定のIPアドレスからのアクセスを拒否する

特定のIPアドレスからのスパムや不正アクセスをブロックします。
「000.000.000.000」の部分を拒否したいIPアドレスに書き換えてください。

order allow,deny
allow from all
deny from 000.000.000.000

クロスサイトスクリプティング（XSS）対策

ブラウザが持つXSS保護機能を有効にするようヘッダー情報を送信します。
悪意のあるスクリプトが実行されるリスクを軽減できます。

Header set X-XSS-Protection "1; mode=block"

サーバーの署名（バージョン情報）を非表示にする

サーバーエラーページなどに表示されるApacheのバージョン情報などを非表示にします。
攻撃者にサーバー環境のヒントを与えるのを防ぐための設定です。

ServerSignature Off

【WordPress向け】wp-config.phpへのアクセスをブロック

WordPressのデータベース接続情報などが記載されている最重要ファイル「wp-config.php」への直接アクセスを禁止します。
WordPressサイトのセキュリティを高める上で必須の設定です。

<files wp-config.php>
  order allow,deny
  deny from all
</files>

【WordPress向け】XML-RPCへのアクセスを遮断する

WordPressへのブルートフォース攻撃（総当たり攻撃）の経路として悪用されやすい「xmlrpc.php」ファイルへのアクセスを無効化します。

<files xmlrpc.php>
  order allow,deny
  deny from all
</files>

【WordPress向け】管理画面（wp-login.php）へのアクセスをIPアドレスで制限する

WordPressのログインページへのアクセスを、許可した特定のIPアドレスからのみに制限します。
第三者による不正ログインの試みを大幅に減らすことができます。

<Files wp-login.php>
  order deny,allow
  deny from all
  allow from 000.000.000.000
</Files>

まとめ

今回ご紹介したものは、専門的な知識がなくても、コピー＆ペーストで実装できるものが多く、Webサイト公開前の「お守り」として効果的です。
もちろん、これだけですべての攻撃を防げるわけではありませんが、基本的な対策を講じておくことで、多くの一般的なリスクを未然に防ぐことができます。
ぜひご自身のサイトに取り入れてみてください。

コーディング業務のご依頼、ご相談の詳細についてはこちらから

最後までお読みいただき、ありがとうございました。

よろしければシェアしていただければ幸いです。

X(旧：Twitter)

前の記事へ

よろしければこちらの記事もお読みください。

Webサイトを制作したら必ず設定したい「.htaccess」によるセキュリティ対策

【基本知識】ベーシック認証でWEBサイトにパスワードをかける方法

フリーのLinux用アンチウイルスソフトClamAVを試してみた

「アプリにトラッキングしないように要求しますか」のトラッキングの意味とは？セキュリティ上安全か否かについて解説！

WEB業界ならqam！qam（カム）はWEB業界で働く人や興味がある人に役立つ情報サイトです。
マーケティングやデザイン、マークアップ（コーディング）、プログラム、トレンドなどの情報をqamライター陣が執筆。噛めば噛むほど（読めば読むほど）制作・開発や運営・運用、業界知識やノウハウを学ぶことができます。

WEB業界で働く人や興味がある人に役立つ情報サイト“qam（カム）”