こんにちは、管理人のけーちゃんです。
あなたのサーバーの中が丸見えかも?怖いですね…
mixhostはある条件を満たすと、初期状態でサーバーのフォルダの内容を「index of /」というタイトルで表示します。これはセキュリティ上の問題があります。
ここではmixhostの「index of /」ページ問題について、「何が問題なのか」と「対処法」についてお伝えします。
\目次も見てね!/
index of / の放置は危険です
mixhostに登録したドメインにアクセスすると、次のような「index of /」と書かれた画面が表示されることがあります。
これ、ドメインの中身が見えてます。
中身が見えて便利ですね!
ファイルを探すときなどは便利ですね。
ですが「index of /」はメリットよりもデメリットの方が大きいです。デメリットをいくつか挙げます。
重要なファイルが丸見え
「index of /」で表示されたフォルダは、クリックすると下層をのぞき見えることができます。
のぞき見を繰り返すと、全てのファイルが丸裸になります。さらにファイルをクリックすると、そのファイルを自分のパソコンにダウンロードできます。
外部に公開するつもりが無いファイルも、「index of /」のままだと根こそぎダウンロードされます。
「設定ミスで個人情報流出」というニュースを時々目にしますが、「index of /」の放置が原因の一つです。
プライマリドメインは他のドメインも丸見え
mixhostはレンタルサーバー契約時にプライマリドメインが割り当てられます。mixhostは新規ドメインを追加すると、新規ドメイン用のフォルダをプライマリドメイン内に作成します。
mixhostの新規ドメイン用フォルダ名の初期値は、ドメイン名と同じ名前になっています。そのため下図のように、プライマリドメイン内にドメイン名が並んでいます。
「index of /」を放置したことで、他者に自分が運営しているサイトを公開していることになります。
秘密にしておきたいWebサイトがバレます!
以前のmixhostはmixhostが所有する「mixh.jp」のサブドメインがプライマリドメインとして割り当てられました。そのためあまり使用されていませんでした。その結果として、上記の運営サイト全公開という状況がおこりにくい環境でした。
現在は、契約時に取得した独自ドメインがプライマリドメインに割り当てられます。このドメインでWordPressサイトを運営後にデータを削除すると「index of /」で中身を覗きみれる状態になります。今まで運営していたサイトなので、多くの人が中身を覗きみる可能性が非常に高い環境です。
セキュリティ対策されていないと判断される
「index of /」で中身を覗きみれる状況は、セキュリティの観点からゼロ点に近いです。そのため、他のセキュリティについても穴があると判断されます。
悪意ある攻撃者は、とりあえず攻撃してみようという気持ちになります。
非常にリスクが高いので「index of /」は放置しないで、対処しましょう。
index of / の表示条件
Webサイトにドメイン名やフォルダ名でアクセスすると、「index.html」や「index.php」などのインデックスファイルが表示されます。
インデックスは「索引」や「目次」という意味です。index.html等のインデックスファイルも、元々はサイトの索引ページの役割を持っていました。
これらのインデックスファイルが存在しない場合は、インデックスファイルの代わりにフォルダの内容を表示します。「index of /」はドメイン以下(/)の索引という意味で表示されています。
なお、この機能は無効化できます。無効化すると、403ページが表示されます。
index of / の対処法
mixhostで「index of /」を非表示にする方法は、いくつかあります。ここでは一番簡単なcPnanelのインデックス機能で設定する方法を紹介します。
- mixhostのcPanelにログインする
- 上級グループ内の「インデックス」をクリックする
- 「public_html」の「編集」をクリックする
- 「インデックスがありません」を選択する
- 「保存」をクリックする
少し分かりにくいですが「インデックスがありません」は、「index.html」や「index.php」などのインデックスファイルが存在しない時、403ページを表示します。
「ファイル名のみ表示」または「ファイル名と説明を表示」は、「index of /」を有効化します。
「継承」は、親フォルダの設定を引き継ぎます。
新規で作成されたフォルダは「継承」が選択されています。そのため「public_html」の設定だけで、それ以下のフォルダも「インデックスがありません」が選択されます。
.htaccessでの index of / 対策
前項「index of / の対処法」での手順を行うと、.htaccessファイルの内容が書き換えられます。つまりcPnanelのインデックス機能を使用しなくても、「index of /」対策ができます。
実際はメンドクサイので、捕捉として紹介します
- mixhostのcPanelにログインする
- ファイルグループ内の「ファイルマネージャ」をクリックする
- 左側のリストで「public_html」をクリックする
- 右側のリストで「.htaccess」を探す。存在しない場合「+ ファイル」を押してファイルを作成する
- 「.htaccess」をクリックして選択状態にした後「編集」をクリックする
- 文字セットについての確認画面が表示されたら「Edit」を押す
- 編集を行い、「変更を保存」をクリックして保存する
「index of /」を無効にする場合、次のコードを入力します。
Options -Indexes「index of /」を有効にする場合、次のコードを入力します。
Options +Indexesどちらの記述も無い場合は、親フォルダの設定を「継承」します。
まとめ
「index of /」はフォルダ内の内容を確認したり、ファイルをダウンロードすることができます。この機能は便利ですが、セキュリティ名で問題がありメリットよりもデメリットが多いです。
何らかの理由が無いなら、「index of /」表示を無効にしておきましょう。