🌍 セキュリティ一括設定

Apache用 .htaccess対応 コピペ可

.htaccess でよく使う基本的な防御設定をまとめて作成。公開前・保守時の初期設定を短時間で整えられます。

🔒 1. 重要ファイルの保護・隠蔽

システムの中核となるファイルや、ディレクトリの構造が外部から見えないように保護します。

URL直打ちでファイル一覧が丸見えになるのを防ぎます。

WordPress利用時のみ有効な設定です。データベース接続情報などが書かれた最重要ファイルへの直接アクセスを遮断します。

エラーページへのApache署名(バージョン表示)を非表示にします。なお、HTTPレスポンスヘッダー(Server: ヘッダー)のバージョン情報を隠すには ServerTokens Prod が別途必要ですが、これは .htaccess ではなく httpd.conf での設定が必要なため、このツールでは対応できません。サーバーパネルまたはホスティング会社にご確認ください。

🛡️ 2. セキュリティヘッダーの付与

最低限のブラウザ向け防御ヘッダーをまとめて付与します。脆弱性診断や初期設定の見直し時に使いやすい基本セットです。

  • X-Content-Type-Options: nosniff(MIMEスニッフィング対策)
  • X-Frame-Options: SAMEORIGIN(クリックジャッキング対策。モダンブラウザでは Content-Security-Policy: frame-ancestors が優先されますが、後方互換のために併用が推奨されています)
  • Referrer-Policy: strict-origin-when-cross-origin(参照元情報の送りすぎを抑制)
  • Permissions-Policy(不要なブラウザ機能の利用を制限)
    ⚠️ 位置情報・カメラ・マイクをサイト上で使用している場合(Google Mapsの埋め込み・Web会議機能など)は、出力されたコードの該当行を削除してから使用してください。

このコードはそのまま本番反映せず、バックアップ取得後にテスト環境または慎重な確認のうえで使用してください。

✅ 出力コード 本番反映前にバックアップ推奨

※出力前に既存の .htaccess を必ずバックアップしてください。反映後は500エラーや表示崩れがないか実サイトで確認してください。

💡 このツールで短縮できる作業

ディレクトリリスティングの禁止や重要ファイル保護、基本的なセキュリティヘッダーの付与など、複数の防御設定を個別に調べ直さずにまとめて作成できます。

毎回断片的な記述を寄せ集める手間を減らし、公開前や保守時の初期設定を短時間で整えやすくなります。

⚠️ 実務上の注意点

  • 反映前にバックアップを取得する
    既存の .htaccess を上書きする前に、必ずバックアップを保存してください。記述ミス時の切り戻しがしやすくなります。
  • 環境による動作の違いがある
    サーバー環境やApacheの設定状況によっては、一部の記述がそのままでは動作しないことがあります。このツールは初期設定のたたき台として使用し、必要に応じて環境に合わせて調整してください。
  • 反映後は必ず動作確認する
    .htaccess の記述ミスや環境差異により、サイト全体が500エラーになることがあります。反映後はフロント表示・管理画面・主要ページを必ず確認してください。

📌 よくある用途

  • 公開前やリニューアル時に、基本的な防御設定をまとめて整えたい時
  • サイト保守時に、最低限の .htaccess 設定を見直したい時
  • 複数の小設定を毎回手作業で集める手間を減らしたい時

🔄 続けて使われることが多いツール

🌍
Basic認証(.htpasswd)生成 公開前のサイト保護や、特定ディレクトリのアクセス制限を設定します
🌍
ボット拒否設定 悪質なクローラーやAIボットのアクセスを.htaccessで遮断します
🌍
画像直リンク禁止設定 外部サイトから画像を直接読み込まれるのを防ぎ、サーバー負荷を軽減します