【mixhost】運営サイトの一覧が丸見えだ！

mixhostはセキュリティの考えが甘すぎて許せない。初期設定で行うチュートリアルに載せるべき内容です。

複数のサイトを運営している場合は設定を確認してください。デフォルト設定では自身の運営サイト一覧が表示される設定になっています。

申し訳無い程度に公式サイトのサポートページに記載されていますが、この内容は超重要です。

mixhostでは、初期状態でフォルダ内にindexファイルが存在しない場合、ファイルの一覧（index of）が表示される仕様となっております。表示されないようにする為には、cPanelより設定を行う必要があります。

ファイル一覧とは

mixhostで説明しているファイル一覧（Index of）は分かりやすくするための俗称です。一般名称はディレクトリリスティング（directory listing）です。

ディレクトリリスティングというのは、Webサーバが持つ便利な機能の1つで、読んで字のごとく、サーバのディレクトリ内容をリスト表示するものです。アクセスされたディレクトリ内にindexファイルがなければディレクトリ内の一覧表示します。

外部から閲覧されても問題のないファイルばかり格納されているディレクトリのであれば全く問題はないですが、そんなディレクトリはありえません。

色々とメンテナンスを行っていると、ディレクトリ内にバックアップファイル、機密情報のファイル、公開前のファイルが存在することがよくあります。また、必ずと言っていいほど存在する設定ファイル(.htaccess など)も同様です。

この程度と思ったら大間違いです。情報が攻撃者の手に渡ったら、これを手掛かりにして重要な情報にアタックを試みます。これが原因で情報漏えいが発生した事例も過去に存在しています。

過去ニュース等で、顧客情報が流出した事を耳にしていませんか？セキュリティの観点から詳しい手口を言いませんがほぼコレが原因です。

mxihostが提供している初期ドメインが自動で有効になっており、そのドキュメントルートがpublic_htmlになります。何も利用していなければ以下のような感じで「cgi-bin」だけが表示されています。

mixhostで独自ドメインを利用すると、独自ドメインのドキュメントルートがpublic_htmlの下に作成されます。初期ドメインに対して何も設定を行っていない場合に初期ドメインにアクセスすると、追加した独自ドメインが一覧表示されます。

ディレクトリリスティングを無効にする設定があるので変更します。

cPanelにログインします。
詳細＞インデックスをクリックします。

public_htmlディレクトリを選択します。
フォルダの一覧が表示されたら、public_htmlディレクトリの左側のフォルダアイコンをクリックします。

インデックス設定を変更します。
インデックスなしを選択し、保存をクリックします。

設定完了画面が表示されましたら、設定完了です。

設定後に初期ドメインにブラウザでアクセスすると一覧が表示されなくなります。これで完了です。

mixhostは、ほぼ何もしなくても使えます。しかし、ファイル一覧（Index of）だけは設定変更を行ってください。