「.htaccess」とは？書き方とファイルの場所を解説

Webサイトの管理者にとって、「.htaccess」ファイルは多機能な制御ツールです。このファイルを適切に設定することで、サイトの動作を細かく調整し、アクセス制限やURL管理を効率的に行うことができます。しかし、その影響力の大きさゆえに、誤った設定は予期せぬ問題を引き起こす可能性もあります。

本記事では、「.htaccess」ファイルの基本的な機能から、具体的な書き方、設置場所、そして利用時の注意点までを詳しく解説。「.htaccess」ファイルの可能性を最大限に引き出し、サイトの管理効率を向上させるための具体的な方法を学ぶことができます。

「.htaccess」の機能とは？何ができるのか？

「.htaccess」ファイルは、Webサーバーの動作を制御するための強力なツールです。このファイルを正しく構成することで、サイトのセキュリティ強化、スムーズな閲覧など、様々な機能を実現できます。慣れない人にとっては難しく感じるかもしれませんが、サイト運営に役立つ多くの可能性が広がりますので、基本的な機能を理解しておきましょう。

ここでは、「.htaccess」ファイルの主要な機能について、具体例を交えながら詳しく解説していきます。

「.htaccess」は、Apache HTTP Serverで使用される設定ファイルの一つです。「ドットエイチティアクセス」と読み、Webサーバーの動作をディレクトリ単位で制御することができます。このファイルは、サーバー全体の設定を変更する権限がない場合でも、個別のWebサイトやディレクトリの設定を変更できる便利なツールです。

「.htaccess」ファイルは通常、Webサイトのルートディレクトリに配置されますが、下位のディレクトリにも置くことができ、その場合はそのディレクトリとその配下にのみ効果が及びます。ファイル名の先頭にドット(.)がついているため、多くのシステムでは隠しファイルとして扱われます。そのため、FTPソフトなどで確認する際は、隠しファイルを表示する設定にする必要があることも覚えておきましょう。

「.htaccess」のリダイレクト機能を使うと、古いURLにアクセスしてきた訪問者を、自動的に新しいURLへ転送することができます。これにより、サイトの移転や改修の際も、ユーザーを適切なページへ誘導でき、サイト・ページが開けないというトラブルを減らせます。

リダイレクトには主に301（恒久的）と302（一時的）の2種類です。301リダイレクトは、サイトの完全な移転や恒久的なURL変更時に使用します。これによって、検索エンジンに対しても適切に情報を伝えることができ、SEO面でのメリットもあります。一方、302リダイレクトは一時的な変更や、A/Bテストなどの際に使用されます。

BASIC認証は、HTTPプロトコルに組み込まれた最も基本的な認証方式で、「.htaccess」ファイルを使用して設定します。ユーザーがprotected領域にアクセスしようとすると、ブラウザはユーザー名とパスワードの入力を要求し、入力された情報が、サーバー側で設定されたユーザー名とパスワードと照合され、一致した場合のみアクセスが許可されます。

BASIC認証の利点は、設定が比較的簡単で、ほとんどのブラウザで対応していることです。

一方で、パスワードが平文で送信されるため、HTTPS接続と併用しないとセキュリティ上のリスクがあります。

IPアドレスによるアクセス制限は、「.htaccess」ファイルを用いて実現できる重要な機能の一つです。この設定により、特定のIPアドレスからのアクセスを許可または拒否することができます。例えば、会社の管理画面へのアクセスを社内IPアドレスのみに制限したり、開発中のサイトを特定のクライアントだけが閲覧できるようにしたりできます。

また、特定の国や地域からのアクセスを制限したり、悪意のあるIPアドレスをブロックしたりすることも可能です。ただし、この機能を使用する際は、自身のIPアドレスを誤ってブロックしないよう注意が必要です。また、動的IPアドレスを使用している場合は、定期的な設定の見直しが欠かせません。

IPアドレスによるアクセス制限は有効なセキュリティ対策ですが、単独では十分ではありません。他のセキュリティ対策と組み合わせて使用することで、より強固なWebサイトの保護が実現できます。

示される特別なページです。通常、サーバーの標準設定では「Not Found」や「404 Error」といった無機質なメッセージですが、カスタム404ページを設定することで、ユーザーにとってより有益な情報を表示できます。

「.htaccess」ファイルを使用してカスタム404ページを設定する方法は非常に簡単で、以下のような1行のコードを「.htaccess」ファイルに追加するだけで実現できます。

ErrorDocument 404 /404.html

この設定により、404エラーが発生した際に、サーバーのルートディレクトリにある「404.html」というファイルが表示されるようになります。もちろん、このファイル名は任意のものに変更可能です。

カスタム404ページの内容を作成する際は、ユーザビリティを考慮しましょう。例えば、サイトのホームページへのリンク、サイト内検索ツール、人気のあるページへのリンク集などを含めることで、ユーザーが目的のコンテンツを見つけやすくなります。また、ユーモアを交えたメッセージやブランドに沿ったデザインを採用することで、エラーというネガティブ体験に対する印象を和らげる効果も期待できます。

URLの正規化とは、同じ内容のWebページが複数のURLで存在する場合に、一つの代表的なURLに統一する作業です。この作業が必要な理由は、重複コンテンツによるSEO評価の低下を防ぎ、クローラビリティを向上させ、被リンクの分散を避けるためです。

URLの正規化は、「.htaccess」ファイルを使用することで確実かつ簡単に設定することが可能です。wwwの有無、HTTPSとHTTPの違い、index.htmlの有無など、様々なURL形式を一つの正規URLに統一できます。Apacheサーバーで動作し、ディレクトリ単位で設定が可能なため、柔軟性が高く、サイト全体のURL管理を効率的に行えます。

セキュリティが低下するリスクがある

「.htaccess」ファイルは、Webサイトの動作を制御する強力なツールですが、同時にセキュリティリスクも伴います。設定や管理を適切に行わないと、サイトの脆弱性につながる可能性があるため、細心の注意が必要です。

主なリスクとして以下があります。

「.htaccess」の書き方と押さえるべきポイント

「.htaccess」ファイルは、Webサーバーの動作を細かく制御するための強力なツールです。しかし、その力ゆえに適切な書き方を理解し、正しく使用することが大切です。誤った記述や設定は、Webサイトの動作に深刻な影響を与える可能性があります。

ここでは、「.htaccess」ファイルの基本的な書き方と、設定時に押さえるべき重要なポイントについて詳しく解説します。

「.htaccess」ファイルは、通常のテキストエディタを使用して作成することができますが、いくつかのルールを守る必要があります。

まず、ファイル名は必ず「.htaccess」とし、拡張子は付けません。Windowsの場合、ファイル名の先頭にドット(.)を付けると自動的に拡張子が付加されてしまうことがあるので注意が必要です。その場合は、一度「htaccess.txt」のように保存し、後でFTPソフトを使ってアップロードする際にファイル名を変更すると良いでしょう。

ファイルの内容を記述する際は、以下の点に注意します。

例えば、サイト全体をHTTPSにリダイレクトする設定は以下のように記述します。

RewriteEngine OnRewriteCond %{HTTPS} offRewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URL} [L,R=301]

この例では、RewriteEngineをOnにし、HTTPSでない場合（%{HTTPS} off）に、リクエストされたURLをHTTPSバージョンにリダイレクトする設定を行っています。

「.htaccess」ファイルをどこに配置するかによって、その設定が適用される範囲が変わるため、設置場所の選択は慎重に行う必要があります。基本的には、Webサイトのルートディレクトリ（多くの場合「public_html」や「www」などと呼ばれる）に配置します。この位置に設置すると、サイト全体に対して設定が適用されます。

「.htaccess」ファイルは、サブディレクトリにも設置が可能で、その場合はそのディレクトリとその配下のみに設定が適用されます。これにより、サイトの特定の部分だけに異なる設定を適用することができます。

例えば、以下のような構造のサイトがあるとします。

この構造では、ルートディレクトリの「.htaccess」がサイト全体に適用され、imagesディレクトリの「.htaccess」は画像ファイルに対してのみ、adminディレクトリの「.htaccess」は管理画面に対してのみ適用されます。複数の「.htaccess」ファイルが存在する場合、より下位のディレクトリにある「.htaccess」の設定が優先されます。ただし、上位の「.htaccess」の設定も完全に無視されるわけではなく、競合しない設定は両方が適用されます。

この特性を上手く利用することで、サイトの特定の部分だけにセキュリティを強化したり、特別なリダイレクトルールを適用したりすることが可能です。ただし、多数の「.htaccess」ファイルを使用すると管理が複雑になる可能性があるため、可能な限りシンプルな構造を保つことをおすすめします。

「.htaccess」ファイルの作成または編集が完了したら、次はそのファイルをサーバーにアップロードします。アップロードには通常、FTP（File Transfer Protocol）ソフトを使用します。FTPソフトは、ローカルコンピュータとWebサーバー間でファイルを転送するためのツールです。

アップロードの手順は以下の通りです。

既存の「.htaccess」ファイルがある場合は、上書きする前に必ずバックアップを取っておきましょう。また、アップロード後は必ずWebサイトが正常に動作することを確認してください。「.htaccess」ファイルの設定は、サーバーの設定によっては変更が反映されるまでに数分から数十分かかることがあるため、設定後しばらく待ってから動作確認を行います。

また、「.htaccess」ファイルは非常に強力な設定ファイルであるため、誤った設定によってサイト全体がアクセス不能になる可能性もあります。そのため、設定変更後は必ず複数のページでアクセスチェックを行い、問題がないことを確認しましょう。

リダイレクトは「.htaccess」の主要な機能の一つで、ユーザーやクローラーを自動的に別のURLに転送する際に使用されます。リダイレクトには主に301（恒久的）と302（一時的）の2種類があり、用途に応じて選択します。

以下に、よく使用されるリダイレクトのサンプルコードを紹介します。

1.サイト全体を新しいドメインにリダイレクトする場合

Redirect permanent / https://新しいドメイン.com/

2.特定のページを別のページにリダイレクトする場合：

RewriteEngine onRewriteRule ^古いページ.html$ https://example.com/新しいページ.html [R=301,L]

3.ディレクトリ内のすべてのページをリダイレクトする場合：

RewriteEngine onRewriteRule ^古いディレクトリ/(.*)$ https://example.com/新しいディレクトリ/$1 [R=301,L]

4.wwwありのURLをwwwなしにリダイレクトする場合：

RewriteEngine onRewriteCond %{HTTP_HOST} ^www \ .(.*)$ [NC]RewriteRule ^(.*)$ https://%1/$1 [R=301,L]

これらのサンプルコードは、実際の使用時には自身のサイト構造や要件に合わせて適切に調整する必要があります。また、リダイレクトを設定する前に必ずバックアップを取り、設定後は慎重にテストを行うことを忘れないでください。

BASIC認証は、Webサイトやその一部に簡単なパスワード保護を設定する方法です。

「.htaccess」ファイルを使用してBASIC認証を設定することで、特定のユーザーのみがアクセスできる領域を作ることができます。開発中のサイトや、メンバー限定のコンテンツを提供する際に特に有用です。

BASIC認証を設定するには、「.htaccess」ファイルに以下のような記述を追加します。

AuthType BasicAuthName “認証時に表示されるメッセージ”AuthUserFile /パス/.htpasswdrequire valid-user

この設定では、AuthTypeでBASIC認証を指定し、AuthNameで認証時に表示されるメッセージを設定します。AuthUserFileは、ユーザー名とパスワードを記録した「.htpasswd」ファイルの場所を指定します。equire valid-userは、有効なユーザーのみアクセスを許可することを意味します。

BASIC認証を設定するには、「.htaccess」ファイルのほかに、「.htpasswd」ファイルも必要です。「.htpasswd」には、アクセスを許可するユーザー名とパスワードをハッシュ値で記入します。ハッシュ値とは、データを固定長の文字列に変換したものです。一般的には、専用のツールや、オンラインの「.htpasswd」ジェネレーターを使用するのが一般的です。

「.htpasswd」ファイルは以下のように記載します。

user:$apr1$q2j3b4k5$dj7RTgfPPpL5HolWMKVXT/

ただし、BASIC認証はセキュリティレベルが高くないため、重要な情報を保護する場合は、より強力な認証方法を検討する必要があります。

「.htaccess」ファイルを使用してIP制限を設定することで、特定のIPアドレスからのアクセスのみを許可したり、逆に特定のIPアドレスからのアクセスを拒否したりすることができます。この機能は、サイトのセキュリティを強化したり、特定の地域からのアクセスを制御したりする際に非常に有用です。

IP制限を設定するための基本的な書き方は以下の通りです。

1.特定のIPアドレスからのアクセスのみを許可する場合：

order deny,allowdeny from allallow from 123.456.789.0

この例では、すべてのIPアドレスからのアクセスを拒否した上で、特定のIPアドレス（123.456.789.0）からのアクセスのみを許可しています。

2. 特定のIPアドレスからのアクセスを拒否する場合：

order allow,denyallow from alldeny from 123.456.789.0

この設定では、すべてのアクセスを許可した上で、特定のIPアドレス（123.456.789.0）からのアクセスのみを拒否しています。

複数のIPアドレスを指定する場合は、allow fromまたはdeny fromの行を複数記述します。また、下記のように、IPアドレスを範囲で指定することも可能です。

allow from 123.456.789.0/24

この例では、123.456.789.0から123.456.789.255までの範囲のIPアドレスからのアクセスを許可しています。

IP制限を設定する際は、自身のIPアドレスを誤って拒否してしまわないよう注意が必要です。また、動的IPアドレスを使用している場合は、IPアドレスが変更される可能性があることを考慮に入れる必要があります。設定後は必ず動作確認を行い、意図した通りにアクセス制御が機能しているか確認しましょう。

WordPressで「.htaccess」を利用する際の留意点

WordPressでWebサイトを運営する場合、WordPressの様々な機能や設定が「.htaccess」ファイルに依存しているため、このファイルを適切に管理することがサイトの安定運用には欠かせません。しかし、「.htaccess」ファイルの取り扱いには注意が必要です。不適切な編集や設定ミスは、サイトの機能停止やセキュリティリスクにつながる可能性があります。

ここでは、WordPressで「.htaccess」を利用する際の重要な留意点について解説します。

WordPressサイトにおける「.htaccess」ファイルの標準的な配置場所は、WordPressがインストールされているルートディレクトリです。通常、「wp-config.php」ファイルや「wp-content」フォルダなどと同じ階層に配置されます。

この場所に配置することで、「.htaccess」ファイルの設定がWordPressサイト全体に適用されます。ただし、サブディレクトリにWordPressをインストールしている場合は、そのサブディレクトリに「.htaccess」ファイルが配置されます。

例えば、「blog」というサブディレクトリにWordPressをインストールした場合、「.htaccess」ファイルの場所は以下のようになります。

WordPressの管理画面でパーマリンク設定を変更すると、「.htaccess」ファイルが自動的に更新されます。しかし、サーバーの設定によっては、WordPressが「.htaccess」ファイルを直接編集できない場合もあります。その場合は、手動で「.htaccess」ファイルを編集する必要があります。

WordPressサイトを運営していると、「.htaccess」ファイルが見つからないことがあります。特に、新しくWordPressをインストールした直後や、サーバーの設定によって発生します。

「.htaccess」ファイルがない場合、パーマリンクが正常に機能しなかったり、カスタム設定が反映されなかったりする可能性があります。

「.htaccess」ファイルは、ファイル名の先頭にドット(.)がついているため、多くのシステムでは隠しファイルとして扱われます。FTPクライアントやファイルマネージャーの設定によっては、デフォルトで隠しファイルが表示されない場合があります。

【対処法】

これらの設定を変更することで、「.htaccess」ファイルが表示される可能性があります。

新規インストール直後や、何らかの理由で「.htaccess」ファイルが削除された場合、ファイルそのものが存在しないことがあります。

【対処法】

この操作により、WordPressは必要な「.htaccess」ファイルを自動的に生成します。ただし、サーバーの設定によっては、WordPressが「.htaccess」ファイルを作成できない場合もあります。その場合は、手動で「.htaccess」ファイルを作成し、適切な内容を記述する必要があります。

基本的な「.htaccess」の内容は以下のようになります。

# BEGIN WordPress<IfModule mod_rewrite.c>RewriteEngine OnRewriteBase /RewriteRule ^index \ .php$ – [L]RewriteCond %{REQUEST_FILENAME} !-fRewriteCond %{REQUEST_FILENAME} !-dRewriteRule . /index.php [L]</IfModule># END WordPress

この内容をテキストエディタで作成し、ファイル名を「.htaccess」として保存し、適切な場所にアップロードします。

まとめ

「.htaccess」ファイルは、Webサイトの管理者にとって強力なツールです。適切に設定することで、サイトのセキュリティを向上させ、SEO対策にも貢献します。URL正規化やリダイレクト、アクセス制限など、多様な機能を活用できるため、サイト運営の効率化に大きく役立ちます。ただし、設定ミスによるリスクも存在するため、慎重に取り扱う必要があります。

自力での設定に限界を感じたら、DYMのサイト制作・運用サービスにご相談ください。

「.htaccess」ファイルの設定はもちろん、Webサイトに関する全般をサポートしています。

DYMの「WEBサイト制作・運用」サービスページはこちら