WordPressウェブサイトにアップロードされたすべてのメディアファイルは、wp-content/uploadsフォルダに保存されます。最初のロゴから昨日の商品写真まで、この単一のディレクトリにWordPressサイトのすべてのメディア履歴が保存されます。.
しかし、ほとんどのサイト所有者は、何かが壊れるまでWordPressのコンテンツアップロードフォルダについて考えることはめったにありません。.
このガイドでは、アップロードフォルダの中身、安全なアクセス方法、 速度を最適化する、そして攻撃から保護する方法など、すべてを詳しく解説します。
要約:WordPressのwp-content/uploadsフォルダ
- wp-content/uploadsフォルダには、画像、PDF、動画、プラグインによって生成されたアセットなど、WordPressサイト上のすべてのメディアファイルが保存されます。.
- アップロードフォルダの管理が不十分だと、 サイトの速度が低下したり、バックアップサイズが増大したり、潜在的なセキュリティリスクが発生したりする可能性があります。
- ディレクトリには755、ファイルには644といった適切なファイル権限を設定し、PHPの実行をブロックすることが、このフォルダを保護するための最も重要な手順です。.
- 管理したい内容に応じて、WordPressのメディアライブラリ、ホスティングサービスのファイルマネージャー、またはSFTP経由でアップロードファイルにアクセスできます。.
- このフォルダを戦略的な資産として扱うことで、 WordPressサイトを構築 より高速で、より安全で、よりメンテナンスしやすい
WP-Content/Uploadsフォルダとは何ですか?
wp-content/uploadsフォルダは、wp-contentフォルダ内のサブディレクトリです。.
ここは、WordPressがダッシュボードからアップロードしたすべてのメディア(画像、PDF、動画、ZIPファイル、プラグインによって生成されたアセットなど)を保存する場所です。.
wp-adminやwp-includesにあるWordPressのコアファイルとは異なり、wp-contentディレクトリはサイト独自のレイヤーです。ここには、 WordPressのインストールを 独自のものにするすべての要素が含まれています。
wp-contentフォルダは、コード(プラグインとテーマ)、設定(mu-plugins)、コンテンツ(アップロード)という3つの異なる領域として考えてください。
アップロードフォルダは、通常の公開ワークフローの一環として毎日変更される唯一のディレクトリであり、だからこそ独自の管理戦略が必要なのです。.
wp-content の内容を簡単に説明します。
| フォルダ | 内容物 |
| プラグイン/ | アクティブおよび非アクティブなプラグインコード |
| テーマ/ | アクティブおよび非アクティブなテーマファイル |
| アップロード/ | アップロードされたすべてのメディアファイルとプラグインによって生成されたアセット |
| mu-plugins/ | 必須プラグイン(設定されている場合) |
| キャッシュ/ | キャッシュプラグインによって作成されました |
ほとんどのcPanelホスティングアカウントでは、メディアファイルへの完全なパスは次のようになります。/public_html/wp-content/uploads/2026/03/hero-image.webp
WordPressはデータベースにファイルパスの参照情報のみを保存します。実際のファイルはuploadsフォルダに保存されます。これは重要な違いです。このフォルダ内のファイルを直接削除すると、WordPressウェブサイト上のすべての投稿とページで画像が正しく表示されなくなります。.
代理店が重視する理由: デザイン変更、移行、または継続的なメンテナンスを行うチームにとって、アップロードフォルダは最初に監査すべき場所です。そこには、 ブランド資産、製品カタログ、および長年にわたるキャンペーン資料が保管されており、これらを正しく保存および移行する必要があります。
WP-Content/Uploadsフォルダの中身は何ですか?
WPコンテンツアップロードフォルダは、WordPressがサイトにアップロードされた画像、PDF、動画、プラグインによって生成されたアセットなど、すべてのメディアファイルを保存する場所です。.
このアップロードディレクトリの中身を把握することで、WordPressサイトの構造を損なうことなく、ファイル権限、セキュリティ、バックアップを管理できます。.
年と月のサブフォルダ
WordPressはデフォルトで、すべてのメディアファイルを時系列順に整理します。アップロードされたファイルはすべて、アップロード日に基づいてフォルダ(/wp-content/uploads/YYYY/MM/)に配置されます。例えば、2026年3月にアップロードされた画像は、/wp-content/uploads/2026/03/にあるuploadsフォルダに保存されます。.
この構造により、ルートディレクトリに数万ものファイルが蓄積されるのを防ぎ、バックアップやファイル操作の速度低下を回避できます。設定>メディアで無効にすることもできますが、有効にしておくことを強くお勧めします。.
、これらのフォルダの名前を手動で変更したり移動したりしないでください 。そうすると、WordPressサイト全体の画像が破損します。メディアパスを再編成する際は、検索置換ツールまたはWP-CLIを使用してください。
画像サムネイルと複数サイズ
WordPressサイトに画像をアップロードすると、WordPressは自動的に複数のサイズ変更版を作成します。1回のアップロードで5つ以上のファイルが生成される場合があります。
| オリジナルファイル | 生成された派生商品 |
| hero.jpg | hero-150×150.jpg、hero-300×300.jpg、hero-768×432.jpg、hero-1200×675.jpg |
テーマや ページビルダーを 長年にわたって
文書、音声、および動画ファイル
アップロードディレクトリに一般的に保存される画像以外のアセットには、PDFファイル、Word文書、ダウンロード用のzipファイル、MP3オーディオファイル、MP4ビデオファイルなどがあります。WordPressはこれらのファイルを派生ファイルを作成せずにそのまま保存します。.
など、動画や音声コンテンツが多いWordPressサイトの場合は LMSプラットフォーム、大きなファイルをコンテンツアップロードフォルダに保存するのではなく、専用サービスにオフロードすることを検討してください。ウェブサーバーのパフォーマンスが向上します。
プラグインによって生成されたサブフォルダ
多くのプラグインは、独自のアセットを格納するために、wp-content/uploadsフォルダ内に独自のサブディレクトリを作成します。
| プラグインの種類 | 標準的なフォルダー |
| ページビルダー(例:Elementor) | /uploads/elementor/ |
| フォームプラグイン(例:Gravity Forms) | /uploads/gravity_forms/ |
| お問い合わせフォーム7 | /uploads/wpcf7_uploads/ |
| ウーコマース | /uploads/woocommerce_uploads/ |
| キャッシュプラグイン | /uploads/cache/ |
プロからのアドバイス: プラグインフォルダをむやみに削除しないでください。間違ったディレクトリを削除すると、フォーム、ギャラリー、キャッシュされたページが破損する可能性があります。一括削除を行う前に、必ず完全なバックアップを作成してください。
アップロードフォルダに安全にアクセスする方法は?
wp-content/uploadsフォルダを管理するには、主に3つの方法があります。最適な方法は、あなたの立場や目的によって異なります。.
WordPressメディアライブラリ(日常的な使用に最適)
定期的なアップロードを行うコンテンツチームにとって、 WordPressメディアライブラリは 最も簡単で安全な選択肢です。サーバーに直接アクセスすることなく、ファイルのアップロード、代替テキストの追加、タイトルの変更、基本的な画像トリミングを行うことができます。
WordPressメディアライブラリは、一括操作やサーバーレベルのクリーンアップには適していませんが、 SEOのベストプラクティス。
ホスティングコントロールパネルまたはcPanelファイルマネージャー(中程度の作業に適しています)
内にファイルマネージャーを提供しています コントロールパネル。アップロードフォルダにアクセスするには、ウェブホスティングアカウントにログインし、ホスティングプロバイダーのファイルマネージャーを開いて、/public_html/wp-content/uploads/ に移動してください。
この方法は、ファイル権限の迅速な修正、手動によるファイル管理、または中規模の一括操作に適しています。ただし、誤って削除した場合、即座に元に戻すことはできないため、必ず事前にバックアップを作成してください。.
SFTPクライアント(代理店や開発者に最適)
使用すると、Webサーバーのファイルシステムに暗号化された状態で直接アクセスできます。FileZillaなどの を や Cyberduck 接続を処理します。
通常の FTP、 SFTPは ファイル転送プロトコルのやり取り中にすべての認証情報とデータを暗号化します。
SFTPは、大量のファイルのアップロード、スクリプトによるクリーンアップ操作、ステージング環境と本番環境間でのWordPressファイルの同期に最適です。しかし、誤用すると深刻な損害を引き起こす可能性もあるため、中級レベルの技術知識を持つユーザーのみが使用するようにしてください。.
WordPress管理パネルのファイルマネージャープラグインに関する注意点: WordPress管理パネル内でファイルシステムを公開するプラグインは、簡単な編集には便利ですが、攻撃対象領域を拡大することになります。使用する場合は、管理者のみにアクセス権限を制限し、一度限りの作業が終わったら削除してリスクを軽減してください。
アップロードフォルダはサイトの速度にどのように影響しますか?
wp-content/uploadsフォルダが肥大化すると、ディスク容量の増加、 バックアップ 時間の延長、ページ読み込み速度の低下など、連鎖的な問題が発生します。
2015年から2020年以降に運用されているWordPressサイトには、廃止されたテーマや放棄されたプラグインから引き継がれた、数百もの未使用の画像サイズがアップロードディレクトリに残っていることがよくあります。.
アップロード前に:成功のための準備を整えましょう
簡単なアップロード前チェックリストがあれば、後々の時間とストレージ容量を節約できます。
- 画像を現実的な最大寸法にリサイズしてください(ヒーロー画像の場合は幅2,000ピクセル、コンテンツ内の画像の場合は800~1,200ピクセル)。.
- テーマやブラウザが対応している場合は、WebPやAVIFなどの最新フォーマットを使用してください。.
- ファイル名は、product-red-sneakers-front-2026.webp のように、一貫性があり、内容を的確に表すものを使用してください。.
メディアライブラリに既に保存されている画像を最適化する
WordPressのメディアライブラリに既にアップロードされているメディアファイルについては、 Imagify や ShortPixel 使用すると、画質を損なうことなく既存のコンテンツを一括圧縮できます。
| サイト年齢 | 最適化後の典型的なストレージ容量削減効果 |
| 2~3歳 | 200~500MB |
| 5歳以上 | 500MB~2GB以上 |
大容量メディアファイルのオフロード
長尺動画ファイルをアップロードフォルダに直接保存するのはお勧めできません。ウェブサーバーの帯域幅を浪費し、バックアップ容量を増大させ、トラフィック急増時にパフォーマンスを低下させる原因となります。.
より良いアプローチ:
- 動画:YouTube、Vimeo、またはWistiaの埋め込みプレーヤー。
- 音声とポッドキャストのような専用ホスト Transistor や Buzzsprout。
- 大容量ダウンロード:CDN配信に対応したS3互換オブジェクトストレージ。
CDNを利用してグローバル配信を高速化する
コンテンツ配信ネットワーク(CDN)は、wp-content/uploadsフォルダ内の静的アセットを世界中のサーバーにキャッシュすることで、海外からの訪問者のレイテンシを低減し、オリジンサーバーの負荷を軽減します。.
正しく設定すれば、CDNは年と月のフォルダ構造とスムーズに統合されるため、ファイルを再編成する必要はありません。.
WP-Content/Uploadsフォルダを保護するためのヒント
wp-content/uploadsフォルダは、Webサーバーが新しいメディアファイルを受け入れることができるように、書き込み可能な状態にしておく必要があります。しかし、この要件が同時に、このフォルダを攻撃の標的にする要因にもなっています。主なリスクは画像そのものではなく、PHPファイルとしてアップロードされ、uploadsディレクトリから実行される悪意のあるコードです。.
現実世界のリスク: 2019年から運営されているWooCommerceストアは、47,000個ものファイルを蓄積していましたが、 セキュリティ強化策を講じて。その結果、アップロードディレクトリは12GBにも達し、バックアップのタイムアウトが発生し、最終的にはwp-content/uploadsフォルダ内に隠された保護されていないPHPファイルを通じてマルウェアに感染してしまいました。
ファイルとフォルダのアクセス許可を正しく設定する
ファイル権限の誤りは、WordPressのインストール環境におけるアップロードの失敗とセキュリティ脆弱性の最も一般的な原因の一つです。WordPressの標準的なLinuxフォルダ権限は次のようになります。
| タイプ | 許可 | それはどういう意味か |
| ディレクトリ | 755 | 所有者は読み取り、書き込み、実行が可能で、他のユーザーは読み取りと実行が可能です。. |
| ファイル | 644 | 所有者は読み取り、書き込み、実行が可能であり、他のユーザーは読み取りと実行が可能である。. |
ホスティングプロバイダのファイルマネージャ、またはSFTP経由でchmodコマンドを使用して、ファイルのアクセス許可を確認し、必要に応じて修正してください。サーバーレベルで所有権をリセットする必要がある場合は、ホスティングプロバイダのサポートチームにお問い合わせください。.
アップロードフォルダ内でのPHP実行を無効にする
これは、セキュリティ強化において最も重要なステップです。PHPの実行を無効にすることで、たとえ悪意のあるPHPファイルがWordPressのコンテンツアップロードフォルダにアップロードされたとしても、実行されず、したがって損害を与えることはありません。.
Apacheサーバーでは、/wp-content/uploads/ 内に.htaccessファイルを作成し、PHPの実行をブロックするために以下のコードを追加してください。
<Files *.php>すべてを拒否する</Files>NginxまたはLiteSpeedサーバーでは、PHPの実行を無効にするための同等のルールがサーバーレベルで設定されます。 ホスティングプロバイダーが この設定をサポートします。この手順により、攻撃者が悪意のあるスクリプトをWordPressサイトへのバックドアとして利用することを防ぐことができます。
許可されるファイルの種類を制限する
WordPressはデフォルトで危険なファイルタイプを制限していますが、プラグインやカスタムコードによってこれらのルールが緩和される可能性があります。ホワイトリスト方式を採用し、WordPressウェブサイトで本当に必要なファイルタイプのみを明示的に許可するようにしてください。.
のような専用ツールを使用してください Safe SVG 。
WordPress、テーマ、プラグインを最新の状態に保つ
ほとんどの攻撃は、WordPressのコアファイルではなく、古いプラグインの脆弱なアップロードハンドラーを悪用しています。定期的にパッチを適用してください。トラフィックの少ないサイトであれば、月1回の更新で十分です。ミッションクリティカルなサイトの場合は、毎週更新を確認してください。.
使用していないプラグインは、 無効化するだけでなく完全に削除してください。アップロードディレクトリとやり取りする非アクティブなプラグインはすべて、セキュリティプラグインだけでは完全に保護できない潜在的な攻撃対象となります。
高度な管理とカスタマイズ
高度な管理機能とカスタマイズ機能により、WordPressにおけるアップロードフォルダの動作を完全に制御できます。ファイルの効率的な構造化から、セキュリティルールの適用、パフォーマンスの最適化まで、これらの機能は拡張性と整理されたメディアシステムの維持に役立ちます。.
デフォルトのアップロード場所を変更する
WordPress のアップロードファイルの保存場所は、wp-config.php ファイル内の定数を編集することで変更できます。例えば、ルートフォルダを /wp-content/uploads/ から /wp-content/media/ に移動することができます。.
既存のWordPressインストール環境でコンテンツアップロードフォルダを移動するには、すべてのWordPressファイルを物理的に移動し、検索置換ツールまたはWP-CLIを使用してすべてのデータベース参照を更新する必要があります。.
WordPressが新しい場所に新しいファイルをアップロードするには、親ディレクトリの書き込み権限も確認する必要があります。本番環境に ステージング環境 でフルバックアップを作成してテストしてください。
不要になったメディアのクリーニングと除去
WordPressサイトでは、時間の経過とともに、削除された投稿の画像、古いテーマのサムネイル、使用されなくなったプラグインフォルダ、残されたフォーム添付ファイルなど、使用されなくなったファイルがuploadsディレクトリに蓄積されます。.
のようなプラグインを使えば Media Cleaner 、接続されていないメディアを安全に識別して警告表示できます。必ずフルバックアップを取り、ファイルを完全に削除する前に、ファイルマネージャーやSFTPを使って削除される内容を確認してください。
クラウドストレージとCDNの統合
非常に大規模なWordPressサイトの場合、すべてのメディアファイルをクラウドオブジェクトストレージ(Amazon S3や互換性のあるサービスなど)に保存し、CDN経由で配信することで、水平方向の拡張性、Webサーバーの負荷軽減、およびグローバル配信の簡素化を実現できます。.
WordPressプラグインは、 データベース内の論理パスを維持しながら、メディアURLをリモートストレージを指すように書き換えます。
WordPressのWP-Content/Uploadエラーのトラブルシューティング
WordPressのアップロードエラーは、作業の流れを妨げ、サイトへのメディアの追加を妨げる可能性があります。ファイル形式の制限、サイズ制限、権限の問題など、一般的な原因を理解することで、コンテンツに影響を与えることなく問題を迅速に特定し、解決することができます。.
「申し訳ありませんが、このファイル形式は許可されていません。」
このメッセージは、WordPressがデフォルト設定またはセキュリティプラグインによって特定のファイルタイプをブロックしていることを意味します。以下の手順でトラブルシューティングを開始できます。
- WordPressダッシュボードでメディア設定を確認してください。.
- 有効なセキュリティプラグインのファイルタイプ制限を確認してください。.
- 大きなファイルの場合は、PHPの制限値(php.iniのupload_max_filesizeとpost_max_size)を確認してください。.
- ホスティングアカウントを通じてサーバーレベルのPHP制限を調整する必要がある場合は、ホスティングプロバイダーにお問い合わせください。.
すべてのファイルタイプを広範にホワイトリスト化することは避けてください。WordPressウェブサイトが本当に必要とするものだけを承認するようにしてください。そうしないと、正規のアップロードを装った悪意のあるスクリプトを許可してしまうリスクがあります。.
サイトの移動または複製後に画像が破損する
際 WordPressのインストールを開発用URL(例:dev.example.com)から本番環境(example.com)に移行する 、ハードコードされた画像URLが古いドメインを指したままになることがあります。
検索置換ツールまたはWP-CLIを使用して、HTTPからHTTPSへのプロトコル変更を含め、すべてのWordPressファイルとデータベース参照を更新してください。.
移行が完了したら、複数の投稿やページにわたってランダムに画像URLを抜き取り、移行が完了していることを確認してください。.
「ディレクトリを作成できません」権限エラー
このエラーは、WordPressがコンテンツアップロードフォルダに書き込めないことを意味します。原因としては、ファイル権限の誤り、またはサーバーの所有権の誤りが考えられます。解決方法:
- /wp-content/uploads が存在し、フォルダのパーミッションが 755 であることを確認してください。.
- 親ディレクトリの書き込み権限で、Webサーバーが新しいサブフォルダを作成できることを確認してください。.
- サーバーの所有権(chown)をリセットする必要がある場合は、ホスティングプロバイダーのサポートにお問い合わせください。.
新しい画像をアップロードして、正しい年/月のフォルダに表示されることを確認することで、修正が機能しているかどうかをテストしてください。エラーなくファイルを編集したり追加したりできる場合は、アクセス権限が正しく設定されています。.
まとめ
WordPressのコンテンツアップロードフォルダには、商品画像、ブランドアセット、キャンペーン資料、ユーザー向けドキュメントなど、WordPressサイトの画像やダウンロード可能な履歴が保存されています。テーマ、プラグイン、データベースと同様に、戦略的に管理すべき重要なフォルダです。.
きちんと整理しましょう。適切なファイル権限を設定しましょう。PHPの実行を無効にしましょう。メディアファイルを定期的に最適化しましょう。.
コンテンツアップロードフォルダを単なるゴミ捨て場ではなく、管理された資産として扱うと、WordPressウェブサイト上でページの読み込み速度の向上、バックアップサイズの縮小、スムーズな移行、セキュリティインシデントの減少など、あらゆる面でメリットが現れます。.
そのライフサイクルの設計と運用に関してサポートが必要な場合は、 シーホーク・メディアが 喜んでパートナーとしてお手伝いいたします。
WP-Content/Uploadsフォルダに関するよくある質問
アップロードフォルダへのパスを非表示にするのは安全ですか?
それだけでは不十分です。サイトのセキュリティは確保されません。権限設定やアップデートなど、適切なセキュリティ対策と組み合わせて使用してください。.
メディアのことだけを気にしている場合、何をバックアップすれば良いでしょうか?
アップロードフォルダとデータベースの両方をバックアップしてください。ファイルだけでは不十分で、参照情報も必要です。.
アップロードディレクトリにとって、どのくらいの容量が大きすぎるのでしょうか?
サイトによって異なります。新しいコンテンツがないのに急激にサイズが増加する場合は、未使用のファイルや何らかの問題が発生している可能性があります。.
FTP経由でアップロードしたファイルがメディアライブラリに表示されないのはなぜですか?
WordPressデータベースに登録されていないため、メディア同期プラグインを使用してスキャンし、追加してください。.
wp-content/uploadsフォルダ全体を削除して、最初からやり直してもいいですか?
ほぼ絶対に避けてください。WordPressサイト全体の画像やダウンロードがすべて壊れてしまいます。ファイルを削除する際は、必ず選択的に削除し、必ず事前にバックアップを取ってください。.
