Nous avons vu de nombreux sites qui ne désactivent pas la navigation dans les répertoires. Malheureusement, cette minuscule erreur peut exposer des informations sensibles à des pirates informatiques et peut nuire à un site.
La consultation de répertoires permet à d’autres personnes de voir les fichiers et dossiers de votre site. Les pirates peuvent alors utiliser ces informations pour trouver des vulnérabilités dans les extensions, les thèmes ou votre serveur d’hébergement.
Cette simple étape peut améliorer considérablement la sécurité de votre site. Il s’agit d’une correction rapide que tout propriétaire de site devrait connaître.
Dans ce guide, nous allons vous afficher comment désactiver la navigation dans les répertoires sur WordPress. Cela vous aidera à protéger votre site et à garder vos données en sécurité.
Quel est l’effet de la désactivation de la navigation dans les répertoires sur WordPress ?
Lorsqu’un internaute accède à un site web, le serveur web traite sa demande. En règle générale, le serveur envoie un fichier d’index, tel que index.html, au navigateur.
Si un fichier d’index est manquant, le serveur peut afficher une liste de tous les fichiers et dossiers de ce répertoire. Ce comportement, connu sous le nom de navigation dans les répertoires, est généralement activé par défaut sur les serveurs hébergeurs.
Nous avons vu de première main comment la navigation dans les répertoires peut exposer des informations sensibles sur la structure d’un site. Ces informations pourraient être utilisées pour identifier des vulnérabilités dans les extensions, les thèmes ou même les configurations d’hébergeurs.
Les internautes peuvent être confrontés à la navigation dans les répertoires lorsqu’ils voient une simple liste de fichiers et de dossiers au lieu d’une page web. Cet accès involontaire peut prospecter des risques de sécurité s’il n’est pas pris en compte.
Les pirates exploitent souvent la navigation dans les répertoires pour voir les fichiers d’un site, y compris les thèmes et les extensions. Si l’un d’entre eux présente des vulnérabilités connues, les attaquants peuvent utiliser ces informations pour compromettre le site.
Dans de nombreux cas, la navigation dans les répertoires peut également exposer des contenus privés ou payants, tels que des téléchargements de livres électroniques ou des cours en ligne. Cela peut prospecter des copies non autorisées et entraîner des pertes de revenus.
La désactivation de la navigation dans les répertoires est un moyen simple mais efficace de prévenir ces risques. C’est l’une des premières étapes par étapes que nous recommandons pour sécuriser un site WordPress.
Comment vérifier si la navigation dans les répertoires est activée dans WordPress
Un moyen facile de vérifier si la navigation dans les répertoires est activée sur votre site WordPress est de visiter directement le dossier /wp-includes/.
Par exemple, il suffit de saisir une URL comme celle-ci : https://example.com/wp-includes/ dans votre navigateur.
Confirmez donc que vous remplacez exemple.com par le nom de domaine de votre site. Ce test simple fonctionne dans la plupart des programmes d’installation de WordPress.
Si vous voyez un message 403 Forbidden ou une erreur similaire, c’est que la navigation dans les répertoires est déjà désactivée. C’est un bon signe, car cela signifie que votre site est plus sûr.
Si une liste de fichiers et de dossiers apparaît à la place, cela signifie que la navigation dans les répertoires est activée.
Les sites sont donc vulnérables aux attaques malveillantes.
D’après notre expérience, l’activation de la navigation dans les répertoires expose des informations sensibles et augmente les risques de sécurité. Pour cette raison, il est préférable de désactiver la navigation dans les répertoires dans WordPress afin de préserver la sécurité de votre site.
Comment désactiver la navigation dans les répertoires sur WordPress
Pour désactiver l’inscription au répertoire, vous devez ajouter du code au fichier .htaccess de votre site.
Pour accéder au fichier, vous aurez besoin d’un client FTP, ou vous pouvez utiliser l’application de gestion de fichiers dans le panneau de contrôle de votre hébergeur WordPress.
Si c’est la première fois que vous utilisez le protocole FTP, vous pouvez consulter notre guide complet sur la façon de se connecter à votre site à l’aide du protocole FTP.
Après vous être connecté à votre site, ouvrez simplement le dossier public de votre site et trouvez le fichier .htaccess. Vous pouvez ensuite modifier le fichier .htaccess en le téléchargeant sur votre ordinateur, puis en l’ouvrant dans un éditeur/éditrices de texte tel que le Bloc-notes.
Tout en bas du fichier, il suffit d’ajouter le code suivant :
Options -Indexes
Il se présentera comme suit :
Une fois que vous avez terminé, enregistrez votre fichier .htaccess et téléversez-le sur votre serveur à l’aide d’un client FTP.
Voilà, c’est fait. Maintenant, si vous visitez la même URL http://example.com/wp-includes/, vous obtiendrez un message 403 Forbidden ou un message similaire.
Astuce d’expert : Si vous soupçonnez que votre site WordPress a été piraté, alors consultez notre guide pour corriger un site WordPress piraté. Sinon, vous choisissez notre service professionnel de réparation de site WordPress piraté et vous engagez des experts professionnels en sécurité WordPress pour nettoyer votre site immédiatement.
Lecture complémentaire :
Vous souhaitez que votre site WordPress soit sécurisé et exempt d’erreurs ? Vous trouverez peut-être les articles suivants utiles :
- Guide du débutant sur la structure des fichiers et des répertoires de WordPress
- Les erreurs les plus courantes de WordPress et comment les corriger
- Comment corriger l’erreur de droits sur les fichiers et les dossiers dans WordPress ?
- Comment protéger par mot de passe votre répertoire d’administration WordPress (wp-admin)
Nous espérons que cet article vous a aidé à apprendre comment désactiver la navigation dans les répertoires sur WordPress. Vous pouvez également consulter notre guide ultime de sécurité WordPress ou voir notre choix d’experts des meilleures extensions de sécurité WordPress.
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Jiří Vaněk
Thanks for the advice. On directory browsing, or that I have it enabled, the AIO SEO plugin keeps warning me. I have currently solved the problem by making the folders have an index file that is empty. Is it possible to take this as one of the possible solutions?
WPBeginner Support
You can try that method but we would still recommend the htaccess method from our guide.
Admin
Jiří Vaněk
Thanks for the advice, I finally used the Options -Indexes method now and AIO SEO already reports the problem as solved. Thanks again.
Ka Khaliq
After editing the htaccess file as per the provided guidelines, I do see 403 Forbidden message for /wp-includes/. But I’m unable to see edit any post. Upon editing a post, I see the same 403 Forbidden message. How to solve this?
WPBeginner Support
There may be an issue with your file permissions, we would recommend taking a look at our guide below for fixing your permissions:
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Admin
Ka Khaliq
The issue resolved after clearing the web history/cache.
Thanks for your time.
Dina D
Thank you so much! Clear, concise, and easy to follow. Thank you so much!
WPBeginner Support
You’re welcome!
Admin
Rabee Khan
Thank You… precise and easy to understand!
WPBeginner Support
Glad our guide was helpful!
Admin
Kimmy
Thanks for the two-word solution! Lol. Worked perfectly!
WPBeginner Support
Glad we could help!
Admin
Seashell
I was shocked to see the folders accessible right in the browser.
Thanks for your solution!
WPBeginner Support
Glad we could help!
Admin