Volete disabilitare la navigazione nelle directory in WordPress?
La navigazione nelle directory può mettere a rischio il vostro sito mostrando informazioni importanti agli hacker, che possono sfruttarne le vulnerabilità nei plugin, nei temi o persino nel vostro host server.
In questo articolo vi mostreremo come disabilitare la navigazione nelle directory in WordPress.
Cosa comporta la disabilitazione della navigazione nelle directory in WordPress?
Ogni volta che qualcuno visita il vostro sito web, il vostro server web elabora la richiesta.
Di solito, il server consegna al browser del visitatore un file di indice, come index.html. Tuttavia, se il server non riesce a trovare un file di indice, può mostrare tutti i file e le cartelle della directory richiesta.
Si tratta della cosiddetta navigazione nelle directory, spesso abilitata in modo predefinito sul server ospitato.
Se avete mai visitato un sito e avete visto un elenco di file e cartelle invece di una pagina web, avete visto la navigazione nelle directory in azione.
Il problema è che gli hacker possono utilizzare l’esplorazione delle directory per vedere i file che compongono il vostro sito web, compresi tutti i temi e i plugin che utilizzate.
Se uno di questi temi o plugin presenta vulnerabilità note, gli hacker possono utilizzare queste conoscenze per prendere il controllo del vostro blog o sito web WordPress, rubare i vostri dati o eseguire altre azioni.
Gli aggressori possono anche utilizzare l’esplorazione delle directory per esaminare le informazioni riservate contenute nei file e nelle cartelle. Potrebbero anche copiare i contenuti del vostro sito web, compresi quelli che di solito fate pagare, come il download di ebook o corsi online.
Per questo motivo è considerata una buona pratica disabilitare la navigazione nelle directory in WordPress.
Come verificare se la navigazione nelle directory è abilitata in WordPress?
Il modo più semplice per verificare se l’esplorazione delle directory è attualmente abilitata per il vostro sito WordPress è quello di visitare semplicemente il collegamento alla cartella /wp-includes/, in questo modo: https://example.com/wp-includes/.
Sostituite www.example.com con l’URL del vostro sito web.
Se viene visualizzato un messaggio 403 Forbidden o simile, la navigazione nelle directory è già disabilitata sul vostro sito WordPress.
Se invece viene visualizzato un elenco di file e cartelle, significa che la navigazione nelle directory è abilitata per il sito web.
Poiché questo rende il vostro sito web più vulnerabile agli attacchi, in genere si consiglia di bloccare la navigazione nelle directory in WordPress.
Come disabilitare la navigazione delle directory in WordPress
Per disabilitare l’elenco delle directory, è necessario aggiungere del codice al file .htaccess del sito.
Per accedere al file, è necessario un client FTP, oppure si può utilizzare l’applicazione di gestione dei file all’interno del pannello di controllo del proprio hosting WordPress.
Se è la prima volta che utilizzate l’FTP, potete consultare la nostra guida completa su come connettersi al vostro sito utilizzando l’FTP.
Dopo essersi collegati al sito, è sufficiente aprire la cartella “public” del sito e trovare il file .htaccess. È possibile modificare il file .htaccess scaricandolo sul desktop e aprendolo in un editor di testo come Notepad.
In fondo al file, è sufficiente aggiungere il seguente codice:
Options -Indexes
Avrà un aspetto simile a questo:
Una volta terminato, salvate il file .htaccess e caricatelo sul vostro server utilizzando un client FTP.
Questo è quanto. Ora se si visita lo stesso URL http://example.com/wp-includes/, si otterrà un messaggio 403 Forbidden o simile.
Suggerimento dell’esperto: se sospettate che il vostro sito web WordPress sia stato violato, consultate la nostra guida sulla correzione di un sito web WordPress violato. In alternativa, potete dare un’occhiata al nostro servizio di riparazione professionale di siti WordPress violati e assumere esperti di sicurezza WordPress per pulire il vostro sito web.
Speriamo che questo articolo vi abbia aiutato a capire come disabilitare la navigazione nelle directory in WordPress. Potreste anche voler consultare la nostra guida definitiva alla sicurezza di WordPress o vedere la nostra selezione di esperti dei migliori plugin per la sicurezza di WordPress.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Jiří Vaněk
Thanks for the advice. On directory browsing, or that I have it enabled, the AIO SEO plugin keeps warning me. I have currently solved the problem by making the folders have an index file that is empty. Is it possible to take this as one of the possible solutions?
WPBeginner Support
You can try that method but we would still recommend the htaccess method from our guide.
Admin
Jiří Vaněk
Thanks for the advice, I finally used the Options -Indexes method now and AIO SEO already reports the problem as solved. Thanks again.
Ka Khaliq
After editing the htaccess file as per the provided guidelines, I do see 403 Forbidden message for /wp-includes/. But I’m unable to see edit any post. Upon editing a post, I see the same 403 Forbidden message. How to solve this?
WPBeginner Support
There may be an issue with your file permissions, we would recommend taking a look at our guide below for fixing your permissions:
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Admin
Ka Khaliq
The issue resolved after clearing the web history/cache.
Thanks for your time.
Dina D
Thank you so much! Clear, concise, and easy to follow. Thank you so much!
WPBeginner Support
You’re welcome!
Admin
Rabee Khan
Thank You… precise and easy to understand!
WPBeginner Support
Glad our guide was helpful!
Admin
Kimmy
Thanks for the two-word solution! Lol. Worked perfectly!
WPBeginner Support
Glad we could help!
Admin
Seashell
I was shocked to see the folders accessible right in the browser.
Thanks for your solution!
WPBeginner Support
Glad we could help!
Admin