Czy chcesz wyłączyć przeglądanie katalogów w WordPress?
Przeglądanie katalogów może narazić twoją witrynę na ryzyko, pokazując hakerom ważne informacje, które mogą zostać wykorzystane do wykorzystania luk w zabezpieczeniach wtyczek, motywów, a nawet serwera hostingowego.
W tym artykule pokażemy, jak wyłączyć przeglądanie katalogów w WordPress.
Co robi wyłączenie przeglądania katalogów w WordPress?
Za każdym razem, gdy ktoś przejdzie na twoją witrynę internetową, twój serwer WWW przetworzy to żądanie.
Zazwyczaj serwer dostarcza do przeglądarki odwiedzającego plik indeksu, taki jak index.html. Jeśli jednak serwer nie może znaleźć pliku indeksu, może zamiast tego wyświetlić wszystkie pliki i katalogi w żądanym katalogu.
Nazywa się to przeglądaniem katalogów i często jest domyślnie włączone na twoim serwerze hostingowym.
Jeśli kiedykolwiek przeszedłeś na witrynę i zobaczyłeś listę plików i katalogów zamiast strony internetowej, to widziałeś przeglądanie katalogów w działaniu.
Problem polega na tym, że hakerzy mogą korzystać z przeglądania katalogów, aby zobaczyć pliki tworzące twoją witrynę internetową, w tym wszystkie motywy i wtyczki, których używasz.
Jeśli którykolwiek z tych motywów lub wtyczek ma znane luki w zabezpieczeniach, hakerzy mogą wykorzystać tę wiedzę do przejęcia kontroli nad twoim blogiem lub witryną internetową WordPress, kradzieży danych lub wykonania innych działań.
Atakujący mogą również korzystać z przeglądania katalogów, aby przeglądać poufne informacje znajdujące się w twoich plikach i katalogach. Mogą nawet skopiować zawartość twojej witryny internetowej, w tym treści, za które zwykle pobierane są opłaty, takie jak pobieranie ebooków lub kursy online.
Dlatego też za najlepszą praktykę uważa się wyłączenie przeglądania katalogów w WordPress.
Jak sprawdzić, czy przeglądanie katalogów jest włączone w WordPress?
Najprostszym sposobem sprawdzenia, czy przeglądanie katalogów jest aktualnie włączone dla twojej witryny internetowej WordPress, jest po prostu przejście na odnośnik do katalogu /wp-includes/ w następujący sposób: https://example.com/wp-includes/.
Zastąp adres www.example.com adresem URL twojej witryny internetowej.
Jeśli otrzymasz komunikat 403 Forbidden lub podobny, oznacza to, że przeglądanie katalogów jest już wyłączone na twojej witrynie internetowej WordPress.
Jeśli zamiast tego zobaczysz listę plików i katalogów, oznacza to, że przeglądanie katalogów jest włączone dla twojej witryny internetowej.
Ponieważ czyni to twoją witrynę internetową bardziej podatną na ataki, zazwyczaj będziesz chciał zablokować przeglądanie katalogów w WordPress.
Jak wyłączyć przeglądanie katalogów w WordPress
Aby wyłączyć listowanie katalogów, musisz dodać kod do pliku .htaccess twojej witryny.
Aby uzyskać dostęp do pliku, będziesz potrzebował klienta FTP lub możesz użyć aplikacji menedżera plików w panelu sterowania hostingu WordPress.
Jeśli po raz pierwszy korzystasz z FTP, zapoznaj się z naszym kompletnym przewodnikiem na temat łączenia się z witryną za pomocą FTP.
Po połączeniu się z twoją witryną internetową, po prostu otwórz jej katalog „publiczny” i znajdź plik.htaccess. Możesz edytować plik .htaccess, pobierając go na twój pulpit, a następnie otwierając go w edytorze tekstu, takim jak Notatnik.
Na samym dole pliku wystarczy dodać następujący kod:
Options -Indexes
Będzie to wyglądać mniej więcej tak:
Gdy skończysz, zapisz plik .htaccess i prześlij go z powrotem na twój serwer za pomocą klienta FTP.
To wszystko. Teraz, jeśli przejdziesz na ten sam adres URL http://example.com/wp-includes/, otrzymasz komunikat 403 Forbidden lub podobny.
Porada eksperta : Jeśli podejrzewasz, że twoja witryna WordPress mogła zostać zhakowana, zapoznaj się z naszym przewodnikiem na temat poprawki zhakowanej witryny WordPress. Alternatywnie, możesz zapoznać się z naszą profesjonalną usługą naprawy zhakowanej witryny WordPress i zatrudnić profesjonalnych ekspertów ds. zabezpieczeń WordPress, którzy wyczyszczą twoją witrynę internetową.
Mamy nadzieję, że ten artykuł pomógł ci dowiedzieć się, jak wyłączyć przeglądanie katalogów w WordPress. Możesz również zapoznać się z naszym kompletnym przewodnikiem po zabezpieczeniach WordPress lub zobaczyć naszą ekspercką listę najlepszych wtyczek zabezpieczających WordPress.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Dennis Muthomi
I noticed that I have directory browsing disabled on my WordPress site, because I got a 403 error when trying to access wp-includes, yet I don’t remember ever having edited my .htaccess file to do so.
Does WordPress automatically disable directory browsing during initial installation?
WPBeginner Support
Unless there was a recent change it does not by default, it may be your hosting provider’s default settings for htaccess.
Administrator
Dayo Olobayo
I didn’t even know that this vulnerability existed. Just checked mine and got the 403 error. which means directory browsing is disabled. Thank you.
WPBeginner Support
You’re welcome
Administrator
Jiří Vaněk
Thanks for the advice. On directory browsing, or that I have it enabled, the AIO SEO plugin keeps warning me. I have currently solved the problem by making the folders have an index file that is empty. Is it possible to take this as one of the possible solutions?
WPBeginner Support
You can try that method but we would still recommend the htaccess method from our guide.
Administrator
Jiří Vaněk
Thanks for the advice, I finally used the Options -Indexes method now and AIO SEO already reports the problem as solved. Thanks again.
Ka Khaliq
After editing the htaccess file as per the provided guidelines, I do see 403 Forbidden message for /wp-includes/. But I’m unable to see edit any post. Upon editing a post, I see the same 403 Forbidden message. How to solve this?
WPBeginner Support
There may be an issue with your file permissions, we would recommend taking a look at our guide below for fixing your permissions:
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Administrator
Ka Khaliq
The issue resolved after clearing the web history/cache.
Thanks for your time.
Dina D
Thank you so much! Clear, concise, and easy to follow. Thank you so much!
WPBeginner Support
You’re welcome!
Administrator
Rabee Khan
Thank You… precise and easy to understand!
WPBeginner Support
Glad our guide was helpful!
Administrator
Kimmy
Thanks for the two-word solution! Lol. Worked perfectly!
WPBeginner Support
Glad we could help!
Administrator
Seashell
I was shocked to see the folders accessible right in the browser.
Thanks for your solution!
WPBeginner Support
Glad we could help!
Administrator