Vimos muitos sites que não desativam a navegação no diretório. Infelizmente, esse pequeno erro pode expor informações confidenciais a hackers e prejudicar um site.
A navegação no diretório permite que outras pessoas vejam os arquivos e as pastas do seu site. Os hackers podem usar essas informações para encontrar vulnerabilidades em plug-ins, temas ou em seu servidor de hospedagem.
Essa simples medida pode aumentar significativamente a segurança de seu site. É uma solução rápida que todo proprietário de site deve conhecer.
Neste guia, mostraremos como desativar a navegação em diretórios no WordPress. Isso o ajudará a proteger seu site e a manter seus dados seguros.
O que faz a desativação da navegação de diretório no WordPress?
Quando um visitante acessa um site, o servidor da Web processa sua solicitação. Normalmente, o servidor entrega um arquivo de índice, como index.html, ao navegador.
Se não houver um arquivo de índice, o servidor poderá exibir uma lista de todos os arquivos e pastas desse diretório. Esse comportamento, conhecido como navegação de diretório, é normalmente ativado por padrão em servidores de hospedagem.
Vimos em primeira mão como a navegação no diretório pode expor informações confidenciais sobre a estrutura de um site. Essas informações podem ser usadas para identificar vulnerabilidades em plug-ins, temas ou até mesmo em configurações de hospedagem.
Os visitantes podem se deparar com a navegação em diretórios quando veem uma lista simples de arquivos e pastas em vez de uma página da Web. Esse acesso não intencional pode levar a riscos de segurança se não for resolvido.
Os hackers geralmente exploram a navegação no diretório para visualizar os arquivos de um site, incluindo temas e plug-ins. Se algum deles tiver vulnerabilidades conhecidas, os invasores poderão usar essas informações para comprometer o site.
Em muitos casos, a navegação no diretório também pode expor conteúdo privado ou pago, como downloads de e-books ou cursos on-line. Isso pode levar à cópia não autorizada e à perda de receita.
Desativar a navegação no diretório é uma maneira simples e eficaz de evitar esses riscos. É uma das primeiras etapas que recomendamos para proteger um site WordPress.
Como verificar se a navegação no diretório está ativada no WordPress
Uma maneira fácil de verificar se a navegação no diretório está ativada em seu site WordPress é visitar diretamente a pasta /wp-includes/.
Por exemplo, basta digitar um URL como este: https://example.com/wp-includes/ em seu navegador.
Certifique-se de substituir example.com pelo nome de domínio real de seu site. Esse teste simples funciona na maioria das instalações do WordPress.
Se você vir uma mensagem 403 Forbidden ou um erro semelhante, então a navegação no diretório já está desativada. Esse é um bom sinal, pois significa que seu site está mais seguro.
Se, em vez disso, aparecer uma lista de arquivos e pastas, a navegação no diretório está ativada.
Isso deixa os sites vulneráveis a ataques mal-intencionados.
Em nossa experiência, a ativação da navegação no diretório expõe informações confidenciais e aumenta os riscos de segurança. Por esse motivo, é melhor desativar a navegação de diretório no WordPress para manter seu site seguro.
Como desativar a navegação no diretório no WordPress
Para desativar a listagem de diretórios, você precisará adicionar algum código ao arquivo .htaccess do seu site.
Para acessar o arquivo, você precisará de um cliente FTP ou poderá usar o aplicativo gerenciador de arquivos no painel de controle da hospedagem do WordPress.
Se esta é a primeira vez que você usa FTP, consulte nosso guia completo sobre como se conectar ao seu site usando FTP.
Depois de se conectar ao seu site, basta abrir a pasta pública do site e localizar o arquivo .htaccess. Em seguida, você pode editar o arquivo .htaccess baixando-o para a área de trabalho e abrindo-o em um editor de texto como o Bloco de Notas.
Na parte inferior do arquivo, basta adicionar o seguinte código:
Options -Indexes
Ele terá a seguinte aparência:
Quando terminar, salve o arquivo .htaccess e carregue-o de volta ao servidor usando um cliente FTP.
É isso aí. Agora, se você visitar o mesmo URL http://example.com/wp-includes/, receberá uma mensagem 403 Forbidden ou semelhante.
Dica de especialista: se você suspeitar que seu site WordPress pode ter sido invadido, consulte nosso guia sobre como corrigir um site WordPress invadido. Como alternativa, você pode escolher nosso serviço profissional de reparo de site hackeado do WordPress e contratar especialistas profissionais em segurança do WordPress para limpar seu site imediatamente.
Leitura adicional:
Deseja manter seu site WordPress seguro e livre de erros? Os artigos a seguir podem lhe ser úteis:
- Guia para iniciantes sobre a estrutura de arquivos e diretórios do WordPress
- Erros mais comuns do WordPress e como corrigi-los
- Como corrigir o erro de permissões de arquivos e pastas no WordPress
- Como proteger seu diretório de administração do WordPress (wp-admin) com senha
Esperamos que este artigo tenha ajudado você a aprender como desativar a navegação em diretórios no WordPress. Talvez você também queira consultar nosso guia definitivo de segurança do WordPress ou ver nossa seleção de especialistas dos melhores plug-ins de segurança do WordPress.
Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Jiří Vaněk
Thanks for the advice. On directory browsing, or that I have it enabled, the AIO SEO plugin keeps warning me. I have currently solved the problem by making the folders have an index file that is empty. Is it possible to take this as one of the possible solutions?
WPBeginner Support
You can try that method but we would still recommend the htaccess method from our guide.
Administrador
Jiří Vaněk
Thanks for the advice, I finally used the Options -Indexes method now and AIO SEO already reports the problem as solved. Thanks again.
Ka Khaliq
After editing the htaccess file as per the provided guidelines, I do see 403 Forbidden message for /wp-includes/. But I’m unable to see edit any post. Upon editing a post, I see the same 403 Forbidden message. How to solve this?
WPBeginner Support
There may be an issue with your file permissions, we would recommend taking a look at our guide below for fixing your permissions:
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Administrador
Ka Khaliq
The issue resolved after clearing the web history/cache.
Thanks for your time.
Dina D
Thank you so much! Clear, concise, and easy to follow. Thank you so much!
WPBeginner Support
You’re welcome!
Administrador
Rabee Khan
Thank You… precise and easy to understand!
WPBeginner Support
Glad our guide was helpful!
Administrador
Kimmy
Thanks for the two-word solution! Lol. Worked perfectly!
WPBeginner Support
Glad we could help!
Administrador
Seashell
I was shocked to see the folders accessible right in the browser.
Thanks for your solution!
WPBeginner Support
Glad we could help!
Administrador