Dizin taramasını devre dışı bırakmayan birçok web sitesi gördük. Ne yazık ki, bu küçük hata hassas bilgileri bilgisayar korsanlarına ifşa edebilir ve bir web sitesine zarar verebilir.
Dizin taraması, başkalarının sitenizin dosya ve klasörlerini görmesini sağlar. Bilgisayar korsanları bu bilgileri eklentiler, temalar veya barındırma sunucunuzdaki güvenlik açıklarını bulmak için kullanabilir.
Bu basit adımı atmak sitenizin güvenliğini önemli ölçüde artırabilir. Bu, her web sitesi sahibinin bilmesi gereken hızlı bir çözümdür.
Bu kılavuzda, WordPress’te dizin taramayı nasıl devre dışı bırakacağınızı göstereceğiz. Bu, sitenizi korumanıza ve verilerinizi güvende tutmanıza yardımcı olacaktır.
WordPress’te Dizin Taramayı Devre Dışı Bırakmak Ne İşe Yarar?
Bir ziyaretçi bir web sitesine eriştiğinde, web sunucusu isteklerini işler. Genellikle sunucu, ziyaretçinin tarayıcısına index .html gibi bir dizin dosyası gönderir.
Bir dizin dosyası eksikse, sunucu o dizindeki tüm dosya ve klasörlerin bir listesini görüntüleyebilir. Dizin taraması olarak bilinen bu davranış, genellikle barındırma sunucularında varsayılan olarak etkinleştirilir.
Dizin taramanın bir sitenin yapısı hakkında hassas bilgileri nasıl ortaya çıkarabileceğini ilk elden gördük. Bu bilgiler eklentiler, temalar ve hatta barındırma kurulumlarındaki güvenlik açıklarını tespit etmek için kullanılabilir.
Ziyaretçiler, bir web sayfası yerine düz bir dosya ve klasör listesi gördüklerinde dizin taramasıyla karşılaşabilirler. Bu istenmeyen erişim, ele alınmadığı takdirde güvenlik risklerine yol açabilir.
Bilgisayar korsanları genellikle temalar ve eklentiler de dahil olmak üzere bir sitenin dosyalarını görüntülemek için dizin taramasından yararlanır. Bunlardan herhangi birinin bilinen güvenlik açıkları varsa, saldırganlar bu bilgileri web sitesini tehlikeye atmak için kullanabilir.
Çoğu durumda dizin taraması, e-kitap indirmeleri veya çevrimiçi kurslar gibi özel veya ücretli içerikleri de açığa çıkarabilir. Bu da izinsiz kopyalamaya ve gelir kaybına yol açabilir.
Dizin taramayı devre dışı bırakmak bu riskleri önlemenin basit ama etkili bir yoludur. Bir WordPress sitesinin güvenliğini sağlamak için önerdiğimiz ilk adımlardan biridir.
WordPress’te Dizin Taramanın Etkin Olup Olmadığı Nasıl Kontrol Edilir?
WordPress web sitenizde dizin taramanın etkin olup olmadığını kontrol etmenin kolay bir yolu /wp-includes/ klasörünü doğrudan ziyaret etmektir.
Örneğin, tarayıcınıza şu şekilde bir URL girin: https://example.com/wp-includes/.
example.com yerine gerçek web sitenizin alan adını yazdığınızdan emin olun. Bu basit test çoğu WordPress kurulumunda çalışır.
403 Yasak mesajı veya benzer bir hata görürseniz, dizin taraması zaten devre dışı bırakılmış demektir. Bu, web sitenizin daha güvenli olduğu anlamına geldiği için iyi bir işarettir.
Bunun yerine bir dosya ve klasör listesi görünürse, dizin tarama etkinleştirilmiştir.
Bu, web sitelerini kötü niyetli saldırılara karşı savunmasız bırakan bir şeydir.
Deneyimlerimize göre, dizin taramayı etkinleştirmek hassas bilgileri açığa çıkarır ve güvenlik risklerini artırır. Bu nedenle, sitenizi güvende tutmak için WordPress’te dizin taramayı devre dışı bırakmak en iyisidir.
WordPress’te Dizin Tarama Nasıl Devre Dışı Bırakılır
Dizin listelemeyi devre dışı bırakmak için sitenizin .htaccess dosyasına bazı kodlar eklemeniz gerekir.
Dosyaya erişmek için bir FTP istemcisine ihtiyacınız olacak veya WordPress hosting kontrol panelinizdeki dosya yöneticisi uygulamasını kullanabilirsiniz.
FTP’yi ilk kez kullanıyorsanız, FTP kullanarak sitenize nasıl bağlanacağınıza ilişkin eksiksiz kılavuzumuza bakabilirsiniz.
Sitenize bağlandıktan sonra, web sitenizin genel klasörünü açın ve .htaccess dosyasını bulun. Daha sonra .htaccess dosyasını masaüstünüze indirerek ve ardından Not Defteri gibi bir metin düzenleyicide açarak düzenleyebilirsiniz.
Dosyanın en altına aşağıdaki kodu eklemeniz yeterlidir:
Options -Indexes
Şuna benzer bir şey olacak:
İşiniz bittiğinde, .htaccess dosyanızı kaydedin ve bir FTP istemcisi kullanarak sunucunuza geri yükleyin.
İşte bu kadar. Şimdi, aynı http://example.com/wp-includes/ URL’sini ziyaret ederseniz, 403 Forbidden veya benzer bir mesaj alırsınız.
Uzman İpucu: WordPress web sitenizin saldırıya uğramış olabileceğinden şüpheleniyorsanız, saldırıya uğramış bir WordPress web sitesini düzeltme kılavuzumuza bakın. Alternatif olarak, profesyonel saldırıya uğramış WordPress sitesi onarım hizmetimizi seçebilir ve web sitenizi hemen temizlemek için profesyonel WordPress güvenlik uzmanlarını işe alabilirsiniz.
Ek Okuma:
WordPress web sitenizi güvenli ve hatasız tutmak mı istiyorsunuz? Aşağıdaki makaleleri faydalı bulabilirsiniz:
- Yeni Başlayanlar İçin WordPress Dosya ve Dizin Yapısı Kılavuzu
- En Yaygın WordPress Hataları ve Nasıl Düzeltilir?
- WordPress’te Dosya ve Klasör İzinleri Hatası Nasıl Giderilir
- WordPress Yönetici (wp-admin) Dizininizi Nasıl Parola ile Korursunuz?
Umarız bu makale WordPress’te dizin taramayı nasıl devre dışı bırakacağınızı öğrenmenize yardımcı olmuştur. Ayrıca nihai WordPress güvenlik kılavuzumuzu veya en iyi WordPress güvenlik eklentileri uzman seçimimizi görmek isteyebilirsiniz.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Dennis Muthomi
I noticed that I have directory browsing disabled on my WordPress site, because I got a 403 error when trying to access wp-includes, yet I don’t remember ever having edited my .htaccess file to do so.
Does WordPress automatically disable directory browsing during initial installation?
WPBeginner Support
Unless there was a recent change it does not by default, it may be your hosting provider’s default settings for htaccess.
Yönetici
Dayo Olobayo
I didn’t even know that this vulnerability existed. Just checked mine and got the 403 error. which means directory browsing is disabled. Thank you.
WPBeginner Support
You’re welcome
Yönetici
Jiří Vaněk
Thanks for the advice. On directory browsing, or that I have it enabled, the AIO SEO plugin keeps warning me. I have currently solved the problem by making the folders have an index file that is empty. Is it possible to take this as one of the possible solutions?
WPBeginner Support
You can try that method but we would still recommend the htaccess method from our guide.
Yönetici
Jiří Vaněk
Thanks for the advice, I finally used the Options -Indexes method now and AIO SEO already reports the problem as solved. Thanks again.
Ka Khaliq
After editing the htaccess file as per the provided guidelines, I do see 403 Forbidden message for /wp-includes/. But I’m unable to see edit any post. Upon editing a post, I see the same 403 Forbidden message. How to solve this?
WPBeginner Support
There may be an issue with your file permissions, we would recommend taking a look at our guide below for fixing your permissions:
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Yönetici
Ka Khaliq
The issue resolved after clearing the web history/cache.
Thanks for your time.
Dina D
Thank you so much! Clear, concise, and easy to follow. Thank you so much!
WPBeginner Support
You’re welcome!
Yönetici
Rabee Khan
Thank You… precise and easy to understand!
WPBeginner Support
Glad our guide was helpful!
Yönetici
Kimmy
Thanks for the two-word solution! Lol. Worked perfectly!
WPBeginner Support
Glad we could help!
Yönetici
Seashell
I was shocked to see the folders accessible right in the browser.
Thanks for your solution!
WPBeginner Support
Glad we could help!
Yönetici