Nous voyons souvent des sites Web qui oublient de désactiver la navigation dans les répertoires. À première vue, cela peut ne pas sembler être un gros problème, mais ce petit oubli peut exposer des informations sensibles et mettre votre site en danger.
Lorsque la navigation dans les répertoires est activée, n'importe qui peut voir les fichiers et les dossiers sur votre serveur. Les pirates peuvent utiliser ces informations pour identifier les faiblesses de vos plugins, thèmes, ou même de votre environnement d'hébergement.
Heureusement, résoudre ce problème est rapide et facile. En désactivant la navigation dans les répertoires, vous ajoutez une couche de protection supplémentaire et rendez beaucoup plus difficile pour les attaquants de cibler votre site.
Dans ce guide, je vais vous expliquer les étapes simples pour désactiver la navigation dans les répertoires sous WordPress afin que vous puissiez protéger votre site Web et garder vos données en sécurité.
Voici un aperçu rapide des sujets que j'aborderai dans ce guide :
- Que fait la désactivation de la navigation dans les répertoires sous WordPress ?
- Comment vérifier si la navigation dans les répertoires est activée sous WordPress
- How to Disable Directory Browsing in WordPress
- Questions fréquemment posées sur la désactivation de la navigation dans les répertoires
- Lectures supplémentaires sur la sécurité WordPress
Que fait la désactivation de la navigation dans les répertoires sous WordPress ?
La désactivation de la navigation dans les répertoires empêche les visiteurs de voir une liste de fichiers et dossiers sur votre site lorsqu'un fichier d'index n'est pas disponible. Au lieu d'afficher ce répertoire brut, le serveur affichera une page blanche ou un message d'erreur.
Lorsqu'un visiteur accède à votre site web, le serveur lui envoie normalement un fichier d'index (comme index.html ou index.php) dans son navigateur. Si ce fichier est manquant, de nombreux serveurs afficheront tous les fichiers du dossier concerné.
Ce comportement est appelé navigation dans les répertoires, et il est souvent activé par défaut sur les serveurs d'hébergement.
Le problème est que cela expose des détails sensibles sur la structure de votre site. Les pirates peuvent l'utiliser pour rechercher des vulnérabilités dans les plugins, les thèmes, ou même votre environnement d'hébergement.
Dans certains cas, la navigation dans les répertoires peut également révéler du contenu privé ou payant, tel que des téléchargements d'ebooks ou des cours en ligne, qui pourraient alors être copiés sans autorisation.
C'est pourquoi nous soulignons toujours ce risque lorsque nous aidons les débutants. Désactiver la navigation dans les répertoires est un changement rapide qui peut protéger votre site et prévenir des pertes de revenus inutiles.
Comment vérifier si la navigation dans les répertoires est activée sous WordPress
Un moyen simple de vérifier si la navigation dans les répertoires est activée sur votre site WordPress est de visiter directement le dossier /wp-includes/.
Par exemple, entrez simplement une URL comme celle-ci : https://example.com/wp-includes/ dans votre navigateur.
Assurez-vous de remplacer example.com par le nom de domaine réel de votre site web. Ce test simple fonctionne sur la plupart des installations WordPress.
Si vous voyez un message 403 Forbidden ou une erreur similaire, alors la navigation dans les répertoires est déjà désactivée. C'est un bon signe, car cela signifie que votre site web est plus sécurisé.
Si une liste de fichiers et de dossiers apparaît à la place, alors la navigation dans les répertoires est activée.
Laisser la navigation dans les répertoires activée rend votre site web vulnérable aux attaques malveillantes.
D'après notre expérience, l'activation de la navigation dans les répertoires expose des informations sensibles et augmente les risques de sécurité. Pour cette raison, il est préférable de désactiver la navigation dans les répertoires dans WordPress afin de sécuriser votre site.
Comment désactiver la navigation dans les répertoires sous WordPress
Vous pouvez désactiver la navigation dans les répertoires en ajoutant une seule ligne de code à votre fichier .htaccess WordPress.
Il s'agit d'un fichier de configuration de serveur puissant, il est donc très important de faire une sauvegarde de votre fichier .htaccess avant d'apporter des modifications. Une modification incorrecte pourrait rendre votre site inaccessible.
Astuce : Nous utilisons Duplicator pour sauvegarder automatiquement tous nos sites WordPress. Il vous permet de créer des sauvegardes planifiées ainsi que des sauvegardes à la demande. Plus important encore, vous pouvez facilement restaurer votre site en 1 clic. Consultez notre avis complet sur Duplicator pour plus de détails.
Vous pouvez accéder à ce fichier en utilisant deux méthodes principales :
Méthode 1 : Modifier le fichier .htaccess à l'aide du gestionnaire de fichiers dans cPanel
La méthode la plus simple pour la plupart des utilisateurs consiste à utiliser l'application Gestionnaire de fichiers fournie dans le panneau de contrôle de votre compte d'hébergement WordPress (cPanel).
Tout d'abord, connectez-vous à votre compte d'hébergement et ouvrez le Gestionnaire de fichiers.
Naviguez jusqu'au dossier racine de votre site Web, souvent nommé public_html.
Maintenant, localisez le fichier .htaccess.
Si vous ne le voyez pas, assurez-vous d'activer "Afficher les fichiers cachés" dans les paramètres de votre Gestionnaire de fichiers.
Faites un clic droit sur le fichier et sélectionnez 'Modifier' ou 'Éditeur de code'.
Méthode 2 : Modification du fichier .htaccess à l'aide d'un client FTP
Alternativement, vous pouvez utiliser un client FTP pour vous connecter aux fichiers de votre site Web.
Si c'est la première fois, vous pouvez suivre notre guide complet sur comment vous connecter à votre site en utilisant FTP.
- Une fois connecté via FTP, naviguez jusqu'au répertoire racine de votre site (par exemple,
public_html). - Trouvez le fichier
.htaccess. - Téléchargez le fichier sur votre ordinateur, puis ouvrez-le dans un éditeur de texte brut comme le Bloc-notes ou TextEdit.
Ajout du code à .htaccess
Une fois que vous avez ouvert le fichier .htaccess pour le modifier par l'une ou l'autre méthode, ajoutez simplement la ligne de code suivante tout en bas du fichier :
Options -Indexes
Cela ressemblera à ceci :
Maintenant, enregistrez vos modifications. Si vous avez utilisé un client FTP, vous devez re-télécharger le fichier .htaccess modifié sur votre serveur, en écrasant l'original.
Note pour les utilisateurs de Nginx 📝 : Cette méthode .htaccess s'applique aux sites Web fonctionnant sur un serveur Web Apache. Si votre site Web est sur un serveur Nginx, ce paramètre est généralement géré au niveau du serveur par votre fournisseur d'hébergement, et la navigation dans les répertoires est généralement désactivée par défaut. Pour en savoir plus, consultez notre comparaison des serveurs Web Apache vs Nginx vs LiteSpeed.
Maintenant, si vous visitez la même URL http://example.com/wp-includes/, vous obtiendrez un message 403 Forbidden ou similaire.
Astuce bonus : Vous préférez un plugin ?
Si vous n'êtes pas à l'aise avec la modification de code, un bon plugin de sécurité WordPress peut s'en charger pour vous.
La plupart des plugins de sécurité WordPress incluent une option en un clic pour désactiver la navigation dans les répertoires dans le cadre de leurs fonctionnalités de renforcement de la sécurité du site Web, vous n'avez donc jamais à toucher un seul fichier.
Questions fréquemment posées sur la désactivation de la navigation dans les répertoires
Qu'est-ce que la navigation dans les répertoires et pourquoi représente-t-elle un risque de sécurité ?
La navigation dans les répertoires est une fonctionnalité du serveur qui liste tous les fichiers et dossiers d'un répertoire en l'absence d'un fichier d'index (comme index.php). C'est un risque de sécurité car cela expose la structure de votre site, y compris les thèmes et plugins que vous utilisez, aux attaquants potentiels.
La désactivation de la navigation dans les répertoires affecte-t-elle le SEO de mon site web ?
Non, la désactivation de la navigation dans les répertoires n'affecte pas négativement votre SEO. Les moteurs de recherche s'intéressent à votre contenu, pas à la structure de vos fichiers. En fait, l'amélioration de la sécurité de votre site web est un signal positif pour les moteurs de recherche.
Est-il préférable d'utiliser un plugin ou de modifier le fichier .htaccess ?
Les deux méthodes obtiennent le même résultat. La modification du fichier .htaccess est une solution rapide et unique. L'utilisation d'un plugin de sécurité comme Sucuri est idéale pour les débutants car elle gère ce paramètre et de nombreux autres paramètres de sécurité en un seul clic, sans avoir à modifier le code.
Et si mon site WordPress utilisait un serveur Nginx ?
Le fichier .htaccess est spécifique aux serveurs web Apache. Sur les serveurs Nginx, la liste des répertoires est généralement désactivée par défaut dans la configuration principale du serveur. Si vous pensez qu'elle est activée, vous devriez contacter votre fournisseur d'hébergement pour qu'il la désactive pour vous.
Lectures supplémentaires sur la sécurité WordPress
Vous voulez que votre site WordPress reste sécurisé et sans erreur ? Les articles suivants pourraient vous être utiles :
- Guide pour débutants sur la structure des fichiers et répertoires de WordPress
- Les erreurs WordPress les plus courantes et comment les corriger
- Comment corriger l'erreur de permissions de fichiers et de dossiers dans WordPress
- Comment protéger par mot de passe votre répertoire d'administration WordPress (wp-admin)
Nous espérons que cet article vous a aidé à apprendre comment désactiver la navigation dans les répertoires sur WordPress. Vous pourriez également consulter notre guide ultime de la sécurité WordPress ou notre sélection d'experts des meilleurs plugins de sécurité WordPress.
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Deepak Kumar
Ça fonctionne à merveille. L'article sur wpbeginners est comme une solution prête à l'emploi. Continuez comme ça.
Ayo
Comment résoudre l'erreur 404 qui survient ensuite ?
Pradip Singh
Je suis amoureux de ce site web. Chaque jour, je suis surpris quand je lis un nouvel article de ce site. Heureusement, j'ai lu cet article aujourd'hui et j'ai immédiatement mis en œuvre le conseil.
Support WPBeginner
Glad you found our content helpful
Admin
Sourabh
Cela bloquera-t-il les CDN d'accéder à mon site web pour le contenu statique ?
Support WPBeginner
Non, cela ne le fera pas.
Admin
sami
Cette méthode affecte-t-elle l'exploration par Google... est-ce bon pour le SEO ?
Support WPBeginner
Cela ne devrait pas affecter l'exploration de votre site par les moteurs de recherche.
Admin
Meera Shaikh
Merci, c'est fait
Support WPBeginner
You’re welcome
Admin
Pradeep
Merci mon ami, j'essaie ça et ça marche.
Tu es un génie.
Support WPBeginner
Glad our guide was helpful
Admin
mousam
Merci. J'ai appliqué et ça a fonctionné.
Vous êtes la meilleure source pour apprendre WordPress.
Support WPBeginner
You’re welcome, glad our guide was helpful
Admin
Kevine
Merci beaucoup pour cela. Cela a résolu mon problème.
Merci encore.
Support WPBeginner
You’re welcome, glad our guide was helpful
Admin
malika
Merci pour le partage d'informations !
Support WPBeginner
You’re welcome
Admin
Jonthan
Est-il donc acceptable d'avoir ce code dans le fichier .htaccess même lorsqu'un fichier index.php est présent dans le dossier racine.
Merci de répondre.
Support WPBeginner
Yes
Admin
Teresa Cuervo
Avez-vous besoin de FileZilla pour faire cela ou pouvez-vous accéder au FTP via cPanel et faire cela ?
Merci
Support WPBeginner
You can use either, not all hosts have a file manager is why we show Filezilla
Admin
michael
Bonjour
Cette action affecte-t-elle l'indexation des pages sur les moteurs de recherche ?
Et cela pose-t-il des problèmes pour les pages indexées de mon site WordPress ?
Merci
Support WPBeginner
Non, cela n'aurait pas d'impact négatif.
Admin
Rhen Castrodes
Merci. ça marche
Support WPBeginner
Glad our recommendation was able to help you
Admin
John
Merci ! Ça marche même maintenant en 2020.
Support WPBeginner
You’re welcome
Admin
Shams
Article incroyable,
J'ai juste une question simple, j'ai ajouté ce code et ça fonctionne, la question est : Google indexera ces pages par exemple sitecom/wp-contents/2019/2, Google supprimera-t-il automatiquement ces pages maintenant car ce sont des 404 ? Ou dois-je les supprimer dans la Search Console ?
Merci
Support WPBeginner
Ce code ne devrait pas rendre vos liens directs vers les images et les fichiers en 404.
Admin
Bill
Bonjour !
J'ai récemment appliqué cette règle
et le même jour, la page d'accueil de mon blog
a disparu de l'index de Google.
Voyez-vous un lien ?
Support WPBeginner
L'ajout de ceci à votre htaccess ne devrait pas affecter votre indexation, il y a plusieurs raisons et vous devriez vérifier votre Google Search Console pour voir ce qu'elle dit de votre page d'accueil.
Admin
Ionel G
Merci pour tous les conseils que vous donnez !
Je me demande toujours comment cacher le dossier wp-content & wp-include des sources ? Je déteste quand quelqu'un fait un clic droit et affiche la source et peut voir tous mes plugins :). Avez-vous un script pour cela ?
Merci d'avance !
Support WPBeginner
Nous n'avons pas de méthode recommandée pour cela pour le moment, la raison la plus courante pour laquelle vous ne pouvez pas voir ces dossiers dans les outils de développement est le cache du site.
Admin
Mayur
Pourriez-vous s'il vous plaît me dire comment désactiver WordPress dans un sous-dossier, comme mon installation WordPress sur [www.mondomaine.com] et je veux désactiver WordPress dans [www.mondomaine.com/customscript]
Support WPBeginner
Vous voudrez peut-être d'abord jeter un œil à la création d'un modèle de page personnalisé : https://www.wpbeginner.com/wp-themes/how-to-create-a-custom-page-in-wordpress/
Sinon, vous devrez créer un dossier portant ce nom et, à l'intérieur de ce dossier, ajouter un fichier index.html pour qu'une page non WordPress apparaisse.
Admin
Rafael
Merci. A parfaitement fonctionné pour tous les navigateurs.
Dipankar
mais wp-content est affiché. comment le supprimer aussi.
Deatram
J'ai désactivé la navigation dans les répertoires, mais quelqu'un peut toujours voir mon répertoire lorsqu'il utilise les outils de développement dans le navigateur Chrome. Comment désactiver cela aussi ?
Faeze
J'ai ajouté la ligne que vous avez mentionnée dans .htaccess mais il affiche toujours mes répertoires.
Que dois-je faire maintenant ??
Nathan
Lorsque je clique sur « Enregistrer les modifications » sur la page des paramètres des permaliens, le fichier .htaccess est mis à jour, effaçant le code « Options -Indexes » que j'ai saisi. Le code fonctionne bien, mais je crains de le supprimer involontairement en effectuant une autre tâche. Y a-t-il d'autres modifications des paramètres du tableau de bord que je devrais connaître et qui pourraient affecter le fichier .htaccess et effacer le code ? Merci
Tôi Sống
Génial, ça marche très bien !
Baggio
Immense fan de wpbeginner, Optin Monster – j'ai reçu tellement de conseils et d'astuces utiles sur WP – et je dois dire que la conception du site est tout simplement géniale. Et bien sûr, le contenu ici est d'une utilité épique.
Merci les gars !
daniel
Salut ! Ça ne semble pas fonctionner. si je tire une image vers une autre page, elle s'ouvre avec un lien de : example.com/wp-content/uploads/…
Une idée ? merci !
Support WPBeginner
Salut Daniel,
Vos images et fichiers dans les répertoires sont toujours accessibles directement. Cependant, le serveur n'autorisera pas à parcourir directement un répertoire et à en voir le contenu.
Admin
Axel Jebens
J'apprécierais si vous pouviez itérer là-dessus. J'ai eu du mal à trouver une solution à ce problème. Il existe quelques idées basées sur un htaccess redirigeant vers un fichier php qui vérifie d'abord si l'utilisateur est connecté. Existe-t-il un plugin qui offre une telle fonction ?
Ünal Hoca
Merci
Khalid Mahmud
Merci. Ça marche.......
Kim
Désolé d'avoir mis du temps à demander. Je voudrais savoir si ces techniques sont sûres à utiliser en ce qui concerne le score SEO ? J'espère que vous répondrez !
Support WPBeginner
Oui, ils le sont.
Admin
Kimmy
Fonctionne toujours très bien. Génial, simple et ça marche. Merci !
Charles
J'écris ce même code depuis des semaines maintenant, mais mon répertoire reste visible pour les utilisateurs. S'il vous plaît, qu'est-ce que je fais de mal ? Ou se pourrait-il que mon site charge encore du contenu mis en cache ? Tout le monde dit que ça marche, mais mon expérience est différente. Toute aide sera appréciée ! Merci d'avance pour votre réponse.
Kimmy
Sur quelle partie avez-vous des difficultés ? Quel est votre fournisseur d'hébergement d'ailleurs ?
Lily
Merci. Ça a marché à merveille !
Prakash
Cette astuce ci-dessus ne fonctionne pas, mec...
Mike
Y a-t-il un moyen d'autoriser la visualisation d'un répertoire mais de simplement masquer le lien Répertoire parent pour une page spécifique ? Il s'agirait d'un dossier partagé en réseau auquel plusieurs personnes accéderaient, avec des sous-dossiers qui nécessiteraient toujours une liste du répertoire parent. Je ne veux juste pas que quelqu'un remonte au-dessus du dossier partagé.
Christian Nastari
Cela n'a pas fonctionné pour moi. J'ai essayé avant et après #END WordPress et ça n'a pas marché. J'ai aussi essayé "Options All -Indexes", mais ça n'a pas marché non plus
hrwhisper
très utile, merci beaucoup
nitai
Vraiment super. aujourd'hui, je viens de rencontrer et de réfléchir à la façon dont je peux interdire comme joomla et j'ai trouvé la solution exacte.
Rob Myrick
C'était très utile et rapide – merci
Anita in SD
Merci beaucoup, j'étais consterné de voir des images de mon site aller dans un répertoire parent :0. C'était très utile et cela a bien fonctionné.
Bénédictions – A
Heather Jacobsen
Thanks for this tutorial. It worked great for hiding my uploads from anyone just wanting to browse that directory. One question, though. Does this by chance turn off the ability of search engines to browse my website. Sorry if it seems like a dumb question. I am a newbie, after all.
Wasil Burki
J'ai ajouté le code Options -Indexes au fichier htaccess, cependant maintenant je ne peux plus accéder au site, j'obtiens une erreur 503. Est-ce que je fais quelque chose de mal ? J'ai vraiment besoin d'aide !! Merci
Ted
Le problème que j'ai est que je peux voir le répertoire de ce site WordPress, donc si vous utilisez cette solution, elle ne fonctionne pas… (thème wpbv4)
Rahul
Merci beaucoup pour le tutoriel !
J'étais très inquiet lorsque j'ai découvert que certains de mes répertoires de thèmes pouvaient être parcourus. Tout va bien maintenant, grâce à votre tutoriel. Je ne savais pas que .htaccess avait autant de puissance.
KeelAha
Bonjour Syed Balkhi
J'ai remarqué que l'un de vos sites list25.com avait la navigation par répertoire activée sur le dossier suivant.
Pas sûr que ce soit important pour vous.
http://list25.com/wp-includes/
Passez un excellent week-end et continuez votre bon travail.
salutations
KeelAha
Support WPBeginner
Disabled it, thanks
Admin
Logan
Pourquoi ai-je une page blanche, et pas une erreur lorsque j'essaie d'accéder à ../wordpress/wp-content/ ou ../wordpress/wp-content/plugins/ ?
Support WPBeginner
Cela peut dépendre de votre thème ou de votre environnement d'hébergement. Essayez d'activer la navigation par répertoire, puis accédez à ces répertoires. Si vous obtenez toujours une page blanche, cela signifie que ces répertoires contiennent un fichier index.php vide.
Admin
Charlie Sasser
J'ai testé cela avant d'apporter des modifications à un emplacement qui n'avait pas de fichier index.php ou .htm et oui, vous pouvez voir tous les fichiers. J'ai ajouté la ligne suggérée à la fin du .htaccess. L'emplacement génère maintenant une erreur 403 de l'hôte et non une erreur 404 de WordPress. J'utilise WP 3.8. Est-ce le comportement attendu ?
Bern
J'ai le même problème, cela affiche une erreur 403 et non 404. Avez-vous résolu ce problème ?
Christian
Même problème, que faire maintenant ? J'utilise la dernière version de WordPress.
Abhisek
Le plugin Better WordPress Security s'en occupe.
Govinda
Comment puis-je le faire dans Better Wp security.
J'ai installé le plugin, mais je ne trouve pas cette fonctionnalité
Costin
Bonjour,
Pourriez-vous me dire si « Options All -Indexes » est la même chose ou mieux ?
Merci !
Support WPBeginner
C'est la même chose.
Admin
David Trees
Merci pour cette information importante.
Voulez-vous dire ;
Ici
Options -Indexes
# FIN WordPress
OU
# FIN WordPress
Options -Indexes
Merci pour votre réponse.
Cordialement
David
Support WPBeginner
Les deux devraient fonctionner de la même manière, mais nous voulions dire le dernier après le FIN WordPress
Admin
Ivan R Linares
Merci, ça a marché à merveille !