Nous voyons souvent des sites Web qui oublient de désactiver la navigation dans les répertoires. À première vue, cela peut ne pas sembler être un gros problème, mais ce petit oubli peut exposer des informations sensibles et mettre votre site en danger.
Lorsque la navigation dans les répertoires est activée, n'importe qui peut voir les fichiers et les dossiers sur votre serveur. Les pirates peuvent utiliser ces informations pour identifier les faiblesses de vos plugins, thèmes, ou même de votre environnement d'hébergement.
Heureusement, résoudre ce problème est rapide et facile. En désactivant la navigation dans les répertoires, vous ajoutez une couche de protection supplémentaire et rendez beaucoup plus difficile pour les attaquants de cibler votre site.
Dans ce guide, je vais vous expliquer les étapes simples pour désactiver la navigation dans les répertoires sous WordPress afin que vous puissiez protéger votre site Web et garder vos données en sécurité.
Voici un aperçu rapide des sujets que j'aborderai dans ce guide :
- Que fait la désactivation de la navigation dans les répertoires sous WordPress ?
- Comment vérifier si la navigation dans les répertoires est activée sous WordPress
- How to Disable Directory Browsing in WordPress
- Questions fréquemment posées sur la désactivation de la navigation dans les répertoires
- Lectures supplémentaires sur la sécurité WordPress
Que fait la désactivation de la navigation dans les répertoires sous WordPress ?
La désactivation de la navigation dans les répertoires empêche les visiteurs de voir une liste de fichiers et dossiers sur votre site lorsqu'un fichier d'index n'est pas disponible. Au lieu d'afficher ce répertoire brut, le serveur affichera une page blanche ou un message d'erreur.
Lorsqu'un visiteur accède à votre site web, le serveur lui envoie normalement un fichier d'index (comme index.html ou index.php) dans son navigateur. Si ce fichier est manquant, de nombreux serveurs afficheront tous les fichiers du dossier concerné.
Ce comportement est appelé navigation dans les répertoires, et il est souvent activé par défaut sur les serveurs d'hébergement.
Le problème est que cela expose des détails sensibles sur la structure de votre site. Les pirates peuvent l'utiliser pour rechercher des vulnérabilités dans les plugins, les thèmes, ou même votre environnement d'hébergement.
Dans certains cas, la navigation dans les répertoires peut également révéler du contenu privé ou payant, tel que des téléchargements d'ebooks ou des cours en ligne, qui pourraient alors être copiés sans autorisation.
C'est pourquoi nous soulignons toujours ce risque lorsque nous aidons les débutants. Désactiver la navigation dans les répertoires est un changement rapide qui peut protéger votre site et prévenir des pertes de revenus inutiles.
Comment vérifier si la navigation dans les répertoires est activée sous WordPress
Un moyen simple de vérifier si la navigation dans les répertoires est activée sur votre site WordPress est de visiter directement le dossier /wp-includes/.
Par exemple, entrez simplement une URL comme celle-ci : https://example.com/wp-includes/ dans votre navigateur.
Assurez-vous de remplacer example.com par le nom de domaine réel de votre site web. Ce test simple fonctionne sur la plupart des installations WordPress.
Si vous voyez un message 403 Forbidden ou une erreur similaire, alors la navigation dans les répertoires est déjà désactivée. C'est un bon signe, car cela signifie que votre site web est plus sécurisé.
Si une liste de fichiers et de dossiers apparaît à la place, alors la navigation dans les répertoires est activée.
Laisser la navigation dans les répertoires activée rend votre site web vulnérable aux attaques malveillantes.
D'après notre expérience, l'activation de la navigation dans les répertoires expose des informations sensibles et augmente les risques de sécurité. Pour cette raison, il est préférable de désactiver la navigation dans les répertoires dans WordPress afin de sécuriser votre site.
Comment désactiver la navigation dans les répertoires sous WordPress
Vous pouvez désactiver la navigation dans les répertoires en ajoutant une seule ligne de code à votre fichier .htaccess WordPress.
Il s'agit d'un fichier de configuration de serveur puissant, il est donc très important de faire une sauvegarde de votre fichier .htaccess avant d'apporter des modifications. Une modification incorrecte pourrait rendre votre site inaccessible.
Astuce : Nous utilisons Duplicator pour sauvegarder automatiquement tous nos sites WordPress. Il vous permet de créer des sauvegardes planifiées ainsi que des sauvegardes à la demande. Plus important encore, vous pouvez facilement restaurer votre site en 1 clic. Consultez notre avis complet sur Duplicator pour plus de détails.
Vous pouvez accéder à ce fichier en utilisant deux méthodes principales :
Méthode 1 : Modifier le fichier .htaccess à l'aide du gestionnaire de fichiers dans cPanel
La méthode la plus simple pour la plupart des utilisateurs consiste à utiliser l'application Gestionnaire de fichiers fournie dans le panneau de contrôle de votre compte d'hébergement WordPress (cPanel).
Tout d'abord, connectez-vous à votre compte d'hébergement et ouvrez le Gestionnaire de fichiers.
Naviguez jusqu'au dossier racine de votre site Web, souvent nommé public_html.
Maintenant, localisez le fichier .htaccess.
Si vous ne le voyez pas, assurez-vous d'activer "Afficher les fichiers cachés" dans les paramètres de votre Gestionnaire de fichiers.
Faites un clic droit sur le fichier et sélectionnez 'Modifier' ou 'Éditeur de code'.
Méthode 2 : Modification du fichier .htaccess à l'aide d'un client FTP
Alternativement, vous pouvez utiliser un client FTP pour vous connecter aux fichiers de votre site Web.
Si c'est la première fois, vous pouvez suivre notre guide complet sur comment vous connecter à votre site en utilisant FTP.
- Une fois connecté via FTP, naviguez jusqu'au répertoire racine de votre site (par exemple,
public_html). - Trouvez le fichier
.htaccess. - Téléchargez le fichier sur votre ordinateur, puis ouvrez-le dans un éditeur de texte brut comme le Bloc-notes ou TextEdit.
Ajout du code à .htaccess
Une fois que vous avez ouvert le fichier .htaccess pour le modifier par l'une ou l'autre méthode, ajoutez simplement la ligne de code suivante tout en bas du fichier :
Options -Indexes
Cela ressemblera à ceci :
Maintenant, enregistrez vos modifications. Si vous avez utilisé un client FTP, vous devez re-télécharger le fichier .htaccess modifié sur votre serveur, en écrasant l'original.
Note pour les utilisateurs de Nginx 📝 : Cette méthode .htaccess s'applique aux sites Web fonctionnant sur un serveur Web Apache. Si votre site Web est sur un serveur Nginx, ce paramètre est généralement géré au niveau du serveur par votre fournisseur d'hébergement, et la navigation dans les répertoires est généralement désactivée par défaut. Pour en savoir plus, consultez notre comparaison des serveurs Web Apache vs Nginx vs LiteSpeed.
Maintenant, si vous visitez la même URL http://example.com/wp-includes/, vous obtiendrez un message 403 Forbidden ou similaire.
Astuce bonus : Vous préférez un plugin ?
Si vous n'êtes pas à l'aise avec la modification de code, un bon plugin de sécurité WordPress peut s'en charger pour vous.
La plupart des plugins de sécurité WordPress incluent une option en un clic pour désactiver la navigation dans les répertoires dans le cadre de leurs fonctionnalités de renforcement de la sécurité du site Web, vous n'avez donc jamais à toucher un seul fichier.
Questions fréquemment posées sur la désactivation de la navigation dans les répertoires
Qu'est-ce que la navigation dans les répertoires et pourquoi représente-t-elle un risque de sécurité ?
La navigation dans les répertoires est une fonctionnalité du serveur qui liste tous les fichiers et dossiers d'un répertoire en l'absence d'un fichier d'index (comme index.php). C'est un risque de sécurité car cela expose la structure de votre site, y compris les thèmes et plugins que vous utilisez, aux attaquants potentiels.
La désactivation de la navigation dans les répertoires affecte-t-elle le SEO de mon site web ?
Non, la désactivation de la navigation dans les répertoires n'affecte pas négativement votre SEO. Les moteurs de recherche s'intéressent à votre contenu, pas à la structure de vos fichiers. En fait, l'amélioration de la sécurité de votre site web est un signal positif pour les moteurs de recherche.
Est-il préférable d'utiliser un plugin ou de modifier le fichier .htaccess ?
Les deux méthodes obtiennent le même résultat. La modification du fichier .htaccess est une solution rapide et unique. L'utilisation d'un plugin de sécurité comme Sucuri est idéale pour les débutants car elle gère ce paramètre et de nombreux autres paramètres de sécurité en un seul clic, sans avoir à modifier le code.
Et si mon site WordPress utilisait un serveur Nginx ?
Le fichier .htaccess est spécifique aux serveurs web Apache. Sur les serveurs Nginx, la liste des répertoires est généralement désactivée par défaut dans la configuration principale du serveur. Si vous pensez qu'elle est activée, vous devriez contacter votre fournisseur d'hébergement pour qu'il la désactive pour vous.
Lectures supplémentaires sur la sécurité WordPress
Vous voulez que votre site WordPress reste sécurisé et sans erreur ? Les articles suivants pourraient vous être utiles :
- Guide pour débutants sur la structure des fichiers et répertoires de WordPress
- Les erreurs WordPress les plus courantes et comment les corriger
- Comment corriger l'erreur de permissions de fichiers et de dossiers dans WordPress
- Comment protéger par mot de passe votre répertoire d'administration WordPress (wp-admin)
Nous espérons que cet article vous a aidé à apprendre comment désactiver la navigation dans les répertoires sur WordPress. Vous pourriez également consulter notre guide ultime de la sécurité WordPress ou notre sélection d'experts des meilleurs plugins de sécurité WordPress.
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Dennis Muthomi
J'ai remarqué que la navigation dans les répertoires est désactivée sur mon site WordPress, car j'ai reçu une erreur 403 en essayant d'accéder à wp-includes, pourtant je ne me souviens pas avoir jamais modifié mon fichier .htaccess pour ce faire.
WordPress désactive-t-il automatiquement la navigation dans les répertoires lors de l'installation initiale ?
Support WPBeginner
Sauf s'il y a eu un changement récent, ce n'est pas le cas par défaut, il se peut que ce soient les paramètres par défaut de votre fournisseur d'hébergement pour htaccess.
Admin
Dennis Muthomi
That’s what I was suspecting also, thanks for clarifying that WordPress doesn’t disable directory browsing by default.
And the respond too
Dayo Olobayo
Je ne savais même pas que cette vulnérabilité existait. Je viens de vérifier la mienne et j'ai obtenu l'erreur 403. ce qui signifie que la navigation dans les répertoires est désactivée. Merci.
Support WPBeginner
You’re welcome
Admin
Jiří Vaněk
Merci pour le conseil. Concernant la navigation dans les répertoires, ou le fait que je l'ai activée, le plugin AIO SEO continue de m'avertir. J'ai actuellement résolu le problème en faisant en sorte que les dossiers aient un fichier index vide. Est-il possible de considérer cela comme l'une des solutions possibles ?
Support WPBeginner
Vous pouvez essayer cette méthode, mais nous vous recommandons toujours la méthode htaccess de notre guide.
Admin
Jiří Vaněk
Merci pour le conseil, j'ai finalement utilisé la méthode Options -Indexes maintenant et AIO SEO signale déjà le problème comme résolu. Merci encore.
Ka Khaliq
Après avoir modifié le fichier htaccess conformément aux directives fournies, je vois bien le message 403 Forbidden pour /wp-includes/. Mais je ne peux pas modifier de publication. Lors de la modification d'une publication, je vois le même message 403 Forbidden. Comment résoudre ce problème ?
Support WPBeginner
Il peut y avoir un problème avec les autorisations de vos fichiers, nous vous recommandons de consulter notre guide ci-dessous pour corriger vos autorisations :
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Admin
Ka Khaliq
Le problème a été résolu après avoir effacé l'historique/le cache du web.
Merci pour votre temps.
Dina D
Merci beaucoup ! Clair, concis et facile à suivre. Merci beaucoup !
Support WPBeginner
De rien !
Admin
Rabee Khan
Merci… précis et facile à comprendre !
Support WPBeginner
Heureux que notre guide vous ait été utile !
Admin
Kimmy
Merci pour la solution en deux mots ! Lol. Ça a parfaitement fonctionné !
Support WPBeginner
Glad we could help!
Admin
Seashell
J'ai été choqué de voir les dossiers accessibles directement dans le navigateur.
Merci pour votre solution !
Support WPBeginner
Glad we could help!
Admin