Spesso vediamo siti web che dimenticano di disabilitare la navigazione delle directory. A prima vista, potrebbe non sembrare un grosso problema, ma questa piccola svista può esporre informazioni sensibili e mettere a rischio il tuo sito.
Quando la navigazione delle directory è abilitata, chiunque può visualizzare i file e le cartelle sul tuo server. Gli hacker possono utilizzare queste informazioni per identificare le debolezze nei tuoi plugin, temi o persino nel tuo ambiente di hosting.
Fortunatamente, risolvere questo problema è rapido e semplice. Disattivando la navigazione delle directory, aggiungi un ulteriore livello di protezione e rendi molto più difficile per gli aggressori prendere di mira il tuo sito.
In questa guida, ti illustrerò i semplici passaggi per disabilitare la navigazione delle directory in WordPress in modo da poter proteggere il tuo sito web e mantenere i tuoi dati al sicuro.
Ecco una rapida panoramica degli argomenti che tratterò in questa guida:
- Cosa fa la disabilitazione della navigazione delle directory in WordPress?
- Come verificare se la navigazione delle directory è abilitata in WordPress
- How to Disable Directory Browsing in WordPress
- Domande frequenti sulla disabilitazione della navigazione delle directory
- Letture aggiuntive per la sicurezza di WordPress
Cosa fa la disabilitazione della navigazione delle directory in WordPress?
Disabilitare la navigazione delle directory impedisce ai visitatori di vedere un elenco di file e cartelle sul tuo sito quando un file di indice non è disponibile. Invece di mostrare quella directory grezza, il server visualizzerà una pagina vuota o un messaggio di errore.
Quando qualcuno visita il tuo sito web, il server normalmente invia un file di indice (come index.html o index.php) al suo browser. Se quel file manca, molti server visualizzeranno tutti i file presenti in quella cartella.
Questo comportamento è chiamato esplorazione delle directory ed è spesso abilitato per impostazione predefinita sui server di hosting.
Il problema è che questo espone dettagli sensibili sulla struttura del tuo sito. Gli hacker possono usarlo per cercare vulnerabilità nei plugin, nei temi o persino nel tuo ambiente di hosting.
In alcuni casi, l'esplorazione delle directory può anche rivelare contenuti privati o a pagamento, come download di ebook o corsi online, che potrebbero quindi essere copiati senza autorizzazione.
Ecco perché sottolineiamo sempre questo rischio quando aiutiamo i principianti. Disattivare l'esplorazione delle directory è una modifica rapida che può proteggere il tuo sito e prevenire perdite di entrate non necessarie.
Come verificare se la navigazione delle directory è abilitata in WordPress
Un modo semplice per verificare se l'esplorazione delle directory è abilitata sul tuo sito WordPress è visitare direttamente la cartella /wp-includes/.
Ad esempio, inserisci semplicemente un URL come questo: https://example.com/wp-includes/ nel tuo browser.
Assicurati di sostituire example.com con il nome di dominio effettivo del tuo sito web. Questo semplice test funziona sulla maggior parte delle installazioni WordPress.
Se vedi un messaggio 403 Forbidden o un errore simile, significa che l'esplorazione delle directory è già disabilitata. Questo è un buon segno poiché significa che il tuo sito web è più sicuro.
Se invece appare un elenco di file e cartelle, significa che l'esplorazione delle directory è abilitata.
Lasciare la navigazione delle directory abilitata rende il tuo sito web vulnerabile ad attacchi malevoli.
Secondo la nostra esperienza, abilitare la navigazione delle directory espone informazioni sensibili e aumenta i rischi per la sicurezza. Per questo motivo, è meglio disabilitare la navigazione delle directory in WordPress per mantenere il tuo sito sicuro.
Come disabilitare la navigazione delle directory in WordPress
Puoi disabilitare la navigazione delle directory aggiungendo una singola riga di codice al file .htaccess del tuo WordPress.
Questo è un potente file di configurazione del server, quindi è molto importante fare un backup del tuo file .htaccess prima di apportare qualsiasi modifica. Una modifica errata potrebbe rendere il tuo sito inaccessibile.
Suggerimento: Utilizziamo Duplicator per eseguire automaticamente il backup di tutti i nostri siti web WordPress. Ti consente di creare backup pianificati e su richiesta. Ancora più importante, puoi ripristinare facilmente il tuo sito web con 1 clic. Consulta la nostra recensione completa di Duplicator per maggiori dettagli.
Puoi accedere a questo file utilizzando due metodi principali:
Metodo 1: Modifica del file .htaccess utilizzando il File Manager in cPanel
Il metodo più semplice per la maggior parte degli utenti è utilizzare l'app File Manager fornita nel pannello di controllo del tuo account di hosting WordPress (cPanel).
Innanzitutto, accedi al tuo account di hosting e apri il File Manager.
Naviga nella cartella principale del tuo sito web, spesso denominata public_html.
Ora, individua il file .htaccess.
Se non riesci a vederlo, assicurati di abilitare "Mostra file nascosti" nelle impostazioni del tuo File Manager.
Fai clic con il pulsante destro del mouse sul file e seleziona 'Modifica' o 'Editor di codice'.
Metodo 2: Modifica del file .htaccess utilizzando un client FTP
In alternativa, puoi utilizzare un client FTP per connetterti ai file del tuo sito web.
Se è la prima volta, puoi seguire la nostra guida completa su come connettersi al tuo sito tramite FTP.
- Una volta connesso tramite FTP, naviga nella directory principale del tuo sito (ad esempio,
public_html). - Trova il file
.htaccess. - Scarica il file sul tuo computer, quindi aprilo in un editor di testo semplice come Blocco note o TextEdit.
Aggiungere il codice a .htaccess
Una volta aperto il file .htaccess per la modifica con uno dei due metodi, aggiungi semplicemente la seguente riga di codice in fondo al file:
Options -Indexes
Sarà simile a questa:
Ora, salva le modifiche. Se hai utilizzato un client FTP, devi ricaricare il file .htaccess modificato sul tuo server, sovrascrivendo l'originale.
Nota per gli utenti Nginx 📝: Questo metodo con .htaccess si applica ai siti web in esecuzione su un server web Apache. Se il tuo sito web si trova su un server Nginx, questa impostazione viene solitamente gestita a livello di server dal tuo provider di hosting e la navigazione delle directory è tipicamente disabilitata per impostazione predefinita. Per saperne di più, consulta il nostro confronto tra i server web Apache vs Nginx vs LiteSpeed.
Ora, se visiti lo stesso URL http://example.com/wp-includes/, otterrai un messaggio di errore 403 Forbidden o simile.
Suggerimento bonus: preferisci un plugin?
Se non ti senti a tuo agio nell'editare codice, un buon plugin di sicurezza per WordPress può occuparsene per te.
La maggior parte dei plugin di sicurezza per WordPress include un'opzione con un clic per disabilitare la navigazione delle directory come parte delle loro funzionalità di rafforzamento del sito web, in modo da non dover mai toccare un singolo file.
Domande frequenti sulla disabilitazione della navigazione delle directory
Cos'è la navigazione delle directory e perché rappresenta un rischio per la sicurezza?
La navigazione delle directory è una funzionalità del server che elenca tutti i file e le cartelle all'interno di una directory se manca un file di indice (come index.php). È un rischio per la sicurezza perché espone la struttura del tuo sito, inclusi i temi e i plugin che utilizzi, a potenziali aggressori.
La disabilitazione della navigazione delle directory influisce sulla SEO del mio sito web?
No, la disabilitazione della navigazione delle directory non influisce negativamente sulla tua SEO. I motori di ricerca sono interessati ai tuoi contenuti, non alla struttura dei tuoi file. Infatti, migliorare la sicurezza del tuo sito web è un segnale positivo per i motori di ricerca.
È meglio usare un plugin o modificare il file .htaccess?
Entrambi i metodi ottengono lo stesso risultato. La modifica del file .htaccess è una soluzione rapida e una tantum. L'utilizzo di un plugin di sicurezza come Sucuri è ottimo per i principianti in quanto gestisce questa e molte altre impostazioni di sicurezza con un singolo clic, senza dover modificare il codice.
E se il mio sito WordPress utilizza un server Nginx?
Il file .htaccess è specifico per i server web Apache. Sui server Nginx, l'elenco delle directory è tipicamente disabilitato per impostazione predefinita nella configurazione principale del server. Se sospetti che sia abilitato, dovresti contattare il tuo provider di hosting per farlo disabilitare.
Letture aggiuntive per la sicurezza di WordPress
Vuoi mantenere il tuo sito web WordPress sicuro e privo di errori? Potresti trovare utili i seguenti articoli:
- Guida per principianti alla struttura di file e directory di WordPress
- Errori più comuni di WordPress e come risolverli
- Come risolvere l'errore delle autorizzazioni di file e cartelle in WordPress
- Come proteggere con password la directory di amministrazione di WordPress (wp-admin)
Speriamo che questo articolo ti abbia aiutato a capire come disabilitare la navigazione per directory in WordPress. Potresti anche voler consultare la nostra guida definitiva alla sicurezza di WordPress o la nostra selezione di esperti dei migliori plugin di sicurezza per WordPress.
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Dennis Muthomi
Ho notato che ho la navigazione delle directory disabilitata sul mio sito WordPress, perché ho ricevuto un errore 403 quando ho cercato di accedere a wp-includes, eppure non ricordo di aver mai modificato il mio file .htaccess per farlo.
WordPress disabilita automaticamente la navigazione delle directory durante l'installazione iniziale?
Supporto WPBeginner
A meno che non ci sia stato un cambiamento recente, di default non lo fa, potrebbero essere le impostazioni predefinite del tuo provider di hosting per htaccess.
Amministratore
Dennis Muthomi
That’s what I was suspecting also, thanks for clarifying that WordPress doesn’t disable directory browsing by default.
And the respond too
Dayo Olobayo
Non sapevo nemmeno che esistesse questa vulnerabilità. Ho appena controllato la mia e ho ottenuto l'errore 403, il che significa che la navigazione delle directory è disabilitata. Grazie.
Supporto WPBeginner
You’re welcome
Amministratore
Jiří Vaněk
Grazie per il consiglio. Sulla navigazione delle directory, o sul fatto che l'abbia abilitata, il plugin AIO SEO continua ad avvisarmi. Ho risolto il problema creando un file index vuoto nelle cartelle. È possibile considerarlo una delle possibili soluzioni?
Supporto WPBeginner
Puoi provare quel metodo, ma ti raccomandiamo comunque il metodo htaccess dalla nostra guida.
Amministratore
Jiří Vaněk
Grazie per il consiglio, ho finalmente usato il metodo Options -Indexes ora e AIO SEO riporta già il problema come risolto. Grazie ancora.
Ka Khaliq
Dopo aver modificato il file htaccess secondo le linee guida fornite, vedo il messaggio 403 Forbidden per /wp-includes/. Ma non riesco a modificare nessun post. Quando modifico un post, vedo lo stesso messaggio 403 Forbidden. Come posso risolvere questo problema?
Supporto WPBeginner
Potrebbe esserci un problema con i permessi dei tuoi file, ti consigliamo di dare un'occhiata alla nostra guida qui sotto per correggere i tuoi permessi:
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Amministratore
Ka Khaliq
Il problema si è risolto dopo aver cancellato la cronologia/cache del web.
Grazie per il tuo tempo.
Dina D
Grazie mille! Chiaro, conciso e facile da seguire. Grazie mille!
Supporto WPBeginner
Prego!
Amministratore
Rabee Khan
Grazie... preciso e facile da capire!
Supporto WPBeginner
Siamo lieti che la nostra guida sia stata utile!
Amministratore
Kimmy
Grazie per la soluzione di due parole! Lol. Ha funzionato perfettamente!
Supporto WPBeginner
Glad we could help!
Amministratore
Conchiglia
Sono rimasto scioccato nel vedere le cartelle accessibili direttamente nel browser.
Grazie per la tua soluzione!
Supporto WPBeginner
Glad we could help!
Amministratore
Deepak Kumar
Funziona alla grande. Gli articoli su wpbeginners sono come soluzioni pronte all'uso. Continuate così.
Ayo
Come risolvo ora l'errore 404 che arriva dopo?
Pradip Singh
Mi sono innamorato di questo sito web. Ogni giorno sono sorpreso quando leggo un nuovo articolo da questo sito. Fortunatamente ho letto questo articolo oggi e ho immediatamente implementato il consiglio.
Supporto WPBeginner
Glad you found our content helpful
Amministratore
Sourabh
Bloccherà le CDN dall'accedere al mio sito web per contenuti statici?
Supporto WPBeginner
No, non lo farà.
Amministratore
sami
Questo metodo influisce sul crawling di Google? È SEO friendly?
Supporto WPBeginner
Non dovrebbe influire sui motori di ricerca che scansionano il tuo sito.
Amministratore
Meera Shaikh
Grazie, è fatto
Supporto WPBeginner
You’re welcome
Amministratore
Pradeep
Grazie amico mio, ho appena provato e ha funzionato.
Sei un genio.
Supporto WPBeginner
Glad our guide was helpful
Amministratore
mousam
Grazie. Ho applicato e ha funzionato.
Siete la migliore fonte per imparare WordPress.
Supporto WPBeginner
You’re welcome, glad our guide was helpful
Amministratore
Kevine
Grazie mille per questo. Ha risolto il mio problema.
Grazie ancora.
Supporto WPBeginner
You’re welcome, glad our guide was helpful
Amministratore
malika
Grazie per aver condiviso informazioni!
Supporto WPBeginner
You’re welcome
Amministratore
Jonthan
Quindi va bene avere questo codice nel file .htaccess anche quando è presente un file index.php nella cartella principale.
Rispondi gentilmente.
Supporto WPBeginner
Yes
Amministratore
Teresa Cuervo
Hai bisogno di Filezilla per fare questo o puoi accedere all'FTP tramite Cpanel e farlo?
Grazie
Supporto WPBeginner
You can use either, not all hosts have a file manager is why we show Filezilla
Amministratore
michael
Ciao
questa azione influisce sull'indicizzazione delle pagine sui motori di ricerca?
e crea qualche problema per le pagine indicizzate del mio sito WordPress?
Grazie
Supporto WPBeginner
No, non dovrebbe influire negativamente.
Amministratore
Rhen Castrodes
Grazie. funziona
Supporto WPBeginner
Glad our recommendation was able to help you
Amministratore
John
Grazie! Funziona ancora adesso nel 2020.
Supporto WPBeginner
You’re welcome
Amministratore
Shams
Post incredibile,
Ho una semplice domanda, ho aggiunto questo codice e funziona, la domanda è se Google indicizzerà quelle pagine ad esempio sitecom/wp-contents/2019/2, Google rimuoverà automaticamente quelle pagine ora dato che sono 404. O dovrei rimuoverle in Search Console?
Grazie
Supporto WPBeginner
Questo codice non dovrebbe far sì che i tuoi collegamenti diretti a immagini e file diventino 404.
Amministratore
Bill
Ciao!
Ho applicato questa regola di recente
e lo stesso giorno la pagina principale del mio blog
è scomparsa dall'indice di Google.
Vedi qualche connessione?
Supporto WPBeginner
L'aggiunta di questo al tuo htaccess non dovrebbe influire sull'indicizzazione; ci sono molteplici ragioni e dovresti controllare la tua Google Search Console per vedere cosa dice della tua home page.
Amministratore
Ionel G
Grazie per tutti i suggerimenti che fornisci!
Mi chiedo ancora come si possa nascondere la cartella wp-content & wp-include dalle sorgenti? Odio quando qualcuno fa clic destro e vede tutte le mie plugin :). Hai qualche script per questo?
Grazie in anticipo!
Supporto WPBeginner
Al momento non abbiamo un metodo consigliato per questo; il motivo più comune per cui non vedi quelle cartelle negli strumenti per sviluppatori è la cache del sito.
Amministratore
Mayur
Potresti dirmi come posso disabilitare WordPress in una sottocartella, ad esempio la mia installazione di WordPress su [www.mydomain.com] e voglio disabilitare WordPress su [www.mydomain.com/customscript]?
Supporto WPBeginner
Potresti voler dare prima un'occhiata alla creazione di un modello di pagina personalizzato: https://www.wpbeginner.com/wp-themes/how-to-create-a-custom-page-in-wordpress/
Altrimenti, dovresti creare una cartella con quel nome e all'interno di quella cartella aggiungere un file index.html affinché appaia una pagina non WordPress.
Amministratore
Rafael
Grazie. Ha funzionato perfettamente per tutti i browser.
Dipankar
ma wp-content è visibile. come rimuoverlo anche.
Deatram
Ho disabilitato la navigazione nella directory, ma qualcuno può ancora vedere la mia directory quando usa gli strumenti per sviluppatori nel browser Chrome. Come disabilito anche quello?
Faeze
Ho aggiunto la riga che hai detto in .htaccess ma mostra ancora le mie directory.
Cosa devo fare ora??
Nathan
Quando faccio clic su “Salva modifiche” nella pagina delle impostazioni dei Permalink, il file .htaccess viene aggiornato, cancellando il codice “Options -Indexes” che ho inserito. Il codice funziona bene, ma sono preoccupato di cancellarlo inconsapevolmente mentre eseguo qualche altra operazione. Ci sono altre modifiche alle impostazioni della dashboard che dovrei conoscere e che potrebbero influire sul file .htaccess e cancellare il codice? Grazie
Tôi Sống
Fantastico, funziona molto bene!
Baggio
Enorme fan di wpbeginner, Optin Monster – ho ricevuto così tanti consigli e trucchi utili su WP – e devo dire che il design del sito è semplicemente brillante. E naturalmente, il contenuto qui è estremamente utile.
Grazie ragazzi!
daniel
Ehi! Non sembra funzionare. se trascino un'immagine su un'altra pagina, viene aperta con un link di: example.com/wp-content/uploads/…
Qualche idea? grazie!
Supporto WPBeginner
Ciao Daniel,
Le tue immagini e i tuoi file all'interno delle directory possono ancora essere accessibili direttamente. Tuttavia, il server non permetterà a qualcuno di navigare direttamente in una directory e vederne il contenuto.
Amministratore
Axel Jebens
Apprezzerei se potessi approfondire questo aspetto. Ho avuto difficoltà nel trovare una soluzione per questo problema. Ci sono alcune idee basate su un htaccess che reindirizza a un file php che prima controlla se l'utente è loggato. Esiste un plugin che fornisce tale funzione?
Ünal Hoca
Grazie
Khalid Mahmud
Grazie. Funziona.......
Kim
Scusa il ritardo nella domanda. Voglio sapere, queste tecniche sono sicure da usare per quanto riguarda il punteggio SEO? Spero tu risponda!
Supporto WPBeginner
Sì, lo sono.
Amministratore
Kimmy
Funziona ancora abbastanza bene. Fantastico, semplice e funzionante. Grazie!
Charles
Sto scrivendo questo stesso codice da settimane ma la mia directory rimane visibile agli utenti. Per favore, cosa sto sbagliando? O potrebbe essere che il mio sito stia ancora caricando contenuti dalla cache? Tutti dicono che funziona ma la mia esperienza è diversa. Qualsiasi aiuto sarà apprezzato! Grazie in anticipo per la tua risposta.
Kimmy
Su quale parte stai avendo problemi? Qual è il tuo provider di hosting, tra l'altro?
Lily
Grazie. Ha funzionato alla grande!
Prakash
Questo trucco sopra non funziona, amico...
Mike
C'è un modo per consentire la visualizzazione di una directory ma nascondere solo il link della directory padre per una pagina specifica? Si tratterebbe di una cartella condivisa di rete a cui più persone accederebbero, con sottocartelle che richiederebbero comunque un elenco della directory padre. Voglio solo che nessuno vada sopra la cartella condivisa.
Christian Nastari
Questo non ha funzionato per me. Ho provato prima e dopo #END WordPress e non ha funzionato. Ho anche provato "Options All -Indexes", ma non ha funzionato nemmeno.
hrwhisper
molto utile, grazie mille
nitai
Davvero fantastico. oggi mi sono imbattuto e stavo pensando a come potrei disabilitare come joomla e ho trovato la soluzione esatta.
Rob Myrick
Questo è stato molto utile e veloce – grazie
Anita in SD
Grazie mille, ero sconcertato nel vedere le immagini dal mio sito andare in una directory padre :0. Questo è stato molto utile e ha funzionato bene.
Benedizioni – A
Heather Jacobsen
Thanks for this tutorial. It worked great for hiding my uploads from anyone just wanting to browse that directory. One question, though. Does this by chance turn off the ability of search engines to browse my website. Sorry if it seems like a dumb question. I am a newbie, after all.
Wasil Burki
Ho aggiunto il codice Options -Indexes al file htaccess, tuttavia ora non riesco ad accedere al sito, ricevo un errore 503. Sto facendo qualcosa di sbagliato? Ho bisogno di aiuto urgente!! Grazie