Spesso vediamo siti web che dimenticano di disabilitare la navigazione delle directory. A prima vista, potrebbe non sembrare un grosso problema, ma questa piccola svista può esporre informazioni sensibili e mettere a rischio il tuo sito.
Quando la navigazione delle directory è abilitata, chiunque può visualizzare i file e le cartelle sul tuo server. Gli hacker possono utilizzare queste informazioni per identificare le debolezze nei tuoi plugin, temi o persino nel tuo ambiente di hosting.
Fortunatamente, risolvere questo problema è rapido e semplice. Disattivando la navigazione delle directory, aggiungi un ulteriore livello di protezione e rendi molto più difficile per gli aggressori prendere di mira il tuo sito.
In questa guida, ti illustrerò i semplici passaggi per disabilitare la navigazione delle directory in WordPress in modo da poter proteggere il tuo sito web e mantenere i tuoi dati al sicuro.
Ecco una rapida panoramica degli argomenti che tratterò in questa guida:
- Cosa fa la disabilitazione della navigazione delle directory in WordPress?
- Come verificare se la navigazione delle directory è abilitata in WordPress
- How to Disable Directory Browsing in WordPress
- Domande frequenti sulla disabilitazione della navigazione delle directory
- Letture aggiuntive per la sicurezza di WordPress
Cosa fa la disabilitazione della navigazione delle directory in WordPress?
Disabilitare la navigazione delle directory impedisce ai visitatori di vedere un elenco di file e cartelle sul tuo sito quando un file di indice non è disponibile. Invece di mostrare quella directory grezza, il server visualizzerà una pagina vuota o un messaggio di errore.
Quando qualcuno visita il tuo sito web, il server normalmente invia un file di indice (come index.html o index.php) al suo browser. Se quel file manca, molti server visualizzeranno tutti i file presenti in quella cartella.
Questo comportamento è chiamato esplorazione delle directory ed è spesso abilitato per impostazione predefinita sui server di hosting.
Il problema è che questo espone dettagli sensibili sulla struttura del tuo sito. Gli hacker possono usarlo per cercare vulnerabilità nei plugin, nei temi o persino nel tuo ambiente di hosting.
In alcuni casi, l'esplorazione delle directory può anche rivelare contenuti privati o a pagamento, come download di ebook o corsi online, che potrebbero quindi essere copiati senza autorizzazione.
Ecco perché sottolineiamo sempre questo rischio quando aiutiamo i principianti. Disattivare l'esplorazione delle directory è una modifica rapida che può proteggere il tuo sito e prevenire perdite di entrate non necessarie.
Come verificare se la navigazione delle directory è abilitata in WordPress
Un modo semplice per verificare se l'esplorazione delle directory è abilitata sul tuo sito WordPress è visitare direttamente la cartella /wp-includes/.
Ad esempio, inserisci semplicemente un URL come questo: https://example.com/wp-includes/ nel tuo browser.
Assicurati di sostituire example.com con il nome di dominio effettivo del tuo sito web. Questo semplice test funziona sulla maggior parte delle installazioni WordPress.
Se vedi un messaggio 403 Forbidden o un errore simile, significa che l'esplorazione delle directory è già disabilitata. Questo è un buon segno poiché significa che il tuo sito web è più sicuro.
Se invece appare un elenco di file e cartelle, significa che l'esplorazione delle directory è abilitata.
Lasciare la navigazione delle directory abilitata rende il tuo sito web vulnerabile ad attacchi malevoli.
Secondo la nostra esperienza, abilitare la navigazione delle directory espone informazioni sensibili e aumenta i rischi per la sicurezza. Per questo motivo, è meglio disabilitare la navigazione delle directory in WordPress per mantenere il tuo sito sicuro.
Come disabilitare la navigazione delle directory in WordPress
Puoi disabilitare la navigazione delle directory aggiungendo una singola riga di codice al file .htaccess del tuo WordPress.
Questo è un potente file di configurazione del server, quindi è molto importante fare un backup del tuo file .htaccess prima di apportare qualsiasi modifica. Una modifica errata potrebbe rendere il tuo sito inaccessibile.
Suggerimento: Utilizziamo Duplicator per eseguire automaticamente il backup di tutti i nostri siti web WordPress. Ti consente di creare backup pianificati e su richiesta. Ancora più importante, puoi ripristinare facilmente il tuo sito web con 1 clic. Consulta la nostra recensione completa di Duplicator per maggiori dettagli.
Puoi accedere a questo file utilizzando due metodi principali:
Metodo 1: Modifica del file .htaccess utilizzando il File Manager in cPanel
Il metodo più semplice per la maggior parte degli utenti è utilizzare l'app File Manager fornita nel pannello di controllo del tuo account di hosting WordPress (cPanel).
Innanzitutto, accedi al tuo account di hosting e apri il File Manager.
Naviga nella cartella principale del tuo sito web, spesso denominata public_html.
Ora, individua il file .htaccess.
Se non riesci a vederlo, assicurati di abilitare "Mostra file nascosti" nelle impostazioni del tuo File Manager.
Fai clic con il pulsante destro del mouse sul file e seleziona 'Modifica' o 'Editor di codice'.
Metodo 2: Modifica del file .htaccess utilizzando un client FTP
In alternativa, puoi utilizzare un client FTP per connetterti ai file del tuo sito web.
Se è la prima volta, puoi seguire la nostra guida completa su come connettersi al tuo sito tramite FTP.
- Una volta connesso tramite FTP, naviga nella directory principale del tuo sito (ad esempio,
public_html). - Trova il file
.htaccess. - Scarica il file sul tuo computer, quindi aprilo in un editor di testo semplice come Blocco note o TextEdit.
Aggiungere il codice a .htaccess
Una volta aperto il file .htaccess per la modifica con uno dei due metodi, aggiungi semplicemente la seguente riga di codice in fondo al file:
Options -Indexes
Sarà simile a questa:
Ora, salva le modifiche. Se hai utilizzato un client FTP, devi ricaricare il file .htaccess modificato sul tuo server, sovrascrivendo l'originale.
Nota per gli utenti Nginx 📝: Questo metodo con .htaccess si applica ai siti web in esecuzione su un server web Apache. Se il tuo sito web si trova su un server Nginx, questa impostazione viene solitamente gestita a livello di server dal tuo provider di hosting e la navigazione delle directory è tipicamente disabilitata per impostazione predefinita. Per saperne di più, consulta il nostro confronto tra i server web Apache vs Nginx vs LiteSpeed.
Ora, se visiti lo stesso URL http://example.com/wp-includes/, otterrai un messaggio di errore 403 Forbidden o simile.
Suggerimento bonus: preferisci un plugin?
Se non ti senti a tuo agio nell'editare codice, un buon plugin di sicurezza per WordPress può occuparsene per te.
La maggior parte dei plugin di sicurezza per WordPress include un'opzione con un clic per disabilitare la navigazione delle directory come parte delle loro funzionalità di rafforzamento del sito web, in modo da non dover mai toccare un singolo file.
Domande frequenti sulla disabilitazione della navigazione delle directory
Cos'è la navigazione delle directory e perché rappresenta un rischio per la sicurezza?
La navigazione delle directory è una funzionalità del server che elenca tutti i file e le cartelle all'interno di una directory se manca un file di indice (come index.php). È un rischio per la sicurezza perché espone la struttura del tuo sito, inclusi i temi e i plugin che utilizzi, a potenziali aggressori.
La disabilitazione della navigazione delle directory influisce sulla SEO del mio sito web?
No, la disabilitazione della navigazione delle directory non influisce negativamente sulla tua SEO. I motori di ricerca sono interessati ai tuoi contenuti, non alla struttura dei tuoi file. Infatti, migliorare la sicurezza del tuo sito web è un segnale positivo per i motori di ricerca.
È meglio usare un plugin o modificare il file .htaccess?
Entrambi i metodi ottengono lo stesso risultato. La modifica del file .htaccess è una soluzione rapida e una tantum. L'utilizzo di un plugin di sicurezza come Sucuri è ottimo per i principianti in quanto gestisce questa e molte altre impostazioni di sicurezza con un singolo clic, senza dover modificare il codice.
E se il mio sito WordPress utilizza un server Nginx?
Il file .htaccess è specifico per i server web Apache. Sui server Nginx, l'elenco delle directory è tipicamente disabilitato per impostazione predefinita nella configurazione principale del server. Se sospetti che sia abilitato, dovresti contattare il tuo provider di hosting per farlo disabilitare.
Letture aggiuntive per la sicurezza di WordPress
Vuoi mantenere il tuo sito web WordPress sicuro e privo di errori? Potresti trovare utili i seguenti articoli:
- Guida per principianti alla struttura di file e directory di WordPress
- Errori più comuni di WordPress e come risolverli
- Come risolvere l'errore delle autorizzazioni di file e cartelle in WordPress
- Come proteggere con password la directory di amministrazione di WordPress (wp-admin)
Speriamo che questo articolo ti abbia aiutato a capire come disabilitare la navigazione per directory in WordPress. Potresti anche voler consultare la nostra guida definitiva alla sicurezza di WordPress o la nostra selezione di esperti dei migliori plugin di sicurezza per WordPress.
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Dennis Muthomi
Ho notato che ho la navigazione delle directory disabilitata sul mio sito WordPress, perché ho ricevuto un errore 403 quando ho cercato di accedere a wp-includes, eppure non ricordo di aver mai modificato il mio file .htaccess per farlo.
WordPress disabilita automaticamente la navigazione delle directory durante l'installazione iniziale?
Supporto WPBeginner
A meno che non ci sia stato un cambiamento recente, di default non lo fa, potrebbero essere le impostazioni predefinite del tuo provider di hosting per htaccess.
Amministratore
Dennis Muthomi
That’s what I was suspecting also, thanks for clarifying that WordPress doesn’t disable directory browsing by default.
And the respond too
Dayo Olobayo
Non sapevo nemmeno che esistesse questa vulnerabilità. Ho appena controllato la mia e ho ottenuto l'errore 403, il che significa che la navigazione delle directory è disabilitata. Grazie.
Supporto WPBeginner
You’re welcome
Amministratore
Jiří Vaněk
Grazie per il consiglio. Sulla navigazione delle directory, o sul fatto che l'abbia abilitata, il plugin AIO SEO continua ad avvisarmi. Ho risolto il problema creando un file index vuoto nelle cartelle. È possibile considerarlo una delle possibili soluzioni?
Supporto WPBeginner
Puoi provare quel metodo, ma ti raccomandiamo comunque il metodo htaccess dalla nostra guida.
Amministratore
Jiří Vaněk
Grazie per il consiglio, ho finalmente usato il metodo Options -Indexes ora e AIO SEO riporta già il problema come risolto. Grazie ancora.
Ka Khaliq
Dopo aver modificato il file htaccess secondo le linee guida fornite, vedo il messaggio 403 Forbidden per /wp-includes/. Ma non riesco a modificare nessun post. Quando modifico un post, vedo lo stesso messaggio 403 Forbidden. Come posso risolvere questo problema?
Supporto WPBeginner
Potrebbe esserci un problema con i permessi dei tuoi file, ti consigliamo di dare un'occhiata alla nostra guida qui sotto per correggere i tuoi permessi:
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Amministratore
Ka Khaliq
Il problema si è risolto dopo aver cancellato la cronologia/cache del web.
Grazie per il tuo tempo.
Dina D
Grazie mille! Chiaro, conciso e facile da seguire. Grazie mille!
Supporto WPBeginner
Prego!
Amministratore
Rabee Khan
Grazie... preciso e facile da capire!
Supporto WPBeginner
Siamo lieti che la nostra guida sia stata utile!
Amministratore
Kimmy
Grazie per la soluzione di due parole! Lol. Ha funzionato perfettamente!
Supporto WPBeginner
Glad we could help!
Amministratore
Conchiglia
Sono rimasto scioccato nel vedere le cartelle accessibili direttamente nel browser.
Grazie per la tua soluzione!
Supporto WPBeginner
Glad we could help!
Amministratore