Często widzimy strony internetowe, które zapominają wyłączyć przeglądanie katalogów. Na pierwszy rzut oka może się to nie wydawać wielkim problemem, ale to drobne przeoczenie może ujawnić poufne informacje i narazić Twoją witrynę na ryzyko.
Gdy przeglądanie katalogów jest włączone, każdy może przeglądać pliki i foldery na Twoim serwerze. Hakerzy mogą wykorzystać te informacje do zidentyfikowania słabych punktów w Twoich wtyczkach, motywach, a nawet w Twoim środowisku hostingowym.
Na szczęście rozwiązanie tego problemu jest szybkie i łatwe. Wyłączając przeglądanie katalogów, dodajesz dodatkową warstwę ochrony i znacznie utrudniasz atakującym celowanie w Twoją witrynę.
W tym przewodniku przeprowadzę Cię przez proste kroki, aby wyłączyć przeglądanie katalogów w WordPress, dzięki czemu możesz zabezpieczyć swoją witrynę i utrzymać bezpieczeństwo danych.
Oto szybki przegląd tematów, które omówię w tym przewodniku:
- Co daje wyłączenie przeglądania katalogów w WordPress?
- Jak sprawdzić, czy przeglądanie katalogów jest włączone w WordPress
- How to Disable Directory Browsing in WordPress
- Często zadawane pytania dotyczące wyłączania przeglądania katalogów
- Dodatkowe lektury na temat bezpieczeństwa WordPress
Co daje wyłączenie przeglądania katalogów w WordPress?
Wyłączenie przeglądania katalogów uniemożliwia odwiedzającym zobaczenie listy plików i folderów na Twojej stronie, gdy plik indeksu nie jest dostępny. Zamiast wyświetlać surowy katalog, serwer wyświetli pustą stronę lub komunikat o błędzie.
Kiedy ktoś odwiedza Twoją witrynę, serwer zazwyczaj wysyła plik indeksu (np. index.html lub index.php) do jego przeglądarki. Jeśli ten plik brakuje, wiele serwerów wyświetli wszystkie pliki w tym folderze.
Takie zachowanie nazywa się przeglądaniem katalogów i często jest domyślnie włączone na serwerach hostingowych.
Problem polega na tym, że ujawnia to poufne szczegóły dotyczące struktury Twojej witryny. Hakerzy mogą jej użyć do wyszukiwania podatności w wtyczkach, motywach, a nawet w Twoim środowisku hostingowym.
W niektórych przypadkach przeglądanie katalogów może również ujawnić prywatne lub płatne treści, takie jak pobieranie e-booków lub kursy online, które następnie można by skopiować bez pozwolenia.
Dlatego zawsze zwracamy uwagę na to ryzyko, pomagając początkującym. Wyłączenie przeglądania katalogów to szybka zmiana, która może zabezpieczyć Twoją witrynę i zapobiec niepotrzebnym stratom przychodów.
Jak sprawdzić, czy przeglądanie katalogów jest włączone w WordPress
Prosty sposób na sprawdzenie, czy przeglądanie katalogów jest włączone na Twojej witrynie WordPress, to bezpośrednie odwiedzenie folderu /wp-includes/.
Na przykład, po prostu wpisz adres URL taki jak ten: https://example.com/wp-includes/ w swojej przeglądarce.
Upewnij się, że zastąpiłeś example.com nazwą domeny swojej witryny. Ten prosty test działa w większości instalacji WordPress.
Jeśli zobaczysz komunikat 403 Forbidden lub podobny błąd, oznacza to, że przeglądanie katalogów jest już wyłączone. To dobry znak, ponieważ oznacza, że Twoja strona internetowa jest bezpieczniejsza.
Jeśli zamiast tego pojawi się lista plików i folderów, oznacza to, że przeglądanie katalogów jest włączone.
Pozostawienie włączonego przeglądania katalogów naraża Twoją witrynę na złośliwe ataki.
Z naszego doświadczenia wynika, że włączenie przeglądania katalogów ujawnia poufne informacje i zwiększa ryzyko bezpieczeństwa. Z tego powodu najlepiej wyłączyć przeglądanie katalogów w WordPress, aby zapewnić bezpieczeństwo Twojej witryny.
Jak wyłączyć przeglądanie katalogów w WordPress
Możesz wyłączyć przeglądanie katalogów, dodając jedną linię kodu do pliku WordPress .htaccess.
To jest potężny plik konfiguracyjny serwera, dlatego bardzo ważne jest, aby wykonać kopię zapasową pliku .htaccess przed wprowadzeniem jakichkolwiek zmian. Nieprawidłowa edycja może spowodować niedostępność Twojej witryny.
Wskazówka: Używamy Duplicator do automatycznego tworzenia kopii zapasowych wszystkich naszych stron WordPress. Pozwala na tworzenie kopii zapasowych zaplanowanych, jak i na żądanie. Co ważniejsze, możesz łatwo przywrócić swoją stronę za pomocą 1 kliknięcia. Zobacz naszą pełną recenzję Duplicator, aby uzyskać więcej szczegółów.
Możesz uzyskać dostęp do tego pliku za pomocą dwóch głównych metod:
Metoda 1: Edytuj plik .htaccess za pomocą menedżera plików w cPanelu
Najłatwiejszą metodą dla większości użytkowników jest użycie aplikacji Menedżer plików dostępnej w panelu sterowania konta hostingowego WordPress (cPanel).
Najpierw zaloguj się na swoje konto hostingowe i otwórz Menedżer plików.
Przejdź do głównego folderu swojej witryny, który często nazywa się public_html.
Teraz zlokalizuj plik .htaccess.
Jeśli go nie widzisz, upewnij się, że w ustawieniach Menedżera plików masz włączoną opcję „Pokaż ukryte pliki”.
Kliknij prawym przyciskiem myszy na plik i wybierz „Edytuj” lub „Edytor kodu”.
Metoda 2: Edycja pliku .htaccess za pomocą klienta FTP
Alternatywnie, możesz użyć klienta FTP, aby połączyć się z plikami swojej witryny.
Jeśli robisz to po raz pierwszy, możesz skorzystać z naszego kompletnego przewodnika po tym, jak połączyć się ze swoją witryną za pomocą FTP.
- Po połączeniu przez FTP przejdź do głównego katalogu swojej witryny (np.
public_html). - Znajdź plik
.htaccess. - Pobierz plik na swój komputer, a następnie otwórz go w prostym edytorze tekstu, takim jak Notatnik lub TextEdit.
Dodawanie kodu do .htaccess
Po otwarciu pliku .htaccess do edycji za pomocą dowolnej z metod, po prostu dodaj następującą linię kodu na samym dole pliku:
Options -Indexes
Będzie to wyglądać mniej więcej tak:
Teraz zapisz zmiany. Jeśli używałeś klienta FTP, musisz ponownie przesłać edytowany plik .htaccess na swój serwer, nadpisując oryginalny.
Uwaga dla użytkowników Nginx 📝: Ta metoda z plikiem .htaccess dotyczy stron internetowych działających na serwerze internetowym Apache. Jeśli Twoja strona znajduje się na serwerze Nginx, to ustawienie jest zazwyczaj obsługiwane na poziomie serwera przez Twojego dostawcę hostingu, a przeglądanie katalogów jest zazwyczaj domyślnie wyłączone. Aby dowiedzieć się więcej, zapoznaj się z naszym porównaniem serwerów internetowych Apache vs Nginx vs LiteSpeed.
Teraz, jeśli odwiedzisz ten sam adres http://example.com/wp-includes/, otrzymasz komunikat 403 Forbidden lub podobny.
Dodatkowa wskazówka: Wolisz wtyczkę?
Jeśli nie czujesz się komfortowo edytując kod, dobry plugin bezpieczeństwa WordPress może zrobić to za Ciebie.
Większość wtyczek bezpieczeństwa WordPress zawiera opcję wyłączenia przeglądania katalogów jednym kliknięciem jako część funkcji utwardzania witryny, dzięki czemu nigdy nie musisz dotykać żadnego pliku.
Często zadawane pytania dotyczące wyłączania przeglądania katalogów
Czym jest przeglądanie katalogów i dlaczego stanowi ryzyko dla bezpieczeństwa?
Przeglądanie katalogów to funkcja serwera, która wyświetla wszystkie pliki i foldery w katalogu, jeśli brakuje pliku indeksu (takiego jak index.php). Jest to ryzyko bezpieczeństwa, ponieważ ujawnia strukturę Twojej witryny, w tym używane motywy i wtyczki, potencjalnym atakującym.
Czy wyłączenie przeglądania katalogów wpływa na SEO mojej witryny?
Nie, wyłączenie przeglądania katalogów nie wpływa negatywnie na Twoje SEO. Wyszukiwarki są zainteresowane Twoją treścią, a nie strukturą plików. W rzeczywistości poprawa bezpieczeństwa Twojej witryny jest pozytywnym sygnałem dla wyszukiwarek.
Czy lepiej użyć wtyczki, czy edytować plik .htaccess?
Obie metody osiągają ten sam rezultat. Edycja pliku .htaccess to szybka, jednorazowa poprawka. Użycie pluginu bezpieczeństwa, takiego jak Sucuri, jest świetne dla początkujących, ponieważ obsługuje to i wiele innych ustawień bezpieczeństwa jednym kliknięciem, bez konieczności edycji kodu.
Co jeśli moja strona WordPress używa serwera Nginx?
Plik .htaccess jest specyficzny dla serwerów internetowych Apache. Na serwerach Nginx listowanie katalogów jest zazwyczaj domyślnie wyłączone w głównej konfiguracji serwera. Jeśli podejrzewasz, że jest włączone, powinieneś skontaktować się ze swoim dostawcą hostingu, aby je wyłączył.
Dodatkowe lektury na temat bezpieczeństwa WordPress
Chcesz, aby Twoja witryna WordPress była bezpieczna i wolna od błędów? Przydatne mogą być następujące artykuły:
- Przewodnik dla początkujących po strukturze plików i katalogów WordPress
- Najczęstsze błędy WordPress i jak je naprawić
- Jak naprawić błąd uprawnień do plików i folderów w WordPress
- Jak zabezpieczyć hasłem katalog administracyjny WordPress (wp-admin)
Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak wyłączyć przeglądanie katalogów w WordPress. Możesz również zapoznać się z naszym kompletnym przewodnikiem po bezpieczeństwie WordPress lub naszym wyborem najlepszych wtyczek bezpieczeństwa WordPress.
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Dennis Muthomi
Zauważyłem, że mam wyłączone przeglądanie katalogów na mojej stronie WordPress, ponieważ otrzymałem błąd 403 podczas próby dostępu do wp-includes, a jednak nie pamiętam, abym kiedykolwiek edytował plik .htaccess w tym celu.
Czy WordPress automatycznie wyłącza przeglądanie katalogów podczas początkowej instalacji?
Wsparcie WPBeginner
Chyba że nastąpiła niedawna zmiana, domyślnie tego nie robi, mogą to być domyślne ustawienia Twojego dostawcy hostingu dla htaccess.
Admin
Dennis Muthomi
That’s what I was suspecting also, thanks for clarifying that WordPress doesn’t disable directory browsing by default.
And the respond too
Dayo Olobayo
Nawet nie wiedziałem, że istnieje taka luka. Właśnie sprawdziłem moją i otrzymałem błąd 403. co oznacza, że przeglądanie katalogów jest wyłączone. Dziękuję.
Wsparcie WPBeginner
You’re welcome
Admin
Jiří Vaněk
Dziękuję za radę. W kwestii przeglądania katalogów lub tego, że mam ją włączoną, wtyczka AIO SEO stale mnie ostrzega. Obecnie rozwiązałem problem, tworząc w folderach pusty plik indeksu. Czy można to uznać za jedno z możliwych rozwiązań?
Wsparcie WPBeginner
Możesz spróbować tej metody, ale nadal zalecamy metodę htaccess z naszego przewodnika.
Admin
Jiří Vaněk
Dzięki za radę, w końcu użyłem metody Options -Indexes i AIO SEO już zgłasza problem jako rozwiązany. Jeszcze raz dziękuję.
Ka Khaliq
Po edycji pliku htaccess zgodnie z podanymi wytycznymi, widzę komunikat 403 Forbidden dla /wp-includes/. Ale nie mogę edytować żadnego posta. Po edycji posta widzę ten sam komunikat 403 Forbidden. Jak to rozwiązać?
Wsparcie WPBeginner
Może wystąpić problem z uprawnieniami do plików, zalecamy zapoznanie się z naszym poniższym przewodnikiem dotyczącym naprawy uprawnień:
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Admin
Ka Khaliq
Problem został rozwiązany po wyczyszczeniu historii/pamięci podręcznej przeglądarki.
Dziękuję za Twój czas.
Dina D
Dziękuję bardzo! Jasne, zwięzłe i łatwe do naśladowania. Dziękuję bardzo!
Wsparcie WPBeginner
Proszę bardzo!
Admin
Rabee Khan
Dziękuję… precyzyjne i łatwe do zrozumienia!
Wsparcie WPBeginner
Cieszymy się, że nasz przewodnik był pomocny!
Admin
Kimmy
Dzięki za dwuwyrazowe rozwiązanie! Lol. Działało idealnie!
Wsparcie WPBeginner
Glad we could help!
Admin
Seashell
Byłem zszokowany, widząc foldery dostępne bezpośrednio w przeglądarce.
Dzięki za rozwiązanie!
Wsparcie WPBeginner
Glad we could help!
Admin
Deepak Kumar
Działa jak marzenie. Artykuł na wpbeginners jest jak gotowe rozwiązanie. Tak trzymaj.
Ayo
Jak teraz rozwiązać błąd 404, który pojawia się później?
Pradip Singh
Jestem zakochany w tej stronie. Codziennie jestem zaskoczony, czytając nowy artykuł z tej strony. Na szczęście przeczytałem dzisiaj ten artykuł i natychmiast zastosowałem się do rady.
Wsparcie WPBeginner
Glad you found our content helpful
Admin
Sourabh
Czy to zablokuje dostęp CDN do mojej witryny w celu pobierania treści statycznych?
Wsparcie WPBeginner
Nie, nie będzie.
Admin
sami
Czy ta metoda wpływa na indeksowanie przez Google? Czy jest przyjazna dla SEO?
Wsparcie WPBeginner
Nie powinno to wpływać na wyszukiwarki indeksujące Twoją witrynę.
Admin
Meera Shaikh
Dzięki, zrobione
Wsparcie WPBeginner
You’re welcome
Admin
Pradeep
Dzięki przyjacielu, właśnie spróbowałem i działa.
Jesteś geniuszem.
Wsparcie WPBeginner
Glad our guide was helpful
Admin
mousam
Dziękuję. Zastosowałem i zadziałało.
Jesteście najlepszym źródłem wiedzy o WordPressie.
Wsparcie WPBeginner
You’re welcome, glad our guide was helpful
Admin
Kevine
Bardzo dziękuję za to. Rozwiązało mój problem.
Jeszcze raz dziękuję.
Wsparcie WPBeginner
You’re welcome, glad our guide was helpful
Admin
malika
Dziękuję za udostępnienie informacji!
Wsparcie WPBeginner
You’re welcome
Admin
Jonthan
Czy zatem można umieścić ten kod w pliku .htaccess, nawet jeśli w folderze głównym znajduje się plik index.php?
Uprzejmie proszę o odpowiedź.
Wsparcie WPBeginner
Yes
Admin
Teresa Cuervo
Czy potrzebujesz Filezili, żeby to zrobić, czy możesz wejść na FTP przez Cpanel i to zrobić?
Dziękuję
Wsparcie WPBeginner
You can use either, not all hosts have a file manager is why we show Filezilla
Admin
michael
Witaj
Czy ta akcja wpływa na indeksowanie stron w wyszukiwarkach?
Czy powoduje problemy z zaindeksowanymi stronami mojej witryny WordPress?
Dzięki
Wsparcie WPBeginner
Nie, nie wpłynęłoby to negatywnie.
Admin
Rhen Castrodes
Dziękuję. Działa
Wsparcie WPBeginner
Glad our recommendation was able to help you
Admin
Jan
Dziękuję! Działa nawet teraz w 2020 roku.
Wsparcie WPBeginner
You’re welcome
Admin
Shams
Niesamowity post,
Mam proste pytanie, dodałem ten kod i działa, pytanie brzmi, czy Google zaindeksuje te strony, np. sitecom/wp-contents/2019/2, czy Google automatycznie usunie te strony, ponieważ są to 404. Czy powinienem je usunąć w Search Console?
Dzięki
Wsparcie WPBeginner
Ten kod nie powinien powodować, że Twoje bezpośrednie linki do obrazów i plików będą zwracać błąd 404
Admin
Bill
Witaj!
Niedawno zastosowałem tę zasadę
i tego samego dnia strona główna mojego bloga
zniknęła z indeksu Google.
Czy widzisz jakieś powiązanie?
Wsparcie WPBeginner
Dodanie tego do pliku htaccess nie powinno wpłynąć na indeksowanie. Istnieje wiele powodów, a Ty powinieneś sprawdzić Google Search Console, aby dowiedzieć się, co mówi o Twojej stronie głównej.
Admin
Ionel G
Dzięki za wszystkie wskazówki, które podajesz!
Nadal zastanawiam się, jak można ukryć folder wp-content i wp-include ze źródeł? Nienawidzę, gdy ktoś klika prawym przyciskiem myszy i przegląda kod źródłowy, widząc wszystkie moje wtyczki :). Czy masz na to jakiś skrypt?
Z góry dziękuję!
Wsparcie WPBeginner
Obecnie nie mamy zalecanej metody dla tego problemu, najczęstszym powodem, dla którego nie widzisz tych folderów w narzędziach deweloperskich, jest pamięć podręczna witryny.
Admin
Mayur
Czy mógłbyś mi powiedzieć, jak mogę wyłączyć WordPress w podfolderze, na przykład moja instalacja WordPress na [www.mydomain.com], a ja chcę wyłączyć WordPress w [www.mydomain.com/customscript]?
Wsparcie WPBeginner
Może warto najpierw przyjrzeć się tworzeniu niestandardowego szablonu strony: https://www.wpbeginner.com/wp-themes/how-to-create-a-custom-page-in-wordpress/
W przeciwnym razie musiałbyś utworzyć folder o tej nazwie, a wewnątrz tego folderu dodać plik index.html, aby pojawiła się strona niebędąca stroną WordPress.
Admin
Rafael
Dziękuję. Działało idealnie dla wszystkich przeglądarek.
Dipankar
ale wp-content jest widoczny. jak to również usunąć.
Deatram
Wyłączyłem przeglądanie katalogów, ale ktoś nadal może zobaczyć mój katalog, używając narzędzi deweloperskich w przeglądarce Chrome. Jak wyłączyć to również?
Faeze
Dodałem linię, którą podałeś w .htaccess, ale nadal wyświetla moje katalogi.
Co mam teraz zrobić??
Nathan
Kiedy klikam „Zapisz zmiany” na stronie Ustawienia permalinków, plik .htaccess jest aktualizowany, usuwając wprowadzony przeze mnie kod „Options -Indexes”. Kod działa dobrze, ale obawiam się, że nieświadomie go usunę podczas wykonywania jakiegoś innego zadania. Czy są jakieś inne zmiany w ustawieniach panelu, o których powinienem wiedzieć, a które mogą wpłynąć na plik .htaccess i usunąć kod? Dzięki
Tôi Sống
Świetnie, działa bardzo dobrze!
Baggio
Wielki fan wpbeginner, Optin Monster – otrzymałem tak wiele przydatnych wskazówek i sztuczek dotyczących WP – i muszę powiedzieć, że projekt strony jest po prostu genialny. I oczywiście, zawartość jest epicko użyteczna.
Dzięki, chłopaki!
daniel
Hej! Wydaje się, że to nie działa. Jeśli przeciągnę obraz na inną stronę, otwiera się on z linkiem: example.com/wp-content/uploads/…
Masz jakiś pomysł? Dzięki!
Wsparcie WPBeginner
Cześć Danielu,
Twoje obrazy i pliki w katalogach nadal mogą być bezpośrednio dostępne. Jednak serwer nie pozwoli nikomu na bezpośrednie przeglądanie katalogu i zobaczenie jego zawartości.
Admin
Axel Jebens
Doceniłbym, gdybyś mógł to rozwinąć. Miałem trudności, próbując znaleźć rozwiązanie tego problemu. Istnieją pewne pomysły oparte na przekierowaniu htaccess do pliku php, który najpierw sprawdza, czy użytkownik jest zalogowany. Czy istnieje jakaś wtyczka, która zapewnia taką funkcję?
Ünal Hoca
Dziękuję
Khalid Mahmud
Dziękuję. Działa.......
Kim
Przepraszam za późne pytanie. Chciałbym wiedzieć, czy te techniki są bezpieczne w kontekście oceny SEO? Mam nadzieję, że odpowiesz!
Wsparcie WPBeginner
Tak, są.
Admin
Kimmy
Nadal działa całkiem dobrze. Świetne, proste i działa. Dzięki!
Charles
Piszę ten sam kod od tygodni, ale mój katalog nadal jest widoczny dla użytkowników. Co robię źle? Czy to możliwe, że moja strona nadal ładuje się z zawartości buforowanej? Wszyscy mówią, że działa, ale moje doświadczenie jest inne. Będę wdzięczny za wszelką pomoc! Z góry dziękuję za odpowiedź.
Kimmy
Z czym masz problem? Jaki jest Twój dostawca hostingu?
Lily
Dziękuję. Działało jak marzenie!
Prakash
Ten powyższy trik nie działa, człowieku….
Mike
Czy jest sposób, aby zezwolić na przeglądanie katalogu, ale ukryć link Katalog nadrzędny dla konkretnej strony? Byłby to folder udostępniony w sieci, do którego wiele osób miałoby dostęp, z podfolderami, które nadal wymagałyby listy katalogu nadrzędnego. Po prostu nie chcę, aby ktokolwiek wchodził powyżej folderu udostępnionego.
Christian Nastari
To mi nie zadziałało. Próbowałem przed i po #END WordPress i nie zadziałało. Próbowałem też „Options All -Indexes”, ale też nie zadziałało
hrwhisper
bardzo pomocne, dziękuję bardzo
nitai
Naprawdę świetnie. Dzisiaj właśnie się z tym zetknąłem i zastanawiałem się, jak mogę tego zabronić, jak w joomli, i znalazłem dokładne rozwiązanie.
Rob Myrick
To było bardzo pomocne i szybkie – dziękuję
Anita in SD
Dziękuję bardzo, byłem zmartwiony widząc obrazy z mojej strony przenoszące się do katalogu nadrzędnego :0. To było bardzo pomocne i działało dobrze.
Błogosławieństwa – A
Heather Jacobsen
Thanks for this tutorial. It worked great for hiding my uploads from anyone just wanting to browse that directory. One question, though. Does this by chance turn off the ability of search engines to browse my website. Sorry if it seems like a dumb question. I am a newbie, after all.
Wasil Burki
Dodałem kod Options -Indexes do pliku htaccess, ale teraz nie mogę uzyskać dostępu do strony, otrzymuję błąd 503. Czy robię coś źle? Potrzebuję pilnej pomocy!! Dzięki