Często widzimy strony internetowe, które zapominają wyłączyć przeglądanie katalogów. Na pierwszy rzut oka może się to nie wydawać wielkim problemem, ale to drobne przeoczenie może ujawnić poufne informacje i narazić Twoją witrynę na ryzyko.
Gdy przeglądanie katalogów jest włączone, każdy może przeglądać pliki i foldery na Twoim serwerze. Hakerzy mogą wykorzystać te informacje do zidentyfikowania słabych punktów w Twoich wtyczkach, motywach, a nawet w Twoim środowisku hostingowym.
Na szczęście rozwiązanie tego problemu jest szybkie i łatwe. Wyłączając przeglądanie katalogów, dodajesz dodatkową warstwę ochrony i znacznie utrudniasz atakującym celowanie w Twoją witrynę.
W tym przewodniku przeprowadzę Cię przez proste kroki, aby wyłączyć przeglądanie katalogów w WordPress, dzięki czemu możesz zabezpieczyć swoją witrynę i utrzymać bezpieczeństwo danych.
Oto szybki przegląd tematów, które omówię w tym przewodniku:
- Co daje wyłączenie przeglądania katalogów w WordPress?
- Jak sprawdzić, czy przeglądanie katalogów jest włączone w WordPress
- How to Disable Directory Browsing in WordPress
- Często zadawane pytania dotyczące wyłączania przeglądania katalogów
- Dodatkowe lektury na temat bezpieczeństwa WordPress
Co daje wyłączenie przeglądania katalogów w WordPress?
Wyłączenie przeglądania katalogów uniemożliwia odwiedzającym zobaczenie listy plików i folderów na Twojej stronie, gdy plik indeksu nie jest dostępny. Zamiast wyświetlać surowy katalog, serwer wyświetli pustą stronę lub komunikat o błędzie.
Kiedy ktoś odwiedza Twoją witrynę, serwer zazwyczaj wysyła plik indeksu (np. index.html lub index.php) do jego przeglądarki. Jeśli ten plik brakuje, wiele serwerów wyświetli wszystkie pliki w tym folderze.
Takie zachowanie nazywa się przeglądaniem katalogów i często jest domyślnie włączone na serwerach hostingowych.
Problem polega na tym, że ujawnia to poufne szczegóły dotyczące struktury Twojej witryny. Hakerzy mogą jej użyć do wyszukiwania podatności w wtyczkach, motywach, a nawet w Twoim środowisku hostingowym.
W niektórych przypadkach przeglądanie katalogów może również ujawnić prywatne lub płatne treści, takie jak pobieranie e-booków lub kursy online, które następnie można by skopiować bez pozwolenia.
Dlatego zawsze zwracamy uwagę na to ryzyko, pomagając początkującym. Wyłączenie przeglądania katalogów to szybka zmiana, która może zabezpieczyć Twoją witrynę i zapobiec niepotrzebnym stratom przychodów.
Jak sprawdzić, czy przeglądanie katalogów jest włączone w WordPress
Prosty sposób na sprawdzenie, czy przeglądanie katalogów jest włączone na Twojej witrynie WordPress, to bezpośrednie odwiedzenie folderu /wp-includes/.
Na przykład, po prostu wpisz adres URL taki jak ten: https://example.com/wp-includes/ w swojej przeglądarce.
Upewnij się, że zastąpiłeś example.com nazwą domeny swojej witryny. Ten prosty test działa w większości instalacji WordPress.
Jeśli zobaczysz komunikat 403 Forbidden lub podobny błąd, oznacza to, że przeglądanie katalogów jest już wyłączone. To dobry znak, ponieważ oznacza, że Twoja strona internetowa jest bezpieczniejsza.
Jeśli zamiast tego pojawi się lista plików i folderów, oznacza to, że przeglądanie katalogów jest włączone.
Pozostawienie włączonego przeglądania katalogów naraża Twoją witrynę na złośliwe ataki.
Z naszego doświadczenia wynika, że włączenie przeglądania katalogów ujawnia poufne informacje i zwiększa ryzyko bezpieczeństwa. Z tego powodu najlepiej wyłączyć przeglądanie katalogów w WordPress, aby zapewnić bezpieczeństwo Twojej witryny.
Jak wyłączyć przeglądanie katalogów w WordPress
Możesz wyłączyć przeglądanie katalogów, dodając jedną linię kodu do pliku WordPress .htaccess.
To jest potężny plik konfiguracyjny serwera, dlatego bardzo ważne jest, aby wykonać kopię zapasową pliku .htaccess przed wprowadzeniem jakichkolwiek zmian. Nieprawidłowa edycja może spowodować niedostępność Twojej witryny.
Wskazówka: Używamy Duplicator do automatycznego tworzenia kopii zapasowych wszystkich naszych stron WordPress. Pozwala na tworzenie kopii zapasowych zaplanowanych, jak i na żądanie. Co ważniejsze, możesz łatwo przywrócić swoją stronę za pomocą 1 kliknięcia. Zobacz naszą pełną recenzję Duplicator, aby uzyskać więcej szczegółów.
Możesz uzyskać dostęp do tego pliku za pomocą dwóch głównych metod:
Metoda 1: Edytuj plik .htaccess za pomocą menedżera plików w cPanelu
Najłatwiejszą metodą dla większości użytkowników jest użycie aplikacji Menedżer plików dostępnej w panelu sterowania konta hostingowego WordPress (cPanel).
Najpierw zaloguj się na swoje konto hostingowe i otwórz Menedżer plików.
Przejdź do głównego folderu swojej witryny, który często nazywa się public_html.
Teraz zlokalizuj plik .htaccess.
Jeśli go nie widzisz, upewnij się, że w ustawieniach Menedżera plików masz włączoną opcję „Pokaż ukryte pliki”.
Kliknij prawym przyciskiem myszy na plik i wybierz „Edytuj” lub „Edytor kodu”.
Metoda 2: Edycja pliku .htaccess za pomocą klienta FTP
Alternatywnie, możesz użyć klienta FTP, aby połączyć się z plikami swojej witryny.
Jeśli robisz to po raz pierwszy, możesz skorzystać z naszego kompletnego przewodnika po tym, jak połączyć się ze swoją witryną za pomocą FTP.
- Po połączeniu przez FTP przejdź do głównego katalogu swojej witryny (np.
public_html). - Znajdź plik
.htaccess. - Pobierz plik na swój komputer, a następnie otwórz go w prostym edytorze tekstu, takim jak Notatnik lub TextEdit.
Dodawanie kodu do .htaccess
Po otwarciu pliku .htaccess do edycji za pomocą dowolnej z metod, po prostu dodaj następującą linię kodu na samym dole pliku:
Options -Indexes
Będzie to wyglądać mniej więcej tak:
Teraz zapisz zmiany. Jeśli używałeś klienta FTP, musisz ponownie przesłać edytowany plik .htaccess na swój serwer, nadpisując oryginalny.
Uwaga dla użytkowników Nginx 📝: Ta metoda z plikiem .htaccess dotyczy stron internetowych działających na serwerze internetowym Apache. Jeśli Twoja strona znajduje się na serwerze Nginx, to ustawienie jest zazwyczaj obsługiwane na poziomie serwera przez Twojego dostawcę hostingu, a przeglądanie katalogów jest zazwyczaj domyślnie wyłączone. Aby dowiedzieć się więcej, zapoznaj się z naszym porównaniem serwerów internetowych Apache vs Nginx vs LiteSpeed.
Teraz, jeśli odwiedzisz ten sam adres http://example.com/wp-includes/, otrzymasz komunikat 403 Forbidden lub podobny.
Dodatkowa wskazówka: Wolisz wtyczkę?
Jeśli nie czujesz się komfortowo edytując kod, dobry plugin bezpieczeństwa WordPress może zrobić to za Ciebie.
Większość wtyczek bezpieczeństwa WordPress zawiera opcję wyłączenia przeglądania katalogów jednym kliknięciem jako część funkcji utwardzania witryny, dzięki czemu nigdy nie musisz dotykać żadnego pliku.
Często zadawane pytania dotyczące wyłączania przeglądania katalogów
Czym jest przeglądanie katalogów i dlaczego stanowi ryzyko dla bezpieczeństwa?
Przeglądanie katalogów to funkcja serwera, która wyświetla wszystkie pliki i foldery w katalogu, jeśli brakuje pliku indeksu (takiego jak index.php). Jest to ryzyko bezpieczeństwa, ponieważ ujawnia strukturę Twojej witryny, w tym używane motywy i wtyczki, potencjalnym atakującym.
Czy wyłączenie przeglądania katalogów wpływa na SEO mojej witryny?
Nie, wyłączenie przeglądania katalogów nie wpływa negatywnie na Twoje SEO. Wyszukiwarki są zainteresowane Twoją treścią, a nie strukturą plików. W rzeczywistości poprawa bezpieczeństwa Twojej witryny jest pozytywnym sygnałem dla wyszukiwarek.
Czy lepiej użyć wtyczki, czy edytować plik .htaccess?
Obie metody osiągają ten sam rezultat. Edycja pliku .htaccess to szybka, jednorazowa poprawka. Użycie pluginu bezpieczeństwa, takiego jak Sucuri, jest świetne dla początkujących, ponieważ obsługuje to i wiele innych ustawień bezpieczeństwa jednym kliknięciem, bez konieczności edycji kodu.
Co jeśli moja strona WordPress używa serwera Nginx?
Plik .htaccess jest specyficzny dla serwerów internetowych Apache. Na serwerach Nginx listowanie katalogów jest zazwyczaj domyślnie wyłączone w głównej konfiguracji serwera. Jeśli podejrzewasz, że jest włączone, powinieneś skontaktować się ze swoim dostawcą hostingu, aby je wyłączył.
Dodatkowe lektury na temat bezpieczeństwa WordPress
Chcesz, aby Twoja witryna WordPress była bezpieczna i wolna od błędów? Przydatne mogą być następujące artykuły:
- Przewodnik dla początkujących po strukturze plików i katalogów WordPress
- Najczęstsze błędy WordPress i jak je naprawić
- Jak naprawić błąd uprawnień do plików i folderów w WordPress
- Jak zabezpieczyć hasłem katalog administracyjny WordPress (wp-admin)
Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak wyłączyć przeglądanie katalogów w WordPress. Możesz również zapoznać się z naszym kompletnym przewodnikiem po bezpieczeństwie WordPress lub naszym wyborem najlepszych wtyczek bezpieczeństwa WordPress.
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Deepak Kumar
Działa jak marzenie. Artykuł na wpbeginners jest jak gotowe rozwiązanie. Tak trzymaj.
Ayo
Jak teraz rozwiązać błąd 404, który pojawia się później?
Pradip Singh
Jestem zakochany w tej stronie. Codziennie jestem zaskoczony, czytając nowy artykuł z tej strony. Na szczęście przeczytałem dzisiaj ten artykuł i natychmiast zastosowałem się do rady.
Wsparcie WPBeginner
Glad you found our content helpful
Admin
Sourabh
Czy to zablokuje dostęp CDN do mojej witryny w celu pobierania treści statycznych?
Wsparcie WPBeginner
Nie, nie będzie.
Admin
sami
Czy ta metoda wpływa na indeksowanie przez Google? Czy jest przyjazna dla SEO?
Wsparcie WPBeginner
Nie powinno to wpływać na wyszukiwarki indeksujące Twoją witrynę.
Admin
Meera Shaikh
Dzięki, zrobione
Wsparcie WPBeginner
You’re welcome
Admin
Pradeep
Dzięki przyjacielu, właśnie spróbowałem i działa.
Jesteś geniuszem.
Wsparcie WPBeginner
Glad our guide was helpful
Admin
mousam
Dziękuję. Zastosowałem i zadziałało.
Jesteście najlepszym źródłem wiedzy o WordPressie.
Wsparcie WPBeginner
You’re welcome, glad our guide was helpful
Admin
Kevine
Bardzo dziękuję za to. Rozwiązało mój problem.
Jeszcze raz dziękuję.
Wsparcie WPBeginner
You’re welcome, glad our guide was helpful
Admin
malika
Dziękuję za udostępnienie informacji!
Wsparcie WPBeginner
You’re welcome
Admin
Jonthan
Czy zatem można umieścić ten kod w pliku .htaccess, nawet jeśli w folderze głównym znajduje się plik index.php?
Uprzejmie proszę o odpowiedź.
Wsparcie WPBeginner
Yes
Admin
Teresa Cuervo
Czy potrzebujesz Filezili, żeby to zrobić, czy możesz wejść na FTP przez Cpanel i to zrobić?
Dziękuję
Wsparcie WPBeginner
You can use either, not all hosts have a file manager is why we show Filezilla
Admin
michael
Witaj
Czy ta akcja wpływa na indeksowanie stron w wyszukiwarkach?
Czy powoduje problemy z zaindeksowanymi stronami mojej witryny WordPress?
Dzięki
Wsparcie WPBeginner
Nie, nie wpłynęłoby to negatywnie.
Admin
Rhen Castrodes
Dziękuję. Działa
Wsparcie WPBeginner
Glad our recommendation was able to help you
Admin
Jan
Dziękuję! Działa nawet teraz w 2020 roku.
Wsparcie WPBeginner
You’re welcome
Admin
Shams
Niesamowity post,
Mam proste pytanie, dodałem ten kod i działa, pytanie brzmi, czy Google zaindeksuje te strony, np. sitecom/wp-contents/2019/2, czy Google automatycznie usunie te strony, ponieważ są to 404. Czy powinienem je usunąć w Search Console?
Dzięki
Wsparcie WPBeginner
Ten kod nie powinien powodować, że Twoje bezpośrednie linki do obrazów i plików będą zwracać błąd 404
Admin
Bill
Witaj!
Niedawno zastosowałem tę zasadę
i tego samego dnia strona główna mojego bloga
zniknęła z indeksu Google.
Czy widzisz jakieś powiązanie?
Wsparcie WPBeginner
Dodanie tego do pliku htaccess nie powinno wpłynąć na indeksowanie. Istnieje wiele powodów, a Ty powinieneś sprawdzić Google Search Console, aby dowiedzieć się, co mówi o Twojej stronie głównej.
Admin
Ionel G
Dzięki za wszystkie wskazówki, które podajesz!
Nadal zastanawiam się, jak można ukryć folder wp-content i wp-include ze źródeł? Nienawidzę, gdy ktoś klika prawym przyciskiem myszy i przegląda kod źródłowy, widząc wszystkie moje wtyczki :). Czy masz na to jakiś skrypt?
Z góry dziękuję!
Wsparcie WPBeginner
Obecnie nie mamy zalecanej metody dla tego problemu, najczęstszym powodem, dla którego nie widzisz tych folderów w narzędziach deweloperskich, jest pamięć podręczna witryny.
Admin
Mayur
Czy mógłbyś mi powiedzieć, jak mogę wyłączyć WordPress w podfolderze, na przykład moja instalacja WordPress na [www.mydomain.com], a ja chcę wyłączyć WordPress w [www.mydomain.com/customscript]?
Wsparcie WPBeginner
Może warto najpierw przyjrzeć się tworzeniu niestandardowego szablonu strony: https://www.wpbeginner.com/wp-themes/how-to-create-a-custom-page-in-wordpress/
W przeciwnym razie musiałbyś utworzyć folder o tej nazwie, a wewnątrz tego folderu dodać plik index.html, aby pojawiła się strona niebędąca stroną WordPress.
Admin
Rafael
Dziękuję. Działało idealnie dla wszystkich przeglądarek.
Dipankar
ale wp-content jest widoczny. jak to również usunąć.
Deatram
Wyłączyłem przeglądanie katalogów, ale ktoś nadal może zobaczyć mój katalog, używając narzędzi deweloperskich w przeglądarce Chrome. Jak wyłączyć to również?
Faeze
Dodałem linię, którą podałeś w .htaccess, ale nadal wyświetla moje katalogi.
Co mam teraz zrobić??
Nathan
Kiedy klikam „Zapisz zmiany” na stronie Ustawienia permalinków, plik .htaccess jest aktualizowany, usuwając wprowadzony przeze mnie kod „Options -Indexes”. Kod działa dobrze, ale obawiam się, że nieświadomie go usunę podczas wykonywania jakiegoś innego zadania. Czy są jakieś inne zmiany w ustawieniach panelu, o których powinienem wiedzieć, a które mogą wpłynąć na plik .htaccess i usunąć kod? Dzięki
Tôi Sống
Świetnie, działa bardzo dobrze!
Baggio
Wielki fan wpbeginner, Optin Monster – otrzymałem tak wiele przydatnych wskazówek i sztuczek dotyczących WP – i muszę powiedzieć, że projekt strony jest po prostu genialny. I oczywiście, zawartość jest epicko użyteczna.
Dzięki, chłopaki!
daniel
Hej! Wydaje się, że to nie działa. Jeśli przeciągnę obraz na inną stronę, otwiera się on z linkiem: example.com/wp-content/uploads/…
Masz jakiś pomysł? Dzięki!
Wsparcie WPBeginner
Cześć Danielu,
Twoje obrazy i pliki w katalogach nadal mogą być bezpośrednio dostępne. Jednak serwer nie pozwoli nikomu na bezpośrednie przeglądanie katalogu i zobaczenie jego zawartości.
Admin
Axel Jebens
Doceniłbym, gdybyś mógł to rozwinąć. Miałem trudności, próbując znaleźć rozwiązanie tego problemu. Istnieją pewne pomysły oparte na przekierowaniu htaccess do pliku php, który najpierw sprawdza, czy użytkownik jest zalogowany. Czy istnieje jakaś wtyczka, która zapewnia taką funkcję?
Ünal Hoca
Dziękuję
Khalid Mahmud
Dziękuję. Działa.......
Kim
Przepraszam za późne pytanie. Chciałbym wiedzieć, czy te techniki są bezpieczne w kontekście oceny SEO? Mam nadzieję, że odpowiesz!
Wsparcie WPBeginner
Tak, są.
Admin
Kimmy
Nadal działa całkiem dobrze. Świetne, proste i działa. Dzięki!
Charles
Piszę ten sam kod od tygodni, ale mój katalog nadal jest widoczny dla użytkowników. Co robię źle? Czy to możliwe, że moja strona nadal ładuje się z zawartości buforowanej? Wszyscy mówią, że działa, ale moje doświadczenie jest inne. Będę wdzięczny za wszelką pomoc! Z góry dziękuję za odpowiedź.
Kimmy
Z czym masz problem? Jaki jest Twój dostawca hostingu?
Lily
Dziękuję. Działało jak marzenie!
Prakash
Ten powyższy trik nie działa, człowieku….
Mike
Czy jest sposób, aby zezwolić na przeglądanie katalogu, ale ukryć link Katalog nadrzędny dla konkretnej strony? Byłby to folder udostępniony w sieci, do którego wiele osób miałoby dostęp, z podfolderami, które nadal wymagałyby listy katalogu nadrzędnego. Po prostu nie chcę, aby ktokolwiek wchodził powyżej folderu udostępnionego.
Christian Nastari
To mi nie zadziałało. Próbowałem przed i po #END WordPress i nie zadziałało. Próbowałem też „Options All -Indexes”, ale też nie zadziałało
hrwhisper
bardzo pomocne, dziękuję bardzo
nitai
Naprawdę świetnie. Dzisiaj właśnie się z tym zetknąłem i zastanawiałem się, jak mogę tego zabronić, jak w joomli, i znalazłem dokładne rozwiązanie.
Rob Myrick
To było bardzo pomocne i szybkie – dziękuję
Anita in SD
Dziękuję bardzo, byłem zmartwiony widząc obrazy z mojej strony przenoszące się do katalogu nadrzędnego :0. To było bardzo pomocne i działało dobrze.
Błogosławieństwa – A
Heather Jacobsen
Thanks for this tutorial. It worked great for hiding my uploads from anyone just wanting to browse that directory. One question, though. Does this by chance turn off the ability of search engines to browse my website. Sorry if it seems like a dumb question. I am a newbie, after all.
Wasil Burki
Dodałem kod Options -Indexes do pliku htaccess, ale teraz nie mogę uzyskać dostępu do strony, otrzymuję błąd 503. Czy robię coś źle? Potrzebuję pilnej pomocy!! Dzięki
Ted
Problem, który mam, polega na tym, że widzę katalog tej strony WordPress, więc jeśli używasz tego rozwiązania, to nie działa… (motyw wpbv4)
Rahul
Dziękuję bardzo za tutorial!
Byłem bardzo zaniepokojony, gdy odkryłem, że niektóre z moich katalogów motywu można przeglądać. Wszystko jest teraz w porządku, dzięki Twojemu poradnikowi. Nigdy nie wiedziałem, że .htaccess ma taką moc.
KeelAha
Witam Syed Balkhi
Właśnie zauważyłem, że jedna z Twoich stron list25.com ma włączone przeglądanie katalogów w następującym folderze.
Nie jestem pewien, czy to jest dla Ciebie ważne.
http://list25.com/wp-includes/
Miłego weekendu i tak dalej róbcie dobrą robotę.
Pozdrawiam
KeelAha
Wsparcie WPBeginner
Disabled it, thanks
Admin
Logan
Dlaczego otrzymuję pustą stronę, a nie błąd, gdy próbuję uzyskać dostęp do ../wordpress/wp-content/ lub ../wordpress/wp-content/plugins/ ?
Wsparcie WPBeginner
Może to zależeć od Twojego motywu lub środowiska hostingowego. Spróbuj włączyć przeglądanie katalogów, a następnie uzyskaj dostęp do tych katalogów. Jeśli nadal otrzymujesz pustą stronę, oznacza to, że te katalogi zawierają pusty plik index.php.
Admin
Charlie Sasser
Przetestowałem to przed wprowadzeniem jakichkolwiek zmian w lokalizacji, która nie miała pliku index.php ani .htm i tak, możesz zobaczyć wszystkie pliki. Dodałem sugerowaną linię na końcu .htaccess. Lokalizacja teraz generuje błąd 403 od hosta, a nie błąd 404 od WordPress. Używam WP 3.8. Czy takie jest oczekiwane zachowanie?
Bern
Mam ten sam problem, pokazuje błąd 403, a nie 404. Czy rozwiązałeś ten problem?
Christian
Pojawia się ten sam problem, co teraz zrobić? używam najnowszej wersji WordPress.
Abhisek
Wtyczka Better WordPress Security zajmuje się tym.
Govinda
Jak to zrobić w Better Wp security.
Zainstalowałem wtyczkę, ale nie mogę znaleźć tej funkcji
Costin
Cześć,
Czy mógłbyś mi powiedzieć, czy „Options All -Indexes” jest tym samym lub lepszym?
Dziękuję!
Wsparcie WPBeginner
To to samo.
Admin
David Trees
Dziękuję za tę ważną informację.
Czy masz na myśli;
Tutaj
Opcje -Indeksy
# KONIEC WordPress
LUB
# END WordPress
Options -Indexes
Dziękuję za odpowiedź.
Na zdrowie
David
Wsparcie WPBeginner
Oba powinny działać tak samo, ale mieliśmy na myśli to późniejsze, po END WordPress
Admin
Ivan R Linares
Dziękuję, zadziałało jak marzenie!