Często widzimy strony internetowe, które zapominają wyłączyć przeglądanie katalogów. Na pierwszy rzut oka może się to nie wydawać wielkim problemem, ale to drobne przeoczenie może ujawnić poufne informacje i narazić Twoją witrynę na ryzyko.
Gdy przeglądanie katalogów jest włączone, każdy może przeglądać pliki i foldery na Twoim serwerze. Hakerzy mogą wykorzystać te informacje do zidentyfikowania słabych punktów w Twoich wtyczkach, motywach, a nawet w Twoim środowisku hostingowym.
Na szczęście rozwiązanie tego problemu jest szybkie i łatwe. Wyłączając przeglądanie katalogów, dodajesz dodatkową warstwę ochrony i znacznie utrudniasz atakującym celowanie w Twoją witrynę.
W tym przewodniku przeprowadzę Cię przez proste kroki, aby wyłączyć przeglądanie katalogów w WordPress, dzięki czemu możesz zabezpieczyć swoją witrynę i utrzymać bezpieczeństwo danych.
Oto szybki przegląd tematów, które omówię w tym przewodniku:
- Co daje wyłączenie przeglądania katalogów w WordPress?
- Jak sprawdzić, czy przeglądanie katalogów jest włączone w WordPress
- How to Disable Directory Browsing in WordPress
- Często zadawane pytania dotyczące wyłączania przeglądania katalogów
- Dodatkowe lektury na temat bezpieczeństwa WordPress
Co daje wyłączenie przeglądania katalogów w WordPress?
Wyłączenie przeglądania katalogów uniemożliwia odwiedzającym zobaczenie listy plików i folderów na Twojej stronie, gdy plik indeksu nie jest dostępny. Zamiast wyświetlać surowy katalog, serwer wyświetli pustą stronę lub komunikat o błędzie.
Kiedy ktoś odwiedza Twoją witrynę, serwer zazwyczaj wysyła plik indeksu (np. index.html lub index.php) do jego przeglądarki. Jeśli ten plik brakuje, wiele serwerów wyświetli wszystkie pliki w tym folderze.
Takie zachowanie nazywa się przeglądaniem katalogów i często jest domyślnie włączone na serwerach hostingowych.
Problem polega na tym, że ujawnia to poufne szczegóły dotyczące struktury Twojej witryny. Hakerzy mogą jej użyć do wyszukiwania podatności w wtyczkach, motywach, a nawet w Twoim środowisku hostingowym.
W niektórych przypadkach przeglądanie katalogów może również ujawnić prywatne lub płatne treści, takie jak pobieranie e-booków lub kursy online, które następnie można by skopiować bez pozwolenia.
Dlatego zawsze zwracamy uwagę na to ryzyko, pomagając początkującym. Wyłączenie przeglądania katalogów to szybka zmiana, która może zabezpieczyć Twoją witrynę i zapobiec niepotrzebnym stratom przychodów.
Jak sprawdzić, czy przeglądanie katalogów jest włączone w WordPress
Prosty sposób na sprawdzenie, czy przeglądanie katalogów jest włączone na Twojej witrynie WordPress, to bezpośrednie odwiedzenie folderu /wp-includes/.
Na przykład, po prostu wpisz adres URL taki jak ten: https://example.com/wp-includes/ w swojej przeglądarce.
Upewnij się, że zastąpiłeś example.com nazwą domeny swojej witryny. Ten prosty test działa w większości instalacji WordPress.
Jeśli zobaczysz komunikat 403 Forbidden lub podobny błąd, oznacza to, że przeglądanie katalogów jest już wyłączone. To dobry znak, ponieważ oznacza, że Twoja strona internetowa jest bezpieczniejsza.
Jeśli zamiast tego pojawi się lista plików i folderów, oznacza to, że przeglądanie katalogów jest włączone.
Pozostawienie włączonego przeglądania katalogów naraża Twoją witrynę na złośliwe ataki.
Z naszego doświadczenia wynika, że włączenie przeglądania katalogów ujawnia poufne informacje i zwiększa ryzyko bezpieczeństwa. Z tego powodu najlepiej wyłączyć przeglądanie katalogów w WordPress, aby zapewnić bezpieczeństwo Twojej witryny.
Jak wyłączyć przeglądanie katalogów w WordPress
Możesz wyłączyć przeglądanie katalogów, dodając jedną linię kodu do pliku WordPress .htaccess.
To jest potężny plik konfiguracyjny serwera, dlatego bardzo ważne jest, aby wykonać kopię zapasową pliku .htaccess przed wprowadzeniem jakichkolwiek zmian. Nieprawidłowa edycja może spowodować niedostępność Twojej witryny.
Wskazówka: Używamy Duplicator do automatycznego tworzenia kopii zapasowych wszystkich naszych stron WordPress. Pozwala na tworzenie kopii zapasowych zaplanowanych, jak i na żądanie. Co ważniejsze, możesz łatwo przywrócić swoją stronę za pomocą 1 kliknięcia. Zobacz naszą pełną recenzję Duplicator, aby uzyskać więcej szczegółów.
Możesz uzyskać dostęp do tego pliku za pomocą dwóch głównych metod:
Metoda 1: Edytuj plik .htaccess za pomocą menedżera plików w cPanelu
Najłatwiejszą metodą dla większości użytkowników jest użycie aplikacji Menedżer plików dostępnej w panelu sterowania konta hostingowego WordPress (cPanel).
Najpierw zaloguj się na swoje konto hostingowe i otwórz Menedżer plików.
Przejdź do głównego folderu swojej witryny, który często nazywa się public_html.
Teraz zlokalizuj plik .htaccess.
Jeśli go nie widzisz, upewnij się, że w ustawieniach Menedżera plików masz włączoną opcję „Pokaż ukryte pliki”.
Kliknij prawym przyciskiem myszy na plik i wybierz „Edytuj” lub „Edytor kodu”.
Metoda 2: Edycja pliku .htaccess za pomocą klienta FTP
Alternatywnie, możesz użyć klienta FTP, aby połączyć się z plikami swojej witryny.
Jeśli robisz to po raz pierwszy, możesz skorzystać z naszego kompletnego przewodnika po tym, jak połączyć się ze swoją witryną za pomocą FTP.
- Po połączeniu przez FTP przejdź do głównego katalogu swojej witryny (np.
public_html). - Znajdź plik
.htaccess. - Pobierz plik na swój komputer, a następnie otwórz go w prostym edytorze tekstu, takim jak Notatnik lub TextEdit.
Dodawanie kodu do .htaccess
Po otwarciu pliku .htaccess do edycji za pomocą dowolnej z metod, po prostu dodaj następującą linię kodu na samym dole pliku:
Options -Indexes
Będzie to wyglądać mniej więcej tak:
Teraz zapisz zmiany. Jeśli używałeś klienta FTP, musisz ponownie przesłać edytowany plik .htaccess na swój serwer, nadpisując oryginalny.
Uwaga dla użytkowników Nginx 📝: Ta metoda z plikiem .htaccess dotyczy stron internetowych działających na serwerze internetowym Apache. Jeśli Twoja strona znajduje się na serwerze Nginx, to ustawienie jest zazwyczaj obsługiwane na poziomie serwera przez Twojego dostawcę hostingu, a przeglądanie katalogów jest zazwyczaj domyślnie wyłączone. Aby dowiedzieć się więcej, zapoznaj się z naszym porównaniem serwerów internetowych Apache vs Nginx vs LiteSpeed.
Teraz, jeśli odwiedzisz ten sam adres http://example.com/wp-includes/, otrzymasz komunikat 403 Forbidden lub podobny.
Dodatkowa wskazówka: Wolisz wtyczkę?
Jeśli nie czujesz się komfortowo edytując kod, dobry plugin bezpieczeństwa WordPress może zrobić to za Ciebie.
Większość wtyczek bezpieczeństwa WordPress zawiera opcję wyłączenia przeglądania katalogów jednym kliknięciem jako część funkcji utwardzania witryny, dzięki czemu nigdy nie musisz dotykać żadnego pliku.
Często zadawane pytania dotyczące wyłączania przeglądania katalogów
Czym jest przeglądanie katalogów i dlaczego stanowi ryzyko dla bezpieczeństwa?
Przeglądanie katalogów to funkcja serwera, która wyświetla wszystkie pliki i foldery w katalogu, jeśli brakuje pliku indeksu (takiego jak index.php). Jest to ryzyko bezpieczeństwa, ponieważ ujawnia strukturę Twojej witryny, w tym używane motywy i wtyczki, potencjalnym atakującym.
Czy wyłączenie przeglądania katalogów wpływa na SEO mojej witryny?
Nie, wyłączenie przeglądania katalogów nie wpływa negatywnie na Twoje SEO. Wyszukiwarki są zainteresowane Twoją treścią, a nie strukturą plików. W rzeczywistości poprawa bezpieczeństwa Twojej witryny jest pozytywnym sygnałem dla wyszukiwarek.
Czy lepiej użyć wtyczki, czy edytować plik .htaccess?
Obie metody osiągają ten sam rezultat. Edycja pliku .htaccess to szybka, jednorazowa poprawka. Użycie pluginu bezpieczeństwa, takiego jak Sucuri, jest świetne dla początkujących, ponieważ obsługuje to i wiele innych ustawień bezpieczeństwa jednym kliknięciem, bez konieczności edycji kodu.
Co jeśli moja strona WordPress używa serwera Nginx?
Plik .htaccess jest specyficzny dla serwerów internetowych Apache. Na serwerach Nginx listowanie katalogów jest zazwyczaj domyślnie wyłączone w głównej konfiguracji serwera. Jeśli podejrzewasz, że jest włączone, powinieneś skontaktować się ze swoim dostawcą hostingu, aby je wyłączył.
Dodatkowe lektury na temat bezpieczeństwa WordPress
Chcesz, aby Twoja witryna WordPress była bezpieczna i wolna od błędów? Przydatne mogą być następujące artykuły:
- Przewodnik dla początkujących po strukturze plików i katalogów WordPress
- Najczęstsze błędy WordPress i jak je naprawić
- Jak naprawić błąd uprawnień do plików i folderów w WordPress
- Jak zabezpieczyć hasłem katalog administracyjny WordPress (wp-admin)
Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak wyłączyć przeglądanie katalogów w WordPress. Możesz również zapoznać się z naszym kompletnym przewodnikiem po bezpieczeństwie WordPress lub naszym wyborem najlepszych wtyczek bezpieczeństwa WordPress.
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Dennis Muthomi
Zauważyłem, że mam wyłączone przeglądanie katalogów na mojej stronie WordPress, ponieważ otrzymałem błąd 403 podczas próby dostępu do wp-includes, a jednak nie pamiętam, abym kiedykolwiek edytował plik .htaccess w tym celu.
Czy WordPress automatycznie wyłącza przeglądanie katalogów podczas początkowej instalacji?
Wsparcie WPBeginner
Chyba że nastąpiła niedawna zmiana, domyślnie tego nie robi, mogą to być domyślne ustawienia Twojego dostawcy hostingu dla htaccess.
Admin
Dennis Muthomi
That’s what I was suspecting also, thanks for clarifying that WordPress doesn’t disable directory browsing by default.
And the respond too
Dayo Olobayo
Nawet nie wiedziałem, że istnieje taka luka. Właśnie sprawdziłem moją i otrzymałem błąd 403. co oznacza, że przeglądanie katalogów jest wyłączone. Dziękuję.
Wsparcie WPBeginner
You’re welcome
Admin
Jiří Vaněk
Dziękuję za radę. W kwestii przeglądania katalogów lub tego, że mam ją włączoną, wtyczka AIO SEO stale mnie ostrzega. Obecnie rozwiązałem problem, tworząc w folderach pusty plik indeksu. Czy można to uznać za jedno z możliwych rozwiązań?
Wsparcie WPBeginner
Możesz spróbować tej metody, ale nadal zalecamy metodę htaccess z naszego przewodnika.
Admin
Jiří Vaněk
Dzięki za radę, w końcu użyłem metody Options -Indexes i AIO SEO już zgłasza problem jako rozwiązany. Jeszcze raz dziękuję.
Ka Khaliq
Po edycji pliku htaccess zgodnie z podanymi wytycznymi, widzę komunikat 403 Forbidden dla /wp-includes/. Ale nie mogę edytować żadnego posta. Po edycji posta widzę ten sam komunikat 403 Forbidden. Jak to rozwiązać?
Wsparcie WPBeginner
Może wystąpić problem z uprawnieniami do plików, zalecamy zapoznanie się z naszym poniższym przewodnikiem dotyczącym naprawy uprawnień:
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Admin
Ka Khaliq
Problem został rozwiązany po wyczyszczeniu historii/pamięci podręcznej przeglądarki.
Dziękuję za Twój czas.
Dina D
Dziękuję bardzo! Jasne, zwięzłe i łatwe do naśladowania. Dziękuję bardzo!
Wsparcie WPBeginner
Proszę bardzo!
Admin
Rabee Khan
Dziękuję… precyzyjne i łatwe do zrozumienia!
Wsparcie WPBeginner
Cieszymy się, że nasz przewodnik był pomocny!
Admin
Kimmy
Dzięki za dwuwyrazowe rozwiązanie! Lol. Działało idealnie!
Wsparcie WPBeginner
Glad we could help!
Admin
Seashell
Byłem zszokowany, widząc foldery dostępne bezpośrednio w przeglądarce.
Dzięki za rozwiązanie!
Wsparcie WPBeginner
Glad we could help!
Admin