Frequentemente vemos sites que esquecem de desativar a navegação por diretórios. À primeira vista, pode não parecer um grande problema, mas essa pequena falha pode expor informações confidenciais e colocar seu site em risco.
Quando a navegação por diretórios está ativada, qualquer pessoa pode visualizar os arquivos e pastas em seu servidor. Hackers podem usar essas informações para identificar vulnerabilidades em seus plugins, temas ou até mesmo em seu ambiente de hospedagem.
Felizmente, corrigir esse problema é rápido e fácil. Ao desativar a navegação por diretórios, você adiciona uma camada extra de proteção e torna muito mais difícil para os atacantes visarem seu site.
Neste guia, mostrarei os passos simples para desativar a navegação por diretórios no WordPress, para que você possa proteger seu site e manter seus dados seguros.
Aqui está um breve resumo dos tópicos que abordarei neste guia:
- O que o Desativar a Navegação por Diretórios no WordPress Faz?
- Como Verificar se a Navegação por Diretórios Está Ativada no WordPress
- How to Disable Directory Browsing in WordPress
- Perguntas Frequentes Sobre Desativar a Navegação por Diretórios
- Leitura Adicional Sobre Segurança no WordPress
O que o Desativar a Navegação por Diretórios no WordPress Faz?
Desativar a navegação por diretórios impede que os visitantes vejam uma lista de arquivos e pastas em seu site quando um arquivo de índice não está disponível. Em vez de mostrar esse diretório bruto, o servidor exibirá uma página em branco ou uma mensagem de erro.
Quando alguém visita seu site, o servidor normalmente entrega um arquivo de índice (como index.html ou index.php) para o navegador. Se esse arquivo estiver ausente, muitos servidores recorrerão à exibição de todos os arquivos dessa pasta.
Esse comportamento é chamado de listagem de diretório e, muitas vezes, está ativado por padrão em servidores de hospedagem.
O problema é que isso expõe detalhes sensíveis sobre a estrutura do seu site. Hackers podem usá-lo para procurar vulnerabilidades em plugins, temas ou até mesmo no seu ambiente de hospedagem.
Em alguns casos, a listagem de diretório também pode revelar conteúdo privado ou pago, como downloads de e-books ou cursos online, que poderiam então ser copiados sem permissão.
É por isso que sempre apontamos esse risco ao ajudar iniciantes. Desativar a listagem de diretório é uma mudança rápida que pode proteger seu site e evitar perdas de receita desnecessárias.
Como Verificar se a Navegação por Diretórios Está Ativada no WordPress
Uma maneira fácil de verificar se a listagem de diretório está ativada no seu site WordPress é visitando a pasta /wp-includes/ diretamente.
Por exemplo, basta digitar um URL como este: https://example.com/wp-includes/ no seu navegador.
Certifique-se de substituir example.com pelo nome de domínio real do seu site. Este teste simples funciona na maioria das instalações do WordPress.
Se você vir uma mensagem 403 Forbidden ou um erro semelhante, a listagem de diretório já está desativada. Isso é um bom sinal, pois significa que seu site está mais seguro.
Se uma lista de arquivos e pastas aparecer em vez disso, a listagem de diretório está ativada.
Deixar a listagem de diretório ativada torna seu site vulnerável a ataques maliciosos.
Em nossa experiência, habilitar a navegação de diretórios expõe informações sensíveis e aumenta os riscos de segurança. Por esse motivo, é melhor desabilitar a navegação de diretórios no WordPress para manter seu site seguro.
Como Desativar a Navegação de Diretório no WordPress
Você pode desabilitar a navegação de diretórios adicionando uma única linha de código ao seu arquivo .htaccess do WordPress.
Este é um arquivo de configuração de servidor poderoso, portanto, é muito importante fazer um backup do seu arquivo .htaccess antes de fazer quaisquer alterações. Uma edição incorreta pode tornar seu site inacessível.
Dica: Usamos o Duplicator para fazer backup automático de todos os nossos sites WordPress. Ele permite que você crie backups agendados e sob demanda. Mais importante ainda, você pode restaurar seu site facilmente com 1 clique. Veja nossa análise completa do Duplicator para mais detalhes.
Você pode acessar este arquivo usando dois métodos principais:
Método 1: Editar o Arquivo .htaccess Usando o Gerenciador de Arquivos no cPanel
O método mais fácil para a maioria dos usuários é usar o aplicativo Gerenciador de Arquivos fornecido no painel de controle da sua conta de hospedagem WordPress (cPanel).
Primeiro, faça login na sua conta de hospedagem e abra o Gerenciador de Arquivos.
Navegue até a pasta raiz do seu site, que geralmente é chamada de public_html.
Agora, localize o arquivo .htaccess.
Se você não conseguir vê-lo, certifique-se de habilitar "Mostrar arquivos ocultos" nas configurações do seu Gerenciador de Arquivos.
Clique com o botão direito no arquivo e selecione 'Editar' ou 'Editor de Código'.
Método 2: Editando o arquivo .htaccess usando um cliente FTP
Alternativamente, você pode usar um cliente FTP para se conectar aos arquivos do seu site.
Se for a primeira vez, você pode seguir nosso guia completo sobre como se conectar ao seu site usando FTP.
- Uma vez conectado via FTP, navegue até o diretório raiz do seu site (por exemplo,
public_html). - Encontre o arquivo
.htaccess. - Baixe o arquivo para o seu computador e, em seguida, abra-o em um editor de texto simples como o Bloco de Notas ou o TextEdit.
Adicionando o Código ao .htaccess
Assim que você abrir o arquivo .htaccess para edição usando qualquer um dos métodos, basta adicionar a seguinte linha de código no final do arquivo:
Options -Indexes
Ele ficará parecido com isto:
Agora, salve suas alterações. Se você usou um cliente FTP, precisará reenviar o arquivo .htaccess editado para o seu servidor, substituindo o original.
Observação para Usuários Nginx 📝: Este método com .htaccess se aplica a sites que rodam em um servidor web Apache. Se o seu site estiver em um servidor Nginx, essa configuração geralmente é tratada no nível do servidor pelo seu provedor de hospedagem, e a navegação por diretórios geralmente é desabilitada por padrão. Para saber mais, veja nossa comparação de servidores web Apache vs Nginx vs LiteSpeed.
Agora, se você visitar o mesmo URL http://example.com/wp-includes/, você receberá uma mensagem de 403 Forbidden ou similar.
Dica Bônus: Prefere um Plugin?
Se você não se sente confortável editando código, um bom plugin de segurança WordPress pode fazer isso por você.
A maioria dos plugins de segurança WordPress inclui uma opção de um clique para desabilitar a navegação por diretórios como parte de seus recursos de fortalecimento do site, então você nunca precisará tocar em um único arquivo.
Perguntas Frequentes Sobre Desativar a Navegação por Diretórios
O que é navegação de diretório e por que é um risco de segurança?
A navegação de diretório é um recurso do servidor que lista todos os arquivos e pastas dentro de um diretório se um arquivo de índice (como index.php) estiver ausente. É um risco de segurança porque expõe a estrutura do seu site, incluindo quais temas e plugins você usa, a potenciais atacantes.
Desativar a navegação de diretório afeta o SEO do meu site?
Não, desativar a navegação de diretório não afeta negativamente seu SEO. Os motores de busca estão interessados no seu conteúdo, não na estrutura de arquivos. Na verdade, melhorar a segurança do seu site é um sinal positivo para os motores de busca.
É melhor usar um plugin ou editar o arquivo .htaccess?
Ambos os métodos alcançam o mesmo resultado. Editar o arquivo .htaccess é uma correção rápida e única. Usar um plugin de segurança como Sucuri é ótimo para iniciantes, pois ele cuida desta e de muitas outras configurações de segurança com um único clique, sem a necessidade de editar código.
E se o meu site WordPress usar um servidor Nginx?
O arquivo .htaccess é específico para servidores web Apache. Em servidores Nginx, a listagem de diretórios geralmente é desativada por padrão na configuração principal do servidor. Se você suspeitar que está ativada, deve entrar em contato com seu provedor de hospedagem para que eles a desativem para você.
Leitura Adicional Sobre Segurança no WordPress
Quer manter seu site WordPress seguro e livre de erros? Você pode achar os seguintes artigos úteis:
- Guia para Iniciantes sobre a Estrutura de Arquivos e Diretórios do WordPress
- Erros Mais Comuns do WordPress e Como Corrigi-los
- Como Corrigir Erro de Permissões de Arquivos e Pastas no WordPress
- Como proteger com senha o diretório de administração do seu WordPress (wp-admin)
Esperamos que este artigo tenha ajudado você a aprender como desativar a navegação por diretórios no WordPress. Você também pode querer ver nosso guia definitivo de segurança do WordPress ou nossa escolha especializada dos melhores plugins de segurança do WordPress.
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Dennis Muthomi
Notei que tenho a navegação de diretório desabilitada no meu site WordPress, pois recebi um erro 403 ao tentar acessar wp-includes, mas não me lembro de ter editado meu arquivo .htaccess para fazer isso.
O WordPress desabilita automaticamente a navegação de diretório durante a instalação inicial?
WPBeginner Support
A menos que tenha havido uma mudança recente, ele não faz isso por padrão, podem ser as configurações padrão do seu provedor de hospedagem para htaccess.
Admin
Dennis Muthomi
That’s what I was suspecting also, thanks for clarifying that WordPress doesn’t disable directory browsing by default.
And the respond too
Dayo Olobayo
Eu nem sabia que essa vulnerabilidade existia. Acabei de verificar o meu e recebi o erro 403, o que significa que a navegação por diretórios está desativada. Obrigado.
WPBeginner Support
You’re welcome
Admin
Jiří Vaněk
Obrigado pelo conselho. Sobre a navegação por diretórios, ou que eu a tenho ativada, o plugin AIO SEO continua me alertando. Atualmente resolvi o problema fazendo com que as pastas tenham um arquivo index vazio. É possível considerar isso como uma das possíveis soluções?
WPBeginner Support
Você pode tentar esse método, mas ainda recomendamos o método htaccess do nosso guia.
Admin
Jiří Vaněk
Obrigado pela dica, finalmente usei o método Options -Indexes agora e o AIO SEO já relata o problema como resolvido. Obrigado novamente.
Ka Khaliq
Após editar o arquivo htaccess conforme as diretrizes fornecidas, eu vejo a mensagem 403 Forbidden para /wp-includes/. Mas não consigo editar nenhuma postagem. Ao editar uma postagem, vejo a mesma mensagem 403 Forbidden. Como resolver isso?
WPBeginner Support
Pode haver um problema com as permissões do seu arquivo, recomendamos dar uma olhada no nosso guia abaixo para corrigir suas permissões:
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Admin
Ka Khaliq
O problema foi resolvido após limpar o histórico/cache da web.
Obrigado pelo seu tempo.
Dina D
Muito obrigado! Claro, conciso e fácil de seguir. Muito obrigado!
WPBeginner Support
De nada!
Admin
Rabee Khan
Obrigado… preciso e fácil de entender!
WPBeginner Support
Fico feliz que nosso guia tenha sido útil!
Admin
Kimmy
Obrigado pela solução de duas palavras! Kkk. Funcionou perfeitamente!
WPBeginner Support
Glad we could help!
Admin
Seashell
Fiquei chocado ao ver as pastas acessíveis diretamente no navegador.
Obrigado pela sua solução!
WPBeginner Support
Glad we could help!
Admin
Deepak Kumar
Funciona como mágica. Artigo no wpbeginners como uma solução pronta. Continuem assim.
Ayo
Como resolvo o erro 404 que aparece depois?
Pradip Singh
Estou apaixonado por este site. Todos os dias fico surpreso quando leio um novo artigo deste site. Felizmente, li este artigo hoje e imediatamente implementei o conselho.
WPBeginner Support
Glad you found our content helpful
Admin
Sourabh
Isso bloqueará o acesso de CDNs ao meu site para conteúdo estático?
WPBeginner Support
Não, não vai.
Admin
sami
Este método afeta a rastreabilidade do Google? É amigável para SEO?
WPBeginner Support
Isso não deve afetar os mecanismos de busca que rastreiam seu site.
Admin
Meera Shaikh
Obrigado, está feito
WPBeginner Support
You’re welcome
Admin
Pradeep
Obrigado meu amigo, acabei de tentar isso e funcionou.
Você é o gênio.
WPBeginner Support
Glad our guide was helpful
Admin
mousam
Obrigado. Eu apliquei e funcionou.
Vocês são a melhor fonte para aprender WordPress.
WPBeginner Support
You’re welcome, glad our guide was helpful
Admin
Kevine
Muito obrigado por isso. Resolveu meu problema.
Obrigado novamente.
WPBeginner Support
You’re welcome, glad our guide was helpful
Admin
malika
Obrigado por compartilhar as informações!
WPBeginner Support
You’re welcome
Admin
Jonthan
Então, tudo bem ter este código no arquivo .htaccess mesmo quando um arquivo index.php está presente na pasta raiz?
Por favor, responda.
WPBeginner Support
Yes
Admin
Teresa Cuervo
Você precisa do FileZilla para fazer isso ou pode acessar o FTP via Cpanel e fazer isso?
Obrigado
WPBeginner Support
You can use either, not all hosts have a file manager is why we show Filezilla
Admin
michael
Olá
esta ação afeta a indexação de páginas nos motores de busca?
e causa algum problema para as páginas indexadas do meu site WordPress?
Obrigado
WPBeginner Support
Não, isso não o afetaria negativamente.
Admin
Rhen Castrodes
Obrigado. Funciona
WPBeginner Support
Glad our recommendation was able to help you
Admin
John
Obrigado! Ainda funciona em 2020.
WPBeginner Support
You’re welcome
Admin
Shams
Postagem incrível,
Tenho uma pergunta simples, adicionei este código e está funcionando, a questão é se o Google indexará essas páginas, por exemplo, sitecom/wp-contents/2019/2. O Google removerá essas páginas automaticamente agora que são 404? Ou devo removê-las no Search Console?
Obrigado
WPBeginner Support
Este código não deve fazer com que seus links diretos para imagens e arquivos se tornem 404.
Admin
Bill
Olá!
Eu apliquei essa regra recentemente
e no mesmo dia a página inicial do meu blog
desapareceu do índice do Google.
Você vê alguma conexão?
WPBeginner Support
Adicionar isso ao seu htaccess não deve afetar sua indexação, existem vários motivos e você deve verificar seu Google Search Console para ver o que ele diz sobre sua página inicial.
Admin
Ionel G
Obrigado por todas as dicas que você fornece!
Eu ainda estou me perguntando como você pode esconder as pastas wp-content e wp-include das fontes? Eu odeio quando alguém clica com o botão direito e visualiza o código fonte e pode ver todos os meus plugins :). Você tem algum script para isso?
Obrigado desde já!
WPBeginner Support
No momento, não temos um método recomendado para isso, o motivo mais comum pelo qual você não consegue ver essas pastas nas ferramentas de desenvolvedor é o cache do site.
Admin
Mayur
Você poderia me dizer como posso desativar o WordPress em uma subpasta, como minha instalação do WordPress em [www.mydomain.com] e eu quero desativar o WordPress em [www.mydomain.com/customscript]?
WPBeginner Support
Talvez você queira primeiro dar uma olhada em como criar um modelo de página personalizado: https://www.wpbeginner.com/wp-themes/how-to-create-a-custom-page-in-wordpress/
Caso contrário, você precisaria criar uma pasta com esse nome e, dentro dessa pasta, adicionar um arquivo index.html para que uma página não WordPress apareça.
Admin
Rafael
Obrigado. Funcionou perfeitamente para todos os navegadores.
Dipankar
mas wp-content está sendo exibido. como removê-lo também.
Deatram
Desativei a navegação de diretórios, mas alguém ainda pode ver meu diretório quando usa as ferramentas de desenvolvedor no navegador Chrome. Como desativo isso também?
Faeze
Eu adicionei a linha que você disse no .htaccess, mas ele ainda mostra meus diretórios.
O que devo fazer agora??
Nathan
Quando clico em “Salvar alterações” na página de Configurações de Links Permanentes, o arquivo .htaccess é atualizado, apagando o código “Options -Indexes” que eu inseri. O código funciona bem, mas me preocupo em apagá-lo sem querer ao realizar alguma outra tarefa. Existem outras alterações nas configurações do painel que eu deveria saber que podem afetar o arquivo .htaccess e apagar o código? Obrigado
Tôi Sống
Incrível, funcionou muito bem!
Baggio
Grande fã do wpbeginner, Optin Monster – recebi tantas dicas e truques úteis no WP – e tenho que dizer, o design do site é simplesmente brilhante. E, claro, o conteúdo aqui é epicamente útil.
Valeu, pessoal!
daniel
Oi! Parece que não funcionou. se eu puxar uma imagem para outra página, ela é aberta com um link de: example.com/wp-content/uploads/…
Alguma ideia? obrigado!
WPBeginner Support
Olá Daniel,
Suas imagens e arquivos dentro de diretórios ainda podem ser acessados diretamente. No entanto, o servidor não permitirá que alguém navegue diretamente em um diretório e veja seu conteúdo.
Admin
Axel Jebens
Agradeceria se você pudesse detalhar isso. Tive dificuldades ao tentar encontrar uma solução para este problema. Existem algumas ideias baseadas em um htaccess redirecionando para um arquivo php que primeiro verifica se o usuário está logado. Existe algum plugin que forneça tal função?
Ünal Hoca
Obrigado
Khalid Mahmud
Obrigado. Está funcionando…….
Kim
Desculpe perguntar tão tarde. Quero saber, essas técnicas são seguras para usar em relação à pontuação de SEO? Espero que você responda!
WPBeginner Support
Sim, são.
Admin
Kimmy
Ainda funciona muito bem. Incrível, simples e funcionando. Obrigado!
Charles
Tenho escrito este mesmo código por semanas, mas meu diretório continua visível para os usuários. Por favor, o que estou fazendo de errado? Ou pode ser que meu site ainda esteja carregando conteúdos em cache? Todos dizem que está funcionando, mas minha experiência é diferente. Qualquer ajuda será apreciada! Agradeço antecipadamente pela sua resposta.
Kimmy
Em qual parte você está tendo problemas? Qual é o seu provedor de hospedagem, aliás?
Lily
Obrigado. Funcionou como um encanto!
Prakash
Este truque acima não está funcionando, cara....
Mike
Existe alguma maneira de permitir a visualização de um diretório, mas apenas ocultar o link do Diretório Pai para uma página específica? Seria uma pasta de compartilhamento de rede à qual várias pessoas acessariam, e teria subpastas que ainda exigiriam uma listagem do diretório pai. Eu só não quero que ninguém vá acima da pasta compartilhada.
Christian Nastari
Isso não funcionou para mim. Tentei antes e depois de #END WordPress e não funcionou. Também tentei "Options All -Indexes", mas também não funcionou.
hrwhisper
muito útil, muito obrigado
nitai
Realmente ótimo. Hoje eu enfrentei isso e estava pensando como posso desautorizar como o joomla e encontrei a solução exata.
Rob Myrick
Isso foi muito útil e rápido – obrigado
Anita in SD
Muito obrigado, fiquei desapontado ao ver imagens do meu site indo para um diretório pai :0. Isso foi muito útil e funcionou bem.
Bênçãos – A
Heather Jacobsen
Thanks for this tutorial. It worked great for hiding my uploads from anyone just wanting to browse that directory. One question, though. Does this by chance turn off the ability of search engines to browse my website. Sorry if it seems like a dumb question. I am a newbie, after all.
Wasil Burki
Adicionei o código Options -Indexes ao arquivo htaccess, no entanto, agora não consigo acessar o site, recebo um erro 503. Estou fazendo algo errado? Preciso de ajuda urgente!! Obrigado