Frequentemente vemos sites que esquecem de desativar a navegação por diretórios. À primeira vista, pode não parecer um grande problema, mas essa pequena falha pode expor informações confidenciais e colocar seu site em risco.
Quando a navegação por diretórios está ativada, qualquer pessoa pode visualizar os arquivos e pastas em seu servidor. Hackers podem usar essas informações para identificar vulnerabilidades em seus plugins, temas ou até mesmo em seu ambiente de hospedagem.
Felizmente, corrigir esse problema é rápido e fácil. Ao desativar a navegação por diretórios, você adiciona uma camada extra de proteção e torna muito mais difícil para os atacantes visarem seu site.
Neste guia, mostrarei os passos simples para desativar a navegação por diretórios no WordPress, para que você possa proteger seu site e manter seus dados seguros.
Aqui está um breve resumo dos tópicos que abordarei neste guia:
- O que o Desativar a Navegação por Diretórios no WordPress Faz?
- Como Verificar se a Navegação por Diretórios Está Ativada no WordPress
- How to Disable Directory Browsing in WordPress
- Perguntas Frequentes Sobre Desativar a Navegação por Diretórios
- Leitura Adicional Sobre Segurança no WordPress
O que o Desativar a Navegação por Diretórios no WordPress Faz?
Desativar a navegação por diretórios impede que os visitantes vejam uma lista de arquivos e pastas em seu site quando um arquivo de índice não está disponível. Em vez de mostrar esse diretório bruto, o servidor exibirá uma página em branco ou uma mensagem de erro.
Quando alguém visita seu site, o servidor normalmente entrega um arquivo de índice (como index.html ou index.php) para o navegador. Se esse arquivo estiver ausente, muitos servidores recorrerão à exibição de todos os arquivos dessa pasta.
Esse comportamento é chamado de listagem de diretório e, muitas vezes, está ativado por padrão em servidores de hospedagem.
O problema é que isso expõe detalhes sensíveis sobre a estrutura do seu site. Hackers podem usá-lo para procurar vulnerabilidades em plugins, temas ou até mesmo no seu ambiente de hospedagem.
Em alguns casos, a listagem de diretório também pode revelar conteúdo privado ou pago, como downloads de e-books ou cursos online, que poderiam então ser copiados sem permissão.
É por isso que sempre apontamos esse risco ao ajudar iniciantes. Desativar a listagem de diretório é uma mudança rápida que pode proteger seu site e evitar perdas de receita desnecessárias.
Como Verificar se a Navegação por Diretórios Está Ativada no WordPress
Uma maneira fácil de verificar se a listagem de diretório está ativada no seu site WordPress é visitando a pasta /wp-includes/ diretamente.
Por exemplo, basta digitar um URL como este: https://example.com/wp-includes/ no seu navegador.
Certifique-se de substituir example.com pelo nome de domínio real do seu site. Este teste simples funciona na maioria das instalações do WordPress.
Se você vir uma mensagem 403 Forbidden ou um erro semelhante, a listagem de diretório já está desativada. Isso é um bom sinal, pois significa que seu site está mais seguro.
Se uma lista de arquivos e pastas aparecer em vez disso, a listagem de diretório está ativada.
Deixar a listagem de diretório ativada torna seu site vulnerável a ataques maliciosos.
Em nossa experiência, habilitar a navegação de diretórios expõe informações sensíveis e aumenta os riscos de segurança. Por esse motivo, é melhor desabilitar a navegação de diretórios no WordPress para manter seu site seguro.
Como Desativar a Navegação de Diretório no WordPress
Você pode desabilitar a navegação de diretórios adicionando uma única linha de código ao seu arquivo .htaccess do WordPress.
Este é um arquivo de configuração de servidor poderoso, portanto, é muito importante fazer um backup do seu arquivo .htaccess antes de fazer quaisquer alterações. Uma edição incorreta pode tornar seu site inacessível.
Dica: Usamos o Duplicator para fazer backup automático de todos os nossos sites WordPress. Ele permite que você crie backups agendados e sob demanda. Mais importante ainda, você pode restaurar seu site facilmente com 1 clique. Veja nossa análise completa do Duplicator para mais detalhes.
Você pode acessar este arquivo usando dois métodos principais:
Método 1: Editar o Arquivo .htaccess Usando o Gerenciador de Arquivos no cPanel
O método mais fácil para a maioria dos usuários é usar o aplicativo Gerenciador de Arquivos fornecido no painel de controle da sua conta de hospedagem WordPress (cPanel).
Primeiro, faça login na sua conta de hospedagem e abra o Gerenciador de Arquivos.
Navegue até a pasta raiz do seu site, que geralmente é chamada de public_html.
Agora, localize o arquivo .htaccess.
Se você não conseguir vê-lo, certifique-se de habilitar "Mostrar arquivos ocultos" nas configurações do seu Gerenciador de Arquivos.
Clique com o botão direito no arquivo e selecione 'Editar' ou 'Editor de Código'.
Método 2: Editando o arquivo .htaccess usando um cliente FTP
Alternativamente, você pode usar um cliente FTP para se conectar aos arquivos do seu site.
Se for a primeira vez, você pode seguir nosso guia completo sobre como se conectar ao seu site usando FTP.
- Uma vez conectado via FTP, navegue até o diretório raiz do seu site (por exemplo,
public_html). - Encontre o arquivo
.htaccess. - Baixe o arquivo para o seu computador e, em seguida, abra-o em um editor de texto simples como o Bloco de Notas ou o TextEdit.
Adicionando o Código ao .htaccess
Assim que você abrir o arquivo .htaccess para edição usando qualquer um dos métodos, basta adicionar a seguinte linha de código no final do arquivo:
Options -Indexes
Ele ficará parecido com isto:
Agora, salve suas alterações. Se você usou um cliente FTP, precisará reenviar o arquivo .htaccess editado para o seu servidor, substituindo o original.
Observação para Usuários Nginx 📝: Este método com .htaccess se aplica a sites que rodam em um servidor web Apache. Se o seu site estiver em um servidor Nginx, essa configuração geralmente é tratada no nível do servidor pelo seu provedor de hospedagem, e a navegação por diretórios geralmente é desabilitada por padrão. Para saber mais, veja nossa comparação de servidores web Apache vs Nginx vs LiteSpeed.
Agora, se você visitar o mesmo URL http://example.com/wp-includes/, você receberá uma mensagem de 403 Forbidden ou similar.
Dica Bônus: Prefere um Plugin?
Se você não se sente confortável editando código, um bom plugin de segurança WordPress pode fazer isso por você.
A maioria dos plugins de segurança WordPress inclui uma opção de um clique para desabilitar a navegação por diretórios como parte de seus recursos de fortalecimento do site, então você nunca precisará tocar em um único arquivo.
Perguntas Frequentes Sobre Desativar a Navegação por Diretórios
O que é navegação de diretório e por que é um risco de segurança?
A navegação de diretório é um recurso do servidor que lista todos os arquivos e pastas dentro de um diretório se um arquivo de índice (como index.php) estiver ausente. É um risco de segurança porque expõe a estrutura do seu site, incluindo quais temas e plugins você usa, a potenciais atacantes.
Desativar a navegação de diretório afeta o SEO do meu site?
Não, desativar a navegação de diretório não afeta negativamente seu SEO. Os motores de busca estão interessados no seu conteúdo, não na estrutura de arquivos. Na verdade, melhorar a segurança do seu site é um sinal positivo para os motores de busca.
É melhor usar um plugin ou editar o arquivo .htaccess?
Ambos os métodos alcançam o mesmo resultado. Editar o arquivo .htaccess é uma correção rápida e única. Usar um plugin de segurança como Sucuri é ótimo para iniciantes, pois ele cuida desta e de muitas outras configurações de segurança com um único clique, sem a necessidade de editar código.
E se o meu site WordPress usar um servidor Nginx?
O arquivo .htaccess é específico para servidores web Apache. Em servidores Nginx, a listagem de diretórios geralmente é desativada por padrão na configuração principal do servidor. Se você suspeitar que está ativada, deve entrar em contato com seu provedor de hospedagem para que eles a desativem para você.
Leitura Adicional Sobre Segurança no WordPress
Quer manter seu site WordPress seguro e livre de erros? Você pode achar os seguintes artigos úteis:
- Guia para Iniciantes sobre a Estrutura de Arquivos e Diretórios do WordPress
- Erros Mais Comuns do WordPress e Como Corrigi-los
- Como Corrigir Erro de Permissões de Arquivos e Pastas no WordPress
- Como proteger com senha o diretório de administração do seu WordPress (wp-admin)
Esperamos que este artigo tenha ajudado você a aprender como desativar a navegação por diretórios no WordPress. Você também pode querer ver nosso guia definitivo de segurança do WordPress ou nossa escolha especializada dos melhores plugins de segurança do WordPress.
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Dennis Muthomi
Notei que tenho a navegação de diretório desabilitada no meu site WordPress, pois recebi um erro 403 ao tentar acessar wp-includes, mas não me lembro de ter editado meu arquivo .htaccess para fazer isso.
O WordPress desabilita automaticamente a navegação de diretório durante a instalação inicial?
WPBeginner Support
A menos que tenha havido uma mudança recente, ele não faz isso por padrão, podem ser as configurações padrão do seu provedor de hospedagem para htaccess.
Admin
Dennis Muthomi
That’s what I was suspecting also, thanks for clarifying that WordPress doesn’t disable directory browsing by default.
And the respond too
Dayo Olobayo
Eu nem sabia que essa vulnerabilidade existia. Acabei de verificar o meu e recebi o erro 403, o que significa que a navegação por diretórios está desativada. Obrigado.
WPBeginner Support
You’re welcome
Admin
Jiří Vaněk
Obrigado pelo conselho. Sobre a navegação por diretórios, ou que eu a tenho ativada, o plugin AIO SEO continua me alertando. Atualmente resolvi o problema fazendo com que as pastas tenham um arquivo index vazio. É possível considerar isso como uma das possíveis soluções?
WPBeginner Support
Você pode tentar esse método, mas ainda recomendamos o método htaccess do nosso guia.
Admin
Jiří Vaněk
Obrigado pela dica, finalmente usei o método Options -Indexes agora e o AIO SEO já relata o problema como resolvido. Obrigado novamente.
Ka Khaliq
Após editar o arquivo htaccess conforme as diretrizes fornecidas, eu vejo a mensagem 403 Forbidden para /wp-includes/. Mas não consigo editar nenhuma postagem. Ao editar uma postagem, vejo a mesma mensagem 403 Forbidden. Como resolver isso?
WPBeginner Support
Pode haver um problema com as permissões do seu arquivo, recomendamos dar uma olhada no nosso guia abaixo para corrigir suas permissões:
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Admin
Ka Khaliq
O problema foi resolvido após limpar o histórico/cache da web.
Obrigado pelo seu tempo.
Dina D
Muito obrigado! Claro, conciso e fácil de seguir. Muito obrigado!
WPBeginner Support
De nada!
Admin
Rabee Khan
Obrigado… preciso e fácil de entender!
WPBeginner Support
Fico feliz que nosso guia tenha sido útil!
Admin
Kimmy
Obrigado pela solução de duas palavras! Kkk. Funcionou perfeitamente!
WPBeginner Support
Glad we could help!
Admin
Seashell
Fiquei chocado ao ver as pastas acessíveis diretamente no navegador.
Obrigado pela sua solução!
WPBeginner Support
Glad we could help!
Admin