Vedem adesea site-uri web care uită să dezactiveze navigarea prin directoare. La prima vedere, s-ar putea să nu pară o problemă majoră, dar această mică omisiune poate expune informații sensibile și vă poate pune site-ul în pericol.
Când navigarea în directoare este activată, oricine poate vizualiza fișierele și folderele de pe serverul dvs. Hackerii pot folosi aceste informații pentru a identifica vulnerabilități în plugin-urile, temele sau chiar în mediul dvs. de găzduire.
Din fericire, rezolvarea acestei probleme este rapidă și ușoară. Dezactivând navigarea în director, adaugi un strat suplimentar de protecție și faci mult mai dificil pentru atacatori să-ți vizeze site-ul.
În acest ghid, vă voi prezenta pașii simpli pentru a dezactiva navigarea în directoare în WordPress, astfel încât să vă puteți proteja site-ul și să vă păstrați datele în siguranță.
Iată o prezentare generală rapidă a subiectelor pe care le voi aborda în acest ghid:
- Ce face dezactivarea navigării prin directoare în WordPress?
- Cum să verificați dacă navigarea prin directoare este activată în WordPress
- How to Disable Directory Browsing in WordPress
- Întrebări frecvente despre dezactivarea navigării în directoare
- Lecturi suplimentare pentru securitatea WordPress
Ce face dezactivarea navigării prin directoare în WordPress?
Dezactivarea navigării în directoare împiedică vizitatorii să vadă o listă de fișiere și foldere de pe site-ul dvs. atunci când nu este disponibil un fișier index. În loc să afișeze acel director brut, serverul va afișa o pagină goală sau un mesaj de eroare.
Când cineva vizitează site-ul dvs. web, serverul livrează în mod normal un fișier index (cum ar fi index.html sau index.php) browserului său. Dacă acel fișier lipsește, multe servere vor recurge la afișarea tuturor fișierelor din acel folder.
Acest comportament se numește navigare în directoare și este adesea activat implicit pe serverele de găzduire.
Problema este că acest lucru expune detalii sensibile despre structura site-ului dvs. Hackerii îl pot folosi pentru a căuta vulnerabilități în plugin-uri, teme sau chiar în mediul dvs. de găzduire.
În unele cazuri, navigarea prin directoare poate dezvălui, de asemenea, conținut privat sau plătit, cum ar fi descărcări de ebook-uri sau cursuri online, care ar putea fi apoi copiate fără permisiune.
De aceea subliniem întotdeauna acest risc atunci când ajutăm începătorii. Dezactivarea navigării prin directoare este o modificare rapidă care vă poate proteja site-ul și poate preveni pierderi de venituri inutile.
Cum să verificați dacă navigarea prin directoare este activată în WordPress
Un mod ușor de a verifica dacă navigarea în director este activată pe site-ul tău WordPress este să vizitezi direct folderul /wp-includes/.
De exemplu, introdu pur și simplu o adresă URL de genul: https://example.com/wp-includes/ în browserul tău.
Asigurați-vă că înlocuiți example.com cu numele domeniului real al site-ului dvs. web. Acest test simplu funcționează pe majoritatea instalărilor WordPress.
Dacă vedeți un mesaj 403 Forbidden sau o eroare similară, atunci navigarea în directoare este deja dezactivată. Acesta este un semn bun, deoarece înseamnă că site-ul dvs. este mai sigur.
Dacă apare o listă de fișiere și foldere, atunci navigarea în director este activată.
Permiterea navigării în director face site-ul dvs. vulnerabil la atacuri malițioase.
Din experiența noastră, activarea navigării în directoare expune informații sensibile și crește riscurile de securitate. Din acest motiv, este cel mai bine să dezactivați navigarea în directoare în WordPress pentru a vă menține site-ul în siguranță.
Cum să dezactivați navigarea în directoare în WordPress
Puteți dezactiva navigarea prin directoare adăugând o singură linie de cod în fișierul .htaccess al WordPress-ului dvs.
Acesta este un fișier de configurare puternic al serverului, deci este foarte important să faceți un backup al fișierului dvs. .htaccess înainte de a face orice modificări. O editare incorectă ar putea face site-ul dvs. inaccesibil.
Sfat: Folosim Duplicator pentru a face backup automat tuturor site-urilor noastre WordPress. Vă permite să creați backup-uri programate, precum și la cerere. Mai important, puteți restaura cu ușurință site-ul dvs. web cu un singur clic. Consultați recenzia noastră completă Duplicator pentru mai multe detalii.
Puteți accesa acest fișier folosind două metode principale:
Metoda 1: Editați fișierul .htaccess folosind Managerul de fișiere din cPanel
Cea mai ușoară metodă pentru majoritatea utilizatorilor este să folosiți aplicația File Manager furnizată în panoul de control al contului dvs. de găzduire WordPress (cPanel).
Mai întâi, conectați-vă la contul dvs. de găzduire și deschideți Managerul de fișiere.
Navigați la folderul rădăcină al site-ului dvs. web, care este adesea numit public_html.
Acum, localizați fișierul .htaccess.
Dacă nu îl puteți vedea, asigurați-vă că ați activat „Afișați fișierele ascunse” în setările managerului dvs. de fișiere.
Faceți clic dreapta pe fișier și selectați „Editare” sau „Editor de cod”.
Metoda 2: Editarea fișierului .htaccess folosind un client FTP
Alternativ, puteți folosi un client FTP pentru a vă conecta la fișierele site-ului dvs.
Dacă este prima dată când vizitați, puteți urma ghidul nostru complet despre cum să vă conectați la site-ul dvs. folosind FTP.
- Odată conectat prin FTP, navighează la directorul rădăcină al site-ului tău (de ex.,
public_html). - Găsiți fișierul
.htaccess. - Descarcă fișierul pe computer, apoi deschide-l într-un editor de text simplu, cum ar fi Notepad sau TextEdit.
Adăugarea codului în .htaccess
Odată ce ați deschis fișierul .htaccess pentru editare, folosind oricare dintre metode, pur și simplu adăugați următoarea linie de cod la sfârșitul fișierului:
Options -Indexes
Va arăta cam așa:
Acum, salvează modificările. Dacă ai folosit un client FTP, trebuie să reîncarci fișierul .htaccess editat pe serverul tău, suprascriind-l pe cel original.
Notă pentru utilizatorii Nginx 📝: Această metodă .htaccess se aplică site-urilor web care rulează pe un server web Apache. Dacă site-ul dvs. web este pe un server Nginx, această setare este de obicei gestionată la nivel de server de către furnizorul dvs. de găzduire, iar navigarea prin directoare este, de obicei, dezactivată în mod implicit. Pentru a afla mai multe, consultați comparația noastră între serverele web Apache vs Nginx vs LiteSpeed.
Acum, dacă vizitați aceeași adresă URL http://example.com/wp-includes/, veți primi un mesaj 403 Forbidden sau similar.
Sfat bonus: Preferi un plugin în schimb?
Dacă nu vă simțiți confortabil editând codul, un plugin bun de securitate pentru WordPress îl poate face pentru dvs.
Majoritatea plugin-urilor de securitate WordPress includ o opțiune de un clic pentru a dezactiva navigarea în directoare ca parte a funcțiilor lor de întărire a securității site-ului web, astfel încât să nu fie nevoie să atingeți niciodată un singur fișier.
Întrebări frecvente despre dezactivarea navigării în directoare
Ce este navigarea prin directoare și de ce reprezintă un risc de securitate?
Navigarea în director este o funcție a serverului care listează toate fișierele și folderele dintr-un director dacă lipsește un fișier index (cum ar fi index.php). Este un risc de securitate, deoarece expune structura site-ului dvs., inclusiv ce teme și pluginuri utilizați, potențialilor atacatori.
Dezactivarea navigării în directoare afectează SEO-ul site-ului meu?
Nu, dezactivarea navigării prin directoare nu vă afectează negativ SEO-ul. Motoarele de căutare sunt interesate de conținutul dvs., nu de structura fișierelor. De fapt, îmbunătățirea securității site-ului dvs. web este un semnal pozitiv pentru motoarele de căutare.
Este mai bine să folosesc un plugin sau să editez fișierul .htaccess?
Ambele metode obțin același rezultat. Editarea fișierului .htaccess este o soluție rapidă, unică. Utilizarea unui plugin de securitate precum Sucuri este excelentă pentru începători, deoarece gestionează aceasta și multe alte setări de securitate cu un singur clic, fără a fi nevoie să editați codul.
Ce se întâmplă dacă site-ul meu WordPress folosește un server Nginx?
Fișierul .htaccess este specific serverelor web Apache. Pe serverele Nginx, listarea directoarelor este de obicei dezactivată implicit în configurația principală a serverului. Dacă suspectați că este activată, ar trebui să contactați furnizorul dvs. de găzduire pentru a o dezactiva.
Lecturi suplimentare pentru securitatea WordPress
Doriți să vă mențineți site-ul WordPress securizat și fără erori? S-ar putea să găsiți utile următoarele articole:
- Ghidul începătorului pentru structura fișierelor și directoarelor WordPress
- Cele mai frecvente erori WordPress și cum să le remediați
- Cum să remediați eroarea de permisiuni fișiere și foldere în WordPress
- Cum să protejați cu parolă directorul de administrare WordPress (wp-admin)
Sperăm că acest articol v-a ajutat să învățați cum să dezactivați navigarea în directoare în WordPress. De asemenea, ați putea dori să consultați ghidul nostru complet de securitate WordPress sau selecția noastră de experți a celor mai bune plugin-uri de securitate WordPress.
Dacă ți-a plăcut acest articol, te rugăm să te abonezi la canalul nostru de YouTube pentru tutoriale video WordPress. Ne poți găsi, de asemenea, pe Twitter și Facebook.
Dennis Muthomi
Am observat că am dezactivat navigarea prin directoare pe site-ul meu WordPress, deoarece am primit o eroare 403 când am încercat să accesez wp-includes, totuși nu-mi amintesc să fi editat vreodată fișierul meu .htaccess pentru a face acest lucru.
Dezactivează WordPress automat navigarea prin directoare în timpul instalării inițiale?
Suport WPBeginner
Cu excepția cazului în care a existat o modificare recentă, în mod implicit nu o face, ar putea fi setările implicite ale furnizorului dvs. de găzduire pentru htaccess.
Admin
Dennis Muthomi
That’s what I was suspecting also, thanks for clarifying that WordPress doesn’t disable directory browsing by default.
And the respond too
Dayo Olobayo
Nici măcar nu știam că există această vulnerabilitate. Tocmai am verificat-o pe a mea și am primit eroarea 403. ceea ce înseamnă că navigarea în directoare este dezactivată. Mulțumesc.
Suport WPBeginner
You’re welcome
Admin
Jiří Vaněk
Mulțumesc pentru sfat. În ceea ce privește navigarea în director, sau faptul că o am activată, pluginul AIO SEO continuă să mă avertizeze. Am rezolvat momentan problema făcând ca folderele să aibă un fișier index gol. Este posibil să fie considerată aceasta una dintre soluțiile posibile?
Suport WPBeginner
Puteți încerca acea metodă, dar am recomanda în continuare metoda htaccess din ghidul nostru.
Admin
Jiří Vaněk
Mulțumesc pentru sfat, am folosit în cele din urmă metoda Options -Indexes acum și AIO SEO raportează deja problema ca fiind rezolvată. Mulțumesc din nou.
Ka Khaliq
După editarea fișierului htaccess conform ghidurilor furnizate, văd mesajul 403 Forbidden pentru /wp-includes/. Dar nu pot edita nicio postare. La editarea unei postări, văd același mesaj 403 Forbidden. Cum să rezolv asta?
Suport WPBeginner
Ar putea exista o problemă cu permisiunile fișierelor tale, recomandăm să consulți ghidul nostru de mai jos pentru remedierea permisiunilor tale:
https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Admin
Ka Khaliq
Problema s-a rezolvat după ștergerea istoricului web/cache.
Mulțumesc pentru timpul acordat.
Dina D
Mulțumesc mult! Clar, concis și ușor de urmărit. Mulțumesc mult!
Suport WPBeginner
Cu plăcere!
Admin
Rabee Khan
Mulțumesc... precis și ușor de înțeles!
Suport WPBeginner
Mă bucur că ghidul nostru a fost util!
Admin
Kimmy
Mulțumesc pentru soluția în două cuvinte! Lol. A funcționat perfect!
Suport WPBeginner
Glad we could help!
Admin
Seashell
Am fost șocat să văd folderele accesibile direct în browser.
Mulțumesc pentru soluția ta!
Suport WPBeginner
Glad we could help!
Admin