Vi ser ofta webbplatser som glömmer att inaktivera katalogbläddring. Vid första anblicken kanske det inte verkar vara en stor sak, men denna lilla förbiseelse kan exponera känslig information och utsätta din webbplats för risker.
När katalogbläddring är aktiverat kan vem som helst se filerna och mapparna på din server. Hackare kan använda denna information för att identifiera svagheter i dina plugins, teman eller till och med din hostingmiljö.
Lyckligtvis är det snabbt och enkelt att åtgärda detta problem. Genom att stänga av katalogbläddring lägger du till ett extra skyddslager och gör det mycket svårare för angripare att rikta in sig på din webbplats.
I den här guiden kommer jag att guida dig genom de enkla stegen för att inaktivera katalogbläddring i WordPress så att du kan skydda din webbplats och hålla dina data säkra.
Här är en snabb översikt över ämnen som jag kommer att täcka i den här guiden:
- Vad gör inaktivering av kataloglistning i WordPress?
- Hur man kontrollerar om katalogbläddring är aktiverat i WordPress
- How to Disable Directory Browsing in WordPress
- Vanliga frågor om inaktivering av kataloglistning
- Ytterligare läsning om WordPress-säkerhet
Vad gör inaktivering av kataloglistning i WordPress?
Att inaktivera kataloglistning hindrar besökare från att se en lista över filer och mappar på din webbplats när en indexfil saknas. Istället för att visa den råa katalogen kommer servern att visa en tom sida eller ett felmeddelande.
När någon besöker din webbplats levererar servern normalt en indexfil (som index.html eller index.php) till deras webbläsare. Om den filen saknas kommer många servrar att visa alla filer i den mappen.
Detta beteende kallas kataloglistning, och det är ofta aktiverat som standard på hosting-servrar.
Problemet är att detta exponerar känsliga detaljer om din webbplats struktur. Hackare kan använda det för att leta efter sårbarheter i plugins, teman eller till och med din hostingmiljö.
I vissa fall kan kataloglistning också avslöja privat eller betalt innehåll, som nedladdningar av e-böcker eller onlinekurser, som sedan kan kopieras utan tillstånd.
Det är därför vi alltid påpekar denna risk när vi hjälper nybörjare. Att stänga av kataloglistning är en snabb ändring som kan skydda din webbplats och förhindra onödiga intäktsförluster.
Hur man kontrollerar om katalogbläddring är aktiverat i WordPress
Ett enkelt sätt att kontrollera om katalogbläddring är aktiverat på din WordPress-webbplats är genom att besöka mappen /wp-includes/ direkt.
Ange till exempel en URL som denna: https://example.com/wp-includes/ i din webbläsare.
Se till att ersätta example.com med din faktiska webbplats domännamn. Detta enkla test fungerar på de flesta WordPress-installationer.
Om du ser ett 403 Forbidden-meddelande eller ett liknande fel, är kataloglistning redan inaktiverad. Detta är ett gott tecken eftersom det innebär att din webbplats är säkrare.
Om en lista med filer och mappar visas istället, då är kataloglistning aktiverat.
Att lämna katalogbläddring aktiverad gör din webbplats sårbar för skadliga attacker.
Enligt vår erfarenhet exponerar aktivering av kataloglistning känslig information och ökar säkerhetsriskerna. Av denna anledning är det bäst att inaktivera kataloglistning i WordPress för att hålla din webbplats säker.
Hur man inaktiverar katalogbläddring i WordPress
Du kan inaktivera katalogbläddring genom att lägga till en enda kodrad i din WordPress .htaccess-fil.
Detta är en kraftfull konfigurationsfil för servern, så det är mycket viktigt att göra en säkerhetskopia av din .htaccess-fil innan du gör några ändringar. En felaktig redigering kan göra din webbplats otillgänglig.
Tips: Vi använder Duplicator för att automatiskt säkerhetskopiera alla våra WordPress-webbplatser. Det låter dig skapa schemalagda såväl som säkerhetskopior på begäran. Ännu viktigare, du kan enkelt återställa din webbplats med 1-klick. Se vår fullständiga Duplicator-recension för mer information.
Du kan komma åt den här filen med två huvudsakliga metoder:
Metod 1: Redigera .htaccess-filen med filhanteraren i cPanel
Den enklaste metoden för de flesta användare är att använda filhanteraren som finns i kontrollpanelen (cPanel) för ditt WordPress-värdkonto.
Logga först in på ditt hostingkonto och öppna filhanteraren.
Navigera till din webbplats rotmapp, som ofta heter public_html.
Leta nu reda på .htaccess-filen.
Om du inte kan se den, se till att aktivera "Visa dolda filer" i inställningarna för din filhanterare.
Högerklicka på filen och välj 'Redigera' eller 'Kodredigerare'.
Metod 2: Redigera .htaccess-filen med en FTP-klient
Alternativt kan du använda en FTP-klient för att ansluta till din webbplats filer.
Om det här är första gången kan du följa vår kompletta guide om hur du ansluter till din webbplats med FTP.
- När du är ansluten via FTP, navigera till din webbplats rotkatalog (t.ex.
public_html). - Hitta filen
.htaccess. - Ladda ner filen till din dator och öppna den sedan i en enkel textredigerare som Anteckningar eller TextEdit.
Lägga till koden i .htaccess
När du har öppnat .htaccess-filen för redigering med någon av metoderna, lägger du helt enkelt till följande kodrad längst ner i filen:
Options -Indexes
Det kommer att se ut ungefär så här:
Spara nu dina ändringar. Om du använde en FTP-klient måste du ladda upp den redigerade .htaccess-filen till din server igen och skriva över originalet.
Notering för Nginx-användare 📝: Denna metod med .htaccess gäller webbplatser som körs på en Apache-webbserver. Om din webbplats finns på en Nginx-server hanteras denna inställning vanligtvis på servernivå av din hostingleverantör, och kataloglistning är typiskt inaktiverad som standard. För att lära dig mer, se vår jämförelse av Apache vs Nginx vs LiteSpeed webbservrar.
Nu, om du besöker samma URL http://example.com/wp-includes/, får du ett 403 Forbidden eller ett liknande meddelande.
Bonustips: Föredrar du ett plugin istället?
Om du inte är bekväm med att redigera kod kan ett bra WordPress-säkerhetsplugin hantera detta åt dig.
De flesta WordPress-säkerhetsplugins inkluderar ett alternativ med ett klick för att inaktivera katalogbläddring som en del av deras funktioner för att härda webbplatsen, så du behöver aldrig röra en enda fil.
Vanliga frågor om inaktivering av kataloglistning
Vad är kataloglistning och varför är det en säkerhetsrisk?
Katalogbläddring är en serverfunktion som listar alla filer och mappar i en katalog om en indexfil (som index.php) saknas. Det är en säkerhetsrisk eftersom den exponerar din webbplats struktur, inklusive vilka teman och plugins du använder, för potentiella angripare.
Påverkar inaktivering av katalogbläddring min webbplats SEO?
Nej, att inaktivera kataloglistning påverkar inte din SEO negativt. Sökmotorer är intresserade av ditt innehåll, inte din filstruktur. Faktum är att förbättra din webbplats säkerhet är en positiv signal till sökmotorer.
Är det bättre att använda ett plugin eller redigera .htaccess-filen?
Båda metoderna ger samma resultat. Att redigera .htaccess-filen är en snabb engångslösning. Att använda ett säkerhetsplugin som Sucuri är utmärkt för nybörjare eftersom det hanterar detta och många andra säkerhetsinställningar med ett enda klick, utan att behöva redigera kod.
Vad händer om min WordPress-webbplats använder en Nginx-server?
.htaccess-filen är specifik för Apache-webbservrar. På Nginx-servrar är kataloglistning vanligtvis inaktiverad som standard i den huvudsakliga serverkonfigurationen. Om du misstänker att den är aktiverad bör du kontakta din hostingleverantör för att få dem att inaktivera den åt dig.
Ytterligare läsning om WordPress-säkerhet
Vill du hålla din WordPress-webbplats säker och felfri? Du kan tycka att följande artiklar är användbara:
- Nybörjarguide till WordPress fil- och katalogstruktur
- De vanligaste WordPress-felen och hur du åtgärdar dem
- Hur man åtgärdar fel på fil- och mappbehörigheter i WordPress
- Hur lösenordsskyddar du din WordPress-admin (wp-admin) katalog
Vi hoppas att den här artikeln hjälpte dig att lära dig hur du inaktiverar katalogbläddring i WordPress. Du kanske också vill se vår ultimata WordPress-säkerhetsguide eller vårt experttips om de bästa WordPress-säkerhetsplugins.
Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
Deepak Kumar
Det fungerar som en dans på rosor. Artikeln på wpbeginners är som en färdig lösning. Fortsätt så.
Ayo
Hur löser jag nu 404-felet som kommer efteråt?
Pradip Singh
Jag är förälskad i den här webbplatsen. Varje dag blir jag förvånad när jag läser en ny artikel från den här webbplatsen. Tack och lov läste jag den här artikeln idag och implementerade genast råden.
WPBeginner Support
Glad you found our content helpful
Admin
Sourabh
Kommer det att blockera CDN:er från att komma åt min webbplats för statiskt innehåll?
WPBeginner Support
Nej, det kommer det inte.
Admin
sami
Påverkar denna metod Googles genomsökning? Är det SEO-vänligt?
WPBeginner Support
Det bör inte påverka sökmotorer som genomsöker din webbplats.
Admin
Meera Shaikh
Tack, det är klart
WPBeginner Support
You’re welcome
Admin
Pradeep
Tack min vän, jag provar detta och det fungerar.
Du är ett geni.
WPBeginner Support
Glad our guide was helpful
Admin
mousam
Tack. Jag applicerade det och det fungerade.
Ni är den bästa källan för att lära sig wordpress.
WPBeginner Support
You’re welcome, glad our guide was helpful
Admin
Kevine
Tack så mycket för detta. Det löste mitt problem.
Tack igen.
WPBeginner Support
You’re welcome, glad our guide was helpful
Admin
malika
Tack för att du delar information!
WPBeginner Support
You’re welcome
Admin
Jonthan
Så är det okej att ha den här koden i .htaccess-filen även när en index.php-fil finns i rotmappen.
Vänligen svara.
WPBeginner Support
Yes
Admin
Teresa Cuervo
Behöver du Filezilla för att göra detta eller kan du gå till FTP via Cpanel och göra detta?
Tack
WPBeginner Support
You can use either, not all hosts have a file manager is why we show Filezilla
Admin
michael
Hej
Påverkar denna åtgärd indexering av sidor på sökmotorer?
Och orsakar det några problem för indexerade sidor på min WordPress-webbplats?
Tack
WPBeginner Support
Nej, det skulle inte påverka det negativt.
Admin
Rhen Castrodes
Tack. Det fungerar
WPBeginner Support
Glad our recommendation was able to help you
Admin
John
Tack! Det fungerar även nu 2020.
WPBeginner Support
You’re welcome
Admin
Shams
Fantastiskt inlägg,
Har bara en enkel fråga, jag lade till den här koden och den fungerar, frågan är om Google indexerar de sidorna, t.ex. sitecom/wp-contents/2019/2, kommer Google att ta bort dessa sidor automatiskt nu eftersom de är 404. Eller ska jag ta bort det i Search Console?
Tack
WPBeginner Support
Den här koden ska inte göra att dina direkta länkar till bilder och filer ger 404-fel
Admin
Bill
Hej!
Jag tillämpade nyligen denna regel
och samma dag försvann framsidan av min blogg
från Googles index.
Ser du någon koppling?
WPBeginner Support
Att lägga till detta i din htaccess bör inte påverka din indexering, det finns flera anledningar och du bör kontrollera din Google Search Console för vad den säger om din startsida.
Admin
Ionel G
Tack för alla tips du ger!
Jag undrar fortfarande hur man kan dölja mapparna wp-content & wp-include från källkoden? Jag hatar det när någon högerklickar och tittar på källkoden och ser alla mina plugins :). Har du något skript för detta?
Tack på förhand!
WPBeginner Support
Vi har ingen rekommenderad metod för det för tillfället, den vanligaste anledningen till att du inte kan se dessa mappar i utvecklarverktyg är webbplatsens cache.
Admin
Mayur
Kan du snälla berätta hur jag kan inaktivera WordPress i en undermapp, som min WordPress-installation på [www.mydomain.com] och jag vill inaktivera WordPress i [www.mydomain.com/customscript]?
WPBeginner Support
Du kanske vill titta först på att skapa en anpassad sidmall: https://www.wpbeginner.com/wp-themes/how-to-create-a-custom-page-in-wordpress/
Annars skulle du behöva skapa en mapp med det namnet och inuti den mappen lägga till en index.html-fil för att en icke-WordPress-sida ska visas.
Admin
Rafael
Tack. Fungerade perfekt för alla webbläsare.
Dipankar
men wp-content visas. hur tar man bort det också.
Deatram
Jag inaktiverade katalogbläddring, men någon kan fortfarande se min katalog när de använder utvecklarverktyg i Chrome-webbläsaren. Hur inaktiverar jag det också?
Faeze
Jag lade till raden som du sa i .htaccess men den visar fortfarande mina kataloger.
Vad ska jag göra nu??
Nathan
När jag klickar på "Spara ändringar" på sidan för permalinksinställningar uppdateras .htaccess-filen och raderar koden "Options -Indexes" som jag angav. Koden fungerar bra, men jag är orolig att jag oavsiktligt kommer att radera den när jag utför någon annan uppgift. Finns det några andra inställningsändringar i instrumentpanelen som jag bör känna till som kan påverka .htaccess-filen och radera koden? Tack
Tôi Sống
Fantastiskt, det fungerar mycket bra!
Baggio
Stor fan av wpbeginner, Optin Monster – jag har fått så många användbara tips och knep på WP – och jag måste säga att webbplatsdesignen är helt enkelt briljant. Och naturligtvis är innehållet här episkt användbart.
Tack grabbar!
daniel
Hej! Det verkar inte fungera. om jag drar en bild till en annan sida öppnas den med en länk av: example.com/wp-content/uploads/…
Någon idé? tack!
WPBeginner Support
Hej Daniel,
Dina bilder och filer i kataloger kan fortfarande nås direkt. Servern kommer dock inte att tillåta någon att direkt bläddra i en katalog och se dess innehåll.
Admin
Axel Jebens
Jag skulle uppskatta om du kunde utveckla detta. Jag hade svårt att hitta en lösning på detta problem. Det finns några idéer baserade på en htaccess som omdirigerar till en php-fil som först kontrollerar om användaren är inloggad. Finns det något plugin som tillhandahåller en sådan funktion?
Ünal Hoca
Tack
Khalid Mahmud
Tack. Det fungerar.......
Kim
Förlåt att jag frågar sent. Jag vill veta, är dessa tekniker säkra att använda med avseende på SEO-poäng? Hoppas du svarar!
WPBeginner Support
Ja, det är de.
Admin
Kimmy
Fungerar fortfarande ganska bra. Fantastiskt, enkelt och fungerar. Tack!
Charles
Jag har skrivit samma kod i veckor nu men min katalog förblir synlig för användare. Vad gör jag fel? Eller kan det vara så att min webbplats fortfarande laddas från cachade innehåll? Alla säger att det fungerar men min egen upplevelse är annorlunda. All hjälp uppskattas! Tack i förväg för ditt svar.
Kimmy
Vilken del har du problem med? Vilken är din hostingleverantör förresten?
Lily
Tack. Fungerade som en charm!
Prakash
Detta ovanstående trick fungerar inte, mannen...
Mike
Finns det ett sätt att tillåta visning av en katalog men bara dölja länken "Parent Directory" för en specifik sida? Detta skulle vara en nätverksdelad mapp som flera personer skulle komma åt, och ha undermappar som fortfarande skulle kräva en föräldrakataloglistning. Jag vill bara inte att någon ska gå ovanför den delade mappen.
Christian Nastari
Detta fungerade inte för mig. Jag försökte före och efter #END WordPress och det fungerade inte. Jag försökte också med “Options All -Indexes”, men det fungerade inte heller
hrwhisper
mycket hjälpsamt, tack så mycket
nitai
Verkligen bra. Idag stötte jag precis på det och funderade på hur jag kunde förbjuda det som joomla och jag hittade den exakta lösningen.
Rob Myrick
Detta var mycket hjälpsamt och snabbt – tack
Anita i SD
Tack så mycket, var förfärad över att se bilder från min webbplats gå till en överordnad katalog :0. Detta var mycket hjälpsamt och fungerade bra.
Välsignelser – A
Heather Jacobsen
Thanks for this tutorial. It worked great for hiding my uploads from anyone just wanting to browse that directory. One question, though. Does this by chance turn off the ability of search engines to browse my website. Sorry if it seems like a dumb question. I am a newbie, after all.
Wasil Burki
Jag lade till koden Options -Indexes i htaccess-filen, men nu kan jag inte komma åt webbplatsen, jag får ett 503-fel. Gör jag något fel? Behöver hjälp snabbt!! Tack
Ted
Problemet jag har är att jag kan se katalogen för den här wordpress-sajten, så om du använder den här lösningen fungerar den inte... (tema wpbv4)
Rahul
Tack så mycket för handledningen!
Jag var mycket orolig när jag upptäckte att några av mina temakataloger kunde bläddras. Allt är bra nu, tack vare din handledning. Jag visste aldrig att .htaccess hade så mycket kraft.
KeelAha
Hej Syed Balkhi
Jag märkte just att en av dina sajter, list25.com, har katalogbläddring aktiverad i följande mapp.
Osäker på om det är viktigt för dig.
http://list25.com/wp-includes/
Ha en trevlig helg och fortsätt med ert goda arbete.
hälsningar
KeelAha
WPBeginner Support
Disabled it, thanks
Admin
Logan
Varför får jag en tom sida och ingen felmeddelande när jag försöker komma åt ../wordpress/wp-content/ eller ../wordpress/wp-content/plugins/ ?
WPBeginner Support
Det kan bero på ditt tema eller din hostingmiljö. Försök att aktivera kataloglistning och få sedan åtkomst till dessa kataloger. Om du fortfarande får en tom sida betyder det att dessa kataloger har en tom index.php-fil i sig.
Admin
Charlie Sasser
Jag testade detta innan jag gjorde några ändringar med en plats som inte hade en index.php eller .htm-fil och ja, du kan se alla filer. Jag lade till den föreslagna raden i slutet av .htaccess. Platsen ger nu ett 403-fel från värden och inte ett 404-fel från WordPress. Jag kör WP 3.8. Är detta förväntat beteende?
Bern
Jag har samma problem, det visar 403-fel, inte 404. Löste du detta problem?
Christian
Samma problem uppstår, vad ska jag göra nu? använder senaste versionen av wordpress.
Abhisek
Better WordPress Security-pluginet tar hand om det.
Govinda
Hur gör jag det i Better Wp security.
Jag har installerat pluginet, men kan inte hitta den här funktionen
Costin
Hej,
Kan du snälla berätta om "Options All -Indexes" är detsamma eller bättre?
Tack!
WPBeginner Support
Det är detsamma.
Admin
David Trees
Tack för denna viktiga information.
Menar du;
Här
Alternativ -Index
# SLUT WordPress
ELLER
# SLUT WordPress
Options -Indexes
Tack för ditt svar.
Skål
David
WPBeginner Support
Båda bör fungera likadant men vi menade den senare efter SLUT WordPress
Admin
Ivan R Linares
Tack, fungerade som en charm!