По умолчанию на большинстве веб-серверов, таких как Apache, NGINX и LiteSpeed, включен просмотр каталогов.
Это просто означает, что люди могут видеть содержимое (каталогов) на вашем сайте.
С точки зрения безопасности, вы не хотите, чтобы это произошло, потому что вы не хотите, чтобы люди смотрели на структуру вашего сайта.
Хакеры могут легко найти потенциальные уязвимости в темах и плагинах путем сканирования этих файлов.
Начнем…
Если вы откроете следующую ссылку и найдете много файлов, это означает, что просмотр каталога отключен на вашем сервере.
Ссылка на сайт: http://yoursitename.com/wp-includes/ (где имя вашего сайта WordPress).
Если приведенная выше ссылка содержит список папок, это означает, что просмотр каталогов включен.
Если просмотр каталога включен, он будет выглядеть так:
Мы покажем вам, как отключить его, чтобы избежать потенциальных проблем безопасности.
Некоторая справочная информация о индексных файлах
Если в папке содержится файл или, то веб-сервер по умолчанию запускает или загружает этот файл, когда кто-то входит в эту папку.
Таким образом, если кто-то увидит файлы в каталоге и там будет файл, это будет невозможно, поскольку веб-сервер будет вызывать соответствующий файл PHP или HTML.
Если файл index.php / html отсутствует, любой может вывести содержимое каталога.
Относится к каталогу по умолчанию вашего веб-сервера. Все подходящие веб-сайты имеют файл index.php или index.html в своей базовой директории. Проверьте свой собственный веб-сайт, вы обнаружите, что базовая папка содержит файл, если вы используете WordPress (или любую другую CMS) или файл, если вы используете базовый шаблон HTML.
Так зачем отключать просмотр каталогов?
Некоторые папки WordPress любят или содержат конфиденциальные данные, которые не нужны для посторонних глаз. Как вы знаете, папка содержит ваши темы, плагины и медиа-загрузки.
Любой может просто просмотреть эти медиа-файлы, и хакеры могут найти потенциальные уязвимости. Так что да, в некотором смысле, это облегчает работу хакера, не отключая просмотр каталогов.
Как отключить просмотр каталогов в WordPress
Отключение просмотра каталогов в WordPress или любой другой CMS или веб-сайте в этом случае требует доступа к базовому каталогу через FTP или некоторый файловый менеджер, например cPanel.
Здесь вам помогут несколько бесплатных FTP-клиентов, хорошим вариантом является FileZilla.
Вам просто нужно создать файл .htaccess со следующей строкой кода:
Options All -Indexes
Затем загрузите файл обратно в соответствующую папку. Это обзор процесса. В большинстве случаев у вас уже может быть файл .htaccess, присутствующий в вашем установочном каталоге WordPress. Создается при изменении настроек постоянной ссылки.
Будьте очень осторожны: не перезаписывайте этот файл, иначе вы потеряете его постоянную ссылку и другие параметры безопасности.
Если у вас уже есть файл .htaccess, сначала создайте резервную копию. Затем откройте его в Блокноте (или любом другом текстовом редакторе) и вставьте следующую строку в конце:
Options All -Indexes
Как правило, большинство файлов .htaccess содержат следующий код:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ – (L)
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php (L)
# END WordPress
Модифицированный код будет выглядеть так:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ – (L)
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php (L)
# END WordPress
Options All -Indexes
Сохраните файл и загрузите его обратно в каталог, из которого вы его скачали, на этот раз перезаписав файл. Если что-то сломалось, замените его файлом резервной копии и попробуйте снова.
После того, как вы отключите просмотр каталогов, все эти ранее видимые каталоги перенаправят вас на одну или одну страницу. В любом случае это работает.
Я попробовал учебник в моей настройке WAMP, и он отлично работал!
вывод
Отключение просмотра каталогов является одной из наиболее подорванных мер безопасности среди большинства веб-мастеров. Большинство из них просто забывают об этой пустоте, которая значительно облегчает работу хакера.
В качестве практического примера ниже приведено изображение с одного из сайтов моего клиента до применения исправления. Как вы можете видеть, любой желающий может просматривать загрузки мультимедиа в любое время, даже те, которые были загружены, но никогда не отображались на реальном сайте.
Я надеюсь, что смог сообщить о важности отключения просмотра каталогов и о том, как это сделать.
