Cómo deshabilitar la navegación de directorios en WordPress
De forma predeterminada, la mayoría de los servidores web como Apache, NGINX y LiteSpeed tienen habilitada la exploración de directorios.
Simplemente significa que las personas pueden ver el contenido del carpetas individuales (directorios) en su sitio web.
Desde el punto de vista de la seguridad, no desea que esto suceda ya que no desea que la gente mire alrededor de la estructura de su sitio.
Los piratas informáticos pueden encontrar fácilmente posibles vulnerabilidades en temas y plugins al rastrear esos archivos.
En este breve tutorial, le mostraremos cómo deshabilitar la exploración de directorios en WordPress usando el archivo .htaccess. En aras de la simplicidad, los términos directorio y carpeta se utilizan como sinónimos en este tutorial.
Empecemos…
Si abre el siguiente enlace y encuentra un montón de archivos, significa que la exploración de directorios está deshabilitada en su servidor.
Enlace: http://yoursitename.com/wp-includes/ (dónde youritename es el nombre de su sitio de WordPress).
Si el enlace anterior contiene una lista de carpetas, significa que la exploración de directorios está habilitada.
Si la exploración de directorios está habilitada, se verá así:
Le mostraremos cómo desactivarlo para evitar posibles problemas de seguridad.
Alguna información básica sobre archivos de índice
Si una carpeta contiene un index.php o index.htm o index.html file, luego el servidor web por defecto, ejecuta o carga ese archivo cuando alguien ingresa a esa carpeta.
Entonces, si alguien fuera a ver los archivos en un directorio y un index.php / html archivo estaba allí, entonces no sería posible ya que el servidor web llamaría al archivo PHP o HTML respectivo.
Si el archivo index.php / html no estuviera allí, cualquiera podría enumerar el contenido del directorio.
los directorio base se refiere al directorio predeterminado de su servidor web. Todos los sitios web adecuados tienen un archivo index.php o index.html en su directorio base. Consulte su propio sitio web, encontrará que la carpeta base contiene un index.php archivo si está utilizando WordPress (o cualquier otro CMS) o un index.html archivo si está utilizando una plantilla HTML básica.
Entonces, ¿por qué deshabilitar la exploración de directorios?
Algunas carpetas de WordPress como contenido de wp o wp-incluye contienen datos sensibles que no son necesarios para miradas indiscretas. Como sabes, el contenido de wp La carpeta contiene sus temas, plugins y cargas de medios.
Cualquiera puede simplemente navegar a través de esos archivos multimedia y los piratas informáticos pueden encontrar posibles vulnerabilidades. Así que sí, en cierto modo, está facilitando el trabajo del pirata informático al no deshabilitar la exploración de directorios.
Cómo deshabilitar la navegación de directorios en WordPress
Deshabilitar la navegación de directorios en WordPress o cualquier otro CMS o sitio web requiere acceso al directorio base a través de FTP o algún administrador de archivos como cPanel.
Hay varios clientes FTP gratuitos que te ayudarán aquí, una buena opción es FileZilla.
Simplemente necesita crear un archivo .htaccess con la siguiente línea de código:
Options All -Indexes
Luego, cargue el archivo de nuevo en la carpeta correspondiente. Esto es muy general descripción general del proceso. En la mayoría de los casos, es posible que ya tenga un archivo .htaccess dentro de su directorio de instalación de WordPress. Se crea cuando ha cambiado la configuración del enlace permanente.
Tenga mucho cuidado: no sobrescriba este archivo o perderá todas su enlace permanente y otras configuraciones de seguridad.
Si ya tiene un archivo .htaccess presente, primero cree una copia de seguridad. Luego, ábralo en el Bloc de notas (o cualquier editor de texto sin formato) y pegue la siguiente línea al final:
Options All -Indexes
En general, la mayoría de los archivos .htaccess contienen el siguiente código:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPressEl código modificado se verá así:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Options All -IndexesGuarde el archivo y cárguelo de nuevo en el mismo directorio desde el que lo descargó, esta vez sobrescribiendo el archivo. Si algo se rompe, reemplácelo con su archivo de respaldo e intente el proceso nuevamente.
Una vez que deshabilita la exploración de directorios, todos los directorios que antes eran visibles ahora lo redireccionan a un 403 Acceso prohibido o un 404 No encontrado página. En cualquier caso, funciona.
¡Probé el tutorial en mi configuración de WAMP y funcionó como un encanto!
Conclusión
Desactivar la exploración de directorios es una de las contramedidas de seguridad más debilitadas entre la mayoría de los webmasters. La mayoría de ellos simplemente se olvidan de esta laguna que facilita mucho el trabajo al pirata informático.
Como ejemplo práctico, la siguiente es una imagen de uno de los sitios de mi cliente antes de que aplicara la corrección. Como puede ver, cualquiera puede navegar por las cargas de medios en cualquier momento que desee, incluso las que se cargaron, pero nunca se mostraron en el sitio real.
Espero haber podido comunicar la importancia de deshabilitar la exploración de directorios y cómo hacerlo.
Si quieres conocer otros artículos parecidos a Cómo deshabilitar la navegación de directorios en WordPress puedes visitar la categoría Tutoriales.