Disabilitare il directory browsing su WordPress

Permettere il directory browsing su WordPress può essere un rischio per la sicurezza del sito. Impediscilo con una semplice riga di codice.
Ultima modifica il 13 Gennaio 2022

Di default quando il tuo server web non trova un index file (cioè un file come index.php o index.html), visualizza automaticamente una pagina che mostra il contenuto della cartella o directory in cui ci si trova.

Gli hacker sfruttano questo meccanismo per capire se sul tuo sito fossero presenti file con vulnerabilità note da sfruttare. In questo articolo, ti mostrerò come disabilitare il directory browsing su WordPress.

Directory Browsing - Home senza index
La pagina mostrata se si elimina il file index.php dall’installazione di WordPress

Perché dovresti impedire il directory browsing su WordPress

Il directory browsing può essere utilizzato dagli hacker per scoprire se si dispone di file con vulnerabilità note, in modo da poter sfruttare questi file per ottenere l’accesso al sito. Per la sicurezza completa dei siti, utilizzo spesso Sucuri, un plugin specifico per WordPress. Ha una semplice dashboard che permette di fare questo ed eseguire molti altri passaggi per rafforzare la sicurezza di WordPress in pochi click.

Il directory browsing può essere utilizzato anche da altre persone per guardare i tuoi file, copiare immagini, scoprire la struttura delle directory e altre informazioni. Per questo motivo ti consiglio vivamente di disabilitare questa funzionalità.

Come fare

Per disabilitare il directory browsing su WordPress tutto quello che devi fare è aggiungere una singola riga di codice nel file .htaccess che si trova nella directory principale del tuo sito web. Per modificare il file dovrai connetterti al tuo sito web utilizzando un client FTP, oppure usare uno strumento di editing di file offerto dall’hosting, per esempio Siteground.

Una volta connesso al tuo sito web, troverai un file .htaccess nella directory principale del tuo sito. È un file nascosto, e se non riesci a trovarlo sul tuo server, devi assicurarti di aver abilitato sul tuo client FTP l’opzione per mostrare i file nascosti.

Puoi modificare il tuo file .htaccess scaricandolo sul tuo desktop e aprendolo in un editor di testo come Notepad. Ora alla fine del codice che troverai nel file, aggiungi semplicemente questa riga in fondo:

Options -Indexes

Ora salva il tuo file .htaccess e caricalo nuovamente sul server usando il client FTP.

Questo è tutto quello che devi fare.

La navigazione nelle directory è ora disabilitata sul tuo WordPress e le persone che cercano di individuare un indice di directory sul tuo sito saranno reindirizzate a una pagina 404.

Se ti è piaciuto l’articolo, non dimenticare di iscriverti alla newsletter per restare aggiornato sui prossimi contenuti!

Partner ufficiali

Tabella dei Contenuti

Diventa sviluppatore WordPress

Per te 85% di sconto

su tutti i corsi!

Scopri i corsi di Plan B Project e usa il codice sconto LANCIO85 per avere uno sconto dell’85%!