Di default quando il tuo server web non trova un index file (cioè un file come index.php
o index.html
), visualizza automaticamente una pagina che mostra il contenuto della cartella o directory in cui ci si trova.
Gli hacker sfruttano questo meccanismo per capire se sul tuo sito fossero presenti file con vulnerabilità note da sfruttare. In questo articolo, ti mostrerò come disabilitare il directory browsing su WordPress.

Perché dovresti impedire il directory browsing su WordPress
Il directory browsing può essere utilizzato dagli hacker per scoprire se si dispone di file con vulnerabilità note, in modo da poter sfruttare questi file per ottenere l’accesso al sito. Per la sicurezza completa dei siti, utilizzo spesso Sucuri, un plugin specifico per WordPress. Ha una semplice dashboard che permette di fare questo ed eseguire molti altri passaggi per rafforzare la sicurezza di WordPress in pochi click.
Il directory browsing può essere utilizzato anche da altre persone per guardare i tuoi file, copiare immagini, scoprire la struttura delle directory e altre informazioni. Per questo motivo ti consiglio vivamente di disabilitare questa funzionalità.
Come fare
Per disabilitare il directory browsing su WordPress tutto quello che devi fare è aggiungere una singola riga di codice nel file .htaccess
che si trova nella directory principale del tuo sito web. Per modificare il file dovrai connetterti al tuo sito web utilizzando un client FTP, oppure usare uno strumento di editing di file offerto dall’hosting, per esempio Siteground.
Una volta connesso al tuo sito web, troverai un file .htaccess nella directory principale del tuo sito. È un file nascosto, e se non riesci a trovarlo sul tuo server, devi assicurarti di aver abilitato sul tuo client FTP l’opzione per mostrare i file nascosti.
Puoi modificare il tuo file .htaccess scaricandolo sul tuo desktop e aprendolo in un editor di testo come Notepad. Ora alla fine del codice che troverai nel file, aggiungi semplicemente questa riga in fondo:
Options -Indexes
Ora salva il tuo file .htaccess
e caricalo nuovamente sul server usando il client FTP.
Questo è tutto quello che devi fare.
La navigazione nelle directory è ora disabilitata sul tuo WordPress e le persone che cercano di individuare un indice di directory sul tuo sito saranno reindirizzate a una pagina 404.