Disabilitare il directory browsing su WordPress

Permettere il directory browsing su WordPress può essere un rischio per la sicurezza del sito. Impediscilo con una semplice riga di codice.
Ultima modifica il 23 Febbraio 2021
Tempo di lettura: 3 min.

Di default quando il tuo server web non trova un index file (cioè un file come index.php o index.html), visualizza automaticamente una pagina che mostra il contenuto della cartella o directory in cui ci si trova.

Gli hacker sfruttano questo meccanismo per capire se sul tuo sito fossero presenti file con vulnerabilità note da sfruttare. In questo articolo, ti mostrerò come disabilitare il directory browsing su WordPress.

Directory Browsing - Home senza index
La pagina mostrata se si elimina il file index.php dall’installazione di WordPress

Perché dovresti impedire il directory browsing su WordPress

Il directory browsing può essere utilizzato dagli hacker per scoprire se si dispone di file con vulnerabilità note, in modo da poter sfruttare questi file per ottenere l’accesso al sito. Per la sicurezza completa dei siti, utilizzo spesso Sucuri, un plugin specifico per WordPress. Ha una semplice dashboard che permette di fare questo ed eseguire molti altri passaggi per rafforzare la sicurezza di WordPress in pochi click.

Il directory browsing può essere utilizzato anche da altre persone per guardare i tuoi file, copiare immagini, scoprire la struttura delle directory e altre informazioni. Per questo motivo ti consiglio vivamente di disabilitare questa funzionalità.

Come fare

Per disabilitare il directory browsing su WordPress tutto quello che devi fare è aggiungere una singola riga di codice nel file .htaccess che si trova nella directory principale del tuo sito web. Per modificare il file dovrai connetterti al tuo sito web utilizzando un client FTP, oppure usare uno strumento di editing di file offerto dall’hosting, per esempio Siteground.

Una volta connesso al tuo sito web, troverai un file .htaccess nella directory principale del tuo sito. È un file nascosto, e se non riesci a trovarlo sul tuo server, devi assicurarti di aver abilitato sul tuo client FTP l’opzione per mostrare i file nascosti.

Puoi modificare il tuo file .htaccess scaricandolo sul tuo desktop e aprendolo in un editor di testo come Notepad. Ora alla fine del codice che troverai nel file, aggiungi semplicemente questa riga in fondo:

Options -Indexes

Ora salva il tuo file .htaccess e caricalo nuovamente sul server usando il client FTP.

Questo è tutto quello che devi fare.

La navigazione nelle directory è ora disabilitata sul tuo WordPress e le persone che cercano di individuare un indice di directory sul tuo sito saranno reindirizzate a una pagina 404.

Se ti è piaciuto l’articolo, non dimenticare di iscriverti alla newsletter per restare aggiornato sui prossimi contenuti!

I corsi di Plan B Project su Udemy

Tabella dei Contenuti

Iscriviti alla newsletter

Tabella dei Contenuti
Giacomo Lanzi

Giacomo Lanzi

Dopo studi in psicologia e letteratura, dal 2010 mi sono dedicato alla grafica web e all'editing per testi universitari. Sono un content creator per il web dal 2012. Dopo un'esperienza di due anni come manager di un team italiano per una compagnia internazionale a Berlino, ho deciso di tornare alla libera professione e di dedicarmi del tutto al web. Oggi offro servizi come autore, content creator, grafico web e SEO expert. Mi caratterizzano un'attitudine al pensiero critico, abilità nella guida di un team, la cura dei dettagli e l'impegno che metto in ogni progetto, siano essi personali o professionali.

Iscriviti alla newsletter
ottieni sconti e promozioni