您想禁用 WordPress 中的目录浏览吗?
目录浏览可以通过向黑客显示重要信息来使您的网站处于危险之中,这些信息可用于利用您网站的插件、主题甚至您的托管服务器中的漏洞。
在本文中,我们将向您展示如何在 WordPress 中禁用目录浏览。
在 WordPress 中禁用目录浏览有什么作用?
每次有人访问您的网站时,您的网络服务器都会处理该请求。
通常,服务器会向访问者的浏览器传递一个索引文件,例如 index.html。但是,如果服务器找不到索引文件,则它可能会显示请求目录中的所有文件和文件夹。
这是目录浏览,通常默认启用。
如果您曾经访问过一个站点并看到文件和文件夹列表而不是网页,那么您已经看到了目录浏览的实际效果。
问题是黑客可以使用目录浏览来查看构成您网站的文件,包括您正在使用的所有主题和插件。
如果这些主题或插件中的任何一个存在已知漏洞,那么黑客可以利用这些知识来控制您的WordPress 博客或网站、窃取您的数据或执行其他操作。
攻击者还可能使用目录浏览来查看您的文件和文件夹中的机密信息。他们甚至可能会复制您网站的内容,包括您通常会收取费用的内容,例如电子书下载或在线课程。
这就是为什么在 WordPress 中禁用目录浏览被认为是最佳实践的原因。
如何检查是否在 WordPress 中启用了目录浏览
检查您的WordPress 网站当前是否启用目录浏览的最简单方法是访问 /wp-includes/ 文件夹链接,如下所示:https://example.com/wp-includes/。
您需要将 www.example.com 替换为您网站的 URL。
如果您收到 403 Forbidden 或类似消息,则您的 WordPress 网站上的目录浏览已被禁用。
如果您看到的是文件和文件夹列表,则这意味着您的网站已启用目录浏览。
由于这会使您的网站更容易受到攻击,因此您通常希望在 WordPress 中阻止目录浏览。
如何在 WordPress 中禁用目录浏览
要禁用目录列表,您需要在站点的 .htaccess 文件中添加一些代码。
要访问该文件,您需要一个FTP 客户端,或者您可以使用WordPress 主机控制面板中的文件管理器应用程序。
如果这是您第一次使用 FTP,那么您可以查看我们关于如何使用 FTP 连接到您的站点的完整指南。
连接到您的网站后,只需打开您网站的“公共”文件夹并找到 .htaccess 文件。您可以编辑 .htaccess 文件,方法是将其下载到桌面,然后在记事本等文本编辑器中打开它。
在文件的最底部,只需添加以下代码:
1
|
Options -Indexes |
它看起来像这样:
完成后,保存您的 .htaccess 文件并使用 FTP 客户端将其上传回您的服务器。
而已。现在,如果您访问相同的 http://example.com/wp-includes/ URL,您将收到 403 Forbidden 或类似消息。
我们希望本文能帮助您了解如何在 WordPress 中禁用目录浏览。您可能还想查看我们的终极 WordPress 安全指南,或查看我们专家挑选的最佳 WordPress 会员插件来保护您的文件。
如果您喜欢这篇文章,请订阅我们的 YouTube 频道 以获取 WordPress 视频教程。您也可以在 Twitter 和Facebook上找到我们。