如何在 WordPress 中禁用目录浏览

您想禁用 WordPress 中的目录浏览吗?

目录浏览可以通过向黑客显示重要信息来使您的网站处于危险之中,这些信息可用于利用您网站的插件、主题甚至您的托管服务器中的漏洞。

在本文中,我们将向您展示如何在 WordPress 中禁用目录浏览。

how-to-disable-directory-browsing-in-wordpress-og

在 WordPress 中禁用目录浏览有什么作用?

每次有人访问您的网站时,您的网络服务器都会处理该请求。

通常,服务器会向访问者的浏览器传递一个索引文件,例如 index.html。但是,如果服务器找不到索引文件,则它可能会显示请求目录中的所有文件和文件夹。

这是目录浏览,通常默认启用。

如果您曾经访问过一个站点并看到文件和文件夹列表而不是网页,那么您已经看到了目录浏览的实际效果。

directory-browsing-enabled

问题是黑客可以使用目录浏览来查看构成您网站的文件,包括您正在使用的所有主题和插件。

如果这些主题或插件中的任何一个存在已知漏洞,那么黑客可以利用这些知识来控制您的WordPress 博客或网站、窃取您的数据或执行其他操作。

攻击者还可能使用目录浏览来查看您的文件和文件夹中的机密信息。他们甚至可能会复制您网站的内容,包括您通常会收取费用的内容,例如电子书下载在线课程

这就是为什么在 WordPress 中禁用目录浏览被认为是最佳实践的原因。

如何检查是否在 WordPress 中启用了目录浏览

检查您的WordPress 网站当前是否启用目录浏览的最简单方法是访问 /wp-includes/ 文件夹链接,如下所示:https://example.com/wp-includes/。

您需要将 www.example.com 替换为您网站的 URL。

如果您收到 403 Forbidden 或类似消息,则您的 WordPress 网站上的目录浏览已被禁用。

404-forbidden-directory

如果您看到的是文件和文件夹列表,则这意味着您的网站已启用目录浏览。

directory-browsing-enabled

由于这会使您的网站更容易受到攻击,因此您通常希望在 WordPress 中阻止目录浏览。

如何在 WordPress 中禁用目录浏览

要禁用目录列表,您需要在站点的 .htaccess 文件中添加一些代码。

要访问该文件,您需要一个FTP 客户端,或者您可以使用WordPress 主机控制面板中的文件管理器应用程序。

如果这是您第一次使用 FTP,那么您可以查看我们关于如何使用 FTP 连接到您的站点的完整指南。

连接到您的网站后,只需打开您网站的“公共”文件夹并找到 .htaccess 文件。您可以编辑 .htaccess 文件,方法是将其下载到桌面,然后在记事本等文本编辑器中打开它。

在文件的最底部,只需添加以下代码:

1
Options -Indexes

它看起来像这样:

wordpress-options-indexes

完成后,保存您的 .htaccess 文件并使用 FTP 客户端将其上传回您的服务器。

而已。现在,如果您访问相同的 http://example.com/wp-includes/ URL,您将收到 403 Forbidden 或类似消息。

directory-browsing-disabled-

我们希望本文能帮助您了解如何在 WordPress 中禁用目录浏览。您可能还想查看我们的终极 WordPress 安全指南,或查看我们专家挑选的最佳 WordPress 会员插件来保护您的文件。

如果您喜欢这篇文章,请订阅我们的 YouTube 频道 以获取 WordPress 视频教程。您也可以在 Twitter 和Facebook上找到我们。