Header Ads Widget

Ticker

6/recent/ticker-posts

Cómo deshabilitar la navegación de directorios en WordPress

De forma predeterminada, la mayoría de los servidores web como Apache, NGINX y LiteSpeed ​​tienen habilitada la exploración de directorios.

Simplemente significa que las personas pueden ver el contenido de las carpetas (directorios) individuales en su sitio web.

Desde el punto de vista de la seguridad, no desea que esto suceda ya que no desea que la gente mire alrededor de la estructura de su sitio.

Los piratas informáticos pueden encontrar fácilmente posibles vulnerabilidades en temas y complementos al rastrear esos archivos.

En este breve tutorial, le mostraremos cómo deshabilitar la exploración de directorios en WordPress usando el archivo .htaccess. En aras de la simplicidad, los términos directorio y carpeta se utilizan como sinónimos en este tutorial.

Empecemos…

Si abre el siguiente enlace y encuentra un montón de archivos, significa que la exploración de directorios está deshabilitada en su servidor.

Enlace: http://yoursitename.com/wp-includes/  (donde yoursitename es el nombre de su sitio de WordPress).

Si el enlace anterior contiene una lista de carpetas, significa que la exploración de directorios está habilitada.

Si la exploración de directorios está habilitada, se verá así:

El riesgo de dejar la navegación de directorios habilitada en WordPress

Le mostraremos cómo desactivarlo para evitar posibles problemas de seguridad.

Alguna información básica sobre archivos de índice

Si una carpeta contiene un archivo index.php o index.htm o index.html , entonces el servidor web, por defecto, ejecuta o carga ese archivo cuando alguien ingresa a esa carpeta.

Entonces, si alguien viera los archivos en un directorio y hubiera un archivo index.php / html allí, entonces no sería posible ya que el servidor web llamaría al archivo PHP o HTML respectivo.

Si el archivo index.php / html no estuviera allí, cualquiera podría enumerar el contenido del directorio.

El directorio base se refiere al directorio predeterminado de su servidor web. Todos los sitios web adecuados tienen un archivo index.php o index.html en su directorio base. Consulte su propio sitio web, encontrará que la carpeta base contiene un archivo index.php si está usando WordPress (o cualquier otro CMS ) o un archivo index.html si está usando una plantilla HTML básica.

Entonces, ¿por qué deshabilitar la exploración de directorios?

Algunas carpetas de WordPress como wp-content o wp-includes contienen datos confidenciales que no son necesarios para las miradas indiscretas. Como sabe, la carpeta wp-content contiene sus temas, complementos y cargas de medios.

Cualquiera puede simplemente navegar a través de esos archivos multimedia y los piratas informáticos pueden encontrar posibles vulnerabilidades. Así que sí, en cierto modo, está facilitando el trabajo del pirata informático al no deshabilitar la exploración de directorios.

Cómo deshabilitar la navegación de directorios en WordPress

Deshabilitar la navegación de directorios en WordPress o cualquier otro CMS o sitio web requiere acceso al directorio base a través de FTP o algún administrador de archivos como cPanel.

Hay varios clientes FTP gratuitos que te ayudarán aquí, una buena opción es FileZilla.

Simplemente necesita crear un archivo .htaccess con la siguiente línea de código:

Opciones de todos los índices

Luego, vuelva a cargar el archivo en la carpeta correspondiente. Esta es una descripción general muy general del proceso. En la mayoría de los casos, es posible que ya tenga un archivo .htaccess dentro de su directorio de instalación de WordPress. Se crea cuando ha cambiado la configuración del enlace permanente.

Tenga mucho cuidado: no sobrescriba este archivo o perderá todos sus enlaces permanentes y otras configuraciones de seguridad.

Si ya tiene un archivo .htaccess presente, primero cree una copia de seguridad. Luego, ábralo en el Bloc de notas (o cualquier editor de texto sin formato) y pegue la siguiente línea al final:

Opciones de todos los índices

En general, la mayoría de los archivos .htaccess contienen el siguiente código:

# COMIENZO WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^ index.php $ - [L]
RewriteCond% {REQUEST_FILENAME}! -F
RewriteCond% {REQUEST_FILENAME}! -D
RewriteRule. /index.php [L]
</IfModule>
# FIN WordPress

El código modificado se verá así:

# COMIENZO WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^ index.php $ - [L]
RewriteCond% {REQUEST_FILENAME}! -F
RewriteCond% {REQUEST_FILENAME}! -D
RewriteRule. /index.php [L]
</IfModule>
# FIN WordPress
Opciones de todos los índices

Guarde el archivo y cárguelo de nuevo en el mismo directorio desde el que lo descargó, esta vez sobrescribiendo el archivo. Si algo se rompe, reemplácelo con su archivo de respaldo e intente el proceso nuevamente.

Una vez que deshabilita la exploración de directorios, todos los directorios que antes eran visibles ahora lo redireccionan a una página 403 Acceso prohibido o 404 No encontrado . En cualquier caso, funciona.

¡Probé el tutorial en mi configuración de WAMP y funcionó a las mil maravillas!

El mensaje de error prohibido muestra el éxito de la desactivación de la exploración del directorio

Conclusión

Deshabilitar la exploración de directorios es una de las contramedidas de seguridad más debilitadas entre la mayoría de los webmasters. La mayoría de ellos simplemente se olvidan de esta laguna jurídica que facilita mucho el trabajo al pirata informático.

Como ejemplo práctico, la siguiente es una imagen de uno de los sitios de mi cliente antes de aplicar la corrección. Como puede ver, cualquiera puede navegar por las cargas de medios en cualquier momento que desee, incluso las que se cargaron, pero nunca se mostraron en el sitio real.

Ejemplo de exploración de directorios

Espero haber podido comunicar la importancia de deshabilitar la exploración de directorios y cómo hacerlo.

Publicar un comentario

0 Comentarios