Spesso vediamo siti web che dimenticano di disabilitare la navigazione delle directory. A prima vista, potrebbe non sembrare un grosso problema, ma questa piccola svista può esporre informazioni sensibili e mettere a rischio il tuo sito.
Quando la navigazione delle directory è abilitata, chiunque può visualizzare i file e le cartelle sul tuo server. Gli hacker possono utilizzare queste informazioni per identificare le debolezze nei tuoi plugin, temi o persino nel tuo ambiente di hosting.
Fortunatamente, risolvere questo problema è rapido e semplice. Disattivando la navigazione delle directory, aggiungi un ulteriore livello di protezione e rendi molto più difficile per gli aggressori prendere di mira il tuo sito.
In questa guida, ti illustrerò i semplici passaggi per disabilitare la navigazione delle directory in WordPress in modo da poter proteggere il tuo sito web e mantenere i tuoi dati al sicuro.
Ecco una rapida panoramica degli argomenti che tratterò in questa guida:
- Cosa fa la disabilitazione della navigazione delle directory in WordPress?
- Come verificare se la navigazione delle directory è abilitata in WordPress
- How to Disable Directory Browsing in WordPress
- Domande frequenti sulla disabilitazione della navigazione delle directory
- Letture aggiuntive per la sicurezza di WordPress
Cosa fa la disabilitazione della navigazione delle directory in WordPress?
Disabilitare la navigazione delle directory impedisce ai visitatori di vedere un elenco di file e cartelle sul tuo sito quando un file di indice non è disponibile. Invece di mostrare quella directory grezza, il server visualizzerà una pagina vuota o un messaggio di errore.
Quando qualcuno visita il tuo sito web, il server normalmente invia un file di indice (come index.html o index.php) al suo browser. Se quel file manca, molti server visualizzeranno tutti i file presenti in quella cartella.
Questo comportamento è chiamato esplorazione delle directory ed è spesso abilitato per impostazione predefinita sui server di hosting.
Il problema è che questo espone dettagli sensibili sulla struttura del tuo sito. Gli hacker possono usarlo per cercare vulnerabilità nei plugin, nei temi o persino nel tuo ambiente di hosting.
In alcuni casi, l'esplorazione delle directory può anche rivelare contenuti privati o a pagamento, come download di ebook o corsi online, che potrebbero quindi essere copiati senza autorizzazione.
Ecco perché sottolineiamo sempre questo rischio quando aiutiamo i principianti. Disattivare l'esplorazione delle directory è una modifica rapida che può proteggere il tuo sito e prevenire perdite di entrate non necessarie.
Come verificare se la navigazione delle directory è abilitata in WordPress
Un modo semplice per verificare se l'esplorazione delle directory è abilitata sul tuo sito WordPress è visitare direttamente la cartella /wp-includes/.
Ad esempio, inserisci semplicemente un URL come questo: https://example.com/wp-includes/ nel tuo browser.
Assicurati di sostituire example.com con il nome di dominio effettivo del tuo sito web. Questo semplice test funziona sulla maggior parte delle installazioni WordPress.
Se vedi un messaggio 403 Forbidden o un errore simile, significa che l'esplorazione delle directory è già disabilitata. Questo è un buon segno poiché significa che il tuo sito web è più sicuro.
Se invece appare un elenco di file e cartelle, significa che l'esplorazione delle directory è abilitata.
Lasciare la navigazione delle directory abilitata rende il tuo sito web vulnerabile ad attacchi malevoli.
Secondo la nostra esperienza, abilitare la navigazione delle directory espone informazioni sensibili e aumenta i rischi per la sicurezza. Per questo motivo, è meglio disabilitare la navigazione delle directory in WordPress per mantenere il tuo sito sicuro.
Come disabilitare la navigazione delle directory in WordPress
Puoi disabilitare la navigazione delle directory aggiungendo una singola riga di codice al file .htaccess del tuo WordPress.
Questo è un potente file di configurazione del server, quindi è molto importante fare un backup del tuo file .htaccess prima di apportare qualsiasi modifica. Una modifica errata potrebbe rendere il tuo sito inaccessibile.
Suggerimento: Utilizziamo Duplicator per eseguire automaticamente il backup di tutti i nostri siti web WordPress. Ti consente di creare backup pianificati e su richiesta. Ancora più importante, puoi ripristinare facilmente il tuo sito web con 1 clic. Consulta la nostra recensione completa di Duplicator per maggiori dettagli.
Puoi accedere a questo file utilizzando due metodi principali:
Metodo 1: Modifica del file .htaccess utilizzando il File Manager in cPanel
Il metodo più semplice per la maggior parte degli utenti è utilizzare l'app File Manager fornita nel pannello di controllo del tuo account di hosting WordPress (cPanel).
Innanzitutto, accedi al tuo account di hosting e apri il File Manager.
Naviga nella cartella principale del tuo sito web, spesso denominata public_html.
Ora, individua il file .htaccess.
Se non riesci a vederlo, assicurati di abilitare "Mostra file nascosti" nelle impostazioni del tuo File Manager.
Fai clic con il pulsante destro del mouse sul file e seleziona 'Modifica' o 'Editor di codice'.
Metodo 2: Modifica del file .htaccess utilizzando un client FTP
In alternativa, puoi utilizzare un client FTP per connetterti ai file del tuo sito web.
Se è la prima volta, puoi seguire la nostra guida completa su come connettersi al tuo sito tramite FTP.
- Una volta connesso tramite FTP, naviga nella directory principale del tuo sito (ad esempio,
public_html). - Trova il file
.htaccess. - Scarica il file sul tuo computer, quindi aprilo in un editor di testo semplice come Blocco note o TextEdit.
Aggiungere il codice a .htaccess
Una volta aperto il file .htaccess per la modifica con uno dei due metodi, aggiungi semplicemente la seguente riga di codice in fondo al file:
Options -Indexes
Sarà simile a questa:
Ora, salva le modifiche. Se hai utilizzato un client FTP, devi ricaricare il file .htaccess modificato sul tuo server, sovrascrivendo l'originale.
Nota per gli utenti Nginx 📝: Questo metodo con .htaccess si applica ai siti web in esecuzione su un server web Apache. Se il tuo sito web si trova su un server Nginx, questa impostazione viene solitamente gestita a livello di server dal tuo provider di hosting e la navigazione delle directory è tipicamente disabilitata per impostazione predefinita. Per saperne di più, consulta il nostro confronto tra i server web Apache vs Nginx vs LiteSpeed.
Ora, se visiti lo stesso URL http://example.com/wp-includes/, otterrai un messaggio di errore 403 Forbidden o simile.
Suggerimento bonus: preferisci un plugin?
Se non ti senti a tuo agio nell'editare codice, un buon plugin di sicurezza per WordPress può occuparsene per te.
La maggior parte dei plugin di sicurezza per WordPress include un'opzione con un clic per disabilitare la navigazione delle directory come parte delle loro funzionalità di rafforzamento del sito web, in modo da non dover mai toccare un singolo file.
Domande frequenti sulla disabilitazione della navigazione delle directory
Cos'è la navigazione delle directory e perché rappresenta un rischio per la sicurezza?
La navigazione delle directory è una funzionalità del server che elenca tutti i file e le cartelle all'interno di una directory se manca un file di indice (come index.php). È un rischio per la sicurezza perché espone la struttura del tuo sito, inclusi i temi e i plugin che utilizzi, a potenziali aggressori.
La disabilitazione della navigazione delle directory influisce sulla SEO del mio sito web?
No, la disabilitazione della navigazione delle directory non influisce negativamente sulla tua SEO. I motori di ricerca sono interessati ai tuoi contenuti, non alla struttura dei tuoi file. Infatti, migliorare la sicurezza del tuo sito web è un segnale positivo per i motori di ricerca.
È meglio usare un plugin o modificare il file .htaccess?
Entrambi i metodi ottengono lo stesso risultato. La modifica del file .htaccess è una soluzione rapida e una tantum. L'utilizzo di un plugin di sicurezza come Sucuri è ottimo per i principianti in quanto gestisce questa e molte altre impostazioni di sicurezza con un singolo clic, senza dover modificare il codice.
E se il mio sito WordPress utilizza un server Nginx?
Il file .htaccess è specifico per i server web Apache. Sui server Nginx, l'elenco delle directory è tipicamente disabilitato per impostazione predefinita nella configurazione principale del server. Se sospetti che sia abilitato, dovresti contattare il tuo provider di hosting per farlo disabilitare.
Letture aggiuntive per la sicurezza di WordPress
Vuoi mantenere il tuo sito web WordPress sicuro e privo di errori? Potresti trovare utili i seguenti articoli:
- Guida per principianti alla struttura di file e directory di WordPress
- Errori più comuni di WordPress e come risolverli
- Come risolvere l'errore delle autorizzazioni di file e cartelle in WordPress
- Come proteggere con password la directory di amministrazione di WordPress (wp-admin)
Speriamo che questo articolo ti abbia aiutato a capire come disabilitare la navigazione per directory in WordPress. Potresti anche voler consultare la nostra guida definitiva alla sicurezza di WordPress o la nostra selezione di esperti dei migliori plugin di sicurezza per WordPress.
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Deepak Kumar
Funziona alla grande. Gli articoli su wpbeginners sono come soluzioni pronte all'uso. Continuate così.
Ayo
Come risolvo ora l'errore 404 che arriva dopo?
Pradip Singh
Mi sono innamorato di questo sito web. Ogni giorno sono sorpreso quando leggo un nuovo articolo da questo sito. Fortunatamente ho letto questo articolo oggi e ho immediatamente implementato il consiglio.
Supporto WPBeginner
Glad you found our content helpful
Amministratore
Sourabh
Bloccherà le CDN dall'accedere al mio sito web per contenuti statici?
Supporto WPBeginner
No, non lo farà.
Amministratore
sami
Questo metodo influisce sul crawling di Google? È SEO friendly?
Supporto WPBeginner
Non dovrebbe influire sui motori di ricerca che scansionano il tuo sito.
Amministratore
Meera Shaikh
Grazie, è fatto
Supporto WPBeginner
You’re welcome
Amministratore
Pradeep
Grazie amico mio, ho appena provato e ha funzionato.
Sei un genio.
Supporto WPBeginner
Glad our guide was helpful
Amministratore
mousam
Grazie. Ho applicato e ha funzionato.
Siete la migliore fonte per imparare WordPress.
Supporto WPBeginner
You’re welcome, glad our guide was helpful
Amministratore
Kevine
Grazie mille per questo. Ha risolto il mio problema.
Grazie ancora.
Supporto WPBeginner
You’re welcome, glad our guide was helpful
Amministratore
malika
Grazie per aver condiviso informazioni!
Supporto WPBeginner
You’re welcome
Amministratore
Jonthan
Quindi va bene avere questo codice nel file .htaccess anche quando è presente un file index.php nella cartella principale.
Rispondi gentilmente.
Supporto WPBeginner
Yes
Amministratore
Teresa Cuervo
Hai bisogno di Filezilla per fare questo o puoi accedere all'FTP tramite Cpanel e farlo?
Grazie
Supporto WPBeginner
You can use either, not all hosts have a file manager is why we show Filezilla
Amministratore
michael
Ciao
questa azione influisce sull'indicizzazione delle pagine sui motori di ricerca?
e crea qualche problema per le pagine indicizzate del mio sito WordPress?
Grazie
Supporto WPBeginner
No, non dovrebbe influire negativamente.
Amministratore
Rhen Castrodes
Grazie. funziona
Supporto WPBeginner
Glad our recommendation was able to help you
Amministratore
John
Grazie! Funziona ancora adesso nel 2020.
Supporto WPBeginner
You’re welcome
Amministratore
Shams
Post incredibile,
Ho una semplice domanda, ho aggiunto questo codice e funziona, la domanda è se Google indicizzerà quelle pagine ad esempio sitecom/wp-contents/2019/2, Google rimuoverà automaticamente quelle pagine ora dato che sono 404. O dovrei rimuoverle in Search Console?
Grazie
Supporto WPBeginner
Questo codice non dovrebbe far sì che i tuoi collegamenti diretti a immagini e file diventino 404.
Amministratore
Bill
Ciao!
Ho applicato questa regola di recente
e lo stesso giorno la pagina principale del mio blog
è scomparsa dall'indice di Google.
Vedi qualche connessione?
Supporto WPBeginner
L'aggiunta di questo al tuo htaccess non dovrebbe influire sull'indicizzazione; ci sono molteplici ragioni e dovresti controllare la tua Google Search Console per vedere cosa dice della tua home page.
Amministratore
Ionel G
Grazie per tutti i suggerimenti che fornisci!
Mi chiedo ancora come si possa nascondere la cartella wp-content & wp-include dalle sorgenti? Odio quando qualcuno fa clic destro e vede tutte le mie plugin :). Hai qualche script per questo?
Grazie in anticipo!
Supporto WPBeginner
Al momento non abbiamo un metodo consigliato per questo; il motivo più comune per cui non vedi quelle cartelle negli strumenti per sviluppatori è la cache del sito.
Amministratore
Mayur
Potresti dirmi come posso disabilitare WordPress in una sottocartella, ad esempio la mia installazione di WordPress su [www.mydomain.com] e voglio disabilitare WordPress su [www.mydomain.com/customscript]?
Supporto WPBeginner
Potresti voler dare prima un'occhiata alla creazione di un modello di pagina personalizzato: https://www.wpbeginner.com/wp-themes/how-to-create-a-custom-page-in-wordpress/
Altrimenti, dovresti creare una cartella con quel nome e all'interno di quella cartella aggiungere un file index.html affinché appaia una pagina non WordPress.
Amministratore
Rafael
Grazie. Ha funzionato perfettamente per tutti i browser.
Dipankar
ma wp-content è visibile. come rimuoverlo anche.
Deatram
Ho disabilitato la navigazione nella directory, ma qualcuno può ancora vedere la mia directory quando usa gli strumenti per sviluppatori nel browser Chrome. Come disabilito anche quello?
Faeze
Ho aggiunto la riga che hai detto in .htaccess ma mostra ancora le mie directory.
Cosa devo fare ora??
Nathan
Quando faccio clic su “Salva modifiche” nella pagina delle impostazioni dei Permalink, il file .htaccess viene aggiornato, cancellando il codice “Options -Indexes” che ho inserito. Il codice funziona bene, ma sono preoccupato di cancellarlo inconsapevolmente mentre eseguo qualche altra operazione. Ci sono altre modifiche alle impostazioni della dashboard che dovrei conoscere e che potrebbero influire sul file .htaccess e cancellare il codice? Grazie
Tôi Sống
Fantastico, funziona molto bene!
Baggio
Enorme fan di wpbeginner, Optin Monster – ho ricevuto così tanti consigli e trucchi utili su WP – e devo dire che il design del sito è semplicemente brillante. E naturalmente, il contenuto qui è estremamente utile.
Grazie ragazzi!
daniel
Ehi! Non sembra funzionare. se trascino un'immagine su un'altra pagina, viene aperta con un link di: example.com/wp-content/uploads/…
Qualche idea? grazie!
Supporto WPBeginner
Ciao Daniel,
Le tue immagini e i tuoi file all'interno delle directory possono ancora essere accessibili direttamente. Tuttavia, il server non permetterà a qualcuno di navigare direttamente in una directory e vederne il contenuto.
Amministratore
Axel Jebens
Apprezzerei se potessi approfondire questo aspetto. Ho avuto difficoltà nel trovare una soluzione per questo problema. Ci sono alcune idee basate su un htaccess che reindirizza a un file php che prima controlla se l'utente è loggato. Esiste un plugin che fornisce tale funzione?
Ünal Hoca
Grazie
Khalid Mahmud
Grazie. Funziona.......
Kim
Scusa il ritardo nella domanda. Voglio sapere, queste tecniche sono sicure da usare per quanto riguarda il punteggio SEO? Spero tu risponda!
Supporto WPBeginner
Sì, lo sono.
Amministratore
Kimmy
Funziona ancora abbastanza bene. Fantastico, semplice e funzionante. Grazie!
Charles
Sto scrivendo questo stesso codice da settimane ma la mia directory rimane visibile agli utenti. Per favore, cosa sto sbagliando? O potrebbe essere che il mio sito stia ancora caricando contenuti dalla cache? Tutti dicono che funziona ma la mia esperienza è diversa. Qualsiasi aiuto sarà apprezzato! Grazie in anticipo per la tua risposta.
Kimmy
Su quale parte stai avendo problemi? Qual è il tuo provider di hosting, tra l'altro?
Lily
Grazie. Ha funzionato alla grande!
Prakash
Questo trucco sopra non funziona, amico...
Mike
C'è un modo per consentire la visualizzazione di una directory ma nascondere solo il link della directory padre per una pagina specifica? Si tratterebbe di una cartella condivisa di rete a cui più persone accederebbero, con sottocartelle che richiederebbero comunque un elenco della directory padre. Voglio solo che nessuno vada sopra la cartella condivisa.
Christian Nastari
Questo non ha funzionato per me. Ho provato prima e dopo #END WordPress e non ha funzionato. Ho anche provato "Options All -Indexes", ma non ha funzionato nemmeno.
hrwhisper
molto utile, grazie mille
nitai
Davvero fantastico. oggi mi sono imbattuto e stavo pensando a come potrei disabilitare come joomla e ho trovato la soluzione esatta.
Rob Myrick
Questo è stato molto utile e veloce – grazie
Anita in SD
Grazie mille, ero sconcertato nel vedere le immagini dal mio sito andare in una directory padre :0. Questo è stato molto utile e ha funzionato bene.
Benedizioni – A
Heather Jacobsen
Thanks for this tutorial. It worked great for hiding my uploads from anyone just wanting to browse that directory. One question, though. Does this by chance turn off the ability of search engines to browse my website. Sorry if it seems like a dumb question. I am a newbie, after all.
Wasil Burki
Ho aggiunto il codice Options -Indexes al file htaccess, tuttavia ora non riesco ad accedere al sito, ricevo un errore 503. Sto facendo qualcosa di sbagliato? Ho bisogno di aiuto urgente!! Grazie
Ted
Il problema che ho è che posso vedere la directory di questo sito WordPress, quindi se stai usando questa soluzione, allora non funziona… (tema wpbv4)
Rahul
Grazie mille per il tutorial!
Ero molto preoccupato quando ho scoperto che alcune delle directory del mio tema potevano essere visualizzate. Tutto a posto ora, grazie al tuo tutorial. Non sapevo che .htaccess avesse così tanta potenza.
KeelAha
Ciao Syed Balkhi
Ho appena notato che uno dei tuoi siti list25.com ha la navigazione della directory abilitata nella seguente cartella.
Non sono sicuro se sia importante per te.
http://list25.com/wp-includes/
Ti auguro un buon fine settimana e continua a fare il tuo buon lavoro.
Saluti
KeelAha
Supporto WPBeginner
Disabled it, thanks
Amministratore
Logan
Perché ottengo una pagina bianca e non un errore quando provo ad accedere a ../wordpress/wp-content/ o ../wordpress/wp-content/plugins/ ?
Supporto WPBeginner
Potrebbe dipendere dal tuo tema o dal tuo ambiente di hosting. Prova ad abilitare la navigazione per directory e poi accedi a queste directory. Se ottieni ancora una pagina bianca, significa che quelle directory hanno un file index.php vuoto al loro interno.
Amministratore
Charlie Sasser
Ho testato questo prima di apportare qualsiasi modifica con una posizione che non aveva un file index.php o .htm e sì, puoi vedere tutti i file. Ho aggiunto la riga suggerita alla fine del .htaccess. La posizione ora crea un errore 403 dall'host e non un errore 404 da WordPress. Sto usando WP 3.8. Questo è il comportamento previsto?
Berna
Ho lo stesso problema, mostra un errore 403 non 404. Hai risolto questo problema?
Christian
Si presenta lo stesso problema, cosa fare ora? usando l'ultima versione di wordpress.
Abhisek
Il plugin Better WordPress Security se ne occupa.
Govinda
Come faccio a farlo in Better Wp security.
Ho installato il plugin, ma non riesco a trovare questa funzione
Costin
Ciao,
Potresti dirmi se "Options All -Indexes" è lo stesso o meglio?
Grazie!
Supporto WPBeginner
È lo stesso.
Amministratore
David Trees
Grazie per questa importante informazione.
Intendi;
Qui
Options -Indexes
# FINE WordPress
O
# FINE WordPress
Options -Indexes
Grazie per la tua risposta.
Saluti
David
Supporto WPBeginner
Entrambi dovrebbero funzionare allo stesso modo, ma intendevamo l'ultimo dopo END WordPress
Amministratore
Ivan R Linares
Grazie, ha funzionato alla perfezione!