Text Link
February 22, 2024
22/2/24
Comment désactiver la navigation dans les répertoires sur WordPress ?
Saviez-vous que la plupart des serveurs Web, y compris les populaires comme Apache, NGINX, et LiteSpeed, permettent par défaut la navigation dans les répertoires ? Cette fonctionnalité, bien que pratique, peut être un point d'entrée pour les attaques de sécurité. Protégez-vous avec ces outils d'optimisation de contenu.
Cela signifie essentiellement que les visiteurs de votre site Web peuvent voir le contenu de chaque dossier (répertoire) individuel.
D'un point de vue sécurité, vous ne voulez pas que cela se produise car cela permettrait aux visiteurs de votre site d'examiner de plus près son architecture.
Les thèmes et les plugins ont des vulnérabilités possibles qui peuvent être facilement découvertes par les pirates en scannant ces fichiers.
Nous allons montrer comment utiliser le fichier .htaccess pour bloquer la navigation dans les répertoires dans WordPress dans ce bref tutoriel. Les termes répertoire et dossier sont utilisés de manière interchangeable dans cette leçon pour des raisons de simplicité.
Commençons...
Si vous cliquez sur le lien suivant et qu'une tonne de fichiers apparaît, votre serveur a désactivé la navigation dans les répertoires.
Lien : (où yoursitename est le nom de votre site WordPress) http://yoursitename.com/wp-includes/.
La navigation dans les répertoires est activée si le lien mentionné affiche une liste de dossiers.
Si la navigation dans les répertoires est activée, elle ressemblera à ceci :
Nous allons vous montrer comment désactiver cela afin d'éviter tout problème de sécurité potentiel.
Contexte informatif sur les fichiers d'index
Lorsqu'un utilisateur accède à un dossier contenant un fichier index.php, index.htm ou index.html, le serveur Web par défaut démarre ou charge ce fichier.
Par conséquent, il serait impossible de parcourir les fichiers dans un répertoire si un fichier index.php ou index.html était présent car le serveur Web appellerait le fichier PHP ou HTML approprié.
Sans le fichier index.php/html, n'importe qui peut lister le contenu du répertoire.
Le répertoire de base fait référence au répertoire par défaut de votre serveur Web. Tous les sites Web légitimes ont un fichier index.php ou index.html dans leur répertoire racine.
Si vous regardez votre propre site Web, vous verrez que si vous utilisez WordPress (ou tout autre CMS), le dossier de base contient un fichier index.php, tandis que si vous utilisez un simple modèle HTML, il contient un fichier index.html.
Pourquoi alors désactiver la navigation dans les répertoires ?
Des informations sensibles qui ne devraient pas être accessibles aux regards indiscrets sont stockées dans certains dossiers WordPress, tels que wp-content et wp-includes. Comme vous le savez, vos thèmes, plugins et téléchargements de médias sont situés sous le dossier wp-content.
Les pirates peuvent facilement trouver des exploits potentiels en parcourant certains actifs médiatiques. Ainsi, en laissant la navigation dans les répertoires activée, vous aidez les pirates dans leurs efforts.
Comment empêcher WordPress de parcourir les répertoires ?
Pour désactiver la navigation dans les répertoires dans WordPress ou tout autre CMS ou site Web d'ailleurs, il est nécessaire d'avoir accès au répertoire de base via FTP ou un gestionnaire de fichiers comme cPanel.
Vous pouvez vous aider ici en utilisant l'un des nombreux programmes FTP gratuits disponibles ; FileZilla est un excellent choix.
Ajoutez simplement la ligne de code suivante à un fichier .htaccess existant :
Options Tous -Index
Retéléchargez le fichier dans le dossier approprié après cela. Cela résume la procédure de manière très générale. Très probablement, l'endroit où vous avez installé WordPress contient déjà un fichier .htaccess. Il a été généré lorsque vous avez modifié les paramètres de permalien.
Évitez d'écraser ce fichier à tout prix pour éviter de perdre vos permaliens et autres paramètres de sécurité.
Faites une sauvegarde de tous les fichiers .htaccess que vous pourriez déjà avoir avant de continuer. Ouvrez-le dans le bloc-notes (ou un autre éditeur de texte simple) après quoi vous devriez coller la phrase suivante à la fin :
Toutes les options -Indexes
Typiquement, la majorité des fichiers .htaccess incluent le code suivant :
Le code modifié apparaîtra comme suit :
Enregistrez le fichier, puis téléchargez-le à nouveau dans le même répertoire à partir duquel vous l'avez reçu la première fois, en écrasant la copie précédente. Remplacez toute pièce cassée avec votre fichier de sauvegarde, puis essayez à nouveau le processus.
Lorsque vous désactivez la navigation dans les répertoires, tous les répertoires précédemment accessibles vous envoient soudainement à une page 403 Access Forbidden ou 404 Not Found. Ça fonctionne dans les deux cas.
J'ai essayé le tutoriel sur mon système WAMP, et c'était un succès total !
Accès réussi pour désactiver la navigation dans les répertoires dans WordPress
Désactiver cette fonctionnalité augmente non seulement la sécurité de votre site, mais améliore également sa performance. Un site rapide et sécurisé est crucial pour une expérience utilisateur optimale. Découvrez l'impact du temps de chargement sur votre site ici.
Conclusion
L'une des mesures de sécurité que la plupart des webmasters sous-estiment est la désactivation de la navigation dans les répertoires. La majorité d'entre eux négligent simplement cette vulnérabilité, facilitant ainsi le travail du pirate.
Voici une capture d'écran d'un des sites Web de mes clients avant que je ne fasse la correction, comme exemple pratique. Comme vous pouvez le voir, n'importe qui peut voir les médias téléchargés à tout moment, même s'ils n'ont jamais été publiés sur le site lui-même.
Dans le site client wordpress, désactivez la navigation dans les répertoires.
La sécurité de votre site ne doit jamais être compromise. Prendre des mesures préventives, comme désactiver la navigation dans les répertoires, est un pas vers un écosystème en ligne plus sûr et plus fiable. Explorez d'autres stratégies pour renforcer votre présence en ligne ici.
