Estás leyendo la publicación: Cómo deshabilitar la exploración de directorios en WordPress
De forma predeterminada, la mayoría de los servidores web como Apache, NGINX y LiteSpeed tienen habilitada la exploración de directorios.
Simplemente significa que las personas pueden ver el contenido de los (directorios) en su sitio web.
Desde el punto de vista de la seguridad, no desea que esto suceda, ya que no desea que la gente observe la estructura de su sitio.
Los piratas informáticos pueden encontrar fácilmente vulnerabilidades potenciales en temas y complementos olfateando esos archivos.
Empecemos…
Si abre el siguiente enlace y encuentra un montón de archivos, significa que la exploración de directorios está deshabilitada en su servidor.
Enlace: http://nombredesusitio.com/wp-includes/ (dónde está el nombre de su sitio de WordPress).
Si el enlace anterior contiene una lista de carpetas, significa que la exploración de directorios está habilitada.
Si la exploración de directorios está habilitada, se verá así:
Le mostraremos cómo desactivarlo para evitar posibles problemas de seguridad.
Algunos antecedentes sobre los archivos de índice
Si una carpeta contiene un archivo o o, entonces el servidor web ejecuta o carga ese archivo de manera predeterminada cuando alguien ingresa a esa carpeta.
Entonces, si alguien fuera a ver los archivos en un directorio y hubiera un archivo allí, entonces no sería posible ya que el servidor web llamaría al archivo PHP o HTML respectivo.
Si el archivo index.php/html no estuviera allí, cualquiera podría listar el contenido del directorio.
El hace referencia al directorio predeterminado de su servidor web. Todos los sitios web adecuados tienen un archivo index.php o index.html en su directorio base. Revise su propio sitio web, encontrará que la carpeta base contiene un archivo si está usando WordPress (o cualquier otro CMS) o un archivo si está usando una plantilla HTML básica.
Entonces, ¿por qué deshabilitar la exploración de directorios?
A algunas carpetas de WordPress les gustan o contienen datos confidenciales que no son necesarios para miradas indiscretas. Como sabe, la carpeta contiene sus temas, complementos y cargas de medios.
Cualquiera puede simplemente navegar a través de esos archivos multimedia y los piratas informáticos pueden encontrar posibles vulnerabilidades. Entonces, sí, en cierto modo, está facilitando el trabajo del pirata informático al no deshabilitar la exploración de directorios.
Cómo deshabilitar la exploración de directorios en WordPress
Deshabilitar la exploración de directorios en WordPress o cualquier otro CMS o sitio web requiere acceso al directorio base a través de FTP o algún administrador de archivos como cPanel.
Hay varios clientes FTP gratuitos que te ayudarán aquí, una buena opción es ArchivoZilla.
Simplemente necesita crear un archivo .htaccess con la siguiente línea de código:
Opciones Todos -Índices
A continuación, vuelva a cargar el archivo en la carpeta correspondiente. Esta es una descripción general del proceso. En la mayoría de los casos, es posible que ya tenga un archivo .htaccess dentro de su directorio de instalación de WordPress. Se crea cuando ha cambiado la configuración del enlace permanente.
Tenga mucho cuidado: no sobrescriba este archivo o perderá su enlace permanente y otras configuraciones de seguridad.
Si ya tiene un archivo .htaccess presente, primero cree una copia de seguridad. Luego, ábralo en el Bloc de notas (o cualquier editor de texto sin formato) y pegue la siguiente línea al final:
Opciones Todos -Índices
En general, la mayoría de los archivos .htaccess contienen el siguiente código:
# COMENZAR WordPress
RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L]
El código modificado se verá así:
# COMENZAR WordPress
RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L]
Guarde el archivo y vuelva a cargarlo en el directorio desde el que lo descargó, esta vez sobrescribiendo el archivo. Si algo se rompe, reemplácelo con su archivo de copia de seguridad e intente el proceso nuevamente.
Una vez que deshabilite la exploración de directorios, todos esos directorios que antes estaban visibles ahora lo redirigirán a una o una página. En cualquier caso, funciona.
¡Probé el tutorial en mi configuración de WAMP y funcionó de maravilla!
Conclusión
Deshabilitar la exploración de directorios es una de las contramedidas de seguridad más socavadas entre la mayoría de los webmasters. La mayoría de ellos simplemente se olvidan de esta laguna que hace que el trabajo del hacker sea mucho más fácil.
Como ejemplo práctico, la siguiente es una imagen de uno de los sitios de mi cliente antes de aplicar la solución. Como puede ver, cualquiera podía explorar las cargas de medios en cualquier momento que quisiera, incluso las que se cargaron, pero nunca se mostraron en el sitio real.
Espero haber podido comunicar la importancia de deshabilitar la exploración de directorios y cómo hacerlo.
