Directory Browsing یا لیستکردن دایرکتوری، قابلیتی است که به کاربران امکان میدهد محتوای یک پوشه را از طریق مرورگر ببینند. این قابلیت به طور پیشفرض در بسیاری از وبسرورها فعال است، اما میتواند خطرات امنیتی قابلتوجهی را به همراه داشته باشد. برای غیرفعال کردن Directory Browsing آموزش زیر را دنبال کنید و وب سایت خود را یک گام به امنیت نزدیکتر کنید.
برای اینکه موضوع غیرفعال کردن Directory Browsing را بهتر درک کنید، بهتر است مثال زیر را بیینید:
- من در مسیر اصلی سایت خود، یک فولدر با نام test ایجاد کرده ام.
- سپس داخل پوشه ایجاد شده فایل و فولدر دیگری نیز قرار میدهیم.
- اکنون اگر آدرس سایت my-site.ir باشد، محتوای فولدر test با آدرس my-site.ir/test قابل دستیابی است. زمانی که هکر یا یک شخص عادی این آدرس را در مرورگر خود وارد کند، می تواند تمام فایل ها یا دایرکتوری های داخل آن فولدر را به سادگی مشاهده و دانلود کند:.
Directory Browsing میتواند از نظر امنیتی یک خطر جدی باشد، زیرا به هکرها اجازه میدهد تا به اطلاعات حساس مانند فایل ها، فولدر ها، ساختار دایرکتوری و حتی کدهای منبع وب سایت دسترسی پیدا کنند. این اطلاعات میتوانند به شکلهای مخربی مورد استفاده قرار بگیرند و امنیت وب سایت را به خطر اندازد!
برای جلوگیری از این مسئله و افزایش امنیت وردپرس بهتر است Directory Browsing را در وب سرور غیرفعال کنیم. این کار معمولاً با تغییر تنظیمات فایل htaccess یا تنظیمات وب سرور (مانند Apache یا Nginx) انجام میشود.
وقتی که Directory Browsing غیرفعال باشد، به جای مشاهده محتوای دایرکتوری با پیغام خطای “403 Forbidden” یا مشابه آن مواجه میشوند. بنابراین اطلاعات حساس و محتوای وبسایت در امان است و از دسترسی غیرمجاز محافظت میشوند.
نحوه غیرفعال کردن Directory Browsing
برای غیرفعال کردن مسیر دایرکتوری در وردپرس کافی است کد Options -Indexes را به فایل htaccess خود اضافه کنید. برای اینکار بهتر است ابتدا:
- وارد هاست > پوشه Public_Html شده و فایل htaccess را در حالت ویرایش باز کنید.
- تکه کد Options -Indexes را در انتهای کدهای این فایل وارد کنید و دکمه ذخیره را بزنید.
نکته: به یاد داشته باشید ممکن است این مورد برای بسیاری از کاربران مخفی باشد به همین دلیل در صورتی که فایل htaccess را پیدا نکردید، مطابق تصویر زیر، در Settings گزینه Show Hidden Files (dotfiles) را فعال کنید؛ این مورد در بخش (File Manager) قرار دارد.
راههای بسیار زیادی برای نفوذ به سایت وجود دارد که هکرها از هرکدام به عنوان یک فرصت استفاده میکنند؛ اما شما توانستید به همین سادگی یکی از راههای نفوذ به سایت را مسدود کنید. یکی دیگر از اقدامات برای افزایش امنیت سایت، غیرفعال کردن Rest Api در وردپرس است که از سایت شما در مقابل حملات DDos جلوگیری میکند؛ شاید بپرسید DDoS چیست؟ برای آشنایی بیشتر با این حمله سایبری و راههای مقابله با آن، به مقاله جامع DDoS چیست در سایت راست چین مراجعه کنید.
این مقاله به طور کامل به شرح DDoS، انواع آن و روشهای مختلف جلوگیری از این حملات مخرب میپردازد. با مطالعه این مقاله میتوانید اطلاعات کاملی در مورد DDoS به دست آورید و از وبسایت خود در برابر این حملات محافظت کنید.
در دوره افزایش امنیت وردپرس کانفینیتی توسط یکی از برنامه نویسان و فروشندگان موفق راست چین، صفر تا صد جلوگیری از هک سایت و افزایش امنیت وردپرس آموزش داده شده است.
سوالات متداول (FAQ)
-
چگونه میتوانم Directory Browsing را در دایرکت ادمین غیر فعال کنم؟
مسیر غیر فعال سازی در Cpanel و دایرکت ادمین مشابه هم هست، باید پس از وارد شدن به هاست خود، وارد پوشه Public_Html شده و فایل htaccess را ویرایش و کد مورد نظر را در آن درج کنید.
-
چطور بفهمیم directory browsing فعال است؟
برای اینکه بتوانید بفهمید directory browsing در هاست شما فعال است؛ کافیست مسیر domain.com/wp-content/uploads را در مرورگر خود وارد کنید. توجه داشته باشید به جای domain.com باید نام دامنه اصلی هاست خود را وارد کنید.
مسیر domain.com/wp-content، بعد از نصب وردپرس در سرویس شما ایجاد میشود و در واقع همان مسیری است که تمام فایلهای مربوط به قالب نصب شده در آن قرار دارد.
یک پاسخ
ممنون از مقاله خوبتون