Directory Browsing به بازدیدکنندگان این امکان را می‌دهد که محتویات یک پوشه را از طریق وارد کردن URL آن به راحتی مشاهده کنند. ویژگی Directory Browsing به طور پیشفرض برای بسیاری از وب‌ سرور‌ها فعال است و یکی از ساده‌ترین راه‌های نفوذ هکر به سایت است.

تصور کنید بازدیدکنندگان سایت بتوانند لیست افزونه‌های سایت را با وارد کردن /Wp-content/Plugins ببینند. فعال بودن این ویژگی می‌تواند به هکرها کمک کند با دسترسی به لیست افزونه‌ها و اطلاع از حفره امنیتی هر کدام، به سادگی سایت شما را مورد حمله قرار دهند. برای غیر فعال کردن این ویژگی آموزش زیر را دنبال کنید و وب سایت خود را یک گام به امنیت نزدیکتر کنید.

برای اینکه این موضوع را راحت‌تر درک کنید، مثال زیر را ببینید: من در مسیر اصلی سایت خودم، کنار وردپرس، یک فولدر ایجاد کردم.

2023 09 21 15 17 02

داخل آن، فایل و فولدر دیگری قرار دادم:

2023 09 21 15 18 44

حالا اگر آدرس سایت من my-site.ir باشد، محتوای فولدر test با آدرس my-site.ir/test قابل دستیابی است. زمانی که هکر یا یک شخص عادی این آدرس را در مرورگر خود وارد کند، می تواند تمام فایل ها یا دایرکتوری های داخل آن فولدر را به سادگی مشاهده و دانلود کند:

2023 09 21 15 23 06

Directory Browsing می‌تواند از نظر امنیتی یک خطر جدی باشد، زیرا به هکرها اجازه می‌دهد تا به اطلاعات حساس مانند فایل‌ ها، فولدر ها، ساختار دایرکتوری و حتی کدهای منبع وب‌ سایت دسترسی پیدا کنند. این اطلاعات می‌توانند به شکل‌های مخربی مورد استفاده قرار بگیرند و امنیت وب‌ سایت را به خطر اندازد!

برای جلوگیری از این مسئله و افزایش امنیت وب‌ سایت، بهتر است Directory Browsing را در وب‌ سرور غیرفعال کنیم. این کار معمولاً با تغییر تنظیمات فایل htaccess یا تنظیمات وب‌ سرور (مانند Apache یا Nginx) انجام می‌شود.

وقتی که Directory Browsing غیرفعال باشد، به جای مشاهده محتوای دایرکتوری با پیغام خطای “403 Forbidden” یا مشابه آن مواجه می‌شوند. بنابراین اطلاعات حساس و محتوای وب‌سایت در امان است و از دسترسی غیرمجاز محافظت می‌شوند.

برای غیرفعال کردن مسیر دایرکتوری در وردپرس کافی است کد Options -Indexes را به فایل htaccess خود اضافه کنید. برای اینکار:

  • وارد هاست> پوشه Public_Html شده و فایل htaccess را در حالت ویرایش باز کنید.

مشیر پیدا کردن فایل htaccess

  • تکه کد Options -Indexes را در انتهای کدهای این فایل وارد کنید و دکمه ذخیره را بزنید.

فایل htaccess

نکته: در صورتی که فایل htaccess را پیدا نکردید، مطابق تصویر زیر، در Settings گزینه Show Hidden Files (dotfiles) را فعال کنید.

2023 09 21 14 00 41

راه‌های بسیار زیادی برای نفوذ به سایت وجود دارد که هکرها از هرکدام به عنوان یک فرصت استفاده می‌کنند؛ اما شما توانستید به همین سادگی یکی از راه‌های نفوذ به سایت را مسدود کنید.

یکی دیگر از اقدامات برای افزایش امنیت سایت، غیرفعال کردن Rest Api در وردپرس است که از سایت شما در مقابل حملات DDos جلوگیری می‌کند.

در دوره کانفینیتی توسط یکی از برنامه نویسان و فروشندگان موفق راست چین، صفر تا صد جلوگیری از هک سایت و افزایش امنیت وردپرس آموزش داده شده است.

دوره افزایش امنیت سایت وردپرس

نکته: در صورتی که سایتتان هک شده در مقاله پاکسازی سایت وردپرس در 8 مرحله نحوه پاک کردن سایت وردپرس را آموزش داده‌ایم.

یک پاسخ

دیدگاهتان را بنویسید

کد تخفیف شما:

ACRTL-GELO40