L’exploration des répertoires permet à tout visiteur de votre site de voir et de parcourir le contenu des dossiers de votre site WordPress. Tout le monde peut dès lors visiter un répertoire de votre site, voir les fichiers présents et les ouvrir à volonté. Par défaut, la majorités des hébergeurs ont choisi de bloquer l’accès aux répertoires, pour des raisons évidentes de sécurité, cependant, il y a encore beaucoup d’hébergeurs qui ne désactive pas l’accès au répertoire des sites hébergés.
Pour être clair, si l’exploration des répertoires est activée et que vous ne disposez pas de fichier index.html ou index.php vierge dans un répertoire donné, un visiteur pourra afficher le contenu du dit répertoire dans son navigateur, obtenant par la même l’accès au répertoire parent, et la possibilité de remonter tous les répertoires présents, révélant les rouages de votre site WordPress.
Cet affichage peut inciter les pirates à tenter de détruire votre site, ou au moins faciliter leur travail de casse. Les pirates peuvent aisément faire des recherches sur Google pour trouver les sites pour lesquels l’accès aux répertoires est autorisé, puis choisir leurs prochaines victimes en fonction des résultats.
Désactiver l’exploration des répertoires est un gage de sécurité
Par défaut, une installation auto-hébergée de WordPress contient une sécurité intégrée pour lutter contre l’exploration des répertoires. Toute nouvelle installation WordPress va donc contenir un fichier index.php vierge dans chaque dossier de sorte que si un utilisateur visite un dossier, comme par exemple le répertoire plugins, il ne verra qu’un écran blanc.
Cependant, de nombreux plugin WordPress ne désactivent pas l’exploration du répertoire où ils sont installés, voir l’exemple ci-dessous du plugin Monarch. Cela signifie que les pirates peuvent voir le contenu du répertoire de ce plugin, et la version que vous avez installé sur votre site.
Comment vérifier votre site
Vous pouvez vérifier si votre hébergeur a désactivé l’exploration des répertoires de votre site en créant un dossier Test et en y ajoutant un fichier texte vide, que vous pouvez nommerez, par exemple, « test.txt« . Si vous essayez de d’accéder au répertoire Test au travers de votre navigateur et qu’il affiche un lien vers le fichier « test.txt » que vous avez créé précédemment, cela signifie que tout le monde pourra accéder à votre répertoire.
Si vous obtenez un « Page introuvable » ou « Page Not Found » (selon votre hébergeur) ou un message « Interdit » ou « Forbidden » (selon votre hébergeur), cela signifie que l’exploration des répertoires est désactivée.
Vous voulez éviter que quiconque puisse accéder au contenu de vos répertoires? Alors voici une solution simple à mettre en place afin que vos fichiers soient sous clés.
Sécuriser l’accès à vos répertoires avec .htaccess
La meilleure façon d’empêcher les visiteurs d’explorer vos répertoires est d’ajouter une ligne au fichier .htaccess de votre site.
[alert-warning]Attention: Cette manipulation ne fonctionne que pour les sites fonctionnant sur un serveur web Apache.[/alert-warning]Gardez à l’esprit que vous pouvez avoir des fichiers .htaccess à différents endroits sur votre site, mais que la modification dont nous parlons doit être effectuée dans le fichier .htaccess du répertoire racine de votre domaine. Cela entraînera automatiquement le changement sur l’ensemble de votre site.
Voilà ce que vous devez faire:
Téléchargez le fichier .htaccess depuis la racine de votre domaine et faites en une copie, avant toute chose! Vous devez toujours avoir une copie de votre fichier .htaccess lors que vous faites des modifications, car si les choses ne fonctionnent pas comme prévues, vous pouvez revenir en arrière grâce à votre copie de sauvegarde.
Ouvrez le fichier téléchargé avec un éditeur de texte telle que Notepad++, disponible gratuitement,
Rendez vous dans le menu Encodage
Activez Encoder en UTF-8 (sans BOM) afin d’éviter de créer des erreurs inutiles sur votre site
- Ajoutez les lignes ci-dessous à la fin de votre fichier .htaccess:
# Disable Directory Browsing Options All -Indexes
- Enregistrez les modification et chargez le nouveau fichier .htaccess sur votre site, en écrasant l’existant.
A présent, il faut vérifier si la modification a été prise en compte, et pour ce faire nous allons tenter d’accéder au répertoire Test créé plus haut (dans la section Comment vérifier votre site).
Si vous obtenez un « Page introuvable » ou « un message « Interdit« , cela signifie que les modifications que vous avez faites fonctionnent correctement.
En conclusion
Même si ce n’est pas ce que certains appellent une étape nécessaire, c’est probablement une étape que vous devriez suivre. Vos fichiers sont importants et doivent être conservés en lieu sûr.
Il vous faudra quelques minutes pour désactiver l’exploration des répertoires, mais il est préférable de prendre quelques précautions supplémentaires pour garder votre site WordPress en toute sécurité.
Cet article vous a intéressé? Partagez le, il intéressera probablement d’autres personnes. Merci!
Publié à l'origine le : 1 octobre 2015 @ 13 h 33 min