Inactivar a listagem de ficheiros no seu alojamento web

Hoje, ao tentar verificar a versão do nosso plugin Multibanco e MB WAY para WooCommerce instalado num site de alguém que nos pediu suporte, mas não tinha ainda fornecido os dados de acesso ao site, tentámos aceder directamente ao readme.txt do plugin mas inadvertidamente carregámos no ENTER depois de escrevermos “wp-content/plugins/”, deparando-nos com a listagem de todas as sub-pastas (ou seja, plugins instalados).

Dizem as boas práticas que não e deve permitir a listagem do conteúdo das pastas no servidor web, por razões de segurança, nomeadamente o facto de ser possível a um atacante descobrir todos os plugins instalados, e aproveitar uma eventual falha de segurança em algum deles para tomar controlo do site e conta de alojamento em causa.

Na Webdados temos por hábito colocar um index.php vazio dentro de todas as pastas de todos os nossos plugins, para evitar que seja possível listar essas mesmas pastas, mas isso não resolve o problema de um serviço de alojamento mal configurado.

O seu fornecedor de alojamento não deveria, por omissão, permitir estas listagens, mas se isto acontece tem várias soluções:

  • Mudar de fornecedor de alojamento;
  • Pedir ao mesmo que resolva esta situação;
  • Resolver você mesmo;

Este pequeno artigo pretende ajudá-lo a seguir a terceira solução: resolver você mesmo o problema.

cPanel com Apache

Se o seu alojamento usa o painel de controlo cPanel, basta fazer login no mesmo, procurar a opção “Indexes”, clicar na pasta “public_html” e depois seleccionar a opção “No Indexing”.

Outro serviço de alojamento com Apache

Se o seu alojamento não usa o cPanel, deve editar (ou criar) o ficheiro “.htaccess” na raíz do seu site (normalmente na “public_html”) e inserir no topo do ficheiro a seguinte linha:

Options -Indexes

Nginx

Edite o ficheiro “nginx.conf” que pode ser encontrado em “/usr/local/nginx/conf”, “/etc/nginx” ou “/usr/local/etc/nginx” e mude o valor do “autoindex” para “off”.

server {
 listen 80;
 server_name domain.com www.domain.com;
 access_log /var/...........................;
 root /path/to/root;
 location / {
  index index.php index.html index.htm;
 }
 location /somedir {
  autoindex off;
 }
}

Se usa outro webserver, contacte o seu fornecedor de alojamento web.

Ainda sem comentários.

Deixe um comentário

*

_