Egy fontos és egyszerűen ellenőrizhető beállítást szeretnék megtanítani neked. Ez a szerveren lévő fájlokat tartalmazó könyvtárak böngészésének tiltása.
Miről is van szó?
Ha a weboldalad címe mögé beírod az alábbit, akkor meg tudod nézni, hogy a könyvtárak listázása lehetséges-e nálad egyáltalán.
wp-content/uploads/2018/11/
Tehát, pl.: wordpress.video.hu/wp-content/uploads/2018/11/
Megj.:
Csak akkor igaz a fenti példa url, ha a „Beállítások” => „Média” alatt így van beállítva a fájlok feltöltése opció:
Ha egy, a következő képen láthatóhoz hasonló fájllistát látsz, az nagyon nem jó:
Miért nem jó, ha a könyvtárak böngészése engedélyezve van?
- Jogosulatlanul és könnyedén letölthetik a fájljaidat a szerverről.
- Átnézhetik a mappaszerkezetet, és olyan fájlokat találhatnak, amelyeket nem szerettél volna nyilvánosságra hozni (annak ellenére, hogy a szerveren tárolod).
- Könnyebben kideríthetik, hogy milyen bővítményeket használsz a weboldaladon.
- Ha fizetős infóterméket árulsz, és a weboldaladról tudják letölteni fizetés után, akkor a leleményesebbek fizetés nélkül is megtalálják a letölthető fájlt.
Hogyan tiltsd le a könyvtárak böngészése funkciót?
- A legegyszerűbb, ha a .htaccess fájlba beteszel egy plusz sort, ezzel a tartalommal: „Options All -Indexes” (idézőjelek nélkül)
- A másik népszerű megoldás – ám több manuális munkát igényel – ha minden fontosabb mappába (pl., de nem kizárólag: uploads, és az összes alkönyvtára, themes, plugins mappák) felteszel egy üres index.html, vagy index.php fájlt FTP-n keresztül. Ez azt fogja eredményezni, hogyha valaki megnyit egy ismert mappát, nem fogja tudni böngészni a fáljokat.
A .htaccess-es megoldás így néz ki egy alapértelmezett WordPress-es .htaccess-el:
Érdemes az ellenőrzésre és szükség esetén a fentiek végrehajtására szánni pár percet!
Én jobban szeretem, ha a képek nincsenek év-hó szerint mappákba rendezve. A legtöbb weboldalon nincs annyi kép, hogy ez feltétlenül szükséges legyen, ha meg igen, akkor jobb galériákat használni. Vagy ha csak azért van sok kép, mert régóta létezik a weboldal és sok a tartalom, és kell egy régebbi kép, akkor van a Médiatárban keresés funkció, az jól működik.
Így aztán ennek az az előnye is megvan, hogy a fentiekkel nem kell foglalkoznom, hiszen az uploads mappában eleve benne van az üres index.php fájl, ahogyan pl a plugins mappában is, így ezzel a módszerrel nem lehet kilistázni, hogy milyen bővítményeket használok. (Más kérdés, hogy a forráskódból gyorsan kiderül 🙂 )
Ízlések és pofonok. Találkoztam már olyannal, hogy a tárhelyszolgáltató szólt, hogy nem szereti, ha sok ezer fájl van egy mappában. Bár olyan is volt, ahol 120 000+ fájl volt egy mappában, és nem szólt a tárhelyes. 🙂
Nekem nagyon sok képpel és/vagy más médiaelemmel nagyon lassú a médiatáros kereső, kvázi használhatatlan.
Valóban a plugins mappában alapból van egy index.php. Bár itt van tényleg a legkevesebb értelme, mert ezeket forráskódból, online eszközzel, vagy Kali Linux-al is ki lehet listáztatni. 🙂