高危漏洞，千万记得禁用WordPress网站的目录浏览

你的网站是否支持目录浏览？如果支持，建议马上禁用！

目录浏览会公开地向外展示你的网的具体源代码结构，向黑客暴露出网站很多非常有用的隐私信息，从而让你的网站处境十分危险。

本文就来介绍如何禁用WordPress的目录浏览。

什么是目录浏览？

当有人访问你的网站某个路径，而这个路径没有指定具体请求哪个文件时，例如：http://域名.com/test/，在test/后面没有指定具体哪个html或php文件，那么服务器就会自动去查找test/目录下的索引文件，如index.html或index.php文件等，如果目录下没有索引文件，那么就会触发目录浏览，服务器会把这个目录下的所有文件都在浏览器中列出来，如下图所示：

黑客会利用这个功能观察你的网站源代码结构，查看你正在使用哪些主题和插件，如果这些主题或插件有某些已知的漏洞，那么他们就会很轻易地入侵网站。

攻击者还会利用目录浏览查看文件夹中的机密信息，甚至复制你的网站内容，比如你上传到网站的收费课程、音视频文件等。

所以强烈建议禁用目录浏览功能！

如何检查你的WordPress是否开启了目录浏览功能？

最简单的方式就是访问你的/wp-include/文件夹，看看是否会列出这个目录下的所有文件。

在浏览器地址栏输入“http://你的域名/wp-include/”,如果浏览器显示403 Forbidden或类似内容，则表示WordPress网站上的目录浏览已被禁用。

如果你看到的是文件和文件夹的列表，则表示开启了目录浏览；

如何关闭WordPress目录浏览？

如果是Apache服务平台按以下操作方式：

只需要在网站根目录的.htaccess文件添加一行代码，你可以使用ftp工具将这个文件下载到本地电脑，然后使用记事本打开。

在文件最后加上代码：

Options -Indexes

类似这样：

保存后再用ftp工具上传到网站根目录，覆盖原来的.htaccess文件。

再次使用上文介绍的目录浏览检测方法，如果看到403 Forbidden 或类似内容，则说明修改生效。

如果是Nginx服务平台，默认就是关闭目录浏览的，如果发现依然能访问目录浏览的话，就检查以下/nginx/conf/nginx.conf，删除带有autoindex字样的代码，如删掉以下代码：

autoindex on; #开启nginx目录浏览功能

autoindex_exact_size off; #文件大小从KB开始显示

autoindex_localtime on; #显示文件修改时间为服务器本地时间

然后重启Nginx即可生效。

以上就是对WordPress网站禁用目录浏览的详细介绍，当然你的网站即使不是WordPress构建也强烈建议关闭目录浏览，不论对于哪种系统都十分危险。

希望对您的建站生涯有所帮助。