Đã bao giờ bạn thử truy cập trực tiếp vào một thư mục trên website WordPress, ví dụ như /wp-content, và bất ngờ khi thấy toàn bộ thư mục cùng các tập tin bên trong đều bị liệt kê công khai? Thực tế, đây không phải là lỗi hệ thống mà là một cơ chế có sẵn của máy chủ, được gọi là directory indexing (liệt kê thư mục).
Directory indexing cho phép trình duyệt hiển thị danh sách file khi thư mục đó không có file index. Tuy nhiên, việc này có thể làm lộ cấu trúc website và các tập tin quan trọng. Vì vậy, bạn nên dành chút thời gian tìm hiểu về directory indexing và lý do tại sao cần tắt tính năng này càng sớm càng tốt để đảm bảo an toàn cho website của mình.
Directory indexing là gì?
Directory indexing còn được gọi là directory browsing hoặc directory listing. Đây là cơ chế cho phép máy chủ hiển thị toàn bộ danh sách các tập tin và thư mục con bên trong một thư mục khi người dùng truy cập trực tiếp vào đường dẫn của thư mục đó, trong trường hợp thư mục không có file index (như index.php, index.html).
Về cơ bản, mã nguồn WordPress mặc định luôn có sẵn file index.php trong các thư mục quan trọng. Tuy nhiên, hiện tượng directory indexing vẫn có thể xảy ra khi một thư mục nào đó bị thiếu file index (index.php, index.html, …) và server không được cấu hình tắt sẵn directory indexing.
Khi đó, toàn bộ danh sách file và thư mục bên trong sẽ bị hiển thị công khai. Điều này tiềm ẩn nhiều rủi ro bảo mật, vì người dùng có thể dễ dàng truy cập hoặc tải về các dữ liệu quan trọng như file zip chứa mã nguồn, file .sql chứa cơ sở dữ liệu,… Do vậy, để đảm bảo an toàn cho website, bạn nên vô hiệu hóa directory indexing càng sớm càng tốt.
Vô hiệu hóa directory indexing
Có nhiều cách để thực hiện, dưới đây VPSRE giới thiệu một trong những cách đơn giản và phổ biến nhất:
Sử dụng file .htaccess
Nếu website của bạn đang chạy trên Apache hoặc LiteSpeed (có hỗ trợ .htaccess), hãy tạo hoặc chỉnh sửa file .htaccess trong thư mục đang bị bật directory indexing và thêm nội dung sau:
Options All -Indexes
Sau khi lưu lại, hãy truy cập lại thư mục đó để kiểm tra. Nếu cấu hình thành công, danh sách file sẽ không còn hiển thị và thay vào đó là thông báo lỗi 403 hoặc trang trắng (tùy cấu hình server).
Sử dụng tính năng Indexes của cPanel để tắt directory indexing
Bước 1: Đăng nhập vào cPanel Hosting, tìm mục Indexes và nhấp vào đó.
Bước 2: Trong giao diện Indexes, tìm đến thư mục bạn muốn vô hiệu hóa directory indexing rồi nhấn Edit.
Thông thường, đó là thư mục public_html (đối với domain chính) hoặc thư mục của addon domain / subdomain.
Ví dụ: thư mục đang bị lộ thường gặp là wp-content.
Bước 3: Chọn tùy chọn No Indexing, sau đó nhấn Save để lưu cấu hình.
Bước 4: Nếu thao tác thành công, hệ thống sẽ hiển thị thông báo xác nhận.
Bước 5: Các thư mục đã được tắt directory indexing sẽ có trạng thái No Indexing trong cột Index Type.
Cách khác: Tắt Indexes trực tiếp trong File Manager cPanel
- Truy cập File Manager trong cPanel.
- Mở đến thư mục cần chặn hiển thị file.
- Nhấp chuột phải vào thư mục đó và chọn Manage Indices.
- Chọn No Indexing rồi Save để hoàn tất.
Kiểm tra kết quả
Hãy thử truy cập vào một thư mục bất kỳ trên website không có file index.
Nếu trình duyệt hiển thị lỗi 403 Forbidden, điều đó có nghĩa là directory indexing đã được vô hiệu hóa thành công.
Thao tác rất đơn giản nhưng mang lại hiệu quả bảo mật cao. Chúc bạn thực hiện thành công!
