Si alguna vez visitó una URL que conduce a un directorio que no tiene un archivo de índice, probablemente haya visto una lista de los archivos en el directorio. Eso significa que la indexación está activada para esa carpeta en línea.
Esa es la configuración predeterminada para la mayoría de los servidores web. Sin embargo, en la mayoría de los casos, no queremos mostrar el contenido de un directorio. Listar nuestros archivos de esa manera es una violación de la privacidad. Pero lo que es peor, puede ser un riesgo para la seguridad.
Así que evitemos que suceda en nuestros sitios. En este tutorial, le mostraré cómo deshabilitar la lista de directorios usando cPanel .
Hay un par de formas diferentes de desactivar la indexación de directorios usando cPanel. Comenzaremos con la configuración de los índices directamente.
Deshabilitar el listado de directorios en cPanel
Inicie sesión en cPanel.
En la sección «Avanzado», haga clic en el enlace o icono «Índices».
Verá la estructura de directorios de su sitio web.
Para ingresar a un directorio, haga clic en el icono de la carpeta.
Para configurar un directorio, para activar o desactivar la indexación, haga clic en el nombre del directorio.
En este tutorial, vamos a desactivar la indexación de un solo directorio. Así que haremos clic en el icono de la carpeta para public_html.
Una vez que estemos en el directorio public_html, haremos clic en el nombre del directorio donde queremos desactivar la indexación.
Seleccione la opción «Sin indexación» y haga clic en el botón «Guardar».
Las otras opciones disponibles:
- La indexación del sistema predeterminada es la configuración predeterminada de su proveedor de alojamiento. Podría estar encendido o apagado.
- Sin indexación deshabilita la lista de directorios. Eso es lo que estamos haciendo en este tutorial.
- La indexación estándar permite la lista de directorios. Esto hace que los nombres de los archivos y directorios sean visibles para los visitantes.
- Fancy Indexing también permite la lista de directorios, pero un visitante puede ver los nombres de los archivos y los directorios, así como las descripciones de los archivos.
El mensaje de éxito debe decir: «… los índices ahora están: desactivados».
Ahora, si va a la URL, en lugar de una lista de archivos, debería ver un error 403.
Uso del administrador de archivos de cPanel para deshabilitar la lista de directorios en cPanel
Nuestro destino aquí es el mismo que el método anterior, pero estamos tomando una ruta diferente para llegar allí. Si trabaja mucho en el Administrador de archivos de cPanel , es posible que prefiera este método.
En la sección «Archivos» de cPanel, haga clic en el enlace o icono «Administrador de archivos».
Desea que el nombre del directorio esté en el panel derecho. Entonces, para nuestro ejemplo, hacemos clic en «public_html» en el panel izquierdo para que nuestro directorio «demo» aparezca en la lista de la derecha.
Haga clic en el nombre del directorio para seleccionarlo, luego haga clic con el botón derecho. Los usuarios de Mac pueden usar CMD+clic para abrir esta lista.
En el menú desplegable, seleccione «Administrar índices».
Ahora estamos de vuelta en la misma página de «Índices» que vimos en el primer método.
Seleccione la opción «Sin indexación» y haga clic en el botón «Guardar».
¿Es realmente peligroso permitir el listado de archivos en un directorio?
No siempre.
Hay situaciones en las que es posible que desee permitir el acceso público a una lista de archivos. Aunque la lista de directorios para exponer nombres de archivos y enlaces se usa con menos frecuencia de lo que solía ser.
Los sitios web modernos suelen formatear las listas de archivos descargables para que coincidan con el diseño del sitio.
En el ejemplo aquí, enumeré el contenido de un directorio que contenía imágenes. Eso en sí mismo no es un riesgo de seguridad. Todo lo que permite es la descarga de las imágenes.
Donde nos encontramos con problemas potenciales es cuando permitimos la lista de archivos más confidenciales.
Listar archivos para una aplicación que está escrita en PHP o un lenguaje similar donde la configuración o los archivos incluidos pueden almacenarse en un directorio de acceso público podría hacer que su sitio (o incluso su servidor) sea vulnerable.
Un archivo de configuración de WordPress, por ejemplo, el archivo wp-config.php, contiene todo lo que alguien necesitaría para acceder a su base de datos. Y todo está allí en texto sin formato. Los archivos como esos obviamente deben mantenerse fuera de la vista.
Pero otros, como los archivos de inclusión, pueden contener «pistas» que podrían conducir a una mayor vulnerabilidad de piratería.
Una Onza de Prevención…
Las mejores prácticas nos dicen que no almacenemos ese tipo de archivos de configuración en directorios públicos, pero es algo de lo que la mayoría de nosotros somos culpables. Quiero decir, WordPress lo hace, entonces, ¿qué tan malo podría ser, verdad?
Incluso si no lo hacemos a propósito, hay formas en que podemos exponer archivos confidenciales sin darnos cuenta, por lo que desactivar la indexación de directorios en todos los lugares donde existe la posibilidad de un problema no puede hacer daño.
¿Alguna vez ha comprobado la indexación de su directorio? ¿Hay casos en los que pueda pensar en los que deliberadamente querría enumerar archivos en un directorio?