Par défaut, si votre serveur est mal configuré et qu’aucun fichier index.php ou index.html n’est présent dans un répertoire, il est possible que les visiteurs puissent lister le contenu des dossiers de votre site WordPress. Cette fonctionnalité, appelée directory listing (ou navigation dans les dossiers), peut représenter un risque important pour la sécurité.
Désactiver la navigation dans les dossiers permet d’empêcher l’affichage de la liste des fichiers et répertoires, renforçant ainsi la sécurité globale de votre site WordPress.
Pourquoi désactiver la navigation dans les dossiers ?
Sécurité
La navigation dans les dossiers peut révéler des informations sensibles telles que :
- des fichiers de configuration,
- des scripts PHP,
- des sauvegardes oubliées,
- des fichiers temporaires ou de logs.
Ces informations peuvent être exploitées par des attaquants pour identifier des failles de sécurité ou préparer une attaque ciblée. En désactivant l’indexation des dossiers, vous réduisez considérablement la surface d’attaque de votre site.
Protection des fichiers sensibles
Même si WordPress protège une grande partie de ses fichiers par défaut, certains dossiers comme /uploads/, /plugins/ ou /themes/ peuvent exposer des informations sur votre site (noms de plugins, versions, structure interne). Désactiver la navigation empêche les visiteurs de parcourir ces répertoires librement.
Bonnes pratiques de sécurité
La désactivation du directory listing fait partie des bonnes pratiques de base en sécurité web. Un site professionnel et sécurisé ne doit jamais exposer son arborescence interne aux visiteurs.
Désactiver la navigation dans les dossiers via le fichier .htaccess
La méthode la plus simple et la plus efficace consiste à modifier le fichier .htaccess (serveurs Apache).
Étapes à suivre :
- Accédez à la racine de votre site WordPress via FTP ou un gestionnaire de fichiers.
- Ouvrez le fichier
.htaccess. S’il n’existe pas, vous pouvez en créer un. - Ajoutez la ligne suivante dans le fichier :
Options -Indexes
Cette directive empêche Apache d’afficher la liste des fichiers lorsqu’aucun fichier index n’est présent dans un dossier.
- Enregistrez le fichier.
👉 Cette règle s’appliquera à l’ensemble de votre site WordPress.
Désactiver la navigation dans les dossiers avec le plugin Securicheck Pro
Si vous ne souhaitez pas modifier les fichiers système de votre site, vous pouvez utiliser un plugin de sécurité pour gérer ce paramètre.
Le plugin Securicheck Pro permet de désactiver la navigation dans les dossiers facilement, sans toucher au code.
Procédure :
- Allez dans Securicheck > Réglages Sécurité.
- Activez l’option Désactiver la navigation dans les dossiers.
- Enregistrez les modifications.
Le plugin se charge automatiquement d’ajouter les règles nécessaires pour empêcher l’indexation des répertoires sensibles.
Tester et vérifier la désactivation
Une fois la navigation dans les dossiers désactivée, il est important de vérifier que la protection est bien effective.
Méthode de test :
- Essayez d’accéder directement à un dossier, par exemple :
https://votre-domaine.com/wp-content/uploads/
Résultat attendu :
- Une erreur 403 Forbidden
- Ou une page blanche
- Ou une redirection vers la page d’accueil
Si une liste de fichiers s’affiche, cela signifie que la navigation dans les dossiers est encore active.
Conclusion
Désactiver la navigation dans les dossiers sur un site WordPress est une mesure de sécurité essentielle, simple à mettre en place et très efficace. Elle permet de protéger vos fichiers, de limiter les fuites d’informations et de renforcer la sécurité globale de votre site.
Que vous choisissiez de passer par le fichier .htaccess ou par un plugin comme Securicheck Pro, cette action devrait faire partie de toute stratégie de sécurisation WordPress.
En suivant ce guide, vous pourrez désactiver efficacement la navigation dans les dossiers de votre site WordPress.
Si vous avez des questions ou besoin d’accompagnement, n’hésitez pas à nous contacter.
