Hur inaktiverar man katalogsökning på sin WordPress-webbplats?

Det är vanligt att man förbiser att inaktivera katalogbläddring (katalogsökning). Vid första anblick kan det kännas oviktigt, men det är precis den typen av sårbarhet som hackare ofta letar efter. Förutom att det kan skapa säkerhetsproblem kan aktiverad katalogbläddring leda till integritetsrisker och även påverka SEO negativt.

Men innan vi inaktiverar det, låt oss först förstå vad katalogsökning är.

Vad är katalogsökning

Katalogsökning som även kallas mappsökning, katalogbläddring eller mapplistning är en funktion som vissa webbservrar kan erbjuda. Den gör det möjligt för besökare att se innehållet i en katalog (mapp) när det inte finns någon standardfil som exempelvis index.php eller index.html.

I praktiken kan det innebära att du besöker en webbplats via webbläsaren och i stället för att se en vanlig webbsida får upp en lista med filer och mappar.

Vanligtvis använder webbsidor en indexfil i varje katalog för att visa webbplatsens innehåll och struktur. När en användare öppnar en katalog visas indexfilen automatiskt, vilket hindrar direkt åtkomst till filerna i mappen. Om indexfil saknas kan servern i stället visa en mapplista.

Filerna är ofta uppdelade i kategorier och underkategorier och visar vanligtvis filnamn, storlekar och ändringsdatum. I vissa fall kan listningen även visa mer information, som filtyper och behörigheter.

 

Varför är det viktigt att inaktivera katalogbläddrning

Det finns flera anledningar till att du bör inaktivera katalogbläddring. Den viktigaste är säkerhet och integritet. Om katalogbläddring är aktiverad gör du det enklare för personer med illvilja att kartlägga din webbplats och planera attacker.

Hackförsök sker hela tiden, och även om det kanske inte låter så farligt kan det bli allvarligt i praktiken.

Säg att du har byggt en webbplats som heter www.dinsida.com. Du skapar en mapp som heter privat och råkar spara känsligt innehåll där (t.ex. dokument, säkerhetskopior eller filer du inte vill att andra ska hitta). Om katalogbläddring är aktiverad kan vem som helst som besöker: https://www.dinsida.com/privat/ få en lista över allt som ligger i mappen och i värsta fall komma åt filer som aldrig borde vara publika.

Tänk vilken mängd information som då kan bli tillgänglig för personer med dåliga avsikter. Det är inte bara information de kan ta från dig, utan även information som dina användare lämnar på din webbplats. Det kan leda till massvis av andra problem.Konsekvenserna kan bli allt från stulen information till större intrång och förtroendeskador.

En annan viktig faktor är sökmotoroptimering (SEO). Att ha katalogsökning aktiverad kan leda till problem med duplicerat innehåll ur sökmotorns perspektiv. Sökmotorer kan indexera flera webbsidor som pekar på samma innehåll, vilket i sin tur kan leda till minskad relevans. Denna relevans är oerhört viktig för om sidor hamnar högt i rankinglistor eller inte.

Många webbhotell och även WordPress inaktiverar den här funktionen som standard. Det finns en chans att du inte behöver göra någonting alls, men det är alltid viktigt att kontrollera innan du går vidare.

 

Hur kontrollerar man om katalogsökning är aktiverad eller inte

För att dubbelkolla om en slumpmässig person kan komma åt och bläddra genom din katalog behöver du bara veta namnet på en mapp och testa i webbläsaren. Detta kan du göra manuellt på bara några sekunder, var du än befinner dig.

För att kontrollera om katalogsökning är aktiverad skriver du in din webbplats URL i adressfältet. Lägg sedan till namnet på en katalog, till exempel:

www.dinsida.com/wp-includes/

Kontrollera sedan vilket resultat du får. Om resultatet visar en lista fylld av filer och mappar i den katalogen är katalogsökning aktiverad på din webbplats.

Resultatet du vill få är ett felmeddelande som “403 Forbidden” eller “Denna sida är inte tillgänglig”. Dessa meddelanden tyder på att katalogsökning är inaktiverad på din webbplats och att du kan slappna av.

Om du inte får detta meddelande är katalogsökning aktiverad på din webbplats.

 

På vilket sätt inaktiverar man katalogsökning i WordPress

Du kan enkelt inaktivera katalogsökning. Det finns fyra olika sätt du kan göra det på:

1. cPanel
2. FTP
3. Använda ett tillägg
4. Kontakta webbhotellskundtjänst

Vi kommer nu att gå igenom olika sätt du kan inaktivera mappsökning.

 

Inaktivera katalogsökning på webbservern nivå

Du kan inaktivera mappbläddring genom att:

 

1. ändra webbserverns konfigurationsfil “httpd.conf” via ditt webbhotells hantering

2. ändra direkt på din webbplats via “.htaccess” med hjälp av en FTP-klient

 

Filen “httpd.conf” är en konfigurationsfil, vilket innebär att redigering av denna fil kräver root-åtkomst till webbservern. Webbservern kan vara olika typer, till exempel Apache, LiteSpeed och liknande. Oavsett webbservertype krävs det vanligtvis root-åtkomst för att ändra filen.

Om du hostar servern själv har du redan root-åtkomst. Om du använder ett webbhotell måste du däremot kontakta deras kundtjänst för att få root-åtkomst. När du får root-åtkomst behöver du logga in på antingen cPanel eller Web Host Manager.

 

Inaktivera katalogsökning på webbplats nivå

Om du inte har tillgång till cPanel är FTP ett bra alternativ för att redigera filerna på din WordPress-webbplats.

Du behöver inte vara orolig, att inaktivera katalogsökning via FTP är väldigt likt metoden via cPanel. Din .htaccess-fil är avgörande för hur webbservern hanterar din webbplats. Därför är det viktigt att det inte uppstår några fel när du ändrar filen, eftersom eventuella fel direkt kan återspeglas på webbplatsen. Jag rekommenderar starkt att du, direkt efter att du laddat upp .htaccess-filen, testar webbplatsen för att se att allt fungerar som det ska. Det minsta felet kan göra att webbplatsen slutar fungera.

Men du behöver inte oroa dig. Om du följer stegen nedan punkt för punkt bör inga fel uppstå.

 

Anslut din webbplats till en FTP-klient

Det finns flera FTP-klienter som kan ansluta till din webbplats för filöverföring. De mest populära är bland annat FileZilla och Cyberduck. I den här demonstrationen använder vi FileZilla.

När du har installerat FileZilla på datorn och öppnat programmet går du till: Arkiv → Webbplatshanteraren. Du kan också använda den snabbare metoden med kortkommandot Ctrl + S.

Klicka sedan på Ny webbplats i webbplatshanteraren och ange namnet på din webbplats.

Ange därefter inloggningsuppgifterna från ditt webbhotell på höger sida under fliken Allmänt, och klicka sedan på Anslut.

Redigera och ersätt .htaccess-filen

När du har angett dina FTP-uppgifter och anslutit till din webbplats ser du en lista över alla kataloger och filer under Fjärrplats i den högra panelen, som visas nedan.

Din uppgift nu är att ladda ner .htaccess-filen, som vanligtvis finns i webbplatsens rotkatalog – oftast public_html. Observera att filen kan vara dold, vilket betyder att du kan behöva ändra inställningar i FTP-klienten för att visa dolda filer. När du hittar .htaccess-filen högerklickar du på den och väljer sedan Hämta.

Nästa steg är att hitta .htaccess-filen du precis laddade ner, öppna den och redigera innehållet. 

Öppna filen i en textredigerare som Notepad (Anteckningar). För att inaktivera katalogsökning lägger du till följande rad högst upp i filen:

Options -Indexes

Tryck Enter, spara filen, och sedan är du klar.

Tänk på att du måste använda en vanlig textredigerare och inte en ordbehandlare som Word eller WordPad, eftersom de kan ändra filformatet och orsaka problem.

Om du däremot inte hittar någon .htaccess-fil i webbplatskatalogen behöver du skapa en ny på skrivbordet.

Döp filen till “.htaccess” (med punkt först). I vissa fall behöver du skriva filnamnet med citattecken för att datorn ska acceptera det korrekt, till exempel “.htaccess”. Infoga sedan följande rad i det nya tomma dokumentet:

Options -Indexes

Tryck Enter innan du sparar filen.

Nu när du har ändrat (eller skapat) din .htaccess-fil och den är redo är nästa steg att ladda upp den till webbplatsen. Detta gäller oavsett om du har skapat en ny fil eller redigerat den befintliga.

 

Ladda upp .htaccess filen

Nu är det dags för sista steget: att ladda upp den ändrade .htaccess-filen tillbaka till samma plats som du hämtade den från.

Öppna FileZilla igen, hitta din ändrade version på din lokala dator, gå till /public_html igen och dra över filen.

Detta bör inaktivera katalogsökning på din WordPress-webbplats. OBS: Kontrollera det genom att upprepa testet (till exempel med sökvägen /wp-includes i slutet av ditt domännamn). Kontrollera också att webbplatsen fungerar som den ska efter ändringen.

 

Inaktivera katalogsökning i WordPress med hjälp av ett tillägg 

Om du inte har nödvändiga inloggningsuppgifter från ditt webbhotell för att komma åt cPanel eller en FTP-klient finns det ytterligare ett sätt som kan lösa problemet. Det kan också vara så att du vill slippa de här stegen och hellre testa en enklare metod direkt, vilket det inte är något fel med.

Att inaktivera katalogbläddring via WordPress är både enkelt och snabbt. Många säkerhetstillägg för WordPress låter dig inaktivera katalogbläddring genom att redigera .htaccess-filen åt dig.

För den här metoden behöver du tillgång till din WordPress-instrumentpanel. Navigera till Tillägg i sidofältet och klicka på Lägg till nytt. Sök därefter efter Solid Security i sökrutan och klicka sedan på Installera nu. Efter installationen klickar du på Aktivera.

Navigera sedan till inställningarna genom att klicka på Security i sidofältet. Detta tar dig till inställningssidan för Solid Security. Klicka därefter på Avancerat i menyn till vänster.

Expandera Systemjusteringar och välj sedan att inaktivera katalogsökning.

Simpelt, eller hur? Katalogsökning är nu inaktiverad på din WordPress-webbplats. Du kan återigen verifiera detta genom att besöka /wp-includes i slutet av ditt domännamn.

 

Kontakta webbhotellskundtjänst

Om du fortfarande inte kan lösa problemet är nästa steg naturligtvis att kontakta webbhotellets kundtjänst. Du kan skapa ett supportärende och få det åtgärdat snabbt, eftersom många populära webbhotell har korta svarstider och är vana vid den här typen av frågor.

 

Vad händer efter att du har inaktiverat katalogsökning?

Att inaktivera katalogbläddring är bara en av många saker som bör ingå i din säkerhetschecklista för webbplatsen. Här är andra säkerhetsåtgärder du bör implementera:

1. Installera en brandvägg. En webbapplikationsbrandvägg (WAF) är oerhört viktig eftersom den filtrerar, övervakar och blockerar skadlig trafik innan den når din webbplats. Att implementera en brandvägg kan stoppa angrepp och minska risken för att både du och dina användare drabbas.
2. Implementera inloggningssäkerhet. Att bara ha ett enkelt lösenord räcker inte längre i dag. Inloggningssäkerhet kan innebära flera åtgärder, till exempel att kräva starkare lösenord, begränsa antalet inloggningsförsök och införa tvåfaktorsautentisering (2FA).
3. Installera ett säkerhetstillägg. Om du använde metoden med tillägg för att åtgärda katalogbläddring behöver du inte oroa dig, då har du redan kommit igång med detta. Med ett säkerhetstillägg kan du ofta skanna webbplatsen, hitta och ta bort skadlig kod med några klick, och dessutom få en bättre överblick över hur WordPress-säkerhet fungerar.
4. Inaktivera filredigering i WordPress. WordPress låter dig redigera tema- och pluginfiler direkt i administratörsområdet. Genom att inaktivera den funktionen minskar du risken för en lyckad attack om en obehörig användare skulle få åtkomst till din backend.

Sammanfattning

Det finns självklart oändligt många saker man kan implementera för att minska riskerna för cyberattacker som sker i dag. Att inaktivera katalogsökning är ett viktigt steg och tar dig en bra bit på vägen, men det löser inte allt. Den här åtgärden rättar till just den sårbarheten, men den åtgärdar inte andra problem på webbplatsen, till exempel föråldrade plugins, osäkra teman eller ett bristfälligt webbhotell.

Det viktiga är att du har löst ditt nuvarande problem, ett problem i taget. På så sätt kommer du successivt att göra webbplatsen både säkrare och stabilare.

Om du har fler frågor eller behöver hjälp är du välkommen att kontakta mig. Jag hjälper gärna så mycket jag kan.

Vanliga Frågor (FAQ)