Evitar listado de directorios en Apache
Prevenir el listado de directorios puede ser útil para mantener la seguridad en un sitio web.Para ello, es necesario tomar en cuenta varios puntos claves.
He visto varios sitios que para prevenir el listado de directorios, sus webmasters utilizan un archivo ‘index.html’ vacío en cada carpeta en el servidor.
Esto puede ser una solución sencilla pero si tomamos en cuenta que nuestro sitio web posee decenas hasta centenas de directorios y sub-directorios nuestro querido webmaster tendría la hermosa tarea de subir un archivo ‘index.html’ en cada uno de ellos.
Si nuestro sitio está alojado en un servidor Apache la forma más práctica y fácil es agregar la siguiente línea en un .htaccess localizado en el directorio raíz:
Otra cosa que podemos hacer (no la recomiendo) es admitir el listado parcial de los directorios. Restringiendo solamente los de un tipo especificado por nosotros. Por ejemplo: el siguiente código evita que sean listados los archivos php y los archivos html.
O también podemos especificar que no sean listados ningún archivo poniendo:
Con esta línea cuando intentemos listar un directorio, éste permitirá que se muestre como si estuviera vacío. Esto se debe a que el asterisco ("*") aplica para todos los archivos de cualquier nombre y cualquier extensión.
He visto varios sitios que para prevenir el listado de directorios, sus webmasters utilizan un archivo ‘index.html’ vacío en cada carpeta en el servidor.
Esto puede ser una solución sencilla pero si tomamos en cuenta que nuestro sitio web posee decenas hasta centenas de directorios y sub-directorios nuestro querido webmaster tendría la hermosa tarea de subir un archivo ‘index.html’ en cada uno de ellos.
Si nuestro sitio está alojado en un servidor Apache la forma más práctica y fácil es agregar la siguiente línea en un .htaccess localizado en el directorio raíz:
Options -Indexes
Otra cosa que podemos hacer (no la recomiendo) es admitir el listado parcial de los directorios. Restringiendo solamente los de un tipo especificado por nosotros. Por ejemplo: el siguiente código evita que sean listados los archivos php y los archivos html.
IndexIgnore *.php *.html *.htm
O también podemos especificar que no sean listados ningún archivo poniendo:
IndexIngnore *
Con esta línea cuando intentemos listar un directorio, éste permitirá que se muestre como si estuviera vacío. Esto se debe a que el asterisco ("*") aplica para todos los archivos de cualquier nombre y cualquier extensión.
Comentarios