1. Закриваємо лістинг файлів на FTP
2. Проблеми при закритті FTP лістингу?

Нещодавно зіткнувся з питанням відображення списку (лістингу) файлів блогу на FTP через браузер. Питання трохи неоднозначний, тому вирішив зібрати по ньому різну інформацію і заодно опублікувати пост. Зокрема розповім про те, як можна закрити вікно списку файлів через htaccess. Для прикладу взято WordPress блог, хоча все це справедливо для будь-якої іншої CMS і звичайних сайтів.

Отже, припустимо у вас встановлений плагін Simple Tags , І, якщо ви раптом вирішите зайти за посиланням http: // ваш_сайт / wp-content / plugins / simple-tags то, швидше за все, побачите там наступну картинку:

У браузері відобразиться лістинг з FTP, де показані всі файли, що знаходяться в конкретному каталозі. Така фішка буде спрацьовувати і для деяких інших створених вами папок на хостингу. Якщо ж зайти в якусь базову директорію WordPress, наприклад, http: // ваш_сайт / wp-content / plugins / або http: // ваш_сайт / wp-content / то побачите там порожній екран. Вся справа в тому, що в цих каталогах є файл index.php. Для WP він містить наступний код:

<? Php // Silence is golden. ?>

<? Php // Silence is golden. ?>

Логіка роботи веб-сервера наступна. Він заходить в конкретну директорію і шукає там (за замовчуванням) index.html або index.php. Якщо їх не знаходить, то відображає список всіх файлів в каталозі.

Що в цьому поганого? По-перше, це певна лазівка ​​з точки зору безпеки. Зловмисник може отримати інформацію про наявність проблемних модулів на вашому сайті (будь то WordPress або інша CMS). На жаль, далеко не всі плагіни ідеально захищені, і переглядаючи список файлів на FTP можна визначити чи використовуєте ви якийсь дірявий модуль чи ні. По-друге, через лістинг можна легко отримати доступ, наприклад, до всіх картинам сайту і завантажити їх. Це може бути недобре, якщо ви вирішили впровадити водяні знаки на фото або ж просто проти завантаження своїх зображень.

Закриваємо лістинг файлів на FTP

Власне, є 2 варіанти щоб приховати відображення файлів. Теоретично ви можете розташувати в нових створених каталогах базовий index.php. У разі коли на вашому сайті таких директорій кілька, особливих проблем завдання не викличе.

Однак є і більш універсальний метод - за допомогою htaccess. Завантажуєте з FTP файл htaccess з кореневої директорії сайту (для вордпресс - це там де і wp-config.php). Відкриваєте його і в самому кінці дописуєте рядок:

Далі зберігаєте і завантажуєте назад на FTP, перезаписавши оригінальний файл. Для редагування краще використовувати редактори Notepad ++ або Sublime Text 2 щоб не було якихось проблем з кодуваннями. Тепер при переході по каталогам на FTP користувач побачить наступне повідомлення:

Проблеми при закритті FTP лістингу?

Як бачите, завдання приховування списку файлів вирішується досить просто. Однак є тут свої нюанси. Після змін в htaccess файлі сторінка каталогу віддає код статусу 403 Forbidden . Це свідчить про те, що дана сторінка / розділ закриті від користувачів. Якщо поштова адреса через Яндекс.Вебмайстер, то побачите відповідний HTTP статус.

При цьому використання «порожнього» index.php віддає код HTTP 200. Цікаво чи впливає це якось на індексацію? Мені здається що ні. І ось чому:

• По-перше, у всіх описах директиви Options -Indexes вказана інформація про те, дана настройка управляє виключно відображенням лістингу.
• По-друге, для парочки CMS зустрічав використання Options -Indexes в описі «ідеального» файлу налаштувань htaccess. Плюс деякі хостинги включають дану директиву за замовчуванням.
• По-третє, заборона індексації для більшості категорій в wp-content / plugins і wp-content / themes і так вже прописаний в robots.txt. Залишаються хіба що картинки.
• По-четверте, як показує той же Яндекс.Вебмайстер, 403 статус не поширюється на вміст конкретної директорії.

Однак, якщо ви все одно переживаєте за індексацію якогось певного каталогу, можете скористатися спеціальною командою htaccess. Для цього в потрібній директорії створюєте файл «.htaccess» (так, з точкою спочатку), після чого додаєте в нього рядок:

Зберігаєте і завантажуєте в ту папку, в якій хочете виводити список файлів по FTP. Увага! Даний запис буде поширюється не тільки на поточний каталог, але і на всі його піддиректорії (при включеній за замовчуванням AllowOverride All).

Загалом, мені здається, що htaccess директива Options -Indexes не зможе негативно вплинути на індексацію вашого сайту. З іншого боку вона закриє від зловмисників перегляд списку файлів на FTP.

Що скажете з цього приводу? Уже налаштували у себе таку фішку? Або використовуєте порожній index.php?