Comment désactiver le directory listing dans Apache ?

Utilisez la directive Options -Indexes dans votre fichier .htaccess.

Quel est l'impact d'un directory listing mal configuré ?

Cela peut faciliter le travail des attaquants qui cherchent à compromettre votre site.

Comment tester la vulnérabilité du directory listing avec Burp Suite ?

Utilisez l'option de "crawl" pour parcourir automatiquement le site et identifier les répertoires exposés.

Qu'est-ce que le directory listing ?

Le directory listing est une fonctionnalité des serveurs web qui permet d’afficher le contenu d’un répertoire lorsque aucun fichier d’index (comme index.html ou index.php) n’est présent. Bien que pratique pour certains usages, cette fonction peut représenter une vulnérabilité de sécurité majeure, surtout dans un environnement LAMP associé à WordPress. Ce contenu a pour objectif de vous informer et de vous guider sur les mesures à prendre pour vous protéger contre les risques associés à la faille de sécurité directory listing.

Comprendre le directory listing : de quoi s’agit-il ?

Impact sur la sécurité

Un directory listing mal configuré peut être une véritable porte ouverte pour les attaquants. Il leur permet de voir la structure de vos répertoires, de trouver des fichiers sensibles et de comprendre comment votre site est construit. Cela peut grandement faciliter des attaques comme l’injection de code ou le vol de données.

OWASP et directory listing

Selon l’OWASP (Open Web Application Security Project), le directory listing ne figure pas dans leur dernier top 10 des vulnérabilités web, mais il reste un sujet de préoccupation en matière de sécurité des applications web.

Environnement LAMP et WordPress

Configuration serveur LAMP

L’environnement LAMP (Linux, Apache, MySQL, PHP) est très populaire pour héberger des sites web. Apache, le serveur web de cet ensemble, permet d’activer ou de désactiver le directory listing via son fichier de configuration ou un fichier .htaccess.

WordPress et directory listing

WordPress est un CMS qui peut aussi être vulnérable au directory listing, surtout si vous utilisez des plugins non sécurisés ou des thèmes mal codés. Il est donc crucial de savoir comment désactiver cette fonctionnalité dans WordPress.

Comment identifier la vulnérabilité ?

Outils de test

Des outils comme Burp Suite ou Dirbuster peuvent vous aider à identifier si votre site est vulnérable. Ces outils automatisent les requêtes vers votre site et détectent si le directory listing est activé.

Méthodes manuelles

Vous pouvez aussi vérifier manuellement en naviguant vers un répertoire de votre site via un navigateur web. Si le contenu du répertoire s’affiche, c’est que le directory listing est activé.

Besoin de sécuriser votre site WordPress ?

Nos spécialistes sont à votre disposition pour assurer la sécurité et la maintenance de votre site en toute tranquillité

Confiez-nous votre projet

Solutions de remédiation

Mise en place d’un fichier d’index

La méthode la plus simple pour désactiver le directory listing est de placer un fichier index.html vide dans chaque répertoire.

Utilisation de fichiers `.htaccess`

Dans un fichier .htaccess, vous pouvez ajouter la ligne Options -Indexes pour désactiver le directory listing sur Apache.

Mesures spécifiques à WordPress

Il existe des plugins WordPress spécialement conçus pour améliorer la sécurité de votre site, y compris la désactivation du directory listing.

Directory listing et SEO

Un directory listing activé peut avoir un impact négatif sur votre SEO. Les moteurs de recherche pourraient indexer des pages ou des fichiers que vous ne souhaitez pas rendre publics.

Consultez aussi d’autres définitions

Questions fréquemment posées