理解目录浏览漏洞的风险

当服务器未正确配置时，攻击者可能通过访问网站目录路径直接查看文件列表，暴露敏感文件如配置文件、备份文件或日志文件。此类漏洞可能为后续攻击提供关键信息。

禁用服务器目录浏览功能

Apache服务器配置

在网站根目录的.htaccess文件中添加以下代码：

Options -Indexes

Nginx服务器配置

在站点配置文件中添加以下指令：

autoindex off;

强化文件与目录权限

• 目录权限设置为755，文件权限设置为644
• 敏感文件如wp-config.php应设置为600
• 避免使用777权限

更新WordPress核心与插件

保持WordPress版本、主题及插件处于最新状态，及时修复已知安全漏洞。建议启用自动更新功能或定期手动检查更新。

部署安全防护插件

使用专业安全插件（如Wordfence或Sucuri）实现以下功能：

• 实时监控文件改动
• 阻止可疑IP访问
• 检测目录浏览漏洞

配置服务器端防护规则

通过修改php.ini文件限制敏感函数执行：

disable_functions = exec,system,passthru

实施日志监控与分析

定期检查服务器访问日志，识别异常访问模式。重点关注包含/.git/、/wp-admin/等路径的请求记录。

验证防护措施有效性

通过浏览器直接访问网站目录路径（如yoursite.com/wp-content/），若返回403 Forbidden错误，说明配置生效。