Cómo evitar el listado de directorios y archivos desde el .htaccess

En ocasiones podemos estar interesados en evitar que los visitantes de nuestra web puedan acceder a ciertos directorios y visualizar su contenido. Mediante el siguiente tutorial podremos conseguir que los directorios no se listen, mejorando de esa forma la seguridad de nuestro alojamiento.

En ocasiones es más que suficiente crear un archivo index.html en blanco dentro del directorio del cual no queremos que se visualice su contenido. De todos modos cuando en nuestro servidor hay multitud de carpetas esta labor puede resultar poco práctica.

Si nuestro plan de hosting está alojado en un servidor Apache, como es el caso de todos los hospedajes de Hostinet, podemos optar por modificar el archivo .htaccess de la raíz, aquí tienes más info sobre este importante archivo. introduciendo la siguiente línea de código, consiguiendo que no se liste ningún directorio:

Options -Indexes

También se puede evitar que se listen unos determinados archivos en concreto según su extensión. De la siguiente forma, podríamos evitar que se listaran los archivos .php y .html de nuestro servidor:

IndexIgnore *.php *.html

Un último método es permitir que se listen los directorios, pero haciendo que estos aparezcan en blanco. De esta forma cualquier tipo de fichero no se mostrará a la hora de acceder a su correspondiente carpeta:

IndexIngnore *

Unos Cuantos Trucos más para el  .htaccess

Además de para evitar listar los archivos de un directorio, .htaccess sirve par mucho más.

Contar para todo lo que se puede usar el famoso archivo .htaccess podría hacer de este artículo algo interminable pero si que te podemos contar algunos trucos que con los que poder configurar varios aspectos de tu host.

Redirecciones con .htaccess

Las redirecciones son un clásico en el .htaccess y además son muy fáciles de añadir.

Para redirigir todo un sitio a otro:

Redirect 301 / http://elnuevositio.com/

Para redirigir una página vieja o antigua a otra nueva:

Redirect 301 /URLantigua.html /URLnueva.html

Forzar dominios sin las www a sitios con las www:

RewriteEngine on
RewriteCond %{HTTP_HOST} ^www\.ejemplo\.com [NC]
RewriteRule ^(.*)$ http://ejemplo.com/$1 [L,R=301]

Seguridad del Sitio Web

Si te están atacando el blog y quieres desactivar el blog temporalmente para que el ataque no pase a mayores:

Deny from All

Si una vez apagado quieres darte acceso a ti mismo o a alguien de soporte necesitas saber la IP y luego añadir los siguiente:

Order deny, allow
Deny from All
Allow from xxx.xxx.xxx.xxx

Y si tienes localizadas las IP responsables de ataque también puedes desautorizar sus accesos permitiendo al resto del mundo poder acceder al sitio normalmente con esto:

Order deny, allow
Allow from All
Deny from xxx.xxx.xxx.xxx
Deny from xxx.xxx.xxx.yyy

Más opciones para gestionar los directorios desde .htaccess

Uso de mod_autoindex para Personalizar la Presentación

Si tu servidor Apache tiene habilitado mod_autoindex, puedes personalizar aún más cómo se presentan los listados de directorios utilizando diversas directivas:

• HeaderName y ReadmeName: Puedes especificar archivos HTML que se incluirán en la parte superior o inferior de los listados de directorios, lo que te permite añadir una nota de copyright, una advertencia de seguridad o información adicional. Por ejemplo:

  HeaderName /header.html
  ReadmeName /footer.html
  

  Esto incluirá header.html en la parte superior y footer.html en la parte inferior de cada listado de directorios.

• AddIcon, AddIconByType, AddIconByEncoding: Estas directivas permiten personalizar los iconos que se muestran junto a los archivos en los listados de directorios, basándose en el nombre del archivo, el tipo MIME o la codificación. Por ejemplo:

  AddIcon /icons/pdf.gif .pdf
  

  Mostrará pdf.gif al lado de los archivos .pdf.

Controlando el Acceso con mod_authz_host

Además de controlar el listado de directorios, también puedes utilizar .htaccess para restringir el acceso a ciertos directorios basándose en la dirección IP del visitante o el nombre de dominio:

• Require: Esta directiva permite especificar quién tiene permitido acceder a un recurso. Por ejemplo, para permitir el acceso solo desde una dirección IP específica:

  Require ip 192.168.1.1
  

  Esto restringirá el acceso al directorio solo a la IP 192.168.1.1.

Uso de mod_rewrite para Redirecciones y Restricciones Avanzadas

mod_rewrite ofrece una herramienta poderosa para redirigir usuarios, reescribir URLs y aplicar restricciones complejas:

• Redirigir el Acceso a Directorios a una Página Específica: Si alguien intenta acceder a un directorio, puedes redirigirlo automáticamente a una página específica, como una página de error o de inicio. Por ejemplo:

  RewriteEngine On
  RewriteCond %{REQUEST_FILENAME} -d
  RewriteRule ^(.+)/$ /pagina-de-error.html [L,R=301]
  

  Esto redirigirá cualquier intento de acceder a un directorio a pagina-de-error.html.

Consideraciones de Seguridad Adicionales

• Files y FilesMatch: Estas directivas permiten especificar restricciones de acceso a archivos individuales o a patrones de nombres de archivos dentro del directorio, lo que puede ser útil para proteger archivos sensibles o de configuración. Por ejemplo, para negar el acceso a todos los archivos .ini:

  <FilesMatch "\.ini$">
    Require all denied
  </FilesMatch>
  

Recuerda siempre hacer una copia de seguridad del archivo .htaccess antes de modificar nada.

Cómo evitar el listado de archivos y directorios desde cPanel

Si eres de los prefiere no tocar el archivo .htaccess ni por asomo, puedes hacer lo mismo desde el panel de control del hosting cPanel.

Es un proceso muy sencillo de realizar y además, si al hacer un cambio no tiene el efecto que deseas, puedes revertirlo en el acto.

Aun así, vamos a ver los pasos, uno a uno, para que no tengas problemas en hacerlo.

Lo primero es acceder al panel de control cPanel y una vez dentro, busca el apartado Avanzada el icono Índices y accede.

Aquí encontrarás todos los directorios que componen tu hosting y los cambios puedes hacerlo en el directorio principal o alguno en particular.

Sólo tienes que encontrar el directorio que quieres modificar y hacer click en Editar

Hay cuatro opciones que puedes elegir, que son:

• Heredar
  Obedece a la configuración del directorio principal. Es la opción por defecto, y la más recomendada.
• Sin Indexación
  Esta sería la configuración por defecto. Si no has cambiado la del directorio principal, esta será la correcta. Sin un index en el directorio, la web te dará un error 404.
• Mostrar únicamente el nombre de archivo
  Con esta opción se mostrarán los nombres de los archivos, pero no dará ninguna información más.
• Mostrar nombre de archivo y descripción
  Si seleccionas esta opción, verás las carpetas, los archivos, su tamaño y la fecha de modificación.

Hosting SSD con cPanel en Hostinet

En Hostinet todos los hosting tienen como panel de control el popular y efectivo cPanel, desde el cual se puede editar el archivo .htaccess entre otras muchas cosas.

HOSTINET = SEGURIDAD + CONFIANZA + PRECIO + 20 AÑOS DE EXPERIENCIA