WordPress Dois-je laisser Google indexer les pages wp-includes, wp-content ?

[Cind]

Bonjour,

Je me rends compte que Google indexe les pages wp-includes du site Wordpress que je gère, tout comme les pages wp-content.
Exemple : https://www.arawak.fr/wp-includes/js/dist/vendor/

Je ne suis pas sûre que cela soit une bonne chose dans ces pages soient sur Google, dois-je donc laisser les pages indexées ou voir pour les désindexer ?
Si je dois les désindexer, comment procéder ?

Merci pour vos retours.

 

[spout]

Tu peux désactiver ce listing, exemple pour Apache :

Options -Indexes

 

[colonies]

En prod sur un dédié, on peut même désactiver le module (c'est rare de vouloir laisser une page de listing brute) :

a2dismod autoindex

Au-delà des simples listings, je recommande de toujours :
• bloquer carrément l'accès aux dossiers includes (et même éventuellement le sortir du dossier Apache, si on le peut) : pas besoin de prendre le moindre risque,
• bonus important : mettre une protection par mot de passe Apache pour tous les dossiers d'admin, surtout pour un CMS qui utilise les chemins par défaut. Même un seul mot de passe connu de tous les employés (si applicable) : au moins, si une faille existe, un robot ne pourra pas simplement passer pour, mettons, télécharger la base de donnée des utilisateurs, modifier les templates pour faire un "deface" ou ajouter un Javascript malicieux, ajouter une extension malveillante... Quiconque a déjà analysé ses logs bruts a pu constater que le dossier wp-admin a un sacré succès auprès des bots (qui peuvent se contenter de chercher à connaitre les technologies utilisées... ou pas seulement).

 

[Cind]

Bonjour,

Merci pour vos retours.
J'avoue que j'ai un peu de mal à savoir où dois-je placer les codes que vous m'avez indiqué ? Est-ce possible d'avoir plus d'explications ?
Merci beaucoup .

 

[colonies]

Tu as un serveur dédié ou un mutualisé ? Ton serveur web est bien Apache (et pas NGINX) ?

Si c'est un mutualisé avec Apache, crée un dossier à la racine de ton site nommé .htaccess qui ne contient que ce que le code de spout.

Sur un dédié, on évite les .htaccess, c'est pratique, mais vraiment, vraiment pourri. Il faut apprendre à configurer un minimum Apache et à lui faire appliquer les changements de configuration.
Il y a quelques temps, tu aurais dû te bouffer pas mal de docs et éventuellement demander plus de conseils dans des forums, mais aujourd'hui, il y a ChatGPT.
Attend, je teste... "Comment appliquer a2dismod autoindex à mon serveur Apache ?"
Ok bon, il part dans une explication pour faire l'équivalent manuellement, bizarrement.

Alors pour désactiver le module, la commande que je donnais se fait en ssh sur un serveur dédié. Tu te connectes, et tu saisis la commande :
sudo a2dismod autoindex
puis, pour appliquer les changements :
sudo service apache2 reload

Si tu veux réactiver le module, c'est la même chose avec a2enmod au lieu de a2dismod.

Pour protéger un dossier avec un mot de passe, si ça te tente, cherche "Comment protéger un dossier Apache avec un mot de passe ?" ou pose cette question à ChatGPT, là pour le coup, sa réponse est correcte - et tu peux lui demander des précisions, si tu as besoin.
Tu peux toujours poser des questions ici si rien ne te va... mais tout le début : les VirtualHosts, modifier la config, appliquer les changements, ça a été écrit des centaines (ou des milliers, plutôt) de fois, et je n'ai rien de mieux à écrire que les autres.