Verzeichnislisting mit Options +Indexes aktivieren
Bitte verwenden sie die "Drucken" Funktion am Seitenende, um ein PDF zu erstellen.
Für Webhosting und Managed Dedicated Server
In diesem Artikel erklären wir Ihnen, was die Apache-Direktive Options +Indexes bewirkt, wie Sie sie verwenden und welche wichtigen Sicherheitshinweise Sie dabei beachten müssen.
Mithilfe dieser Anweisung steuern Sie das Verhalten des Webservers, wenn Besucher ein Verzeichnis ohne Indexdatei (z. B. index.html oder index.php) aufrufen.
Voraussetzungen
Sie benötigen:
- Ein IONOS Webhosting-Paket oder Managed Server.
- Zugriff auf Ihre Webspace-Verzeichnisse, zum Beispiel per SFTP oder über den IONOS Webspace-Explorer.
Was bewirkt Options +Indexes?
Die Options- +Indexes Direktive ist eine Konfigurationseinstellung für den Apache-Webserver. Ist sie für ein Verzeichnis aktiviert, generiert der Server automatisch eine Liste aller darin befindlichen Dateien und Unterverzeichnisse.
Standardverhalten (ohne Options +Indexes): Ruft ein Besucher eine URL auf, die auf ein Verzeichnis ohne Indexdatei verweist (z. B. https://www.example.com/pictures/), liefert der Server standardmäßig die Fehlermeldung „403 Forbidden” aus. Dies ist eine wichtige Sicherheitsmaßnahme, um zu verhindern, dass Unbefugte die Struktur Ihrer Website einsehen können.
Verhalten mit Options +Indexes: Ist diese Direktive aktiviert, wird anstelle der Fehlermeldung eine klickbare Liste des Verzeichnisinhalts angezeigt. Besucher können so durch Ihre Ordner navigieren und Dateien direkt aufrufen oder herunterladen.
Verzeichnislisting aktivieren
Sie können das Verzeichnislisting ganz einfach über eine .htaccess-Datei im entsprechenden Verzeichnis aktivieren:
- Verbinden Sie sich mit Ihrem Webspace, beispielsweise per SFTP.
- Navigieren Sie zu dem Verzeichnis, für das Sie den Inhalt auflisten möchten.
- Erstellen Sie eine neue Datei mit dem Namen .htaccess (achten Sie auf den Punkt am Anfang) oder öffnen Sie die bereits vorhandene Datei.
Fügen Sie die folgende Zeile hinzu:
Options +Indexes
- Speichern Sie die Datei. Wenn Sie das Verzeichnis nun im Browser aufrufen, wird der Inhalt aufgelistet.
Sicherheitshinweise und empfohlene Vorgehensweise
IONOS empfiehlt dringend, Options +Indexes auf Produktiv-Websites deaktiviert zu lassen.
Die Aktivierung des Verzeichnislistings stellt ein erhebliches Sicherheitsrisiko dar:
- Offenlegung der Verzeichnisstruktur: Durch die Offenlegung der Verzeichnisstruktur erhalten Angreifer einen genauen Einblick in den Aufbau Ihrer Website. Sie können erkennen, welche CMS-Verzeichnisse (z. B. WordPress, Joomla), Plugins oder Themes Sie nutzen und gezielt nach bekannten Schwachstellen suchen.
- Preisgabe sensibler Daten: Versehentlich hochgeladene Dateien wie Konfigurations-Backups (config.bak), SQL-Dumps (datenbank.sql) oder interne Dokumente werden für jeden sichtbar und können heruntergeladen werden.
- Informationsgewinn für Angreifer: Selbst scheinbar harmlose Dateinamen können Angreifern Hinweise auf die eingesetzte Software oder interne Projektnamen liefern.
Sinnvolle Anwendungsfälle: Setzen Sie Options +Indexes nur gezielt und bewusst ein. Ein legitimer Anwendungsfall wäre beispielsweise ein separates Verzeichnis, das Sie explizit für die öffentliche Bereitstellung von Dateien (z. B. PDF-Downloads oder Software-Archive) nutzen möchten. Stellen Sie jedoch sicher, dass sich darin keine anderen, nicht öffentlichen Dateien befinden.