[El silencio es oro] Regla en los directorios del servidor web

El servidor web tendrá algunos nombres de archivo predeterminados (en orden de prioridad) como index.php, index.html, etc. si escribe la URL de una carpeta web en lugar de un archivo específico. Sin embargo, si no existen tales archivos predeterminados, entonces posiblemente enumerará los nombres de archivo (con enlaces) en el directorio actual en el navegador o, una configuración mejor y más segura sería deshabilitar esto y mostrar el error 403 de permisos prohibidos.

Con las carpetas de wordpress, especialmente las carpetas de complementos donde se supone que las URL no deben visitarse directamente en el navegador, encontrará muchos index.php que contienen algo como esto:

O en otro formato similar:

Por supuesto, hay muchos otros contenidos posibles que deshabilitan silenciosamente la exploración de carpetas. Si los archivos están en la lista, es posible que se expongan algunos archivos que contengan información confidencial.

Una mejor manera, en mi opinión, es tener un index.php que tenga lo siguiente:

De esta manera, mostrará un error 404 no encontrado, que parece real, engañando a los posibles piratas informáticos.

En algunos archivos incluidos, a los que se supone que no se debe acceder directamente, puede encontrar algunas comprobaciones al principio:

if (!defined('IN_PHPBB'))
    exit;
 
// don't load directly
if (!defined('ABSPATH'))     die('-1');

De esa manera, evita la posible fuga de información confidencial si se muestran errores de script en el navegador. Para las carpetas que se supone que no deben estar expuestas por completo, puede agregar las siguientes líneas en el archivo .htaccess

order allow,deny 
deny from all 

De esta forma, no se accederá a ningún archivo en la URL pública. Por ejemplo, las carpetas de registro y copia de seguridad para la seguridad de Plugin itheme están configuradas para esto.