El servidor web tendr\u00e1 algunos nombres de archivo predeterminados (en orden de prioridad) como index.php, index.html, etc. si escribe la URL de una carpeta web en lugar de un archivo espec\u00edfico. Sin embargo, si no existen tales archivos predeterminados, entonces posiblemente enumerar\u00e1 los nombres de archivo (con enlaces) en el directorio actual en el navegador o, una configuraci\u00f3n mejor y m\u00e1s segura ser\u00eda deshabilitar esto y mostrar el error 403 de permisos prohibidos.<\/p>\n
Con las carpetas de wordpress, especialmente las carpetas de complementos donde se supone que las URL no deben visitarse directamente en el navegador, encontrar\u00e1 muchos index.php que contienen algo como esto:<\/p>\n
<?php \/\/You don't belong here. ?><\/code><\/pre>\nO en otro formato similar:<\/p>\n
<?php\n\/\/ Silence is golden.\n?><\/code><\/pre>\nPor supuesto, hay muchos otros contenidos posibles que deshabilitan silenciosamente la exploraci\u00f3n de carpetas. Si los archivos est\u00e1n en la lista, es posible que se expongan algunos archivos que contengan informaci\u00f3n confidencial.<\/p>\n
Una mejor manera, en mi opini\u00f3n, es tener un index.php<\/strong> que tenga lo siguiente:<\/p>\n<?php\n\u00a0 header($_SERVER['SERVER_PROTOCOL']. ' 404 Not Found');\n\u00a0 exit(\"<!DOCTYPE HTML PUBLIC \"-\/\/IETF\/\/DTD HTML 2.0\/\/EN\">rn<html><head>>rn<title>404 Not Found<\/title>rn<\/head><body>rn\n<h1>Not Found<\/h1>rn<p>The requested URL \". $_SERVER['SCRIPT_NAME']. \" was not found on this server.<\/p>rn&lgt;\/body><\/html>\");\n?><\/code><\/pre>\nDe esta manera, mostrar\u00e1 un error 404 no encontrado, que parece real, enga\u00f1ando a los posibles piratas inform\u00e1ticos.<\/p>\n
En algunos archivos incluidos, a los que se supone que no se debe acceder directamente, puede encontrar algunas comprobaciones al principio:<\/p>\n
if (!defined('IN_PHPBB'))\n\u00a0 \u00a0 exit;\n\u00a0\n\/\/ don't load directly\nif (!defined('ABSPATH')) \u00a0 \u00a0 die('-1');<\/code><\/pre>\nDe esa manera, evita la posible fuga de informaci\u00f3n confidencial si se muestran errores de script en el navegador. Para las carpetas que se supone que no deben estar expuestas por completo, puede agregar las siguientes l\u00edneas en el archivo .htaccess<\/strong><\/p>\norder allow,deny \ndeny from all <\/code><\/pre>\nDe esta forma, no se acceder\u00e1 a ning\u00fan archivo en la URL p\u00fablica. Por ejemplo, las carpetas de registro y copia de seguridad para la seguridad de Plugin itheme<\/a> est\u00e1n configuradas para esto.<\/p>\n