[Vaikimine on kuld] reegel veebiserveri kataloogides

Kui sisestate konkreetse faili asemel veebikausta URL-i, on veebiserveril mõned vaikimisi failinimed (prioriteedi järgi), nagu index.php, index.html jne. Kui aga selliseid vaikefaile pole, siis võib-olla loetleb see failinimed (koos linkidega) brauseri praeguses kataloogis või parem ja turvalisem seade oleks selle keelata ja näidata 403 lubade keelatud viga.

WordPressi kaustade, eriti pistikprogrammide kaustade puhul, kus URL-e ei peaks brauseris otse külastama, leiate palju index.php-d, mis sisaldavad midagi sellist:

Või muus sarnases vormingus:

Muidugi on palju muud võimalikku sisu, mis kõik vaikselt kaustade sirvimise keelavad. Kui failid on loendis, võivad mõned tundlikku teavet sisaldavad failid paljastada.

Parem viis on minu arvates indeks.php, millel on järgmised omadused:

Sel viisil kuvab see 404 ei leitud viga, mis näeb välja nagu tõeline, eksitades potentsiaalseid häkkereid.

Mõnes kaasatud failis, millele ei peaks otse juurde pääsema, leiate algusest mõned kontrollid:

if (!defined('IN_PHPBB'))
    exit;
 
// don't load directly
if (!defined('ABSPATH'))     die('-1');

Nii välditakse tundliku teabe võimalikku lekkimist, kui brauseris kuvatakse skriptitõrkeid. Kaustade puhul, mis ei peaks olema täielikult paljastatud, saate lisada faili .htaccess järgmised read

order allow,deny 
deny from all 

Nii ei pääse avaliku URL-i kaudu ühelegi failile juurde. Näiteks Pluginiteema turvalisuse logi- ja varukaustad on seatud sellele.