Web-palvelimella on joitain oletustiedostonimiä (prioriteetin mukaan), kuten index.php, index.html jne., jos kirjoitat verkkokansion URL-osoitteen tietyn tiedoston sijaan. Jos tällaisia oletustiedostoja ei kuitenkaan ole, se mahdollisesti listaa tiedostojen nimet (linkkeineen) selaimen nykyisessä hakemistossa tai parempi ja turvallisempi asetus olisi poistaa tämä käytöstä ja näyttää 403 käyttöoikeudet kielletty -virhe.
WordPress-kansioilla, erityisesti plugin-kansioilla, joissa URL-osoitteiden ei pitäisi käydä suoraan selaimessa, löydät paljon index.php-tiedostoa, joka sisältää jotain tällaista:
<?php //You don't belong here. ?>Tai muussa vastaavassa muodossa:
<?php
// Silence is golden.
?>Tietenkin on monia muita mahdollisia sisältöjä, jotka kaikki estävät kansioiden selailun. Jos tiedostot ovat luettelossa, jotkin arkaluontoisia tietoja sisältävät tiedostot saattavat tulla näkyviin.
Mielestäni parempi tapa on indeks.php, jossa on seuraavat tiedot:
<?php
header($_SERVER['SERVER_PROTOCOL']. ' 404 Not Found');
exit("<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">rn<html><head>>rn<title>404 Not Found</title>rn</head><body>rn
<h1>Not Found</h1>rn<p>The requested URL ". $_SERVER['SCRIPT_NAME']. " was not found on this server.</p>rn&lgt;/body></html>");
?>Tällä tavalla se näyttää 404 ei löydy -virheen, joka näyttää todelliselta ja johtaa mahdollisia hakkereita harhaan.
Joissakin mukana olevissa tiedostoissa, joihin ei ole tarkoitus päästä suoraan, alussa on joitain tarkistuksia:
if (!defined('IN_PHPBB'))
exit;
// don't load directly
if (!defined('ABSPATH')) die('-1');Tällä tavoin vältetään arkaluonteisten tietojen mahdollinen vuotaminen, jos selaimessa näkyy komentosarjavirheitä. Kansioista, joita ei ole tarkoitus paljastaa kokonaan, voit lisätä seuraavat rivit tiedostoon .htaccess
order allow,deny
deny from all Tällä tavalla julkisessa URL-osoitteessa olevia tiedostoja ei käsitellä. Esimerkiksi Plugin-teeman suojauksen loki- ja varmuuskopiokansiot on asetettu tähän.