[Le silence est d’or] Règle dans les annuaires de serveurs Web

Le serveur Web aura des noms de fichiers par défaut (par ordre de priorité) tels que index.php, index.html, etc. si vous saisissez l’URL d’un dossier Web au lieu d’un fichier spécifique. Cependant, s’il n’y a pas de tels fichiers par défaut, alors éventuellement, il listera les noms de fichiers (avec des liens) dans le répertoire actuel du navigateur ou, un paramètre meilleur et plus sûr serait de désactiver cela et d’afficher l’erreur 403 autorisations interdites.

Avec les dossiers wordpress, en particulier les dossiers de plugins où les URL ne sont pas censées être visitées directement dans le navigateur, vous trouverez alors de nombreux index.php contenant quelque chose comme ceci :

Ou dans un autre format similaire :

Bien sûr, il existe de nombreux autres contenus possibles qui désactivent tous silencieusement la navigation dans les dossiers. Si les fichiers sont répertoriés, il est possible que certains fichiers contenant des informations sensibles soient exposés.

Une meilleure façon, à mon avis, est d’avoir un index.php qui a ce qui suit :

De cette façon, il affichera une erreur 404 introuvable, qui ressemble à une vraie, induisant en erreur les pirates potentiels.

Dans certains fichiers inclus, qui ne sont pas censés être accessibles directement, vous pouvez trouver des vérifications au début :

if (!defined('IN_PHPBB'))
    exit;
 
// don't load directly
if (!defined('ABSPATH'))     die('-1');

De cette façon, évite les éventuelles fuites d’informations sensibles si des erreurs de script s’affichent dans le navigateur. Pour les dossiers qui ne sont pas censés être complètement exposés, vous pouvez ajouter les lignes suivantes dans le fichier .htaccess

order allow,deny 
deny from all 

De cette façon, aucun fichier ne sera accessible dans l’URL publique. Par exemple, les dossiers de journalisation et de sauvegarde pour Plugin itheme security sont définis sur this.