Le serveur Web aura des noms de fichiers par d\u00e9faut (par ordre de priorit\u00e9) tels que index.php, index.html, etc. si vous saisissez l’URL d’un dossier Web au lieu d’un fichier sp\u00e9cifique. Cependant, s’il n’y a pas de tels fichiers par d\u00e9faut, alors \u00e9ventuellement, il listera les noms de fichiers (avec des liens) dans le r\u00e9pertoire actuel du navigateur ou, un param\u00e8tre meilleur et plus s\u00fbr serait de d\u00e9sactiver cela et d’afficher l’erreur 403 autorisations interdites.<\/p>\n
Avec les dossiers wordpress, en particulier les dossiers de plugins o\u00f9 les URL ne sont pas cens\u00e9es \u00eatre visit\u00e9es directement dans le navigateur, vous trouverez alors de nombreux index.php contenant quelque chose comme ceci :<\/p>\n
<?php \/\/You don't belong here. ?><\/code><\/pre>\nOu dans un autre format similaire\u00a0:<\/p>\n
<?php\n\/\/ Silence is golden.\n?><\/code><\/pre>\nBien s\u00fbr, il existe de nombreux autres contenus possibles qui d\u00e9sactivent tous silencieusement la navigation dans les dossiers. Si les fichiers sont r\u00e9pertori\u00e9s, il est possible que certains fichiers contenant des informations sensibles soient expos\u00e9s.<\/p>\n
Une meilleure fa\u00e7on, \u00e0 mon avis, est d’avoir un index.php<\/strong> qui a ce qui suit :<\/p>\n<?php\n\u00a0 header($_SERVER['SERVER_PROTOCOL']. ' 404 Not Found');\n\u00a0 exit(\"<!DOCTYPE HTML PUBLIC \"-\/\/IETF\/\/DTD HTML 2.0\/\/EN\">rn<html><head>>rn<title>404 Not Found<\/title>rn<\/head><body>rn\n<h1>Not Found<\/h1>rn<p>The requested URL \". $_SERVER['SCRIPT_NAME']. \" was not found on this server.<\/p>rn&lgt;\/body><\/html>\");\n?><\/code><\/pre>\nDe cette fa\u00e7on, il affichera une erreur 404 introuvable, qui ressemble \u00e0 une vraie, induisant en erreur les pirates potentiels.<\/p>\n
Dans certains fichiers inclus, qui ne sont pas cens\u00e9s \u00eatre accessibles directement, vous pouvez trouver des v\u00e9rifications au d\u00e9but\u00a0:<\/p>\n
if (!defined('IN_PHPBB'))\n\u00a0 \u00a0 exit;\n\u00a0\n\/\/ don't load directly\nif (!defined('ABSPATH')) \u00a0 \u00a0 die('-1');<\/code><\/pre>\nDe cette fa\u00e7on, \u00e9vite les \u00e9ventuelles fuites d’informations sensibles si des erreurs de script s’affichent dans le navigateur. Pour les dossiers qui ne sont pas cens\u00e9s \u00eatre compl\u00e8tement expos\u00e9s, vous pouvez ajouter les lignes suivantes dans le fichier .htaccess<\/strong><\/p>\norder allow,deny \ndeny from all <\/code><\/pre>\nDe cette fa\u00e7on, aucun fichier ne sera accessible dans l’URL publique. Par exemple, les dossiers de journalisation et de sauvegarde pour Plugin itheme security<\/a> sont d\u00e9finis sur this.<\/p>\n