Il server web avr\u00e0 alcuni nomi di file predefiniti (in ordine di priorit\u00e0) come index.php, index.html ecc. se digiti l’URL di una cartella web invece di un file specifico. Tuttavia, se non ci sono tali file predefiniti, probabilmente elencher\u00e0 i nomi dei file (con collegamenti) nella directory corrente nel browser o, un’impostazione migliore e pi\u00f9 sicura sarebbe quella di disabilitarlo e mostrare 403 permessi di errore proibiti.<\/p>\n
Con le cartelle wordpress, in particolare le cartelle dei plugin in cui gli URL non dovrebbero essere visitati direttamente nel browser, troverai molti index.php contenenti qualcosa del genere:<\/p>\n
<?php \/\/You don't belong here. ?><\/code><\/pre>\nO in un altro formato simile:<\/p>\n
<?php\n\/\/ Silence is golden.\n?><\/code><\/pre>\nNaturalmente, ci sono molti altri possibili contenuti che disabilitano tutti silenziosamente la navigazione delle cartelle. Se i file sono elencati, probabilmente verranno esposti alcuni file contenenti informazioni riservate.<\/p>\n
Un modo migliore, secondo me, \u00e8 avere un index.php<\/strong> che abbia quanto segue:<\/p>\n<?php\n\u00a0 header($_SERVER['SERVER_PROTOCOL']. ' 404 Not Found');\n\u00a0 exit(\"<!DOCTYPE HTML PUBLIC \"-\/\/IETF\/\/DTD HTML 2.0\/\/EN\">rn<html><head>>rn<title>404 Not Found<\/title>rn<\/head><body>rn\n<h1>Not Found<\/h1>rn<p>The requested URL \". $_SERVER['SCRIPT_NAME']. \" was not found on this server.<\/p>rn&lgt;\/body><\/html>\");\n?><\/code><\/pre>\nIn questo modo, mostrer\u00e0 un errore 404 non trovato, che sembra reale, fuorviando i potenziali hacker.<\/p>\n
In alcuni file inclusi, a cui non si dovrebbe accedere direttamente, puoi trovare alcuni controlli all’inizio:<\/p>\n
if (!defined('IN_PHPBB'))\n\u00a0 \u00a0 exit;\n\u00a0\n\/\/ don't load directly\nif (!defined('ABSPATH')) \u00a0 \u00a0 die('-1');<\/code><\/pre>\nIn questo modo si evita la possibile perdita di informazioni sensibili in caso di visualizzazione di errori di script nel browser. Per le cartelle che non dovrebbero essere completamente esposte, puoi aggiungere le seguenti righe nel file .htaccess<\/strong><\/p>\norder allow,deny \ndeny from all <\/code><\/pre>\nIn questo modo, non sar\u00e0 possibile accedere a nessun file nell’URL pubblico. Ad esempio, le cartelle di registro e di backup per la sicurezza di Plugin itheme<\/a> sono impostate su questo.<\/p>\n