[Silence is Gold] Reguła w katalogach serwera WWW
Serwer sieciowy będzie miał kilka domyślnych nazw plików (w kolejności według priorytetu), takich jak index.php, index.html itp., jeśli wpiszesz adres URL folderu sieciowego zamiast konkretnego pliku. Jeśli jednak nie ma takich domyślnych plików, prawdopodobnie wyświetli listę nazw plików (z linkami) w bieżącym katalogu w przeglądarce lub lepszym i bezpieczniejszym ustawieniem byłoby wyłączenie tego i wyświetlenie błędu zakazu uprawnień 403.
W przypadku folderów wordpress, zwłaszcza folderów wtyczek, w których adresy URL nie powinny być odwiedzane bezpośrednio w przeglądarce, znajdziesz wiele index.php zawierających coś takiego:
Lub w innym podobnym formacie:
Oczywiście istnieje wiele innych możliwych treści, które po cichu wyłączają przeglądanie folderów. Jeśli pliki znajdują się na liście, prawdopodobnie niektóre pliki zawierające poufne informacje zostaną ujawnione.
Moim zdaniem lepszym sposobem jest posiadanie pliku index.php, który ma następujące elementy:
W ten sposób pokaże błąd 404 nie znaleziono, który wygląda jak prawdziwy, wprowadzając w błąd potencjalnych hakerów.
W niektórych dołączonych plikach, które nie powinny być dostępne bezpośrednio, na początku można znaleźć kilka sprawdzeń:
if (!defined('IN_PHPBB'))
exit;
// don't load directly
if (!defined('ABSPATH')) die('-1');
W ten sposób unikniesz ewentualnego wycieku poufnych informacji, jeśli w przeglądarce są wyświetlane błędy skryptu. W przypadku folderów, które nie powinny być całkowicie ujawnione, możesz dodać następujące wiersze do pliku .htaccess
order allow,deny
deny from all
W ten sposób żadne pliki nie będą dostępne w publicznym adresie URL. Na przykład foldery dziennika i kopii zapasowej dla zabezpieczenia Plugin itheme są ustawione na to.