Regra [Silence is Gold] nos diretórios do servidor Web

O servidor web terá alguns nomes de arquivo padrão (em ordem de prioridade) como index.php, index.html etc se você digitar a URL de uma pasta web em vez de um arquivo específico. No entanto, se não houver esses arquivos padrão, possivelmente, ele listará os nomes dos arquivos (com links) no diretório atual do navegador ou, uma configuração melhor e mais segura seria desabilitar isso e mostrar o erro 403 permissions proibido.

Com pastas wordpress, especialmente as pastas de plugins onde os URLs não devem ser visitados diretamente no navegador, você encontrará muitos index.php contendo algo assim:

Ou em outro formato semelhante:

Claro, existem muitos outros conteúdos possíveis que desabilitam silenciosamente a navegação na pasta. Se os arquivos estiverem listados, possivelmente alguns arquivos contendo informações confidenciais serão expostos.

Uma maneira melhor, na minha opinião, é ter um index.php que tenha o seguinte:

Dessa forma, ele mostrará um erro 404 não encontrado, que parece real, enganando os possíveis hackers.

Em alguns arquivos incluídos, que não devem ser acessados ​​diretamente, você pode encontrar algumas verificações no início:

if (!defined('IN_PHPBB'))
    exit;
 
// don't load directly
if (!defined('ABSPATH'))     die('-1');

Dessa forma, evita possíveis vazamentos de informações confidenciais se houver erros de script exibidos no navegador. Para pastas que não devem ser expostas completamente, você pode adicionar as seguintes linhas no arquivo .htaccess

order allow,deny 
deny from all 

Desta forma, nenhum arquivo será acessado em URL pública. Por exemplo, as pastas de log e backup para a segurança do item de plug -in são definidas para isso.