O servidor web ter\u00e1 alguns nomes de arquivo padr\u00e3o (em ordem de prioridade) como index.php, index.html etc se voc\u00ea digitar a URL de uma pasta web em vez de um arquivo espec\u00edfico. No entanto, se n\u00e3o houver esses arquivos padr\u00e3o, possivelmente, ele listar\u00e1 os nomes dos arquivos (com links) no diret\u00f3rio atual do navegador ou, uma configura\u00e7\u00e3o melhor e mais segura seria desabilitar isso e mostrar o erro 403 permissions proibido.<\/p>\n
Com pastas wordpress, especialmente as pastas de plugins onde os URLs n\u00e3o devem ser visitados diretamente no navegador, voc\u00ea encontrar\u00e1 muitos index.php contendo algo assim:<\/p>\n
<?php \/\/You don't belong here. ?><\/code><\/pre>\nOu em outro formato semelhante:<\/p>\n
<?php\n\/\/ Silence is golden.\n?><\/code><\/pre>\nClaro, existem muitos outros conte\u00fados poss\u00edveis que desabilitam silenciosamente a navega\u00e7\u00e3o na pasta. Se os arquivos estiverem listados, possivelmente alguns arquivos contendo informa\u00e7\u00f5es confidenciais ser\u00e3o expostos.<\/p>\n
Uma maneira melhor, na minha opini\u00e3o, \u00e9 ter um index.php<\/strong> que tenha o seguinte:<\/p>\n<?php\n\u00a0 header($_SERVER['SERVER_PROTOCOL']. ' 404 Not Found');\n\u00a0 exit(\"<!DOCTYPE HTML PUBLIC \"-\/\/IETF\/\/DTD HTML 2.0\/\/EN\">rn<html><head>>rn<title>404 Not Found<\/title>rn<\/head><body>rn\n<h1>Not Found<\/h1>rn<p>The requested URL \". $_SERVER['SCRIPT_NAME']. \" was not found on this server.<\/p>rn&lgt;\/body><\/html>\");\n?><\/code><\/pre>\nDessa forma, ele mostrar\u00e1 um erro 404 n\u00e3o encontrado, que parece real, enganando os poss\u00edveis hackers.<\/p>\n
Em alguns arquivos inclu\u00eddos, que n\u00e3o devem ser acessados \u200b\u200bdiretamente, voc\u00ea pode encontrar algumas verifica\u00e7\u00f5es no in\u00edcio:<\/p>\n
if (!defined('IN_PHPBB'))\n\u00a0 \u00a0 exit;\n\u00a0\n\/\/ don't load directly\nif (!defined('ABSPATH')) \u00a0 \u00a0 die('-1');<\/code><\/pre>\nDessa forma, evita poss\u00edveis vazamentos de informa\u00e7\u00f5es confidenciais se houver erros de script exibidos no navegador. Para pastas que n\u00e3o devem ser expostas completamente, voc\u00ea pode adicionar as seguintes linhas no arquivo .htaccess<\/strong><\/p>\norder allow,deny \ndeny from all <\/code><\/pre>\nDesta forma, nenhum arquivo ser\u00e1 acessado em URL p\u00fablica. Por exemplo, as pastas de log e backup para a seguran\u00e7a do item de plug<\/a> -in s\u00e3o definidas para isso.<\/p>\n