[Молчание — золото] Правило в каталогах веб-сервера

Веб-сервер будет иметь некоторые имена файлов по умолчанию (в порядке приоритета), такие как index.php, index.html и т. д., если вы введете URL-адрес веб-папки вместо определенного файла. Однако, если таких файлов по умолчанию нет, то, возможно, он будет отображать имена файлов (со ссылками) в текущем каталоге в браузере или, лучшей и более безопасной настройкой было бы отключить это и показать ошибку 403 разрешений запрещены.

В папках WordPress, особенно в папках плагинов, URL-адреса которых не должны открываться непосредственно в браузере, вы найдете множество файлов index.php, содержащих что-то вроде этого:

Или в другом подобном формате:

Конечно, есть много другого возможного содержимого, которое молча отключает просмотр папок. Если файлы указаны в списке, возможно, некоторые файлы, содержащие конфиденциальную информацию, будут раскрыты.

На мой взгляд, лучший способ — иметь index.php со следующим:

Таким образом, он покажет ошибку 404 not found, которая выглядит как настоящая, вводя в заблуждение потенциальных хакеров.

В некоторых включаемых файлах, к которым не предполагается прямой доступ, вы можете найти некоторые проверки в начале:

if (!defined('IN_PHPBB'))
    exit;
 
// don't load directly
if (!defined('ABSPATH'))     die('-1');

Таким образом, предотвращается возможная утечка конфиденциальной информации, если в браузере отображаются ошибки сценария. Для папок, которые не должны открываться полностью, вы можете добавить следующие строки в файл .htaccess .

order allow,deny 
deny from all 

Таким образом, никакие файлы не будут доступны по общедоступному URL-адресу. Например, для папки журнала и резервного копирования для безопасности плагина itheme задано это значение.