[Молчание — золото] Правило в каталогах веб-сервера

Последнее обновление Авг 9, 2022

Веб-сервер будет иметь некоторые имена файлов по умолчанию (в порядке приоритета), такие как index.php, index.html и т. д., если вы введете URL-адрес веб-папки вместо определенного файла. Однако, если таких файлов по умолчанию нет, то, возможно, он будет отображать имена файлов (со ссылками) в текущем каталоге в браузере или, лучшей и более безопасной настройкой было бы отключить это и показать ошибку 403 разрешений запрещены.

В папках WordPress, особенно в папках плагинов, URL-адреса которых не должны открываться непосредственно в браузере, вы найдете множество файлов index.php, содержащих что-то вроде этого:

<?php //You don't belong here. ?>

Или в другом подобном формате:

<?php
// Silence is golden.
?>

Конечно, есть много другого возможного содержимого, которое молча отключает просмотр папок. Если файлы указаны в списке, возможно, некоторые файлы, содержащие конфиденциальную информацию, будут раскрыты.

На мой взгляд, лучший способ — иметь index.php со следующим:

<?php
  header($_SERVER['SERVER_PROTOCOL']. ' 404 Not Found');
  exit("<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">rn<html><head>>rn<title>404 Not Found</title>rn</head><body>rn
<h1>Not Found</h1>rn<p>The requested URL ". $_SERVER['SCRIPT_NAME']. " was not found on this server.</p>rn&lgt;/body></html>");
?>

Таким образом, он покажет ошибку 404 not found, которая выглядит как настоящая, вводя в заблуждение потенциальных хакеров.

В некоторых включаемых файлах, к которым не предполагается прямой доступ, вы можете найти некоторые проверки в начале:

if (!defined('IN_PHPBB'))
    exit;
 
// don't load directly
if (!defined('ABSPATH'))     die('-1');

Таким образом, предотвращается возможная утечка конфиденциальной информации, если в браузере отображаются ошибки сценария. Для папок, которые не должны открываться полностью, вы можете добавить следующие строки в файл .htaccess .

order allow,deny 
deny from all

Таким образом, никакие файлы не будут доступны по общедоступному URL-адресу. Например, для папки журнала и резервного копирования для безопасности плагина itheme задано это значение.

Источник записи: helloacm.com