[Schweigen ist Gold] Regel in Webserver-Verzeichnissen
Der Webserver hat einige Standarddateinamen (geordnet nach Priorität) wie index.php, index.html usw., wenn Sie anstelle einer bestimmten Datei die URL eines Webordners eingeben. Wenn es jedoch keine solchen Standarddateien gibt, werden möglicherweise die Dateinamen (mit Links) im aktuellen Verzeichnis im Browser aufgelistet, oder eine bessere und sicherere Einstellung wäre, dies zu deaktivieren und den Fehler „403-Berechtigungen verboten” anzuzeigen.
Bei WordPress-Ordnern, insbesondere den Plugin-Ordnern, bei denen die URLs nicht direkt im Browser aufgerufen werden sollen, finden Sie viele index.php, die so etwas enthalten:
Oder in einem anderen ähnlichen Format:
Natürlich gibt es viele andere mögliche Inhalte, die alle das Durchsuchen von Ordnern stillschweigend deaktivieren. Wenn die Dateien aufgelistet sind, werden möglicherweise einige Dateien mit vertraulichen Informationen offengelegt.
Ein besserer Weg ist meiner Meinung nach eine index.php mit folgendem Inhalt:
Auf diese Weise wird ein 404 nicht gefunden-Fehler angezeigt, der wie ein echter aussieht und potenzielle Hacker in die Irre führt.
In einigen eingebundenen Dateien, auf die nicht direkt zugegriffen werden soll, findet man am Anfang einige Checks:
if (!defined('IN_PHPBB'))
exit;
// don't load directly
if (!defined('ABSPATH')) die('-1');
Auf diese Weise wird ein mögliches Durchsickern vertraulicher Informationen vermieden, wenn im Browser Skriptfehler angezeigt werden. Für Ordner, die nicht vollständig offengelegt werden sollen, können Sie die folgenden Zeilen in die Datei .htaccess einfügen
order allow,deny
deny from all
Auf diese Weise wird auf keine Dateien in der öffentlichen URL zugegriffen. Beispielsweise sind die Log- und Backup-Ordner für die Plugin-Theme-Sicherheit darauf eingestellt.