[Tystnad är guld] Regel i webbserverkataloger
Webbservern kommer att ha vissa standardfilnamn (i prioritetsordning) som index.php, index.html etc om du skriver in URL till en webbmapp istället för en specifik fil. Men om det inte finns några sådana standardfiler, kommer den eventuellt att lista filnamnen (med länkar) i den aktuella katalogen i webbläsaren eller, en bättre och säkrare inställning skulle vara att inaktivera detta och visa 403 behörigheter förbjudet fel.
Med wordpress-mappar, speciellt plugin-mapparna där webbadresserna inte är tänkta att besökas direkt i webbläsaren, så hittar du massor av index.php som innehåller något sånt här:
Eller i annat liknande format:
Naturligtvis finns det många andra möjliga innehåll som alla tyst inaktiverar mappsurfandet. Om filerna är listade kommer eventuellt vissa filer som innehåller känslig information att exponeras.
Ett bättre sätt, enligt min mening, är att ha en index.php som har följande:
På så sätt kommer det att visa ett 404-fel som inte hittats, vilket ser ut som ett riktigt fel, vilket vilseleder potentiella hackare.
I vissa inkluderade filer, som inte är tänkta att nås direkt, kan du hitta några kontroller i början:
if (!defined('IN_PHPBB'))
exit;
// don't load directly
if (!defined('ABSPATH')) die('-1');
På så sätt undviker man eventuellt läckage av känslig information om det finns skriptfel som visas i webbläsaren. För mappar som inte ska exponeras helt kan du lägga till följande rader i filen .htaccess
order allow,deny
deny from all
På så sätt kommer inga filer att nås i offentlig URL. Till exempel är logg- och säkerhetskopieringsmapparna för Plugin itheme-säkerhet inställda på detta.