[Мовчання — золото] Правило в каталогах веб-сервера

Веб-сервер матиме деякі назви файлів за замовчуванням (у порядку пріоритету), наприклад index.php, index.html тощо, якщо ви введете URL-адресу веб-теки замість конкретного файлу. Однак, якщо таких файлів за замовчуванням немає, то, можливо, він покаже список імен файлів (з посиланнями) у поточному каталозі в браузері або, кращим і безпечнішим налаштуванням було б вимкнути це та показати помилку 403 заборонених дозволів.

У папках wordpress, особливо в папках плагінів, де URL-адреси не можна відвідувати безпосередньо в браузері, ви знайдете багато index.php, що містить щось на зразок цього:

Або в іншому схожому форматі:

Звичайно, існує багато іншого можливого вмісту, який мовчки вимикає перегляд папок. Якщо файли перераховані, то, можливо, деякі файли, що містять конфіденційну інформацію, будуть розкриті.

Кращий спосіб, на мій погляд, це мати index.php, який має наступне:

Таким чином, він покаже помилку 404 not found, яка виглядає як справжня, вводячи в оману потенційних хакерів.

У деяких включених файлах, до яких не передбачається прямий доступ, ви можете знайти деякі перевірки на початку:

if (!defined('IN_PHPBB'))
    exit;
 
// don't load directly
if (!defined('ABSPATH'))     die('-1');

Таким чином уникає можливого витоку конфіденційної інформації, якщо у браузері відображаються помилки сценарію. Для папок, які не повинні бути повністю відкритими, ви можете додати наступні рядки у файл .htaccess

order allow,deny 
deny from all 

Таким чином, жодні файли не будуть доступні за загальнодоступною URL-адресою. Наприклад, для папок журналу та резервних копій для безпеки itheme плагіна встановлено це значення.