De qualquer forma, protege seu site do site externo

Cheguei a um site que lista todos os arquivos ocultos. Eu usei o diretório do Facebook chamado: “hashtag /” e os resultados mostraram um monte de arquivos de http://www.facebook.com/hashtag/

Aqui está o site que faz isso: https://pentest-tools.com/website-vulnerability-scanning/discover-hidden-directories-and-files

Então, minha principal questão aqui é: existe alguma maneira de proteger seu site de ser escaneado por outro site que mostre arquivos secretos como: tokens.php, sessions.php, templates /, models / configs / … etc. ???

Isso me deixou realmente preocupado agora, basta dizer que estamos fazendo um site que contenha arquivos e estruturas importantes e se alguém quisesse ver o que estamos segurando na pasta específica, existe algum tipo de maneira de impedir que isso seja exibido nesse site ou qualquer outro site que faça essa operação?

Eu sei que você pode fazer isso por .htaccess, mas você poderia me mostrar um exemplo para impedir a varredura em várias pastas?

A opção principal é Indexes você pode desligá-lo no seu .htaccess com

 Options -Indexes 

A segunda opção está bloqueando Deny

 Order Deny,Allow Deny from All 

Digamos que você tenha uma pasta chamada inc que contenha alguns arquivos que você não quer acessíveis através de um URL, mas você quer que seus outros scripts PHP possam incluí-los. Você joga essa regra em um arquivo .htaccess na sua pasta inc .

Aqui está um link para um ótimo recurso nas regras .htaccess https://github.com/phanan/htaccess

Uma abordagem comum é colocar arquivos que não são acessados ​​diretamente abaixo da raiz da web, portanto, eles são inacessíveis da web.

Por exemplo, se você tiver sua raiz da web em var/www/html , coloque seu código fonte fora do html e será impossível carregar na internet. Isso, no entanto, exige que você use algum tipo de carregamento / exigindo os arquivos em sua estrutura, mas isso é bastante comum nos dias de hoje. Veja PSR-4: Autoloading .

A ferramenta com a qual você vinculou não possui uma maneira “mágica” de encontrar arquivos, pois o bloqueio / esconder arquivos com o Apache é absoluto, veja esta resposta para mais detalhes .htaccess. A ferramenta simplesmente tenta uma série de palavras e nomes comuns de arquivos e verifica uma resposta 200 válida. A menos que você mova seus arquivos fora da raiz da web, isso seria impossível de se defender.

Como você está dizendo, isso é possível negar o access a diretórios e arquivos com .htaccess, e também desativar a listview de arquivos, no entanto, você deve notar que as configurações .htaccess são herdadas do diretório para o diretório, o que significa que se você bloquear todo o access no diretório nível de raiz, isso será aplicado a cada arquivo e diretório que contém.