Введение
Если у вас есть сайт на CMS или собственный форум, одна из первых задач — не дать злоумышленникам получить доступ к служебным файлам. Такие файлы содержат конфигурации, пароли к базе данных, логи и другие данные, которые могут раскрыть внутренние механизмы сайта и привести к компрометации. В этом посте расскажу, почему важно именно их закрывать, как проверить и что с этим делать.

Что это такое
Служебные файлы CMS — это всякие .ini, .env, config.php, .bak, файлы резервных копий, логи, скрипты обновлений, админ-панели без авторизации и прочие служебные артефакты. Например, config.php в форумах на phpBB или on-line редакторы конфигов могут по ошибке попасть в зону публичного доступа.
Если такие файлы открыты, злоумышленник без труда увидит пароль от базы, секретные ключи, структуру файлов и многое другое.

Где применяется
Это актуально для любых сайтов и форумов на популярных движках — WordPress, Drupal, Joomla, phpBB, SMF и других.