WordPress tiene en algunas de sus carpetas un archivo vacío index.php para prevenir el acceso y consulta de su contenido, ¿pero es esto realmente seguro? A nivel de código se me ocurre un motivo por el que no deberíamos usar este archivo, para los que nos tomamos la seguridad de nuestros proyectos en serio no es una buena idea que se muestren rutas de nuestro sistema, por lo que si dejamos este archivo por ejemplo en /dominio/wp-content y accedemos a esta ruta vemos una página en blanco, no devuelve error, por lo que el atacante ya sabe que es un WordPress, además intentará acceder a …/themes/* o a …/plugins/* para intentar identificar plugins o temas en nuestro sistema.
La solución además de borrar estos archivos es añadir en nuesttro .htaccess lo siguiente:
#deshabilitar navegación por directorios
Options All -IndexesCon esto cualquier acceso a carpetas de nuestro sistema como themes o plugins devolverá un error 403, error que tampoco le debemos mostrar al atacante, por lo que una opción de seguridad muy buena (siempre y cuando no necesitemos depurar código) es devolver siempre un error 404 escribiendo esto en nuestro .htaccess:
# BEGIN WordPress Error Pages
ErrorDocument 401 http://dominio.com/404
ErrorDocument 403 http://dominio.com/404
ErrorDocument 404 http://dominio.com/404
ErrorDocument 500 http://dominio.com/404
# END WordPress Error Pages
Valoraciones
Sé el primero en valorar