Вряд ли многие пользователи Вордпресса пользуются гитом. Скорее, это актуально для разработчиков тем и плагинов. Тем не менее, сайты с беззащитной директорией .git
в корне не такая уж редкость. Я сказал «беззащитной» вместо незащищённой? Верно. Потому что обращение к /.git
может отдавать 403 ошибку (вроде как защищено), но файл /.git/HEAD
при этом вполне доступен, и это даёт возможность постепенно достать всё, что есть в этой директории. А там может быть не мало, включая пароли и ключи доступа к… чему угодно.
По идее, доступ можно закрыть средствами сервера, но самое лучшее — правильная организация проекта, когда .git
лежит не в корне сайта, а уровнем выше.
Оригинал: VK.com