общий хостинг
3 статей с этим тегом
Оставили файл с секретом в публичной директории? Проверьте свой webroot
Всё, что в вашем webroot, любой может скачать по URL. Забытый JSON с токеном/учётными данными, .env или резервная копия означают мгновенную утечку — и если он пришёл из общего шаблона, дыра одна и та же у каждого сайта. Исправление: кладите в публичную директорию только то, чем можно публично делиться, держите секреты вне webroot с правами 600, а найдя один — проверьте каждый сайт и хост.
У Laravel-приложений .env был доступен всему миру — самая частая ошибка шаред-хостинга
Причина: всё приложение сидело под веб-корнем; видимым должен быть только public/. Исправление в три шага — первая помощь через .htaccess, смена ключей, реструктуризация — затем профилактика процессом.
Как держать .env вне публичного веба на общем хостинге
Настоящее исправление: тело приложения вне docroot, наружу только public/. Остановите кровотечение через .htaccess, сделайте постоянным реструктуризацией, затем самопроверка. Взгляд этого сайта: это не оплошность одного человека, а отраслево-стандартизированный плохой паттерн — чините процессом, а не бдительностью. bootstrap-redirect лучше симлинка.