TL;DR
とりえあずロリポップ FTP で管理される領域のルートに次の .htaccess を配置しましょう。この様なアクセス制御を配置しない場合、意図しないファイがル公開されてしまい情報漏洩につながります。
deny from all
本文
とある業務の引継ぎ的案件で携わり、けっこうな脆弱性を生んでいたので紹介です。
ロリポップ!レンタルサーバー|ドメイン無料、WordPress満足度No.1
ロリポップはレンタルサーバーサービスの一つであり、多くのユーザーを獲得している便利なサービスです。ロリポップにはファイルを公開状態で配置する FTP 機能があります。この機能上で管理される領域にファイルやディレクトリを配置するとロリポップ内の他サービスと連携でき、様々な自前のサービスを展開できます。
例えば次の様にサブドメインと任意のドキュメントルートを用いることによって、Laravel のようなドキュメントルートがルート以外にあることを想定したフレームワークなども自然に動かせます。
問題となるのはサブドメインを設定しても生きている大元のドメインです。こちらは FTP で管理される領域のルートをドキュメントルートとして全世界に公開されます。もし、この大元に気づかず、サブドメインだけを運用するつもりでいると本来公開されることを意図していない .env 等の認証情報ファイルなどを公開してしまいます。この公開URLは次の緑丸の様にロリポップのFTPサービスの管理画面から確認できます。
この公開を防ぐには次の様な .htaccess をロリポップFTP管理領域の直下に配置するのが有効です。ロリポップのHTTPサーバーは
Apache が使われています。
サーバーの仕様 / サービス – ロリポップ!レンタルサーバー
deny from all
この設定を用いるとどこにアクセスしても 403 が返り、ファイルは非公開となります。
