El sitio web de mi empresa solo toma copias de la carpeta html pública y guarda los archivos zip como copia de seguridad en la misma carpeta. Quiero saber si esto es seguro o no. Porque otras personas no saben el nombre del archivo zip. ¿Hay alguna forma de que un malvado pueda forzar el nombre del archivo zip y descargarlo?
Depende de lo que contenga el archivo. Si cada archivo en el directorio public_html es un archivo destinado a la difusión pública, en su contenido original de texto sin formato, entonces sí, por todos los medios. Pero para cualquier sitio web que ejecute un CMS o similar, probablemente haya archivos que contienen información que no desea que se distribuya, como información de configuración para una base de datos en un sitio web de WordPress o Drupal. Sería una tontería confiar solo en un nombre de archivo poco probable para mantener sus datos seguros.
Algunos servicios de copia de seguridad mantendrán los archivos .zip en un directorio público, pero usar algún tipo de protección dentro de .htaccess (denegar de todos) para evitar que se acceda a ellos. Esto es mejor que nada, pero aún es insuficiente, porque un cambio menor en la configuración del servidor (cambiar la configuración de AllowOverride) haría que el archivo .htaccess sea impotente para controlar el acceso al directorio, y los archivos .zip serían accesibles. >
Mi recomendación: mantenga los archivos ZIP fuera del webroot público, conserve los permisos 600 para estos archivos y agregue un archivo .htaccess con una directiva "denegar de todos" en la carpeta como a prueba de fallas.
Lea otras preguntas en las etiquetas web-application network webserver internet websites