Isso é segurança pela obscuridade. Em uma configuração sane com permissões adequadas , um hacker nem sequer estava em seu sistema de arquivos. Se ele e seu sistema estivessem comprometidos, ele poderia dar uma olhada nos arquivos de configuração do seu servidor web.
Bons fundamentos são sempre bons - há uma razão pela qual os servidores da web são executados como usuários específicos (www-data), você deve sempre desabilitar o acesso root ssh (e tentar trabalhar como usuário regular com uso mínimo de sudo), dar arquivos as configurações mínimas de permissão necessárias e assim por diante.
Colocar arquivos fora do padrão / var / www parece-me uma carga de culto. Há muitas razões para fazer as coisas de outras maneiras (algumas distros usam / srv / www eu acho), e às vezes ter uma pasta separada por webapp é uma boa idéia para manutenção. Às vezes, tenho aplicativos que executam seus próprios servidores, por exemplo, e esses não pertencem a / var / www - dizem algo que executa o django em seu próprio diretório, mas isso é principalmente para manutenção e faz com que meu dosen principal do servidor web ' Não preciso ver esses arquivos
Eu pedia ao desenvolvedor para explicar por que isso é assim mesmo, só para rir.