当他们不知道它在那里并且只有域名时，他们不太可能在没有猜测的情况下找到它。但猜测并不少见。当你把一个网络服务器放到网上时，很快你就会有机器人通过对各种可能有趣的文件的请求来探测它的漏洞。

您正在做的事情非常不安全，因为它通过默默无闻来依赖安全性。它相当于将房子的钥匙存放在门垫下。如果有人怀疑它在那里，没有什么可以阻止他们访问它。存在可能会以各种方式泄漏，例如因为您在没有 https 的情况下从不安全的网络访问它（您确实设置了 https，对吗？）。

当您真的想保护该脚本的内容和功能免受未经授权的访问时，请使用.htaccess使用密码保护它。它不像 html 登录页面那么漂亮，但设置起来非常简单。

如果您要从浏览器访问秘密页面，它可以将 URL 发送给 Google。然后谷歌可以将该页面添加到它的数据库中（因为你没有用 robots.txt 禁止它）。之后，任何人都可以搜索“site:yourdomain.com”并查看您的秘密页面。

当然，只要您的系统上没有运行任何易受攻击的服务，就没有技术方法可以找到该文件。不太可能有人无缘无故地搜索隐藏文件。但是，当然，您应该尽可能使用 .htaccess。

在典型情况下，攻击者会扫描已知易受攻击的 Web 应用程序，或者在使用错误密码或默认密码时允许广泛访问您的系统。这基本上适用于所有管理 Web 应用程序，例如 PHPMyAdmin。然后他们尝试利用该漏洞或使用默认或通用密码进入 web 应用程序。

如果漏洞利用/暴力破解失败或服务器已经被前一个黑客入侵并“保护”了，那么攻击者经常会使用“shell扫描仪”。Shell 扫描器是简单的脚本，用于检查您的服务器以获取给定的文件名列表。这些文件名通常是 c99 等 webshel​​l 常用的文件名。这是可能会发现您的隐藏文件的时刻。我想不出有人无缘无故开始搜索隐藏文件的任何其他情况。