Isso é segurança pela obscuridade. Em uma configuração sã com permissões apropriadas , um hacker nem mesmo estaria no seu sistema de arquivos. Se ele estivesse e seu sistema estivesse comprometido, ele poderia apenas dar uma olhada nos arquivos de configuração do servidor da web.
Bons fundamentos são sempre bons - há uma razão para os servidores Web serem executados como usuários específicos (www-data), você sempre deve desativar o acesso root ssh (e tentar trabalhar como um usuário comum com o uso mínimo do sudo), conceder aos arquivos a permissão mínima configurações necessárias e assim por diante.
A colagem de arquivos fora do padrão / var / www parece um problema para mim. Há muitas razões para fazer as coisas de outras maneiras (algumas distros usam / srv / www, eu acho), e às vezes ter uma pasta separada por webapp é uma boa idéia para a manutenção. Às vezes, tenho aplicativos que executam seus próprios servidores, por exemplo, e esses não pertencem a / var / www - digamos que algo que executa o django seria executado em seu próprio diretório, mas isso é principalmente para manutenção e causa a perda do servidor principal '. não precisa ver esses arquivos
Eu pediria ao desenvolvedor para explicar por que isso é assim mesmo, apenas para rir.