Il index.php nella directory template protegge solo se qualcuno entra nella radice di una particolare directory. Tuttavia, se si conosce il nome esatto del file che stanno cercando, è molto probabile che il contenuto del file di output sarà nel browser. In particolare per Smarty i file tpl.
Ho solo pensato a questo perché ho visto che qualcuno aveva trovato il mio sito web utilizzando la frase "Powered by WHMCS" insieme al fatto che sembra che molti stanno utilizzando il Smarty tag {php} (non raccomandato da Smarty autori btw) che potrebbe includere informazioni sensibili.
In ogni caso la soluzione è semplice, ecco il modo rapido se si utilizza un server apache con. Htaccess abilitato.
Metti questo nel vostro file. Htaccess nella directory principale del tuo sito web.
<Files ~ "\.tpl$"> Order allow, deny Deny from all </ Files>