Как защитить composer.json и /vendor в production-среде?

Допустим, вам проект находится в c:\inetpub\site1.ru. На примере cakephp структура папок проекта выглядит следующим образом

\config
\src
 --\controller
 --\template
\tmp
\vendor
\webroot        -- папка, которая должна играть роль корня сайта
 --\css
 --\img
 --\js
 --\index.php
\composer.json
\index.php
\web.config    -- конфиг для IIS

в терминах апача у вашего сайта долженбыть указан document root, папка которая собственна и видна снаружи. Все http-запросы приходят сюда, а вот код, может иметь доступ и к папкам верхнего уровня. Фактически в IIS такой настройки и и нет и корнем является сама папка проекта. Но! index.php (в папке сайта) в данном случае имеет одну строку кода

require 'webroot' . DIRECTORY_SEPARATOR . 'index.php';

а webconfig должен настроить перенаправление всего, что приходит, в webroot. Правила описываются в разделе

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>

Далее сначала мы игнорируем прямые запросы к site.ru/webroot

<rule name="Exclude direct access to webroot/*" stopProcessing="true">
    <match url="^webroot/(.*)$" ignoreCase="false" />
    <action type="None" />
</rule>             

Далее мы рарзрешаем доступ ко вложенным директориям и некоторым файлам, например css, js и т.п.

 <rule name="Rewrite routed access to assets(img, css, files, js, favicon)" stopProcessing="true">
     <match url="^(img|css|js|fonts|favicon.ico|favicon.png|robots.txt)(.*)$" />
     <action type="Rewrite" url="webroot/{R:1}{R:2}" appendQueryString="false" />
 </rule>                

а все остальные запросы мы перенаправляем в index.php (что в целом справедливо для любого фреймворка)

 <rule name="Rewrite requested file/folder to index.php" stopProcessing="true">
       <match url="^(.*)$" ignoreCase="false" />
       <action type="Rewrite" url="index.php" appendQueryString="true" />
 </rule>

таким образом клиент может обратиться только к содержимому папки webroot, и не видит ни composer.json ни vendor и ничего иного, чего ему не положено видеть.

в общем говоря, если вы используете какой-либо фреймворк, то ознакомьтесь с инструкциями по его разворачиванию на IIS, примеры конфигураций должны быть в документации. А если не используете, то возьмите подход, описанный в каком-либо фреймворке и следуйте ему в своем проекте.

Серверному коду в document_root вебсервера вовсе нечего делать. В document_root должен быть index.php. И всё, всё остальное здесь не нужно и размещается где-то уровнем выше.

laravel

After installing Laravel, you should configure your web server's document / web root to be the public directory. The index.php in this directory serves as the front controller for all HTTP requests entering your application.

Yii

By setting basic/web as the document root, you also prevent end users from accessing your private application code and sensitive data files that are stored in the sibling directories of basic/web. Denying access to those other folders is a security improvement.

symfony

The public directory is the home of all of your application's public and static files, including images, stylesheets and JavaScript files. It is also where the front controller (index.php) lives.

The public directory serves as the document root when configuring your web server. In the examples below, the public/ directory will be the document root. This directory is /var/www/project/public/.

Что там ещё из популярного? Уверен что найдёте в документации всё то же самое: document_root вашего веб-сервера должен смотреть куда-то внутрь проекта, но не в корень. Следовательно, вас вовсе никак не волнует что кто-то попытается загрузить что-то. Пусть пытается, для веб-сервера существуют файлы в document_root, где лежит только то что вы сами решили публиковать.

Иначе говоря, нормальная структура проекта:

.
.git/
.gitignore
/vendor/
/public/
/public/index.php
composer.json
composer.lock

Веб-сервер смотрит строго в public.