Em subreddit do reddit.com, /r/php, um usuário noticiou que o Google está indexando os arquivos do Composer do PHP que estão na raiz de aplicativos PHP.
Estes arquivos (composer.json e composer.lock) podem fornecer informações detalhas sobre quais pacotes e bibliotecas uma aplicação faz uso.
Nesta mesma linha de falta de segurança, é bom lembrarmos aos nossos leitores para tomarem o mesmo cuidado com arquivos dentro do diretório .git/ quando o mesmo está na raiz do sistema. Isto possibilitaria a um pessoa via webserver ter acesso a dados valiosos, incluindo o código fonte da aplicação.
Para solucionar este problema é recomendando que estes arquivos não estejam na raiz e sim em um diretório preferencialmente abaixo, fora alcance de leitura do webserver. Outra forma é utilizar uma configuração que não permita acesso a estes arquivos ou diretório. Esta última forma não é tão recomendada, pois é vulnerável a alguma alteração no arquivo de configuração ou até mesmo mudança dos diretórios e arquivos, o que poderá ocasionar uma falta de proteção dos arquivos com maior facilidade do que simplesmente os remover da raiz ou de qualquer subdiretório acessível pelo webserver.
No apache, é possível utilizar o .htaccess para fazer o bloqueio, caso prefira a opção de bloqueio via configuração.
Abaixo uma demonstração de como verificar via Google o problema:
Busque por: site:www.*.*/composer.lock
Debate em inglês no Reddit