Du kannst die index.php auch als 404er Seite definieren, solltest dann abe, z.B. mit wget -d oder den Entwicklertools Deines Browsers sehr(!) genau(!) prüfen, was für header Du sendest. onst kann es sein, dass Du beim nächsten Mal fragst wieso Google Deine Webseiten nicht finden mag.
In der Serverkonfiguration:
ErrorDocument 404 /index.php
Ansonsten bin ich bei Gunnar: "Alles abschalten" ist vage und falsch, weil man durch die dann notwendigen Maßnahmen noch sehr viel schlimmere Sicherheitslöcher öffnen kann.
Jörg Reinholz