bez BruteForce wejść do katalogu, jeżeli nie będzie zgadywać sam?
Tak, jeśli będzie miał wystarczająco czasu i ochoty, to może się dobijać na wszelkie możliwe kombinacje, aż w końcu zgadnie. Pytanie - czemu miałby to robić? Stron w necie są miliardy, więc nierealne jest, żeby automat przeskanował wszystkie możliwości na wszystkich serwerach/domenach.
Jak koledzy pisali - jeśli masz wyłączone listowanie zawartości katalogów (w przypadku Apache - https://tecadmin.net/disable-directory-listing-apache/) to nikt tego nie zobaczy.
ALE nie traktuj tego jako zabezpieczenia trzymanych tam danych. Bo wystarczy że gdzieś jakiś link się wymknie i będzie problem. Jeden z userów 4P parę miesięcy temu miał podobną wpadkę - miał swoją stronę, ale jak się wpisało na Google site: stronaTegoGoscia.pl
to w wynikach było wiele linków do "ukrytych" katalogów. A w nich jakieś jego prywatne osobiste listy, zdjęcia pism wysyłanych do sądów, listy do dziewczyny i inne dość intymne sprawy. Nie polecam.