Các trang quản trị Wordpress được lập chỉ mục là một mối đe dọa bảo mật?

7

Vì nó đã chặn Googlebot truy cập các tệp quan trọng, gần đây tôi đã cập nhật /robots.txttệp của chúng tôi và xóa hầu hết tệp, bao gồm cảwp-admin .

Bây giờ, những người phụ trách lưu trữ và công cụ SEO đã gửi cho tôi một cảnh báo email rằng một số trang quản trị được Google lập chỉ mục và tôi phải không cho phép wp-admin. Vì lý do bảo mật.

Nhưng tôi không hiểu, tại sao đây là vấn đề bảo mật? Không phải kẻ tấn công tiềm năng đã biết về các tệp như vậy vì Wordpress khá phổ biến và chuẩn?

google  wordpress  security  robots.txt  googlebot 
sudo - làm-nó
nguồn
3
Bất cứ điều gì mà người dùng không cần truy cập nên được coi là mối đe dọa bảo mật.
Simon Hayter
1
@SimonHayter Đừng quên bản thân người dùng ... họ là mối đe dọa bảo mật lớn nhất trong tất cả.
HoplessN00b

Câu trả lời:

5

Nếu tôi đang chạy wordpress, thì tôi sẽ không chặn bất cứ thứ gì với robot.txt, vì nó ngăn Google thu thập dữ liệu, không phải để lập chỉ mục . Chỉ cần tìm kiếm trên Google "Google Analytics Web" và bạn sẽ thấy liên kết bị chặn trong tệp robots.txt, nhưng vẫn tồn tại trong kết quả tìm kiếm.

Và theo mặc định, các tệp Tài sản như css, js và hình ảnh được lưu trữ trong thư mục wp-admin, do đó sẽ gây ra lỗi hiển thị chính xác cho Google spider .

Và, có rất nhiều Google dork để tìm ra các trang wp-admin số lượng lớn trong kết quả tìm kiếm của Google và trang web của bạn sẽ hiển thị nếu bạn chỉ sử dụng robot.txt để ngăn chặn.

Tôi đề nghị chỉ sử dụng thẻ meta noindex trong wp-admin.

Và ở đây, nhiều người nói về bảo mật, nhưng Google không thể thu thập thư mục được bảo vệ bằng mật khẩu.

Lưu ý thêm: Không sử dụng cả hai. Ý tôi là nếu bạn chặn thư mục wp-admin trong robot.txt, thì Google sẽ không bao giờ biết, bạn đã đặt thẻ meta noindex trong wp-admin, vì trước tiên họ theo dõi tệp robots.txt sau đó là thẻ meta trên trang web.

Goyllo
nguồn
9

Khi một lỗi mới được tìm thấy, trong trường hợp này trong wordpress, điều đầu tiên tin tặc sẽ làm là cố gắng tìm các trang web dễ bị tổn thương sử dụng wordpress. Một cách tốt để làm điều đó là cố gắng tìm các trang wp-admin trên google. Thậm chí có thể sẽ sử dụng các công cụ tự động để tìm và khai thác các trang web dựa trên điều đó.

Tránh đó sẽ là lý do bảo mật chính để làm điều đó. Nếu bạn không có dấu hiệu công khai rằng bạn đang sử dụng Wordpress (hoặc ít nhất không phải là những thứ phổ biến nhất như thế này), bạn sẽ ít có khả năng được chọn ngẫu nhiên làm mục tiêu cho một cuộc tấn công.

CristianTM
nguồn
Google không hiển thị trang wp-admin trừ khi một số trang web liên kết đến đó. Tôi có hàng ngàn thư mục trong máy chủ của mình và chưa có chỉ mục nào, vì tôi chưa đề cập đến thư mục đó trên sơ đồ trang web hoặc bất cứ nơi nào trong trang web của tôi. Google không thu thập dữ liệu một cách mù quáng, họ theo liên kết, sơ đồ trang web và các trang cũ.
Goyllo
Tôi đoán anh ấy đã hoặc có một liên kết vì anh ấy nói rằng trang này đã có trên google index. Nhiều trang web có liên kết trên trang chính đến khu vực quản trị.
CristianTM
8

Vấn đề an ninh? Nghi ngờ điều đó. Nó chỉ làm cho trang web của bạn hiển thị rõ hơn đối với những người thích tấn công các trang web wordpress. Khác với khả năng hiển thị, mọi thứ đều giống nhau, bảo mật thông qua che khuất không phải là thứ bạn nên dựa vào.

Vô ích? Chắc chắn rồi. Không có lý do để cho phép lập chỉ mục đăng nhập quản trị viên của bạn trong trang web của bạn. Bạn không muốn người dùng của bạn tìm thấy một liên kết đến quản trị viên của bạn khi họ thực sự đang tìm kiếm nội dung của bạn. Người duy nhất nên quan tâm đó là quản trị viên trang web.

cvv7788
nguồn
Trên thực tế đây không phải là bảo mật điển hình của trường hợp tối nghĩa. Bạn có một lý do chính đáng để làm điều đó: tránh trở thành mục tiêu, đó có thể là biện pháp phòng thủ cuối cùng của bạn trong trường hợp các cuộc tấn công nằm ngoài tầm kiểm soát của bạn dưới dạng khai thác 0day.
CristianTM
Bạn sẽ không tránh khỏi mục tiêu bằng cách ẩn trang quản trị của mình khỏi các công cụ tìm kiếm. Có thể trì hoãn nó trong một vài phút nhưng không có gì hơn thế. Bạn có thể sẽ được tìm thấy sớm hơn bởi một số tập lệnh tự động chạy xung quanh từ trang này sang trang khác so với một số công cụ tìm kiếm (trong trường hợp ai đó đang tìm kiếm các trang web để khai thác).
cvv7788 14/2/2016
Đi từ trang web báo chí được biết đến trang web trông dễ dàng hơn nhiều so với việc đi từ mỗi trang web được lập chỉ mục duy nhất đến trang web một cách ngẫu nhiên, bạn có nghĩ vậy không? ;) đó là lý do tại sao không chỉ cho điều đó, mà thông thường, đó là một cách tốt để ẩn "dấu vân tay" (id phần mềm, phiên bản, v.v.) khỏi bất kỳ trang web nào.
CristianTM
Thực hành tốt là một điều tốt, quá tệ mà không nhiều người tuân theo điều đó (đặc biệt trong lĩnh vực wordpress). Ngoài ra, các tập lệnh có nghĩa là chạy xung quanh việc kiểm tra trang này đến trang khác, thông thường mà không có bất kỳ đầu vào nào từ một số công cụ tìm kiếm. Bạn sẽ ngạc nhiên bởi số lượng các trang web wordpress mà bạn có thể tìm thấy trong 15 phút. Trừ khi có một số lợi ích cụ thể trên trang web của tôi, tôi sẽ không được đối xử đặc biệt và bị tấn công một mình :(
cvv7788 14/2/2016
7

Google không muốn lập chỉ mục các trang không có nội dung bao gồm các trang quản trị và các trang yêu cầu bạn đăng nhập. Đưa wp-adminvào tệp robots.txt sẽ tốt hơn cho SEO vì nó thường sẽ ngăn trang bị lập chỉ mục.

Có thể kẻ tấn công sẽ làm Google cho tất cả các trang web có wp-admintrong URL. Giữ trang đó trên trang web của bạn ra khỏi kết quả tìm kiếm của Google sẽ khiến kẻ tấn công tìm thấy trang web của bạn ít có khả năng hơn.

Stephen Ostermiller
nguồn
Đồng ý 100%, Google không thể thu thập thư mục được bảo vệ bằng mật khẩu.
Goyllo
1

wp-admintrên wordpress là mục nhập trực tiếp vào bảng quản trị của bạn. Đó là lý do tại sao google muốn bạn không cho phép nó. Và ... trong trường hợp này, hãy nghe google và srsly, không cho phép nó. Đó là thực hành tốt :)

Josip Ivic
nguồn
3
Nhưng, mọi người đều biết rằng wp-admin là mục nhập trực tiếp vào hầu hết (nếu không phải tất cả) các trang Wordpress. Có một hacker cần phải google nó? Tôi không nghĩ vậy. Do đó câu hỏi của tôi. Tại sao việc lập chỉ mục thư mục nổi tiếng sẽ là mối đe dọa trong chính nó?
sudo --do-it 12/2/2016
@ sudo - do-it Nó giúp cho hacker rất dễ dàng biết rằng có một lỗ hổng tiềm năng trên trang web của bạn. WP là phần mềm bị hack nhiều nhất từ ​​trước đến nay. Không phải là WP tệ, nó chỉ là rất nhiều mã bao gồm các chủ đề và trình cắm thường có thể dễ bị tổn thương do thực tiễn mã hóa kém hoặc sai lầm. Vì thực tế, bạn nên hạn chế quyền truy cập vào các trang quản trị của mình càng nhiều càng tốt và không để nó cho cả thế giới xem nếu có thể. Tin tặc thử các thư mục quản trị WP khác nhau để xem trang này có phải là trang WP không và sau đó bắt đầu hack. Chúc mừng !!
Closnoc
@closetnoc "tin tặc thử các thư mục quản trị WP khác nhau" - Không phải đó chính xác là lý do tại sao việc wp-admin có được lập chỉ mục bởi Google không? Một hacker không cần phải xem trang quản trị để biết rằng bạn đã cài đặt Wordpress và sau đó họ có thể thử bất kỳ đường dẫn thư mục WP tiêu chuẩn nào trên trang web của bạn.
nhận dạng
@recognizer Đó là một cái bẫy 22 ... ;-) nhưng nếu khóa cửa của bạn không hoạt động, bạn không đặt một dấu hiệu trên cửa cho biết như vậy. Dù bằng cách nào, nó không nên được lập chỉ mục. Vì lý do bảo mật, bạn muốn ẩn thư mục quản trị càng nhiều càng tốt. Nói chung, WP thất bại một trong những bảo mật đầu tiên và mạnh nhất của tôi Không Không - không thể thay đổi thư mục quản trị.
Closnoc
@recognizer loại kẻ tấn công phổ biến nhất không biết đến trang web của bạn ngay từ đầu, ít hơn nhiều so với những gì nó đang chạy. Nếu trang quản trị của bạn được lập chỉ mục, thì bạn dễ bị tấn công tự động nhắm mục tiêu tất cả các trang web wordpress hiển thị công khai dựa trên chỉ mục đó.
Peteris
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.