Перейти к содержимому

Сервис обмена электронных валют


Вопрос по безопасности сайта

#1 Evgenius

Evgenius
  • Пользователь
  • 18 сообщений
  • Репутация: 1
0

Отправлено 21 Февраль 2013 - 16:28

Появился такой вопрос. Вот, к примеру, я сделал на сервере директорию /admin, в ней будут файлы админки, папка закрыта паролем с помощью .htaccess. Если не знать куда заходить, то в админку не зайдешь.
А теперь нужно в файле robots.txt сделать запрет на индексирование страниц папки admin. Но если потом в строке браузера набрать www.sitename.ru/robots.txt, то вот она, папка для входа в админку, у всех на виду.

Ну т.е. название папки админки вроде как лучше не показывать никому, но в файле robots.txt указать надо, в тоже время этот файл закрывать на чтение нельзя, иначе и роботы не прочитают его...
Или, раз стоит пароль на папку админки через .htaccess, имя папки особо прятать не надо и это у меня просто белочка начинается? :)
Как правильно сделать с точки зрения безопасности?

P.S. на одном сайте (не знаю, можно ли указывать ссылки... не буду) прочитал такую рекомендацию. Сделать папку, к примеру, secretzone, в ней запретить доступ на получение списка папок и файлов, и уже там делать папку для админки. Тогда в robots.txt не будет явно указан прямой путь к папке админки, а только к родительской папке.
Или это лишнее нагромождение и не стоит заморачиваться?

 

 

  • 0

#2 Sosnovskij

Sosnovskij
  • Администратор
  • 3 886 сообщений
  • Репутация: 566

Отправлено 21 Февраль 2013 - 18:52

Если обычный пользователь не имеет доступа к папке админки, то и поисковый робот не будет иметь. Ее прописывать в robots.txt не обязательно в таком случае.
  • 0

Не стесняйтесь ставить оценки темам :) Правила форума. Мой блог http://sosnovskij.ru/.



#3 Evgenius

Evgenius
    Topic Starter
  • Пользователь
  • 18 сообщений
  • Репутация: 1

Отправлено 21 Февраль 2013 - 20:38

Да, внутри этой папки файлы и вложенные папки он не проиндексирует. А саму эту папку он же увидит, просто название? Или раз ее внутренность закрыта паролем, то и индексировать робот ее не будет?
  • 0

#4 Sosnovskij

Sosnovskij
  • Администратор
  • 3 886 сообщений
  • Репутация: 566

Отправлено 21 Февраль 2013 - 20:49

Evgenius, по сути папка - это же не веб-документ. Даже если он как-то ее и увидит, то ничего в индекс не возьмет.
  • 0

Не стесняйтесь ставить оценки темам :) Правила форума. Мой блог http://sosnovskij.ru/.



#5 inSafety

inSafety
  • Пользователь
  • 2 сообщений
  • Репутация: 0

Отправлено 14 Март 2013 - 11:27

Для поисковиков достаточно запретить индексацию в robots.txt. Если стоит вопрос о безопасности сайта, то от нормального хакера спрятать что либо крайне сложно. Сайты взламывают через уязвимости. Очень часто для захвата сайта админка вообще не нужна. Достаточно возможности проведения инъекции в код или БД сайта. Про уязвимости сервера и его ПО также не следует забывать.
  • 0

#6 Evgenius

Evgenius
    Topic Starter
  • Пользователь
  • 18 сообщений
  • Репутация: 1

Отправлено 15 Март 2013 - 20:00

Сайты взламывают через уязвимости.


Сайт будет без регистрации пользователей. В коде страниц подключение к БД берется из файла, который лежит "выше" папки сервера. Все скрипты, которые работают с БД, только читают из нее (в клиентской части сайта). Сайт с одной точкой входа через .htaccess, запрос в строке браузера обрабатывается так:
$query_string = str_replace("router=","",trim($_SERVER['QUERY_STRING']));
$query_string = urldecode($query_string);
$query_params = explode("/",$query_string);
foreach ($query_params as $query_param)
   if ($query_param != "")
	  $params[] = mysql_real_escape_string($query_param);

Админка будет расположена в папке, которая закрыта с помощью .htaccess. Т.е. для доступа достаточно будет ввести логин/пароль от этой папки (в этом случае, я так понимаю, защита обеспечивается хостером?)

Все файлы скриптов содержат защиту от прямого вызова.

вроде ничего не забыл...

Какие есть пути взлома такого сайта? Ну всмысле насколько он будет устойчив? Сомневаюсь, что нормальные хакеры заинтересуются нашим сайтом, такой защиты не нужно... да и нет ее наверно.
  • 0

#7 inSafety

inSafety
  • Пользователь
  • 2 сообщений
  • Репутация: 0

Отправлено 16 Март 2013 - 21:00

SQL инъекция пройти не должна.
Маленькое дополнение: когда директива конфигурации magic_quotes_gpc включена, то сначала данные следует обработать функцией stripslashes().
Если с сервером все ОК, то взлом маловероятен.
Взломать сайт могут, только украв учетные данные, заслав что-то на Ваш ПК.
  • 0


Оформление форума – IPBSkins.ru