Перейти к содержимому


Пользователь месяца
Андрей WPMasterKZ Андрей WPMasterKZ 1-й за Ноябрь
Очков активности: 888 1 тема, 71 сообщение, 8 баллов репутации
Сайт: wpmaster.kz
ТОП самых активных за этот месяц
  • Фотография OlgaGetman
    #1

    OlgaGetman
    Очков активности: 400.5 4 темы, 77 сообщений, 3 балла репутации

  • Фотография Mandarin
    #2

    Mandarin
    Очков активности: 225 3 темы, 66 сообщений, 2 балла репутации

  • Фотография BLIK
    #3

    BLIK
    Очков активности: 102 0 тем, 17 сообщений, 4 балла репутации

  • Фотография Андрей WPMasterKZ
    #4

    Андрей WPMasterKZ (wpmaster.kz)
    Очков активности: 81 Вне конкурса за определение пользователя месяца

  • Фотография TimurR
    #5

    TimurR
    Очков активности: 63 Вне конкурса за определение пользователя месяца

  • Фотография Rodiola
    #6

    Rodiola
    Очков активности: 39 1 тема, 10 сообщений, 2 балла репутации

  • Фотография thisismyname
    #7

    thisismyname
    Очков активности: 27 4 темы, 6 сообщений, 1 балл репутации

  • Фотография WGN
    #8

    WGN (worldgamenews.com)
    Очков активности: 24 Вне конкурса за определение пользователя месяца

  • Фотография m3Re
    #9

    m3Re
    Очков активности: 22.5 2 темы, 9 сообщений, 1 балл репутации

  • Фотография pozitron123
    #10

    pozitron123
    Очков активности: 22.5 2 темы, 9 сообщений, 1 балл репутации

  • Показать весь ТОП 10
Поддержите форум! =)
Апдейты
  • Яндекс ИКС: 29.11.2018
  • Яндекс выдача: 09.12.2018
Топ 5 участников по репутации


Вопрос по безопасности сайта

#1 Evgenius

Evgenius
  • Неактивные
  • 18 сообщений
  • Репутация: 1
0

Отправлено 21 February 2013 - 16:28

Появился такой вопрос. Вот, к примеру, я сделал на сервере директорию /admin, в ней будут файлы админки, папка закрыта паролем с помощью .htaccess. Если не знать куда заходить, то в админку не зайдешь.
А теперь нужно в файле robots.txt сделать запрет на индексирование страниц папки admin. Но если потом в строке браузера набрать www.sitename.ru/robots.txt, то вот она, папка для входа в админку, у всех на виду.

Ну т.е. название папки админки вроде как лучше не показывать никому, но в файле robots.txt указать надо, в тоже время этот файл закрывать на чтение нельзя, иначе и роботы не прочитают его...
Или, раз стоит пароль на папку админки через .htaccess, имя папки особо прятать не надо и это у меня просто белочка начинается? :)
Как правильно сделать с точки зрения безопасности?

P.S. на одном сайте (не знаю, можно ли указывать ссылки... не буду) прочитал такую рекомендацию. Сделать папку, к примеру, secretzone, в ней запретить доступ на получение списка папок и файлов, и уже там делать папку для админки. Тогда в robots.txt не будет явно указан прямой путь к папке админки, а только к родительской папке.
Или это лишнее нагромождение и не стоит заморачиваться?

 

 

  • 0

#2 Sosnovskij

Sosnovskij
  • Администратор
  • 4811 сообщений
  • Репутация: 721

Отправлено 21 February 2013 - 18:52

Если обычный пользователь не имеет доступа к папке админки, то и поисковый робот не будет иметь. Ее прописывать в robots.txt не обязательно в таком случае.
  • 0

:excl: Требуется ЛинкБилдер (создание ссылочной массы, 1200-1600 руб в сутки). Блог — https://sosnovskij.ru/.



#3 Evgenius

Evgenius
    Topic Starter
  • Неактивные
  • 18 сообщений
  • Репутация: 1

Отправлено 21 February 2013 - 20:38

Да, внутри этой папки файлы и вложенные папки он не проиндексирует. А саму эту папку он же увидит, просто название? Или раз ее внутренность закрыта паролем, то и индексировать робот ее не будет?
  • 0

#4 Sosnovskij

Sosnovskij
  • Администратор
  • 4811 сообщений
  • Репутация: 721

Отправлено 21 February 2013 - 20:49

Evgenius, по сути папка - это же не веб-документ. Даже если он как-то ее и увидит, то ничего в индекс не возьмет.
  • 0

:excl: Требуется ЛинкБилдер (создание ссылочной массы, 1200-1600 руб в сутки). Блог — https://sosnovskij.ru/.



#5 inSafety

inSafety
  • Неактивные
  • 2 сообщений
  • Репутация: 0

Отправлено 14 March 2013 - 11:27

Для поисковиков достаточно запретить индексацию в robots.txt. Если стоит вопрос о безопасности сайта, то от нормального хакера спрятать что либо крайне сложно. Сайты взламывают через уязвимости. Очень часто для захвата сайта админка вообще не нужна. Достаточно возможности проведения инъекции в код или БД сайта. Про уязвимости сервера и его ПО также не следует забывать.
  • 0

#6 Evgenius

Evgenius
    Topic Starter
  • Неактивные
  • 18 сообщений
  • Репутация: 1

Отправлено 15 March 2013 - 20:00

Сайты взламывают через уязвимости.


Сайт будет без регистрации пользователей. В коде страниц подключение к БД берется из файла, который лежит "выше" папки сервера. Все скрипты, которые работают с БД, только читают из нее (в клиентской части сайта). Сайт с одной точкой входа через .htaccess, запрос в строке браузера обрабатывается так:
$query_string = str_replace("router=","",trim($_SERVER['QUERY_STRING']));
$query_string = urldecode($query_string);
$query_params = explode("/",$query_string);
foreach ($query_params as $query_param)
   if ($query_param != "")
	  $params[] = mysql_real_escape_string($query_param);

Админка будет расположена в папке, которая закрыта с помощью .htaccess. Т.е. для доступа достаточно будет ввести логин/пароль от этой папки (в этом случае, я так понимаю, защита обеспечивается хостером?)

Все файлы скриптов содержат защиту от прямого вызова.

вроде ничего не забыл...

Какие есть пути взлома такого сайта? Ну всмысле насколько он будет устойчив? Сомневаюсь, что нормальные хакеры заинтересуются нашим сайтом, такой защиты не нужно... да и нет ее наверно.
  • 0

#7 inSafety

inSafety
  • Неактивные
  • 2 сообщений
  • Репутация: 0

Отправлено 16 March 2013 - 21:00

SQL инъекция пройти не должна.
Маленькое дополнение: когда директива конфигурации magic_quotes_gpc включена, то сначала данные следует обработать функцией stripslashes().
Если с сервером все ОК, то взлом маловероятен.
Взломать сайт могут, только украв учетные данные, заслав что-то на Ваш ПК.
  • 0



Похожие темы

  Название темы Автор Статистика Последнее сообщение

Оформление форума – IPBSkins.ru