[X] Помощник

[Evgenius_mw Topic Starter]

Появился такой вопрос. Вот, к примеру, я сделал на сервере директорию /admin, в ней будут файлы админки, папка закрыта паролем с помощью .htaccess. Если не знать куда заходить, то в админку не зайдешь.
А теперь нужно в файле robots.txt сделать запрет на индексирование страниц папки admin. Но если потом в строке браузера набрать www.sitename.ru/robots.txt, то вот она, папка для входа в админку, у всех на виду.

Ну т.е. название папки админки вроде как лучше не показывать никому, но в файле robots.txt указать надо, в тоже время этот файл закрывать на чтение нельзя, иначе и роботы не прочитают его...
Или, раз стоит пароль на папку админки через .htaccess, имя папки особо прятать не надо и это у меня просто белочка начинается?
Как правильно сделать с точки зрения безопасности?

P.S. на одном сайте (не знаю, можно ли указывать ссылки... не буду) прочитал такую рекомендацию. Сделать папку, к примеру, secretzone, в ней запретить доступ на получение списка папок и файлов, и уже там делать папку для админки. Тогда в robots.txt не будет явно указан прямой путь к папке админки, а только к родительской папке.
Или это лишнее нагромождение и не стоит заморачиваться?

[sosnovskij]

Если обычный пользователь не имеет доступа к папке админки, то и поисковый робот не будет иметь. Ее прописывать в robots.txt не обязательно в таком случае.

[Evgenius_mw Topic Starter]

Да, внутри этой папки файлы и вложенные папки он не проиндексирует. А саму эту папку он же увидит, просто название? Или раз ее внутренность закрыта паролем, то и индексировать робот ее не будет?

[sosnovskij]

[member=Evgenius], по сути папка - это же не веб-документ. Даже если он как-то ее и увидит, то ничего в индекс не возьмет.

[inSafety]

Для поисковиков достаточно запретить индексацию в robots.txt. Если стоит вопрос о безопасности сайта, то от нормального хакера спрятать что либо крайне сложно. Сайты взламывают через уязвимости. Очень часто для захвата сайта админка вообще не нужна. Достаточно возможности проведения инъекции в код или БД сайта. Про уязвимости сервера и его ПО также не следует забывать.

[Evgenius_mw Topic Starter]

Сайты взламывают через уязвимости.

Сайт будет без регистрации пользователей. В коде страниц подключение к БД берется из файла, который лежит "выше" папки сервера. Все скрипты, которые работают с БД, только читают из нее (в клиентской части сайта). Сайт с одной точкой входа через .htaccess, запрос в строке браузера обрабатывается так:

$query_string = str_replace("router=","",trim($_SERVER['QUERY_STRING']));
$query_string = urldecode($query_string);
$query_params = explode("/",$query_string);
foreach ($query_params as $query_param)
   if ($query_param != "")
      $params[] = mysql_real_escape_string($query_param);

Админка будет расположена в папке, которая закрыта с помощью .htaccess. Т.е. для доступа достаточно будет ввести логин/пароль от этой папки (в этом случае, я так понимаю, защита обеспечивается хостером?)

Все файлы скриптов содержат защиту от прямого вызова.

вроде ничего не забыл...

Какие есть пути взлома такого сайта? Ну всмысле насколько он будет устойчив? Сомневаюсь, что нормальные хакеры заинтересуются нашим сайтом, такой защиты не нужно... да и нет ее наверно.

[inSafety]

SQL инъекция пройти не должна.
Маленькое дополнение: когда директива конфигурации magic_quotes_gpc включена, то сначала данные следует обработать функцией stripslashes().
Если с сервером все ОК, то взлом маловероятен.
Взломать сайт могут, только украв учетные данные, заслав что-то на Ваш ПК.

Замечание модератора: Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней. Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой или обратитесь к любому из модераторов.