Перейти к содержимому



Вопрос по безопасности сайта

#1 Evgenius
Evgenius
  • Неактивные
  • 18 сообщений
  • Репутация: 1
0

Отправлено 21 Февраль 2013 - 16:28

Появился такой вопрос. Вот, к примеру, я сделал на сервере директорию /admin, в ней будут файлы админки, папка закрыта паролем с помощью .htaccess. Если не знать куда заходить, то в админку не зайдешь.
А теперь нужно в файле robots.txt сделать запрет на индексирование страниц папки admin. Но если потом в строке браузера набрать www.sitename.ru/robots.txt, то вот она, папка для входа в админку, у всех на виду.

Ну т.е. название папки админки вроде как лучше не показывать никому, но в файле robots.txt указать надо, в тоже время этот файл закрывать на чтение нельзя, иначе и роботы не прочитают его...
Или, раз стоит пароль на папку админки через .htaccess, имя папки особо прятать не надо и это у меня просто белочка начинается? :)
Как правильно сделать с точки зрения безопасности?

P.S. на одном сайте (не знаю, можно ли указывать ссылки... не буду) прочитал такую рекомендацию. Сделать папку, к примеру, secretzone, в ней запретить доступ на получение списка папок и файлов, и уже там делать папку для админки. Тогда в robots.txt не будет явно указан прямой путь к папке админки, а только к родительской папке.
Или это лишнее нагромождение и не стоит заморачиваться?

 

 

  • 0

#2 Sosnovskij
Sosnovskij
  • Администратор
  • 5 289 сообщений
  • Репутация: 803

Отправлено 21 Февраль 2013 - 18:52

Если обычный пользователь не имеет доступа к папке админки, то и поисковый робот не будет иметь. Ее прописывать в robots.txt не обязательно в таком случае.
  • 0

:excl: Требуется линкбилдер: браузер + Excel. Сдельная оплата + бонусы. Блог — https://sosnovskij.ru/. Добавить меня в TelegramTwitterFacebook.



#3 Evgenius
Evgenius
    Topic Starter
  • Неактивные
  • 18 сообщений
  • Репутация: 1

Отправлено 21 Февраль 2013 - 20:38

Да, внутри этой папки файлы и вложенные папки он не проиндексирует. А саму эту папку он же увидит, просто название? Или раз ее внутренность закрыта паролем, то и индексировать робот ее не будет?
  • 0

#4 Sosnovskij
Sosnovskij
  • Администратор
  • 5 289 сообщений
  • Репутация: 803

Отправлено 21 Февраль 2013 - 20:49

Evgenius, по сути папка - это же не веб-документ. Даже если он как-то ее и увидит, то ничего в индекс не возьмет.
  • 0

:excl: Требуется линкбилдер: браузер + Excel. Сдельная оплата + бонусы. Блог — https://sosnovskij.ru/. Добавить меня в TelegramTwitterFacebook.



#5 inSafety
inSafety
  • Неактивные
  • 2 сообщений
  • Репутация: 0

Отправлено 14 Март 2013 - 11:27

Для поисковиков достаточно запретить индексацию в robots.txt. Если стоит вопрос о безопасности сайта, то от нормального хакера спрятать что либо крайне сложно. Сайты взламывают через уязвимости. Очень часто для захвата сайта админка вообще не нужна. Достаточно возможности проведения инъекции в код или БД сайта. Про уязвимости сервера и его ПО также не следует забывать.
  • 0

#6 Evgenius
Evgenius
    Topic Starter
  • Неактивные
  • 18 сообщений
  • Репутация: 1

Отправлено 15 Март 2013 - 20:00

Сайты взламывают через уязвимости.


Сайт будет без регистрации пользователей. В коде страниц подключение к БД берется из файла, который лежит "выше" папки сервера. Все скрипты, которые работают с БД, только читают из нее (в клиентской части сайта). Сайт с одной точкой входа через .htaccess, запрос в строке браузера обрабатывается так:
$query_string = str_replace("router=","",trim($_SERVER['QUERY_STRING']));
$query_string = urldecode($query_string);
$query_params = explode("/",$query_string);
foreach ($query_params as $query_param)
   if ($query_param != "")
	  $params[] = mysql_real_escape_string($query_param);

Админка будет расположена в папке, которая закрыта с помощью .htaccess. Т.е. для доступа достаточно будет ввести логин/пароль от этой папки (в этом случае, я так понимаю, защита обеспечивается хостером?)

Все файлы скриптов содержат защиту от прямого вызова.

вроде ничего не забыл...

Какие есть пути взлома такого сайта? Ну всмысле насколько он будет устойчив? Сомневаюсь, что нормальные хакеры заинтересуются нашим сайтом, такой защиты не нужно... да и нет ее наверно.
  • 0

#7 inSafety
inSafety
  • Неактивные
  • 2 сообщений
  • Репутация: 0

Отправлено 16 Март 2013 - 21:00

SQL инъекция пройти не должна.
Маленькое дополнение: когда директива конфигурации magic_quotes_gpc включена, то сначала данные следует обработать функцией stripslashes().
Если с сервером все ОК, то взлом маловероятен.
Взломать сайт могут, только украв учетные данные, заслав что-то на Ваш ПК.
  • 0



Похожие темы
  Название темы Автор Статистика Последнее сообщение

Пользователь месяца
BLIK BLIK 1-й за Ноябрь
Очков активности: 672 0 тем, 32 сообщения, 14 баллов репутации
ТОП самых активных за этот месяц
  • Фотография Totti
    #1

    Totti
    Очков активности: 172.5 1 тема, 20 сообщений, 5 баллов репутации

  • Фотография BLIK
    #2

    BLIK
    Очков активности: 138 Вне конкурса за определение пользователя месяца

  • Фотография Victim
    #3

    Victim
    Очков активности: 72 0 тем, 8 сообщений, 6 баллов репутации

  • Фотография akmid81
    #4

    akmid81 (biznessystem.ru)
    Очков активности: 57 3 темы, 10 сообщений, 2 балла репутации

  • Фотография kolver
    #5

    kolver
    Очков активности: 54 2 темы, 12 сообщений, 2 балла репутации

  • Фотография Vmir
    #6

    Vmir
    Очков активности: 51 1 тема, 14 сообщений, 2 балла репутации

  • Фотография TimurR
    #7

    TimurR
    Очков активности: 42 3 темы, 5 сообщений, 2 балла репутации

  • Фотография NataliaAntalia
    #8

    NataliaAntalia (zdorovemedicina.ru)
    Очков активности: 39 Вне конкурса за определение пользователя месяца

  • Фотография MattCutts
    #9

    MattCutts (dmitrylee.ru)
    Очков активности: 30 Вне конкурса за определение пользователя месяца

  • Фотография FIvYUr
    #10

    FIvYUr (moy-evroopt.ru)
    Очков активности: 24 0 тем, 16 сообщений, 1 балл репутации

  • Показать весь ТОП 10
Поддержите форум! =)
Апдейты
  • Яндекс ИКС: 29.11.2019
  • Яндекс выдача: 15.12.2019
Топ 5 участников по репутации

Оформление форума – IPBSkins.ru