Robots.txt y áreas de administración

Navega tus respuestas
4

Estoy usando algún software de foro comercial popular y para ayudar a asegurar el área de administración, más he cambiado el nombre de la carpeta de administración; sin embargo, me preguntaba, con respecto a robots.txt si sigo con la colocación de: 

User-agent: *
Disallow: /random_admin_name/

¿¡Entonces no estaría simplemente exponiendo el nombre de administrador "secreto" ahora?

Entonces, mi pregunta es: ¿cómo puedo evitar que el administrador sea indexado y encontrado por otra persona?

    
pregunta Brett 24.04.2014 - 17:12
fuente

4 respuestas

6

Al cambiarle el nombre a algo, y luego meter ese nombre en robots.txt solo se muestra a un atacante qué directorio desea proteger. Piense en lo siguiente: "Pondré mis joyas en el tercer cajón, pero deje un letrero para un ladrón que diga: '¡No mire en el tercer cajón!'"

Su opción real para protegerlo aquí es colocar un archivo .htaccess en el directorio al que NO quiere acceder, y en ese archivo .htaccess, SOLO tenga la opción de ver ese directorio 

Order Deny,Allow
Deny from all
Allow from 127.0.0.1 (where this is your IP)

O puede agregar mod_security y agregar una reescritura similar.

    
respondido por el munkeyoto 24.04.2014 - 17:37
fuente
3
  

¿Cómo puedo evitar que el administrador sea indexado y encontrado por otra persona?

Desde Uso de etiquetas meta para bloquear el acceso a su sitio puede agregar lo siguiente a su <head> sección de la página: 

<meta name="robots" content="noindex">

Sin embargo, esto se considera como Seguridad a través de la oscuridad . Esto no es malo en sí mismo, pero tenga en cuenta que no agrega ninguna seguridad real a su sitio de administración. Esto evitará que las arañas de búsqueda compatibles lo indexen, y evitará que un atacante lea robots.txt para encontrarlo. Sin embargo, debe asegurarse de que su sistema de administración sea lo más seguro posible (idealmente probado externamente) y bloqueado (por ejemplo, por dirección IP o accesible solo a través de VPN).

    
respondido por el SilverlightFox 24.04.2014 - 18:07
fuente
2

No te preocupes por que alguien más lo haya encontrado. Tener una URL secreta es solo seguridad a través de obscurity . Siéntase libre de no permitir robots, ya que no quiere que se rastree, pero use cuentas / roles / etc para en realidad proteger la página.

No puede diseñar un sistema seguro y tener la esperanza de que alguien no se tope con una página web secreta que socava todo. Supongamos que lo encontrarán, y diseñarán para eso. Eso significa usar una contraseña segura , detectando / bloqueando usuarios maliciosos, HTTPS:// , etc.

    
respondido por el Gray 24.04.2014 - 17:17
fuente
1

Robots.txt no detendrá a los robots malos, solo los motores de búsqueda. crear un archivo .htaccess e ingresar 

 Order Allow,Deny
 Allow from 192.168 #LAN IPs
 Allow from 10. #LAN IPs
 Allow from 127. #Localhost
 Deny from All
 #Uncomment the line below to show a custom 403 forbidden message
 #Seen when users not Allowed try to visit
 #ErrorDocument 403 "You are not allowed here"

Haz clic en guardar.

    
respondido por el anonman 26.04.2014 - 17:59
fuente

Lea otras preguntas en las etiquetas

Usando AesCryptoServiceProvider en C #, ¿debería usar un IV mangle incorrecto solo el primer bloque? ¿Una forma de baja tecnología pero segura de hacer un seguimiento de las contraseñas?