Da Googlebot nicht auf wichtige Dateien zugreifen konnte, habe ich kürzlich unsere /robots.txt
Datei aktualisiert und das meiste davon entfernt, einschließlichwp-admin
.
Jetzt haben mir die Verantwortlichen für Hosting und SEO eine E-Mail-Warnung gesendet, dass einige der Administrationsseiten von Google indiziert werden und ich das nicht zulassen muss wp-admin
. Aus Sicherheitsgründen.
Aber ich verstehe nicht, warum ist das ein Sicherheitsproblem? Ist einem potenziellen Angreifer solche Dateien nicht bereits bekannt, da Wordpress weit verbreitet und Standard ist?
Antworten:
Wenn ich WordPress ausgeführt habe, werde ich mit robots.txt nichts blockieren, da Google dadurch nicht gecrawlt und nicht indiziert werden kann . Suchen Sie einfach in Google "Google Analytics Web" und Sie werden einen Link sehen, der in robots.txt blockiert ist, aber im Suchergebnis noch vorhanden ist.
Standardmäßig werden Assets-Dateien wie CSS, JS und Bilder im Verzeichnis wp-admin gespeichert, sodass Fehler beim korrekten Rendern für Google Spider auftreten .
Und es gibt so viele Google-Trottel, die Massen-wp-admin-Seiten im Google-Suchergebnis herausfinden, und Ihre Website wird sichtbar, wenn Sie nur robots.txt verwenden, um dies zu verhindern.
Ich schlage vor, in wp-admin nur noindex-Meta-Tags zu verwenden.
Und hier sprechen viele Leute über Sicherheit, aber Google kann kein passwortgeschütztes Verzeichnis crawlen.
Zusätzlicher Hinweis: Verwenden Sie nicht beide. Ich meine, wenn Sie das Verzeichnis wp-admin in robots.txt blockieren, wird Google nie erfahren, dass Sie noindex-Meta-Tags in wp-admin platziert haben, da sie zuerst robots.txt und dann Meta-Tags auf Webseiten folgen.
quelle
Wenn ein neuer Fehler gefunden wird, in diesem Fall in WordPress, versuchen Hacker zunächst, gefährdete Websites zu finden, die WordPress verwenden. Eine gute Möglichkeit ist es, wp-admin-Seiten bei Google zu finden. Vielleicht werden sogar automatisierte Tools verwendet, um darauf basierende Websites zu finden und auszunutzen.
Dies zu vermeiden, wäre der wichtigste Sicherheitsgrund dafür. Wenn Sie kein öffentliches Zeichen dafür haben, dass Sie Wordpress verwenden (oder zumindest nicht die häufigsten wie dieses), ist es weniger wahrscheinlich, dass Sie zufällig als Ziel für einen Angriff ausgewählt werden.
quelle
Sicherheitsproblem? Bezweifel es. Es macht Ihre Site nur für Leute sichtbarer, die gerne WordPress-Sites angreifen. Abgesehen von der Sichtbarkeit ist alles gleich, Sicherheit durch Dunkelheit ist sowieso nichts, worauf Sie sich verlassen sollten.
Nutzlos? Bestimmt. Es gibt keinen Grund, die Indizierung Ihres Administrator-Logins auf Ihrer Site zuzulassen. Sie möchten nicht, dass Ihre Benutzer einen Link zu Ihrem Administrator finden, wenn sie tatsächlich nach Ihren Inhalten suchen. Die einzige Person, die sich darum kümmern sollte, ist der Site-Administrator.
quelle
Google möchte keine nicht inhaltlichen Seiten indizieren, einschließlich Administrationsseiten und Seiten, auf denen Sie aufgefordert werden, sich anzumelden. Das Einfügen
wp-admin
von robots.txt ist für SEO besser, da es normalerweise verhindert, dass die Seite indiziert wird.Es ist möglich, dass ein Angreifer Google für alle Websites ausführt, die
wp-admin
in der URL enthalten sind. Wenn Sie diese Seite auf Ihrer Website aus den Google-Suchergebnissen heraushalten, ist es für einen Angreifer weniger wahrscheinlich, Ihre Website zu finden.quelle
wp-admin
Bei WordPress ist der direkte Zugriff auf Ihr Admin-Panel. Deshalb möchte Google, dass Sie es nicht zulassen. Und ... in diesem Fall hören Sie Google und srsly, verbieten Sie es. Es ist eine gute Übung :)quelle