Sind indizierte Wordpress-Administrationsseiten eine Sicherheitsbedrohung?

7

Da Googlebot nicht auf wichtige Dateien zugreifen konnte, habe ich kürzlich unsere /robots.txtDatei aktualisiert und das meiste davon entfernt, einschließlichwp-admin .

Jetzt haben mir die Verantwortlichen für Hosting und SEO eine E-Mail-Warnung gesendet, dass einige der Administrationsseiten von Google indiziert werden und ich das nicht zulassen muss wp-admin. Aus Sicherheitsgründen.

Aber ich verstehe nicht, warum ist das ein Sicherheitsproblem? Ist einem potenziellen Angreifer solche Dateien nicht bereits bekannt, da Wordpress weit verbreitet und Standard ist?

google wordpress security robots.txt googlebot sudo --do-it
quelle
3
Alles, auf das Benutzer keinen Zugriff benötigen, sollte als Sicherheitsbedrohung behandelt werden.
Simon Hayter
1
@SimonHayter Vergessen Sie nicht die Benutzer selbst ... sie sind die größte Sicherheitsbedrohung von allen.
HopelessN00b

Antworten:

5

Wenn ich WordPress ausgeführt habe, werde ich mit robots.txt nichts blockieren, da Google dadurch nicht gecrawlt und nicht indiziert werden kann . Suchen Sie einfach in Google "Google Analytics Web" und Sie werden einen Link sehen, der in robots.txt blockiert ist, aber im Suchergebnis noch vorhanden ist.

Standardmäßig werden Assets-Dateien wie CSS, JS und Bilder im Verzeichnis wp-admin gespeichert, sodass Fehler beim korrekten Rendern für Google Spider auftreten .

Und es gibt so viele Google-Trottel, die Massen-wp-admin-Seiten im Google-Suchergebnis herausfinden, und Ihre Website wird sichtbar, wenn Sie nur robots.txt verwenden, um dies zu verhindern.

Ich schlage vor, in wp-admin nur noindex-Meta-Tags zu verwenden.

Und hier sprechen viele Leute über Sicherheit, aber Google kann kein passwortgeschütztes Verzeichnis crawlen.

Zusätzlicher Hinweis: Verwenden Sie nicht beide. Ich meine, wenn Sie das Verzeichnis wp-admin in robots.txt blockieren, wird Google nie erfahren, dass Sie noindex-Meta-Tags in wp-admin platziert haben, da sie zuerst robots.txt und dann Meta-Tags auf Webseiten folgen.

Goyllo
quelle
9

Wenn ein neuer Fehler gefunden wird, in diesem Fall in WordPress, versuchen Hacker zunächst, gefährdete Websites zu finden, die WordPress verwenden. Eine gute Möglichkeit ist es, wp-admin-Seiten bei Google zu finden. Vielleicht werden sogar automatisierte Tools verwendet, um darauf basierende Websites zu finden und auszunutzen.

Dies zu vermeiden, wäre der wichtigste Sicherheitsgrund dafür. Wenn Sie kein öffentliches Zeichen dafür haben, dass Sie Wordpress verwenden (oder zumindest nicht die häufigsten wie dieses), ist es weniger wahrscheinlich, dass Sie zufällig als Ziel für einen Angriff ausgewählt werden.

CristianTM
quelle
Google zeigt keine wp-admin-Seite an, es sei denn, eine Webseite verlinkt darauf. Ich habe tausend Verzeichnisse in meinem Host und noch keinen Index, da ich dieses Verzeichnis in der Sitemap oder irgendwo auf meiner Webseite nicht erwähnt habe. Google kriecht nicht blind, sie folgen Links, Sitemaps und alten Seiten.
Goyllo
Ich denke, er hat oder hatte einen Link, weil er sagte, die Seite ist bereits auf Google Index. Viele Websites haben auf der Hauptseite Links zum Administrationsbereich.
CristianTM
8

Sicherheitsproblem? Bezweifel es. Es macht Ihre Site nur für Leute sichtbarer, die gerne WordPress-Sites angreifen. Abgesehen von der Sichtbarkeit ist alles gleich, Sicherheit durch Dunkelheit ist sowieso nichts, worauf Sie sich verlassen sollten.

Nutzlos? Bestimmt. Es gibt keinen Grund, die Indizierung Ihres Administrator-Logins auf Ihrer Site zuzulassen. Sie möchten nicht, dass Ihre Benutzer einen Link zu Ihrem Administrator finden, wenn sie tatsächlich nach Ihren Inhalten suchen. Die einzige Person, die sich darum kümmern sollte, ist der Site-Administrator.

cdvv7788
quelle
Tatsächlich ist dies kein typischer Sicherheitsfall im Dunkeln. Sie haben einen guten Grund, dies zu tun: Vermeiden Sie es, ein Ziel zu sein. Dies ist möglicherweise Ihre letzte Verteidigung bei Angriffen, die als 0-Tage-Exploits außerhalb Ihrer Kontrolle liegen.
CristianTM
Sie werden es nicht vermeiden, ein Ziel zu sein, indem Sie Ihre Admin-Site vor Suchmaschinen verstecken. Vielleicht ein paar Minuten aufschieben, aber nichts weiter. Sie werden wahrscheinlich früher von einem automatisierten Skript gefunden, das von Site zu Site ausgeführt wird, als von einer Suchmaschine (falls jemand nach Sites sucht, die ausgenutzt werden können).
cdvv7788
Es ist viel einfacher, von einer bekannten WordPress-Site zu einer Site zu wechseln, als zufällig von jeder einzelnen indizierten Site zu einer Site zu wechseln. ;) das ist nicht nur der Grund, sondern normalerweise ist es eine gute Praxis, den "Fingerabdruck" (Software-ID, Version usw.) von jeder Site zu verbergen.
CristianTM
Gute Praktiken sind eine gute Sache, schade, dass nicht viele Leute dem folgen (besonders im Bereich WordPress). Außerdem sollen Skripte ausgeführt werden, um Site-to-Site zu überprüfen, normalerweise ohne Eingabe durch eine Suchmaschine. Sie werden überrascht sein, wie viele WordPress-Sites Sie in 15 Minuten finden können. Wenn auf meiner Website kein besonderes Interesse besteht, werde ich keine Sonderbehandlung erhalten und alleine angegriffen :(
cdvv7788
7

Google möchte keine nicht inhaltlichen Seiten indizieren, einschließlich Administrationsseiten und Seiten, auf denen Sie aufgefordert werden, sich anzumelden. Das Einfügen wp-adminvon robots.txt ist für SEO besser, da es normalerweise verhindert, dass die Seite indiziert wird.

Es ist möglich, dass ein Angreifer Google für alle Websites ausführt, die wp-adminin der URL enthalten sind. Wenn Sie diese Seite auf Ihrer Website aus den Google-Suchergebnissen heraushalten, ist es für einen Angreifer weniger wahrscheinlich, Ihre Website zu finden.

Stephen Ostermiller
quelle
100% stimmen zu, Google kann kein passwortgeschütztes Verzeichnis crawlen.
Goyllo
1

wp-adminBei WordPress ist der direkte Zugriff auf Ihr Admin-Panel. Deshalb möchte Google, dass Sie es nicht zulassen. Und ... in diesem Fall hören Sie Google und srsly, verbieten Sie es. Es ist eine gute Übung :)

Josip Ivic
quelle
3
Aber jeder weiß, dass wp-admin ein direkter Zugang zu den meisten (wenn nicht allen) Wordpress-Sites ist. Muss ein Hacker es googeln? Das glaube ich nicht. Daher meine Frage. Warum sollte die Indizierung des berühmten Verzeichnisses an und für sich eine Bedrohung darstellen?
Sudo
@ sudo - do-it Für einen Hacker ist es sehr einfach zu erkennen, dass auf Ihrer Website eine potenzielle Sicherheitslücke besteht. WP ist die am meisten gehackte Software aller Zeiten und war es schon immer. Es ist nicht so, dass WP schlecht ist, es ist nur eine Menge Code, einschließlich Themen und Plug-Ins, die aufgrund schlechter Codierungspraktiken oder Fehler häufig anfällig sein können. In der Praxis sollten Sie den Zugriff auf Ihre Administrationsseiten so weit wie möglich einschränken und nicht der Welt überlassen, ob dies möglich ist. Hacker probieren verschiedene WP-Administratorverzeichnisse aus, um festzustellen, ob es sich bei der Site um eine WP-Site handelt, und beginnen dann mit dem Hacken. Prost!!
Closetnoc
@closetnoc "Hacker probieren verschiedene WP-Administratorverzeichnisse aus" - Ist das nicht genau der Grund, warum es egal ist, ob wp-admin von Google indiziert wird? Ein Hacker muss die Administrationsseite nicht sehen, um zu wissen, dass Wordpress installiert ist, und kann dann einfach einen beliebigen Standard-WP-Verzeichnispfad auf Ihrer Site ausprobieren.
Erkennungs
@recognizer Es ist ein Haken 22 ... ;-) aber wenn dein Türschloss nicht funktioniert, bringst du kein Schild an der Tür an, das solche angibt. In beiden Fällen sollte es nicht indiziert werden. Aus Sicherheitsgründen möchten Sie das Administratorverzeichnis so weit wie möglich ausblenden. Im Allgemeinen schlägt WP bei einem meiner ersten und stärksten Sicherheits-Nein-Nein fehl - das Administratorverzeichnis kann nicht geändert werden.
Schranknoc
@recognizer Der häufigste Angreifertyp kennt Ihre Site überhaupt nicht, geschweige denn, was sie ausführt. Wenn Ihre Adminpage indiziert ist, sind Sie anfällig für Angriffe, die automatisch auf alle öffentlich sichtbaren WordPress-Sites abzielen, die auf diesem Index basieren.
Peteris