it-swarm.com.de

Sind indizierte Wordpress Admin-Seiten eine Sicherheitsbedrohung?

Da Googlebot nicht auf wichtige Dateien zugreifen konnte, habe ich kürzlich unsere /robots.txt -Datei aktualisiert und das meiste davon entfernt, einschließlich wp-admin.

Jetzt haben mir die Verantwortlichen für Hosting und SEO eine E-Mail geschickt, in der sie darauf aufmerksam gemacht haben, dass einige der Verwaltungsseiten von Google indiziert wurden und ich den wp-admin nicht zulassen muss. Aus Sicherheitsgründen.

Aber ich verstehe nicht, warum ist das ein Sicherheitsproblem? Kennt ein potenzieller Angreifer solche Dateien nicht schon, da Wordpress ziemlich verbreitet und Standard ist?

7
sudo --do-it

Wenn ich WordPress ausgeführt habe, werde ich nichts mit robots.txt blockieren, da es das Crawlen von Google verhindert, nicht das Indizieren . Suchen Sie einfach in Google "Google Analytics Web" und Sie werden einen Link sehen, der in robots.txt blockiert ist, aber noch im Suchergebnis vorhanden ist.

Und standardmäßig werden Assets-Dateien wie CSS, JS und Bilder im Verzeichnis wp-admin gespeichert, sodass der Fehler für Google Spider richtig gerendert .

Und es gibt so viele Google-Dork, die im Google-Suchergebnis nach wp-Admin-Massenseiten suchen, und Ihre Website wird sichtbar, wenn Sie nur robots.txt verwenden, um dies zu verhindern.

Ich schlage vor, in wp-admin nur noindex-Meta-Tags zu verwenden.

Und hier reden viele über Sicherheit, aber Google kann kein passwortgeschütztes Verzeichnis crawlen.

Zusätzliche Anmerkung: Verwenden Sie nicht beide. Ich meine, wenn Sie das Verzeichnis wp-admin in robots.txt blockieren, wird Google nie erfahren, dass Sie noindex-Metatags in wp-admin platziert haben , weil sie zuerst der Datei robots.txt und dann den Metatags folgen auf Webseiten.

5
Goyllo

Wenn ein neuer Fehler gefunden wird, in diesem Fall in WordPress, versuchen Hacker zuerst, verwundbare Sites zu finden, die WordPress verwenden. Eine gute Möglichkeit ist es, wp-admin-Seiten auf google zu finden. Vielleicht werden sogar automatisierte Tools verwendet, um darauf basierende Websites zu finden und auszunutzen.

Dies zu vermeiden, wäre der wichtigste Sicherheitsgrund dafür. Wenn Sie kein öffentliches Zeichen dafür haben, dass Sie Wordpress verwenden (oder zumindest nicht die am häufigsten verwendeten), ist es weniger wahrscheinlich, dass Sie zufällig als Ziel für einen Angriff ausgewählt werden.

9
CristianTM

Sicherheitsproblem? Bezweifel es. Es macht Ihre Site nur für Leute sichtbarer, die gerne wordpress Sites angreifen. Abgesehen von der Sichtbarkeit ist alles gleich, auf Sicherheit durch Dunkelheit sollten Sie sich sowieso nicht verlassen.

Nutzlos? Bestimmt. Es gibt keinen Grund, die Indizierung Ihres Administrator-Logins auf Ihrer Site zuzulassen. Sie möchten nicht, dass Ihre Benutzer einen Link zu Ihrem Administrator finden, wenn sie tatsächlich nach Ihren Inhalten suchen. Die einzige Person, die sich darum kümmern sollte, ist der Site-Administrator.

8
cdvv7788

Google möchte keine nicht inhaltlichen Seiten indizieren, einschließlich Admin-Seiten und Seiten, auf denen Sie aufgefordert werden, sich anzumelden. Das Einfügen von wp-admin in robots.txt ist für SEO besser, da sonst die Seite nicht indexiert werden kann.

Es ist möglich, dass ein Angreifer Google für alle Websites ausführt, deren URL wp-admin enthält. Wenn Sie diese Seite auf Ihrer Website nicht in den Google-Suchergebnissen anzeigen, ist es für einen Angreifer weniger wahrscheinlich, dass er Ihre Website findet.

7

wp-admin auf wordpress ist der direkte Eintrag in Ihr Admin-Panel. Aus diesem Grund möchte Google, dass Sie dies nicht zulassen. Und ... in diesem Fall hören Sie auf Google und lehnen Sie es ab. Es ist eine gute Übung :)

1
Josip Ivic