web-dev-qa-db-ja.com

インデックス付きWordpress管理ページはセキュリティ上の脅威ですか?

Googlebotが重要なファイルへのアクセスをブロックしているため、最近/robots.txtファイルを更新し、そのほとんどを削除しましたwp-adminを含む

今、ホスティングとSEOの担当者から、管理ページの一部がGoogleによってインデックスに登録されており、wp-adminを許可しないことを警告するメールが送られてきました。セキュリティ上の理由から。

しかし、わかりません。なぜこれがセキュリティ上の問題なのですか? Wordpressは非常に一般的で標準的なため、潜在的な攻撃者はそのようなファイルを既に認識していませんか?

7
sudo --do-it

Wordpressを実行していた場合は、robots.txtでブロックしません。インデックス作成ではなくGoogleのクロールを防止するためです。 Googleの「Googleアナリティクスウェブ」で検索すると、robots.txtでブロックされているリンクが表示されますが、検索結果にはまだ存在しています。

デフォルトでは、css、js、イメージなどのアセットファイルはwp-adminディレクトリに保存されるため、エラーが発生します Google spiderで正しくレンダリング

また、Googleの検索結果でwp-adminのバルクページを見つけるためのGoogleドックが非常に多く、robots.txtを使用して防止するだけでサイトが表示されます。

wp-adminではnoindexメタタグのみを使用することをお勧めします。

そして、ここで多くの人々がセキュリティについて話しますが、Googleはパスワードで保護されたディレクトリをクロールできません。

補足説明:両方を使用しないでください。 robots.txtでwp-adminディレクトリをブロックすると、Googleは決してわかりません。wp-adminにnoindexメタタグを配置しました。先にrobots.txtを追跡し、その後メタタグウェブページで。

5
Goyllo

この場合、ワードプレスで新しいバグが見つかった場合、ハッカーが最初に行うことは、ワードプレスを使用する脆弱なサイトを見つけようとすることです。それを行う良い方法は、Googleでwp-adminページを見つけようとすることです。自動ツールを使用して、それに基づいてサイトを検索および悪用することもあります。

それを避けることが、それを行う主なセキュリティ上の理由になります。 Wordpress(または少なくともこのような最も一般的なものではない)を使用していることを示すパブリックサインがない場合、攻撃のターゲットとしてランダムに選択される可能性は低くなります。

9
CristianTM

保安上の問題?疑わしい。 wordpressサイトを攻撃するのが好きな人にあなたのサイトをもっと見やすくするだけです。可視性以外はすべて同じですが、あいまいさによるセキュリティは、とにかく信頼すべきものではありません。

役に立たない?絶対に。サイトで管理者ログインのインデックス作成を許可する理由はありません。ユーザーが実際にコンテンツを検索しているときに、管理者へのリンクを見つけて欲しくない。それを気にする必要があるのはサイト管理者だけです。

8
cdvv7788

Googleでは、管理ページやログインを要求するページなど、コンテンツ以外のページをインデックスに登録することは望んでいません。 robots.txtにwp-adminを入れると、通常ページのインデックス作成が妨げられるため、SEOに適しています。

攻撃者がURLにwp-adminを含むすべてのサイトに対してGoogleを実行する可能性があります。サイト上のページをGoogle検索結果から除外すると、攻撃者がサイトを見つける可能性が低くなります。

7

wordpress上のwp-adminは、管理パネルへの直接のエントリです。それが、グーグルがあなたにそれを禁止することを望む理由です。そして...この場合、グーグルとsrslyを聞いて、それを禁止します。それは良い習慣です:)

1
Josip Ivic