Como se habrán dado cuenta, desde hace algunos años dediqué varias horas de trabajo e investigación a mejorar la seguridad de WordPress, ya sea desde WPHardening como así también publicando algunos Dorks en Google.
Siempre que se quiere comprometer una web se busca obtener como trofeo su activo más importante como son las Bases de Datos, entonces se intenta ejecutar diferentes vectores de ataque como FPD, Fuerza Bruta, Exploit o inclusos 0Days.
Pero que pasa cuando nuestro más preciado tesoro se encuentra indexado en Google?
inurl:"/wp-content/" filetype:sql
Nunca está de más hacer las mismas recomendaciones, WordPress por defecto no incluye un archivo robots.txt que es donde le indicamos a los buscadores que es lo que debe y no debe indexar.
Si utilizan WPHardening para fortificar la seguridad de su sitio, les puede generar un archivo robots.txt de la siguiente forma:
# Files and Directories to notindexing of our WordPress
User-Agent: *
Allow: /wp-content/uploads/
Allow: /feed/$
Disallow: /wp-
Disallow: /wp-content/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /?s=
Disallow: /search
Disallow: /index.php
Disallow: /*?
Disallow: /*.php$
Disallow: /*.js$
Disallow: /*.inc$
Disallow: /*.css$
Disallow: */trackback/
# Rules for most known bots
User-agent: Googlebot
User-agent: Googlebot-Image
Disallow: /wp-includes/
Allow: /wp-content/uploads/
User-agent: Mediapartners-Google*
Disallow:
User-agent: ia_archiver
Disallow: /
User-agent: duggmirror
Disallow: /
User-agent: noxtrumbot
Crawl-delay: 50
User-agent: msnbot
Crawl-delay: 30
User-agent: Slurp
Crawl-delay: 10
User-agent: MSIECrawler
Disallow: /
User-agent: WebCopier
Disallow: /
User-agent: HTTrack
Disallow: /
User-agent: Microsoft.URL.Control
Disallow: /
User-agent: libwww
Disallow: /
No descuiden la información de sus proyectos webs o puede caer en manos de personas malintencionadas.
Saludos!
No hay comentarios.:
Publicar un comentario