Les pages d'administration indexées Wordpress constituent-elles une menace pour la sécurité?
Comme cela empêchait Googlebot d’accéder à des fichiers importants, j’ai récemment mis à jour notre fichier /robots.txt et en ai supprimé la majeure partie, y compris wp-admin.
Maintenant, les personnes en charge de l'hébergement et du contenu SEO m'ont envoyé un email m'avertissant que certaines pages de l'administrateur étaient indexées par Google et que je devais interdire le wp-admin. Pour des raisons de sécurité.
Mais je ne comprends pas, pourquoi est-ce un problème de sécurité? Un attaquant potentiel n'est-il pas déjà au courant de tels fichiers puisque Wordpress est assez commun et standard?
Si j'utilisais wordpress, je ne bloquerais rien avec robots.txt, car il empêche Google d'explorer et non d'indexer . Il suffit de chercher sur Google "Google analytics Web", et vous verrez le lien qui est bloqué dans le fichier robots.txt, mais il existe quand même dans les résultats de la recherche.
Et par défaut, les fichiers Assets tels que css, js et les images sont stockés dans le répertoire wp-admin, ce qui entraînera une erreur de rendu correctement pour Google Spider .
Et, il y a tellement de Google qui découvrent en vrac les pages wp-admin dans les résultats de recherche Google, et votre site sera visible si vous utilisez simplement le fichier robots.txt à des fins de prévention.
Je suggère d'utiliser uniquement les balises méta noindex dans wp-admin.
Et ici beaucoup de gens parlent de sécurité, mais Google ne peut pas explorer le répertoire protégé par mot de passe.
Note supplémentaire: N'utilisez pas les deux. Je veux dire que si vous bloquez le répertoire wp-admin dans le fichier robots.txt, Google ne le saura jamais, vous avez placé des balises méta non indexées dans wp-admin, , car elles suivent d'abord le fichier robots.txt, puis les balises méta. sur les pages Web.
Lorsqu'un nouveau bogue est détecté, dans Wordpress par exemple, la première chose à faire par les pirates informatiques est de rechercher des sites vulnérables utilisant Wordpress. Une bonne façon de le faire est d'essayer de trouver des pages wp-admin sur google. Peut-être même utilisera-t-il des outils automatisés pour trouver et exploiter des sites basés sur cela.
Éviter cela serait la principale raison de sécurité pour le faire. Si vous n'avez aucun signe public que vous utilisez Wordpress (ou du moins pas les plus courants comme celui-ci), vous êtes moins susceptible d'être choisi au hasard comme cible d'une attaque.
Problème de sécurité? J'en doute. Cela rend simplement votre site plus visible pour les personnes qui aiment attaquer wordpress sites. Hormis la visibilité, tout est pareil, la sécurité par l'obscurité n'est de toute façon pas fiable.
Inutile? Absolument. Il n'y a aucune raison d'autoriser l'indexation de vos identifiants d'administrateur sur votre site. Vous ne voulez pas que vos utilisateurs trouvent un lien vers votre administrateur alors qu'ils recherchent votre contenu. La seule personne qui devrait s'en préoccuper est l'administrateur du site.
Google ne souhaite pas indexer les pages sans contenu, y compris les pages d'administration et les pages vous demandant de vous connecter. Mettre wp-admin dans robots.txt est préférable pour le référencement, car il empêchera généralement l'indexation de la page.
Il est possible qu'un attaquant fasse un Google pour tous les sites qui ont wp-admin dans l'URL. Si vous gardez cette page de votre site en dehors des résultats de la recherche Google, un attaquant aura moins de chances de trouver votre site.
wp-admin sur wordpress est une entrée directe dans votre panneau d'administration. C'est pourquoi Google veut que vous le refusiez. Et ... dans ce cas, écoutez Google et srsly, refusez-le. C'est un bon entraînement :)