Entre em contato

Precisa de alguma ajuda?

Phone:123-456-789
Sem categoria

Proteja seu site: Como evitar o Google Hacking.

Você já ouviu falar de Google Hacking? como isso é possível? quais as boas práticas para evitar ser hackeado através dessa técnica? vamos responder essas perguntas neste post.

Conceito:

Como o Google e outros buscadores funcionam? talvez alguns respondam que ele indexa páginas da web e mostra os resultados em suas pesquisas, mas como ele faz isso? Imagine que você vai até uma cidade desconhecida e tem um amigo que mora lá há alguns anos, você precisa se deslocar até certos lugares que não conhece, então você pergunta a esse amigo onde esses lugares ficam e ele te instrui corretamente a melhor maneira de como encontrar os lugares, como isso é possível? Porque ele já esteve lá antes, o Google trabalha dessa mesma maneira, ele sabe o conteúdo dos sites porque já esteve la antes, já os visitou e indexou em seu banco de dados com os seus bots, seus buscadores que indexam os sites e os resultados são organizados em sua base de dados para que sejam mostrados nas pesquisas.

 

Controlando a indexação:

Existe uma maneira de você controlar o que o Google e outros buscadores indexam em seu site, no arquivo robots.txt você pode definir os buscadores que poderão enxergar em seu site e o que poderão indexar, para que somente o conteúdo público seja mostrado.

 

Perigos:

Assim como o Google indexa suas páginas ele também pode indexar tudo o que está na raiz de seu site, onde estão os scripts que fazem o mesmo funcionar, através desta técnica de busca é possível encontrar endereços em que seus administradores deixaram arquivos que oferecem um grande risco a segurança, usando como exemplo do WordPress existem 3 grandes perigos.

 

Backups da base de dados:

Uma base de dados na raiz do site fica disponível para download com várias informações críticas de segurança, as mais críticas são o usuário e o hash da senha, com essas informações em mãos um terceiro mal intencionado pode fazer um ataque de bruteforce no hash e conseguir acesso à área administrativa de seu WordPress.

Backup compactado de seus arquivos:

Da mesma maneira que alguém encontra  um arquivo .sql com o Google Hacking, é possível encontrar arquivos compactados, como o zip ou tar.gz, no caso do WordPress dentro desse arquivo compactado estará o wp-config.php, expondo assim o usuário e senha do banco de dados, fazendo com que seja possível acessar o mesmo e alterar a senha ou adicionar um novo usuário administrador.

WordPress sem o wp-config.php configurado:

Este é o mais perigoso entre eles, pois caso você deixe uma instalação do WordPress em branco em seu docummet root, invasores buscarão por essa falha e quando a encontrarem  farão uma nova instalação do WordPress utilizando uma base de dados externa, dando-lhe total acesso administrativo para upload de backdoors, páginas de phsihing e outros tipos de pragas virtuais que assolam vários sites pelo mundo.

 

Conclusão:

Com isso vemos que é preciso deixar somente o necessário na raiz de seu site e evitar deixa-lo como repositório para evitar surpresas desagradáveis, caso tenham algum dúvida sobre o conteúdo fiquem a vontade para se expressar nos comentários.

1 Comment

O que você achou?

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.