Главная » Поисковые системы » Информационная безопасность для владельцев сайтов – 3 простых правила
a

Информационная безопасность для владельцев сайтов – 3 простых правила

Информационная безопасность
Всем привет. Сегодня опубликую статью на не очень стандартную для меня тематику. Статья будет про информационную безопасность.

Если бы меня спросили что такое информационная безопасность, я бы ответил следующие:

Информационная безопасность это не хранить в доступных местах конфиденциальную информацию. Будь то ваш персональный компьютер или сайт в Интернете.

Есть одна мудрая поговорка:

Прочность цепи, определяется прочностью самого слабого звена.

Можно своевременно обновлять плагины на сайте, регулярно менять пароли, но потом выложить какие-то доки с приватными данными на хостинг, и Google их проиндексирует.

Вы помните давнюю историю, как Яндекс проиндексировал CMC сообщения отправленные через сайта Мегафон.

СМС которые проиндексировал Мегафон

СМС которые проиндексировал Мегафон

В общем нужно следить за сайтом ).

Есть 2 простых правила безопасности сайта:

  1. Не хранить на хостинге конфиденциальную информацию.
  2. Анализировать страницы, которые Google индексирует на вашем сайте.

А теперь подробнее об этих двух правилах.

Прожорливые поисковые системы

Вы должны знать, что поисковики индексируют сайты более глубоко, нежели вы думаете. Google может проиндексировать ваши : doc, excel и txt файлы, которые вы оставите на своем сайте.

Это верно по отношению ко всем поисковикам, но для простоты я буду говорить про Google.

Например, вы записали в текстовый файл данные для доступа к вашему сайту или данные к вашим учетным записям. Залили этот файл на свой сайт, чтобы дать ссылку на него вашему подрядчику.

Но, после того как Google проиндексирует ваш сайт – эти файлы попадут в публичный доступ. Потому что есть злоумышленники, которые используют специальные операторы поиска, чтобы искать подобную информацию.

Вот пример подобного запроса, наберите в Google:

index of /wp-content/uploads/userpro

и в результатах выдачи вы увидите ссылки на разделы, в которых находятся фотографии.

Переходим на сайт, и видим список разделов, в которых находятся фотографии.

В Интернете есть ботнеты (сети взломанных компьютеров под контролем хакеров) которые делают тысячи различных запросов, чтобы заполучить доступ к приватной информации:

  • К персональным платежным данным (для воровства денег);
  • К персональным акаунтам: email, skype — чтобы рассылать спам или выпрашивать деньги;
  • К акаунтам в социальных сетях — чтобы рассылать спам или выпрашивать деньги;
  • Любой другой приватной информации, которую можно использовать в своих целях.

Итак, повторяем простое правило безопасности: не храните конфиденциальные или личные файлы на вашем сайте.

А теперь давайте поговорим о том, как узнать, что Google уже проиндексировал на вашем сайте, и как провести быстрый аудит безопасности вашего сайта.

Анализ проиндексированных страниц на сайте

Как уже было сказано, нужно проверять какие страницы сайта попадают в индекс. Есть пару простых советов, как правильном проверять индексацию сайта.

1. Смотрите в конец поиска

Важно переходить в самый конец поиска, потому что на первых местах, как правило, находятся я самые значимые страницы сайта: главная страница, страницы записей или блогов.

В конце поиска, как правило, находятся технические страницы, среди которых могут находиться конфиденциальные или технические страницы сайта.

2. Анализировать последние проиндексированные страницы

Не забудьте в поисковом поле указать, чтобы поиск производился по вашему сайту, и смотрите чтобы опубликовано совсем недавно.

Это сделается с помощью оператора site:your-domain.com

Вот пример последних проиндексированных страниц на маулталке. Это новые зарегистрированные профили.

Новые проиндексированные страницы

Однажды я делал детальный SEO аудит сайта, анализируя страницы которые недавно были проиндексированы. Во время анализа я нашел чужеродный лендинг, через который продавались какие-то лекарственные препараты.

Используя авторитет сайта, хакеры хотели продвинуть свой лендинг.

Когда сайт взламывают, то это нельзя заметить на самом сайте или в панели управление, потому что эту страницу загружают напрямую на сайт, и эта страница находится вне дизайна вашого сайта. Такие страницы можно найти, только анализируя индекс вашого сайта.

Также рекомендую регулярно смотреть данные в Google Search Console. Резкие изменения в индексации сайта могу быть причиной каких-то технических сбоев или взлома сайта.

Анализ индекса страницы

3. Используйте операторы поиска, чтобы искать определенные типы файлов

Если у вас типичный случай, и у вас сайт работает на CMS wordpress, то, для анализа того что вы загрузили в директорию uploads вам нужно набрать следующий запрос.

Вместо your-domain.com вам нужно указать домен вашего сайта.

site:your-domain.com inurl:/wp-content/

Если у вас другая CMS, то вместо /wp-content/ вам нужно указать вашу директорию, где хранятся загруженные файлы.
Для того чтобы узнать какие текстовые файлы находятся на вашем сайте, вам нужно набрать следующий запрос:

site:your-domain.com ext:csv | ext:xlsx | ext:xls | ext:doc | ext:docx | ext:txt

С помощью такого запроса я нашел какие-то документы на сайте Мегафона. Скорее всего это обычные доки, просто я привожу пример как работают эти операторы поиска.

Проинексированные документы

Не ленитесь, посмотрите какие файлы Google нашел на вашем сайте. Надеюсь ничего конфиденциального.
Предлагаю написать в комментариях, какие необычные файлы вы нашли на вашем сайте.

Оцените!

7 Comments

  • Легос

    Не совсем понял про аудит сайта, который вы делали. Ссыль на лендинг была где-то в профиле? На тех странице? Как это реализовано было технически?

    • Апокалиптик

      Я не знаю как это было сделано, но это было сделано красиво. Это был сайт про недвижимость, с тематическими страницами. И на одной из страниц, уже не помню какой у нее был адрес, был целый лединг по продаже какой-то таблетки. Лединг выглядет как отдельный сайт, только все ссылки вели на внешние сайты, чтобы посетитель перешел по реферальной или како-то там ссылке и купил пилюлю.

      Вообще не раз видел, когда на сайте создавали директорию, и заливали туда целый сайт. Так обычно делают разные псевдо-варезники.

  • С мегафоном жесть))) Есть что почитать и поугарать

    • Апокалиптик

      Да, это точно. Жалко что не все заскринили. Когда еще смс сообщения были в индексе и их можно было читать, там было много интересных СМС. Прям целые романы с драмами )

  • Иногда сайты взламывают и добавляют кучу дорвеев, таких как лендинг с лекарствами из статьи.

    • Апокалиптик

      Щас хакеры действуют более тонко, при взломе заливают небольшое количество дорвеев-ледингов. Такое сложно заметить.

      Когда мног заливают — то это легко заметить вебмастеру + Google может забанить сайт. Потому что сейчас Google по другому относится к лому, если идет прирост индекса с не тематическими страницами, то либо таким страницам не передается траст от основного сайта, либо вооще сайт банится.

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Апокалиптик

Writer & Blogger

Валентин Романенко

Блог (с) 2009-2022

Важливе

Контакти

admin@valentyn-romanenko.com

+1-202-555-0140