Index of, czyli najczęstszy błąd na stronach www i hostingach.

retromedia-pl-agencja-kreatywna-torun-bydgoszcz-index-of-blad-stron-www

Jednym z najczęściej popełnianych błędów przez świeżych „developerów” lub właścicieli stron, którzy niekoniecznie zagłębiają się w meandry WordPressa, jest brak wyłączania tzw. listowania. Listowanie to nic innego jak zabieg, dzięki któremu możemy wyświetlić zawartość naszego serwera w formie listy folderów i plików. Domyślnie taka operacja powinna być wyłączona na serwerze, ale mało firm hostingowych myśli o takich detalach.
Opcją włączania lub wyłączania steruje się przez plik .htaccess, ale o tym za chwilę. Teraz skupmy się na tym, czemu niewyłączenie tej funkcji może być niebezpieczne dla naszej strony.

Prezent dla hakera albo bota

Jeśli nie wyłączymy listowania u nas na hostingu, to potencjalny cyberprzestępca ma wszystkie pliki na przysłowiowym talerzu. Może się dobrać np. do wp-config.php i pobrać sobie dane do bazy danych. Czasem nawet bywa, że taka baza „backupowana” jest obok strony i też będzie na liście plików, a cyberprzestępca nie będzie się zastanawiał nad takim prezentem dwa razy. Jak mówi stare hakerskie przysłowie, darowanym plikom w ilość bajtów się nie zagląda…

retromedia-pl-agencja-kreatywna-torun-brak-listowania-blad-na-stronie

Powyżej wrzuciłem zdjęcie, które wyraźnie pokazuje do czego doprowadził brak kontroli nad hostingiem. To jest nasze odkrycie z kwietnia tego roku i dotyczy jednego z małych sklepów online jakich wiele w sieci. Sprawę zgłosiliśmy do CERT Polska i dziura już jest dawno załatana, ale nie zmienia to faktu, że ktoś bezmyślnie pozwolił, żeby pliki oraz baza danych były publicznie dostępne.
Prócz braku wyłączonego listowania popełniono tutaj dwa dodatkowe błędy: umieszczono stronę w folderze wp, najczęściej szukanym folderze przez boty, i nie wyłączono podpisu serwera. Jednak to są tematy na inny odcinek.

Wyłączamy listowanie

Listowanie można wyłączyć trzema różnymi dyrektywami i nie każda musi u Ciebie działać. Żeby wiedzieć, jaka u Ciebie będzie pracować, zrób testy lub zapytaj się supportu firmy hostingowej.

Przykład 1

Options -DirList

Przykład 2

Options -Indexes

Przykład 3

IndexIgnore *

Praktycznie każda dyrektywa daje ten sam efekt, ale – jak wspomniałem wyżej – nie musi działać u Ciebie. Oczywiście polecenie musimy umieścić w pliku .htaccess. Czasem bywa tak, że już jakaś wtyczka zrobiła to za nas, to nie ma sensu tego powielać. Dlatego upewnij się, przetestuj, poszukaj w pomocy lub ewentualnie skontaktuj z helpdeskiem firmy hostingowej, u której masz konto. I nie popełniaj tego błędu przy innych projektach, bo hakerzy nie śpią!

Find this content useful? Share it with your friends!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *