DIESER ARTIKEL IST: AKTUELL WENN DIE SICHERHEITSLÜCKE DURCH GOOGLE UND C.O ENTFERNT WORDEN IST, WIRD DER GESAMTE ARTIKEL ROT GESCHRIEBEN SEIN.
Wenn Bots nicht mehr kontrollierbar sind, können sie fast alle Dateien auf einem Server indexieren.
Dies kann dazu führen, das geheime Informationen (BSP: Die .htaccess Datei) an die Öffentlichkeit geraten!
Ich habe die Sicherheitslücke gefunden, da sie auch bei meiner Seite aufgetreten ist.
Zuerst einmal was die Sicherheitslücke verursacht:
PS: Die Sicherheitslücke wird bei der Eingabe dieses Keywords sichtbar: https filetype:htaccess | filetype:htaccess
Aufgrund des Filetyps sucht Google nach indexierten htaccess Dateien!
Der Fehler tritt auf wenn die Robots.txt nicht richtig konfiguriert ist und/oder die htaccess Datei zugriff auf .ini Files und Files die auf die htaccess Datei verlinken erlaubt. Der Zugriff auf die htaccess Datei ist alleine nicht schädlich, allerdings erlaubt es jedem etwas mehr über die Sicherheit deiner Webseite und allfällige Sicherheitslücken zu erfahren.
Die folgenden Tipps sollten die Sicherheitslücke schliessen:
1.htaccess: Erlaube den Zugriff auf Sicherheitstechnische Dateien nur 2 IPS:
Deiner eigenen und der Server-IP. Dies verhindert, das Bots diese Dateien indexieren können!
Schreibe folgendes in die htaccess Datei:
<FilesMatch "htaccess\.php$">
Order deny allow,
Deny from all
Allow from your.server.ip your.computer.ip
</FilesMatch>
2.Müssen einige Dienste&Skripte auf die Dateien zugreifen, kannst du Sie so erlauben:
(Nur wenn der Traffic von dieser Quelle kommt ist der Zugriff möglich)
SetEnvIfNoCase Referer "/beispielspfad.php" ok=1
<Files *.mp3>order deny, allow
deny from all
allow from env=ok
</Files>
3.Entferne die htaccess Datei und Dateien die auf sie verlinken von Google.
(Gif unterhalb von diesem Abschnitt!)
4.Alle Links die zur htaccess Datei führen, sollte nonfollow Links sein.
5.Diese Dateien sollten einzeln in der Robots.txt aufgeführt sein.
Also: Disallow: /direkterpfad.html
und nicht: Disallow: *.html
6.Speichere Passwörter in der passt Datei verschlüsselt ab.
7.Verhindere, das Dateien von anderen Seiten aus mit dem Link abgerufen werden können.
Schreibe dazu folgendes in die htaccess Datei:
RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?: RewriteCond %{HTTP_REFERER} !^http(s)?: RewriteRule \.(jpg|jpeg|png|gif)$ http: