小心robots.txt向黑客泄露了網站的後臺和隱私

也許不少小夥伴站長們還有疑問爲啥本身的網站後臺更更名字了或者總是被爆（bao）破（ju），小生不才，青蔥年少時從hacker中摸爬滾打到熱衷於php下面就就簡單的給你們解析一下這裏面的門道。

1.網站系統後臺 - 大部分開源系統的後臺都是以（admin）文件夾爲後臺在其官網都會開放出來讓用戶知曉，這樣黑客們爆破你的後臺就是技術問題而已了，因此大多數人都會修改掉網站後臺的文件夾名字，很少說。因此通常不修改後臺地址使用默認的被爆都是自找的怪不了誰。

2.黑客經過度娘and谷姐輸入關鍵字搜索後臺地址，由於搜索引擎會把用戶全部默認目錄和隱私文件目錄統統收錄下來，由於是機器嘛，因此不能有多人性化啦。

瞭解到黑客能訪問到你的網站後臺的兩種渠道後就要說道robots.txt了。

什麼是robots.txt？爲了避免讓搜索引擎索引網站的後臺頁面或其它隱私頁面，咱們將這些路徑在robots.txt文件中禁用了。但矛盾的是，robots.txt文件任何人均可以訪問，包括黑客。爲了防搜索引擎，咱們把隱私泄露給了黑客。

robots.txt幹什麼的？robots.txt基本上每一個網站都用，並且放到了網站的根目錄下，任何人均可以直接輸入路徑打開並查看裏面的內容，如：http://www.baidu.com/robots.txt。該文件用於告訴搜索引擎，哪些頁面能夠去抓取，哪些頁面不要抓取。通常而言，搜索引擎都會遵循這個規律。

robots.txt如何使用？在網站根目錄下建立一個文件，取名robots.txt，文件名必須是這個！而後設置裏面的規則。好比我有一個OA辦公系統，我要設置不容許任何搜索引擎收錄本站。robots.txt中就設置以下兩行便可。

代碼以下:

User-agent: *
Disallow: /

若是要限制不讓搜索引擎訪問咱們後臺admin目錄，則規則改成：

代碼以下:

User-agent: *
Disallow: /admin/

robots.txt更多的使用規則，不在本文的討論範圍以內。

 

robots.txt如何防黑客？像上面的例子中，咱們爲了讓搜索引擎不要收錄admin頁面而在robots.txt裏面作了限制規則。可是這個robots.txt頁面，誰均可以看，因而黑客就能夠比較清楚的瞭解網站的結構，好比admin目錄啊、include目錄啊等等。

有沒有辦法既可使用robots.txt的屏蔽搜索引擎訪問的功能，又不泄露後臺地址和隱私目錄的辦法呢？有，那就是使用星號（*）做爲通配符。舉例以下：

代碼以下:

User-agent: 
Disallow: /a*/

這個設置，禁止全部的搜索引擎索引根目錄下a開頭的目錄。固然若是你後臺的目錄是admin，仍是有能夠被人猜到，但若是你再把admin改成admmm呢？還有會誰能知道？總結下，爲了避免讓搜索引擎索引網站的後臺目錄或其它隱私目錄，咱們將這些路徑在robots.txt文件中禁用了。又爲了讓robots.txt中的內容不泄露網站的後臺和隱私，咱們使用星號(*)來修改設置項。最後爲了避免讓黑客猜到真實的路徑，咱們能夠把這些敏感的目錄進行很是規的重命名。

 

好了，關於robots.txt與網站隱私，就介紹這麼多，但願本文所述對你們的WEB網站安全建設有所幫助。