Robots.txt et protection du dossier administration

titi222 · 25 Janvier 2010

Bonjour,

Je me pose différentes questions à propos du fichier robots.txt vis à vis de la protection de l'administration d'un site :

1/ Je souhaite protéger l'accès à mon dossier "admin" (cela doit s'effectuer par le fichier .htaccess+pass), mais est-ce utile d'interdire l'indexation de ce dossier par le fichier robots.txt ? Car je viens de m'apercevoir que le fichier robots.txt peut s'afficher en tapant www.mondomaine/robots.txt, c'est donc donner clairement à des hackers le nom de mon dossier admin ?

2/ En théorie, je ne pense pas que les moteurs indexerait le dossier "admin" vu qu'il y a un accès avec mot de passe, donc le simple fichier .htaccess est suffisant ? Sauf que je viens de découvrir que ce type de fichier est lisible également par l'url !!

Comment faites-vous pour sécuriser votre dossier administration et éviter l'indexation de ces pages non désirées ?

Autre question :

Des consignes no index, no follow... peuvent s'effectuer par le fichier robots.txt, une meta robots dans la page et l'url d'un lien. En admettant que ces éléments soient contradictoires : qui est le chef ?

Merci par avance pour votre aide

Rod la Kox · 25 Janvier 2010

titi222 a dit:
2/ En théorie, je ne pense pas que les moteurs indexerait le dossier "admin" vu qu'il y a un accès avec mot de passe, donc le simple fichier .htaccess est suffisant ? Sauf que je viens de découvrir que ce type de fichier est lisible également par l'url !!

8O
C'est nouveau ça.
Non, si un type tape http://.../admin/.htaccess, cela affiche une erreur 403.

Et pour répondre à tes inquiétudes, non, des pages bloqués par htacces ne sont pas indexées sauf si on le précise.
Donc, mettre /admin dans ton robots.txt ne sert à rien.

Le no follow d'un lien n'a rien à voir avec le nofollow du robots.txt ou du meta.
La priorité en robots.txt et meta... aucune idée.
Le nofollow du lien est un tag googlesque qui n'empêche pas de suivre un lien, mais de faire suivre le poids de la page.

nickargall · 25 Janvier 2010

Et oui, idéalement, on ne donne pas aux hackers potentiels l'adresse d'accès à l'admin, que ce soit par un lien dans le site ou dans le fichier robots.txt. Idéalement, on ne l'appelle d'ailleurs pas /admin/

fullflash13 · 25 Janvier 2010

Salut
Encore mieux , tu renomme ton dossier admin en autre chose et tu te crée un vrai dossier admin ou tu ne met qu'un fichier index.php vide , comme ca les hackeur croiront qu'il y aune page d'acces par la et perdront leurs temps dans la mauvaise direction a rechercher une eventuel page admin/login.php.

A plus.

titi222 · 25 Janvier 2010

Bonsoir et merci pour vos réponses.

Rod la Kox a dit:
8O
C'est nouveau ça.
Non, si un type tape http://.../admin/.htaccess, cela affiche une erreur 403.

Et oui ça me paraissait dingue... pourtant dans un bouquin que j'ai, on conseille cette fonction :
<Files .htaccess>
order allow,deny
deny from all
</Files>
pour éviter l'affichage du htaccess par un navigateur (j'ai retrouvé aussi ici cette info : http://www.tuteurs.ens.fr/internet/web/htaccess.html). D'où le doute que j'ai eu... j'ai fait des tests où j'ai affiché à un moment donné le fichier mais ce n'est plus reproductible (ou alors je perds la boule), maintenant j'ai bien une erreur 403 systématiquement.... Mais est-ce vraiment sûr ?

nickargall a dit:
Et oui, idéalement, on ne donne pas aux hackers potentiels l'adresse d'accès à l'admin, que ce soit par un lien dans le site ou dans le fichier robots.txt. Idéalement, on ne l'appelle d'ailleurs pas /admin/

Tout à fait d'accord !

fullflash13 a dit:
Encore mieux , tu renomme ton dossier admin en autre chose et tu te crée un vrai dossier admin ou tu ne met qu'un fichier index.php vide , comme ca les hackeur croiront qu'il y aune page d'acces par la et perdront leurs temps dans la mauvaise direction a rechercher une eventuel page admin/login.php.

J'adore... :lol:

Rod la Kox a dit:
Le no follow d'un lien n'a rien à voir avec le nofollow du robots.txt ou du meta.
La priorité en robots.txt et meta... aucune idée.
Le nofollow du lien est un tag googlesque qui n'empêche pas de suivre un lien, mais de faire suivre le poids de la page.

Ah là je ne savais pas, il faut dire que c'est confusant...

Leonick · 3 Février 2010

titi222 a dit:
Et oui ça me paraissait dingue... pourtant dans un bouquin que j'ai, on conseille cette fonction :
<Files .htaccess>
order allow,deny
deny from all
</Files>

en règle générale, on indique cette fonctionnalité dans le fichier de config d'apache

titi222 · 3 Février 2010

Leonick a dit:
en règle générale, on indique cette fonctionnalité dans le fichier de config d'apache

Donc si je comprends bien, c'est pour ceux qui configurent leur serveur eux-même ?
Comme je suis hébergé sur un serveur mutualisé, cette fonction est sans doute déjà présente ? (suis chez Ovh 90Plan)

Leonick · 4 Février 2010

ajoute juste

Code:

IndexIgnore *

dans ton htaccess, ça permettra d'éviter qu'on ne liste un répertoire dans lequel tu n'as pas placé de fichier index