小心robots.txt向黑客泄露了网站的后台和隐私

也许不少小伙伴站长们还有疑问为啥本身的网站后台更更名字了或者总是被爆（bao）破（ju），小生不才，青葱年少时从hacker中摸爬滚打到热衷于php下面就就简单的给你们解析一下这里面的门道。

1.网站系统后台 - 大部分开源系统的后台都是以（admin）文件夹为后台在其官网都会开放出来让用户知晓，这样黑客们爆破你的后台就是技术问题而已了，因此大多数人都会修改掉网站后台的文件夹名字，很少说。因此通常不修改后台地址使用默认的被爆都是自找的怪不了谁。

2.黑客经过度娘and谷姐输入关键字搜索后台地址，由于搜索引擎会把用户全部默认目录和隐私文件目录统统收录下来，由于是机器嘛，因此不能有多人性化啦。

了解到黑客能访问到你的网站后台的两种渠道后就要说道robots.txt了。

什么是robots.txt？为了避免让搜索引擎索引网站的后台页面或其它隐私页面，咱们将这些路径在robots.txt文件中禁用了。但矛盾的是，robots.txt文件任何人均可以访问，包括黑客。为了防搜索引擎，咱们把隐私泄露给了黑客。

robots.txt干什么的？robots.txt基本上每一个网站都用，并且放到了网站的根目录下，任何人均可以直接输入路径打开并查看里面的内容，如：http://www.baidu.com/robots.txt。该文件用于告诉搜索引擎，哪些页面能够去抓取，哪些页面不要抓取。通常而言，搜索引擎都会遵循这个规律。

robots.txt如何使用？在网站根目录下建立一个文件，取名robots.txt，文件名必须是这个！而后设置里面的规则。好比我有一个OA办公系统，我要设置不容许任何搜索引擎收录本站。robots.txt中就设置以下两行便可。

代码以下:

User-agent: *
Disallow: /

若是要限制不让搜索引擎访问咱们后台admin目录，则规则改成：

代码以下:

User-agent: *
Disallow: /admin/

robots.txt更多的使用规则，不在本文的讨论范围以内。

 

robots.txt如何防黑客？像上面的例子中，咱们为了让搜索引擎不要收录admin页面而在robots.txt里面作了限制规则。可是这个robots.txt页面，谁均可以看，因而黑客就能够比较清楚的了解网站的结构，好比admin目录啊、include目录啊等等。

有没有办法既可使用robots.txt的屏蔽搜索引擎访问的功能，又不泄露后台地址和隐私目录的办法呢？有，那就是使用星号（*）做为通配符。举例以下：

代码以下:

User-agent: 
Disallow: /a*/

这个设置，禁止全部的搜索引擎索引根目录下a开头的目录。固然若是你后台的目录是admin，仍是有能够被人猜到，但若是你再把admin改成admmm呢？还有会谁能知道？总结下，为了避免让搜索引擎索引网站的后台目录或其它隐私目录，咱们将这些路径在robots.txt文件中禁用了。又为了让robots.txt中的内容不泄露网站的后台和隐私，咱们使用星号(*)来修改设置项。最后为了避免让黑客猜到真实的路径，咱们能够把这些敏感的目录进行很是规的重命名。

 

好了，关于robots.txt与网站隐私，就介绍这么多，但愿本文所述对你们的WEB网站安全建设有所帮助。