get-top.ru - Интернет-маркетинг и бизнес в интернете

Защита папок от просмотра содержимого

Однажды, зайдя в Яндекс.Вебмастер, я обнаружил, что количество страниц в поиске и количество страниц, загруженных роботом, превышают общее число страниц на моём сайте. Парадоксально, не правда ли?

Я стал просматривать страницы в поиске и обнаружил там несколько записей типа:

Index of /cat/10-page
http://site.ru/cat/10-page/

Перейдя по ссылке, можно увидеть содержимое данной папки (в моём случае, там были просто картинки-фотографии).

Сначала я проигнорировал такую особенность – пусть Яндекс индексирует то, что ему вздумается, всё равно данные страницы не выводятся в поиске и посетители сайта о них не в курсе.

Но потом задумался над следующими моментами:

1) Статистика в Яндекс.Вебмастер безнадежно испорчена – совершенно не понятно, сколько страниц Яндекс реально проиндексировал и сколько из них находится в поиске.

2) Скачивать сайты с подобной уязвимостью проще просто – не нужны даже никакие специальные программы, просто копируй файлы.

3) Если можно просматривать содержимое папки и копировать файлы, но, наверняка, используя ещё какую-нибудь уязвимость (например, разрешение на запись в папку всем), можно будет загрузить в эту папку файл, например, вредоносный скрипт. Последствия – самые любые.

Защитить папку от просмотра содержимого оказалось очень просто, достаточно добавить в файл .htaccess следующую строку:

Options –Indexes

Теперь доступ к просмотру содержимого папок оказался закрыт (причем все файлы доступны и прекрасно индексируются), а при попытке зайти – выдается 403 ошибка. В Яндекс.Вебмастере запрещенные страницы постепенно переходят в раздел «Исключено роботом».