Como SEOs, grande parte do nosso trabalho é criar conteúdo atraente que seja indexado pelo Google e fácil de ser encontrado pelos pesquisadores. Isso é bastante simples, mas também há muitas coisas em um servidor web que você não quer que o Google encontre. Arquivos de log, arquivos de configuração, dados pessoais, bancos de dados de clientes e documentos administrativos são apenas alguns exemplos de arquivos que não devem ser rastreados por mecanismos de pesquisa. Se o Google ou outro mecanismo rastrear e indexar dados confidenciais, seu site se tornará vulnerável a todo tipo de coisa. Como é que isso funciona? Hackers ou pesquisadores curiosos podem usar operadores de consulta avançados em mecanismos de pesquisa para especificar o tipo de arquivo e dados que procuram. Normalmente, eles dependem de algum tipo de presença que estará presente em um grande número de sites. Essa pegada pode vir do texto na página ou da estrutura do URL/site. A melhor maneira de entender isso é executar você mesmo alguns hacks do Google. Abaixo estão cinco exemplos de consultas avançadas que utilizam pegadas deixadas por arquivos e pastas que as pessoas normalmente não desejam disponibilizar para consumo público. Nenhum deles é particularmente sinistro e todos são amplamente conhecidos há alguns anos. Use-os por sua conta e risco apenas para fins de pesquisa 😀
1. Visualize documentos governamentais ‘confidenciais’
site:.gov type:.pdf “Este documento é CONFIDENCIAL”
Os operadores de pesquisa do Google permitem que você especifique vários operadores diferentes, incluindo TLD e tipo de arquivo. Esta consulta retorna uma lista de arquivos PDF em sites governamentais que são “confidenciais” para todos, menos para o Google.
2. Assuma o controle das webcams Panasonic
Esta consulta aproveita a pegada deixada pelas webcams Panasonic que ainda usam suas configurações padrão. Normalmente, nenhuma senha é necessária e você pode deslocar, aplicar zoom e inclinar a câmera. Você também pode encontrar e controlar muitas webcams Axis com esta consulta: inurl:indexFrame.shtml Eixo. Coisas divertidas.
3. Encontre senhas em texto simples
“sua senha é” tipo de arquivo:log
Esses arquivos de log contêm senhas em texto simples. Na maioria das vezes, a senha terá sido alterada, mas se não…
4. Obtenha acesso de administrador aos servidores de impressão
intitle:”Servidor de impressão em rede” tipo de arquivo:shtm
O toner não é barato… se a sua rede de impressão não for segura, alguém de longe pode correr solta na impressão de páginas de teste… e essa é possivelmente a coisa mais “legal” que poderia fazer.
5. Veja notas da faculdade e informações pessoais
inurl:final_grades.html site:.edu
Os professores muitas vezes publicam as notas finais online para que todos os alunos tenham acesso fácil. Infelizmente, o Google também. Os professores costumam usar informações pessoais, como carteiras de estudante, para separar os alunos.
Estes são apenas alguns exemplos de milhares de vulnerabilidades que os motores de busca podem encontrar. Existem consultas muito mais avançadas que foram formuladas para hackear sites, roubar informações de cartão de crédito, obter acesso ao MySQL e todo tipo de coisas desagradáveis.
Aqui estão algumas dicas sobre como você pode evitar vazamentos de informações como esse em seu próprio site.
- Sempre contrate pessoas de TI com conhecimento sobre segurança. Deixar de fazer da segurança uma prioridade desde o início pode levar a grandes problemas no futuro.
- Peça ao Google para remover um URL de seu índice.
- Coloque Robots.txt em uso. Este arquivo de configuração informa aos bots dos mecanismos de pesquisa quais páginas e pastas do seu site eles não têm permissão para rastrear.
- Proteja com senha informações confidenciais. Dã.
- Configure Alertas do Google para avisar quando ocorrer um possível vazamento de informações.
Leia mais:
## Perguntas Frequentes sobre Segurança na Web
### 1. Por que devo me preocupar com a segurança dos arquivos no meu servidor web?
Como SEOs, é crucial garantir que arquivos confidenciais, como dados pessoais e documentos administrativos, não sejam expostos a hackers ou pesquisadores curiosos. A exposição dessas informações pode resultar em sérias consequências para o seu site e seus usuários.
### 2. Como posso evitar que o Google rastreie e indexe informações sensíveis do meu servidor?
Você pode utilizar operadores de pesquisa avançados, como os mencionados acima, para identificar possíveis vulnerabilidades e corrigi-las antes que se tornem um problema. Além disso, é recomendável configurar corretamente o arquivo Robots.txt e proteger com senha todas as informações confidenciais.
### 3. O que devo fazer se encontrar uma vulnerabilidade no meu site?
Se você identificar uma vulnerabilidade em seu site, é importante corrigi-la o mais rápido possível. Você pode relatar o problema ao Google para remover o URL do índice e tomar medidas preventivas para evitar futuras exposições de informações sensíveis.
### 4. Como posso monitorar a segurança do meu servidor web?
Uma maneira eficaz de monitorar a segurança do seu servidor web é configurar Alertas do Google para receber notificações sobre possíveis vazamentos de informações. Além disso, é fundamental contar com profissionais de TI qualificados em segurança para garantir a proteção adequada do seu site.
### 5. Existe alguma outra dica para manter meu site seguro?
Além das medidas mencionadas acima, é importante manter-se atualizado sobre as melhores práticas de segurança na web e permanecer vigilante em relação a possíveis ameaças. Incentive a cultura da segurança em toda a sua equipe e esteja sempre atento a possíveis vulnerabilidades em seu servidor web.
