RISOLTO index.php e html.php , robots.txt e sitemap

[rob25111]

sto per caricare su server il mio primo sito fatto from scratch (web application).
Navigando su internet ho visto che oltre ai classici file robots.txt e il sitemap alcuni suggeriscono di inserire anche file di tipo index.php e index.html in ogni sottocartella..
ma non ne capisco il motivo.. a cosa servono ciò ?

2. un altra curiosità .. avendo fatto tutto tramite python - Django mi chiedevo se rispetto a usare un CMS ho/avrò dei svantaggi in termini di sicurezza? sarà più vulnerabile il sito?
Nel senso: CMS come Wordpress generano di default dei "codici di sicurezza" (rendo l'idea? )?

Schiaritemi le idee il più possibile please! magari se conoscete consigliatemi anche qualche doc/libro.

 

[Moffetta88]

Ti rispondo alla seconda sulla sicurezza: i cms non sono sicuri.
Se non trattati, sono dei colabrodi, mentre se si sa dove metter mano diventano abbastanza sicuri, ma out-of-the-box han più buchi di una zanzariera

 

[BAT]

alcuni suggeriscono di inserire anche file di tipo index.php e index.html in ogni sottocartella..
ma non ne capisco il motivo.. a cosa servono ciò ?

sono i file che vengono visualizzati dai browser in modo predefinito quando non indichi esplicitamente un altro file .html da visualizzare. In altri termini, quando digiti sulla barra degli indirizzi
www.<il-tuo-sito>.<com/it/org...>/<un-percorso-di-cartelle-esistente>/
verrà caricato
www.<il-tuo-sito>.<com/it/org...>/<un-percorso-di-cartelle-esistente>/index.html

 

[pabloski]

alcuni suggeriscono di inserire anche file di tipo index.php e index.html in ogni sottocartella..
ma non ne capisco il motivo.. a cosa servono ciò ?

Il motivo te l'ha parzialmente suggerito BAT00cent. Ma la ragione reale è evitare il listing delle directory. Hai il tuo Wordpress caricato sul server. Tanti bei file, in tante belle directory. Solo che in .htaccess ( o altro metodo ) non è specificato di bloccare il listing delle directory.

Gli hacker, per prima cosa, scannerizzano i domini, alla ricerca di file interessanti, che possano dare indicazioni sulla struttura del sito. In questo modo possono scegliere exploit efficaci.

Quando il tuo hacker, accede ad una directory, e si trova di fronte una lista di file php, i cui nomi indicano inequivocabilmente che si tratta di Wordpress e magari pure di quale versione...praticamente tre quarti del lavoro sono già fatti.

Che succede se c'è un index.html o index.php ( i server web sono spesso configurati per servire indistintamente index.html, index.php, index.phtml come pagine index per una directory ) è presente? Che il web server invia quello al nostro hacker, il quale si ritroverà in mano un file html che non gli dice niente sulla struttura del sito.

2. un altra curiosità .. avendo fatto tutto tramite python - Django mi chiedevo se rispetto a usare un CMS ho/avrò dei svantaggi in termini di sicurezza? sarà più vulnerabile il sito?

E qui rimando a Moffetta88. Se riponi speranze nei CMS più diffusi, finirai male, molto male. Ed è la ragione per cui le tecnologie come Django, Node.js e compagnia stanno andando sempre di più. Si preferisce bypassare tutto ciò che è bypassabile, anche i tradizionali web server come Apache, IIS, Nginx e compagnia.