Cuidado com os arquivos do Git em seu webserver

Em uma busca rápida na web (clique aqui para visualizar) é possível visualizar que muitas pessoas responsáveis por sites e sistemas na internet vem esquecendo que tudo que estiver na raiz do webserver, incluindo seus subdiretórios, não havendo arquivo de configuração em contrário, estarão expostos ao acesso externo via internet.

No link acima podemos ver vários diretórios do git indexados e expostos pelo Google, o que facilita o trabalho de potenciais invasões e cria inúmeras possibilidades de vulnerabilidade e ataque.

Caso o administrador não possa tirar este diretório, assim como outros arquivos da raiz, como os do Composer do PHP, sugerimos uma alternativa que evitaria apenas a indexação pelos mecanismos de busca. Lembrando que o acesso via webserver para estes arquivo, utilizando a “solução” ainda será possível. Reforçamos. A solução abaixo apenas server para indexadores de conteúdo que honram as regras do robots.txt.

Adicione ou crie o arquivo robots.txt na raiz do diretório exposto por seu webserver.
Adicione o seguinte conteúdo:

Disallow: /composer.lock
Disallow: /composer.lock/*
Disallow: /.git/*

Isto irá apenas fazer com que o Google não indexe os arquivos acima especificados.

Agora a outra parte do serviço é remover da busca do Google os resultados para estes arquivos, caso já tenham sido indexados.

Vá ao Google Webmaster Tools do site alvo e solicite pela opção de requisição de remoção de URL pela retirada das URL desejadas.

Em alguns dias as URL solicitadas serão retiradas do resultado de busca.

E mais uma vez. Os arquivos críticos devem ficar totalmente inacessíveis via webserver ou seu site e sistemas estarão muito vulneráveis a ataques.

Gostou? Tire um minutinho e dê sua contribuição para Drall Dev Community no Patreon!

Artigos relacionados: