Google Dorks ou Google Hacking offre la possibilité de hacker un site web grâce à une simple requête sur Google. Ces méthodes de recherche avancées sur Google sont souvent utilisées à bon escient mais pourraient aussi permettre à un utilisateur mal intentionné de trouver des informations très précises sur un site particulier, et donc d’identifier ses failles de sécurité. Découvrez comment protéger votre site web du Google Dorking avec quelques mesures simples.
Google Dorks ou Google Hacking offre la possibilité de hacker un site web grâce à une simple requête sur Google. Ces méthodes de recherche avancées sur Google sont souvent utilisées à bon escient mais pourraient aussi permettre à un utilisateur mal intentionné de trouver des informations très précises sur un site particulier, et donc d’identifier ses failles de sécurité. Découvrez comment protéger votre site web du Google Dorking avec quelques mesures simples.
Google Dorks, c’est quoi ?
Google Dorks ou Google Hacking, c’est le nom que l’on donne aux méthodes de recherche avancée sur le moteur de recherche Google. Ces méthodes s’appuient sur le principe de l’OSINT (Open Source Intelligence) et permettent de tirer profit de Google pour obtenir des informations très précises, qui sont normalement invisibles aux utilisateurs lambda.
Les Google Dorks permettent ainsi de trouver les équipements non protégés exposés sur Internet (routeurs, imprimantes, etc.), des fichiers sensibles (dont des mots de passe et listes d’utilisateurs), des fichiers de listes de prix, des pages d’authentification sur des applications web…
Cette fonctionnalité peut être utilisée pour effectuer des requêtes avancées sans impact réel, mais elle peut aussi être exploitée par les hackers, qui vont alors effectuer des requêtes offensives.
Quels sont les dangers de Google Dorks ?
Avec Google Dorks, il peut être très facile pour un hacker de trouver les failles de votre site web avec une simple recherche Google. La base de données Google Hacking référence un grand nombre de hacks sur Google, qui peuvent être utilisés avec un but malveillant par les pirates. La seule manière d’éviter de se faire pirater à cause d’informations sensibles recueillies via les Google Dorks est de protéger son site. Pour cela, il est important de mettre en place une bonne configuration de votre robots.txt et de télécharger des plugins comme hidemywp, qui permet de cacher les plugins ert les thèmes du code source de votre site.
Configurer le robots.txt pour protéger son site web de Google Dorks
Pour indexer les quelques milliards de pages qui se trouvent dans l’index de Google, le moteur de recherche s’appuie sur des robots, aussi appelés crawlers ou bots. Pour chaque page, le robot va lire le contenu de la page et l’indexer dans la base du moteur de recherche. Il peut également suivre les liens contenus dans la page et indexer les pages auxquelles il a ainsi accédé. En tant qu’administrateur de site web, vous pouvez décider si vous souhaitez que le robot indexe ou non votre page dans la base du moteur de recherche. Les règles d’indexation que doivent appliquer les robots sont réunies dans le fichier robots.txt, situé à la racine de votre site web.
Les robots vont aussi s’appuyer sur le fichier Sitemap, qui déclare toutes les pages çà indexer pour leur faciliter le travail.
Vous pouvez donc moduler l’accès des robots d’indexation à vos fichiers. L’idée n’est pas de leur interdire l’accès à toutes les pages, car sinon vous ne serez pas référencé. Mais il est impoortant de leur interdire l’accès aux fichiers sensibles, notamment le répertoire wp-admin, qui contient l’interface d’administration de votre site WordPress.
Voici ce que vous devez écrire dans votre fichier robots.txt :
User-agent: *
Disallow: /wp-admin/ Cela signifie que vous autorisez tous les robots (User-agent) dans tous les répertoires, sauf wp-admin.
Vous pouvez faire la même chose pour tout autre fichier sensible que vous ne souhaitez pas voir indexé par les robots de Google. Par exemple, si votre site héberge des pdf et que vous ne souhaietz pas qu’ils soient indexés, il suffira d’écrire :
User-agent: *
Disallow: *.pdf Cela permet de bloquer l’indexation de tous les fichiers qui ont une extension pdf. Il est asuysi possible d’écrire « Disallow: /pdf/ », ce qui va bloquer l’indexation du répertoire pdf.
Si vous souhaitez personnaliser encore plus les règles d’indexation, vous pouvez préciser quels robots peuvent ou ne peuvent pas avoir accès aux répertoires, pages ou fichiers en question : Googlebot, Googlebot-Image, Bingbot, Qwantify, Qwant-news, DuckDuckBot…
WordPress est sécurisé… si vous suivez les mesures de sécurité !
Votre site web redirige vers des pages malveillantes, comme des sites de rencontre ou des publicités pour de faux produits ?
La page d’accueil a été modifiée ou a été remplacée par une autre page, comme une page à caractère islamique avec message de rançon ?
Un code erreur apparait à la place de votre page d’accueil ?
Les pages de votre site internet sont anormalement lentes ?
Votre site web mine des crypto monnaies à votre insu ?
Besoin de conseils pour protéger votre site de Google Dorks ?
Vous avez des questions sur Google Dorks et sur la manière dont vous pouvez vous en protéger au mieux ? Notre équipe d’experts WordPress répond à toutes vos questions et vous accompagne dans les manipulations qui peuvent vous paraître compliquées. N’hésitez pas à nous contacter pour en savoir plus.
Benjamin Bueno
16 novembre 2023
Catégorie
Sécurité WordPress
Sécurité WordPress
Découvrez sur notre blog d’autres bonnes pratiques pour sécuriser votre site WordPress : configuration des clés de sécurité WordPress, obtention du certificat de sécurité HTTPS, mise à jour des plugins WordPress, mise à jour de votre version de WordPress, protection contre les spams SEO les plus courants…
Articles du même sujet
Nos experts français assurent un support et une prestation de qualité.
je demande de l’AIDE
Recevoir un devis
