Tenía pendiente escribir este post mini advertencia desde hace 2 meses por lo menos:
Si vas a instalarte el magnífico plugin de worpress WP-DB Backup, no olvides entrar en el directorio que te ha creado el plugin y hacer un archivo nuevo llamado index.html o index.php vacío. Ya que en algunos servidores que permiten el listado de directorios podrian ser visibles tus backups , incluso para google.
Aquí dejo una muestra de una búsqueda en google ( ala google hack):
Lord Darth Vader: Oye Friedrich, tu wifi ¿lo tienes encriptado en condiciones? Nietzsche: ¿Yo? que va. No tengo nada que esconder. Lord Darth Vader: mhhh, entonces ¿duermes con la puerta abierta de tu casa? Nietzsche: ¿Qué dices, estas loco? ¡Cómo voy a dormir con la puerta abierta de mi casa??!! Lord Darth Vader: Vale, podias haber dicho antes que no aseguras tu red wifi porque no te sale de los cojones.
Moraleja: Todos tenemos algo que esconder (o el derecho a tener algo que esconder).
Todos los expertos en seguridad informática coinciden en que el elemento mas difícil de controlar es el factor humano. Ningún sistema de protección perimetral, firewalls,IDS, protocolos cifrados, etc. puede asegurar ninguna red si luego los usuarios dejan las contraseñas apuntadas en una servilleta de papel, eso si: escondida hábilmente debajo del teclado. Algo mas grave que eso, ya que para acceder a esa servilleta tendría que haber acceso físico al ordenador de esa red, es lo que muestra google si se sabe usar como lo hace Johnny Long y su Google Hacking Database (GHDB). Todo un impresionante muestrario de datos expuestos al voraz apetito de googlebot.
Una espeluznante colección de combinaciones de búsqueda (por lo visto se llaman googledorks) que nos muestra por ejemplo: archivos que contienen contraseñas, directorios sensibles, servidores vulnerables, montones de archivos microsoft access con miles de registros conteniendo información personal.
En definitiva, una página que nos enseña lo humanos que somos. Muy entretenida para las tardes lluviosas de otoño que se avecinan.
Si tienes mas interés por el tema, el mismo autor de la web ha escrito un libro: Google Hacking for Penetration Testers
