كايروكي - يا أبيض يا أسود via Nostalgia (2022)

Contra intrometidos (II)...

Nomenclatura de ficheiros a evitar nos servidores: nunca nomear ficheiros (.bak, .zip, .rar, .tar, .7z, .bz, .gz, .tar.gz, .tgz, etc) antes da extensom como
  • 1, 12, 123, 1234, etc., p. ex. 123.7z
  • AAAA, p. ex. 2023.bak

Palavras óbvias, a proibir combinadas coas extensões precedentes (p. ex. old.rar), porque é como vam procurar imediatamente de modo automático se as permissões nom lho impedem:
  • admin
  • app
  • assets
  • backup, backups
  • blog
  • cgi-bin
  • code
  • data
  • db
  • home
  • htdocs, httpdocs,
  • httpd
  • html
  • log
  • master
  • my
  • new
  • old
  • pack
  • php
  • public
  • public_html
  • site, sites
  • test
  • website
  • wp
  • wp-admin
  • wp-content
  • wp-includes
  • www
  • www_nomedodominio.com
  • wwwroot

Devem-se evitar ficheiros que se chamem como a sua extensom, tipo zip.zip ou rar.rar

Tampouco se gerarám ficheiros privados que se chamem igual que diretórios públicos,
p. ex. se tens um www.nomedodominio.com/dados/informeanual nom gerarás um informeanual.tar.gz que for de caráter privado.

Quanto a diretórios, nomes óbvios a evitar por questom de ataques som:
  • .env
  • home
  • main
  • new
  • old
  • pma
  • sitemap
  • test
  • testing
  • wordpress
  • wp
  • phpMyAdmin, phpmyadmin, myadmin, phpadmin, phpmdm e todas as variações que se che ocorram
  • assim como cgialfa, ALFA_DATA, alfacgiapi e variantes.

Finalmente, considera que vam buscar estes diretórios e ficheiros:
  • .DS_Store
  • .git/config
  • .well-known/traffic-advice
  • css.php
  • public/_ignition/health-check/
  • sitemap.xml
  • wp-login.php

wp-includes/ merece capítulo à parte, aí solicitarám entre outros:
  • wlwmanifest.xml
  • css/wp-config.php
  • wp-atom.php

tamém wp-admin/style.php

wp-content/ igual, dentro del vam querer:
  • db-cache.php
  • mu-plugins/db-safe-mode.php
  • plugins/anttt/simple.php
  • plugins/core-stab/index.php
  • plugins/ioptimization/IOptimize.php
  • plugins/TOPXOH/OH.php
  • plugins/TOPXOH/wDR.php
  • plugins/w0rdpr3ssnew/wp-login.php
  • themes/classic/inc/index.php
  • themes/seotheme/db.php
  • updates.php
  • e similares

Evidentemente nom é nada recomendável deixar ficheiros comprimidos e agregados em diretórios mais ou menos aleatórios de servidores públicos. Porém, tenho-o visto fazer tantas vezes (e com nomes como os procurados polos maus! XD) que nom me surpreende que tentem atacar por aí.
In Galician we don't say "No se podía saber", we say "Quem contava" and I think that's beautiful.
As pizzas nom som empadas sem cobertura.
Sigam-me para mais dicas de haute cuisine.