Bezpieczeństwo w sieci dla strony internetowej dziecka

12

Buduję witrynę Wordpress dla rodzica 11-latka, który chciał upamiętnić osiągnięcia sportowe, akademickie i osobiste jej córek. Strona zawiera zdjęcia i filmy z nią i przyjaciółmi, informacje biograficzne i posty na blogu. Domena jest prywatnie zarejestrowana na nazwę mojej firmy, nie dodam ich do konsoli Google i minimalizuję inne SEO. Nie ma nazwisk ani adresów fizycznych. Chcę mieć na uwadze maksymalne bezpieczeństwo w sieci, aby uniknąć zgarniania przez fotografów skrobaczek itp., Wścibskich oczu itp. Prawdopodobnie jestem paranoikiem i podobnie jak wszystkie moje witryny sądzą, że może uzyskać większy ruch niż w rzeczywistości, ale sądzę, że to warte dochodzenia i warte kropkowania moje ja. Witryna dziecka jest w doskonałym guście, a rodzic jest bardzo przyziemny,

Czy są jakieś niezawodne metody, które mogę podjąć w celu zwiększenia bezpieczeństwa w sieci dla tej 11-latki i jej witryny?

rhill45
źródło
3
To jest początek: webmasters.stackexchange.com/questions/77031/ ... Zastanowię się nad innymi pomysłami na stronę. BTW- Dobry dla ciebie w podjęciu tego zadania! To jest trochę trudne. Ale warte wysiłku !! Kiedyś robiłem darmowy hosting charytatywny wraz z płatnym hostingiem, a szlachetne cele były zawsze moim ulubionym. Te pamiętam!
closetnoc,
3
Zdajesz sobie sprawę, że nic, co zrobisz, nie uczyni go w 100% niewidocznym ... wystarczy, że ktoś opublikuje link do niego na Facebooku lub Tumblrze, a ta strona będzie na miejscu ... Najlepszą rzeczą do zrobienia jest mieć rodzic nadzoruje / zatwierdza wszystkie treści zamieszczane przez dziecko i kształci oboje na temat tego, na co powinni uważać
HorusKol,
4
robots.txtPlik z prawem treści mogą zachować wszystkie uzasadnione botów na zewnątrz. Najtrudniejszą częścią jest reszta. Wiele z nich można trzymać z daleka, jeśli trudno znaleźć adres witryny.
kasperd
5
Oprócz wszystkiego, co już powiedziano, należy pamiętać, że Wordpress pozostawia nienaruszone dane EXIF ​​obrazu ...
user1103
3
Czy to musi być strona internetowa? Jeśli nie chcesz, aby dużo się rozprzestrzeniało i trafiało w niepowołane ręce, po co umieszczać je w Internecie? Czy nie mógłbyś zrobić czegoś innego w jej pamięci i przekazać go zaangażowanym rodzicom / rodzinie / osobom?
Tom.Bowen89,

Odpowiedzi:

20

Prawdopodobnie jestem paranoikiem

Może jestem paranoikiem, ale wygląda na to, że powinien to być całkowicie prywatny blog / strona internetowa. to znaczy. hasło chronione. Kim dokładnie jest grupa docelowa?

Oprócz aspektu bezpieczeństwa (zapobieganie pozbawianiu skrupułów znalezienia i korzystania z treści), ten rodzaj treści brzmi, jakby był gotowy na zastraszanie przez innych „szkolnych” przyjaciół. Treści, które mogą być początkowo w porządku - dla 11-latka - mogą po prostu stać się krępujące za kilka lat.

Nie dodam ich do konsoli Google

Wydawałoby się to zacofane? Sposób ukrywania treści przed Google (np. „Dobry” bot) to użycie robotsmetatagu (lub X-Robots-Tagnagłówka) i być może robots.txt. Pominięcie go w Google Search Console nie pomoże w tym zakresie.

Przynajmniej jeśli dodasz go do Google Search Console, możesz monitorować takie rzeczy, jak linki zwrotne, sprawdzać plik robots.txt itp. Jeśli rzeczywiście trafisz na giełdę.

MrWhite
źródło
1
To naprawdę jedyne rozsądne rozwiązanie. +1
MonkeyZeus,
4
Krótkie wyjaśnienie - brak dodawania witryny do Google Search Console oznacza, że ​​nie mówimy Google bezpośrednio o witrynie. Oznacza to, że nie robisz nic, aby Google Cię zauważył. Nie oznacza to jednak, że Google NIE MOŻE cię zauważyć - użyłbyś do tego plików robotów, jak sugerował w3d. Ponadto zabezpieczenie witryny hasłem oznaczałoby, że największą liczbą indeksowanych przez Google stron byłaby strona logowania.
Jake
11
„Sposób ukrywania treści przed Google” polega na tym, aby nie umieszczać ich w Internecie .
Wyścigi lekkości na orbicie
2
Myślę, że hasło chroniące katalog może pokonać powody, dla których mama chce mieć witrynę, w takim przypadku moglibyśmy napisać list z wiadomością doc doc i wysłać go pocztą elektroniczną. Córka chce założyć bloga. Mamy, nie głupie, ona przegląda i edytuje treść. Nie wierzę, że robią tutaj coś nieodpowiedzialnego. To doskonała opinia na temat tego pytania.
rhill45
Hasło chroniące stronę w WP nie ma nic wspólnego z zabezpieczaniem mediów.
blankip
6

Jedyną właściwą odpowiedzią jest ochrona całego hasła hasłem. HTTP BASIC_AUTH jest prawdopodobnie najprostszy w konfiguracji, ponieważ nie będzie w żaden sposób wchodził w interakcje z WordPress. Samo to wystarczy, aby odstraszyć wszystkie skrobaki, ale jeśli chcesz odpowiedniego bezpieczeństwa, powinieneś również użyć HTTPS.

(Sidenote: W wielu systemach strona HTTP przekieruje do HTTPS. Jednak w przypadku HTTP BASIC_AUTH przekierowanie może nastąpić po pytaniu o hasło. Strona HTTPS wyświetli monit o hasło ponownie. Oznacza to, że hasło zostało wprowadzone dwa razy, raz w postaci tekstu jawnego i raz w bezpiecznym kanale. Zasadniczo możliwe jest posiadanie różnych haseł dla wersji HTTP i HTTPS lub brak hasła dla wersji HTTP: wystarczy przekierować do wersji HTTPS, która następnie poprosi o podanie hasła. To, jak łatwo to skonfigurować, zależy od narzędzi używanych do zarządzania preferencjami hostingu witryny. Alternatywnie po prostu upewnij się, że zawsze nawigujesz bezpośredniodo strony HTTPS, omijając niezabezpieczoną wersję. Jeśli używasz systemu haseł innego niż HTTP BASIC_AUTH, prawdopodobnie nie będzie to miało zastosowania.

Wymuskany
źródło
4
Jeśli chcesz przejść drogą chronioną hasłem, biorąc pod uwagę, że jest to witryna WordPress, po prostu użycie WordPress do obsługi tego wszystkiego jest znacznie łatwiejszą metodą: codex.wordpress.org/Content_Visibility#Private_Content
Doyle Lewis
1
@DoyleLewis. Czy to ochroni zasoby statyczne, takie jak przesłane zdjęcia? Trzeba przyznać, że przeszukiwacz raczej ich nie znajdzie (o ile masz Options -Indexes).
TRiG
Rozważyłem https, ale jedynym problemem jest koszt. Chciałbym znaleźć sposób, aby uruchomić jej stronę pod moimi firmami ssl, ale oczywiście nie jest to możliwe
rhill45
2
letsencrypt.org @ rhill45.
TRiG
1
@TRiG Jeśli ktoś miałby adres URL do statycznego pliku multimedialnego, to nie, nie chroniłby tego. Ale żaden robot nigdy do niego nie dostanie, ponieważ nie byłby w stanie uzyskać dostępu do treści, która prowadziłaby do pliku.
Doyle Lewis,
3

Najpierw przepraszam wszystkich profesjonalnych webmasterów, ale w przypadku tego OP mam jedną złotą sugestię:

Naruszaj wytyczne wyszukiwarki

Chodzi mi o to, aby zrobić to do tego stopnia, że ​​ważna treść jest w złożonym javascript, a roboty do indeksowania treści nie mają poprawnego HTML. Obejmuje to zły tag opisu, zły tag tytułu itp. Do licha, może przerób całą zawartość na wideo nagrane we flashu lub pokaż całą zawartość jako tylko jedno zdjęcie. To naprawdę spowodowałoby, że wyszukiwarka skurczyłaby się.

Pokażę jako przykład w kodzie:

Oto sposób na indeksowanie czegoś:

<!DOCTYPE html>
<html>
<head>
<title>Web page</title>
<meta name="description" content="This is a wonderful web page">
</head>
<body>
<h1>A wonderful web page</h1>
<h2>By John Smith</h2>
<p>This is a wonderful page. ya de ya de ya de ya de ya de ya de</p>
<p>This is wonderful. ya de ya de ya de ya de ya de ya de</p>
</body>
</html>

Ok, przyznaję, tekst nie jest idealny, ale rozumiesz, co mam na myśli.

Teraz, jeśli chcesz ukryć go przed robotami i zrobić to w prosty sposób, możesz spróbować:

<!DOCTYPE html>
<html>
<head>
<title>Private</title>
</head>
<body>
<img src="mywebsite.jpg" width=1024 height=768>
</body>
</html>

następnie utwórz obraz o nazwie mywebsite.jpg i dołącz do niego cały tekst, a nie w pokazanym powyżej pliku HTML. Następnie musisz chronić mywebsite.jpg, tworząc wersję ze znakiem wodnym dla użytkowników, którzy nie są upoważnieni do zobaczenia prawdziwej rzeczy. Po prostu porównaj ciągi użytkownika lub adresy IP z tymi, na które zezwalasz / nie zezwalasz dla obrazu. Tego typu czynności można dokonać w .htaccess z pewnymi regułami przepisywania.

Na przykład, aby zmusić googlebota do wyświetlenia obrazu ze znakiem wodnym zamiast rzeczywistego, użyj następujących reguł:

RewriteCond %{HTTP_USER_AGENT} ^googlebot$ [NC]
RewriteRule ^mywebsite.jpg$ specialrobotimage.jpg [L]

Zakładam tutaj, że mywebsite.jpg to twoja prawdziwa strona internetowa jako obraz, a specialrobotimage.jpg to znak wodny lub obraz jako wiadomość informującą, że tylko prawdziwi użytkownicy mogą zobaczyć informacje. Ponadto reguły zakładają, że wszystko znajduje się w tym samym folderze.

Mikrofon
źródło
Rzeczywiście, JS może być dobrym sposobem na zdobycie tego. Podczas gdy niektóre boty działają w JS, zgarniacze i to, co często nie. Oznacza to, że różne obiekty DOM DOM HTML mogą być ustawione na rzeczywistą treść podczas działania JS. Nie sugeruję polegania na klientach użytkownika, ponieważ są one często wykuwane przez skrobaki. Zastanów się nad zainstalowaniem ModSecurity i pozwól, aby wykonał większość pracy za Ciebie.
closetnoc,
11
To naprawdę kiepska rada. To dużo pracy bez rzeczywistych korzyści. W dzisiejszych czasach mnóstwo botów obsługuje JavaScript. Treści w filmie lub obrazie nie są łatwe do utrzymania (a ponadto oba są regularnie indeksowane). Nawet treści we Flashu są indeksowane od lat.
Brad
Ok zapomniałem wspomnieć, że do zdjęć i filmów nie należy stosować indeksowania. Rozumiem, że nie są łatwe do utrzymania, ale przynajmniej tekst nie może być tak łatwo modyfikowany. Jeśli z drugiej strony na stronie znajduje się tylko nieprzetworzony tekst, wówczas robot może pobrać fragment tekstu, zmodyfikować go, dodać szablon, a następnie zbudować z niego inną witrynę. Wątpię, by robot mógł wyodrębniać tekst z obrazów lub filmów.
Mike,
3

Po pierwsze, to jest naprawdę pytanie WP. Napisałem ponad 20 witryn, które robią to, czego potrzebujesz, więc jest to dość łatwe.

1 Musisz się zalogować, aby zobaczyć każdą stronę.

2 Blokujesz folder przesyłania za pomocą skryptu i .htaccess. Istnieją skrypty, które sprawdzą login użytkownika przed umożliwieniem mu przeglądania multimediów.

Jeśli chcesz zrobić coś pomiędzy tym a otwarciem witryny - to dużo pracy. Najłatwiej to zrobić, mając dwa foldery do przesyłania - jeden z zabezpieczeniami, a drugi do wszystkiego innego, jeśli chcesz, aby niektóre strony były szeroko otwarte, a niektóre nie.

Co do tego, co mówią inni o zawartości - nie można jej znaleźć, jeśli strony są zablokowane ... to nie jest tak naprawdę prawda. Mam skrypty robotów, które przeszukają bzdury z folderu w poszukiwaniu nazw plików.

Cała rozmowa z Google i robotami to nonsens. Te rzeczy mają znaczenie tylko wtedy, gdy chcesz to zrobić na wpół. Jeśli to zrobisz, skorzystaj z porady w niektórych z wyżej omówionych pytań.

blankip
źródło