Sicurezza Web per il sito Web del bambino

12

Sto costruendo un sito Wordpress per un genitore di un bambino di 11 anni che voleva qualcosa per commemorare le sue figlie risultati atletici, accademici e personali. Il sito include foto e video di lei e dei suoi amici, informazioni biografiche e post di blog. Il dominio è registrato privatamente a nome della mia azienda, non li sto aggiungendo alla console di Google e sto mantenendo gli altri SEO minimizzati. Non ci sono cognomi o indirizzi fisici. Voglio avere la massima sicurezza web in mente per evitare che gli scraper possano catturare le sue foto, ecc., Occhi indiscreti, ecc. Probabilmente sono paranoico e come tutti i miei siti pensano che potrebbe ottenere più traffico di quanto non faccia in realtà, ma immagino che sia vale la pena indagare e vale la pena punteggiare il mio io. Il sito Web del bambino ha un gusto eccellente e il genitore è molto concreto,

Esistono metodi affidabili che posso adottare per aumentare la sicurezza del Web per questa undicenne e il suo sito?

seo  website-promotion 
rhill45
fonte
3
Questo è un inizio: webmasters.stackexchange.com/questions/77031/… . Penserò ad altre idee per il sito in generale. A proposito, buon per te nell'assumere questo compito! È un po 'difficile. Ma ne vale la pena !! Ero solito fare hosting gratuito di beneficenza insieme all'hosting a pagamento e le nobili cause erano sempre le mie preferite. Questi sono quelli che ricordo!
closetnoc,
3
Ti rendi conto che nulla che fai renderà il 100% invisibile ... tutto ciò che serve è qualcuno per pubblicare un link su di esso su Facebook o Tumblr, e quel sito Web sarà là fuori ... La cosa migliore da fare è avere il genitore supervisiona / approva tutto il contenuto che il bambino sta postando ed educa entrambi su ciò di cui devono stare attenti
HorusKol
4
Un robots.txtfile con il giusto contenuto può tenere fuori tutti i robot legittimi. La parte difficile è il resto. Molti di questi possono essere tenuti lontani se l'indirizzo del sito è difficile da trovare.
Kasperd,
5
Oltre a tutto ciò che è già stato detto,
tieni
3
Questo deve essere un sito Web? Se non vuoi che si diffonda molto e finisca nelle mani sbagliate, perché metterlo su Internet? Non potresti fare qualcos'altro nella sua memoria e darlo ai genitori / famiglia / persone coinvolte?
Tom.Bowen89,

Risposte:

20

Probabilmente sono paranoico

Forse sono paranoico, ma sembra che dovrebbe essere un blog / sito Web interamente privato. vale a dire. protetto da password. Chi è esattamente il pubblico target?

A parte l'aspetto della sicurezza (che impedisce ai senza scrupoli di trovare e utilizzare il contenuto), questo tipo di contenuto sembra essere maturo per il bullismo da parte di altri "amici" della scuola. Il contenuto che potrebbe essere OK all'inizio - per un bambino di 11 anni - potrebbe diventare imbarazzante in pochi anni.

Non li sto aggiungendo alla console di Google

Questo sembrerebbe essere arretrato? Il modo in cui nascondi contenuti da Google (ad es. Un "buon" bot) è utilizzare il robotsmeta tag (o X-Robots-Tagintestazione) e forse robots.txt. Ometterlo da Google Search Console non sarà di aiuto in questo senso.

Almeno se lo aggiungi a Google Search Console puoi monitorare cose come backlink, controllare robots.txt, ecc. Se davvero diventi pubblico.

MrWhite
fonte
1
Questa è davvero l'unica soluzione sana. +1
MonkeyZeus,
4
Breve chiarimento: non aggiungere un sito a Google Search Console significa non dire direttamente a Google di un sito. Ciò significa che non fai di tutto per farti notare da Google. Tuttavia, ciò non significa che Google NON possa notarti: per questo useresti i file dei robot, come suggerito da w3d. Inoltre, rendere il sito protetto da password significherebbe che la maggior parte di Google che potrebbe indicizzare sarebbe la pagina di accesso.
Jake,
11
"Il modo in cui nascondi i contenuti da Google" è di non metterli su Internet in primo luogo .
Corse di leggerezza in orbita
2
Penso che proteggere con password la directory sconfiggerebbe i motivi per cui la mamma vuole un sito, in quel caso avremmo potuto semplicemente scrivere una lettera di notizie e inviarlo via email. La figlia vuole iniziare un blog. Le mamme non sono stupide, sta proiettando e modificando il contenuto. Non credo che stiano facendo qualcosa di irresponsabile qui. Questo è un ottimo feedback su questa domanda.
rhill45,
La protezione con password del sito in WP non ha nulla a che fare con la protezione dei media.
blanket
6

L'unica risposta appropriata è proteggere con password tutto. HTTP BASIC_AUTH è probabilmente il più semplice da configurare, poiché non interagirà in alcun modo con WordPress. Questo da solo sarà sufficiente per scoraggiare tutti i raschiatori, ma se si desidera una sicurezza adeguata è necessario utilizzare anche HTTPS.

(Sidenote: con molti sistemi, una pagina HTTP verrà reindirizzata a HTTPS. Tuttavia, con HTTP BASIC_AUTH, tale reindirizzamento può essere dopo la richiesta della password. La pagina HTTPS richiederà nuovamente la password. Ciò significa che la password è stata inserita due volte, una volta in chiaro e una volta su un canale sicuro. In linea di principio è possibile avere password diverse per le versioni HTTP e HTTPS o non avere password per la versione HTTP: tutto ciò che fa è reindirizzare alla versione HTTPS, che poi richiede la tua password. La facilità di impostazione dipende dagli strumenti che stai utilizzando per gestire le preferenze di hosting del tuo sito Web. In alternativa, assicurati di navigare sempre direttamentealla pagina HTTPS, ignorando la versione non sicura. Se si utilizza un sistema di password diverso da HTTP BASIC_AUTH, probabilmente non verrà applicato nessuno di questi sidenote.)

Trig
fonte
4
Se vuoi seguire il percorso protetto da password, dato che si tratta di un sito WordPress, utilizzare WordPress per gestirlo è il metodo molto più semplice: codex.wordpress.org/Content_Visibility#Private_Content
Doyle Lewis
1
@DoyleLewis. Questo proteggerà le risorse statiche, come le immagini caricate? Certo, è improbabile che un crawler li trovi (purché tu abbia Options -Indexes).
TRiG
Ho considerato https ma l'unico problema è il costo. Vorrei poter trovare un modo per gestire il suo sito sotto le mie compagnie ssl ma ovviamente non è possibile
rhill45
2
letsencrypt.org @ rhill45.
TRiG
1
@TRiG Se qualcuno avesse l'URL di un file multimediale statico, allora no, non lo proteggerebbe. Ma nessun crawler ci arriverebbe mai dato che non sarebbero in grado di accedere al contenuto che si collegherebbe al file.
Doyle Lewis,
3

In primo luogo, farò grandi scuse a tutti i webmaster professionisti là fuori, ma per questo PO ho un suggerimento d'oro:

Violare le linee guida del motore di ricerca

E intendo farlo al punto in cui il contenuto importante è in javascript complesso e i robot dei contenuti che possono eseguire la scansione non sono in HTML corretto. Ciò include un tag di descrizione errata, un tag di titolo errato, ecc. Diamine, magari trasforma l'intero contenuto in un solo video realizzato in flash o mostra l'intero contenuto come una sola immagine. Ciò renderebbe davvero il rabbia del crawler del motore di ricerca.

Mostrerò con l'esempio nel codice:

Ecco un modo per ottenere qualcosa di indicizzato:

<!DOCTYPE html>
<html>
<head>
<title>Web page</title>
<meta name="description" content="This is a wonderful web page">
</head>
<body>
<h1>A wonderful web page</h1>
<h2>By John Smith</h2>
<p>This is a wonderful page. ya de ya de ya de ya de ya de ya de</p>
<p>This is wonderful. ya de ya de ya de ya de ya de ya de</p>
</body>
</html>

Ok, lo ammetto, il testo non è perfetto, ma capisci cosa intendo.

Ora se vuoi nasconderlo dai crawler e farlo in modo semplice, puoi provare questo:

<!DOCTYPE html>
<html>
<head>
<title>Private</title>
</head>
<body>
<img src="mywebsite.jpg" width=1024 height=768>
</body>
</html>

quindi crea un'immagine denominata mywebsite.jpg e includi tutto il testo in esso, non nel codice HTML mostrato sopra. Quindi devi proteggere mywebsite.jpg realizzando una versione con filigrana per gli utenti che non sono autorizzati a vedere la cosa reale. È sufficiente confrontare le stringhe dell'agente utente o gli indirizzi IP con quelli consentiti / non consentiti per l'immagine. Questo tipo di cose può essere fatto in .htaccess con alcune regole di riscrittura.

Ad esempio, per forzare googlebot a vedere l'immagine con filigrana anziché quella reale, utilizza queste regole:

RewriteCond %{HTTP_USER_AGENT} ^googlebot$ [NC]
RewriteRule ^mywebsite.jpg$ specialrobotimage.jpg [L]

Sto assumendo qui che mywebsite.jpg sia il tuo vero sito Web come immagine e specialrobotimage.jpg sia la filigrana o l'immagine come messaggio che indica che solo agli utenti reali è consentito vedere le informazioni. Inoltre, le regole presuppongono che tutto sia nella stessa cartella.

Mike
fonte
In effetti la cosa JS potrebbe essere la strada da percorrere per molto. Mentre alcuni robot eseguono JS, raschietti e cosa non succede spesso. Ciò significa che vari oggetti DOM HTML possono essere impostati sul contenuto reale quando viene eseguito JS. Non suggerisco di fare affidamento sui programmi utente poiché questo è spesso forgiato dai raschiatori. Prendi in considerazione l'installazione di ModSecurity e lascia che esegua la maggior parte del lavoro per te.
closetnoc,
11
Questo è davvero un consiglio scadente. È un sacco di lavoro senza vantaggi reali. Oggigiorno molti robot eseguono JavaScript. Il contenuto di un video o di un'immagine non è facilmente gestibile (inoltre entrambi sono ancora regolarmente indicizzati). Anche il contenuto in Flash è stato indicizzato per anni.
Brad,
Ok, ho dimenticato di menzionare che la non indicizzazione dovrebbe essere applicata alle immagini e ai video. Capisco che non sono facilmente gestibili, ma almeno il testo non può essere così facilmente modificato. Se d'altra parte, solo un testo non elaborato si trova su una pagina, un crawler potrebbe prendere il pezzo di testo, modificarlo, aggiungere un modello ad esso e quindi costruire un altro sito Web da esso. Dubito che il crawler sia in grado di estrarre testo da immagini o video.
Mike,
3

Innanzitutto questa è davvero una domanda WP. Ho scritto oltre 20 siti che fanno ciò di cui hai bisogno, quindi è abbastanza facile.

1 Fai il login a tutti per vedere ogni pagina.

2 Blocchi la cartella dei caricamenti tramite script e .htaccess. Ci sono script che controlleranno l'accesso dell'utente prima di consentire loro di visualizzare i media.

Se vuoi fare qualcosa tra questo e avere il tuo sito aperto - è un sacco di lavoro. Il modo più semplice per farlo è avere due cartelle di upload: una con sicurezza e una per tutto il resto se vuoi che alcune pagine siano aperte al pubblico e altre no.

Quanto a ciò che gli altri dicono sul contenuto - non riesco a trovarlo se le tue pagine sono bloccate ... non è proprio vero. Ho degli script di robot che cercheranno i nomi dei file da una cartella.

Tutti i discorsi su google e robot non hanno senso. Quella roba è importante solo se vuoi metterla a metà. Se lo fai, segui i consigli di alcune delle domande votate sopra.

blankip
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.