Веб-безопасность для детского сайта

12

Я создаю сайт Wordpress для одного из родителей 11-летнего ребенка, который хотел что-то, чтобы увековечить ее дочери в спортивных, академических и личных достижениях. На сайте есть фотографии и видео ее и ее друзей, биографические данные и сообщения в блоге. Домен зарегистрирован в частном порядке на имя моей компании, я не добавляю их в консоль Google, а другие SEO сокращается. Там нет фамилий или физических адресов. Я хочу иметь в виду как можно больше безопасности в Интернете, чтобы скребки не могли ее выхватить и т. Д., Посторонних глаз и т. Д. Я, вероятно, параноик и, как и все мои сайты, думаю, что это может привлечь больше трафика, чем на самом деле, но я думаю, что это стоит расследования и стоит расставить все точки над "я". Веб-сайт ребенка в отличном вкусе, и родитель очень практичен,

Есть ли надежные методы, которые я могу использовать для повышения безопасности в Интернете для этой 11-летней девочки и ее сайта?

rhill45
источник
3
Это начало: webmasters.stackexchange.com/questions/77031/… Я подумаю над другими идеями для сайта в целом. Кстати, хорошо, что вы взяли на себя эту задачу! Это немного сложно. Но оно того стоит! Я имел обыкновение делать бесплатный благотворительный хостинг наряду с платным хостингом, и благородные причины всегда были моими любимыми. Это те, которые я помню!
closetnoc
3
Вы понимаете, что ничто из того, что вы делаете, не сделает его на 100% невидимым ... все, что нужно, это чтобы кто-то разместил ссылку на него на Facebook или Tumblr, и этот веб-сайт будет там ... Лучшее, что нужно сделать, это иметь родитель контролирует / одобряет все материалы, которые публикует ребенок, и обучает обоих тому, в чем они должны быть осторожны
HorusKol
4
robots.txtФайл с нужным содержанием может держать все законные боты вне. Тяжелая часть - остальное. Многие из них могут быть скрыты, если адрес сайта трудно найти.
Касперд
5
В дополнение ко всему, что уже было сказано,
учтите,
3
Это должен быть веб-сайт? Если вы не хотите, чтобы большая его часть распространялась и попала в чужие руки, зачем размещать ее в Интернете? Не могли бы вы сделать что-то еще в ее памяти и дать это родителям / семье / вовлеченным людям?
Tom.Bowen89

Ответы:

20

Я наверное параноик

Может быть, я параноик, но похоже, что это должен быть полностью приватный блог / сайт. то есть. Пароль защищен. Кто именно является целевой аудиторией?

Помимо аспекта безопасности (не позволяющего недобросовестным лицам находить и использовать контент), этот вид контента звучит так, как будто он созрел для издевательств со стороны других школьных "друзей". Контент, который может быть вначале нормальным - для 11-летнего - может стать неловким через несколько лет.

Я не добавляю их в консоль Google

Это может показаться отсталым? Способ скрыть содержание от Google (то есть. «Хороший» бот) является использование robotsмета - тег (или X-Robots-Tagзаголовок) и , возможно robots.txt. Отказ от этого из Google Search Console не поможет в этом отношении.

По крайней мере, если вы добавите его в Google Search Console, вы сможете отслеживать такие вещи, как обратные ссылки, проверять robots.txt и т. Д. Если вы действительно делаете это открытым.

MrWhite
источник
1
Это действительно единственное вменяемое решение. +1
MonkeyZeus
4
Краткое пояснение: не добавлять сайт в консоль поиска Google означает не рассказывать Google напрямую о сайте. Это означает, что вы не сделаете все возможное, чтобы Google заметил вас. Однако это не означает, что Google НЕ МОЖЕТ вас заметить - вы будете использовать для этого файлы роботов, как и предлагал w3d. Кроме того, создание защищенного паролем сайта будет означать, что наибольшее количество Google может проиндексировать страницу входа.
Джейк
11
«То, как вы скрываете контент от Google» - это не размещать его в Интернете .
Гонки легкости на орбите
2
Я думаю, что пароль, защищающий каталог, побеждает причины, по которым мама хочет получить сайт, в этом случае мы могли бы просто написать новостное письмо и отправить его по электронной почте. Дочь хочет завести блог. Мамы не дураки, она просматривает и редактирует контент. Я не верю, что они делают здесь что-то безответственное. Это отличная обратная связь по этому вопросу.
rhill45
Защита паролем сайта в WP не имеет ничего общего с защитой носителей.
заготовка
6

Единственный правильный ответ - защитить все паролем. HTTP BASIC_AUTH, вероятно, проще всего настроить, поскольку он никак не будет взаимодействовать с WordPress. Этого само по себе будет достаточно, чтобы сдержать все скребки, но если вы хотите должной безопасности, вам также следует использовать HTTPS.

(Примечание. Во многих системах страница HTTP будет перенаправлена ​​на HTTPS. Однако с HTTP BASIC_AUTH это перенаправление может быть после запроса вашего пароля. Страница HTTPS снова запросит пароль. Это означает, что ваш пароль был введен дважды, один раз в открытом тексте и один раз по защищенному каналу. В принципе возможно иметь разные пароли для версий HTTP и HTTPS или не иметь пароля для версии HTTP: все, что он делает, это перенаправляет на версию HTTPS, которая затем запрашивает ваш пароль. Насколько это легко настроить, зависит от того, какие инструменты вы используете для управления настройками хостинга вашего веб-сайта. Или просто убедитесь, что вы всегда перемещаетесь напрямуюна страницу HTTPS, минуя небезопасную версию. Если вы используете систему паролей, отличную от HTTP BASIC_AUTH, то, вероятно, ни один из этих sidenote не будет применяться.)

наряжать
источник
4
Если вы хотите пойти по пути, защищенному паролем, учитывая, что это сайт WordPress, просто использовать WordPress для обработки всего этого - гораздо более простой метод: codex.wordpress.org/Content_Visibility#Private_Content
Doyle Lewis
1
@DoyleLewis. Будет ли это защищать статические ресурсы, такие как загруженные изображения? По общему признанию, сканер вряд ли найдет их (пока у вас есть Options -Indexes).
TRiG
Я рассмотрел https, но только вопрос стоимости. Я хотел бы найти способ запустить ее сайт под моей компанией ssl, но, конечно, это невозможно
rhill45
2
letsencrypt.org @ rhill45.
TRiG
1
@TRiG Если у кого-то есть URL-адрес статического медиа-файла, то нет, это не защитит его. Но ни один сканер никогда не сможет добраться до него, поскольку они не смогут получить доступ к контенту, который будет ссылаться на файл.
Дойл Льюис
3

Во-первых, я приношу большие извинения всем профессиональным веб-мастерам, но для этого OP у меня есть одно золотое предложение:

Нарушать правила поиска

И я имею в виду сделать это до такой степени, что важный контент находится в сложном javascript, и роботы контента могут сканировать не в надлежащем HTML. Это включает в себя тег плохого описания, тег плохого заголовка и т. Д. Черт возьми, может превратить весь контент в просто видео, сделанное во флэш-памяти, или показать весь контент как одно изображение. Это действительно заставило бы гусеничный поисковик съежиться.

Я покажу на примере в коде:

Вот способ получить что-то проиндексированное:

<!DOCTYPE html>
<html>
<head>
<title>Web page</title>
<meta name="description" content="This is a wonderful web page">
</head>
<body>
<h1>A wonderful web page</h1>
<h2>By John Smith</h2>
<p>This is a wonderful page. ya de ya de ya de ya de ya de ya de</p>
<p>This is wonderful. ya de ya de ya de ya de ya de ya de</p>
</body>
</html>

Хорошо, я признаю, текст не идеален, но вы понимаете, что я имею в виду.

Теперь, если вы хотите скрыть это от сканеров и сделать это простым способом, вы можете попробовать это:

<!DOCTYPE html>
<html>
<head>
<title>Private</title>
</head>
<body>
<img src="mywebsite.jpg" width=1024 height=768>
</body>
</html>

затем создайте изображение с именем mywebsite.jpg и включите в него весь текст, а не в HTML, показанный выше. Затем вам нужно защитить mywebsite.jpg, сделав его версию с водяным знаком для пользователей, которые не имеют права видеть реальную вещь. Просто сравните строки агента пользователя или IP-адреса с теми, которые вы разрешаете / запрещаете для изображения. Этот тип вещей может быть сделан в .htaccess с некоторыми правилами переписывания.

Например, чтобы заставить googlebot видеть изображение с водяным знаком вместо реальной, используйте эти правила:

RewriteCond %{HTTP_USER_AGENT} ^googlebot$ [NC]
RewriteRule ^mywebsite.jpg$ specialrobotimage.jpg [L]

Здесь я предполагаю, что mywebsite.jpg - это ваш реальный веб-сайт в виде изображения, а specialrobotimage.jpg - это водяной знак или изображение в виде сообщения о том, что только реальным пользователям разрешено просматривать информацию. Также правила предполагают, что все находится в одной папке.

Майк
источник
Действительно, JS может быть подходом для многих из них. В то время как некоторые боты запускают JS, скребки и что не часто не делают. Это означает, что различные объекты HTML DOM могут быть установлены для реального содержимого при запуске JS. Я не предлагаю полагаться на пользовательские агенты, так как они часто подделываются скребками. Подумайте об установке ModSecurity, и пусть это сделает большую часть работы за вас.
closetnoc
11
Это действительно плохой совет. Это большая работа без реальной выгоды. В эти дни тонна ботов работает на JavaScript. Содержимое в видео или изображении не легко обслуживать (к тому же оба они регулярно индексируются). Даже контент во Flash индексируется годами.
Бред
Хорошо, я забыл упомянуть, что к изображениям и видео нельзя применять индексирование. Я понимаю, что их нелегко обслуживать, но, по крайней мере, текст нельзя так легко изменить. Если, с другой стороны, на странице находится только необработанный текст, то сканер может взять кусок текста, изменить его, добавить шаблон и затем создать из него другой сайт. Я сомневаюсь, что сканер имеет возможность извлекать текст из изображений или видео.
Майк
3

Во-первых, это действительно вопрос WP. Я написал более 20 сайтов, которые делают то, что вам нужно, так что это довольно легко.

1 Вы заставляете всех войти для просмотра каждой страницы.

2 Вы блокируете папку загрузки с помощью скрипта и .htaccess. Существуют сценарии, которые проверяют вход пользователя в систему, прежде чем разрешить ему просматривать мультимедиа.

Если вы хотите сделать что-то среднее между этим и иметь ваш сайт широко открытым - это большая работа. Самый простой способ сделать это - иметь две папки для загрузки - одну с защитой и одну для всего остального, если вы хотите, чтобы некоторые страницы были широко открыты для публики, а некоторые - нет.

Что касается того, что другие говорят о контенте - не могу найти его, если ваши страницы заблокированы ... это не совсем так. У меня есть скрипты роботов, которые будут искать в папке имена файлов.

Все разговоры между Google и роботами - это чепуха. Этот материал имеет значение, только если вы хотите наплевать на это. Если вы это сделаете, то воспользуйтесь советом по некоторым из вышеизложенных вопросов.

blankip
источник