Websicherheit für Kinderwebsites

12

Ich baue eine Wordpress-Site für ein Elternteil eines 11-Jährigen, das an die sportlichen, akademischen und persönlichen Erfolge seiner Töchter erinnert. Die Website enthält Fotos und Videos von ihr und Freunden, biografische Informationen und Blog-Beiträge. Die Domain ist privat auf den Namen meines Unternehmens registriert. Ich füge sie nicht zur Google-Konsole hinzu und halte andere Suchmaschinenoptimierungen auf ein Minimum. Es gibt keine Nachnamen oder physischen Adressen. Ich möchte so viel Web-Sicherheit wie möglich haben, um zu verhindern, dass Kratzer ihre Fotos usw. greifen, neugierige Blicke usw. Ich bin wahrscheinlich paranoid und denke wie alle meine Websites, dass es mehr Verkehr geben könnte, als es tatsächlich der Fall ist, aber ich denke, es ist die Untersuchung wert und es lohnt sich, meine ichs zu dotieren. Die Website des Kindes ist sehr geschmackvoll und die Eltern sind sehr bodenständig,

Gibt es verlässliche Methoden, mit denen ich die Websicherheit für diese 11-jährige und ihre Website erhöhen kann?

rhill45
quelle
3
Dies ist ein Anfang: webmasters.stackexchange.com/questions/77031/… Ich werde über andere Ideen für die Website im Allgemeinen nachdenken. Übrigens: Gut, dass Sie diese Aufgabe übernehmen! Es ist eine schwierige Frage. Aber die Mühe lohnt sich !! Früher habe ich neben dem bezahlten Hosting auch kostenloses Wohltätigkeits-Hosting betrieben, und die edlen Anliegen waren bei weitem immer mein Favorit. Das sind die, an die ich mich erinnere!
Closetnoc
3
Sie erkennen, dass nichts, was Sie tun, es zu 100% unsichtbar macht. Alles, was Sie tun müssen, ist, einen Link auf Facebook oder Tumblr zu veröffentlichen, und diese Website wird da draußen sein Die Eltern beaufsichtigen / genehmigen alle Inhalte, die das Kind veröffentlicht, und klären beide auf, worauf sie achten müssen
HorusKol
4
Eine robots.txtDatei mit dem richtigen Inhalt kann alle legitimen Bots fernhalten. Der schwierige Teil ist der Rest. Viele von ihnen können ferngehalten werden, wenn die Adresse der Site schwer zu finden ist.
Kasperd
5
Beachten Sie
3
Muss dies eine Website sein? Wenn Sie nicht möchten, dass sich viel davon ausbreitet und in die falschen Hände gerät, warum sollten Sie es dann ins Internet stellen? Könntest du ihr nicht noch etwas in Erinnerung rufen und es den Eltern / der Familie / den beteiligten Personen geben?
Tom.Bowen89

Antworten:

20

Ich bin wahrscheinlich paranoid

Vielleicht bin ich paranoid, aber das klingt so, als ob es ein ganz privater Blog / eine Website sein sollte. dh passwortgeschützt. Wer genau ist die Zielgruppe?

Abgesehen vom Sicherheitsaspekt (Verhindern, dass skrupellose Personen den Inhalt finden und verwenden), klingt diese Art von Inhalt so, als ob er reif wäre, von anderen "Schulfreunden" gemobbt zu werden. Inhalte, die für einen 11-Jährigen zunächst in Ordnung sein könnten, werden in einigen Jahren möglicherweise peinlich.

Ich füge sie nicht zur Google-Konsole hinzu

Das scheint rückständig zu sein? Die Art und Weise, wie Sie Inhalte vor Google verbergen (z. B. einen "guten" Bot), ist die Verwendung des robotsMeta-Tags (oder der X-Robots-TagÜberschrift) und möglicherweise robots.txt. Das Weglassen von Google Search Console hilft in dieser Hinsicht nicht weiter.

Zumindest wenn Sie es zu Google Search Console hinzufügen, können Sie Dinge wie Backlinks überwachen, robots.txt überprüfen usw. Wenn Sie tatsächlich an die Öffentlichkeit gehen.

Herr weiß
quelle
1
Dies ist wirklich die einzig vernünftige Lösung. +1
MonkeyZeus
4
Kurze Erläuterung: Wenn Sie keine Website zu Google Search Console hinzufügen, wird Google nicht direkt über eine Website informiert. Dies bedeutet, dass Sie sich nicht die Mühe machen, Google auf Sie aufmerksam zu machen. Dies bedeutet jedoch nicht, dass Google Sie nicht bemerkt - Sie würden die Robots-Dateien dafür verwenden, wie von w3d vorgeschlagen. Wenn Sie die Site kennwortgeschützt machen, ist die Anmeldeseite diejenige, die Google am meisten indizieren kann.
Jake,
11
"Wenn Sie Inhalte vor Google verstecken", müssen Sie sie zunächst nicht ins Internet stellen .
Leichtigkeit Rennen mit Monica
2
Ich denke, ein Passwort, das das Verzeichnis schützt, würde die Gründe zunichte machen, warum die Mutter eine Site haben möchte. Die Tochter möchte einen Blog starten. Die Mütter sind nicht dumm, sie filmt und bearbeitet den Inhalt. Ich glaube nicht, dass sie hier etwas Verantwortungsloses tun. Dies ist ein hervorragendes Feedback zu dieser Frage.
rhill45
Der Kennwortschutz für die Site in WP hat nichts mit der Sicherung der Medien zu tun.
Blankip
6

Die einzig angemessene Antwort ist, das Ganze mit einem Passwort zu schützen. HTTP BASIC_AUTH ist wahrscheinlich am einfachsten einzurichten, da es in keiner Weise mit WordPress interagiert. Das allein reicht aus, um alle Abstreifer abzuschrecken. Wenn Sie jedoch die richtige Sicherheit wünschen, sollten Sie auch HTTPS verwenden.

(Anmerkung: Bei vielen Systemen wird eine HTTP-Seite zu HTTPS umgeleitet. Bei HTTP BASIC_AUTH kann diese Umleitung jedoch nach der Aufforderung zur Eingabe Ihres Kennworts erfolgen. Auf der HTTPS-Seite wird dann erneut zur Eingabe des Kennworts aufgefordert. Dies bedeutet, dass Ihr Kennwort eingegeben wurde zweimal, einmal im Klartext und einmal über einen sicheren Kanal Grundsätzlich ist es möglich, unterschiedliche Passwörter für die HTTP- und HTTPS-Version oder kein Passwort für die HTTP-Version zu haben Sie werden nach Ihrem Passwort gefragt. Wie einfach dies einzurichten ist, hängt davon ab, welche Tools Sie zum Verwalten Ihrer Website-Hosting-Einstellungen verwenden. Alternativ können Sie auch einfach sicherstellen, dass Sie immer direkt navigierenauf der HTTPS-Seite unter Umgehung der unsicheren Version. Wenn Sie ein anderes Kennwortsystem als HTTP BASIC_AUTH verwenden, trifft wahrscheinlich keine dieser Randnotizen zu.)

TRiG
quelle
4
Wenn Sie den passwortgeschützten Weg gehen möchten, da es sich um eine WordPress-Site handelt, ist die einfache Verwendung von WordPress die weitaus einfachere Methode: codex.wordpress.org/Content_Visibility#Private_Content
Doyle Lewis
1
@DoyleLewis. Schützt das statische Assets wie hochgeladene Bilder? Zugegeben, ein Crawler wird sie wahrscheinlich nicht finden (solange Sie dies tun Options -Indexes).
TRiG
Ich habe https in Betracht gezogen, aber nur das Problem sind die Kosten. Ich wünschte, ich könnte einen Weg finden, ihre Site unter meiner Firmen-SSL zu betreiben, aber natürlich nicht möglich
rhill45
2
letsencrypt.org @ rhill45.
TRiG
1
@TRiG Wenn jemand die URL zu einer statischen Mediendatei hätte, nein, das würde ihn nicht schützen. Aber kein Crawler würde jemals darauf zugreifen, da er nicht zu dem Inhalt gelangen würde, der auf die Datei verweist.
Doyle Lewis
3

Zunächst möchte ich mich bei allen professionellen Webmastern entschuldigen, aber für dieses OP habe ich einen goldenen Vorschlag:

Verstoßen Sie gegen die Richtlinien für Suchmaschinen

Und ich meine, tun Sie es bis zu dem Punkt, an dem der wichtige Inhalt in komplexem Javascript enthalten ist und der Inhalt, den die Roboter crawlen können, nicht in richtigem HTML enthalten ist. Dies schließt ein schlechtes Beschreibungs-Tag, ein schlechtes Titel-Tag usw. ein. Vielleicht können Sie den gesamten Inhalt in ein in Flash erstelltes Video verwandeln oder den gesamten Inhalt als nur ein Bild anzeigen. Das würde den Suchmaschinen-Crawler wirklich zusammenzucken lassen.

Ich zeige durch Beispiel im Code:

Hier ist ein Weg, um etwas zu indizieren:

<!DOCTYPE html>
<html>
<head>
<title>Web page</title>
<meta name="description" content="This is a wonderful web page">
</head>
<body>
<h1>A wonderful web page</h1>
<h2>By John Smith</h2>
<p>This is a wonderful page. ya de ya de ya de ya de ya de ya de</p>
<p>This is wonderful. ya de ya de ya de ya de ya de ya de</p>
</body>
</html>

Ok, ich gebe zu, der Text ist nicht perfekt, aber Sie verstehen, was ich meine.

Wenn Sie es nun vor Crawlern verstecken und auf einfache Weise ausführen möchten, können Sie Folgendes versuchen:

<!DOCTYPE html>
<html>
<head>
<title>Private</title>
</head>
<body>
<img src="mywebsite.jpg" width=1024 height=768>
</body>
</html>

Erstellen Sie dann ein Bild mit dem Namen mywebsite.jpg und fügen Sie den gesamten Text darin ein, nicht in dem oben gezeigten HTML-Code. Dann müssen Sie mywebsite.jpg schützen, indem Sie eine mit Wasserzeichen versehene Version für die Benutzer erstellen, die nicht autorisiert sind, das Original zu sehen. Vergleichen Sie einfach die Zeichenfolgen oder IP-Adressen von Benutzeragenten mit denen, die Sie für das Bild zulassen / nicht zulassen. Diese Art von Dingen kann in .htaccess mit einigen Umschreiberegeln durchgeführt werden.

Um zum Beispiel zu erzwingen, dass Googlebot das Bild mit dem Wasserzeichen anstelle des Originals sieht, verwenden Sie die folgenden Regeln:

RewriteCond %{HTTP_USER_AGENT} ^googlebot$ [NC]
RewriteRule ^mywebsite.jpg$ specialrobotimage.jpg [L]

Ich gehe hier davon aus, dass mywebsite.jpg Ihre echte Website als Bild ist und specialrobotimage.jpg das Wasserzeichen oder das Bild als Nachricht, die besagt, dass nur echte Benutzer die Informationen sehen dürfen. Außerdem gehen die Regeln davon aus, dass sich alles im selben Ordner befindet.

Mike
quelle
In der Tat könnte das JS-Ding der richtige Weg sein, um eine Menge davon zu erreichen. Während einige Bots JS ausführen, laufen Schaber und was nicht oft nicht. Dies bedeutet, dass verschiedene HTML-DOM-Objekte auf den tatsächlichen Inhalt gesetzt werden können, wenn das JS ausgeführt wird. Ich schlage nicht vor, sich auf Benutzeragenten zu verlassen, da diese häufig von Schabern geschmiedet werden. Ziehen Sie in Betracht, ModSecurity zu installieren, und überlassen Sie es dem größten Teil Ihrer Arbeit.
Closetnoc
11
Das ist wirklich ein schlechter Rat. Es ist viel Arbeit ohne wirklichen Nutzen. Heutzutage führen eine Menge Bots JavaScript aus. Der Inhalt eines Videos oder Bildes ist nicht leicht zu pflegen (und beide werden weiterhin regelmäßig indexiert). Sogar Inhalte in Flash sind seit Jahren indexiert.
Brad
Ok, ich habe vergessen zu erwähnen, dass auf die Bilder und Videos keine Indexierung angewendet werden sollte. Ich verstehe, dass sie nicht leicht zu pflegen sind, aber zumindest kann der Text nicht so leicht geändert werden. Befindet sich dagegen nur roher Text auf einer Seite, kann ein Crawler den Textabschnitt übernehmen, ändern, eine Vorlage hinzufügen und anschließend eine andere Website-Site daraus erstellen. Ich bezweifle, dass der Crawler Text aus Bildern oder Videos extrahieren kann.
Mike
3

Zunächst ist dies wirklich eine WP-Frage. Ich habe über 20 Websites geschrieben, die genau das tun, was Sie brauchen. Das ist also ziemlich einfach.

1 Sie legen fest, dass sich alle Benutzer anmelden, um alle Seiten anzuzeigen.

2 Sie sperren den Upload-Ordner über Skript und .htaccess. Es gibt Skripte, die nach Benutzeranmeldungen suchen, bevor sie Medien anzeigen können.

Wenn Sie irgendetwas dazwischen machen möchten und Ihre Site weit geöffnet haben möchten, ist das eine Menge Arbeit. Am einfachsten ist es, zwei Upload-Ordner zu haben - einen mit Sicherheit und einen für alles andere, wenn Sie möchten, dass einige Seiten für die Öffentlichkeit zugänglich sind und andere nicht.

Was andere über Inhalte sagen - kann es nicht finden, wenn Ihre Seiten gesperrt sind ... das ist nicht wirklich wahr. Ich habe Roboterskripte, die den Mist aus einem Ordner nach Dateinamen durchsuchen.

Alles, was über Google und Roboter geredet wird, ist Unsinn. Das Zeug ist nur wichtig, wenn Sie es halbherzig machen wollen. Wenn ja, dann lassen Sie sich von einigen der oben gestellten Fragen beraten.

blankip
quelle