Keamanan web untuk situs web anak

12

Saya sedang membangun situs Wordpress untuk orang tua berusia 11 tahun yang menginginkan sesuatu untuk mengenang putri-putrinya prestasi atletik, akademik dan pribadi. Situs ini mencakup foto dan video dirinya dan teman-temannya, info biografi dan posting blog. Domain terdaftar secara pribadi atas nama perusahaan saya, saya tidak menambahkannya ke Google console dan saya menjaga SEO lainnya diminimalkan. Tidak ada nama belakang atau alamat fisik. Saya ingin memiliki keamanan web sebanyak mungkin dalam pikiran untuk menghindari pencakar dari mengambil foto dll, mencongkel mata dll. Saya mungkin menjadi paranoid dan seperti semua situs saya berpikir itu bisa mendapatkan lebih banyak lalu lintas daripada yang sebenarnya tetapi saya pikir itu layak penyelidikan dan bermanfaat untuk dot i's. Situs web anak sangat enak dan orang tua sangat rendah hati,

Apakah ada metode andal yang bisa saya ambil untuk meningkatkan keamanan Web untuk anak berusia 11 tahun ini dan situsnya?

seo website-promotion rhill45
sumber
3
Ini awal: webmasters.stackexchange.com/questions/77031/... Saya akan memikirkan ide-ide lain untuk situs secara umum. BTW- Bagus untuk Anda dalam mengerjakan tugas ini! Ini agak sulit. Tapi sepadan dengan usaha !! Saya biasa melakukan hosting amal gratis bersama dengan hosting berbayar dan tujuan mulia selalu menjadi favorit saya sejauh ini. Inilah yang saya ingat!
closetnoc
3
Anda menyadari bahwa tidak ada yang Anda lakukan akan membuatnya 100% tidak terlihat ... yang diperlukan hanyalah seseorang untuk memposting tautan ke sana di Facebook atau Tumblr, dan situs web itu akan ada di luar sana ... Hal terbaik untuk dilakukan adalah memiliki orang tua mengawasi / menyetujui semua konten yang diposkan anak itu, dan mendidik keduanya tentang apa yang harus mereka perhatikan
HorusKol
4
Sebuah robots.txtfile dengan isi yang tepat dapat menyimpan semua bot yang sah keluar. Bagian yang sulit adalah sisanya. Banyak dari mereka dapat dijauhkan jika alamat situs sulit ditemukan.
kasperd
5
Selain semua yang telah dikatakan, perlu diketahui bahwa Wordpress membiarkan data EXIF ​​gambar utuh ...
user1103
3
Apakah ini perlu situs web? Jika Anda tidak ingin banyak menyebar, dan masuk ke tangan yang salah, mengapa meletakkannya di internet? Tidak bisakah Anda membuat sesuatu yang lain dalam ingatannya dan memberikannya kepada orang tua / keluarga / orang yang terlibat?
Tom.Bowen89

Jawaban:

20

Saya mungkin paranoid

Mungkin saya menjadi paranoid, tetapi ini kedengarannya seperti blog / situs web yang sepenuhnya pribadi. yaitu. dilindungi kata sandi. Siapa sebenarnya target audiens?

Terlepas dari aspek keamanan (mencegah orang yang tidak bermoral menemukan dan menggunakan konten), konten semacam ini kedengarannya sudah matang untuk digertak dari "teman" sekolah lain. Konten yang mungkin OK pada awalnya - hingga 11 tahun - mungkin hanya akan memalukan dalam beberapa tahun.

Saya tidak menambahkannya ke konsol Google

Ini sepertinya terbelakang? Cara Anda menyembunyikan konten dari Google (mis. Bot "bagus") adalah dengan menggunakan robotsmeta tag (atau X-Robots-Tagheader) dan mungkin robots.txt. Mengabaikannya dari Google Search Console tidak akan membantu dalam hal ini.

Setidaknya jika Anda menambahkannya ke Google Search Console Anda dapat memantau hal-hal seperti backlink, periksa robots.txt, dll. Jika memang Anda go public.

TuanWhite
sumber
1
Ini benar-benar satu-satunya solusi yang waras. +1
MonkeyZeus
4
Klarifikasi singkat - tidak menambahkan situs ke Google Search Console berarti tidak memberi tahu Google secara langsung tentang sebuah situs. Ini berarti Anda tidak akan membuat Google memperhatikan Anda. Namun, itu tidak berarti bahwa Google TIDAK BISA memperhatikan Anda - Anda akan menggunakan file robot untuk itu, seperti yang disarankan w3d. Selain itu, membuat situs yang dilindungi kata sandi akan berarti bahwa indeks Google yang paling banyak adalah halaman login.
Jake
11
"Cara Anda menyembunyikan konten dari Google" adalah dengan tidak meletakkannya di internet .
Lightness Races in Orbit
2
Saya pikir kata sandi yang melindungi direktori akan mengalahkan alasan ibu menginginkan situs, dalam hal ini kita bisa saja membuat surat kabar kata doc dan mengirimkannya melalui email. Anak perempuan itu ingin memulai sebuah blog. Para ibu tidak bodoh dia menyaring dan mengedit konten. Saya tidak percaya mereka melakukan sesuatu yang tidak bertanggung jawab di sini. Ini umpan balik yang sangat baik untuk pertanyaan ini.
rhill45
Kata sandi yang melindungi situs di WP tidak ada hubungannya dengan mengamankan media.
blankip
6

Satu-satunya jawaban yang tepat adalah melindungi semua hal dengan kata sandi. HTTP BASIC_AUTH mungkin paling sederhana untuk diatur, karena tidak akan berinteraksi dengan WordPress dengan cara apa pun. Itu sendiri akan cukup untuk mencegah semua pencakar, tetapi jika Anda ingin keamanan yang tepat Anda juga harus menggunakan HTTPS.

(Sidenote: Dengan banyak sistem, halaman HTTP akan dialihkan ke HTTPS. Namun, dengan HTTP BASIC_AUTH, pengalihan itu bisa setelah meminta kata sandi Anda. Halaman HTTPS kemudian akan meminta kata sandi lagi. Ini berarti kata sandi Anda telah dimasukkan dua kali, sekali dalam teks-jelas dan sekali melalui saluran aman. Pada prinsipnya mungkin untuk memiliki kata sandi yang berbeda untuk versi HTTP dan HTTPS, atau tidak memiliki kata sandi untuk versi HTTP: yang dilakukannya hanyalah mengarahkan kembali ke versi HTTPS, yang kemudian meminta kata sandi Anda. Seberapa mudah pengaturan ini tergantung pada alat yang Anda gunakan untuk mengelola preferensi hosting situs web Anda. Atau, cukup pastikan bahwa Anda selalu menavigasi secara langsungke halaman HTTPS, melewati versi tidak aman. Jika Anda menggunakan sistem kata sandi selain HTTP BASIC_AUTH, maka mungkin tidak ada sidenote ini yang berlaku.)

Trigonometri
sumber
4
Jika Anda ingin menggunakan rute yang dilindungi kata sandi, mengingat ini adalah situs WordPress, cukup menggunakan WordPress untuk menangani semuanya adalah metode yang jauh lebih mudah: codex.wordpress.org/Content_Visibility#Private_Content
Doyle Lewis
1
@DoyleLewis. Apakah itu akan melindungi aset statis, seperti gambar yang diunggah? Memang, crawler tidak mungkin menemukannya (asalkan Anda punya Options -Indexes).
TRiG
Saya menganggap https tetapi satu-satunya masalah adalah biaya. Saya berharap saya bisa menemukan cara untuk menjalankan situsnya di bawah perusahaan saya ssl tetapi tentu saja tidak mungkin
rhill45
2
letsencrypt.org @ rhill45.
TRiG
1
@TRiG Jika seseorang memiliki URL ke file media statis, maka tidak, itu tidak akan melindungi itu. Tetapi tidak ada perayap yang akan sampai ke sana karena mereka tidak akan bisa mendapatkan konten yang akan tertaut ke file.
Doyle Lewis
3

Pertama, saya akan membuat permintaan maaf besar untuk semua webmaster profesional di luar sana, tetapi untuk OP ini, saya punya satu saran emas:

Melanggar pedoman mesin pencari

Dan maksud saya melakukannya sampai pada titik di mana konten penting dalam javascript kompleks dan robot konten dapat dirayapi tidak dalam HTML yang tepat. Ini termasuk tag deskripsi yang buruk, tag judul yang buruk, dll. Heck, mungkin mengubah seluruh konten menjadi hanya video yang dibuat dalam flash, atau menampilkan seluruh konten sebagai hanya satu gambar. Itu benar-benar akan membuat ngeri crawler mesin pencari.

Saya akan menunjukkan dengan contoh dalam kode:

Berikut cara untuk mendapatkan sesuatu yang diindeks:

<!DOCTYPE html>
<html>
<head>
<title>Web page</title>
<meta name="description" content="This is a wonderful web page">
</head>
<body>
<h1>A wonderful web page</h1>
<h2>By John Smith</h2>
<p>This is a wonderful page. ya de ya de ya de ya de ya de ya de</p>
<p>This is wonderful. ya de ya de ya de ya de ya de ya de</p>
</body>
</html>

Ok, saya akui, teksnya tidak sempurna, tetapi Anda mengerti maksud saya.

Sekarang jika Anda ingin menyembunyikannya dari perayap dan melakukannya dengan cara sederhana, Anda dapat mencoba ini:

<!DOCTYPE html>
<html>
<head>
<title>Private</title>
</head>
<body>
<img src="mywebsite.jpg" width=1024 height=768>
</body>
</html>

kemudian buat gambar bernama mywebsite.jpg dan sertakan semua teks di dalamnya, bukan di html yang ditunjukkan di atas. Maka Anda perlu melindungi mywebsite.jpg dengan membuat versi yang ditandai untuk pengguna yang tidak berwenang untuk melihat hal yang sebenarnya. Cukup membandingkan string agen pengguna atau alamat ip dengan yang Anda izinkan / larangkan untuk gambar. Jenis hal ini dapat dilakukan dalam .htaccess dengan beberapa aturan penulisan ulang.

Misalnya, untuk memaksa googlebot untuk melihat gambar yang di-watermark alih-alih yang asli, gunakan aturan ini:

RewriteCond %{HTTP_USER_AGENT} ^googlebot$ [NC]
RewriteRule ^mywebsite.jpg$ specialrobotimage.jpg [L]

Saya berasumsi di sini bahwa mywebsite.jpg adalah situs web asli Anda sebagai gambar dan specialrobotimage.jpg adalah tanda air atau gambar sebagai pesan yang menyatakan hanya pengguna sungguhan yang diizinkan melihat informasi tersebut. Juga, aturan menganggap semuanya ada di folder yang sama.

Mike
sumber
Memang hal JS mungkin cara untuk pergi untuk banyak itu. Sementara beberapa bot menjalankan JS, pencakar dan yang tidak sering tidak. Ini berarti bahwa berbagai objek HTML DOM dapat diatur ke konten asli ketika JS berjalan. Saya tidak menyarankan mengandalkan agen pengguna karena ini sering dipalsukan oleh pencakar. Pertimbangkan untuk menginstal ModSecurity dan biarkan yang melakukan sebagian besar pekerjaan untuk Anda.
closetnoc
11
Ini saran yang sangat buruk. Ini banyak pekerjaan tanpa manfaat nyata. Banyak bot menjalankan JavaScript hari ini. Konten dalam video atau gambar tidak mudah dipelihara (ditambah keduanya masih diindeks secara teratur). Bahkan konten dalam Flash telah diindeks selama bertahun-tahun.
Brad
Ok saya memang lupa menyebutkan bahwa tidak ada pengindeksan harus diterapkan pada gambar dan video. Saya mengerti mereka tidak mudah dipelihara, tetapi setidaknya teks tidak dapat dengan mudah dimodifikasi. Jika di sisi lain, hanya teks mentah ada di halaman, maka crawler dapat mengambil potongan teks, memodifikasinya, menambahkan templat ke dalamnya dan kemudian membangun situs situs web lain darinya. Saya ragu perayap memiliki kemampuan mengekstraksi teks dari gambar atau video.
Mike
3

Pertama, ini benar-benar pertanyaan WP. Saya telah menulis 20+ situs yang melakukan apa yang Anda butuhkan jadi ini cukup mudah.

1 Anda membuat semua orang masuk untuk melihat setiap halaman.

2 Anda mengunci folder unggahan melalui skrip dan .htaccess. Ada skrip yang akan memeriksa login pengguna sebelum mengizinkan mereka melihat media.

Jika Anda ingin melakukan apa pun di antara ini dan membuat situs Anda terbuka lebar - itu banyak pekerjaan. Cara termudah untuk melakukannya adalah memiliki dua folder unggahan - satu dengan keamanan dan satu untuk yang lainnya jika Anda ingin memiliki beberapa halaman terbuka lebar untuk umum dan beberapa tidak.

Adapun apa yang orang lain katakan tentang konten - tidak dapat menemukannya jika halaman Anda terkunci ... itu tidak benar. Saya memiliki skrip robot yang akan mencari omong kosong dari folder untuk nama file.

Semua pembicaraan google dan robot itu omong kosong. Hal-hal itu hanya penting jika Anda ingin setengah-setengahnya. Jika Anda melakukannya maka ikuti saran dari beberapa pertanyaan yang tervvotasikan di atas.

blankip
sumber