Sécurité Web pour le site Web de l'enfant

12

Je construis un site Wordpress pour un parent d'un enfant de 11 ans qui voulait quelque chose pour commémorer les réalisations athlétiques, académiques et personnelles de ses filles. Le site comprend des photos et des vidéos d'elle et de ses amis, des informations biographiques et des articles de blog. Le domaine est enregistré en privé au nom de mon entreprise, je ne les ajoute pas à la console Google et je minimise les autres SEO. Il n'y a pas de nom de famille ni d'adresse physique. Je veux avoir autant de sécurité Web à l'esprit que possible pour éviter que les grattoirs ne saisissent ses photos, etc., les regards indiscrets, etc. vaut l'enquête et vaut la peine de parsemer mes i. Le site Web de l'enfant est de très bon goût et le parent est très terre-à-terre,

Existe-t-il des méthodes fiables que je peux prendre pour accroître la sécurité Web pour cette jeune de 11 ans et son site?

seo website-promotion rhill45
la source
3
C'est un début: webmasters.stackexchange.com/questions/77031/… Je penserai à d'autres idées pour le site en général. BTW- Bon pour vous dans cette tâche! C'est un peu difficile. Mais ça vaut bien l'effort !! J'avais l'habitude de faire de l'hébergement de bienfaisance gratuit avec l'hébergement payant et les nobles causes ont toujours été mes préférées. Ce sont ceux dont je me souviens!
closetnoc
3
Vous vous rendez compte que rien de ce que vous faites ne le rendra 100% invisible ... tout ce qu'il faudrait, c'est quelqu'un pour poster un lien vers celui-ci sur Facebook ou Tumblr, et ce site Web sera là ... le parent supervise / approuve tout le contenu que l'enfant publie, et éduque les deux sur ce à quoi ils doivent faire attention
HorusKol
4
Un robots.txtfichier avec le bon contenu peut garder tous les robots légitimes à l'écart. La partie difficile est le reste. Beaucoup d'entre eux peuvent être tenus à l'écart si l'adresse du site est difficile à trouver.
kasperd
5
En plus de tout ce qui a déjà été dit, sachez que Wordpress laisse intactes les données EXIF ​​de l'image ...
user1103
3
Doit-il s'agir d'un site Web? Si vous ne voulez pas que cela se répande et se retrouve entre de mauvaises mains, pourquoi le mettre sur Internet? Pourriez-vous pas faire autre chose dans sa mémoire et le donner aux parents / famille / personnes impliquées?
Tom.Bowen89

Réponses:

20

Je suis probablement paranoïaque

Peut - être que je suis paranoïaque, mais cela sonne comme il devrait être un blogue entièrement privé / site. c'est à dire. protégé par mot de passe. Quel est exactement le public cible?

Outre l'aspect sécurité (empêcher les personnes peu scrupuleuses de trouver et d'utiliser le contenu), ce type de contenu semble être mûr pour l'intimidation d'autres «amis» de l'école. Un contenu qui pourrait convenir au début - à un enfant de 11 ans - pourrait devenir gênant dans quelques années.

Je ne les ajoute pas à la console Google

Cela semblerait être en arrière? La façon dont vous masquez le contenu de Google (c'est-à-dire un "bon" bot) est d'utiliser la robotsbalise META (ou en- X-Robots-Tagtête) et peut-être robots.txt. L'omission de Google Search Console n'aidera pas à cet égard.

Au moins, si vous l'ajoutez à Google Search Console, vous pouvez surveiller des choses comme les backlinks, vérifier robots.txt, etc. Si en effet vous devenez public.

MrWhite
la source
1
C'est vraiment la seule solution sensée. +1
MonkeyZeus
4
Brève clarification - ne pas ajouter de site à Google Search Console signifie ne pas informer directement Google d'un site. Cela signifie que vous ne vous engagez pas à faire en sorte que Google vous remarque. Cependant, cela ne signifie pas que Google NE PEUT PAS vous remarquer - vous utiliseriez les fichiers robots pour cela, comme l'a suggéré w3d. De plus, la protection du site par mot de passe signifierait que le plus d'indexation possible de Google serait la page de connexion.
Jake
11
"La façon dont vous masquez le contenu de Google" est de ne pas le mettre sur Internet en premier lieu .
Courses de légèreté en orbite
2
Je pense que la protection par mot de passe de l'annuaire irait à l'encontre des raisons pour lesquelles la maman veut un site, dans ce cas, nous aurions pu créer une lettre de nouvelles Word Doc et l'envoyer par e-mail. La fille veut créer un blog. Les mamans ne sont pas stupides, elle sélectionne et édite le contenu. Je ne pense pas qu'ils fassent quoi que ce soit d'irresponsable ici. C'est un excellent retour sur cette question.
rhill45
La protection par mot de passe du site dans WP n'a rien à voir avec la sécurisation des médias.
blankip
6

La seule réponse appropriée est de protéger le tout par mot de passe. HTTP BASIC_AUTH est probablement le plus simple à configurer, car il n'interagira en aucune façon avec WordPress. Cela suffira à lui seul à dissuader tous les grattoirs, mais si vous voulez une sécurité appropriée, vous devez également utiliser HTTPS.

(Sidenote: Avec de nombreux systèmes, une page HTTP sera redirigée vers HTTPS. Cependant, avec HTTP BASIC_AUTH, cette redirection peut être après l'invite de votre mot de passe. La page HTTPS invitera ensuite à nouveau le mot de passe. Cela signifie que votre mot de passe a été entré deux fois, une fois en texte clair et une fois sur un canal sécurisé. Il est en principe possible d'avoir des mots de passe différents pour les versions HTTP et HTTPS, ou de ne pas avoir de mot de passe pour la version HTTP: il ne fait que rediriger vers la version HTTPS, qui ensuite demande votre mot de passe. La facilité de configuration dépend des outils que vous utilisez pour gérer les préférences d'hébergement de votre site Web. Sinon, assurez-vous simplement de toujours naviguer directementà la page HTTPS, en contournant la version non sécurisée. Si vous utilisez un système de mot de passe autre que HTTP BASIC_AUTH, alors probablement aucune de ces notes ne s'appliquera.)

Trigonométrie
la source
4
Si vous souhaitez emprunter la route protégée par mot de passe, étant donné qu'il s'agit d'un site WordPress, utiliser simplement WordPress pour gérer tout cela est la méthode beaucoup plus facile: codex.wordpress.org/Content_Visibility#Private_Content
Doyle Lewis
1
@DoyleLewis. Cela protégera-t-il les actifs statiques, tels que les images téléchargées? Certes, un robot est peu susceptible de les trouver (tant que vous en avez Options -Indexes).
TRiG
J'ai considéré https mais le seul problème est le coût. J'aimerais pouvoir trouver un moyen de gérer son site sous mon entreprise ssl mais bien sûr pas possible
rhill45
2
letsencrypt.org @ rhill45.
TRiG
1
@TRiG Si quelqu'un avait l'URL d'un fichier multimédia statique, alors non, cela ne le protégerait pas. Mais aucun robot ne pourra jamais y accéder car il ne pourra pas accéder au contenu lié au fichier.
Doyle Lewis
3

Tout d'abord, je ferai de grandes excuses à tous les webmasters professionnels, mais pour ce PO, j'ai une suggestion en or:

Violer les directives des moteurs de recherche

Et je veux dire le faire au point où le contenu important est en Javascript complexe et que les robots de contenu peuvent explorer n'est pas en HTML approprié. Cela inclut une mauvaise balise de description, une mauvaise balise de titre, etc. Cela ferait vraiment grincer des dents le moteur de recherche.

Je vais montrer par exemple dans le code:

Voici un moyen d'indexer quelque chose:

<!DOCTYPE html>
<html>
<head>
<title>Web page</title>
<meta name="description" content="This is a wonderful web page">
</head>
<body>
<h1>A wonderful web page</h1>
<h2>By John Smith</h2>
<p>This is a wonderful page. ya de ya de ya de ya de ya de ya de</p>
<p>This is wonderful. ya de ya de ya de ya de ya de ya de</p>
</body>
</html>

D'accord, j'avoue, le texte n'est pas parfait, mais vous comprenez ce que je veux dire.

Maintenant, si vous voulez le cacher aux robots et le faire de manière simple, vous pouvez essayer ceci:

<!DOCTYPE html>
<html>
<head>
<title>Private</title>
</head>
<body>
<img src="mywebsite.jpg" width=1024 height=768>
</body>
</html>

puis faites une image nommée mywebsite.jpg et incluez tout le texte dedans, pas dans le html montré ci-dessus. Ensuite, vous devez protéger mywebsite.jpg en en faisant une version filigranée aux utilisateurs qui ne sont pas autorisés à voir la chose réelle. Comparez simplement les chaînes d'agent utilisateur ou les adresses IP à celles que vous autorisez / interdisez pour l'image. Ce type de chose peut être fait en .htaccess avec quelques règles de réécriture.

Par exemple, pour forcer googlebot à voir l'image en filigrane au lieu de la réalité, utilisez ces règles:

RewriteCond %{HTTP_USER_AGENT} ^googlebot$ [NC]
RewriteRule ^mywebsite.jpg$ specialrobotimage.jpg [L]

Je suppose ici que mywebsite.jpg est votre véritable site Web en tant qu'image et specialrobotimage.jpg est le filigrane ou l'image en tant que message indiquant que seuls les utilisateurs réels sont autorisés à voir les informations. De plus, les règles supposent que tout se trouve dans le même dossier.

Mike
la source
En effet, la chose JS pourrait être la voie à suivre pour beaucoup de choses. Alors que certains robots exécutent JS, les grattoirs et ce qui ne fonctionne pas souvent. Cela signifie que divers objets HTML DOM peuvent être définis sur le contenu réel lors de l'exécution du JS. Je ne suggère pas de compter sur les agents utilisateurs car cela est souvent forgé par des grattoirs. Pensez à installer ModSecurity et laissez-le faire la plupart du travail pour vous.
closetnoc
11
C'est vraiment un mauvais conseil. C'est beaucoup de travail sans réel avantage. Une tonne de bots exécutent JavaScript ces jours-ci. Le contenu d'une vidéo ou d'une image n'est pas facile à gérer (et les deux sont toujours régulièrement indexés). Même le contenu de Flash est indexé depuis des années.
Brad
Ok, j'ai oublié de mentionner qu'aucune indexation ne devrait être appliquée aux images et vidéos. Je comprends qu'ils ne sont pas faciles à maintenir, mais au moins le texte ne peut pas être aussi facilement modifié. Si, d'autre part, il n'y a que du texte brut sur une page, un robot peut prendre le morceau de texte, le modifier, y ajouter un modèle, puis créer un autre site Web à partir de celui-ci. Je doute que le robot ait la capacité d'extraire du texte à partir d'images ou de vidéos.
Mike
3

Tout d'abord, c'est vraiment une question WP. J'ai écrit plus de 20 sites qui font ce dont vous avez besoin, donc c'est assez facile.

1 Vous obligez tout le monde à se connecter pour afficher chaque page.

2 Vous verrouillez le dossier de téléchargement via le script et .htaccess. Il existe des scripts qui vérifieront la connexion des utilisateurs avant de leur permettre d'afficher les médias.

Si vous voulez faire quoi que ce soit entre cela et que votre site soit grand ouvert - c'est beaucoup de travail. La façon la plus simple de le faire est d'avoir deux dossiers de téléchargement - un pour la sécurité et un pour tout le reste si vous voulez que certaines pages soient ouvertes au public et d'autres non.

Quant à ce que les autres disent sur le contenu - ne peut pas le trouver si vos pages sont verrouillées ... ce n'est pas vraiment vrai. J'ai des scripts de robot qui rechercheront les noms de fichiers dans la merde d'un dossier.

Tous les discours de Google et des robots sont absurdes. Ce truc n'a d'importance que si vous voulez le faire à moitié. Si vous le faites, suivez les conseils de certaines des questions ci-dessus.

coup de fouet
la source