Seguridad web para el sitio web del niño

12

Estoy construyendo un sitio de Wordpress para un padre de un niño de 11 años que quería algo para conmemorar los logros deportivos, académicos y personales de sus hijas. El sitio incluye fotos y videos de ella y sus amigos, información biográfica y publicaciones de blog. El dominio está registrado de forma privada a nombre de mi empresa, no los agrego a la consola de Google y mantengo otros SEO minimizados. No hay apellidos ni direcciones físicas. Quiero tener en mente la mayor seguridad posible para evitar que los raspadores capturen sus fotos, etc., miradas indiscretas, etc. Probablemente estoy siendo paranoico y, como todos mis sitios, piensan que podría obtener más tráfico del que realmente tiene, pero me imagino que es Vale la pena la investigación y vale la pena salpicar mis i's. El sitio web del niño es de excelente gusto y el padre es muy sensato,

¿Hay algún método confiable que pueda tomar para aumentar la seguridad en la Web para esta niña de 11 años y su sitio?

seo website-promotion rhill45
fuente
3
Este es un comienzo: webmasters.stackexchange.com/questions/77031/… Pensaré en otras ideas para el sitio en general. Por cierto, ¡es bueno para ti asumir esta tarea! Es un poco difícil. Pero vale la pena el esfuerzo! Solía ​​hacer alojamiento gratuito de caridad junto con el alojamiento pago y las causas nobles siempre fueron mis favoritas. ¡Estos son los que recuerdo!
closetnoc
3
Te das cuenta de que nada de lo que hagas lo hará 100% invisible ... todo lo que se necesitaría es que alguien publique un enlace en Facebook o Tumblr, y ese sitio web estará ahí ... Lo mejor que puedes hacer es tener los padres supervisan / aprueban todo el contenido que el niño publica y educan a ambos sobre lo que deben tener cuidado
HorusKol
44
Un robots.txtarchivo con el contenido correcto puede mantener a todos los bots legítimos. La parte difícil es el resto. Muchos de ellos pueden mantenerse alejados si la dirección del sitio es difícil de encontrar.
kasperd el
55
Además de todo lo que ya se ha dicho, tenga en cuenta que Wordpress deja intactos los datos EXIF ​​de la imagen ...
user1103
3
¿Esto necesita ser un sitio web? Si no quieres que se propague mucho y caiga en las manos equivocadas, ¿por qué ponerlo en internet? ¿No podría hacer algo más en su memoria y dárselo a los padres / familiares / personas involucradas?
Tom.Bowen89

Respuestas:

20

Probablemente estoy siendo paranoico

Tal vez estoy siendo paranoico, pero parece que debería ser un blog / sitio web completamente privado. es decir. contraseña protegida. ¿Quién es exactamente el público objetivo?

Además del aspecto de seguridad (evitar que los inescrupulosos encuentren y usen el contenido), este tipo de contenido parece estar listo para la intimidación de otros "amigos" de la escuela. El contenido que podría estar bien al principio, para un niño de 11 años, podría volverse vergonzoso en unos pocos años.

No los agrego a la consola de Google

Esto parece ser al revés? La forma de ocultar contenido de Google (es decir, un bot "bueno") es usar la robotsmetaetiqueta (o X-Robots-Tagencabezado) y tal vez robots.txt. Omitirlo desde Google Search Console no ayudará a este respecto.

Al menos si lo agrega a Google Search Console, puede monitorear cosas como vínculos de retroceso, verificar robots.txt, etc. Si de hecho lo hace público.

Señor White
fuente
1
Esta es realmente la única solución sensata. +1
MonkeyZeus
44
Breve aclaración: no agregar un sitio a Google Search Console significa no decirle a Google directamente sobre un sitio. Esto significa que no está haciendo todo lo posible para que Google lo note. Sin embargo, eso no significa que Google NO PUEDE notarlo, usted usaría los archivos de robots para eso, como sugirió w3d. Además, hacer que el sitio esté protegido con contraseña significaría que lo máximo que Google podría indexar sería la página de inicio de sesión.
Jake
11
"La forma de ocultar contenido de Google" es no ponerlo en Internet en primer lugar .
Carreras de ligereza en órbita
2
Creo que la protección del directorio con contraseña sería contraria a las razones por las que la madre quiere un sitio, en ese caso podríamos haber hecho una carta de noticias y enviarla por correo electrónico. La hija quiere comenzar un blog. Las mamás no son estúpidas, ella está revisando y editando el contenido. No creo que estén haciendo nada irresponsable aquí. Esta es una excelente respuesta sobre esta pregunta.
rhill45
La protección de contraseña del sitio en WP no tiene nada que ver con proteger los medios.
blankip
6

La única respuesta apropiada es proteger con contraseña todo el asunto. HTTP BASIC_AUTH es probablemente el más sencillo de configurar, ya que no interactuará con WordPress de ninguna manera. Eso por sí solo será suficiente para disuadir a todos los raspadores, pero si desea una seguridad adecuada, también debe usar HTTPS.

(Nota al margen: con muchos sistemas, una página HTTP redirigirá a HTTPS. Sin embargo, con HTTP BASIC_AUTH, esa redirección puede ser posterior a la solicitud de su contraseña. La página HTTPS solicitará la contraseña nuevamente. Esto significa que su contraseña ha sido ingresada dos veces, una vez en texto sin formato y una vez a través de un canal seguro. En principio es posible tener diferentes contraseñas para las versiones HTTP y HTTPS, o no tener una contraseña para la versión HTTP: todo lo que hace es redirigir a la versión HTTPS, que luego le solicita su contraseña. La facilidad de configuración depende de las herramientas que esté utilizando para administrar las preferencias de alojamiento de su sitio web. Alternativamente, simplemente asegúrese de navegar siempre directamentea la página HTTPS, sin pasar por la versión insegura. Si usa un sistema de contraseña que no sea HTTP BASIC_AUTH, entonces probablemente ninguna de estas notas al margen se aplicará).

Trigonometría
fuente
44
Si desea ir a la ruta protegida por contraseña, dado que este es un sitio de WordPress, simplemente usar WordPress para manejarlo es el método mucho más fácil: codex.wordpress.org/Content_Visibility#Private_Content
Doyle Lewis
1
@DoyleLewis. ¿Protegerá eso los activos estáticos, como las imágenes cargadas? Es cierto que es poco probable que un rastreador los encuentre (siempre que lo haya hecho Options -Indexes).
TRiG
Considere https pero el único problema es el costo. Me gustaría poder encontrar una forma de ejecutar su sitio debajo de mi empresa SSL pero por supuesto no es posible
rhill45
2
letsencrypt.org @ rhill45.
TRiG
1
@TRiG Si alguien tuviera la URL de un archivo multimedia estático, entonces no, eso no lo protegería. Pero ningún rastreador lo alcanzaría ya que no podrían acceder al contenido que vincularía al archivo.
Doyle Lewis el
3

Primero, pediré una gran disculpa a todos los webmasters profesionales, pero para este OP, tengo una sugerencia de oro:

Violar las pautas del motor de búsqueda

Y me refiero a hacerlo hasta el punto en que el contenido importante esté en JavaScript complejo y los robots de contenido que puedan rastrear no estén en HTML adecuado. Esto incluye una etiqueta de descripción incorrecta, una etiqueta de título incorrecta, etc. Diablos, tal vez convierta todo el contenido en un video hecho en flash o muestre todo el contenido como una sola imagen. Eso realmente haría temblar al rastreador del motor de búsqueda.

Lo mostraré con un ejemplo en el código:

Aquí hay una manera de indexar algo:

<!DOCTYPE html>
<html>
<head>
<title>Web page</title>
<meta name="description" content="This is a wonderful web page">
</head>
<body>
<h1>A wonderful web page</h1>
<h2>By John Smith</h2>
<p>This is a wonderful page. ya de ya de ya de ya de ya de ya de</p>
<p>This is wonderful. ya de ya de ya de ya de ya de ya de</p>
</body>
</html>

Ok, lo admito, el texto no es perfecto, pero entiendes lo que quiero decir.

Ahora, si desea ocultarlo de los rastreadores y hacerlo de la manera más simple, puede intentar esto:

<!DOCTYPE html>
<html>
<head>
<title>Private</title>
</head>
<body>
<img src="mywebsite.jpg" width=1024 height=768>
</body>
</html>

luego haga una imagen llamada mywebsite.jpg e incluya todo el texto en ella, no en el html que se muestra arriba. Entonces debe proteger mywebsite.jpg haciendo una versión con marca de agua para los usuarios que no están autorizados para ver la realidad. Simplemente compare las cadenas de agente de usuario o las direcciones IP con las que permite / rechaza para la imagen. Este tipo de cosas se pueden hacer en .htaccess con algunas reglas de reescritura.

Por ejemplo, para obligar a googlebot a ver la imagen con marca de agua en lugar de la imagen real, use estas reglas:

RewriteCond %{HTTP_USER_AGENT} ^googlebot$ [NC]
RewriteRule ^mywebsite.jpg$ specialrobotimage.jpg [L]

Supongo que mywebsite.jpg es su sitio web real como una imagen y specialrobotimage.jpg es la marca de agua o la imagen como un mensaje que indica que solo los usuarios reales pueden ver la información. Además, las reglas asumen que todo está en la misma carpeta.

Miguel
fuente
De hecho, lo de JS podría ser la mejor opción. Mientras que algunos bots ejecutan JS, los scrapers y lo que no suele hacer no. Esto significa que varios objetos DOM HTML se pueden establecer en el contenido real cuando se ejecuta JS. No sugiero depender de los agentes de usuario, ya que a menudo esto es forjado por los raspadores. Considere instalar ModSecurity y deje que eso haga la mayor parte del trabajo por usted.
closetnoc
11
Este es realmente un mal consejo. Es mucho trabajo sin beneficio real. Una tonelada de bots ejecutan JavaScript en estos días. El contenido de un video o imagen no es fácil de mantener (además, ambos todavía se indexan regularmente). Incluso el contenido en Flash ha sido indexado durante años.
Brad
Ok, olvidé mencionar que la no indexación debería aplicarse a las imágenes y videos. Entiendo que no son fáciles de mantener, pero al menos el texto no puede modificarse tan fácilmente. Si, por otro lado, solo hay texto sin formato en una página, entonces un rastreador podría tomar la porción de texto, modificarlo, agregarle una plantilla y luego construir otro sitio web a partir de él. Dudo que el rastreador tenga la capacidad de extraer texto de imágenes o videos.
Mike
3

Primero, esta es realmente una pregunta de WP. He escrito más de 20 sitios que hacen lo que necesita, así que esto es bastante fácil.

1 Hace que todos inicien sesión para ver cada página.

2 Bloquea la carpeta de cargas mediante script y .htaccess. Hay scripts que verificarán el inicio de sesión del usuario antes de permitirles ver medios.

Si desea hacer algo entre esto y tener su sitio abierto de par en par, es mucho trabajo. La forma más fácil de hacerlo es tener dos carpetas de carga: una con seguridad y otra para todo lo demás si desea tener algunas páginas abiertas al público y otras no.

En cuanto a lo que otros dicen sobre el contenido, no puedo encontrarlo si sus páginas están bloqueadas ... eso no es realmente cierto. Tengo scripts de robot que buscarán en la basura de una carpeta los nombres de los archivos.

Toda la charla de google y robots no tiene sentido. Eso solo importa si lo quieres a medias. Si lo hace, entonces tome el consejo de algunas de las preguntas arriba mencionadas.

cartel en blanco
fuente