Dneska odpovídal ve videopostu Matt Cutts na otázku zdali je možné přidat si stránku do Google Webmaster Tools pomocí vložení autorizačního kódy mezi tag body.
Přiznám se, že jsem o tom uvažoval snad pokaždé, když jsem volil způsob jak přidat stránku do GWT. Nikdy jsem to ale nevyzkoušel. Vždy vyhrála lenivost s nahráním souboru.
No nebudu to prodlužovat Matt prohlásil, že to nejde, protože by to bylo velmi jednoduché na zneužití například pomocí neošetřených komentářů. Počítá se tedy jen to co je v head. Také nenápadně zmínil, že pokud budete mít stránku, kde se vám může kdokoliv hrabat v head tak zřejmě máte i tak problém.
A co se vlastně tak zlého může stát pokud si někdo přivlastní váš web? No krom špionáže můžete například snížit rychlost procházení stránek, anebo na férovku odstranit některé URL z Google indexu. Třeba index.php určitě nepotěší. Daleko nebezpečnější je ovšem nástroj Distancování se od odkazů (Google’s Disavow Tool). Zatímco reindexace je možné dosáhnout poměrně rychle, tak v případě tohoto nástroje to může trvat i měsíce. Ostatně největší problémy nadělá vždy věc, která je v podstatě zbytečná a za tím si stojím. Google špatné odkazy vždy mohl ignorovat místo toho, aby přenášel z nepochopitelných důvodu tuto odpovědnost na uživatele.
Tento dotaz ale otevřel znovu otázku bezpečnosti stránek. Přiznám se, že od doby co jsem přesedlal na CMS už spíš doufám, že jsou mé stránky zabezpečené, než tomu věřím. Když si všechno děláte po svém, tak dokážete odhadnout kde můžou být chyby a případně se na ně preventivně připravit. Třeba dodnes přesně nevím jak WordPress funguje. Dokážu přidávat sloupce, upravovat pluginy, dokonce si troufnu i vytvořit si nějaké vlastní funkce. Pokaždé když ale dojde na nějakou větší úpravu musím postupovat podle manuálu a vždy mám pocit, že ti bylo posledně jinak :)
No každopádně co jsem se za poslední roky k bezpečnosti naučil:
- Všechno pořádně prověřovat, když chci nový plugin kouknout se zdali si na něj někdo nestěžoval.
- Vždy stahovat doplňky jen na stránce CMS. Volně ležící jsou podezřelé.
- Zálohovat alespoň texty.
- Nikdy si nikam neukládat hesla k FTP. Papírek u počítače ačkoli je náchylný na ztracení je bezpečnější než hesla uložená v Total Commanderu.
- Používat všude předgenerovaná hesla. Když je zapomenu, nechat si poslat nové. Velkou většinu hesel mám v bloku u počítače.
- Největší slabinou mých projektů nebyl CMS anebo webhosting, ale můj vlastní počítač. Takže mám placený antivirus, firewall a všechno originální. Vážně na mém posledním počítači mám jen originální programy. Ostatně na hraní s grafikou stačí Inkscape a na obrázky Gimp.
- Šablony k WordPress jedině 2010, 2011 anebo 2012 ostatní jsou náchylné na problémy. Pokud šablonu na zakázku, tak musí být jako child theme k výše jmenovaným. Mám sice pár výjimek, ale za poslední rok do všeho dávám jen výše zmiňované.
- V posledním půl roce mám vypnutou Javu. Funguje jen v prohlížeči, přes který přistupuju k internetovému bankovnictví.
Když už jsem se dal do vypisování bodů, které byly vyváženy hodinami mého času na sjednání nápravy budu rád pokud se přidáte :)
Jak to je v případě, že už web je v GWT? Může být pod více účty?
java mi nesmi do pocitace. u me to byl bohuzel hosting (angel) kdy ted nachazim i ve vlastnich aplikacich ifrejmovany evel kody a podobne. takze me bude cekat velky jarni uklid :-(.
čítal som že je dáky problém s javou ale verím že originálny NOD odfiltruje akékoľvek problémy.
Na Pčka nechodím tak azda nebude problém :) :) :)
tak ja to mam skoro to same. Jen dalsi dve veci s kteryma se obtezuju.. sleduju zverejnene chyby/exploity u webovych veci (napriklad zde exploit-db(dot)com). A s programy u kterych si nejsem jistej, nebo chci vyzkouset nejakou aplikaci pred jejim zakoupenim, tak jedine do VMky (Visty a vys obsahuji i licenci k Windows ve VMce s VirtualPC).
My jsme za poslední tři čtyři roky na WP rozjeli tak 500 webů a ani jeden nikdy nebyl napaden naší chybou, v těch pár případech, kdy někdo / něco web hacknulo bylo heslem uživatele do adminu (navzdory varování), ukradením nehashovaných hesel z Total Commanderu apod. V podstatě stačí používat pár preventivních prvků (tabulky v DB, složitá hesla, nouzově omezení IP na FTP a WP admin), aktualizovat WordPress, používat prověřené pluginy (k tomu stačí v podstatě jen rating z WP repository) a určitě nebude problém. Vliv PC bych nepřeceňoval, mám výchozí Windows Firewall / antivir / antimallware,… a nikdy jsem tu nic jako virus neměl :).
To moc nechápu? Jak vložit kód do stránky a jak by mi to mohlo poničit stránky? K tomu je přece třeba mít přístup na FTP, aby mi někdo mohl měnit ty HTML kódy.
Tomáš H.: HTML kód se dá do stránky vložit přes neošetřené formuláře. Například ty jsi svým příspěvkem vložil text do této stránky. Pokud by nebyl formulář zabezpečený prošlo by přes něj třeba javascriptový kód na redirekt.
treba sem do kometare bys to mohl vlozit :-)
Plugin nebo šablona WP může přidat kód do hlavičky, bez ohledu na to, zda je to child k osvědčené šabloně nebo ne.
“V posledním půl roce mám vypnutou Javu. Funguje jen v prohlížeči, přes který přistupuju k internetovému bankovnictví.”
Docela by mě zajímalo, co může někoho držet u Komerčky? Nebo se pletu?