Wordpress - Geschikt als private website?

Ja, dit kan prima.
Je kunt prima niet ingelogde gebruikers naar een inlogpagina sturen en verder niets laten zien. Moet je natuurlijk zorgen dat je je private pagina's niet indexeert, ander vindt een zoekmachine ze alsnog.

Wij doen 't met https://wordpress.org/plugins/google-apps-login/ maar er zijn er vast nog meer.

[ Voor 18% gewijzigd door TERW_DAN op 04-10-2019 20:28 ]

Maar is de eis dat je website niet zichtbaar is voor buitenstaanders, of dat je niet geïndexeerd wil worden door Google, or what?

Wil je uiteindelijk nog íets tonen voor niet leden? Anders zou ik eens kijken naar een .htaccess bestand, en dan een username && wachtwoord er voor hangen...

Afbeeldingen en andere statische content wordt niet door WordPress code afgehandeld. Als je die ook (100%) wil afschermen is de enige optie een login via ..htaccess

@zeezuiper met wat deftig gebruik van .htaccess of een Apache module kun je ook statische content blokkeren voor niet ingelogde bezoekers van een Wordpress site. Als ik wil kan ik bezoekers zelfs op basis van land van herkomst en stand van de maan iedere vorm van toegang weigeren. Alleen is dat erg lastig te realiseren in de vorm van een plugin voor WordPress. En is er geen vraag naar.

Als je de site zelf alleen toegankelijk maakt voor ingelogde gebruiker ben je al een heel eind. Alleen ingelogde gebruikers kunnen dan links naar afbeeldingen verspreiden.

Heb je meer nodig?

Verwijderd schreef op vrijdag 4 oktober 2019 @ 21:53:
Als ik wil kan ik bezoekers zelfs op basis van land van herkomst en stand van de maan iedere vorm van toegang weigeren. Alleen is dat erg lastig te realiseren in de vorm van een plugin voor WordPress. En is er geen vraag naar.

Er zijn bij mijn weten een stel plugins die dit doen, ik gebruik zelf iQ Block country...

Ik draai (oa) een multisite die compleet is afgeschermd. Daar zijn maar een paar plugins voor nodig.... iQ block country gebruik ik omdat er soms nogal veel raad-een-wachtwoord-pogingen zijn... Dat heb ik liever niet. En die komen allemaal uit derde wereld landen bijna... Dus ik whitelist de Benelux.

Hoe scherm je alle content af? Allereerst gebruiken we Page Security & Membership. In de settings zet je "protect entire site" aan. Hiermee is de hele site voor de buitenwereld onzichtbaar. Ik gebruik daarnaast Slash Admin om enkele zaken voor ingelogde gebruikers ook onzichtbaar te maken, en als redirect na het inloggen. Daarnaast draait de plugin User Switching bij ons ook. Daarmee kun je als admin heel snel door de ogen van een bepaalde gebruiker kijken, zonder telkens opnieuw te hoeven inloggen. Maar dat speelt misschien meer bij gebruik van een multisite of veel rollen...

Met bovenstaande scenario krijg je gelijk de inlogpagina te zien als je naar de website gaat. Geen pagina, niets. Na het inloggen kun je alles zien wat je mag zien.

Maar dan de plaatjes! Die staan allemaal in de map www.mijndomein.nl/wp-content/uploads/. En die is openbaar benaderbaar, dus als je de url weet....

En daar zit de kneep. Als ik tien plaatjes in wordpress stop met namen als

101237863467589122123112349.jpg
sdjkfhgkjywedkcbhwjdkjdqwejkg.png

gaat niemand die ooit vinden als hij/zij de url niet weet. Op die manier is nieuwe content eigenlijk niet te raden. Maar iemand die niet is ingelogd, en de url zich nog zou herinneren, kan deze intikken, en voila!

Is dat erg? We weten namelijk zeker dat deze persoon het plaatje al eerder bekeken heeft, en hij had 'em dus net zo goed toen kunnen downloaden (of misschien is het plaatje zelfs door zijn browser gecached).

In welke situatie wordt dit wel vervelend? Stel ik heb een word-document met bijvoorbeeld een soort agenda die ik deel met meerdere mensen. (zij zien de url in wordpress, en kunnen dan het document downloaden) Als ik het word-document regelmatig aanpas, maar ik hou de originele url, kan iemand die ik de toegang ontzegd heb tot de website en die de url onthouden heeft, nog tot in lengte van jaren meekijken met onze agenda... Dan zou je denken : zorg dan dat de nieuwe upload van het word0-document een andere naam (of letterbrij) krijgt, maar dat willen veel mensen niet, omdat ze dan bestaande links in pagina's of het menu telkens moeten aanpassen.

Als hetgeen hierboven beschreven niet speelt, en je kiest moeilijke namen, dan gaat nooit iemand je foto's vinden. (Het moet natuurlijk wel onmogelijk zijn om de folder https://www.mijndomein.nl/wp-content/uploads/
op te vragen)

TomsDiner schreef op vrijdag 4 oktober 2019 @ 22:20:
Maar iemand die niet is ingelogd, en de url zich nog zou herinneren

...of, ik noem maar iets, browser historie. Ook leuk als iemand dat op een publiek toegankelijke PC (hotel, bilbiotheek, whatever) doet.

TomsDiner schreef op vrijdag 4 oktober 2019 @ 22:20:
We weten namelijk zeker dat deze persoon het plaatje al eerder bekeken heeft, en hij had 'em dus net zo goed toen kunnen downloaden (of misschien is het plaatje zelfs door zijn browser gecached).

Of je hebt een knurft die de URL doorstuurt naar iemand anders die 't weer doorstuurt naar iemand anders die... en toen ging je privéfilmpje viraal...

TomsDiner schreef op vrijdag 4 oktober 2019 @ 22:20:
Als hetgeen hierboven beschreven niet speelt, en je kiest moeilijke namen, dan gaat nooit iemand je foto's vinden.

Ik vind dat 'n behoorlijke gevaarlijke aanname. JA, er zijn situaties waarin dit afdoende is, maar dan moet je wel verdomde goed weten waar je mee bezig bent en wat de gevolgen zijn. En JIJ (als beheerder) kunt dat wel weten, je gebruikers zijn 1 muisklik "delen met..." verwijderd van een catastrofe.

RobIII schreef op vrijdag 4 oktober 2019 @ 23:12:

Of je hebt een knurft die de URL doorstuurt naar iemand anders die 't weer doorstuurt naar iemand anders die... en toen ging je privéfilmpje viraal...

Dit punt vind ik een beetje mank gaan. Want de persoon had eerst recht om het filmpje te bekijken (anders wist hij de url niet), en had 'em toen ook kunnen downloaden en op dumpert zetten. Eén keer gedeeld -al is het met één iemand- en je bent de totale controle al kwijt. Of je het nou met Wordpress of een private cloud doet.

Ik kan je ook wel een wordpress link voor Secure Downloads geven, die niet de echte url verraad, maar daar geldt hetzelfde: als je met één kwaadwillende deelt is het kwaad toch al geschied.

Je hebt wel gelijk met dat laatste punt. Je moet goed weten wat je doet. En daar gaat het in de praktijk (ook) vaak fout.

zeezuiper schreef op zondag 6 oktober 2019 @ 11:58:
Ok, ik heb nu de plugin My Private Site draaien om bezoekers gelijk naar de (https) login pagina te sturen. Deze plugin is een stuk recenter dan eerdere genoemde plugins. Daarnaast heb ik de inlogpagina wat gezelliger aangekleed met de plugin LoginPress. Ook heb ik de optie blokkeer zoekmachine aanstaan. Zijn er nog andere zaken om Wordpress beter te beveiligen?

Zoekmachines blokkeren geldt alleen voor die zich wat van de robots.txt aantrekken.
Verder blijft met Wordpress het probleem van de statische links voor media het probleem, als je die juist probeert te beschermen. Dan zou je een plugin moeten hebben die de URL randomized en/of achter de Wordpress session zet (dus alleen te zien als je ingelogd bent). Uiteraard is een afbeelding dan nog steeds op te slaan en te delen maar dan wordt ie in ieder geval niet zomaar gevonden.

Welke CMS pakketten kunnen eigenlijk wel werken met webserver authenticatie? Neem aan dat je hiervoor zelf een server moet gaan hosten?

Een willekeurig CMS dat alle (gevoelige) content door een authenticatiescript trekt. Dus geen directe links naar content op disk. Je moet ook de add-ons van dat CMS goed controleren, want de basis kan wel goed zijn maar een add-on kan dat volledig onderuitschoppen.