Moja żona założyła firmę, a strona internetowa jest ważnym sposobem na dotarcie do potencjalnych klientów. Jestem programistą, więc „oczywiście” zajmuję się sprawami technicznymi. Zorganizowałem webhost i wgrałem i skonfigurowałem WordPress (który wraz z przyzwoitym motywem ładnie pasuje do naszego rachunku). Moja żona ma pewną wiedzę na temat HTML i CSS, więc może samodzielnie dostosować stronę.
Teraz chcę profesjonalizować te rzeczy. Jeśli wydarzy się coś głupiego (przypadkowo zepsuje plik, błąd w aktualizacji WordPress, witryna zostanie zhakowana), tracimy całą witrynę.
Czego potrzebuję do zarządzania witryną? Przeglądając ten temat, znajduję tylko samouczki FTP, które nie są do końca poziomem informacji, których szukam. Doszedłem do wniosku:
- tworzenie kopii zapasowych plików + bazy danych (już je mam, ale nie sprawdziłem, czy przywracanie działa)
- lokalne środowisko testowe do edycji motywu i testowania aktualizacji wordpress
- plan testowy, zawierający pewne rzeczy do przetestowania przed przesłaniem środowiska testowego do działającej witryny
- wersjonowanie - jeśli coś pójdzie nie tak, powinniśmy być w stanie przejść do poprzedniej wersji.
- monitorowanie czasu pracy - jeśli strona ulegnie awarii, nie będę musiał słyszeć od klientów
Sugerowane przez bybe , głównie związane z bezpieczeństwem:
- użyj VPS. Pozwoli to ochronić mnie przed atakami na innych współdzielonych kont hostingowych, jednak otwiera kolejną puszkę Pandory, bo muszę trzymać bezpiecznego serera siebie .
- usuń uprawnienia do zapisu dla wszystkich plików, które nie muszą być zapisywalne (pliki szablonów, .htaccess)
- subskrybuj listę mailingową CMS (w tym przypadku Wordpress) i aktualizuj, gdy tylko pojawią się nowe wersje
- zminimalizować liczbę wtyczek CMS - mają one swoje własne podatności
- usuń domyślne konto administratora CMS
- podczas modyfikowania wprowadź witrynę w tryb konserwacji. Umożliwia spójne tworzenie kopii zapasowych i jest przyjemniejszy dla odwiedzających.
Czy czegoś brakuje na tej liście?
źródło
Odpowiedzi:
Dobre pytania, bezpieczeństwo jest twoim głównym problemem i jest takie samo dla wszystkich, którzy podejmują się zarządzania własnymi stronami internetowymi. WordPress nie jest najbezpieczniejszym systemem zarządzania treścią na świecie, ale można go zabezpieczyć dzięki dobrym hostingowi i dobrej wiedzy o tym, co należy zabezpieczyć i upewnić się.
Hosting
Najbezpieczniejszym sposobem hostowania Twojej witryny jest VPS lub dedykowane, zakładając, że masz dobre bezpieczeństwo w systemie operacyjnym. Problem z udostępnianiem hostowanym polega na tym, że złośliwe oprogramowanie może przenosić się z jednego konta na drugie, nawet jeśli znajdują się w więzieniach, hakerzy znajdują drogę i infekują wiele witryn. Na przykład GoDaddy został zhakowany w zeszłym miesiącu i spowodował włamanie do 100 000 witryn z szarymi wstawkami linków zwrotnych.
Z tego, co przeczytałem, chcesz korzystać z VPS, ale ważne jest, aby mieć coś do zarządzania kopiami zapasowymi, potrzebujesz VPS z CentOS6 z Cpanel. Będziesz musiał dodatkowo zapłacić za Cpanel, ale spowoduje to utworzenie stron internetowych i utworzenie kopii zapasowej bazy danych, a system plików zostanie zautomatyzowany, a także codzienne wysyłanie e-maili, gdy tworzenie kopii zapasowej zakończy się lub zakończy się niepowodzeniem z tego czy innego powodu.
Teraz nie wiem, jak silne masz umiejętności w samym systemie Linux, ale VPS często może powodować inne problemy z bezpieczeństwem, jeśli nie jesteś silny w tym dziale. Na szczęście w dzisiejszych czasach mamy takie rzeczy jak Google i możesz z łatwością nauczyć się, jak zabezpieczyć swój VPS. Podstawową rzeczą w twoim polu VPS jest upewnienie się, że używasz klucza SSL, który masz na swoim komputerze, co oznacza, że nawet jeśli znają hasło, nie będą mogli uzyskać dostępu do twojego systemu bez tego certyfikatu. Ponadto, aby ludzie nie zgadli hasła, zawsze możesz zmienić port ssh.
Istnieje wiele rzeczy, które możesz zrobić, aby uniemożliwić dostęp do swojego urządzenia, a Google oferuje to najlepiej, jest ich tylko wiele.
WordPress
Zabezpieczanie Wordpress jest dość proste, Moja najsilniejsza rada to zabezpieczyć pliki szablonów w
/wp-content/themes directory
. Ponieważ twoja żona nie będzie edytować plików szablonów, które chcesz przeskoczyć, aby nie można było ich bezpośrednio zapisać w WordPress. Istnieje ustawienie,configuration.php
które możesz ustawić, ale poważnie po prostu CHMOD je za pomocą FTP lub jeśli pójdziesz i użyjesz VPS, zmień własność tych plików zwww-data
naroot
. W ten sposób nie można ich zmienić z WordPress lub innego oprogramowania działającego na serwerze. Większość zastrzyków opartych na skryptach atakujeindex.php
pliki szablonów i dodaje złośliwe oprogramowanie. Ponadto istnieje kilka.htaccess
ataków przekierowujących, więc ponownie chmod.htaccess
plik do niezatartego, gdy masz pożądane ustawienia, lub ponownie zmień z www-data na root. Równieżconfiguration.php
powinieneś ustawić root lub chmod, aby nie mogli go czytać goście ani osoby postronne.Nie doceniaj mocy CHMOD, im więcej plików możesz uczynić niezauważalnymi, tym lepiej. Staraj się unikać niepotrzebnych wtyczek WordPress. Chociaż niektóre są świetne, zadaj sobie pytanie, czy potrzebujesz. Im więcej zainstalowałeś, tym więcej hakerów musi grać, więc unikaj wtyczek tak bardzo, jak to możliwe i nie nadużywaj ich wraz z witryną.
WordPress aktualizuje co tydzień do miesiąca, aktualizuj jak najszybciej - Istnieje powód, dla którego mają tak wiele aktualizacji, a jedną z nich są znalezione problemy z bezpieczeństwem i luki.
Ponadto domyślnie będziesz mieć konto „admin” „hasło”, stwórz innego administratora, takiego jak twojewifenames wraz z dobrym hasłem. Następnie usuń to konto administratora.
Plan testowy
Zawsze możesz naśladować swoją witrynę, tj. Mieć klon. Za pomocą cpanela możesz skonfigurować subdomenę test.subdomain.com i mieć ten sam WordPress wraz z klonem bazy danych.
Osobiście, jeśli nie korzystasz z głównych rozszerzeń WordPress, możesz po prostu przełączyć witrynę w tryb offline, tj. Konserwacja w toku. a następnie zaktualizuj system, jeśli coś pójdzie nie tak, masz automatyczną kopię zapasową lub kopię zapasową wykonaną podczas konserwacji. w ten sposób jesteś bezpieczny w obu kierunkach.
Zawsze najlepiej aktualizować w trybie konserwacji, podczas gdy niektóre aktualizacje nie pytają, niektóre wymagają. Najlepiej zabrać to offline, aby mieć DOBRY sklep z przystawkami.
Wersjonowanie Przy każdej codziennej kopii zapasowej będzie miała datę, w GZ / Zip będziesz mógł odczytać plik konfiguracyjny z numerami wersji WordPress.
Uptime Dobre systemy Vps będą monitorować je za Ciebie i w razie potrzeby uruchomią się ponownie, ponieważ obsługując serwer, zawsze możesz zainstalować zadanie cron, które wyśle Ci wiadomość e-mail, jeśli serwer ulegnie awarii, ale ponownie. Dobry serwer nigdy się nie psuje, wybierz dobrą firmę VPS, która działa w chmurze z nadmiarowymi zasilaczami i sprzętem, na przykład w Rackspace lub w Amazon na chmurze.
Wersja testowa Ponownie po prostu sklonuj witrynę do subdomeny, która używa hasła .htaccess.
Mam nadzieję, że to pomoże, a jeśli masz dodatkowe pytania, zadaj je.
źródło
Na pewno będziesz chciał to uprościć. Ale ostatecznie zależy to od rodzaju witryny, na którą się wybierasz (czy ludzie będą mogli kupować rzeczy?).
Jeśli masz prostą witrynę WordPress, zrób kopie zapasowe (lub upewnij się, że kopia na serwerze publicznym nie jest jedyną kopią; nie twórz kopii zapasowych plików statycznych z serwera, ale Zrób kopię zapasową bazy danych co tydzień). W przypadku większych witryn lub jeśli przechowujesz dane użytkownika w bazie danych, twórz kopie zapasowe częściej.
W przypadku większych witryn handlu elektronicznego dobrym pomysłem może być zainwestowanie w certyfikat SSL, aby zyskać zaufanie odwiedzających, a także szyfrować dane (możesz wygenerować własny certyfikat z podpisem własnym za darmo, ale powinien on być używany tylko w środowisko programistyczne).
Zdecydowanie rozważ wynajęcie VPS lub nawet serwera dedykowanego, jeśli martwisz się bezpieczeństwem; oferuje znacznie większą elastyczność, ale wraz z mocą wiąże się odpowiedzialność (a także potencjał, że może to popsuć). Możesz naprawdę się fantazyjnie skonfigurować i zsynchronizować bazy danych na zdalnych serwerach, użyć
rsync
do tworzenia kopii zapasowych danych zgodnie z harmonogramem itp. Ale znowu, zachowaj prostotę.Dla środowiska testowego nie jest to zły pomysł i prawdopodobnie dobra rzecz, jeśli często zmieniasz projekt i zawartość, ale chcesz upewnić się, że wersje i ustawienia WP są identyczne. Bardzo ważne.
Wreszcie, zachowaj prostotę. Błędy ludzkie przy usuwaniu / nieporządaniu plików są główną przyczyną utraty danych. Hakerzy nie są.
źródło
Sam jestem nowym webmasterem, więc nie jestem ekspertem. Mogę jednak powiedzieć o własnych doświadczeniach z ostatnich kilku miesięcy. Trochę tła: jestem facetem z Windows z niewielkim doświadczeniem w Linuksie / Apache, biegle w PHP / HTML / CSS, z dobrą znajomością WordPress (WP).
Skonfigurowałem lokalne środowisko testowe za pomocą XAMPP i spędziłem sporo czasu instalując / konfigurując / usuwając WP. Potem spędziłem kilka dobrych dni ucząc się tworzenia wtyczek WP. Zrobiłem to lokalnie, tworząc małą wtyczkę. Dobrze działał, przesłałem go na żywo, a potem musiałem spędzić mnóstwo czasu, próbując dowiedzieć się, dlaczego nie działa w mojej witrynie na żywo.
Nie pamiętam dokładnych przyczyn, ale sprowadza się to do tego, że mój host ma inne ustawienia / uprawnienia / itp. Niż mój lokalny serwer. Chociaż mogłem spędzić znacznie więcej czasu na dogłębnym poznawaniu zarządzania serwerem i próbowaniu dopasowania do mojego lokalnego środowiska, postanowiłem wybrać łatwiejszą drogę. Konfiguruję domenę testową na żywo - w rzeczywistości wiele.
Mój plan hostingowy jest typowym planem wspólnym. W rzeczywistości jest to najtańszy z moich hostów, który pozwala na nieograniczoną liczbę dodatków do domen, ale nie pozwala tym domenom wskazywać nigdzie poza katalogiem głównym. Więc dowiedziałem się, jak korzystać z .htaccess, aby dynamicznie przekierowywać różne domeny do różnych katalogów, kilka prostych rzeczy typu wycinanie i wklejanie. Potem dostałem kilka darmowych subdomen za pośrednictwem CU.CC. Chociaż nie użyłbym ich do żadnych prawdziwych witryn, ponieważ nie są to prawdziwe domeny, tj. Nie jesteś ich właścicielem, ale świetnie sprawdzają się podczas testowania na żywo.
Używam jednego freebiego jako klonu mojej strony na żywo, więc jeśli chcę zainstalować wtyczkę lub motyw, mogę go dokładnie przetestować przed wysłaniem na żywo. Ponieważ moja domena testowa znajduje się na tym samym serwerze, wiem dokładnie, jak będzie wyglądać moja działająca witryna. Korzystam z innej darmowej gry jako ogólnej platformy testowej WP. I jeszcze jeden do ogólnych testów webdev.
Do klonowania mojej witryny używam darmowej wtyczki WP o nazwie „Duplicator”. Tworzy kopie zapasowe plików i bazy danych witryny. Obsługuje również wszystkie elementy zaplecza WP niezbędne do przywrócenia do innej domeny. Działa to doskonale dla mojego testbed WP, ponieważ musiałem zainstalować WP tylko raz, załadować go z moją fałszywą zawartością i użytkownikami, skonfigurować moje ustawienia administratora, takie jak permalinki, strefa czasowa itp. Teraz mogę zhakować WP wszystko, co chcę, a następnie przywrócić kopię zapasową na będzie, według mojej niemal dziewiczej, ale skonfigurowanej tak, jak chcę, instalacji WP.
źródło
Jeśli boisz się, że Twoja witryna zostanie zhakowana lub zostanie zainfekowana przez złośliwe oprogramowanie, sugeruję skorzystanie z http://sucuri.net/
Chociaż jest płatny, ale dość skutecznie zadba o bezpieczeństwo Twojej witryny.
Oprócz tego wskazane jest podejmowanie środków ostrożności. Uzyskaj kopię zapasową bazy danych co tydzień. Ustaw opcję tworzenia kopii zapasowych bazy danych na swoim serwerze hostingowym, a będziesz otrzymywać kopie zapasowe bazy danych pocztą raz za razem.
źródło
Inne odpowiedzi zawierają wiele dobrych rad, ale zakładają większą lub mniejszą wiedzę specjalistyczną w zakresie konserwacji serwerów i wiedzę WordPress, której a) możesz nie mieć i b) możesz nie mieć czasu na poświęcenie jej na naukę.
Zakładając, że już płacisz za hosting i rozważasz uaktualnienie do VPS, zdecydowanie zaleciłbym przejście do ISP, który specjalizuje się w hostingu WordPress i zapewnia ochronę przed złośliwym oprogramowaniem i odzyskiwanie, kontrole bezpieczeństwa wtyczek, kopie zapasowe i aktualizację rdzenia dla Ciebie. Dwa, których teraz używam dla klientów, to Pagely i WP Engine . Dobrą zaletą jest to, że ci dostawcy usług internetowych są również zoptymalizowani, aby zapewnić przyspieszenie, którego czasem potrzebuje WordPress. WP Engine jest również wyposażony w środowisko testowe do testowania ...
Jeśli wolisz nie korzystać z hostingu zarządzanego, MOCNO zalecam subskrypcję VaultPress jako podstawowego planu tworzenia kopii zapasowych i zabezpieczeń. Poziom usługi Premium obsługuje zarówno (zwykła usługa to tylko tworzenie kopii zapasowych / przywracanie), a sam spokój jest wart opłaty. VaultPress jest dość drogi i może być droższy niż korzystanie z zarządzanego hostingu zalecanego powyżej.
Trzecim sposobem jest połączenie bezpieczeństwa z doświadczenia, wtyczek i możliwości wyszukiwania w Google oraz tworzenia kopii zapasowych / wersjonowania w ten sam sposób. Ponownie zakłada to poziom wiedzy na temat konfiguracji serwera i WordPressa, którego możesz od razu nie mieć, a odzyskanie po włamaniu do WordPressa może być żałosnym doświadczeniem, jeszcze bardziej, jeśli atakujący wykonuje skrypty w powłoce.
źródło