Как я могу профессионально управлять сайтом?

Моя жена начала бизнес, и веб-сайт является важным способом привлечения потенциальных клиентов. Я разработчик программного обеспечения, поэтому, конечно, я занимаюсь техническим делом. Я организовал веб-хостинг и загрузил и настроил WordPress (который вместе с приличной темой подходит для нашего счета красиво). У моей жены есть некоторые знания HTML и CSS, поэтому она может самостоятельно настроить сайт.

Теперь я хочу профессионализировать этот материал. Если что-то происходит глупо (случайно испортить файл, ошибка в обновлении WordPress, сайт взломан), мы теряем весь сайт.

Что мне нужно для управления сайтом? Когда я занимаюсь поиском этой темы, я нахожу только учебники по FTP, которые не соответствуют уровню информации, которой я занимаюсь. Я понял:

  • резервное копирование файлов + база данных (у меня уже есть, но я не проверял, работает ли восстановление)
  • локальная тестовая среда для редактирования темы и тестирования обновлений Wordpress
  • план тестирования, содержащий некоторые вещи для проверки перед загрузкой тестовой среды на сайт в реальном времени.
  • versioning - если что-то пойдет не так, мы сможем перейти к предыдущей версии.
  • мониторинг работоспособности - если сайт не работает, мне не придется его слышать от клиентов

Предлагается bybe , в основном связанная с безопасностью:

  • используйте VPS. Это защитит меня от атак на другие общедоступные учетные записи хостинга, однако это откроет еще одну банку червей, потому что я должен держать сервер в безопасности сам .
  • удалить права записи для всех файлов, которые не должны быть доступны для записи (файлы шаблонов, .htaccess)
  • подпишитесь на список рассылки CMS (в этом случае Wordpress) и обновите, как только появятся новые выпуски
  • минимизировать количество плагинов CMS - у них есть свои собственные уязвимости
  • удалить учетную запись администратора CMS по умолчанию
  • поместите веб-сайт в режим обслуживания при изменении. Он обеспечивает постоянную резервную копию и приятнее для посетителей.

Есть ли что-либо в этом списке?

18 голосов | спросил Frank Kusters 6 Jam1000000amSun, 06 Jan 2013 01:01:22 +040013 2013, 01:01:22

5 ответов


11

Хорошие вопросы, безопасность - это ваша главная проблема, и она одинакова для всех, кто берет на себя управление своими собственными веб-сайтами. WordPress - это не самая безопасная система управления контентом на планете, однако ее можно сделать безопасным с хорошим хостингом и хорошим знанием того, что нужно обеспечить и обеспечить.

хостинг

Самый безопасный способ размещения вашего сайта - VPS или выделенный, предполагая, что у вас хорошая безопасность в ОС. Проблема с совместным хостингом заключается в том, что вредоносное ПО может распространяться с одной учетной записи на другую, даже если они находятся в тюрьмах, эти хакеры находят свой путь и заражают несколько сайтов. Например, GoDaddy был взломан в прошлом месяце и оставил 100 000 сайтов, взломанных вставки greyhat.

Из того, что я читал, вы хотите пойти с VPS, но важно, чтобы вы хотели что-то управлять своими резервными копиями, вам нужен VPS с CentOS6 с Cpanel. Вам нужно будет заплатить дополнительно за Cpanel, но это сделает настройку веб-сайтов и резервное копирование базы данных, а также автоматическую файловую систему, а также отправку ваших писем ежедневно, когда резервная копия завершилась или завершилась по той или иной причине.

Теперь я не знаю, какие сильные навыки у вас есть в самом Linux, но VPS часто может принести другие проблемы с безопасностью, если вы не сильны в этом отделе. К счастью, в наши дни у нас есть такие вещи, как Google, и вы можете в значительной степени научиться защищать свой VPS с легкостью. Основная особенность вашего VPS-бокса заключается в том, чтобы убедиться, что использование ключа SSL на вашем компьютере означает, что даже если они знают пароль, он не может получить доступ к вашей системе без этой сертификации. Кроме того, чтобы люди не угадали пароль, вы всегда можете изменить порт ssh.

Есть много вещей, которые вы можете сделать, чтобы предотвратить доступ к вашему ящику, и Google служит для этого наилучшим образом, theres далеко далеко до многих, чтобы список.

WordPress

Защита Wordpress довольно прямолинейна. Самый сильный совет - защитить файлы шаблонов в каталоге /wp-content/themes directory. Поскольку ваша жена не будет редактировать файлы шаблонов, которые вы хотите изменить, чтобы они не могли быть записаны напрямую из WordPress. Существует параметр в configuration.php, который вы можете установить, но серьезно просто CHMOD с помощью FTP, или если вы идете и используете VPS, измените право собственности на эти файлы из www-data to root. Таким образом, они не могут быть изменены из WordPress или любого другого программного обеспечения, запущенного на сервере. Большинство инъекций, основанных на сценариях, будут атаковать файлы index.php шаблонов и добавлять вредоносное ПО. Кроме того, существует несколько атак с переадресацией .htaccess, поэтому снова chmod файл .htaccess будет невосстановимым, как только у вас появятся нужные настройки, или снова измените с www-data на root. Также configuration.php вы должны установить root, или chmod, чтобы его не могли читать гости и посторонние.

Не оценивайте силу CHMOD, тем больше файлов вы можете сделать неуправляемым, тем лучше. Старайтесь избегать ненужных плагинов WordPress. Хотя некоторые из них велики, спросите себя, что вам нужно. Чем больше вы установили, тем больше ваших хакеров должны играть, поэтому избегайте плагинов настолько, насколько сможете, и не раздувайте их с ними.

WordPress обновляется еженедельно до ежемесячно, обновляется как можно скорее - есть причина, почему у них так много обновлений, и одна из них - проблемы безопасности и лазейки, которые они обнаружили.

Кроме того, по умолчанию у вас будет учетная запись «admin», введите другой администратор, такой как yourwifenames вместе с хорошим паролем. Затем удалите эту учетную запись администратора.

План тестирования

Вы всегда можете имитировать свой сайт, т. е. иметь клон. Используя cpanel, вы можете настроить субдомен test.subdomain.com и запустить этот же WordPress вместе с клоном базы данных.

Лично, если вы не используете основные расширения для WordPress, тогда вы можете просто зайти на сайт в автономном режиме i.e.Выполняется техническое обслуживание. а затем обновить систему, если что-то пойдет не так, тогда у вас есть автоматическое резервное копирование или резервная копия, которую вы делали во время обслуживания. таким образом, ваш сейф в любом случае.

Всегда лучше обновлять в режиме обслуживания, в то время как некоторые обновления не спрашивают, некоторые делают. Лучше всего взять его в автономном режиме, чтобы у вас был ХОРОШИЙ магазин.

Versioning При каждом ежедневном резервном копировании у вас будет дата, внутри GZ /Zip вы сможете прочитать конфигурационный файл с номерами версий WordPress.

Uptime Хорошие системы Vps будут отслеживать это для вас и при необходимости перезагружаться, так как вы управляете сервером, вы всегда можете установить задание cron, которое отправит вам электронное письмо, если сервер опустится, но снова. Хороший сервер никогда не опускается, выберите хорошую компанию VPS, которая работает на облаке с избыточными источниками питания и аппаратным обеспечением, например Rackspace, или Amazon работают над облаком.

Версия для тестирования Снова просто клонируйте сайт на дополнительный домен, который использует пароль .htaccess.

Надеюсь, что это поможет, и если у вас возникнут дополнительные вопросы, спросите.

ответил Simon Hayter 6 Jam1000000amSun, 06 Jan 2013 02:16:28 +040013 2013, 02:16:28
2

Вы обязательно захотите, чтобы это было просто. Но в конечном счете это зависит от того, какой сайт вы собираетесь (люди смогут приобрести вещи?).

Если у вас есть простой сайт WordPress, тогда вы захотите сделать резервные копии (или убедитесь, что копия на общедоступном сервере не является единственной копией; не создавайте резервные копии статических файлов с сервера, а делайте резервные копии базы данных каждый неделю). Для более крупных сайтов или если вы сохраняете какие-либо пользовательские данные в базе данных, делайте резервное копирование чаще.

Для крупных сайтов электронной коммерции может быть хорошей идеей инвестировать в сертификат SSL, чтобы получить доверие посетителей, а также зашифровать данные (вы можете бесплатно создать свой собственный самозаверяющий сертификат, но это должно быть используемый в среде разработки).

Определенно рассмотрите возможность аренды VPS или даже выделенного сервера, если вы заинтересованы в безопасности; он предлагает гораздо большую гибкость, но с властью приходит ответственность (а также потенциал, чтобы портить вещи). Вы можете получить действительно фантазии и настроить синхронизированные базы данных на удаленных серверах, использовать rsync для резервного копирования данных по расписанию и т. Д. Но опять же, держите его простым.

Для тестовой среды, неплохая идея и, вероятно, хорошая вещь, если вы часто меняете дизайн и контент, но вы хотите убедиться, что версии и настройки WP идентичны. Очень важно.

Наконец, держите его простым. Человеческие ошибки при удалении /перепутании файлов являются основной причиной потери данных. Хакеры не являются.

ответил ionFish 6 Jam1000000amSun, 06 Jan 2013 01:29:49 +040013 2013, 01:29:49
2

Я сам новый веб-мастер, поэтому я далек от эксперта. Однако, что я могу вам сказать, это мой собственный опыт за последние несколько месяцев. Немного о себе: я парень из Windows с небольшим опытом работы с Linux /Apache, владеющим PHP /HTML /CSS, с достойными базовыми знаниями WordPress (WP).

Я установил локальную тестовую среду с XAMPP и потратил много времени на установку /настройку /удаление WP. Затем я провел несколько дней, изучая разработку плагинов WP. Все это было локально, создав небольшой плагин. Получил это нормально, загрузил его вживую, затем пришлось потратить кучу времени, пытаясь понять, почему он не работал на моем живом сайте.

Я не помню точных причин, но это сводится к тому, что мой хост имеет разные настройки /разрешения /etc., чем мой локальный сервер. Хотя я мог бы потратить гораздо больше времени на углубленное изучение управления сервером и попытку сопоставить свои локальные среды, я решил сделать более простой маршрут. Я настраиваю живой тестовый домен - несколько на самом деле.

Мой хостинг-план - типичный общий план. Фактически, это самый дешевый, который предлагает мой хост, который позволяет неограниченные аддоны домена, но не позволяет этим доменам указывать в любом месте, кроме корня. Поэтому я узнал, как использовать .htaccess для динамического перенаправления разных доменов в разные каталоги, некоторые простые материалы для вырезания-вставки. Затем я получил некоторые бесплатные субдомены через CU.CC. Хотя я бы не использовал их для каких-либо реальных сайтов, потому что они не являются истинными доменами, т. Е. Вы не «владеете» ими, они отлично работают для тестирования в реальном времени.

Я использую одну халяву в качестве клона моего сайта, поэтому, если я хочу установить плагин или тему, я могу проверить его полностью, прежде чем отправлять его в прямом эфире. Поскольку мой тестовый домен находится на одном сервере, я точно знаю, как будет отображаться мой живой сайт. Я использую другую халяву в качестве общего тестового стенда WP. И еще один для общего тестирования webdev.

Для клонирования моего сайта я использую бесплатный плагин WP под названием «Дубликатор». Он поддерживает файлы и базу данных сайта. Он также обрабатывает все необходимые для работы базы данных WP, если вы хотите восстановить их в другом домене. Это отлично работает для моего WP testbed, так как мне нужно было только один раз установить WP, загрузить его с моим фиктивным контентом и amp; пользователи, настройте мои префиксы admin, как permalinks, часовой пояс и т. д. Теперь я могу взломать WP все, что захочу, а затем восстановить резервную копию по своему усмотрению, до моей доисторической, но настроенной как я-хочу WP установки.

ответил akTed 6 Jam1000000amSun, 06 Jan 2013 02:23:28 +040013 2013, 02:23:28
1

Если вы боитесь, что ваш сайт будет взломан или запущен с помощью malwares, я предлагаю использовать http://sucuri.net /

Хотя это платный, но он будет эффективно защищать вашу безопасность сайта.

Кроме того, с вашей стороны следует принять меры предосторожности. Получайте резервную копию базы данных каждую неделю. Задайте опцию резервной базы данных в вашем хосте, и вы будете получать резервные копии базы данных в свое время и снова на регулярной основе.

ответил Sidh 6 Jam1000000amSun, 06 Jan 2013 01:20:43 +040013 2013, 01:20:43
1

В других ответах есть много хороших советов, но я предполагаю, что у вас больше или меньше опыта в обслуживании серверов и в знаниях WordPress, которые вы a) не можете иметь, и б) может не хватить времени, чтобы посвятить его действительному изучению.

Предполагая, что вы уже платите за хостинг и рассматриваете возможность перехода на VPS, я настоятельно рекомендую переходить к интернет-провайдеру, который специализируется на хостинге WordPress, и обеспечивает защиту и восстановление вредоносных программ, проверку безопасности плагинов, резервное копирование и обновление ядра для вас. Два, которые я использую для клиентов, теперь Pagely и WP Engine . Приятным бонусом является то, что эти интернет-провайдеры также оптимизированы для обеспечения ускорения скорости, которое иногда требуется WordPress. WP Engine также имеет промежуточную среду для тестирования ...

Если вы предпочитаете не использовать управляемый хостинг, я настоятельно рекомендую вам подписаться на VaultPress в качестве основного плана резервного копирования и безопасности , Уровень обслуживания Premium обслуживает как (обычный сервис - это только резервное копирование /восстановление), и только душевное спокойствие стоит того. VaultPress довольно дорогой и может быть дороже, чем использование управляемого хостинга, рекомендованного выше.

Третий способ - объединить безопасность с вашим опытом, плагинами и возможностью поиска в Google и резервного копирования /версии таким же образом. Опять же, это предполагает уровень знаний с конфигурацией сервера и WordPress, который у вас может не быть сразу, а восстановление после взлома WordPress может быть жалким опытом, иначе, если злоумышленник выполняет скрипты в оболочке.

ответил JCL1178 6 Jam1000000amSun, 06 Jan 2013 11:09:20 +040013 2013, 11:09:20

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132