اضغط على هذا: نم جيدا. تأمين WordPress الخاص بك يبني اليوم مع روب كيرنز

مرحبًا بك في Press This ، بودكاست مجتمع WordPress من WMR. يجلس المضيف هنا David Vogelpohl مع ضيوف من جميع أنحاء المجتمع للحديث عن أكبر المشكلات التي تواجه مطوري WordPress. ما يلي هو نسخة من التسجيل الأصلي.

مدعوم من RedCircle

ديفيد فوجلبول: مرحبًا بالجميع ومرحبًا بكم في Press This the WordPress community podcasts on WMR. هذا هو مضيفك ، David Vogelpohl ، أنا أدعم مجتمع WordPress من خلال دوري في WP Engine ، وأحب تقديم أفضل ما في المجتمع إليك كل أسبوع عند الضغط على هذا كتذكير ، يمكنك أن تجدني على Twitterwpdavidv ، أو يمكنك الاشتراك للضغط على هذا على iTunes أو iHeartRadio أو Spotify أو تنزيل أحدث الحلقات على wmr.fm. في هذه الحلقة ، سنتحدث عن الأمان وعلى وجه الخصوص النوم جيدًا من خلال قفل بنية WordPress الخاصة بك. والانضمام إلينا اليوم من أجل تلك المحادثة. أود أن أرحب في "اضغط على هذا" ، روب كيرنز. روب ، أهلا وسهلا بك.

روب كيرنز: شكرًا لك ، ديفيد ، وشكرًا لاستضافتي. نقدر ذلك.

DV: نعم ، متحمس جدًا لوجودك هنا. لمن يستمعون. يعمل Rob في مجال التسويق الرقمي وقد قام ببناء وتحسين مواقع WordPress لفترة طويلة. في هذه الحلقة ، ما سيغطيه روب هو وجهات نظره حول أفضل الأساليب. لإغلاق مواقع WordPress ، سيشارك روب أفكاره حول الأمان من خلال الغموض. هل هذه فكرة جيدة؟ فكرة سيئة ، اعتبارات حول كلمات المرور وتوقيت المستخدمين لتحديثاتك WordPress و PHP وغير ذلك الكثير. متحمس حقًا لوجود روب هنا للتحدث اليوم وأوراقه المالية لديها الكثير من العقول هذه الأيام ، مع كل شيء يحدث في العالم وبشكل عام فيما يتعلق بأمن الويب. هذه حلقة مناسبة جدًا ، أعتقد أن الناس يفكرون في كيفية تأمين تجاربهم الرقمية. روب ، سأطرح عليك نفس السؤال الأول الذي طرحته على كل ضيف آخر. هل يمكن أن تخبرني بإيجاز عن قصة أصل WordPress الخاصة بك؟ متى كانت أول مرة استخدمت فيها WordPress؟

RC: بالتأكيد حسنًا ، ديفيد ، ما يجب أن أفعله هو إعادتك قليلاً. منذ حوالي 20 عامًا ، قمت بتسجيل النطاق لأول 125 عامًا مضت وكان أحد الأسباب التي قدمتها هو البريد الإلكتروني المجاني الذي اعتادت عائلتي عليه الشكوى من أنني قمت بتغيير عناوين البريد الإلكتروني وقتًا أطول من تغيير الأشخاص لملابسهم. لذلك قمت بتسجيل المجال. لقد أنشأت موقع ويب HTML ثابتًا لأنني عملت في مجال التكنولوجيا. ثم منذ حوالي 15 عامًا ، قمت بتحويل موقع الويب الثابت هذا إلى مدونة وبالطبع وجهة نظري من WordPress. تركت دائرة الرعاية الصحية منذ حوالي 12 عامًا كنت أعمل في مجال التكنولوجيا والرعاية الصحية ثم بدأت في إنشاء مواقع الويب بدوام كامل. هذه هي قصة أصلي.

DV: وبعد ذلك تتذكر تقريبًا العام الذي كان فيه عندما حوّل موقع HTML هذا لأول مرة إلى مدونة WordPress.

RC: هل كان من المحتمل أن يكون 26/27. في مكان ما هناك 26. منذ وقت ليس ببعيد كنت من أوائل من استخدم WordPress. نعم.

DV: نعم. لذلك كان من الممكن أن يكون هذا صحيحًا في وقت قريب من الأدوات والرموز القصيرة وتحويل WordPress من منصة مدونة إلى نوع من إصدار موقع على شبكة الإنترنت كيف وجدت ذلك.

RC: نعم ، أنا من أول الأشياء التي استخدمتها بالفعل. من لديه حقًا مشكلاته على مر السنين ، كانت موضوعات التقدم واحدة من أولى الموضوعات الكبيرة التي طورتها علامة حكيمة ونحن جميعًا في المجتمع نعرف تقدم التاريخ ونوع ما حدث هناك. حسنًا ، هناك الكثير مما يحدث. لقد كان ماسًا مثيرًا الآن. إنه وقت مثير.

DV: ممتاز حسنًا ، أنا سعيد لأنك تلقيت بعضًا منها في الخفافيش وأغلقت مواقع WordPress ، لذا فقد حصلنا على حلقة جيدة هنا. سريع حقيقي. هل يمكن أن تخبرنا قليلاً عن التسويق الرقمي Dunning؟

RC: وماذا نعم ، أنا تدير وكالة تسويق مقرها في منطقة تورنتو بكندا. نحن أساسًا نقطتان قوتان في التسويق عبر البريد الإلكتروني وإغلاق المواقع الإلكترونية. أعني ، أن هذا الجزء الأكبر من عملائنا في الوقت الحالي ، هو أن الناس لا يريدون القلق بشأن تأمين تلك المواقع. وهذا هو أساس ما نقوم به. على مر السنين. لقد فعلنا كل شيء بدءًا من إعلانات الدفع مقابل النقر إلى الحملات الرقمية وقمت بتضييق نطاقها خلال آخرها.

DV: حسنًا ، جيد. هل لدي الكثير من الأصدقاء في مجتمع WordPress خارج تورنتو ، يسعدني أن تسمع أنك قريب منك عندما تفتح الأمور وتخرج للبحث عن WordCamp Toronto التالي.

RC: لم نضطر إلى كتابة كلمة في معسكر تورونتو منذ عامين. لذلك أنا أتوق للخروج ورؤية بعض الناس. سيكون ذلك رائعًا.

DV: نعم ، لقد كانت مدينة رائعة. أنا حقا أستمتع به هناك. لذلك دعونا ننتقل إلى الموضوع قيد البحث. لذا ، كما كنت تعتقد أن الأمن هو تخصص ، هل تعرضت لحادث أمني تسبب في تركيزك على الأمن أو كان هذا بالأحرى شيئًا تم تطويره بمرور الوقت من أجلك ، هل كانت هناك لحظة آها أو ، أو مشكلة واجهتها؟ أم أنه شيء تطور بمرور الوقت؟

RC: حسنًا ، لقد تطورت بمرور الوقت ، أود أن أقول ، لدي بالفعل خلفية أمنية في خوادم المؤسسة. لذلك عندما عملت في مجال الرعاية الصحية لأحد أكبر مستشفيات ترامب ، كان أحد الأشياء التي كنت أبحث عنها هو كيف نساعد فريق الخادم لدينا بأمان خوادمنا أو خوادم التبادل ، وهو البريد الإلكتروني وكيف نساعد العملاء المتعلمين في ذلك الوقت في مجال الرعاية الصحية كانت أكبر مشكلات التصيد الاحتيالي؟ لذلك لا ينبغي على الأشخاص الذين ينقرون على الروابط إحضار المستندات بأمان. لذا فإن اهتمامي بالأمن تطور نوعًا ما من هناك.

DV: هذا يشرح الكثير عن تركيزك على التسويق عبر البريد الإلكتروني ، وأعتقد أن الجوانب السلبية للإغلاق ، مثل تلك هي تخصصات مختلفة ، ولكن من المنطقي مع خلفية الرعاية الصحية الخاصة بك ، والتفكير في خوادم Exchange هذه ، ثم الجوانب الأمنية للشخص وكذلك الرعاية الصحية الخوادم ، يكون له معنى كبير. لذلك دعونا ندخل إلى جانب WordPress للأشياء. كما تعلمون ، نرى الكثير في الأخبار ، كما تعلمون ، هناك 70 مليون موقع بها ثغرة أمنية لأن البعض ، كما تعلمون ، يحتويون على مكوّن إضافي أو شيء من هذا القبيل. لكن هل تعتقد شخصيًا أن WordPress آمن بطبيعته ، وإذا كان الأمر كذلك ، فلماذا أو لماذا لا؟

RC: أوافق على ذلك وما سأقوله قبل أن نثق في موقع WordPress هو أن Microsoft Windows به مشكلات أمنية. تضع Microsoft كل شهر تصحيحات على ما يسمونه يوم الثلاثاء ، وهو أكبر نظام تشغيل للأعمال في العالم. لذا فإن حجتي هي ، ليس أننا وجدنا التصحيحات التي نراها أو المشكلات الأمنية ، إنها الطريقة التي نتعامل معها. وما أحب أن أراه هو استجابة البائعين. لذلك ، بالنظر إلى مثال حقيقي من UpdraftPlus ، ظهر أحد أكبر برامج النسخ الاحتياطي مؤخرًا في مجال الأمان ، فقد ظهرت الكثير من المشكلات خلال الشهرين الماضيين باستمرار. ولكن ما فعلوه بشكل جيد هو إصدار التصحيحات على الفور ، والتي تعتبر إصلاحات أمنية لمن لا يعرفون ، وقد تعاملوا معها على الفور وفي الوقت المناسب. وهذا أكثر أهمية بالنسبة لي. أظن. بمجرد أن يصبح شيء ما أكثر من 40 ٪ من السوق ، أو العملية ، سيكون لديك دائمًا أشخاص يأخذون لقطات من منظور أمني ، لأنه الآن يستحق وقت المتسللين.

DV: نعم ، هذه نقاط رائعة. غالبًا ما أفكر في الأمر كما لو أنه قد يتم تحفيز مؤلف البرنامج ، اقتبس من أهمية المشكلة. يتم تدريب المراسل الذي يحاول الحصول على القراء على المبالغة في المشكلة ، في وجهة نظرك ، كل جزء من البرامج الرئيسية في حياتك إذا تمت إدارتها بشكل صحيح ، والاهتمام باكتشاف نقاط الضعف بمرور الوقت ، وتصحيح هذه الثغرات على الفور. وأعتقد أن النقطة الأخرى التي أوضحها شخصيًا هي أن WordPress ليس لديه نقاط ضعف عامة معروفة في هذا الوقت غير مسبوقة ، وهذا ما أفكر به. انا حقا احب هذا المكان. وأنا أيضًا أحب الطريقة التي تستدعي بها كيفية اكتشاف الكرة التي تقترب من التيار الصاعد هناك. وكما تعلمون ، أعتقد أن هناك قدرًا كبيرًا من المسؤولية تجاه الكثير من مقدمي الخدمة الجيدين حقًا في النظام. إنهم يقومون بعمل ممتاز في إدارة الهواتف عندما يتم إبلاغهم بطرق مسؤولة. سواء كان صوتك أو أي شيء تضيفه إلى ذلك ،

RC: بالمناسبة ، أنا PodOmatic. لقد قاموا بعمل رائع في تصحيح نقاط الضعف. أعلم أنه كان لدينا إصدار 5.9 مؤخرًا. وعندما صدر 5.9 نقطة واحدة الأسبوع الماضي ، كان مجرد إصدار صيانة. لم يكن هناك حتى إصلاح أمني في هذا الإصدار. لذا أعتقد أن مجدًا وأعتقد أن التلقائية تأخذ الأمان على محمل الجد. حسنًا ، مساحة جيدة.

DV : تعرفي لهذا الفريق هو أنه لديه الكثير من الأشخاص. مع مثل ، أود أن أقول تجربة أمان على مستوى المؤسسة. في تعرضي. لقد اتبعوا بالتأكيد أفضل الممارسات حول تطور الإفصاح المسؤول عن الاستجابة لهم. ولن أقول فقط فريق WordPress الأساسي ، ولكن أود أن أقول أيضًا فريق البرنامج الإضافي لـ WordPress ، وكيف يديرون نقاط الضعف ، وكيف يفكرون في تواريخ الأشياء ، وكيف يتواصلون مع المؤلفين ، وكيف يأخذون المكونات الإضافية من الريبو إذا انهم غير مصححة. لا أعرف ، لا أعرف ما إذا كنت قد حصلت على هذا العمق معها. لكن هذه هي الأشياء التي برزت لي.

RC : لدي بالفعل مناقشة مؤخرًا مع Proteus fetcher ، وهو مهندس جوتنبرج ضعيف جدًا وقال إن فريقه يأخذ الأمر على محمل الجد. لذلك أعتقد أن أي شخص يفكر في أنهم لا يفعلون ذلك ، لا أعتقد أنهم في وضع مارك تمامًا. صراحة. أعتقد أنهم يأخذون الأمر على محمل الجد. وهم يستمعون. وهم يفصحون بشكل غير لائق.

DV: نعم ، يبدو أن الكثير من السلبية التي تظهر هناك هي أنك تعرف هذا النوع من العناوين المثيرة التي فسرها الناس بطريقة خاطئة ، لكنني أجد أن معظم المؤلفين في الواقع يحبون وصف ما يحدث بدقة. الأمر مجرد أن العنوان هو قراءة مخيفة حقًا وأنه الهدف من الأمان والبرامج. وهذه هي الطريقة التي ستعمل بها دائمًا. هكذا هي. لذلك أريد الخوض في بعض الممارسات الأكثر تحديدًا ، لا سيما مفهوم الأمن من خلال الغموض. لكننا سنأخذ استراحة الأولى ، وسنعود في الوقت المناسب. لسد فاصل تجاري. ترقبوا المزيد اضغط على هذا في لحظة. نرحب بالجميع مرة أخرى للضغط على هذا البودكاست الخاص بمجتمع WordPress على W EMR. هذا هو مضيفك ديفيد فوجل. بول. أقوم بإجراء مقابلة مع Rob Curtis من الوسائط الرقمية المذهلة حول تأمين إنشاءات WordPress الخاصة بك. روب قبل الاستراحة مباشرة ، كنا نتحدث قليلاً عن الأمان المتأصل في WordPress وكيف يتعامل الفريق الأساسي معه حتى الأشخاص داخله ، على سبيل المثال ، يقول فريق البرنامج المساعد ، لكنني أريد تغيير التروس الآن لبناء موضوعات ضيف. كما تعلم ، يعتمد بعض الأشخاص غالبًا على مفهوم الأمن من خلال الغموض ، مثل أنه لا يمكن لأحد أن يجد هذا الشيء الذي يهتم بأنه غير مغلق؟ أعلم أنك لست معجبًا كبيرًا بذلك. ولكن مثل لماذا ومساعدة الناس على الفهم. لما لا.

RC: شخصيًا ، أعتقد أن الأمرين من خلال التعتيم على الكثير من الأشخاص يرغبون في تغييرهما و WordPress ، وجداول بادئات قاعدة البيانات الخاصة بهم ، ويحبون تغيير النهاية الخلفية لتسجيل الدخول. وأعتقد أن هذه مجرد زينة نافذة فاخرة. في نهاية اليوم. لا أعتقد أنهم يفعلون ذلك شخصيًا ، فمعظم المتسللين لديهم أدوات يمكنها فحص موقع ما واكتشاف الواجهة الخلفية كلها تستخدم البرامج النصية أو اكتشاف جداول قاعدة البيانات. لذلك أعني ، لا أعتقد أن مثل هذه الأشياء مهمة حقًا في نهاية اليوم. إذا كان ذلك يجعلك تشعر بأنك مؤهل عقليًا أو أفضل. تذهب تفعل ذلك. لكن في النهاية ، لا أعتقد أنه يوفر الكثير لعميلك أو للمستخدم النهائي.

DV: نعم ، إنها أدوات الاكتشاف التي يستخدمها الفاعلون السيئون كما تعلم ، حتى لو كنت تشويشًا ، لا يمكن بالضرورة أن تكون مثل تحقيق الهدف. أتذكر ، بالعودة إلى ما أعتقد أنه كان يجب أن يكون في أواخر التسعينيات ، حصلت على حساب استضافة ويب مجاني مع وظيفة وأتذكر تحميل بطاقات الائتمان الخاصة بي للتخزين. وأنا مثل ، لا أحد يعرف العنوان. لكن الاختلافات كبيرة. وأتذكر أنني شعرت بالخزي سريعًا من قبل بعض زملائي في العمل حول ذلك. لذلك كان هذا درسًا تعلمته في ذلك الوقت. حسنًا ، هذه نقطة جيدة حول الأمن من خلال الغموض وكيف يمكن للممثلين السيئين استخدام ، كما تعلمون ، مجموعات أدواتهم المختلفة لتخريب ذلك. كما تعلم ، كما أنظر ، الأمن وتحدثت عن هذا ، أعتقد قبل ذلك بقليل ، لكن كما تعلم ، يتحدث الكثير من الأشخاص ، كما تعلمون ، أن الأشخاص في مؤسستك هم أكبر خطر على أمنك . كيف تتعامل مع ذلك؟ بأشياء مثل سياسات كلمات المرور أو الأساليب الأخرى داخل تصميمات WordPress الخاصة بك.

RC: لذا فإن أول شيء أحب القيام به هو ، خاصة بالنسبة لحساب مسؤول على سبيل المثال ، كلمة مرور قوية ومعقدة ، أقترح دائمًا على الأشخاص استخدام منشئ كلمات المرور وعدم تخزين استخدام كلمة مرور موجودة في القاموس. أعتقد أنها فكرة سيئة حقًا. اجعلها أطول فترة ممكنة وسيقول الناس ، أوه ، لا أتذكر ذلك. حسنًا ، هذا هو الوقت الذي تحتاج فيه إلى قضاء بعض الوقت والحصول على مدير كلمات مرور ، واختيار LastPass one password bit Warden ، وهذا هو السبب في اختيار Password Manager للعثور على واحد يناسبك. وابدأ في استخدام كلمات مرور معقدة لا تستخدمها في أي مكان آخر. وإذا كنت لا تعتقد أن هناك موقعًا جيدًا حقًا يسمى إذا تم رهنك هناك وما سيفعله هو إخبارك بعنوان بريدك الإلكتروني وتم العثور على كلمة المرور الخاصة بك في أي مكان آخر على الإنترنت في ثغرة معروفة لذلك يمكن لكلمة المرور تأمين مجموعة من الأرقام والحروف ، كما تعلمون ، الأحرف الخاصة والقيام بكل هذه الأشياء. وأنا أعلم أن الناس كانوا يأملون في كل هذا من قبل ولكني لا أعتقد أن هناك عددًا كافيًا من الناس يفعلون ذلك

DV: بالنسبة إلى الفاتورة ، ثم من منظور التكوين ، أنت تفكر في فرض كلمات مرور قوية ولكن يبدو أنك تفكر أيضًا في التدريب كجزء من هذا كما لو كنت تدرب أولئك الذين سيستخدمون المواقع التي تستخدمها لقد بنيت على كلمة مرور مناسبة. الممارسات.

RC: لا شك في ذلك واستخدام البرنامج لفرض كلمات مرور المسؤول هذه وتغييرها أيضًا بشكل منتظم. عادةً ما أجبرهم على التغيير كل 90 يومًا. هذا ما يفعلونه في عالم الشركات وهناك سبب لذلك. وأعتقد أنها فكرة جيدة على موقع WordPress.

DV: أوه ، مثير للاهتمام. كما تعلم ، سمعت بعض التنقيحات الأخيرة التي لم يكن موصى بها ، لكنني لست خبيرًا. لذا لن أسألك هناك. لكنني أعتقد أن هذه ممارسات سليمة بشكل واضح. أنا حقا أحب التعزيز مع الناس. يستخدم كلمات مرور فريدة لكل موقع. وبالمناسبة ، روب ، هل أنت لاعب؟

RC : اعتدت أن أكون لا ألعب العديد من الألعاب هذه الأيام لأنه بصراحة ، في نهاية اليوم إذا بدأت اللعب ، سأستغرق في اللعب

DV : حسنًا ، رائع. لذا فإن هذا يفكر حقًا في الأمر من منظور كلمة المرور على أنه فرض سياسات قوية ، ولكن بعد ذلك أيضًا تدريب المستخدمين. هل هناك أي شيء آخر في التدريب أو جانب آخر حول الحد من المخاطر؟

RC: لا يمنح الأشخاص أدوارًا في لوحة معلومات WordPress. إنهم لا يأكلون ، لذا فإن شخصًا ما سيقوم فقط بعمل منشورات في المدونة ولا تمنحه دورًا إداريًا ، بغض النظر عن مدى صراخهم ، ومن الجدير بالذكر أن WP Engine لديه ملحق برنامج CMS ذو التسمية البيضاء الجيدة والذي استخدمته في كثير من الأحيان ، إذا انتشر شخص ما للحصول على حقوق المسؤول ، وأنا أعلم أنني لا أريدهم أن يتمكنوا من الوصول إلى هذا القسم ، كلهم ​​قاموا بتثبيت الملصق الأبيض CMS بواسطة WP Engine وقفلهم من أجزاء معينة من موقع الويب. لذا حقًا أعط الناس ما يحتاجون إليه. ليس كل شيء. وهذه مشكلة كبيرة أيضًا.

DV : نعم ، أنا لست على دراية بهذا المكون الإضافي. سأضطر للذهاب للنظر حولي. هل تعتقد أن العمل هنا أعلم أنك متأكد من أننا نحن من يصنع ذلك؟ أعتقد ذلك. حسنًا ، خطأ. لكن النقطة الأساسية هنا هي الحد من أدوار المسؤول. وأنا أراقب عظامًا مختلفة في الريبو الإضافي لبرنامج WordPress. ومثل الكثير من الثغرات الأمنية التي تم الإبلاغ عنها هي نقاط ضعف في البرمجة النصية عبر المواقع. نعم ، والكثير من هؤلاء يقتصرون على أدوار المسؤول ، وغالبًا ما يتفاعل مؤلفو الإضافات بشكل جيد ، فهم فقط المسؤولون الذين لديهم هذا الوصول ، من يهتم؟ وتوضح نوعًا ما أن هناك بعض المستخدمين على الرغم من أنك ربما تثق بهم ، ولكن ربما لا تثق بهم على مستوى البرامج.

RC : لا تمزح. لدي عميل واحد الآن ولن أعطي لموظفيه أدوارًا إدارية إذا كانت حياتي تعتمد على ذلك ، لأنني أعرف ما سيحدث. لذلك أنا فقط أقول لا.

DV : نعم ، إنه في تفكيرك مثل ، حسنًا ، إنه موقعهم ، من يهتم بما فعلوه ، أعتقد ، كما تعلمون ، هناك دائمًا هذا النوع من الاستعارة للعميل الذي يكسر رؤيته. ولكن مثل ، مع هذه الأذونات المرتفعة ، عندما يتم تسجيل دخولهم ، يمكن أن تلعب أشياء مثل الثغرات الأمنية في البرمجة النصية عبر المواقع دورًا أكبر. ولذا بالنسبة إلى المستخدمين المبتدئين ، من خلال قطعها عن طريق الوصول الذي تمنحه ، في دورهم في أدوار المستخدمين ، فأنت تساعد نوعًا ما في تقليل هذا الخطر بالنسبة لهم كعميل.

RC: نعم ، هذا صحيح. وأنت في الواقع تقدم لهم معروفًا ، وليس ضررًا على المدى الطويل.

DV: بالتأكيد. أعتقد أنك ربما تمنحهم بعضًا مثل ، كما تعلم ، حسنًا ، هذا هو المسؤول الحقيقي ولكن لا تسجل الدخول أبدًا إلى هذا النوع الآخر من الأشياء. من الواضح أنني لا أحب إبعادهم عن رؤاهم.

RC: والشيء الآخر الذي يجب فعله أيضًا هو أنه إذا كانت البصيرة عالية حقًا ، فقد قمت بتثبيت بعض الرؤى العالية المصادقة ثنائية العوامل ، والتي تساعد أيضًا إلى جانب كلمة المرور ، ثم يحتاجون بعد ذلك إلى تطبيق على هاتف ذكي أو أي شيء آخر للدخول إليه وهذا يؤدي إلى إقفالها حتى خطوة أخرى. لذلك هذا جزء كبير أعتقد أنه يتعلق بأمان كلمة المرور.

DV: WP Engine وبعض المضيفين الآخرين يفعلون ذلك. لدينا ، بشكل أساسي ، علامة واحدة على الحلول التي يمكنك نوعًا من الارتداد بين مكابس الكلمات الخاصة بك. لكنه يتضمن أيضًا جزءًا كبيرًا من عاملين للأسباب ذاتها التي وضعتها. لا أصدق أننا لم نذكر ذلك من قبل كجزء كبير من كلمات المرور. إشارة جيدة حسنًا ، اسمح لي بتبديل التروس قليلاً. كما تعلمون ، الرد على تحديثات WordPress و PHP والمكونات الإضافية. كيف تفكر في أن تعجبك إستراتيجيتك للقيام بذلك بطريقة تشعر أنها تضعك في أفضل فرصة للنجاح مع الأمان؟

RC: أولاً وقبل كل شيء ، قبل إجراء أي تحديث رئيسي ، يجب عمل نسخة احتياطية. لا تعتمد على مضيفك ، خذ واحدًا باستخدام مكون WordPress الإضافي. منجم من الخيارات Updraft Plus Pro الآن ، لذا هذا ما يجب عليك فعله لأخذ نسخة احتياطية. أيضًا ، اختبر النسخ الاحتياطية قبل الحاجة إليها. لا تنتظر حتى تحتاج إلى النسخ الاحتياطي للنسخ الاحتياطية فقط الجيد هو القدرة على الاستعادة. يتم اختباره على موقع انطلاق أو في وضع الحماية التوضيحي قبل أن تحتاجه بشكل منتظم.

DV: إنها نقطة رائعة لأنه مثلما يمكنك عمل نسخة احتياطية يمكن أن يحدث خطأ ما وأنت تعتمد عليه ثم فجأة كان النسخ الاحتياطي سيئًا.

RC: لقد رأيت ذلك يحدث أيضًا. كثيراً. بالتأكيد. لقد كنت هناك. لقد ذهبنا جميعًا في الصباح عندما يكون الوقت مستيقظًا في الساعة 6 صباحًا ، نعم. والشيء الآخر هو أنني عادةً ما أقوم بتحديثات أساسية. هذه هي WordPress نفسها التي يتم تحديثها بشكل جيد بمجرد ظهورها. أنا من أشد المعجبين بالحصول على التحديثات خاصة لإصلاحات الأمان في التحديثات. توجد العديد من التحديثات بين التحديثات التي أميل إلى القيام بها عاجلاً وليس آجلاً. فيما يتعلق بالمكونات الإضافية ، فقد ألقى نظرة جيدة حوله. على سبيل المثال ، أعني بذلك أنه يجب عليك التأكد من عدم وجود تبعيات معروفة حيث لا يعمل أحد المكونات الإضافية بشكل جيد مع مكون إضافي آخر. لقد رأينا ذلك جميعًا. قم بأداء واجبك في وقت مبكر إذا كان عليك القيام ببعض الاختبارات في وضع الحماية ، فافعل ذلك.

DV: لذا فأنا نوعا ما مثل المضي قدما. كنت سأقول مثل ، أعتقد أن نقاط الاختبار بارزة للغاية. ولذا أفكر ، مثل عندما ترى الإصدار ، وتفكر مثل ، هل شعري يحترق أم لا؟ أشعر بالفضول نوعًا ما ، كيف تفكر في تفسير أشياء مثل ملاحظات الإصدار. أود الحصول على أفكارك حول ذلك. سنأخذ استراحةنا الأخيرة وسنعود حالًا. حان الوقت للانطلاق في استراحة تجارية. ترقبوا المزيد اضغط على هذا في لحظة. نرحب بالجميع مرة أخرى للضغط على بودكاست مجتمع WordPress هذا على W Mr. روب ، قبل الاستراحة مباشرة. كنا نتحدث قليلاً عن استراتيجياتك حول إدارة تحديثات WordPress و PHP والمكونات الإضافية. وكنت أشير نوعًا ما إلى سؤالي التالي ، وهو مثل ، كيف تعرف عندما ترى إصدارًا قد يأتي مع الأمان المذكور في ملاحظات الإصدار أن هذا هو نوع الشيء الذي يجب أن تقلق بشأنه حقًا ، الثانية أو إذا كان لديك القليل من الوقت؟

RC: نعم ، ما أفعله عادةً مع الإصدارات هو في مجتمع WordPress ، معظم الإصدارات لديها مرشح إطلاق ، وبعد ذلك سيذهبون إلى إصدار تجريبي ثم يذهبون إلى الإصدار. الآن مع إصدار ثانوي ، قاموا للتو بإصدار إصدار كبير. لديهم بالفعل حفلة إطلاق على Slack حيث يجرون بعض الاختبارات النهائية ، ولقد مررت ببعض حفلات الإصدار هذه وهم مثيرون جدًا للاهتمام. ما أود أن أقترحه هو أن تقرأ بقدر ما يستطيع من wordpress.org. اقرأ قدر استطاعته حول إطلاق سراح المرشحين ولكن اقرأ أيضًا مصادر الطرف الثالث واثنين من أهم الأشياء التي يضعونها في مدونة أمان منتظمة. اقرأ قليلاً عن بعض الأشياء في WordFence حيث قاموا بوضع بعض المعلومات الجيدة حقًا. وحتى أماكن مثل Hacker News و Search Engine Journal وأماكن من هذا القبيل. يتحدثون قليلاً عما يحدث في الإصدارات وهو أمر مهم لأنه كلما زادت تعليمك ، كان بإمكانك التعامل مع الأمر بشكل أفضل ، لذلك أعتقد أن ينبوع المعرفة هو حقًا في هذه الحالة ،

DV: هل تستخدم أشياء مثل WP DB من قبل لتحليل تصحيحات الأمان المختلفة التي تأتي في المكونات الإضافية أو السمات أو أي شيء آخر.

RC : نعم ، لقد استخدمت أيضًا مواقع تابعة لجهات خارجية مثل الأمان لإجراء الفحص. لذا فإنني أتخذ النهج ، اذهب إلى التحليل ، وتحدث إلى الناس ، واستمع ، يجب أن تضع رأسك على الأرض. إن المساعدة في العديد من الأشياء وأعتقد أنها كلها أدوات مفيدة.

DV: إذاً التصحيح يخرج بشكل أساسي ، فأنت تدرك أنه يخرج ، وتبحث عما يوجد في التصحيح وما يتناوله. ومن ثم أظن أنك تحاول معرفة مقدار المخاطرة التي تتحملها من حيث مقدار الوقت والطاقة اللذين ستخصصهما فيه الآن. لذا كما كنت أذكر مجلدات البرمجة النصية عبر المواقع المتصلة بحسابات المسؤول. كما لو كنت المشرف الوحيد على موقعك ، أعتقد أنك ربما لا تحب نفاد التحديث على الفور. ولكن إذا كان لديك مثل عشرات المسؤولين ، فأنت مثل ، أوه ، لا أعرف ما الذي يفعلونه. ولذا ربما تكون أكثر إلحاحًا ، هل هذا عادل؟ لكن كيف تفكر في ذلك؟

RC: أم ، نعم ولا. والسبب هو وللبعض أن الوباء بدأ ، نعلم جميعًا أن المتسللين يشعرون بالملل في المنزل. لذلك اعتدت على إجراء تحديثات أمنية للعملاء مرة واحدة في الأسبوع. عادة يوم السبت أو الأحد. صدق أو لا تصدق ، أنظر إلى المواقع الإلكترونية والجانب الأمني ​​الآن ثلاث مرات في الأسبوع. لأنني أحاول التخفيف من المخاطر. ومع كل المتسللين في المنزل والشعور بالملل ، والآن ما يحدث في أوكرانيا ، ونحن نسجل هذا ، فإن مساحة الأمان هي مساحة صعبة حقًا في الوقت الحالي. لذلك أعتقد أنه عليك في الواقع رفع مستوى معرفتك وما تفعله بدلاً من رفعه ، وأعتقد أن هذا مهم حقًا.

DV : نعم ، أرى ما تقوله موقفًا أكثر عدوانية هناك ، خاصة مع كل المخاطر المرتبطة. حسنًا ، السؤال التالي. ما هو الدور الذي تراه تلعبه الاستضافة في نهج الأمان الخاص بك؟

RC: أنا أحب هذا السؤال. نظرًا لأن معظم الناس لا يعتقدون أن المضيفين مهمون وأنا متحررة من مضيفك قلت إن مضيفك هو شريكك في العمل الذي لا توظفه فقط. وأعني بذلك أنك بحاجة إلى إجراء بعض التحقيقات ومعرفة نوع الخطة التي تقوم بها. لذلك ، هل وجدت أولاً أن الحجر دائمًا هو الأفضل ، ما هي سمعة المضيفين ، وتعرّف على ما يفعلونه من منظور أمني على جدران الحماية الخاصة بهم من نهايتهم لمساعدتك ، مالك موقع الويب من وجهة نظرهم ، وبعض المضيفين وأنا لن يستدعيهم كلاهما يقوم بعمل جيد جدًا ويقوم بعض المضيفين بعمل رائع حقًا. أعتقد أنه عليك النظر إلى هذه الأشياء والتعامل معها كشريك لك.

DV: هذه بالتأكيد نقاط عادلة. لأنهم يعملون لدينا. أنا بالتأكيد أتفق مع بعض هذه النقاط. أعتقد أن أحد الأشياء المشجعة التي رأيتها في مجتمع WordPress هو مجرد مجموعة كبيرة ومتنوعة من المضيفين الذين يشاركون في المحادثات الأمنية حول التأكد من إغلاق مواقع WordPress. لكن نعم ، مستوى العمق هو بالتأكيد شيء كبير يتطور. أراقب في الواقع قناة Slack داخلية يراقبها فريق الأمان لدينا والتي نستخدمها لإرسال التنبيهات عبر البريد الإلكتروني لعملائنا ، عندما يكون لديهم مكونات إضافية بها عظام. لذا ، نعم ، سنذهب بالتأكيد نوعًا من الشوط الإضافي هناك. لقد كان هذا مثيرًا للاهتمام بشكل لا يصدق ، روب ، أعتقد أنه من المحتمل أن نتحدث طوال اليوم ، لكننا نقترب من النهاية هنا. شكرا جزيلا لانضمامك إلينا اليوم.

RC: من دواعي سروري أن يكون هناك الكثير من المرح ، ديفيد وآمل أن يساعد المزيد من الناس

DV: نعم ، أعتقد ذلك. كانت هناك بعض النقاط الجيدة التي أسقطتها اليوم وقد استمتعت بالتأكيد بالمحادثة ويرغب كل شخص يستمع في معرفة المزيد حول ما يقوم به Rob ، يمكنك زيارة StunningDigitalmarketing.com شكرًا للاستماع إلى Press This WordPress community podcasts on WMR. لقد كان هذا مضيفك ديفيد فوجلبول. أنا أدعم مجتمع WordPress من خلال دوري في WP Engine وأحب تقديم أفضل ما في المجتمع إليك هنا كل أسبوع على Press This.