• Startseite
  • Artikel
  • Führen
  • Drücken Sie dies: Schlafen Sie gut. Sperren Sie Ihre WordPress-Builds noch heute mit Rob Cairns

Drücken Sie dies: Schlafen Sie gut. Sperren Sie Ihre WordPress-Builds noch heute mit Rob Cairns

Veröffentlicht: 2022-03-09

Willkommen bei Press This, dem WordPress-Community-Podcast von WMR. Hier setzt sich Gastgeber David Vogelpohl mit Gästen aus der ganzen Community zusammen, um über die größten Probleme zu sprechen, mit denen WordPress-Entwickler konfrontiert sind. Das Folgende ist eine Transkription der Originalaufnahme.

Unterstützt von RedCircle

David Vogelpohl: Hallo zusammen und willkommen bei Press This, den Podcasts der WordPress-Community auf WMR. Dies ist Ihr Gastgeber, David Vogelpohl, ich unterstütze die WordPress-Community durch meine Rolle bei WP Engine, und ich liebe es, Ihnen das Beste aus der Community näherzubringen. Hören Sie jede Woche auf Presse dies als Erinnerung, Sie finden mich auf Twitter @wpdavidv , oder Sie können dies bei iTunes, iHeartRadio, Spotify abonnieren oder die neuesten Folgen bei wmr.fm herunterladen. In dieser Folge werden wir über Sicherheit sprechen und insbesondere darüber, gut zu schlafen, indem wir deinen WordPress-Build sperren. Und nehmen Sie heute an diesem Gespräch teil. Ich möchte Rob Cairns bei Press This willkommen heißen. Rob, willkommen.

Rob Cairns: Danke, David, und danke, dass du mich hast. Bin dankbar.

DV: Ja, ich bin so aufgeregt, dich hier zu haben. Für die Zuhörer. Rob ist im digitalen Marketing tätig und baut und optimiert seit langem WordPress-Seiten. In dieser Folge wird Rob über seine Ansichten zu den besten Ansätzen sprechen. Zum Sperren der WordPress-Sites wird Rob seine Gedanken zur Sicherheit durch Unklarheit teilen. Ist das eine gute Idee? Schlechte Idee, Überlegungen zu Passwörtern und Benutzer-Timing für Ihre Updates WordPress und PHP und vieles mehr. Ich freue mich sehr, dass Rob heute hier ist, um mit ihm zu sprechen, und seine Wertpapiere haben heutzutage viele Leute im Kopf, mit allem, was in der Welt und im Allgemeinen in Bezug auf Websicherheit vor sich geht. Dies ist eine sehr zeitgemäße Episode, denke ich, da die Leute darüber nachdenken, wie sie ihre digitalen Erfahrungen sichern können. Rob, ich werde Ihnen die gleiche erste Frage stellen, die ich jedem anderen Gast gestellt habe. Könntest du mir kurz etwas über deine Entstehungsgeschichte von WordPress erzählen? Wann haben Sie WordPress zum ersten Mal verwendet?

RC: sicher Nun, David, was ich tun sollte, ist, dich ein wenig zurückzubringen. Ich habe vor ungefähr 20 Jahren die Domain für die ersten 125 Jahre registriert und einer der Gründe, die ich angegeben habe, war kostenlose E-Mail. Meine Familie hat sich darüber beschwert, dass ich E-Mail-Adressen häufiger geändert habe als die Leute die Kleidung wechseln. Also habe ich die Domain registriert. Ich habe eine statische HTML-Website erstellt, weil ich in der Technik gearbeitet habe. Und dann habe ich vor ungefähr 15 Jahren diese statische Website in einen Blog verwandelt und natürlich meine Sichtweise von WordPress. Ich verließ den Kreis des Gesundheitswesens vor ungefähr 12 Jahren. Ich war in der Technik und im Gesundheitswesen tätig und begann dann, Vollzeit Websites zu erstellen. Das ist also im Grunde meine Entstehungsgeschichte.

DV: Und dann erinnern Sie sich ungefähr an das Jahr, als er diese HTML-Site zum ersten Mal in einen WordPress-Blog verwandelte.

RC: Es wäre oh, wahrscheinlich 26/27. Irgendwo da drin 26. Vor nicht allzu langer Zeit war ich ein Early Adopter von WordPress. Ja.

DV: Ja. Das wäre also ungefähr zu der Zeit gewesen, als Widgets und Shortcodes entstanden und WordPress von einer Blog-Plattform in eine Art Website-Release umgewandelt wurde, wie ich das fand.

RC: Ja, ich bin eines der ersten Dinge, die ich tatsächlich benutzt habe. Wer im Laufe der Jahre wirklich seine Probleme hatte, ist, dass „Fortschrittsthemen“ eines der ersten großen Themen war, die ich entwickelt habe, und wir alle in der Community kennen die Geschichte von „Fortschritt“ und was dort passiert ist. Also ja, so viel, viel los. Es war jetzt ein aufregender Diamant. Es ist eine aufregende Zeit.

DV: Ausgezeichnet Nun, ich bin froh, dass Sie einige Schlägereien hatten und WordPress-Sites gesperrt haben, also haben Sie hier eine gute Episode. Ziemlich schnell. Können Sie uns etwas über das digitale Marketing von Dunning erzählen?

RC: Und ja, ich leite eine Marketingagentur mit Sitz in der Gegend von Toronto in Kanada. Wir sind im Grunde zwei Stärken, unser E-Mail-Marketing und das Sperren von Websites. Ich meine, das ist im Moment ein großer Teil unserer Klientel, Leute, die sich keine Gedanken darüber machen wollen, diese Websites zu sichern. Und das ist die Basis dessen, was wir tun. Über die Jahre. Wir haben alles gemacht, von Pay-per-Click-Anzeigen bis hin zu digitalen Kampagnen, und ich habe es bei der letzten etwas eingegrenzt.

DV: In Ordnung, gut. Habe ich so viele Freunde in der WordPress-Community außerhalb von Toronto? Ich freue mich zu hören, dass Sie in der Nähe sind, wenn sich die Dinge öffnen, und sich auf den Weg machen, um beim nächsten WordCamp Toronto nach Ihnen zu suchen.

RC: Wir mussten jetzt seit ein paar Jahren nicht mehr über Camp Toronto sprechen. Also möchte ich unbedingt raus und ein paar Leute sehen. Das wäre großartig.

DV: Ja, es war eine fantastische Stadt. Ich genieße es dort sehr. Lassen Sie uns also in das eigentliche Thema einsteigen. Als Sie über Sicherheit als Fachgebiet nachdachten, hatten Sie einen Sicherheitsvorfall, der Sie dazu veranlasste, sich auf die Sicherheit zu konzentrieren, oder war dies eher etwas, das sich für Sie im Laufe der Zeit entwickelt hat, wie z. B. gab es einen Aha-Moment oder ein Problem, das Sie erlebt haben? Oder ist es eher etwas, das sich im Laufe der Zeit entwickelt hat?

RC: Ähm, es hat sich im Laufe der Zeit entwickelt, ich würde sagen, ich habe tatsächlich einen Sicherheitshintergrund in Unternehmensservern. Als ich im Gesundheitswesen für eines der größten Krankenhäuser von Trump arbeitete, war eines der Dinge, die ich mir angesehen habe, wie wir unserem Serverteam bei der Sicherheit unserer Server oder Exchange-Server helfen können, was E-Mail ist, und wie wir helfen Gebildete Kunden damals im Gesundheitswesen Die größten Probleme waren Phishing-Betrug? Leute, die auf Links klicken, sollten also keine Dokumente mit Sicherheit einbringen. Von da an entwickelte sich mein Interesse an Sicherheit.

DV: Das erklärt so viel über Ihren Fokus auf E-Mail-Marketing und die Vermeidung von Nachteilen, denke ich, dass das so unterschiedliche Disziplinen sind, aber es macht Sinn mit Ihrem Hintergrund im Gesundheitswesen, wenn Sie an diese Exchange-Server denken, dann die Sicherheitsaspekte von Personen und Gesundheitswesen Server, es macht sehr viel Sinn. Lassen Sie uns also auf die WordPress-Seite der Dinge eingehen. Weißt du, wir sehen viel in den Nachrichten, weißt du, 70 Millionen Websites haben eine Schwachstelle, weil einige, wissen Sie, Volumen in einem Plugin oder so etwas haben. Aber denken Sie persönlich, dass WordPress von Natur aus sicher ist, und wenn ja, warum oder warum nicht?

RC: Ich würde dem zustimmen und was ich sagen würde, bevor wir der WordPress-Site vertrauen, ist, dass Microsoft Windows Sicherheitsprobleme hat. Jeden Monat veröffentlicht Microsoft Patches am sogenannten Patch Tuesday, und es ist das größte Unternehmensbetriebssystem der Welt. Mein Argument ist also, dass wir keine Patches oder Sicherheitsprobleme finden, sondern wie wir damit umgehen. Und was ich gerne sehe, ist die Reaktionsfähigkeit der Anbieter. Um ein Beispiel aus dem wirklichen Leben zu geben, UpdraftPlus, eines der größten Backup-Programme der letzten Zeit, ist im Sicherheitsbereich aufgetaucht, viele Probleme in den letzten paar Monaten hin und wieder. Aber was sie gut gemacht haben, sind Patches, die sofort herausgegeben wurden, was für diejenigen, die es nicht wissen, Sicherheitsfixes sind, und sie haben sich umgehend und rechtzeitig darum gekümmert. Und das ist mir wichtiger. Ich glaube. Sobald etwas mehr als 40 % des Marktes oder Prozesses erreicht, werden die Leute es aus Sicherheitsgründen immer wieder unter die Lupe nehmen, denn jetzt ist es die Zeit der Hacker wert.

DV: Ja, das sind großartige Punkte. Ich denke oft, dass der Autor der Software einen Anreiz haben könnte, das Problem herunterzuspielen. Der Reporter, der versucht, Leser zu gewinnen, ist darauf trainiert, das Problem zu überspielen, in Ihrem Punkt, jede wichtige Software in Ihrem Leben, wenn sie ordnungsgemäß verwaltet und beachtet wird, wenn Schwachstellen im Laufe der Zeit entdeckt wurden, und diese Schwachstellen umgehend zu patchen. Und ich denke, der andere Punkt, den ich persönlich anspreche, ist, dass WordPress derzeit keine bekannten öffentlichen Schwachstellen hat, die ungepatcht sind, und so denke ich darüber. Ich liebe diesen Ort wirklich. Und ich liebe es auch, wie du rufst, wie sich der Aufwind nähert, der Ball wird dort entdeckt. Und wissen Sie, ich denke, dass viele wirklich gute Anbieter im System eine Menge Verantwortung tragen. Sie leisten hervorragende Arbeit bei der Verwaltung von Telefonen, wenn sie ihnen auf verantwortungsvolle Weise gemeldet werden. Ob deine Stimme oder irgendetwas, was du dazu hinzufügen würdest,

RC: Übrigens, ich PodOmatic. Sie haben beim Patchen von Schwachstellen erstaunliche Arbeit geleistet. Ich weiß, dass wir kürzlich eine 5.9-Version hatten. Und als letzte Woche 5.9 Punkt Eins herauskam, war es nur eine Wartungsversion. Es gab nicht einmal einen Sicherheitsfix in dieser Version. Also ein großes Lob und ich denke, dass die automatische Sicherheit ziemlich ernst genommen wird. Also ja, guter Platz.

DV : Mein Kontakt zu diesem Team ist, dass viele Leute darin sind. Damit würde ich Sicherheitserfahrung auf Unternehmensniveau sagen. In meiner Exposition. Sie haben sicherlich Best Practices für verantwortungsbewusste Offenlegungsentwicklungen befolgt, um darauf zu reagieren. Und ich würde nicht nur das WordPress-Kernteam sagen, sondern ich würde auch das WordPress-Plugin-Team sagen, und wie sie mit Schwachstellen umgehen, wie sie über Dinge nachdenken, wie sie mit Autoren kommunizieren, wie sie Plugins aus dem Repo nehmen, wenn sie sind ungepatcht. Ich weiß nicht wie, ich weiß nicht, ob du so tief darin angekommen bist. Aber das sind Dinge, die mir aufgefallen sind.

RC : Ich habe tatsächlich vor Kurzem eine Diskussion mit Proteus Fetcher gehabt, dem zu schwachen Gutenberg-Architekten, und er sagte, sein Team nehme es sehr, sehr ernst. Also denke ich, dass jeder, der denkt, dass er es nicht tut, ich glaube nicht, dass er ganz auf Mark steht. Ehrlich gesagt. Ich denke, sie nehmen es ernst. Sie hören zu. Und sie offenbaren unangemessen.

DV: Ja, es fühlt sich so an, als ob ein Großteil der Negativität, die da rauskommt, diese Art von sensationellen Schlagzeilen sind, die die Leute falsch interpretiert haben, aber ich finde, die meisten, die meisten Autoren beschreiben tatsächlich genau, was vor sich geht. Es ist nur so, dass die Überschrift wirklich beängstigend zu lesen ist und dass es sich um den Zielpool von Sicherheit und Software handelt. Und so wird es immer funktionieren. Es ist halt wie es ist. Ich möchte also auf einige spezifischere Praktiken eingehen, insbesondere auf den Begriff der Sicherheit durch Unklarheit. Aber wir machen unsere erste Pause, wir sind gleich wieder da. Zum Einstecken in eine Werbepause. Bleiben Sie dran, um mehr zu erfahren. Drücken Sie dies gleich. Jeder ist willkommen, diesen WordPress-Community-Podcast auf W EMR zu veröffentlichen. Das ist Ihr Gastgeber David Vogel. Paul. Ich interviewe Rob Curtis von Amazing Digital Media über das Sperren Ihrer WordPress-Builds. Rob, kurz vor der Pause haben wir ein bisschen über die inhärente Sicherheit von WordPress gesprochen, wie das Kernteam damit umgeht, sogar Leute innerhalb, sagen wir das Plugin-Team, aber ich möchte jetzt einen Gang wechseln, um ein Gastthema zu erstellen. Weißt du, einige Leute verlassen sich oft auf die Vorstellung von Sicherheit durch Unklarheit, als ob niemand dieses Ding finden kann, wen es interessiert, dass es nicht verschlossen ist? Ich weiß, dass du kein großer Fan davon bist. Aber wie warum und den Leuten helfen, es zu verstehen. Warum nicht.

RC: Ich persönlich denke, dass die beiden Dinge, die viele Leute gerne tun, Sie gerne ändern, und WordPress, ihre Datenbank-Präfixtabellen, und sie ändern gerne ihr Login-Backend. Und ich denke, das sind nur schicke Schaufensterdekorationen. Am Ende des Tages. Ich persönlich glaube nicht, dass die meisten Hacker Tools haben, die eine Site scannen und herausfinden können, dass das Backend alle Skripte verwendet oder die Datenbanktabellen herausfindet. Ich meine, ich denke, solche Dinge sind am Ende des Tages nicht wirklich wichtig. Wenn Sie sich dadurch geistig kompetent oder besser fühlen. Los, mach es. Aber am Ende glaube ich nicht, dass es Ihrem Kunden oder dem Endbenutzer viel bringt.

DV: Ja, es sind diese Entdeckungswerkzeuge, die die schlechten Schauspieler verwenden, die Sie wissen, selbst wenn Sie verschleiern, es kann nicht unbedingt das Ziel erreichen. Ich erinnere mich, dass ich vor langer Zeit in den späten 90er Jahren ein kostenloses Webhosting-Konto mit einem Job bekommen habe und ich erinnere mich, dass ich meine Kreditkarten zur Speicherung hochgeladen habe. Und ich denke, niemand kennt die Adresse. Aber die Unterschiede sind groß. Und ich erinnere mich, dass ich ziemlich schnell von einigen meiner Kollegen deswegen beschämt wurde. Das war also eine Lektion, die ich damals gelernt habe. Okay, das ist also ein guter Punkt in Bezug auf Sicherheit durch Unklarheit und wie schlechte Schauspieler ihre verschiedenen Toolkits verwenden können, um dies zu untergraben. Weißt du, wenn ich mir das ansehe, weißt du, Sicherheit, und du hast darüber gesprochen, ich denke, ein bisschen früher, aber weißt du, viele Leute reden darüber, dass Menschen in deiner Organisation das größte Risiko für deine Sicherheit darstellen . Wie gehen Sie damit um? Mit Dingen wie Passwortrichtlinien oder anderen Ansätzen in Ihren WordPress-Builds.

RC: Also das erste, was ich gerne mache, besonders für ein Administratorkonto, sagen wir, ein starkes und komplexes Passwort. Ich empfehle den Leuten immer, einen Passwortgenerator zu verwenden. Speichern Sie kein Passwort, das im Wörterbuch steht. Ich denke, es ist eine wirklich schlechte Idee. Machen Sie es so lange wie möglich und die Leute werden sagen: Oh, daran kann ich mich nicht erinnern. Nun, das ist der Zeitpunkt, an dem Sie Zeit aufwenden und sich einen Passwort-Manager besorgen müssen. Wählen Sie einen LastPass One Password Bit Warden aus, weshalb sich der Passwort-Manager dafür entscheidet, einen zu finden, der für Sie funktioniert. Und fangen Sie an, komplexe Passwörter zu verwenden, die Sie sonst nirgendwo verwenden. Und wenn Sie nicht glauben, dass es da draußen eine wirklich gute Seite mit dem Namen if you have been pawned gibt, die Ihnen mitteilt, dass Ihre E-Mail-Adresse und Ihr Passwort irgendwo anders im Internet in einer bekannten Sicherheitslücke gefunden wurden kann passwortgeschützte Kombinationen aus Zahlen und Buchstaben und, Sie wissen schon, Sonderzeichen und all diese Dinge tun. Und ich weiß, dass die Leute schon immer darauf gehofft haben, aber ich glaube nicht, dass genug Leute dies tun

DV: Wie relativ zur Rechnung, dann denken Sie aus Konfigurationssicht daran, starke Passwörter zu erzwingen, aber es hört sich so an, als würden Sie als Teil davon auch an Schulungen denken, als würden Sie diejenigen schulen, die die von Ihnen verwendeten Websites verwenden hab richtige passwort verbaut. Praktiken Methoden Ausübungen.

RC: Keine Frage dazu und die Verwendung von Software, um diese Admin-Passwörter zu erzwingen und auch regelmäßig zu ändern. Normalerweise erzwinge ich einen Wechsel alle 90 Tage. Das tun sie in der Unternehmenswelt, und dafür gibt es einen Grund. Und ich denke, es ist eine gute Idee auf einer WordPress-Website.

DV: Oh, interessant. Weißt du, ich habe kürzlich gehört, dass das nicht empfohlen wurde, aber ich bin kein Experte. Also werde ich dich dort nicht fragen. Aber ich denke, das sind offensichtlich vernünftige Praktiken. Ich mag es wirklich, mich mit Leuten zu verstärken. Er verwendet eindeutige Passwörter pro Site. Und übrigens, Rob, bist du ein Gamer?

RC : Früher spiele ich heutzutage nicht mehr so ​​viele Spiele, denn ehrlich gesagt, am Ende des Tages, wenn ich anfange zu spielen, werde ich davon absorbiert

DV : Okay, cool. Aus der Passwort-Perspektive geht es also wirklich darum, strenge Richtlinien durchzusetzen, aber dann auch Ihre Benutzer zu schulen. Gibt es irgendetwas anderes im Training oder auf der anderen Seite, um das Risiko zu begrenzen?

RC: Leute geben Leuten keine Rollen im WordPress-Dashboard. Sie essen nicht, also wird jemand nur Blog-Posts machen, ihm keine Administratorrolle geben, egal wie viel sie schreien, und es ist erwähnenswert, dass WP Engine ein wirklich gutes White-Label-CMS-Programm-Plugin hat, das ich verwendet habe oft ist es so, wenn jemand nach Administratorrechten verbreitet, und ich weiß, dass ich nicht möchte, dass sie Zugriff auf diesen Abschnitt haben, alle das White-Label-CMS von WP Engine installiert haben und sie von bestimmten Teilen der Website ausschließen. Geben Sie den Menschen also wirklich, was sie brauchen. Nicht alles. Und das ist auch eine große Sache.

DV : Ja, ich bin mit diesem Plugin nicht vertraut. Ich muss mich umsehen. Du denkst also, hier zu arbeiten, ich weiß, dass du sicher bist, dass wir es schaffen? Ich glaube schon. Okay, falsch. Der entscheidende Punkt hier ist jedoch die Einschränkung der Administratorrollen. Und ich überwache verschiedene Bones im WordPress-Plugin-Repo. Und wie viele der gemeldeten Schwachstellen handelt es sich um Cross-Site-Scripting-Schwachstellen. Ja, und viele davon sind auf Admin-Rollen beschränkt und Plugin-Autoren werden oft ähnlich gut reagieren, es sind nur die Admins, die diesen Zugriff haben, wen interessiert das? Und Sie weisen darauf hin, dass es einige Benutzer gibt, denen Sie vielleicht vertrauen, aber vielleicht nicht auf der Softwareebene.

RC : Kein Scherz. Ich habe gerade einen Kunden, dem ich keine Admin-Rollen geben werde, wenn mein Leben davon abhinge, weil ich weiß, was passieren wird. Also sage ich einfach nein.

DV : Ja, und es ist in Ihrem Denken so, nun, es ist ihre Website, wen kümmert es, was sie getan haben, ich denke, wissen Sie, es gibt immer diese Art von Klient, der ihre Einsicht bricht. Aber mit diesen erhöhten Berechtigungen können Dinge wie Cross-Site-Scripting-Schwachstellen eine größere Rolle spielen, wenn sie angemeldet sind. Und so tragen Sie für diese unerfahrenen Benutzer dazu bei, dieses Risiko für sie als Kunden zu verringern, indem Sie es mit dem Zugriff abschneiden, den Sie in ihrer Rolle in ihren Benutzerrollen gewähren.

RC: Ja, so wahr. Und Sie tun ihnen auf lange Sicht tatsächlich einen Gefallen und keinen Nachteil.

DV: Sicher. Ich vermute, Sie geben ihnen wahrscheinlich ein paar Likes, wissen Sie, okay, hier ist der echte Administrator, aber melden Sie sich niemals an, ist das eine andere Sache. Offensichtlich mag ich es nicht, sie von ihren Einsichten auszuschließen.

RC: Und das andere, was zu tun ist, wenn es wirklich hohe Einblicke sind, habe ich einige hohe Einblicke installiert, die eine Zwei-Faktor-Authentifizierung installiert haben, die neben dem Passwort auch hilft, dann brauchen sie eine App auf einem Smartphone oder etwas anderes, um hineinzukommen und das sperrt es noch einen Schritt weiter. Das ist also ein so großer Teil, denke ich, an die Passwortsicherheit.

DV: WP Engine und einige andere Hosts tun dies. Wir haben so etwas wie eine, im Wesentlichen eine Single-Sign-On-Lösung, mit der Sie zwischen Ihren Wordpressen hin- und herwechseln können. Aber es beinhaltet auch ein riesiges Stück zweier Faktoren, aus genau den Gründen, aus denen Sie es sagen. Ich kann nicht glauben, dass wir das nicht schon früher als einen großen Teil von Passwörtern angesprochen haben. Gute Erwähnung Okay, lass mich ein bisschen schalten. Wie Sie also darüber nachdenken, wie Sie auf WordPress-, PHP- und Plugin-Updates reagieren. Wie denken Sie über Ihre Strategie, dies so zu tun, dass Sie Ihrer Meinung nach die besten Erfolgschancen mit Sicherheit haben?

RC: Zunächst einmal, bevor Sie ein größeres Update durchführen, erstellen Sie ein Backup. Verlassen Sie sich nicht darauf, dass Ihr Host ein WordPress-Plugin verwendet. Updraft Plus Pro ist jetzt meine Wahl, also sollten Sie das tun, um ein Backup zu erstellen. Testen Sie auch Ihre Backups, bevor Sie sie benötigen. Warten Sie nicht, bis Sie die Backups sichern müssen, nur gut ist die Möglichkeit, sie wiederherzustellen. Es wird auf einer Staging-Site oder einer Demonstrator-Sandbox getestet, bevor Sie es regelmäßig benötigen.

DV: Das ist ein toller Punkt, denn so wie man ein Backup machen könnte, könnte etwas schief gehen und man verlässt sich darauf und dann war das Backup plötzlich schlecht.

RC: Das habe ich auch schon erlebt. Viel. Sicher. Ich war dort. Wir waren alle am Morgen, wenn es um 6 Uhr morgens aufstehen muss. Ja. Die andere Sache ist, dass ich normalerweise Core-Updates durchführe. Das sind also die WordPress-Updates selbst ziemlich gut, sobald sie herauskommen. Ich bin ein großer Fan von Updates, insbesondere von Sicherheitsfixes in den Updates. Viele Updates liegen zwischen Updates, die ich eher früher als später mache. In Bezug auf Plugins hat er es geschafft, sich gut umzusehen. Damit meine ich zum Beispiel, dass Sie sicherstellen müssen, dass es keine bekannten Abhängigkeiten gibt, bei denen ein Plugin nicht gut mit einem anderen Plugin zusammenspielt. Das haben wir alle gesehen. Machen Sie Ihre Hausaufgaben im Voraus, wenn Sie einige Tests in einer Sandbox durchführen müssen, tun Sie das.

DV: Ich bin also so, dass ich weitermache. Ich wollte sagen, ich denke, dass die Testpunkte sehr hervorstechend sind. Und so denke ich, wenn du die Veröffentlichung siehst und denkst, brennt mein Haar oder nicht? Ich bin irgendwie neugierig, wie Sie über die Interpretation von Dingen wie Versionshinweisen denken. Ich würde gerne Ihre Meinung dazu erfahren. Wir machen unsere letzte Pause und sind gleich wieder da. Zeit für eine Werbepause. Bleiben Sie dran, um mehr zu erfahren. Drücken Sie dies gleich. Alle sind herzlich willkommen, diesen WordPress-Community-Podcast auf W zu veröffentlichen. Mr. Wir sind gerade dabei, mit Rob Curtis über das Sperren Ihrer WordPress-Builds zu sprechen. Rob, kurz vor der Pause. Wir haben ein wenig über Ihre Strategien zur Verwaltung von WordPress-, PHP- und Plugin-Updates gesprochen. Und ich spielte irgendwie auf meine nächste Frage an, die lautet: Woher wissen Sie, wenn Sie sehen, dass eine Veröffentlichung mit möglicherweise in den Veröffentlichungshinweisen erwähnten Sicherheitsvorkehrungen herauskommt, dass dies die Art von Dingen ist, über die Sie sich wirklich Sorgen machen sollten, die 2. oder ob du ein wenig Zeit hast?

RC: Ja, was ich normalerweise mit Veröffentlichungen mache, ist in der WordPress-Community, die meisten Veröffentlichungen haben einen Veröffentlichungskandidaten, und dann machen sie eine Beta und dann gehen sie zu einer Veröffentlichung. Jetzt mit einem Minor-Release haben sie einfach ein Major-Release herausgebracht. Sie haben tatsächlich eine Release-Party auf Slack, wo sie einige abschließende Tests durchführen, und ich habe einige dieser Release-Partys erlebt und sie sind ziemlich interessant. Ich würde vorschlagen, so viel wie möglich von wordpress.org zu lesen. Lesen Sie so viel wie möglich über die Freilassung von Kandidaten, aber lesen Sie auch Quellen von Drittanbietern, und ein paar der großen sind Dinge, die sie regelmäßig in einem Sicherheitsblog veröffentlichen. Lesen Sie ein wenig über einige der Dinge auf WordFence, die einige wirklich gute Informationen herausgeben. Und sogar Orte wie Hacker News und Search Engine Journal und solche Orte. Sie sprechen ein wenig darüber, was in die Veröffentlichungen einfließt, und das ist wichtig, denn je gebildeter man selbst ist, desto besser kann man wirklich damit umgehen, also denke ich, dass die Quelle des Wissens in diesem Fall wirklich ist,

DV: Benutzt du vorher Dinge wie die WP DB, um die verschiedenen Sicherheitspatches zu analysieren, die in deine Plugins oder Themes oder was auch immer kommen.

RC : Ja, das hat es, und ich habe sogar Websites von Drittanbietern wie Sicherheitsdienste zum Scannen verwendet. Also nehme ich den Ansatz, analysiere, rede mit Leuten, höre zu, du musst deinen Kopf auf den Boden legen. Es gibt eine Vielzahl von Dingen, denen man helfen kann, und ich denke, sie sind alle nützliche Werkzeuge.

DV: Wenn also ein Patch herauskommt, wird man sich bewusst, dass er herauskommt, man recherchiert, was in dem Patch enthalten ist und was er anspricht. Und dann schätze ich, von da an versuchen Sie herauszufinden, wie viel Risiko Sie tragen, in Bezug darauf, wie viel Zeit und Energie Sie jetzt hineinstecken werden. So wie ich diese Cross-Site-Scripting-Volumes erwähnt habe, die mit Administratorkonten verbunden sind. Zum Beispiel, wenn Sie der einzige Administrator Ihrer Website sind, schätze ich, dass Sie wahrscheinlich nicht sofort keine Updates mehr benötigen. Aber wenn Sie Dutzende von Administratoren haben, dann denken Sie: Oh, ich weiß nicht, was sie tun. Und Sie sind wahrscheinlich dringender, ist das fair? Aber wie denkst du darüber?

RC: Ähm, ja und nein. Und der Grund ist und für einige hat eine Pandemie begonnen, wir alle wissen, dass die Hacker sich zu Hause langweilen. Daher habe ich früher einmal pro Woche Sicherheitsupdates für Kunden durchgeführt. In der Regel an einem Samstag oder Sonntag. Ob Sie es glauben oder nicht, ich schaue jetzt dreimal pro Woche auf Websites und die Sicherheitsseite. Weil ich versuche, das Risiko zu mindern. Und mit all den Hackern zu Hause, die sich langweilen, und was jetzt in der Ukraine vor sich geht, während wir dies aufzeichnen, ist der Sicherheitsbereich derzeit ein wirklich schwieriger Bereich. Also denke ich, dass man sein Wissen und das, was man tut, verbessern muss, anstatt es zu erweitern, und ich denke, das ist wirklich wichtig.

DV : Ja, ich sehe, was Sie da sagen, eine aggressivere Haltung, besonders mit all den damit verbundenen Risiken. Okay, also nächste Frage. Welche Rolle spielt Ihrer Meinung nach das Hosting in Ihrem Sicherheitsansatz?

RC: Ich liebe diese Frage. Weil die meisten Leute denken, dass Gastgeber keine Rolle spielen, und ich habe gesagt, Ihr Gastgeber ist Ihr Partner in dem Geschäft, das Sie nicht nur einstellen. Und damit meine ich, dass Sie einige Nachforschungen anstellen und sehen müssen, welche Art von Plan Sie verfolgen. Also haben Sie zuerst festgestellt, dass der Stein immer den besten Ruf hat, und sehen, was sie aus Sicherheitssicht auf ihren Firewalls tun, um Ihnen zu helfen, dem Websitebesitzer aus ihrer Perspektive, einigen Hosts und mir Ich werde sie nicht anrufen, beide machen einen sehr guten Job und einige Gastgeber machen einen wirklich tollen Job. Ich denke, man muss sich diese Dinge ansehen und sie als Partner behandeln.

DV: Das sind definitiv faire Punkte. Weil sie für uns arbeiten. Einigen Punkten stimme ich auf jeden Fall zu. Ich denke, eines der ermutigenden Dinge, die ich in der WordPress-Community gesehen habe, ist einfach eine große Vielfalt von Hosts, die sich an den Sicherheitsgesprächen beteiligen, um sicherzustellen, dass WordPress-Sites gesperrt werden. Aber ja, die Tiefe ist definitiv eine große Sache, die sich entwickelt. Ich überwache eigentlich einen internen Slack-Kanal, den unser Sicherheitsteam überwacht, den wir verwenden, um Warnungen per E-Mail an unsere Kunden zu senden, wenn sie Plugins mit Bones haben. Also ja, wir werden da definitiv die Extrameile gehen. Das war unglaublich interessant, Rob, ich denke, wir könnten wahrscheinlich den ganzen Tag reden, aber wir kommen hier irgendwie zum Ende. Vielen Dank, dass Sie heute bei uns sind.

RC: Mein Vergnügen macht so viel Spaß, David und ich hoffe, es hilft noch mehr Leuten

DV: Ja, ich denke schon. Es gab einige gute Punkte, die Sie heute fallen gelassen haben, und ich habe das Gespräch auf jeden Fall genossen, und jeder, der zuhört, möchte mehr darüber erfahren, was Rob vorhat, können Sie StunningDigitalmarketing.com besuchen. Danke, dass Sie Press This WordPress Community-Podcasts auf WMR gehört haben. Dies war Ihr Gastgeber David Vogelpohl. Ich unterstütze die WordPress-Community durch meine Rolle bei WP Engine und ich liebe es, Ihnen hier jede Woche auf Press This das Beste aus der Community zu präsentieren.