Appuyez sur ceci : Dormez bien. Verrouillez vos constructions WordPress aujourd'hui avec Rob Cairns
Publié: 2022-03-09Bienvenue sur Press This, le podcast de la communauté WordPress de WMR. Ici, l'hôte David Vogelpohl s'assoit avec des invités de toute la communauté pour parler des plus gros problèmes auxquels sont confrontés les développeurs WordPress. Ce qui suit est une transcription de l'enregistrement original.
Propulsé par RedCircle
David Vogelpohl : Bonjour à tous et bienvenue sur Press This, les podcasts de la communauté WordPress sur WMR. Voici votre hôte, David Vogelpohl, je soutiens la communauté WordPress à travers mon rôle chez WP Engine, et j'aime apporter le meilleur de la communauté pour que vous entendiez chaque semaine sur presse ceci pour rappel, vous pouvez me trouver sur Twitter @wpdavidv , ou vous pouvez vous abonner pour appuyer dessus sur iTunes, iHeartRadio, Spotify ou télécharger les derniers épisodes sur wmr.fm. Dans cet épisode nous allons parler de sécurité et notamment de bien dormir en verrouillant votre build WordPress. Et rejoignez-nous aujourd'hui pour cette conversation. Je souhaite la bienvenue à Press This, Rob Cairns. Rob, bienvenue.
Rob Cairns : Merci, David, et merci de m'avoir invité. Appréciez-le.
DV : Ouais, tellement excité de vous avoir ici. Pour ceux qui écoutent. Rob est dans le marketing numérique et construit et optimise des sites WordPress depuis longtemps. Dans cet épisode, ce que Rob va couvrir, ce sont ses opinions sur les meilleures approches. Pour verrouiller les sites WordPress, Rob va partager ses réflexions sur la sécurité à travers l'obscurité. est-ce une bonne idée? Mauvaise idée, considérations autour des mots de passe et du timing des utilisateurs pour vos mises à jour WordPress et PHP et bien plus encore. Vraiment ravi d'avoir Rob ici pour parler aujourd'hui et ses titres préoccupent beaucoup de gens ces jours-ci, avec tout ce qui se passe dans le monde et juste en général par rapport à la sécurité Web. C'est un épisode très opportun, je pense que les gens réfléchissent à la manière de sécuriser leurs expériences numériques. Rob, je vais vous poser la même première question que j'ai posée à tous les autres invités. Pourriez-vous me parler brièvement de votre histoire d'origine WordPress? Quand avez-vous utilisé WordPress pour la première fois ?
RC : Bien sûr. Eh bien, David, ce que je devrais faire, c'est vous ramener un peu en arrière. Il y a environ 20 ans, j'ai enregistré le domaine pour les 125 premières années et l'une des raisons que j'ai données était l'e-mail gratuit que ma famille avait l'habitude de se plaindre que je changeais d'adresse e-mail plus de temps que les gens ne changeaient de vêtements. J'ai donc enregistré le domaine. J'ai créé un site Web HTML statique parce que je travaillais dans la technologie. Et puis il y a environ 15 ans, j'ai transformé ce site Web statique en un blog et bien sûr, mon point de vue de WordPress. J'ai quitté le cercle des soins de santé il y a environ 12 ans, j'étais dans la technologie et la santé, puis j'ai commencé à créer des sites Web à plein temps. Donc, c'est essentiellement mon histoire d'origine.
DV : Et puis vous vous rappelez approximativement en quelle année il a transformé ce site HTML en blog WordPress pour la première fois.
RC : Ça aurait été Oh, probablement le 26/27. Quelque part là-dedans 26. Il n'y a pas si longtemps, j'ai été l'un des premiers à adopter WordPress. Ouais.
DV : Ouais. Donc, cela aurait été juste à l'époque des widgets et des codes abrégés et de la transformation de WordPress d'une plate-forme de blog en une sorte de version de site Web, comment j'ai trouvé cela.
RC : Ouais, je suis l'une des premières choses que j'ai réellement utilisées. Qui a vraiment eu ses problèmes au fil des ans, c'est que les thèmes de progrès ont été l'un des premiers grands thèmes que j'ai développés et nous tous dans la communauté connaissons les progrès de l'histoire et ce qui s'est passé là-bas. Alors oui, il se passe beaucoup de choses. C'était un diamant passionnant maintenant. C'est une période passionnante.
DV : Excellent. Eh bien, je suis content que vous en ayez eu sur les chauves-souris et que vous ayez verrouillé des sites WordPress. Nous avons donc un bon épisode ici. Vraiment rapide. Pourriez-vous nous en dire un peu plus sur le marketing numérique Dunning ?
RC : Et oui, je dirige une agence de marketing basée dans la région de Toronto au Canada. Nous sommes essentiellement deux points forts, notre marketing par e-mail et le verrouillage des sites Web. Je veux dire, c'est une grande partie de notre clientèle en ce moment, les gens ne veulent pas se soucier de la sécurité de ces sites Web. Et c'est la base de ce que nous faisons. Au cours des années. Nous avons tout fait, des publicités au paiement par clic aux campagnes numériques, et je me suis en quelque sorte concentré sur la dernière.
DV : D'accord, bien. Ai-je tant d'amis dans la communauté WordPress à Toronto ?
RC : nous n'avons pas eu à parler du camp de Toronto depuis quelques années maintenant. Donc je meurs d'envie de sortir et de voir des gens. Ce serait génial.
DV : oui, c'était une ville fantastique. J'aime vraiment ça là-bas. Passons donc un peu au sujet qui nous intéresse. Donc, en pensant à la sécurité en tant que spécialité, avez-vous eu un incident de sécurité qui vous a amené à vous concentrer sur la sécurité ou est-ce plutôt quelque chose qui s'est développé au fil du temps pour vous comme y a-t-il eu un moment aha ou un problème que vous avez rencontré ? Ou est-ce plutôt quelque chose qui s'est développé avec le temps ?
RC : Euh, ça s'est développé avec le temps, je dirais, j'ai en fait une formation en sécurité dans les serveurs d'entreprise. Ainsi, lorsque je travaillais dans le secteur de la santé pour l'un des plus grands hôpitaux de Trump, l'une des choses que je cherchais était de savoir comment aider notre équipe de serveurs avec la sécurité de nos serveurs ou serveurs d'échange, qui est le courrier électronique et comment aidons-nous un les clients instruits à l'époque dans le domaine de la santé étaient les escroqueries par hameçonnage ? Ainsi, les personnes qui cliquent sur des liens ne devraient pas apporter de documents sécurisés. Donc, mon intérêt pour la sécurité s'est en quelque sorte développé à partir de là.
DV : Cela explique en grande partie votre concentration sur le marketing par e-mail et les inconvénients du verrouillage, je suppose, car ce sont des disciplines si différentes, mais cela a du sens avec votre expérience dans le domaine de la santé, en pensant à ces serveurs Exchange, puis aux aspects de sécurité des personnes ainsi que des soins de santé. serveurs, cela a beaucoup de sens. Entrons donc un peu dans le côté WordPress des choses. Vous savez, on en voit beaucoup dans l'actualité, vous savez, 70 millions de sites ont une vulnérabilité parce que certains, vous savez, font du volume dans un plugin ou quelque chose comme ça. Mais pensez-vous personnellement que WordPress est intrinsèquement sécurisé et si oui, pourquoi ou pourquoi pas ?
RC : Je suis d'accord que oui et ce que je dirais avant de faire confiance au site WordPress, c'est que Microsoft Windows a des problèmes de sécurité. Chaque mois, Microsoft publie des correctifs sur ce qu'ils appellent Patch Tuesday, et c'est le plus grand système d'exploitation d'entreprise au monde. Donc, mon argument est que ce n'est pas que nous trouvons des correctifs ou des problèmes de sécurité, c'est la façon dont nous les traitons. Et ce que j'aime voir, c'est la réactivité des fournisseurs. Donc, étant donné un exemple concret, UpdraftPlus, l'un des plus grands programmes de sauvegarde récemment apparu en matière de sécurité, a rencontré de nombreux problèmes au cours des deux derniers mois. Mais ce qu'ils ont bien fait, c'est de publier immédiatement des correctifs, qui pour ceux qui ne le savent pas, sont des correctifs de sécurité, et ils les ont traités rapidement et en temps opportun. Et ça, pour moi, c'est plus important. Je pense. Une fois que quelque chose devient plus de 40% du marché, ou du processus, vous aurez toujours des gens qui s'en prennent à lui du point de vue de la sécurité, car cela vaut maintenant le temps des pirates.
DV : Ouais, ce sont d'excellents points. Je pense souvent que c'est comme si l'auteur du logiciel pouvait être incité à minimiser le problème. Le journaliste qui essaie d'attirer des lecteurs est formé pour exagérer le problème, dans votre point de vue, chaque logiciel majeur de votre vie s'il est correctement géré et fait attention aux vulnérabilités découvertes au fil du temps, et corrige rapidement ces vulnérabilités. Et je pense que l'autre point que je fais personnellement valoir est que WordPress n'a pas de vulnérabilités publiques connues à l'heure actuelle qui ne soient pas corrigées et c'est donc ainsi que j'y pense. J'aime vraiment cet endroit. Et j'aime aussi la façon dont vous dites à quel point le courant ascendant approche de la balle qui y est découverte. Et, vous savez, je pense qu'il y a beaucoup de responsabilités envers beaucoup de très bons fournisseurs dans le système. Ils font un excellent travail dans la gestion des téléphones lorsqu'ils leur sont signalés de manière responsable. Que ce soit ta voix ou quoi que ce soit que tu ajouterais à ça,
RC : au fait, je PodOmatic. Ils ont fait un travail incroyable pour corriger les vulnérabilités. Je sais que nous avons eu une version 5.9 récemment. Et lorsque la version 5.9 point un est sortie la semaine dernière, ce n'était qu'une version de maintenance. Il n'y avait même pas de correctif de sécurité dans cette version. Bravo et je pense que la sécurité automatique prend très au sérieux. Alors oui, bon espace.
DV : Mon exposition à cette équipe est qu'elle compte beaucoup de monde. Avec comme, je dirais une expérience de sécurité de niveau entreprise. Dans mon exposition. Ils ont certainement suivi les meilleures pratiques en matière de divulgation responsable et y ont répondu. Et pas seulement je dirais l'équipe principale de WordPress, mais je dirais aussi l'équipe des plugins WordPress, et comment ils gèrent les vulnérabilités, comment ils pensent aux dates des trucs, comment ils communiquent avec les auteurs, comment ils retirent les plugins du référentiel si ils ne sont pas patchés. Je ne sais pas, je ne sais pas si tu es allé aussi loin avec ça. Mais ce sont des choses qui m'ont marqué.
RC : J'ai un J'ai récemment eu une discussion avec Proteus fetcher, qui a trop faible l'architecte Gutenberg et il a dit que son équipe prend ça très, très au sérieux. Donc je pense que tous ceux qui pensent qu'ils ne le font pas, je ne pense pas qu'ils soient tout à fait sur Mark. Pour être honnête. Je pense qu'ils prennent ça au sérieux. Ils écoutent. Et ils divulguent de manière inappropriée.
DV : Oui, on dirait qu'une grande partie de la négativité qui se dégage est que vous savez ce genre de titres sensationnalistes que les gens interprètent de manière erronée, mais, et je trouve que la plupart des auteurs, en fait, décrivent avec précision ce qui se passe. C'est juste que le titre est vraiment effrayant à lire et que c'est le pool cible de sécurité et de logiciels. Et c'est comme ça que ça marchera toujours. C'est comme ça. Je veux donc aborder certaines pratiques plus spécifiques, en particulier la notion de sécurité par l'obscurité. Mais nous allons faire notre première pause, nous reviendrons tout de suite. Pour brancher sur une pause publicitaire. Restez à l'écoute pour plus de presse ceci dans un instant. Tout le monde est de retour pour appuyer sur ce podcast de la communauté WordPress sur W EMR. Voici votre hôte David Vogel. Paul. J'interviewe Rob Curtis de superbes médias numériques sur le verrouillage de vos versions WordPress. Rob juste avant la pause, nous parlions un peu de la sécurité inhérente de WordPress, de la façon dont l'équipe principale s'en occupe, même des personnes à l'intérieur, disons l'équipe du plugin, mais je veux en quelque sorte changer de vitesse maintenant pour créer des sujets invités. Vous savez, certaines personnes s'appuieront souvent sur la notion de sécurité par l'obscurité, comme personne ne peut trouver cette chose qui se soucie qu'elle ne soit pas verrouillée ? Je sais que tu n'es pas très fan de ça. Mais comme pourquoi et aider les gens à comprendre. Pourquoi pas.
RC: Personnellement, je pense que les deux choses par obscurité que beaucoup de gens aiment faire, vous aimez changer et WordPress, leurs tables de préfixes de base de données, et ils aiment changer leur back-end de connexion. Et je pense que ce ne sont que des façades fantaisistes. À la fin de la journée. Je ne pense pas qu'ils le fassent personnellement, la plupart des pirates ont des outils qui peuvent analyser un site et comprendre que le backend utilise tous des scripts ou comprendre les tables de la base de données. Donc je veux dire, je ne pense pas que des choses comme ça aient vraiment de l'importance en fin de compte. Si cela vous permet de vous sentir mentalement compétent ou meilleur. Allez le faire. Mais au final, je ne pense pas que cela apporte beaucoup à votre client ou à l'utilisateur final.
DV : Ouais, ce sont ces outils de découverte que les mauvais acteurs utilisent que tu sais, même si tu obscurs, ça ne peut pas forcément aimer atteindre l'objectif. Je me souviens, à la fin des années 90, je suppose que j'ai obtenu un compte d'hébergement Web gratuit avec un travail et je me souviens d'y avoir téléchargé mes cartes de crédit pour le stockage. Et je me dis, personne ne connaît l'adresse. Mais les différences sont grandes. Et je me souviens avoir été honteux assez rapidement par certains de mes collègues à ce sujet. C'est donc une leçon que j'ai apprise à l'époque. D'accord, c'est donc un bon point sur la sécurité par l'obscurité et sur la façon dont les mauvais acteurs peuvent utiliser, vous savez, leurs différentes boîtes à outils pour renverser cela. Vous savez, pendant que je regarde, vous savez, la sécurité et vous en avez parlé, je pense un peu plus tôt, mais vous savez, beaucoup de gens parlent, vous savez, des personnes de votre organisation qui représentent le plus grand risque pour votre sécurité . Comment abordez-vous cela? Avec des choses comme les politiques de mot de passe ou d'autres approches dans vos versions WordPress.
RC : Donc, la première chose que j'aime faire est, en particulier pour un compte administrateur, par exemple, un mot de passe fort et complexe, je suggère toujours aux gens d'utiliser un générateur de mots de passe de ne pas stocker un mot de passe qui se trouve dans le dictionnaire. Je pense que c'est vraiment une mauvaise idée. Faites-le aussi longtemps que possible et les gens diront, Oh, je ne m'en souviens pas. Eh bien, c'est à ce moment-là que vous devez passer du temps et obtenir qu'un gestionnaire de mots de passe en choisisse un. Et commencez à utiliser des mots de passe complexes que vous n'utilisez nulle part ailleurs. Et si vous ne croyez pas qu'il existe un très bon site appelé si vous avez été mis en gage et qu'il vous indiquera votre adresse e-mail et votre mot de passe trouvés n'importe où ailleurs sur Internet dans une vulnérabilité connue, il peut sécuriser par mot de passe une combinaison de chiffres et de lettres et, vous savez, des caractères spéciaux et faire toutes ces choses. Et je sais que les gens ont espéré tout cela avant, mais je ne pense pas que suffisamment de gens le fassent
DV : comme par rapport à la facture, puis du point de vue de la configuration, vous envisagez de forcer des mots de passe forts, mais il semble que vous envisagez également de former dans le cadre de cela, comme vous formez ceux qui utiliseront les sites que vous 'ai construit sur le bon mot de passe. Les pratiques.
RC : Aucune question à ce sujet et l'utilisation d'un logiciel pour forcer et également modifier régulièrement ces mots de passe administrateur. Je les force habituellement à être changés tous les 90 jours. C'est ce qu'ils font dans le monde de l'entreprise et il y a une raison à cela. Et je pense que c'est une bonne idée sur un site WordPress.
DV : Oh, intéressant. Vous savez, j'ai entendu une révision récente dire que ce n'était pas recommandé, mais je ne suis pas un expert. Donc je ne vais pas vous demander là-bas. Mais je pense que ce sont manifestement de bonnes pratiques. J'aime vraiment renforcer avec les gens. Il utilise des mots de passe uniques par site. Et au fait, Rob, es-tu un joueur ?
RC : Avant, je ne jouais plus autant de jeux ces jours-ci parce que franchement, à la fin de la journée, si je commence à jouer, je serai absorbé par
DV : d'accord, cool. Donc, c'est vraiment y penser du point de vue du mot de passe comme l'application de politiques solides, mais aussi la formation de vos utilisateurs. Y a-t-il autre chose dans la formation ou d'un autre côté pour limiter le risque ?
RC : Les gens ne donnent pas de rôles aux gens dans le tableau de bord WordPress. Ils ne mangent pas, donc quelqu'un ne fera que des articles de blog, ne lui donnez pas un rôle d'administrateur, peu importe à quel point ils crient et il convient de mentionner que WP Engine a un très bon plugin de programme CMS en marque blanche que j'ai utilisé souvent, si quelqu'un demande des droits d'administrateur, et je sais que je ne veux pas qu'ils aient accès à cette section, tous ont installé le CMS en marque blanche de WP Engine et les ont verrouillés sur certaines parties du site Web. Alors donnez vraiment aux gens ce dont ils ont besoin. Pas tout. Et c'est un gros problème aussi.
DV : Ouais, je ne connais pas ce plugin. Je vais devoir aller faire un tour. Alors tu penses que travailler ici, je sais que tu es sûr que c'est nous qui le faisons ? Je pense que oui. D'accord, faux. Mais le point clé ici est de limiter les rôles d'administrateur. Et je surveille divers os dans le dépôt du plugin WordPress. Et, comme beaucoup de vulnérabilités signalées, il s'agit de vulnérabilités de script intersite. Oui, et beaucoup d'entre eux sont limités aux rôles d'administrateur et les auteurs de plugins réagissent souvent aussi bien, c'est juste les administrateurs qui ont cet accès, qui s'en soucie ? Et vous êtes en quelque sorte en train de faire remarquer qu'il y a des utilisateurs à qui vous faites peut-être confiance, mais peut-être que vous ne leur faites pas confiance au niveau logiciel.
RC : Sans blague. J'ai un client en ce moment à qui je ne donnerai pas de rôle d'administrateur si ma vie en dépendait, parce que je sais ce qui va se passer. Alors je dis juste non.
DV : Ouais, et c'est dans votre pensée comme, eh bien, c'est leur site, peu importe ce qu'ils ont fait, je suppose, vous savez, il y a toujours ce genre de trope du client qui casse sa perspicacité. Mais comme, avec ces autorisations élevées, lorsqu'ils sont connectés, des éléments tels que les vulnérabilités de script intersite peuvent jouer un rôle plus important. Et donc pour ces utilisateurs novices, en le coupant avec l'accès que vous accordez, dans leur rôle dans leurs rôles d'utilisateurs, vous contribuez en quelque sorte à réduire ce risque pour eux en tant que client.
RC : Ouais, tellement vrai. Et vous leur faites en fait une faveur, pas un mauvais service à long terme.
DV : Bien sûr. Je suppose que vous leur donnez probablement des choses comme, vous savez, d'accord, voici le vrai administrateur, mais ne vous connectez jamais à un autre genre de chose. De toute évidence, je n'aime pas les exclure de leurs idées.
RC: Et l'autre chose à faire aussi est que si c'est vraiment très perspicace, j'ai installé une authentification à deux facteurs, qui aide également en plus du mot de passe, alors ils ont ensuite besoin d'une application sur un smartphone ou autre chose pour entrer et cela le verrouille même une étape de plus. C'est donc une partie tellement importante que je pense de la sécurité des mots de passe.
DV : WP Engine et d'autres hébergeurs le font. Nous avons comme, essentiellement, un seul signe sur les solutions que vous pouvez en quelque sorte rebondir entre vos presses de mots. Mais il intègre également un énorme morceau de deux facteurs pour les raisons mêmes que vous mettez. Je ne peux pas croire que nous n'ayons pas évoqué cela auparavant comme une grande partie des mots de passe. Bonne mention D'accord, permettez-moi de changer un peu de vitesse. Donc, en y réfléchissant, vous savez, réagir aux mises à jour de WordPress, PHP et des plugins. Comment pensez-vous que votre stratégie pour faire cela d'une manière qui, selon vous, vous donne les meilleures chances de succès en matière de sécurité ?
RC : Tout d'abord, avant de faire une mise à jour majeure, faites une sauvegarde. Ne comptez pas sur votre hébergeur, prenez-en un en utilisant un plugin WordPress. Mine de choix Updraft Plus Pro en ce moment, c'est donc ce que vous devez faire pour effectuer une sauvegarde. Testez également vos sauvegardes avant d'en avoir besoin. N'attendez pas d'avoir besoin de sauvegarder les sauvegardes, le seul avantage est la capacité de restauration. Il est testé sur un site intermédiaire ou un bac à sable de démonstration avant d'en avoir besoin régulièrement.
DV : C'est un excellent point parce que, comme si vous pouviez faire une sauvegarde, quelque chose pouvait mal tourner et vous vous y fiez, puis tout d'un coup c'était une mauvaise sauvegarde.
RC : J'ai vu cela se produire aussi. Beaucoup. Bien sûr. J'ai été là. Nous sommes tous allés le matin quand il doit être levé pour 6 heures du matin Ouais. L'autre chose est que je fais habituellement des mises à jour de base. Ce sont donc les mises à jour WordPress elles-mêmes à peu près dès leur sortie. Je suis un grand fan des mises à jour, en particulier des correctifs de sécurité dans les mises à jour. De nombreuses mises à jour sont entre les mises à jour que j'ai tendance à faire plus tôt que tard. En termes de plugins, il a en quelque sorte réussi à bien regarder autour de lui. Donc, par exemple, je veux dire par là que vous devez vous assurer qu'il n'y a pas de dépendances connues où un plugin ne fonctionne pas bien avec un autre plugin. Nous avons tous vu cela. Faites vos devoirs à l'avance si vous devez faire des tests dans un bac à sable, faites-le.
DV : Donc je suis un peu comme aller de l'avant. J'allais dire comme, je pense que les points de test sont très saillants. Et donc je pense cependant, comme quand vous voyez la sortie, et vous pensez comme, est-ce que mes cheveux sont en feu ou pas ? Je suis un peu curieux, comme, comment vous pensez interpréter des choses comme les notes de version. J'aimerais avoir votre avis là-dessus. On va faire notre dernière pause et on revient tout de suite. Il est temps de se brancher sur une pause publicitaire. Restez à l'écoute pour plus de presse ceci dans un instant. Tout le monde est de retour pour publier ce podcast de la communauté WordPress sur W Mr. Nous sommes en train de parler du verrouillage de vos versions WordPress avec Rob Curtis. Rob, juste avant la pause. Nous parlions un peu de vos stratégies de gestion des mises à jour de WordPress, PHP et des plugins. Et je faisais en quelque sorte allusion à ma question suivante, qui est du genre, comment savez-vous quand vous voyez une version sortir avec peut-être la sécurité mentionnée dans les notes de version que c'est le genre de chose dont vous devriez vraiment vous inquiéter, le seconde ou si vous avez un peu de temps?
RC : Ouais, ce que je fais habituellement avec les releases, c'est dans la communauté WordPress, la plupart des releases ont une release candidate, et ensuite ils iront faire une beta et ensuite ils iront vers une release. Maintenant, avec une version mineure, ils viennent de sortir une version majeure. Ils ont en fait une release party sur Slack où ils font des tests finaux, et j'ai participé à certaines de ces release parties et elles sont assez intéressantes. Ce que je suggérerais, c'est de lire autant qu'il le peut sur wordpress.org. Lisez autant qu'il peut sur le point de publier des candidats, mais lisez également des sources tierces et quelques-unes des plus importantes sont des choses qu'ils publient régulièrement sur un blog de sécurité. Lisez un peu sur certaines des choses sur WordFence, ils ont publié de très bonnes informations. Et même des endroits comme Hacker News et Search Engine Journal et des endroits comme ça. Ils parlent un peu de ce qui se passe dans les versions et c'est important parce que plus vous êtes vous-même instruit, mieux vous pouvez gérer vraiment donc je pense que la fontaine de connaissances est vraiment dans ce cas,
DV : Utilisez-vous des éléments tels que la base de données WP avant d'analyser les différents correctifs de sécurité qui arrivent dans vos plugins ou thèmes ou autre.
RC : Oui, c'est le cas et j'ai même utilisé des sites tiers comme la sécurité pour faire des scans. Donc, j'adopte en quelque sorte l'approche d'analyser, de parler aux gens, d'écouter, vous devez avoir la tête au sol. Il y a une multitude de choses à aider et je pense que ce sont tous des outils utiles.
DV : Donc, un patch sort en gros, vous vous rendez compte qu'il sort, vous recherchez ce qu'il y a dans le patch et à quoi il s'adresse. Et puis je suppose qu'à partir de là, vous essayez de déterminer le degré de risque que vous portez en termes de temps et d'énergie que vous allez y consacrer en ce moment. Donc, comme je mentionnais ces volumes de scripts intersites connectés aux comptes d'administrateur. Par exemple, si vous êtes le seul administrateur de votre site, je suppose que vous n'êtes probablement pas prêt à vous mettre à jour tout de suite. Mais si vous avez des dizaines d'administrateurs, alors vous vous dites, oh, je ne sais pas ce qu'ils font. Et donc vous êtes probablement plus urgent, est-ce juste ? Mais comment y pensez-vous ?
RC : Hum, oui et non. Et la raison en est que pour certains, une pandémie a commencé, nous savons tous que les pirates s'ennuient à la maison. J'avais donc l'habitude de faire des mises à jour de sécurité pour les clients une fois par semaine. Généralement un samedi ou un dimanche. Croyez-le ou non, je regarde les sites Web et le côté sécurité maintenant trois fois par semaine. Parce que j'essaie d'atténuer le risque. Et avec tous les hackers à la maison et qui s'ennuient, et maintenant ce qui se passe en Ukraine, alors que nous enregistrons cela, l'espace de sécurité est un espace vraiment difficile en ce moment. Je pense donc que vous devez réellement élever vos connaissances et ce que vous faites au lieu de les élever, et je pense que c'est vraiment important.
DV : Ouais, je vois ce que tu veux dire, une position plus agressive là-bas, surtout avec tous les risques qui sont liés. Bon, alors question suivante. Selon vous, quel rôle l'hébergement joue-t-il dans votre approche de la sécurité ?
RC : J'adore cette question. Parce que la plupart des gens ne pensent pas que les hôtes comptent et j'ai dit que votre hôte est votre partenaire dans l'entreprise que vous n'êtes pas seulement en train d'embaucher. Et par là, je veux dire que vous devez faire une enquête et voir quel type de plan vous allez suivre. Alors avez-vous d'abord trouvé que la pierre a toujours le meilleur pour la réputation des hôtes et voyez ce qu'ils font du point de vue de la sécurité sur leurs pare-feu de leur côté pour vous aider le propriétaire du site Web de leur point de vue, certains hôtes et moi Je ne vais pas les appeler, les deux font du très bon travail et certains hôtes font un travail vraiment incroyable. Je pense que vous devez regarder ces choses et les traiter comme votre partenaire.
DV : ce sont certainement des points justes. Parce qu'ils travaillent pour nous. Je suis tout à fait d'accord avec certains de ces points. Je pense que l'une des choses encourageantes que j'ai vues dans la communauté WordPress est simplement une grande variété d'hôtes qui participent aux conversations sur la sécurité pour s'assurer que les sites WordPress sont verrouillés. Mais oui, le niveau de profondeur est définitivement une grande chose qui évolue. Je surveille en fait un canal Slack interne que notre équipe de sécurité surveille et que nous utilisons pour envoyer des alertes par e-mail à nos clients, lorsqu'ils ont des plugins avec des os. Alors oui, nous allons certainement faire un effort supplémentaire là-bas. Cela a été incroyablement intéressant, Rob, je pense que nous pourrions probablement parler toute la journée, mais nous arrivons à la fin ici. Merci beaucoup de vous joindre à nous aujourd'hui.
RC : Mon plaisir est tellement amusant, David et j'espère que cela aidera d'autres personnes
DV : Oui, je pense que oui. Vous avez laissé tomber quelques bons points aujourd'hui et j'ai vraiment apprécié la conversation et tous ceux qui écoutent aimeraient en savoir plus sur ce que fait Rob, vous pouvez visiter StunningDigitalmarketing.com Merci d'avoir écouté les podcasts de la communauté Press This WordPress sur WMR. Il s'agit de votre hôte David Vogelpohl. Je soutiens la communauté WordPress à travers mon rôle chez WP Engine et j'aime vous apporter le meilleur de la communauté ici chaque semaine sur Press This.