• Beranda
  • Artikel
  • Memandu
  • Tekan Ini: Tidur nyenyak. Lockdown WordPress Anda Dibuat Hari Ini dengan Rob Cairns

Tekan Ini: Tidur nyenyak. Lockdown WordPress Anda Dibuat Hari Ini dengan Rob Cairns

Diterbitkan: 2022-03-09

Selamat datang di Press This, podcast komunitas WordPress dari WMR. Di sini, tuan rumah David Vogelpohl duduk bersama tamu dari seluruh komunitas untuk membicarakan masalah terbesar yang dihadapi pengembang WordPress. Berikut ini adalah transkripsi dari rekaman aslinya.

Didukung oleh RedCircle

David Vogelpohl: Halo semuanya dan selamat datang di Press This podcast komunitas WordPress di WMR. Ini adalah tuan rumah Anda, David Vogelpohl, saya mendukung komunitas WordPress melalui peran saya di WP Engine, dan saya senang membawa yang terbaik dari komunitas untuk Anda dengar setiap minggu di pers ini sebagai pengingat, Anda dapat menemukan saya di Twitter @wpdavidv , atau kamu bisa berlangganan tekan ini di iTunes, iHeartRadio, Spotify, atau download episode terbaru di wmr.fm. Dalam episode ini kita akan berbicara tentang keamanan dan khususnya tidur nyenyak dengan mengunci build WordPress Anda. Dan bergabunglah dengan kami hari ini untuk percakapan itu. Saya ingin menyambut Press This, Rob Cairns. Rob, selamat datang.

Rob Cairns: Terima kasih, David, dan terima kasih telah menerima saya. Menghargai itu.

DV: Ya, sangat senang memiliki Anda di sini. Bagi yang mendengarkan. Rob berkecimpung dalam pemasaran digital dan telah lama membangun dan mengoptimalkan situs WordPress. Dalam episode ini, apa yang akan dibahas Rob adalah pandangannya tentang pendekatan terbaik. Untuk mengunci situs WordPress, Rob akan membagikan pemikirannya tentang keamanan melalui ketidakjelasan. Apakah itu ide yang bagus? Ide buruk, pertimbangan seputar kata sandi dan waktu pengguna untuk pembaruan Anda WordPress dan PHP dan banyak lagi lainnya. Sangat senang Rob di sini untuk berbicara hari ini dan sekuritasnya memiliki banyak pikiran orang akhir-akhir ini, dengan segala sesuatu yang terjadi di dunia dan secara umum relatif terhadap keamanan web. Ini adalah episode yang sangat tepat waktu, saya pikir ketika orang-orang berpikir tentang bagaimana mengamankan pengalaman digital mereka. Rob, saya akan menanyakan pertanyaan pertama yang sama yang saya tanyakan kepada setiap tamu lainnya. Bisakah Anda memberi tahu saya secara singkat tentang kisah asal WordPress Anda? Kapan pertama kali Anda menggunakan WordPress?

RC: tentu Baiklah, David, yang harus saya lakukan adalah membawa Anda kembali sedikit. Saya sekitar 20 tahun yang lalu, mendaftarkan domain untuk pertama 125 tahun yang lalu dan salah satu alasan yang saya berikan adalah email gratis keluarga saya sering mengeluh bahwa saya mengubah alamat email lebih banyak waktu daripada orang mengganti pakaian. Jadi saya mendaftarkan domain. Saya membuat situs web HTML statis karena saya bekerja di bidang teknologi. Dan kemudian sekitar 15 tahun yang lalu saya mengubah situs web statis itu menjadi blog dan tentu saja, sudut pandang saya dari WordPress. Saya meninggalkan lingkaran perawatan kesehatan sekitar 12 tahun yang lalu saya berada di bidang teknologi dan perawatan kesehatan dan kemudian saya mulai membuat situs web secara penuh waktu. Jadi itu pada dasarnya cerita asal saya.

DV: Dan kemudian Anda ingat kira-kira tahun berapa dia pertama kali mengubah situs HTML itu menjadi blog WordPress.

RC: Mungkinkah Oh, mungkin 26/27. Di suatu tempat di sana 26. Belum lama ini saya adalah pengguna awal WordPress. Ya.

DV: Ya. Jadi itu akan tepat di sekitar waktu widget dan kode pendek dan mengubah WordPress dari platform blog menjadi semacam rilis situs web bagaimana saya menemukannya.

RC: Ya, saya salah satu hal pertama yang benar-benar saya gunakan. Siapa yang benar-benar memiliki masalah selama bertahun-tahun adalah tema kemajuan adalah salah satu tema besar pertama yang saya kembangkan tanda bijak dan kita semua di komunitas tahu kemajuan sejarah dan apa yang terjadi di sana. Jadi ya, banyak sekali yang terjadi. Itu adalah berlian yang menarik sekarang. Ini adalah waktu yang menyenangkan.

DV: Luar Biasa Yah, saya senang Anda memiliki beberapa kelelawar dan mengunci situs WordPress Anda sehingga Anda kami memiliki episode yang bagus di sini. Sangat cepat. Bisakah Anda memberi tahu kami sedikit tentang pemasaran digital Dunning?

RC: Dan ya, saya menjalankan agen pemasaran yang berbasis di wilayah Toronto Kanada. Kami pada dasarnya adalah dua kekuatan pemasaran email kami dan mengunci situs web. Maksud saya, itulah sebagian besar klien kami saat ini, adalah orang-orang tidak ingin khawatir tentang mengamankan situs web tersebut. Dan itulah dasar dari apa yang kami lakukan. Selama bertahun-tahun. Kami telah melakukan segalanya mulai dari iklan Bayar Per Klik hingga kampanye digital dan saya baru saja mempersempitnya dari yang terakhir.

DV: Baiklah, bagus. Apakah saya punya begitu banyak teman di komunitas WordPress di luar Toronto senang mendengar Anda berada di dekat Anda ketika hal-hal terbuka dan pergi mencari Anda di WordCamp Toronto berikutnya.

RC: kami belum pernah ke kamp Toronto dalam beberapa tahun sekarang. Jadi saya sangat ingin keluar dan melihat beberapa orang. Itu bagus.

DV: ya, itu adalah kota yang fantastis. Saya sangat menikmatinya di sana. Jadi mari kita beralih ke topik yang sedang dibahas. Jadi ketika Anda berpikir tentang keamanan sebagai spesialisasi, apakah Anda memiliki insiden keamanan yang menyebabkan Anda fokus pada keamanan atau apakah ini sesuatu yang berkembang dari waktu ke waktu untuk Anda seperti ada momen aha atau, atau masalah yang Anda alami? Atau lebih merupakan sesuatu yang berkembang dari waktu ke waktu?

RC: Um, itu berkembang dari waktu ke waktu, saya akan mengatakan, saya sebenarnya memiliki latar belakang keamanan di server perusahaan. Jadi ketika saya bekerja di perawatan kesehatan untuk salah satu rumah sakit terbesar Trump, salah satu hal yang saya lihat adalah bagaimana kami membantu tim server kami dengan keamanan server kami atau server pertukaran, yaitu email dan bagaimana kami membantu klien terdidik saat itu dalam masalah kesehatan terbesar adalah penipuan phishing? Jadi orang yang mengklik tautan, mereka tidak boleh membawa dokumen dengan keamanan. Jadi minat saya pada keamanan hanya berkembang dari sana.

DV: Ini menjelaskan begitu banyak tentang fokus Anda pada pemasaran email, dan mengunci kerugian saya kira, seperti itu adalah disiplin ilmu yang berbeda, tetapi masuk akal dengan latar belakang perawatan kesehatan Anda, memikirkan server Exchange tersebut, kemudian aspek keamanan orang serta perawatan kesehatan server, itu sangat masuk akal. Jadi mari kita masuk ke sisi WordPress. Anda tahu, kami melihat banyak di berita, Anda tahu, 70 juta situs memiliki kerentanan karena beberapa, Anda tahu, volume di plugin atau semacamnya. Tetapi apakah Anda secara pribadi berpikir bahwa WordPress secara inheren aman dan jika demikian, mengapa atau mengapa tidak?

RC: Saya setuju itu dan apa yang akan saya katakan sebelum kami percaya situs WordPress adalah Microsoft Windows memiliki masalah keamanan. Setiap bulan Microsoft memasang patch pada apa yang mereka sebut Patch Tuesday, dan itu adalah sistem operasi bisnis terbesar di dunia. Jadi argumen saya adalah, bukan karena kami menemukan tambalan yang dilihatnya atau masalah keamanan, tetapi bagaimana kami menanganinya. Dan yang ingin saya lihat adalah respon dari vendor. Jadi diberikan contoh kehidupan nyata UpdraftPlus salah satu program cadangan terbesar akhir-akhir ini telah muncul dalam keamanan, banyak masalah selama beberapa bulan terakhir dan seterusnya. Tetapi apa yang telah mereka lakukan dengan baik adalah segera mengeluarkan tambalan, yang bagi mereka yang tidak tahu adalah perbaikan keamanan, dan mereka telah menanganinya dengan segera dan tepat waktu. Dan itu, bagi saya lebih penting. Menurut saya. Setelah sesuatu menjadi lebih dari 40% dari pasar, atau proses, Anda akan selalu memiliki orang-orang yang mengambil gambar dari perspektif keamanan, karena sekarang sepadan dengan waktu peretas.

DV: Ya, itu poin yang bagus. Saya sering menganggapnya seperti pembuat perangkat lunak mungkin diberi insentif, mengutip mengecilkan masalahnya. Reporter yang mencoba untuk mendapatkan pembaca dilatih untuk melebih-lebihkan masalah, ke poin Anda, setiap bagian dari perangkat lunak utama dalam hidup Anda jika dikelola dengan benar, dan memperhatikan memiliki kerentanan yang ditemukan dari waktu ke waktu, dan segera menambal kerentanan tersebut. Dan saya pikir poin lain yang saya buat secara pribadi adalah bahwa WordPress tidak memiliki kerentanan publik yang diketahui saat ini yang belum ditambal dan begitulah cara saya memikirkannya. Saya sangat menyukai tempat ini. Dan saya juga suka bagaimana Anda menyebut bagaimana gaya naik mendekati bola ditemukan di sana. Dan, Anda tahu, saya pikir ada banyak tanggung jawab untuk banyak penyedia yang sangat baik dalam sistem. Mereka melakukan pekerjaan yang sangat baik dalam mengelola telepon ketika mereka dilaporkan kepada mereka dengan cara yang bertanggung jawab. Apakah suara Anda atau apa pun yang Anda tambahkan ke dalamnya,

RC: omong-omong, saya PodOmatic. Mereka telah melakukan pekerjaan yang luar biasa dalam menambal kerentanan. Saya tahu kami memiliki rilis 5.9 baru-baru ini. Dan ketika 5,9 poin satu keluar minggu lalu, itu hanya rilis pemeliharaan. Bahkan tidak ada perbaikan keamanan dalam rilis itu. Jadi pujian dan saya pikir otomatis menangani keamanan dengan cukup serius. Jadi ya, ruang yang bagus.

DV : Eksposur saya ke tim itu adalah memiliki banyak orang di dalamnya. Dengan suka, saya akan mengatakan pengalaman keamanan tingkat perusahaan. Dalam paparan saya. Mereka tentu saja mengikuti praktik terbaik seputar pengungkapan yang bertanggung jawab yang berkembang menanggapinya. Dan tidak hanya saya akan mengatakan tim inti WordPress, tetapi saya akan mengatakan juga tim plugin WordPress, dan bagaimana mereka mengelola kerentanan, bagaimana mereka memikirkan tanggal barang, bagaimana mereka berkomunikasi dengan penulis, bagaimana mereka mengeluarkan plugin dari repo jika mereka tidak ditambal. Saya tidak tahu seperti, saya tidak tahu apakah Anda sudah sedalam itu. Tapi ini adalah hal-hal yang menonjol bagi saya.

RC : Saya memiliki sebuah Saya sebenarnya baru-baru ini berdiskusi dengan Proteus fetcher, arsitek Gutenberg yang terlalu lemah dan dia mengatakan timnya menganggapnya sangat, sangat serius. Jadi saya pikir siapa pun yang berpikir mereka tidak, saya tidak berpikir mereka cukup di Mark. Sejujurnya. Saya pikir mereka menganggapnya serius. Mereka mendengarkan. Dan mereka mengungkapkan secara tidak tepat.

DV: Ya, rasanya seperti banyak hal negatif yang muncul di sana adalah Anda tahu tajuk sensasional semacam itu yang ditafsirkan orang dengan cara yang salah, tetapi, dan saya menemukan sebagian besar, sebagian besar penulis sebenarnya, suka mendeskripsikan secara akurat apa yang sedang terjadi. Hanya saja judulnya benar-benar menakutkan untuk dibaca dan itu adalah kumpulan target keamanan dan perangkat lunak. Dan begitulah cara itu akan selalu berhasil. Itulah caranya. Jadi saya ingin masuk ke beberapa praktik yang lebih spesifik, terutama gagasan keamanan melalui ketidakjelasan. Tapi kita akan istirahat dulu, kita akan segera kembali. Untuk menyambungkan ke jeda iklan. Menantikan untuk lebih tekan ini hanya dalam beberapa saat. Semua orang dipersilakan kembali untuk menekan podcast komunitas WordPress ini di W EMR. Ini adalah tuan rumah Anda David Vogel. Paulus. Saya mewawancarai Rob Curtis dari media digital yang menakjubkan tentang mengunci build WordPress Anda. Rob tepat sebelum jeda, kami berbicara sedikit tentang keamanan bawaan WordPress bagaimana tim inti menanganinya bahkan orang-orang di dalam seperti, katakanlah tim plugin, tetapi saya ingin beralih sekarang untuk membangun topik tamu. Anda tahu, beberapa orang sering akan mengandalkan gagasan keamanan melalui ketidakjelasan, seperti tidak ada yang dapat menemukan hal ini siapa yang peduli bahwa itu tidak dikunci? Saya tahu bahwa Anda bukan penggemar berat itu. Tapi seperti mengapa dan membantu orang mengerti. Kenapa tidak.

RC: Secara pribadi, saya pikir dua hal dengan ketidakjelasan banyak orang ingin Anda mengubah dan WordPress, tabel awalan database mereka, dan mereka suka mengubah back end login mereka. Dan saya pikir itu hanya riasan jendela yang mewah. Pada akhir hari. Saya tidak berpikir mereka melakukannya Saya pribadi, sebagian besar peretas memiliki alat yang dapat memindai situs dan mengetahui backend semuanya menggunakan skrip atau mencari tahu tabel database. Jadi maksud saya, saya tidak berpikir hal-hal seperti itu benar-benar penting pada akhirnya. Jika itu membuat Anda merasa kompeten secara mental atau lebih baik. pergi melakukannya. Tetapi pada akhirnya, saya tidak berpikir itu memberikan banyak untuk klien Anda atau pengguna akhir.

DV: Ya, itu adalah alat penemuan yang digunakan oleh aktor jahat yang Anda tahu, bahkan jika Anda mengaburkan, itu belum tentu seperti mencapai tujuan. Saya ingat, di masa lalu saya kira itu pasti akhir 90-an saya mendapat akun hosting web gratis dengan pekerjaan dan saya ingat mengunggah kartu kredit saya ke sana untuk penyimpanan. Dan aku seperti, tidak ada yang tahu alamatnya. Tapi perbedaannya besar. Dan saya ingat dipermalukan cukup cepat oleh beberapa rekan kerja saya di sekitar itu. Jadi itu adalah pelajaran yang saya pelajari saat itu. Oke, jadi itu poin bagus tentang keamanan melalui ketidakjelasan dan bagaimana aktor jahat dapat menggunakan, Anda tahu, berbagai perangkat mereka untuk menumbangkan itu. Anda tahu, saat saya melihat, Anda tahu, keamanan dan Anda membicarakan hal ini, saya pikir sedikit lebih awal, tetapi Anda tahu, banyak orang membicarakan, Anda tahu, orang-orang di organisasi Anda menjadi risiko terbesar bagi keamanan Anda . Bagaimana Anda mengatasinya? Dengan hal-hal seperti kebijakan kata sandi atau pendekatan lain dalam build WordPress Anda.

RC: Jadi hal pertama yang ingin saya lakukan adalah, terutama untuk akun admin untuk mengatakan, kata sandi yang kuat dan kompleks, saya selalu menyarankan orang menggunakan pembuat kata sandi, jangan simpan, gunakan kata sandi yang ada di kamus. Saya pikir itu ide yang sangat buruk. Buatlah selama mungkin dan orang-orang akan berkata, Oh, saya tidak ingat itu. Nah, saat itulah Anda perlu meluangkan waktu dan mendapatkan pengelola kata sandi, pilih satu LastPass, satu bit kata sandi Warden, itulah sebabnya Pengelola Kata Sandi memilih untuk menemukan yang cocok untuk Anda. Dan mulailah menggunakan kata sandi rumit yang tidak Anda gunakan di tempat lain. Dan jika Anda tidak percaya bahwa ada situs yang benar-benar bagus bernama jika Anda telah digadaikan di luar sana dan apa yang akan dilakukannya adalah memberi tahu Anda alamat email dan kata sandi Anda telah ditemukan di tempat lain di internet dalam kerentanan yang diketahui sehingga dapat sandi mengamankan kombinasi angka dan huruf dan, Anda tahu, karakter khusus dan melakukan semua hal itu. Dan saya tahu orang-orang mengharapkan ini semua sebelumnya, tetapi saya tidak berpikir cukup banyak orang yang melakukannya

DV: seperti relatif terhadap tagihan, lalu seperti dari perspektif konfigurasi, Anda berpikir untuk memaksakan kata sandi yang kuat tetapi sepertinya Anda juga memikirkan pelatihan sebagai bagian dari ini seperti Anda melatih mereka yang akan menggunakan situs Anda 'telah dibangun di atas sandi yang tepat. Praktek.

RC: Tidak ada pertanyaan tentang itu dan menggunakan perangkat lunak untuk memaksa dan juga mengubah kata sandi admin itu secara teratur. Saya biasanya memaksa mereka untuk diganti setiap 90 hari. Itulah yang mereka lakukan di dunia korporat dan ada alasan untuk itu. Dan saya pikir itu ide yang bagus di situs WordPress.

DV: Oh, menarik. Anda tahu, mendengar beberapa revisi baru-baru ini yang tidak direkomendasikan, tapi saya bukan ahlinya. Jadi saya tidak akan meminta Anda di sana. Tapi saya pikir itu adalah praktik yang jelas-jelas bagus. Saya sangat suka memperkuat dengan orang-orang. Dia menggunakan kata sandi unik per situs. Dan omong-omong, Rob, apakah Anda seorang gamer?

RC : Dulu saya tidak bermain game sebanyak hari ini karena terus terang, pada akhirnya jika saya mulai bermain saya akan terserap dalam

DV : oke, keren. Jadi itu benar-benar memikirkannya dari perspektif kata sandi sebagai menegakkan kebijakan yang kuat, tetapi kemudian juga melatih pengguna Anda. Apakah ada hal lain dalam pelatihan atau sisi lain yang membatasi risiko?

RC: Orang tidak memberikan peran orang di dasbor WordPress. Mereka tidak makan sehingga seseorang hanya akan melakukan posting blog tidak memberinya peran admin, tidak peduli seberapa banyak mereka berteriak dan perlu disebutkan bahwa WP Engine memiliki plugin program CMS label putih yang sangat bagus yang pernah saya gunakan sering kali adalah jika seseorang menyebar untuk hak admin, dan saya tahu saya tidak ingin mereka memiliki akses ke bagian itu, semua memasang label putih CMS oleh WP Engine dan menguncinya dari bagian-bagian tertentu dari situs web. Jadi benar-benar memberi orang apa yang mereka butuhkan. Tidak semuanya. Dan itu masalah besar juga.

DV : Ya, saya tidak terbiasa dengan plugin ini. Aku harus pergi melihat-lihat. Jadi menurut Anda bekerja di sini saya tahu Anda yakin kita yang berhasil? Saya kira demikian. Oke, salah. Tetapi poin kuncinya di sini adalah membatasi peran admin. Dan saya memantau berbagai tulang di repo plugin WordPress. Dan, seperti banyak kerentanan yang dilaporkan adalah kerentanan skrip lintas situs. Ya, dan banyak dari mereka yang terbatas pada peran admin dan pembuat plugin akan sering bereaksi dengan baik, hanya admin yang memiliki akses itu, siapa yang peduli? Dan Anda agak menunjukkan bahwa ada beberapa pengguna yang mungkin Anda percayai, tetapi mungkin Anda tidak mempercayai mereka di tingkat perangkat lunak.

RC : Jangan bercanda. Saya punya satu klien sekarang bahwa saya tidak akan memberikan peran admin stafnya jika hidup saya bergantung padanya, karena saya tahu apa yang akan terjadi. Jadi saya hanya, saya hanya mengatakan tidak.

DV : Ya, dan itu dalam pemikiran Anda seperti, yah, ini adalah situs mereka, siapa yang peduli dengan apa yang mereka lakukan, saya kira, Anda tahu, selalu ada kiasan klien yang melanggar wawasan mereka. Tapi seperti, dengan izin yang ditingkatkan itu, ketika mereka masuk, hal-hal seperti kerentanan skrip lintas situs dapat memainkan peran yang lebih besar. Jadi untuk pengguna pemula ini, dengan memotongnya dengan akses yang Anda berikan, dalam peran mereka dalam peran pengguna mereka, Anda membantu menurunkan risiko itu bagi mereka sebagai klien.

RC: Ya, sangat benar. Dan Anda sebenarnya membantu mereka, bukan merugikan dalam jangka panjang.

DV: Tentu. Saya kira Anda mungkin memberi mereka beberapa seperti, Anda tahu, oke, inilah admin yang sebenarnya tetapi jangan pernah masuk ke dalam hal lain semacam ini. Jelas, saya tidak suka mengunci mereka dari wawasan mereka.

RC: Dan hal lain yang harus dilakukan juga adalah jika itu adalah wawasan yang sangat tinggi, saya memiliki beberapa wawasan tinggi yang menginstal otentikasi dua faktor, yang juga membantu selain kata sandi, maka mereka memerlukan aplikasi di smartphone atau sesuatu yang lain untuk masuk dan itu menguncinya bahkan satu langkah lagi. Jadi itu bagian yang sangat besar menurut saya tentang keamanan kata sandi.

DV: WP Engine dan beberapa host lain melakukan ini. Kami memiliki seperti, pada dasarnya satu tanda pada solusi yang dapat Anda lompati di antara penekanan kata Anda. Tapi itu juga menggabungkan bagian besar dari dua faktor untuk alasan Anda meletakkannya. Saya tidak percaya kami tidak membicarakannya sebelumnya sebagai bagian besar dari kata sandi. Disebutkan dengan baik Baiklah, izinkan saya mengganti persneling sedikit. Jadi seperti yang Anda pikirkan, Anda tahu, bereaksi terhadap pembaruan WordPress, PHP, dan plugin. Bagaimana menurut Anda tentang seperti strategi Anda untuk melakukan itu dengan cara yang Anda rasa menempatkan Anda pada peluang terbaik untuk sukses dengan keamanan?

RC: Pertama-tama, sebelum Anda melakukan pembaruan besar apa pun, ambil cadangan. Jangan mengandalkan host Anda, ambil satu menggunakan plugin WordPress. Tambang pilihan Updraft Plus Pro sekarang jadi itulah yang harus Anda lakukan untuk mengambil cadangan. Juga, uji cadangan Anda sebelum Anda membutuhkannya. Jangan menunggu sampai Anda perlu membuat cadangan cadangan, satu-satunya yang baik adalah kemampuan untuk memulihkan. Ini diuji di situs pementasan atau kotak pasir demonstran sebelum Anda membutuhkannya secara teratur.

DV: Ini adalah poin yang bagus karena seperti Anda bisa membuat cadangan sesuatu bisa salah dan Anda mengandalkan itu dan kemudian tiba-tiba itu buruk kembali.

RC: Saya juga pernah melihat hal itu terjadi. Banyak. Tentu. Aku pernah disana. Kita semua pernah ke pagi hari saat harus bangun jam 6 pagi Ya. Hal lainnya adalah, saya biasanya melakukan pembaruan inti. Jadi itu adalah pembaruan WordPress sendiri dengan cukup baik segera setelah mereka keluar. Saya penggemar berat mendapatkan pembaruan terutama untuk perbaikan keamanan di pembaruan. Banyak pembaruan di antara pembaruan yang cenderung saya lakukan lebih cepat daripada nanti. Dalam hal plugin, dia cukup memperhatikannya. Jadi misalnya, maksud saya Anda harus memastikan tidak ada dependensi yang diketahui di mana satu plugin tidak cocok dengan plugin lain. Kita semua pernah melihat itu. Lakukan Kerjakan pekerjaan rumah Anda sebelumnya jika Anda harus melakukan beberapa pengujian di kotak pasir, lakukan itu.

DV: Jadi saya agak seperti pergi ke depan. Saya akan mengatakan seperti, saya pikir poin pengujian sangat menonjol. Jadi saya berpikir, seperti ketika Anda melihat rilis, dan Anda berpikir seperti, Apakah rambut saya terbakar atau tidak? Saya agak penasaran, seperti, bagaimana pendapat Anda tentang menafsirkan hal-hal seperti catatan rilis. Saya ingin mendapatkan pemikiran Anda tentang itu. Kami akan mengambil istirahat terakhir kami dan kami akan segera kembali. Saatnya masuk ke jeda iklan. Menantikan untuk lebih tekan ini hanya dalam beberapa saat. Semuanya dipersilakan kembali untuk menekan podcast komunitas WordPress ini di W Mr. Kami sedang membicarakan tentang mengunci build WordPress Anda dengan Rob Curtis. Rob, tepat sebelum istirahat. Kami berbicara sedikit tentang strategi Anda dalam mengelola pembaruan WordPress, PHP, dan plugin. Dan saya agak menyinggung pertanyaan saya berikutnya, seperti, bagaimana Anda tahu ketika Anda melihat rilis keluar dengan keamanan yang mungkin disebutkan dalam catatan rilis bahwa itu adalah hal yang harus Anda khawatirkan, kan, kedua atau apakah Anda punya sedikit waktu?

RC: Ya, apa yang biasanya saya lakukan dengan rilis adalah di komunitas WordPress, sebagian besar rilis memiliki kandidat rilis, dan kemudian mereka akan melakukan versi beta dan kemudian mereka akan merilis. Sekarang dengan rilis kecil, mereka hanya mengeluarkan rilis besar. Mereka sebenarnya memiliki pesta rilis di Slack di mana mereka melakukan beberapa pengujian akhir, dan saya telah melalui beberapa pesta rilis tersebut dan mereka cukup menarik. Yang saya sarankan adalah membaca sebanyak mungkin dari wordpress.org. Membaca sebanyak mungkin tentang merilis kandidat tetapi juga membaca sumber pihak ketiga dan beberapa yang besar adalah hal-hal yang mereka keluarkan dari blog keamanan reguler. Baca sedikit tentang beberapa hal di WordFence mereka mengeluarkan beberapa informasi yang sangat bagus. Dan bahkan tempat-tempat seperti Hacker News dan Search Engine Journal dan tempat-tempat seperti itu. Mereka berbicara sedikit tentang apa yang akan dirilis dan itu penting karena semakin Anda terdidik, semakin baik Anda dapat menanganinya, jadi saya pikir sumber pengetahuan benar-benar ada dalam kasus ini,

DV: Apakah Anda menggunakan hal-hal seperti WP DB sebelumnya untuk menganalisis berbagai patch keamanan yang masuk ke plugin atau tema Anda atau apa pun.

RC : Ya, pernah dan saya bahkan menggunakan situs pihak ketiga seperti keamanan untuk melakukan pemindaian. Jadi saya mengambil pendekatan untuk Menganalisis, berbicara dengan orang-orang, mendengarkan, Anda harus bersungguh-sungguh. Ada banyak hal untuk membantu dan saya pikir itu semua adalah alat yang berguna.

DV: Jadi sebuah tambalan akan keluar pada dasarnya Anda menjadi sadar bahwa itu akan keluar, Anda meneliti apa yang ada di dalam tambalan itu dan apa yang ditanganinya. Dan kemudian saya menebak dari sana, Anda mencoba untuk mencari tahu berapa banyak risiko yang Anda bawa dalam hal seperti berapa banyak waktu dan energi yang akan Anda masukkan ke dalamnya sekarang. Jadi seperti saya menyebutkan volume skrip lintas situs yang terhubung ke akun admin. Seperti jika situs Anda adalah satu-satunya admin, saya rasa Anda mungkin tidak ingin segera memperbarui. Tetapi jika Anda memiliki lusinan admin, maka Anda seperti, oh, saya tidak tahu apa yang mereka lakukan. Dan jadi Anda mungkin lebih mendesak apakah itu adil? Tapi bagaimana menurutmu?

RC: Um, ya dan tidak. Dan alasannya adalah dan untuk beberapa pandemi dimulai, kita semua tahu para peretas bosan di rumah. Jadi saya biasa melakukan pembaruan keamanan untuk klien seminggu sekali. Biasanya pada hari Sabtu atau Minggu. Percaya atau tidak, saya melihat situs web dan sisi keamanan sekarang tiga kali seminggu. Karena saya mencoba untuk mengurangi risiko. Dan dengan semua peretas di rumah dan bosan, dan sekarang apa yang terjadi di Ukraina, saat kami mencatat ini, ruang keamanan adalah ruang yang sangat sulit saat ini. Jadi saya pikir Anda benar-benar harus meningkatkan pengetahuan Anda dan apa yang Anda lakukan alih-alih meningkatkannya, dan saya pikir itu sangat penting.

DV : Ya, saya melihat apa yang Anda katakan adalah sikap yang lebih agresif di sana, terutama dengan semua risiko yang terikat. Oke, jadi pertanyaan selanjutnya. Menurut Anda, peran apa yang dimainkan oleh hosting dalam pendekatan keamanan Anda?

RC: Saya suka pertanyaan itu. Karena kebanyakan orang tidak menganggap tuan rumah itu penting dan saya bebas dari Anda mengatakan Tuan rumah Anda adalah mitra Anda dalam bisnis yang tidak hanya Anda pekerjakan. Dan maksud saya Anda perlu melakukan penyelidikan dan melihat jenis rencana apa yang Anda lakukan. Jadi, apakah Anda pertama kali menemukan batu selalu memiliki yang terbaik apa yang menjadi reputasi host dan melihat apa yang mereka lakukan dari perspektif keamanan di firewall mereka di ujung mereka untuk membantu Anda pemilik situs web dari perspektif mereka, beberapa host dan saya tidak akan memanggil mereka berdua melakukan pekerjaan yang sangat baik dan beberapa host melakukan pekerjaan yang sangat luar biasa. Saya pikir Anda harus melihat hal-hal itu dan memperlakukannya sebagai pasangan Anda.

DV: itu poin yang pasti adil. Karena mereka bekerja untuk kita. Saya pasti setuju dengan beberapa poin itu. Saya pikir salah satu hal yang menggembirakan yang saya lihat di komunitas WordPress hanyalah berbagai macam host yang berpartisipasi dalam percakapan keamanan seputar memastikan situs WordPress dikunci. Tapi ya, tingkat kedalaman pasti adalah hal besar yang berkembang. Saya sebenarnya memantau saluran Slack internal yang dipantau oleh tim keamanan kami yang kami gunakan untuk mengirim email peringatan kepada pelanggan kami, ketika mereka memiliki plugin dengan tulang. Jadi ya, kami pasti akan bekerja lebih keras di sana. Ini sangat menarik, Rob, saya pikir kita mungkin bisa berbicara sepanjang hari, tapi kita akan segera berakhir di sini. Terima kasih banyak telah bergabung dengan kami hari ini.

RC: Kesenangan saya sangat menyenangkan, David dan saya harap ini membantu lebih banyak orang

DV: Ya, saya pikir begitu. Ada beberapa poin bagus yang Anda berikan hari ini dan saya benar-benar menikmati percakapan dan semua orang yang mendengarkan ingin mempelajari lebih lanjut tentang apa yang Rob lakukan, Anda dapat mengunjungi StunningDigitalmarketing.com Terima kasih telah mendengarkan podcast komunitas Press This WordPress di WMR. Ini telah menjadi tuan rumah Anda David Vogelpohl. Saya mendukung komunitas WordPress melalui peran saya di WP Engine dan saya senang memberikan yang terbaik dari komunitas kepada Anda di sini setiap minggu di Press This.