WordPressの専門家とセキュリティに関するIvicaDelicへのインタビュー
公開: 2019-09-05これまでのところ、アプリケーションとWordPressのセキュリティを理解して作業している人々にのみインタビューを行ってきました。 私たちは常にベンダーの声を聞いてきました。 ただし、このインタビューでは、別のアプローチを採用しました。 WordPressの専門家であるIvicaDelicにセキュリティについてインタビューしました。 このインタビューの範囲は、おそらくセキュリティがチームの一員ではないWordPressの専門家が、セキュリティ製品とサービスをどのように見て理解するかをよりよく理解することです。 このインタビューは、私たちがどこを改善できるか、そしてこれらの専門家が顧客のWebサイトを安全に保つために何をしているのかを理解するのにも役立ちます。
インタビュー
Q1:新しいWordPress Webサイトをセットアップするときに実装/従う最初の5つのセキュリティのベストプラクティスは何ですか?
1つ目は、信頼性の高いWordPressホスティングを選択することです。 私は多くのウェブホストと仕事をしてきました、そして多くの良いものがあります。 私はほとんどの仕事にSiteGroundを使用しています。
2番目のベストプラクティスは、適切なバックアップ戦略を実装することです。 BlogVaultなどのオンラインサービスを可能な限り使用しています。 これにより、バックアップをオフサイトで安全な場所に保存できます。
次に、WordPressのセキュリティツールとプラグインをいくつかインストールします。 私は常に、すべてのお客様に対するWebサイトの防御の最後の行として、MalCareとWPアクティビティログをお勧めします。
残りの2つのベストプラクティスは、ユーザーへの推奨事項です。 一意で強力なWordPressパスワードを使用し、WordPressコア、テーマ、プラグイン、PHP、およびWebサーバーとコンピューター上のすべてのソフトウェアを常に最新の状態に保ちます。 可能であれば、ウイルス対策/マルウェア対策ソフトウェアを使用してください。
Q2。 WordPressのセキュリティプラグインとサービスは、実装と使用が簡単だと思いますか?
過去数年間、多くのセキュリティプラグインとツールをテストしてきました。 実装と使用が非常に簡単なものもあります。 ただし、他のいくつかは使用が非常に難しく、善よりも害を及ぼしています。 それらはユーザーが決定するために多くを残します、しかし、ユーザーと専門家の大多数はセキュリティに精通していません。 そのため、これらのプラグインは圧倒的であり、最終的にWebサイトを保護しすぎたり保護しすぎたりします。
多くの場合、ユーザーは複雑なセキュリティプラグインを誤って構成します。 たとえば、セキュリティプラグインによって自分のウェブサイトからロックアウトされたり、ホットリンクされたすべての画像が読み込まれなくなったりします。 または、ファイル整合性監視機能を備えた一部のセキュリティプラグインは、ログファイルの変更が悪意のある可能性があることを報告します。 ユーザーは、たとえばログファイルの変更が悪意のないものではないことや、ホットリンクされたイメージが機能しない理由を理解していないため、このことにパニックに陥ります。
Q3。 セキュリティプラグイン/製品/サービスを実装または使用するときに遭遇した最大の課題/困難はどれでしたか?
前の質問に関連して、私が個人的に遭遇した最大の課題は、顧客のWebサイトで使用されているセキュリティツールをテストおよびチェックする必要があることです。これは、私がよく知らない可能性があります。 お客様のWebサイトの管理を引き継ぎ、機能が重複することなく、すべてのセキュリティソリューションが適切に連携することを確認する必要がある場合があります。 サイトの管理者をブロックするなどの望ましくない動作を回避するために、それらの間に互換性の問題がないことを確認する必要があります。
Q4。 WordPressのセキュリティについて学ぶためにセキュリティWebサイトをフォローしていますか、それとも専門家に任せていますか? それとも両方のビットですか?
私は、多くのWPセキュリティ専門家が投稿しているいくつかのWordPressセキュリティFacebookグループのメンバーおよび管理者です。 私は、関連するすべてのセキュリティニュースと、セキュリティに関する実践的なアドバイス/ベストプラクティスをフォローして読みます。 しかし、感染したサイトをクリーンアップするという複雑なタスクは(まだ)習得できませんでした。 そのような状況では、私は専門家に頼っています。
Q5。 オンラインのWordPressファイアウォールサービスを使用しますか、それともサイトにWordPressファイアウォールプラグインをインストールしますか? 理由を説明。
オンラインのWordPressWeb Application Firewall(WAF)サービスを使用することを好みます。 すべての専門家は、WAFはハッカーやDDoS攻撃に対するセキュリティのはるかに優れた層であると述べています。 WAFは、サイトに到達する前に悪意のあるものを検出してブロックすることができます。 残念ながら、WordPressプラグインは、内部からWebサイトを防御しようとしているため、これを提供できません。
Q6。 あなたの意見では、WordPressサイトがハッキングされる理由のトップ3はどれですか?
私は他の多くの専門家と同じ意見を共有しています。
- 安全でないウェブサイトホスティング、
- 弱くて推測しやすいパスワードの使用、
- 古いWordPressコア、テーマ、プラグイン、PHPおよびその他のソフトウェア。
私が余分なヒントを追加してもかまわない場合、あなたがあなたのウェブサイトとビジネスを気にするなら、nullのプラグインとテーマをインストールしないでください。
Q7:WordPressのセキュリティ業界/ベンダーは、セキュリティが一杯ではないあなたのようなより多くの専門家を支援し、顧客のWebサイトをよりよく理解して保護するために何ができると思いますか?
要するに、彼らはそれをユーザーにとってはるかに簡単にする必要があります。 彼らはこれを行うことができます:
- セキュリティツールをより簡単かつ迅速に実装するために、より多くのウィザードを作成します。
- 「ベストプラクティス」を自動的に実装するため、ユーザーが行うことはあまりありません。
- 警告システムを実装して、機能が重複している同じサイトにいくつかのセキュリティツールがインストールされている場合、ユーザーに問題について通知します。
Q8。 デフォルトでWordPressコアに含まれるセキュリティ機能を1つ選択できるとしたら、それは何で、その理由は何ですか?
WordPressに含まれているWebアプリケーションファイアウォール(WAF)サービスに、Windows DefenderがプリインストールされているWindowsの場合と同様に、少なくとも基本的なセキュリティ保護レイヤーが含まれていることを確認したいと思います。
Q9。 セキュリティベンダーや専門家からもっと見てもらいたい特定の主題やコンテンツはありますか?
セキュリティが侵害された場合に、特に日常の状況で何をするかを説明する、初心者向けの実際のユースケースをもっと見てみたいと思います。 そこにはかなりの数がありますが、それらのほとんどは高度なセキュリティ担当者を対象としています。 彼らは複雑な用語とツールを使用しています。
Q10。 WordPressのセキュリティニュースを最新に保つことができると思いますか? そうでない場合、問題は何だと思いますか?
はい、これらすべての年月を経て、私はそれのコツをつかんだとかなり自信を持っています。 セキュリティツールコンボボックスをテストして慎重に構築し、チームの全員がセキュリティのベストプラクティスに従っていることを確認するには、かなりの時間がかかりました。