이것을 누르십시오: 잘 자. Rob Cairns와 함께 오늘 WordPress 빌드 잠금

게시 됨: 2022-03-09

WMR의 WordPress 커뮤니티 팟캐스트 Press This에 오신 것을 환영합니다. 여기 호스트 David Vogelpohl이 커뮤니티 주변의 게스트와 함께 WordPress 개발자가 직면한 가장 큰 문제에 대해 이야기합니다. 다음은 원본 녹음의 필사본입니다.

Powered by RedCircle

David Vogelpohl: 안녕하세요. WMR의 WordPress 커뮤니티 팟캐스트 Press This에 오신 것을 환영합니다. 저는 귀하의 호스트인 David Vogelpohl입니다. 저는 WP Engine에서 제 역할을 통해 WordPress 커뮤니티를 지원합니다. 매주 언론에서 들을 수 있는 최고의 커뮤니티를 여러분에게 전하는 것을 좋아합니다. , 또는 iTunes, iHeartRadio, Spotify에서 이를 누르거나 wmr.fm에서 최신 에피소드를 다운로드하도록 구독할 수 있습니다. 이 에피소드에서는 보안, 특히 WordPress 빌드를 잠가서 잠을 잘 자고 있는 것에 대해 이야기할 것입니다. 그리고 그 대화를 위해 오늘 우리와 합류했습니다. Press This, Rob Cairns에 오신 것을 환영합니다. 롭, 환영합니다.

Rob Cairns: David, 고마워요. 그리고 저를 가져주셔서 감사합니다. 감사합니다.

DV: 네, 여기에 오게 되어 매우 기쁩니다. 듣는 사람들을 위해. Rob은 디지털 마케팅 분야에 있으며 오랫동안 WordPress 사이트를 구축하고 최적화해 왔습니다. 이 에피소드에서 Rob이 다룰 내용은 최상의 접근 방식에 대한 그의 견해입니다. WordPress 사이트를 잠그기 위해 Rob은 모호함을 통한 보안에 대한 자신의 생각을 공유할 것입니다. 좋은 생각인가요? 나쁜 생각, 비밀번호에 대한 고려 사항 및 사용자가 WordPress 및 PHP를 업데이트하는 시기 등 훨씬 더. Rob이 오늘 여기에서 이야기를 하게 되어 정말 기쁩니다. 그의 증권은 오늘날 많은 사람들의 마음을 사로잡고 있습니다. 세상에서 일어나는 모든 일과 일반적으로 웹 보안과 관련되어 있습니다. 이것은 사람들이 디지털 경험을 보호하는 방법에 대해 생각하고 있는 매우 시기적절한 에피소드라고 생각합니다. Rob, 다른 모든 손님에게 했던 것과 같은 첫 번째 질문을 할게요. WordPress의 기원에 대해 간단히 말씀해 주시겠습니까? 워드프레스를 처음 사용한 때는 언제였습니까?

RC: 물론 이죠. David, 제가 해야 할 일은 당신을 조금 뒤로 데려가는 것입니다. 나는 약 20년 전, 125년 전에 도메인을 등록했고 내가 준 이유 중 하나는 사람들이 옷을 갈아입는 것보다 내가 이메일 주소를 더 많이 바꾼다고 가족들이 불평하곤 했던 무료 이메일 때문이었습니다. 그래서 도메인을 등록했습니다. 나는 기술 분야에서 일했기 때문에 정적 HTML 웹 사이트를 만들었습니다. 그리고 약 15년 ​​전에 저는 그 정적 웹사이트를 블로그로, 그리고 물론 WordPress의 제 관점으로 변형했습니다. 저는 약 12년 전에 의료계를 떠났습니다. 저는 기술 및 의료 분야에 있었고 그 다음에는 전일제로 웹사이트를 만들기 시작했습니다. 이것이 기본적으로 저의 기원 이야기입니다.

DV: 그러면 그가 HTML 사이트를 WordPress 블로그로 처음 변환한 해가 대략 몇 년인지 기억합니다.

RC: 오, 아마도 26/27일 것입니다. 26. 얼마 전까지 저는 WordPress의 얼리 어답터였습니다. 응.

DV: 네. 그래서 그것은 위젯과 단축 코드가 있고 WordPress를 블로그 플랫폼에서 일종의 웹 사이트 릴리스로 변환하는 시기에 맞았을 것입니다.

RC: 네, 저는 실제로 사용한 첫 번째 물건 중 하나입니다. 지난 몇 년 동안 정말 문제가 있었던 사람은 헤드웨이 테마가 제가 sage sign을 개발한 첫 번째 큰 테마 중 하나였으며 커뮤니티의 우리 모두는 역사 진전과 그곳에서 어떤 종류의 일이 일어났는지 알고 있습니다. 네, 정말 많은 일이 일어나고 있습니다. 그것은 지금 흥미진진한 다이아몬드였습니다. 흥미진진한 시간입니다.

DV: 훌륭합니다. 좋은 에피소드를 얻을 수 있게 해 주셔서 감사합니다. 진짜 빠른. 더닝 디지털 마케팅에 대해 간단히 말씀해 주시겠습니까?

RC: 예, 저는 캐나다 토론토 지역에서 마케팅 대행사를 운영하고 있습니다. 우리는 기본적으로 이메일 마케팅과 웹사이트 잠금의 두 가지 강점입니다. 제 말은, 지금 우리 고객의 대부분은 사람들이 해당 웹사이트를 보호하는 것에 대해 걱정하고 싶어하지 않는다는 것입니다. 이것이 우리가 하는 일의 기초입니다. 수년에 걸쳐. 클릭당 지불(Pay Per Click) 광고에서 디지털 캠페인에 이르기까지 모든 작업을 수행했으며 지난 번보다 범위를 좁혔습니다.

DV: 좋아, 좋아. 토론토에 있는 WordPress 커뮤니티에 친구가 너무 많습니까? 일이 열리면 가까운 곳에 있다는 소식을 듣고 기뻐하고 다음 WordCamp Toronto를 찾으러 갑니다.

RC: 우리는 몇 년 동안 토론토에 워드 캠프를 할 필요가 없었습니다. 그래서 나가서 사람들 좀 보고 싶어 죽겠어요. 정말 대단합니다.

DV: 네, 환상적인 도시였습니다. 나는 그것을 정말로 즐긴다. 그럼 이제 본론으로 넘어가겠습니다. 그래서 보안을 전문 분야로 생각할 때 보안에 집중하게 된 보안 사고가 있었습니까? 아니면 시간이 지남에 따라 발전한 보안 사고가 있었습니까? 아하 순간이나 경험 한 문제가 있습니까? 아니면 시간이 지남에 따라 더 발전된 것입니까?

RC: 음, 시간이 지나면서 발전했습니다. 저는 실제로 엔터프라이즈 서버에 대한 보안 배경 지식이 있습니다. 그래서 내가 Trumps의 가장 큰 병원 중 한 곳에서 의료 분야에서 일할 때 내가 보고 있던 것 중 하나는 이메일인 서버 또는 교환 서버의 보안으로 서버 팀을 어떻게 도울 수 있습니까? 당시 의료 교육을 받은 고객이 가장 큰 문제는 피싱 사기였습니까? 따라서 사람들이 링크를 클릭하면 보안 문서를 가져오면 안 됩니다. 그래서 보안에 대한 제 관심은 거기서부터 발전했습니다.

DV: 이것은 이메일 마케팅에 대한 귀하의 초점과 잠금 단점에 대해 많은 설명을 하고 있습니다. 예를 들어 서로 다른 분야인 것 같습니다. 하지만 귀하의 의료 배경, 해당 Exchange 서버에 대해 생각하고 의료 및 개인의 보안 측면에 대해 생각해보면 이해가 됩니다. 많은 의미가 있습니다. 이제 WordPress 측면으로 들어가 보겠습니다. 뉴스에서 많이 볼 수 있습니다. 7천만 개의 사이트에 취약점이 있습니다. 일부는 플러그인의 볼륨 때문입니다. 그러나 개인적으로 WordPress가 본질적으로 안전하다고 생각하는데 그렇다면 그 이유는 무엇입니까?

RC: 동의하고 WordPress 사이트를 신뢰하기 전에 Microsoft Windows에 보안 문제가 있다는 점에 동의합니다. Microsoft는 매달 패치 화요일에 패치를 발표하며 세계에서 가장 큰 비즈니스 운영 체제입니다. 따라서 제 주장은 패치나 보안 문제를 찾는 것이 아니라 이를 처리하는 방법이라는 것입니다. 그리고 제가 보고 싶은 것은 공급업체의 응답입니다. 따라서 실제 사례를 보면 최근 가장 큰 백업 프로그램 중 하나인 UpdraftPlus가 보안 분야에서 등장했으며 지난 몇 달 동안 많은 문제가 발생했습니다. 그러나 그들이 잘한 것은 보안 수정 사항을 모르는 사람들을 위해 즉시 패치를 발행하고 신속하고 적시에 처리했습니다. 그리고 그것은 나에게 더 중요합니다. 제 생각에는. 시장이나 프로세스의 40% 이상이 되면 보안 관점에서 사람들이 항상 관심을 갖게 될 것입니다. 이제 해커가 시간을 할애할 가치가 있기 때문입니다.

DV: 네, 좋은 점입니다. 나는 종종 소프트웨어 작성자가 문제를 경시하도록 장려하는 것과 같다고 생각합니다. 독자를 확보하려고 애쓰는 기자는 문제를 과장하도록 훈련받았습니다. 문제를 당신의 요점으로, 당신의 삶의 모든 주요 소프트웨어가 적절하게 관리된다면 주의를 기울이고 시간이 지남에 따라 취약점을 발견하고 해당 취약점을 신속하게 패치합니다. 그리고 개인적으로 언급한 또 다른 점은 WordPress에는 현재 패치되지 않은 알려진 공개 취약점이 없기 때문에 그렇게 생각한다는 것입니다. 나는 이 장소를 정말로 사랑한다. 그리고 나는 또한 상승기류가 공에 접근하는 방식이 그곳에서 발견되고 있다고 말하는 방식을 좋아합니다. 그리고, 제 생각에는 시스템에 정말 좋은 제공자들에게 많은 책임이 있다고 생각합니다. 그들은 책임감 있는 방식으로 그들에게 보고될 때 전화를 관리하는 일을 훌륭하게 수행합니다. 당신의 목소리나 당신이 그것에 추가할 무엇이든,

RC: 그건 그렇고, 저는 PodOmatic입니다. 그들은 취약점을 패치하는 놀라운 일을 해냈습니다. 최근에 5.9 릴리스가 있다는 것을 알고 있습니다. 그리고 지난 주에 5.9 point one이 나왔을 때, 그것은 단지 유지 보수 릴리스였습니다. 해당 릴리스에는 보안 수정 사항도 없었습니다. 따라서 자동은 보안을 매우 중요하게 생각합니다. 네, 좋은 공간입니다.

DV : 제가 그 팀에 대해 알게 된 사실은 많은 사람들이 소속되어 있다는 것입니다. 예를 들면 엔터프라이즈급 보안 경험이라고 할 수 있습니다. 내 노출에. 그들은 책임 있는 공개에 대한 모범 사례를 확실히 따랐습니다. WordPress 핵심 팀뿐만 아니라 WordPress 플러그인 팀, 취약점 관리 방법, 날짜에 대해 생각하는 방법, 작성자와 의사 소통하는 방법, 다음과 같은 경우 플러그인을 저장소에서 빼는 방법 그들은 패치되지 않았습니다. 나는 당신이 그것에 깊이 빠져 있는지 모르겠습니다. 그러나 이것들이 나에게 눈에 띄었습니다.

RC : 나는 실제로 최근에 Proteus fetcher와 토론을 했습니다. 그는 너무 약한 Gutenberg 설계자인 Proteus fetcher가 그의 팀이 그것을 매우, 매우 진지하게 받아들인다고 말했습니다. 그래서 제 생각에는 그들이 그렇지 않다고 생각하는 사람이 있을 거라 생각합니다. 제 생각에는 그들이 Mark와 상당히 일치한다고 생각하지 않습니다. 솔직히. 나는 그들이 그것을 심각하게 받아들이고 있다고 생각한다. 그들은 듣고 있습니다. 그리고 그들은 부적절하게 공개하고 있습니다.

DV: 네, 사람들이 잘못된 방식으로 해석하는 선정주의적인 헤드라인을 알고 계시지만 실제로 대부분의 작가들은 현재 진행 중인 일을 정확하게 설명하는 것처럼 보이는 부정적인 의견이 많습니다. 헤드라인은 정말 무서운 읽기이며 보안 및 소프트웨어의 대상 풀이라는 것입니다. 그리고 그것이 항상 작동하는 방식입니다. 즉,이 방법. 그래서 저는 좀 더 구체적인 관행, 특히 모호함을 통한 보안의 개념에 대해 알아보려고 합니다. 그러나 우리는 첫 번째 휴식을 취할 것이고, 곧 돌아올 것입니다. 광고 시간에 연결합니다. 잠시 후 이 소식을 더 많이 보도할 수 있도록 계속 지켜봐 주십시오. W EMR에서 이 WordPress 커뮤니티 팟캐스트를 누르기 위해 다시 오신 것을 환영합니다. 호스트 David Vogel입니다. 폴. 저는 WordPress 빌드 잠금에 대해 놀라운 디지털 미디어의 Rob Curtis를 인터뷰하고 있습니다. Rob은 휴식 시간 직전에 WordPress의 고유한 보안에 대해 이야기하고 있었습니다. 플러그인 팀과 같이 코어 팀이 이를 해결하는 방법에 대해 이야기했지만 지금은 게스트 주제를 만들기 위해 기어를 바꾸고 싶습니다. 어떤 사람들은 종종 은폐를 통한 보안의 개념에 의존할 것입니다. 마치 잠겨 있지 않은 것을 신경쓰는 이 물건을 아무도 찾을 수 없는 것처럼 말이죠. 나는 당신이 그것에 대한 열렬한 팬이 아니라는 것을 알고 있습니다. 하지만 이유처럼 사람들이 이해할 수 있도록 도와주세요. 왜 안 돼.

RC: 개인적으로, 많은 사람들이 당신이 변경하는 것을 좋아하고 WordPress, 데이터베이스 접두사 테이블을 변경하고 로그인 백엔드를 변경하는 것을 좋아하는 두 가지를 모호하게 생각합니다. 그리고 나는 그것들이 단지 멋진 창문 드레싱이라고 ​​생각합니다. 하루의 끝에서. 저는 개인적으로 그렇게 하지 않는다고 생각합니다. 대부분의 해커는 사이트를 스캔하고 백엔드가 모두 스크립트를 사용하고 있는지 또는 데이터베이스 테이블을 파악하는지 알아낼 수 있는 도구를 가지고 있습니다. 그래서 결국 그런 일은 별로 중요하지 않다고 생각합니다. 정신적으로 유능하거나 더 나은 느낌을 주는 경우. 가서 해. 그러나 결국, 나는 그것이 당신의 클라이언트나 최종 사용자에게 많은 것을 제공한다고 생각하지 않습니다.

DV: 예, 악의적인 행위자들이 사용하는 발견 도구라는 것을 알고 있습니다. 난독화하더라도 반드시 목표를 달성할 수는 없습니다. 기억합니다. 90년대 후반이었을 것 같아요. 직업이 있는 무료 웹 호스팅 계정을 얻었고 저장을 위해 신용 카드를 업로드했던 기억이 납니다. 그리고 주소는 아무도 모릅니다. 그러나 차이점은 큽니다. 그리고 주변에 있던 몇몇 동료들에게 꽤 빨리 수치를 당했던 기억이 납니다. 그래서 그때 배운 교훈이 있습니다. 알다시피, 그것은 불분명함을 통한 보안과 악의적인 행위자가 이를 전복하기 위해 다양한 툴킷을 사용할 수 있는 방법에 대한 좋은 요점입니다. 제가 볼 때 보안에 대해 말씀하셨는데요. 조금 더 일찍 생각하지만 많은 사람들이 조직 내 사람들이 보안에 가장 큰 위협이 된다고 이야기합니다. . 어떻게 해결합니까? WordPress 빌드 내의 비밀번호 정책 또는 기타 접근 방식과 같은 것들.

RC: 그래서 제가 가장 먼저 하고 싶은 일은 특히 관리자 계정, 예를 들어 강력하고 복잡한 비밀번호의 경우 저는 항상 사람들에게 비밀번호 생성기를 사용하고 사전에 있는 비밀번호를 저장하지 말라고 제안합니다. 정말 나쁜 생각인 것 같아요. 가능한 길게 하면 사람들이 "아, 그건 기억이 안 나요."라고 말할 것입니다. 글쎄, 그 때 시간을 보내고 암호 관리자가 하나의 LastPass 하나의 암호 비트 Warden을 선택하도록 해야 할 때입니다. 이것이 암호 관리자가 귀하에게 적합한 암호를 찾기 위해 선택하는 이유입니다. 그리고 다른 곳에서는 사용하지 않는 복잡한 암호를 사용하십시오. 그리고 만약 당신이 거기에서 전당포로 전화를 받았을 때 호출되는 정말 좋은 사이트가 있다고 믿지 않고 그것이 하는 일은 당신에게 당신의 이메일 주소와 비밀번호가 알려진 취약점으로 인터넷의 다른 곳에서 발견되었다는 것을 알려주는 것입니다. 숫자와 문자, 특수 문자의 조합을 안전하게 비밀번호화할 수 있으며 이 모든 작업을 수행할 수 있습니다. 그리고 나는 사람들이 전에 이것을 모두 희망했다는 것을 알고 있지만 그렇게 하는 사람들이 충분하지 않다고 생각합니다.

DV: 청구서에 비해 구성의 관점에서 보면 강력한 암호를 적용할 생각을 하고 있지만 해당 사이트를 사용할 사용자를 교육하는 것처럼 교육도 이것의 일부로 생각하는 것처럼 들립니다. 적절한 비밀번호를 기반으로 구축되었습니다. 관행.

RC: 그것에 대해서는 의문의 여지가 없으며 소프트웨어를 사용하여 정기적으로 관리자 암호를 강제로 변경하기도 합니다. 저는 보통 90일마다 강제로 교체합니다. 그것이 그들이 기업 세계에서 하는 일이고 거기에는 이유가 있습니다. 그리고 WordPress 웹 사이트에서 좋은 생각이라고 생각합니다.

DV: 오, 흥미롭군요. 최근에 권장되지 않는 개정판을 들었지만 저는 전문가가 아닙니다. 그래서 나는 거기에서 당신에게 묻지 않을 것입니다. 그러나 나는 그것들이 분명히 건전한 관행이라고 생각합니다. 나는 사람들과 함께 강화하는 것을 정말 좋아합니다. 그는 사이트별로 고유한 비밀번호를 사용합니다. 그런데 Rob, 당신은 게이머입니까?

RC : 예전에는 요즘 게임을 많이 하지 않는 편이었어요. 솔직히 말해서 하루가 끝나면 게임에 빠져들어서

DV : 좋아, 좋아. 따라서 강력한 정책을 시행하고 사용자를 교육하는 것으로 비밀번호 관점에서 생각하는 것입니다. 위험을 제한하는 것과 관련하여 교육이나 다른 측면에서 다른 것이 있습니까?

RC: 사람들은 WordPress 대시보드에서 사람들에게 역할을 부여하지 않습니다. 그들은 먹지 않으므로 누군가는 블로그 게시물만 할 것입니다. 아무리 소리를 지르더라도 그에게 관리자 역할을 부여하지 않습니다. WP 엔진에는 내가 사용한 정말 좋은 화이트 라벨 CMS 프로그램 플러그인이 있다는 것을 언급할 가치가 있습니다. 여러 번 누군가가 관리자 권한을 위해 퍼뜨리는 경우이며, 나는 그들이 WP 엔진에 의해 화이트 라벨 CMS를 설치하고 웹사이트의 특정 부분에서 그들을 잠그는 해당 섹션에 대한 액세스 권한을 갖고 싶지 않다는 것을 알고 있습니다. 그래서 사람들에게 그들이 필요로 하는 것을 정말로 제공하십시오. 모든 것이 아닌. 그것도 큰일입니다.

DV : 예, 저는 이 플러그인에 익숙하지 않습니다. 이리저리 둘러봐야 겠습니다. 그래서 여기에서 일하는 것이 우리라고 확신한다고 생각하십니까? 그렇게 생각해요. 알았어, 틀렸어. 그러나 여기서 핵심은 관리자 역할을 제한하는 것입니다. 그리고 WordPress 플러그인 저장소에서 다양한 뼈대를 모니터링합니다. 그리고 보고된 많은 취약점과 마찬가지로 크로스 사이트 스크립팅 취약점입니다. 예, 그리고 그 중 많은 부분이 관리자 역할로 제한되어 있으며 플러그인 작성자는 종종 잘 반응합니다. 해당 액세스 권한이 있는 것은 관리자뿐입니다. 누가 신경을 쓰겠습니까? 그리고 당신은 당신이 그들을 신뢰할 수 있지만 소프트웨어 수준에서 그들을 신뢰하지 않을 수도 있지만 일부 사용자가 있다는 요점을 만들고 있습니다.

RC : 농담이 아닙니다. 내 인생이 그것에 달려있다면 나는 그의 직원 관리자 역할을 부여하지 않을 한 고객이 있습니다. 왜냐하면 나는 무슨 일이 일어날지 알기 때문입니다. 그래서 저는 그냥, 아니라고 말합니다.

DV : 예, 그리고 그것은 당신의 생각에 있습니다. 글쎄요, 그들이 무엇을 했는지는 누가 신경을 쓰는지 그들의 사이트입니다. 제 생각에는 항상 고객의 통찰력을 깨뜨리는 그런 종류의 비유가 있습니다. 그러나 이러한 상승된 권한으로 로그인할 때 사이트 간 스크립팅 취약점과 같은 것들이 더 큰 역할을 할 수 있습니다. 따라서 이 초보 사용자의 경우 사용자 역할에서 자신의 역할에서 부여한 액세스 권한을 잘라내어 클라이언트로서의 위험을 낮추는 데 도움이 되는 것입니다.

RC: 네, 정말 그렇습니다. 그리고 당신은 실제로 그들에게 호의를 베풀고 있는 것이지 장기적으로 해가 되는 것은 아닙니다.

DV: 물론입니다. 아마 당신이 그들에게 다음과 같은 것을 줄 것이라고 생각합니다. 알다시피, 여기 진짜 관리자가 있지만 로그인하지 마십시오. 이것은 다른 종류의 것입니다. 분명히, 나는 그들의 통찰력에서 그들을 잠그는 것을 좋아하지 않습니다.

RC: 그리고 또 다른 해야 할 일은 그것이 정말 높은 통찰력이라면 암호 외에 도움이 되는 2단계 인증을 설치한 높은 통찰력이 있고 그런 다음 스마트폰의 앱이나 다른 어떤 것이 필요하다는 것입니다. 그리고 그것은 한 단계 더 잠그는 것입니다. 그래서 암호 보안에 대해 생각하는 아주 큰 부분입니다.

DV: WP 엔진 및 일부 다른 호스트가 이 작업을 수행합니다. 우리는 워드 프레스 사이에서 일종의 바운스할 수 있는 본질적으로 단일 사인온 솔루션을 가지고 있습니다. 그러나 그것은 또한 당신이 그것을 넣은 바로 그 이유에 대한 두 가지 요소를 통합합니다. 나는 우리가 그것을 암호의 큰 부분으로 이전에 언급하지 않았다는 것을 믿을 수 없습니다. 좋은 언급 좋습니다. 제가 기어를 조금 바꿔보겠습니다. 따라서 WordPress, PHP 및 플러그인 업데이트에 대해 생각하는 것처럼 반응합니다. 보안으로 성공할 수 있는 최상의 기회를 제공한다고 생각하는 방식으로 이를 수행하기 위한 전략에 대해 어떻게 생각하십니까?

RC: 우선, 주요 업데이트를 수행하기 전에 백업을 수행합니다. 호스트에 의존하지 말고 WordPress 플러그인을 사용하십시오. 지금 당장 Updraft Plus Pro를 선택해야 하므로 백업을 수행해야 합니다. 또한 백업이 필요하기 전에 백업을 테스트하십시오. 백업을 백업해야 할 때까지 기다리지 마십시오. 정기적으로 필요하기 전에 스테이징 사이트 또는 데모 샌드박스에서 테스트됩니다.

DV: 백업을 만들 수 있는 것처럼 뭔가 잘못될 수 있고 그것에 의존하다가 갑자기 백업이 잘못되었기 때문에 좋은 점입니다.

RC: 저도 그런 일이 일어나는 것을 보았습니다. 많이. 확신하는. 난 거기에 가본 적있어. 우리는 모두 아침 6시에 일어나야 하는 아침에 가본 적이 있습니다. 그래. 다른 한 가지는, 저는 보통 핵심 업데이트를 합니다. 그래서 그것들은 WordPress 자체 업데이트가 나오 자마자 꽤 잘 업데이트됩니다. 저는 특히 업데이트의 보안 수정 사항에 대한 업데이트를 받는 것을 매우 좋아합니다. 많은 업데이트가 업데이트 사이에 있습니다. 나는 나중에보다 빨리하는 경향이 있습니다. 플러그인 측면에서 그는 주변을 잘 살펴봐야 합니다. 예를 들어, 한 플러그인이 다른 플러그인과 잘 작동하지 않는 알려진 종속성이 없는지 확인해야 한다는 의미입니다. 우리는 모두 그것을 보았습니다. 샌드박스에서 몇 가지 테스트를 수행해야 하는 경우 미리 숙제를 하십시오.

DV: 그래서 저는 계속 가려고 합니다. 나는 테스트 포인트가 매우 두드러진다고 생각합니다. 그래서 저는 생각하고 있습니다. 예를 들어, 릴리스를 보고 여러분은 이렇게 생각합니다. 내 머리에 불이 붙었나요? 릴리스 노트 같은 것을 해석하는 것에 대해 어떻게 생각하는지 궁금합니다. 그것에 대한 여러분의 생각을 듣고 싶습니다. 우리는 마지막 휴식을 취하고 곧 돌아올 것입니다. 광고 시간에 연결할 시간입니다. 잠시 후 이 소식을 더 많이 보도할 수 있도록 계속 지켜봐 주십시오. W Mr.에서 이 WordPress 커뮤니티 팟캐스트를 다시 누르기를 환영합니다. 우리는 Rob Curtis와 함께 WordPress 빌드를 잠그는 것에 대해 이야기하는 중입니다. 롭, 쉬는 시간 직전. WordPress, PHP 및 플러그인 업데이트 관리에 대한 귀하의 전략에 대해 조금 이야기했습니다. 그리고 저는 다음 질문에 대해 언급한 것 같습니다. 릴리스 노트에 보안이 포함된 릴리스가 나올 때 정말 걱정해야 하는 종류의 문제라는 것을 어떻게 알 수 있습니까? 두 번째 또는 약간의 시간이 있습니까?

RC: 예, 제가 일반적으로 릴리스에 대해 하는 일은 WordPress 커뮤니티에서 하는 것입니다. 대부분의 릴리스에는 릴리스 후보가 있으며 베타 버전을 수행한 다음 릴리스로 이동합니다. 이제 마이너 릴리스로 메이저 릴리스와 함께 릴리스를 내놓았습니다. 그들은 실제로 Slack에서 몇 가지 최종 테스트를 수행하는 릴리스 파티를 갖고 있습니다. 저는 그 릴리스 파티 중 일부를 가본 적이 있는데 매우 흥미롭습니다. 내가 제안하고 싶은 것은 그가 wordpress.org에서 할 수 있는 한 많이 읽는 것입니다. 그가 후보를 발표하려고 할 때 가능한 한 많이 읽으십시오. 또한 제3자 소스도 읽으십시오. 주요 소스 중 몇 가지는 그들이 일반 보안 블로그에 게시하는 것입니다. 정말 좋은 정보를 제공하는 WordFence에 대한 내용을 조금 읽어보세요. Hacker News 및 Search Engine Journal과 같은 장소와 유사한 장소도 있습니다. 그들은 릴리스에 들어갈 내용에 대해 조금 이야기하고 더 교육을 많이 받을수록 더 잘 처리할 수 있기 때문에 중요합니다. 그래서 지식의 원천이 바로 이 경우라고 생각합니다.

DV: 플러그인이나 테마 등에 다양한 보안 패치가 적용되고 있는지 분석하기 전에 WP DB 같은 것을 사용하십니까?

RC : 예, 스캔을 수행하기 위해 보안과 같은 타사 사이트를 사용하기도 했습니다. 그래서 저는 분석에 접근하고 사람들과 이야기를 듣고 머리를 땅에 대고 접근하는 방식을 취합니다. 도와야 할 것들이 많고 모두 유용한 도구라고 생각합니다.

DV: 기본적으로 패치가 나온다는 사실을 알게 되고 패치에 무엇이 들어 있고 무엇을 다루고 있는지 조사합니다. 그리고 거기에서 추측컨데, 당신은 지금 얼마나 많은 시간과 에너지를 투자할 것인지와 같은 측면에서 얼마나 많은 위험을 감수하고 있는지 파악하려고 합니다. 따라서 관리자 계정에 연결된 교차 사이트 스크립팅 볼륨에 대해 언급한 것과 같습니다. 귀하의 사이트가 귀하의 유일한 관리자인 경우와 같이 귀하는 아마도 즉시 업데이트할 필요가 없을 것입니다. 하지만 수십 명의 관리자가 있다면 '아, 그들이 무엇을 하고 있는지 모르겠습니다. 그래서 당신은 아마도 더 급한가요? 하지만 당신은 그것에 대해 어떻게 생각합니까?

RC: 음, 예, 아니요. 그리고 그 이유는 일부 전염병이 시작되면서 해커가 집에서 지루하다는 것을 우리 모두 알고 있기 때문입니다. 그래서 일주일에 한 번 클라이언트에 대한 보안 업데이트를 수행했습니다. 일반적으로 토요일이나 일요일에 있습니다. 믿거 나 말거나 나는 웹 사이트와 보안 측면을 일주일에 세 번 봅니다. 위험을 줄이려고 하기 때문입니다. 그리고 집에 있는 모든 해커들과 지루함, 그리고 지금 우크라이나에서 무슨 일이 일어나고 있는지, 우리가 이것을 기록하면서 보안 공간은 지금 매우 힘든 공간입니다. 그래서 제 생각에는 지식을 향상시키는 대신 실제로 자신의 지식과 하고 있는 일을 향상시켜야 한다고 생각합니다. 그게 정말 중요하다고 생각합니다.

DV : 예, 특히 모든 위험이 얽혀 있는 상황에서 더 공격적인 입장을 말씀하시는 것을 알 수 있습니다. 자, 그럼 다음 질문입니다. 보안 접근 방식에서 호스팅이 어떤 역할을 한다고 보십니까?

RC: 저는 그 질문을 좋아합니다. 대부분의 사람들은 호스트가 중요하지 않다고 생각하기 때문에 저는 귀하의 호스트가 귀하가 단순히 고용하는 것이 아닌 비즈니스의 파트너라고 말했습니다. 즉, 조사를 하고 어떤 유형의 계획을 진행하고 있는지 확인해야 합니다. 그래서 당신은 먼저 돌이 항상 호스트 평판이 무엇인지 가장 잘 알고 있고 방화벽의 보안 관점에서 무엇을 하고 있는지 확인하여 그들의 관점에서 웹사이트 소유자를 도왔습니다. 일부 호스트와 저는 그들을 부르지 않을 것입니다 둘 다 아주 좋은 일을 하고 일부 호스트는 정말 놀라운 일을 합니다. 그런 것들을 보고 파트너로 대해야 한다고 생각해요.

DV: 확실히 공정한 지적입니다. 그들이 우리를 위해 일하기 때문입니다. 나는 그 점들 중 일부에 확실히 동의합니다. WordPress 커뮤니티에서 내가 본 고무적인 것 중 하나는 WordPress 사이트가 잠겨 있는지 확인하는 것과 관련된 보안 대화에 참여하는 매우 다양한 호스트라고 생각합니다. 그러나 예, 깊이의 수준은 확실히 진화하는 큰 것입니다. 저는 실제로 보안 팀이 모니터링하는 내부 Slack 채널을 모니터링합니다. 이 채널은 뼈대가 있는 플러그인이 있을 때 고객에게 이메일로 경고를 보내는 데 사용합니다. 그래, 우리는 확실히 거기에 더 많은 마일을 갈 것입니다. 이것은 매우 흥미로웠습니다. Rob, 우리는 아마 하루 종일 이야기할 수 있을 것 같습니다. 하지만 여기서 거의 끝나가고 있습니다. 오늘 함께해주셔서 감사합니다.

RC: 제 기쁨은 너무 재미있습니다. David와 더 많은 사람들에게 도움이 되었으면 합니다.

DV: 네, 그렇게 생각합니다. 오늘 떨어뜨린 몇 가지 좋은 포인트가 있었고 저는 대화를 확실히 즐겼습니다. 듣고 있는 모든 사람들은 Rob이 무엇을 하고 있는지 자세히 알고 싶어합니다. StunningDigitalmarketing.com을 방문하세요. WMR에서 Press This WordPress 커뮤니티 팟캐스트를 들어주셔서 감사합니다. 호스트 David Vogelpohl입니다. 저는 WP Engine에서의 제 역할을 통해 WordPress 커뮤니티를 지원하고 여기에서 매주 Press This에서 최고의 커뮤니티를 여러분에게 제공하는 것을 좋아합니다.