Naciśnij to: Śpij dobrze. Zablokuj swój WordPress buduje dzisiaj z Robem Cairnsem
Opublikowany: 2022-03-09Witamy w Press This, podkaście społeczności WordPress firmy WMR. Tutaj gospodarz David Vogelpohl siada z gośćmi z całej społeczności, aby porozmawiać o największych problemach, przed którymi stoją programiści WordPress. Poniżej znajduje się transkrypcja oryginalnego nagrania.
Obsługiwane przez RedCircle
David Vogelpohl: Witam wszystkich i zapraszam do Press This, podcastów społeczności WordPress na temat WMR. To jest twój gospodarz, David Vogelpohl, wspieram społeczność WordPressa poprzez moją rolę w WP Engine i uwielbiam przedstawiać to, co najlepsze w społeczności, co tydzień w prasie to jako przypomnienie, możesz mnie znaleźć na Twitterze @wpdavidv lub możesz zasubskrybować, aby nacisnąć ten przycisk w iTunes, iHeartRadio, Spotify lub pobrać najnowsze odcinki z wmr.fm. W tym odcinku będziemy rozmawiać o bezpieczeństwie, aw szczególności o dobrym spaniu dzięki zablokowaniu kompilacji WordPress. I dołączył do nas dzisiaj do tej rozmowy. Witam w Press This, Rob Cairns. Rob, witaj.
Rob Cairns: Dziękuję, David, i dziękuję, że mnie masz. Doceniam to.
DV: Tak, bardzo podekscytowany, że tu jesteś. Dla tych, którzy słuchają. Rob zajmuje się marketingiem cyfrowym i od dłuższego czasu buduje i optymalizuje witryny WordPress. W tym odcinku Rob zamierza omówić swoje poglądy na temat najlepszych podejść. Za zablokowanie witryn WordPress Rob podzieli się swoimi przemyśleniami na temat bezpieczeństwa poprzez ukrywanie. Czy to dobry pomysł? Zły pomysł, rozważania dotyczące haseł i czasu użytkowników na aktualizacje WordPress i PHP i wiele więcej. Naprawdę podekscytowany tym, że Rob jest tu dzisiaj, aby porozmawiać, a jego papiery wartościowe mają obecnie wiele umysłów, ze wszystkim, co dzieje się na świecie i ogólnie w odniesieniu do bezpieczeństwa sieci. Myślę, że to bardzo aktualny odcinek, ponieważ ludzie zastanawiają się, jak zabezpieczyć swoje cyfrowe doświadczenia. Rob, zadam ci to samo pierwsze pytanie, które zadałem każdemu innemu gościowi. Czy możesz krótko opowiedzieć mi o swojej historii pochodzenia WordPressa? Kiedy po raz pierwszy użyłeś WordPressa?
RC: pewnie Cóż, David, powinienem cię trochę zabrać z powrotem. Około 20 lat temu zarejestrowałem domenę przez pierwsze 125 lat temu i jednym z powodów, dla których podałem, był darmowy e-mail, który moja rodzina zwykła narzekać, że zmieniam adresy e-mail dłużej niż ludzie zmieniają ubrania. Więc zarejestrowałem domenę. Stworzyłem statyczną stronę HTML, ponieważ pracowałem w technice. A potem jakieś 15 lat temu przekształciłem tę statyczną stronę internetową w bloga i oczywiście mój punkt widzenia z WordPressa. Wyszedłem z kręgu służby zdrowia około 12 lat temu byłem w branży technologii i opieki zdrowotnej, a potem zacząłem na pełny etat tworzyć strony internetowe. To w zasadzie moja historia pochodzenia.
DV: A potem pamiętasz mniej więcej rok, w którym po raz pierwszy przekształcił tę witrynę HTML w blog WordPress.
RC: Och, prawdopodobnie 26/27. Gdzieś tam 26. Niedawno byłem pierwszym użytkownikiem WordPressa. Tak.
DV: Tak. Byłoby to więc mniej więcej w czasach widżetów i skrótów oraz przekształcenia WordPressa z platformy blogowej w rodzaj witryny internetowej, w której to znalazłem.
RC: Tak, jestem jedną z pierwszych rzeczy, których faktycznie użyłem. Kto tak naprawdę przez lata miał problemy, to to, że motywy postępów były jednym z pierwszych dużych motywów, które opracowałem znak szałwii, a my wszyscy w społeczności znamy postępy w historii i to, co się tam wydarzyło. Więc tak, dużo się dzieje. To był teraz ekscytujący diament. To ekscytujący czas.
DV: Znakomicie Cóż, cieszę się, że miałeś trochę na nietoperzy i blokowałeś strony WordPressa, więc jesteś, mamy tutaj dobry odcinek. Naprawdę szybko. Czy możesz opowiedzieć nam trochę o marketingu cyfrowym Dunning?
RC: I tak, ja prowadzę agencję marketingową z siedzibą w Toronto w Kanadzie. Zasadniczo jesteśmy dwoma mocnymi stronami naszego e-mail marketingu i blokowania stron internetowych. Mam na myśli to, że obecnie duża część naszej klienteli jest taka, że ludzie nie chcą się martwić o zabezpieczenie tych stron internetowych. I to jest podstawa tego, co robimy. Przez lata. Zrobiliśmy wszystko, od reklam Pay Per Click po kampanie cyfrowe i po prostu zawęziłem to w ostatniej.
DV: W porządku, dobrze. Czy mam tylu przyjaciół w społeczności WordPressa z Toronto. Cieszę się, że jesteś blisko, kiedy sprawy się otwierają i idą szukać cię w następnym WordCamp Toronto.
RC: Od kilku lat nie rozmawialiśmy o obozie w Toronto. Więc nie mogę się doczekać wyjścia i zobaczenia kilku ludzi. Byłoby świetnie.
DV: tak, to było fantastyczne miasto. Naprawdę mi się tam podoba. Przejdźmy więc do omawianego tematu. Więc kiedy myślałeś o bezpieczeństwie jako o specjalności, czy miałeś incydent związany z bezpieczeństwem, który spowodował, że skupiłeś się na bezpieczeństwie, czy raczej było to coś, co rozwinęło się z czasem, na przykład, czy był jakiś moment lub problem, którego doświadczyłeś? A może jest to bardziej coś, co rozwinęło się z biegiem czasu?
RC: Hm, rozwinęło się to z biegiem czasu, powiedziałbym, że mam doświadczenie w bezpieczeństwie serwerów korporacyjnych. Kiedy więc pracowałem w opiece zdrowotnej w jednym z największych szpitali Trumpa, jedną z rzeczy, na które się zastanawiałem, jest to, w jaki sposób możemy pomóc naszemu zespołowi ds. serwerów w bezpieczeństwie naszych serwerów lub serwerów wymiany, czyli poczty e-mail i jak możemy pomóc wyedukowani klienci w służbie zdrowia największym problemem były oszustwa phishingowe? Więc osoby klikające w linki, nie powinny przynosić dokumentów z zabezpieczeniami. Stąd moje zainteresowanie bezpieczeństwem po prostu się rozwinęło.
DV: To wyjaśnia tak wiele na temat twojego skupienia się na marketingu e-mailowym i blokowaniu wad, jak sądzę, na przykład, że są to tak różne dyscypliny, ale ma to sens w przypadku twojej opieki zdrowotnej, myślenia o serwerach Exchange, a następnie o aspektach bezpieczeństwa osób i opieki zdrowotnej serwery, to ma sens. Przejdźmy więc do strony WordPressa. Wiesz, dużo widzimy w wiadomościach, wiesz, 70 milionów witryn ma lukę, ponieważ niektóre, wiesz, woluminy we wtyczce lub coś w tym rodzaju. Ale czy osobiście uważasz, że WordPress jest z natury bezpieczny, a jeśli tak, to dlaczego?
RC: Zgadzam się, że tak jest i co chciałbym powiedzieć, zanim uwierzymy, że witryna WordPressa, że Microsoft Windows ma problemy z bezpieczeństwem. Co miesiąc Microsoft publikuje poprawki do tego, co nazywają Patch Tuesday i jest to największy biznesowy system operacyjny na świecie. Więc moim argumentem jest to, że nie jest tak, że znajdujemy łatki, które widzi, czy problemy z bezpieczeństwem, ale jak sobie z nimi radzimy. A to, co lubię widzieć, to responsywność ze strony dostawców. Tak więc, biorąc pod uwagę przykład z życia, UpdraftPlus, jeden z największych programów do tworzenia kopii zapasowych, który ostatnio pojawił się w dziedzinie bezpieczeństwa, wiele problemów przez ostatnie kilka miesięcy z przerwami. Ale to, co zrobili dobrze, to natychmiastowe wydanie łatek, które dla tych, którzy nie wiedzą, są poprawkami bezpieczeństwa, i zajęli się nimi szybko i na czas. I to jest dla mnie ważniejsze. Myślę. Gdy coś stanie się ponad 40% rynku lub procesu, zawsze będziesz mieć ludzi, którzy będą to robić z perspektywy bezpieczeństwa, ponieważ teraz jest to warte czasu hakerów.
DV: Tak, to są świetne punkty. Często myślę o tym, jakby ktoś chciał zachęcić autora oprogramowania, cytuję bagatelizować problem. Reporter, który próbuje zdobyć czytelników, jest przeszkolony, aby przeceniać problem, w swoim punkcie, w każdym ważnym oprogramowaniu w twoim życiu, jeśli jest odpowiednio zarządzany i zwraca uwagę, ma luki w zabezpieczeniach wykryte w czasie i natychmiast je łata. I myślę, że innym punktem, który osobiście zaznaczam, jest to, że WordPress nie ma obecnie znanych publicznych luk w zabezpieczeniach, które nie zostałyby załatane, i tak właśnie o tym myślę. Naprawdę kocham to miejsce. Uwielbiam też to, jak mówisz, jak prąd wstępujący zbliża się do kuli, która jest tam odkrywana. I wiesz, myślę, że na wielu naprawdę dobrych dostawców w systemie spoczywa duża odpowiedzialność. Świetnie sobie radzą z zarządzaniem telefonami, gdy są im zgłaszane w odpowiedzialny sposób. Niezależnie od tego, czy Twój głos, czy cokolwiek dodasz do tego,
RC: tak przy okazji, PodOmatic. Wykonali niesamowitą robotę naprawiając luki w zabezpieczeniach. Wiem, że niedawno wydaliśmy wersję 5.9. A kiedy w zeszłym tygodniu wyszło 5.9 punkt jeden, było to tylko wydanie konserwacyjne. W tym wydaniu nie było nawet poprawki bezpieczeństwa. Więc chwała i myślę, że automat traktuje bezpieczeństwo całkiem poważnie. Więc tak, dobra przestrzeń.
DV : Mój kontakt z tym zespołem polega na tym, że ma w nim wielu ludzi. Z podobnym, powiedziałbym, doświadczenie bezpieczeństwa klasy korporacyjnej. W mojej ekspozycji. Z pewnością stosują się do najlepszych praktyk dotyczących odpowiedzialnego ujawniania, które ewoluują w odpowiedzi na nie. Powiedziałbym nie tylko, że główny zespół WordPressa, ale także zespół wtyczek WordPressa i jak zarządzają lukami, jak myślą o datach rzeczy, jak komunikują się z autorami, jak usuwają wtyczki z repozytorium, jeśli są niezałatane. Nie wiem, nie wiem, czy tak głęboko się w tym zagłębiłeś. Ale to są rzeczy, które mnie wyróżniały.
RC : Niedawno rozmawiałem z Proteusem akwizytorem, który był zbyt słabym architektem Gutenberga i powiedział, że jego zespół traktuje to bardzo, bardzo poważnie. Więc myślę, że każdy, kto myśli, że nie, nie wydaje mi się, że jest całkiem na Marku. Szczerze mówiąc. Myślę, że traktują to poważnie. Oni słuchają. I ujawniają niewłaściwie.
DV: Tak, wydaje mi się, że wiele negatywności, które się tam pojawiają, to takie sensacyjne nagłówki, które ludzie interpretowali w niewłaściwy sposób, ale, jak sądzę, większość autorów właściwie opisuje, co się dzieje. Tyle, że nagłówek jest naprawdę przerażający i że jest to pula docelowa zabezpieczeń i oprogramowania. I tak to zawsze będzie działać. Tak to jest. Więc chcę w pewnym sensie zagłębić się w bardziej szczegółowe praktyki, w szczególności pojęcie bezpieczeństwa poprzez ukrywanie. Ale zamierzamy zrobić pierwszą przerwę, zaraz wrócimy. Aby podłączyć się do przerwy reklamowej. Czekaj na więcej, naciśnij to za chwilę. Wszyscy witamy z powrotem, aby nacisnąć ten podcast społeczności WordPress na W EMR. To jest twój gospodarz David Vogel. Paweł. Przeprowadzam wywiad z Robem Curtisem z oszałamiających mediów cyfrowych na temat blokowania twoich kompilacji WordPress. Rob tuż przed przerwą rozmawialiśmy trochę o nieodłącznym bezpieczeństwie WordPressa, w jaki sposób główny zespół zajmuje się tym, nawet ludzie w środku, powiedzmy, zespół wtyczek, ale chcę teraz zmienić biegi, aby stworzyć tematy gości. Wiesz, niektórzy ludzie często polegają na pojęciu bezpieczeństwa poprzez ukrycie, jakby nikt nie mógł znaleźć tej rzeczy, kogo obchodzi, że nie jest zamknięta? Wiem, że nie jesteś wielkim fanem tego. Ale jak dlaczego i pomóż ludziom zrozumieć. Dlaczego nie.
RC: Osobiście uważam, że dwie rzeczy przez niejasność, które wiele osób lubi robić, lubisz zmieniać i WordPress, ich tabele prefiksów bazy danych i lubią zmieniać zaplecza logowania. I myślę, że to tylko fantazyjne zdobienie okna. Pod koniec dnia. Nie sądzę, żeby to robili ja osobiście, większość hakerów ma narzędzia, które mogą przeskanować witrynę i odkryć backend, wszyscy używają skryptów lub obliczają tabele bazy danych. Więc myślę, że takie rzeczy nie mają znaczenia na koniec dnia. Czy to sprawia, że czujesz się psychicznie kompetentny lub lepszy. Idź, zrób to. Ale w końcu nie sądzę, aby zapewniało to wiele twojemu klientowi lub użytkownikowi końcowemu.
DV: Tak, to te narzędzia do odkrywania, których używają źli aktorzy, które znasz, nawet jeśli zaciemniasz, niekoniecznie może to lubić osiągnięcie celu. Pamiętam, że chyba w późnych latach 90. dostałem darmowe konto hostingowe z pracą i pamiętam, że przesyłałem do niego moje karty kredytowe w celu przechowywania. A ja myślę, że nikt nie zna adresu. Ale różnice są duże. Pamiętam, że niektórzy z moich współpracowników dość szybko mnie zawstydzili. To była lekcja, której nauczyłem się wtedy. Dobra, to jest dobry punkt na temat bezpieczeństwa poprzez ukrywanie i tego, jak źli aktorzy mogą używać, wiesz, swoich różnych zestawów narzędzi, aby to obalić. Wiesz, kiedy patrzę na, wiesz, bezpieczeństwo i rozmawiałeś o tym, myślę, że trochę wcześniej, ale wiesz, wiele osób mówi o, wiesz, ludzie w twojej organizacji stanowią największe zagrożenie dla twojego bezpieczeństwa . Jak się do tego odnosisz? Z takimi rzeczami, jak zasady haseł lub inne podejścia w kompilacjach WordPress.
RC: Więc pierwszą rzeczą, którą lubię robić, jest, szczególnie w przypadku konta administratora, np. silnego i złożonego hasła, zawsze sugeruję, aby ludzie używali generatora haseł, a nie używali hasła, które jest w słowniku. Myślę, że to naprawdę zły pomysł. Zrób to tak długo, jak to możliwe, a ludzie powiedzą: Och, nie pamiętam tego. Cóż, wtedy musisz poświęcić czas i poprosić menedżera haseł, aby wybrać jeden LastPass jedno-bitowe hasło Warden, dlatego wybór Menedżera haseł, aby znaleźć taki, który działa dla Ciebie. I zacznij używać skomplikowanych haseł, których nie używasz nigdzie indziej. A jeśli nie wierzysz, że istnieje naprawdę dobra strona o nazwie, jeśli zostałeś zastawiony tam i to, co zrobi, to poinformuje cię, że twój adres e-mail i hasło zostały znalezione gdziekolwiek indziej w Internecie ze znaną luką może zabezpieczyć hasłem kombinację cyfr i liter oraz, wiesz, znaków specjalnych i robić wszystkie te rzeczy. I wiem, że ludzie już wcześniej na to liczyli, ale nie sądzę, żeby robiło to wystarczająco dużo osób
DV: jak w odniesieniu do rachunku, to jak z perspektywy konfiguracji, myślisz o wymuszeniu silnych haseł, ale wygląda na to, że myślisz również o szkoleniu w ramach tego, jakbyś szkolił tych, którzy będą korzystać z Twoich witryn zbudowałem prawidłowe hasło. Praktyki.
RC: Nie ma wątpliwości co do tego i używania oprogramowania do wymuszania, a także regularnej zmiany tych haseł administratora. Zazwyczaj zmuszam je do wymiany co 90 dni. To właśnie robią w świecie korporacji i jest ku temu powód. I myślę, że to dobry pomysł na stronie WordPress.
DV: Och, ciekawe. Wiesz, słyszałem ostatnio jakieś poprawki, które nie były zalecane, ale nie jestem ekspertem. Więc nie będę cię tam pytał. Ale myślę, że to są oczywiście dobre praktyki. Bardzo lubię wzmacniać się z ludźmi. Używa unikalnych haseł na stronę. A tak przy okazji, Rob, czy jesteś graczem?
RC : Kiedyś nie gram obecnie tak wielu gier, ponieważ szczerze mówiąc, pod koniec dnia, jeśli zacznę grać, pochłonie mnie
DV : w porządku, fajnie. Tak naprawdę myślimy o tym z perspektywy haseł jako egzekwowanie rygorystycznych zasad, ale także o szkolenie użytkowników. Czy jest coś jeszcze w szkoleniu lub innej stronie ograniczającej ryzyko?
RC: Ludzie nie przypisują ludziom ról w panelu WordPressa. Nie jedzą, więc ktoś będzie tylko robił posty na blogu, nie dawaj mu roli administratora, bez względu na to, jak bardzo krzyczą, i warto wspomnieć, że WP Engine ma naprawdę dobrą wtyczkę do programu CMS typu white label, z której korzystałem wiele razy jest tak, że ktoś rozprzestrzenia się w celu uzyskania praw administratora i wiem, że nie chcę, aby miał dostęp do tej sekcji, wszystkie zainstalowały CMS z białą etykietą firmy WP Engine i zablokowały je z niektórych części witryny. Więc naprawdę daj ludziom to, czego potrzebują. Nie wszystko. I to też jest wielka sprawa.
DV : Tak, nie znam tej wtyczki. Muszę się rozejrzeć. Więc myślisz, że pracując tutaj, wiem, że jesteś pewien, że to my to robimy? Tak mysle. Dobrze, źle. Jednak kluczową kwestią jest tutaj ograniczenie ról administratora. I monitoruję różne kości w repozytorium wtyczek WordPress. Podobnie jak wiele zgłoszonych luk w zabezpieczeniach to luki związane z wykonywaniem skryptów między witrynami. Tak, i wiele z nich jest ograniczonych do ról administratorów, a autorzy wtyczek często reagują tak dobrze, tylko administratorzy mają ten dostęp, kogo to obchodzi? I w pewnym sensie dajesz do zrozumienia, że niektórzy użytkownicy mogą im ufać, ale może nie ufasz im na poziomie oprogramowania.
RC : Nie żartuję. Mam w tej chwili jednego klienta, któremu nie przydzielę roli administratora jego personelu, jeśli zależałoby od tego moje życie, bo wiem, co się wydarzy. Więc po prostu mówię nie.
DV : Tak, i to jest w twoim myśleniu, no cóż, to ich strona, kogo obchodzi, co zrobili, myślę, że wiesz, zawsze jest ten rodzaj tropu klienta, który łamie ich wgląd. Ale tak jak w przypadku tych podwyższonych uprawnień, gdy są zalogowani, takie rzeczy jak luki w zabezpieczeniach cross-site scripting mogą odgrywać większą rolę. I tak dla tych początkujących użytkowników, odcinając to z przyznawanym dostępem, w ich roli w ich rolach użytkowników, pomagasz w pewnym stopniu zmniejszyć to ryzyko dla nich jako klienta.
RC: Tak, to prawda. I faktycznie robisz im przysługę, a nie krzywdę na dłuższą metę.
DV: Jasne. Domyślam się, że prawdopodobnie dałeś im coś w stylu, wiesz, ok, oto prawdziwy administrator, ale nigdy się nie loguj, a jest to inny rodzaj rzeczy. Oczywiście nie lubię blokować im ich spostrzeżeń.
RC: A inną rzeczą do zrobienia jest to, że jeśli jest to naprawdę wysoki wgląd, mam kilka zaawansowanych wglądów, zainstalowałem uwierzytelnianie dwuskładnikowe, które również pomaga oprócz hasła, wtedy potrzebują aplikacji na smartfona lub czegoś innego, aby się dostać a to blokuje go jeszcze o jeden krok. To tak duża część, jak myślę o bezpieczeństwie haseł.
DV: WP Engine i kilka innych hostów to robi. Mamy taki, w zasadzie jeden znak na rozwiązaniach, które możesz przeskakiwać między prasami. Ale zawiera również ogromną część dwóch czynników z tych samych powodów, dla których to umieściłeś. Nie mogę uwierzyć, że nie wspomnieliśmy o tym wcześniej jako dużej części haseł. Dobra wzmianka W porządku, pozwól mi trochę zmienić biegi. Więc jak myślisz, wiesz, reagowanie na aktualizacje WordPressa, PHP i wtyczek. Jak myślisz o swojej strategii robienia tego w sposób, który Twoim zdaniem daje Ci największą szansę na sukces z bezpieczeństwem?
RC: Przede wszystkim, zanim zrobisz jakąkolwiek większą aktualizację, wykonaj kopię zapasową. Nie polegaj na swoim gospodarzu, weź go za pomocą wtyczki WordPress. Kopalnia wyborów Updraft Plus Pro już teraz, więc właśnie to powinieneś zrobić, aby zrobić kopię zapasową. Przetestuj również kopie zapasowe, zanim będą potrzebne. Nie czekaj, aż będziesz musiał wykonać kopię zapasową kopii zapasowych, jedyną dobrą rzeczą jest możliwość przywrócenia. Jest testowany na stronie testowej lub w piaskownicy demonstracyjnej, zanim będzie potrzebny regularnie.
DV: To świetny punkt, ponieważ tak jakbyś mógł zrobić kopię zapasową, coś mogłoby pójść nie tak i polegasz na tym, a potem nagle kopia zapasowa była zła.
RC: Ja też to widziałem. Dużo. Pewny. Byłam tam. Wszyscy byliśmy rano, kiedy musi być o 6 rano. Tak. Inną rzeczą jest to, że zwykle robię aktualizacje rdzenia. Tak więc sam WordPress aktualizuje się całkiem nieźle, gdy tylko się pojawi. Jestem wielkim fanem otrzymywania aktualizacji, zwłaszcza poprawek bezpieczeństwa w aktualizacjach. Wiele aktualizacji jest pomiędzy aktualizacjami, które zwykle robię wcześniej niż później. Jeśli chodzi o wtyczki, dobrze się rozejrzał. Na przykład rozumiem przez to, że musisz upewnić się, że nie ma znanych zależności, w których jedna wtyczka nie współpracuje dobrze z inną wtyczką. Wszyscy to widzieliśmy. Czy Odrób swoją pracę domową z wyprzedzeniem, jeśli musisz przeprowadzić testy w piaskownicy, zrób to.
DV: Więc jestem jak śmiało. Chciałem powiedzieć, myślę, że punkty testowe są bardzo istotne. I tak myślę, jak kiedy widzisz wydanie i myślisz jak, czy moje włosy płoną, czy nie? Jestem ciekawa, jak myślisz o interpretacji takich rzeczy jak informacje o wydaniu. Chciałbym poznać twoje przemyślenia na ten temat. Zrobimy ostatnią przerwę i zaraz wrócimy. Czas na przerwę na reklamy. Czekaj na więcej, naciśnij to za chwilę. Wszyscy zapraszamy ponownie do naciśnięcia tego podcastu społeczności WordPress na W Mr. Jesteśmy w trakcie rozmowy z Robem Curtisem o blokowaniu swoich kompilacji WordPress. Rob, tuż przed przerwą. Rozmawialiśmy trochę o twoich strategiach zarządzania aktualizacjami WordPressa, PHP i wtyczek. I w pewnym sensie nawiązałem do mojego następnego pytania, które brzmi: „Skąd wiesz, kiedy widzisz wydanie, w którym być może wspomniano o bezpieczeństwie w informacjach o wydaniu, że jest to coś, o co powinieneś naprawdę się martwić, prawda? po drugie czy masz mało czasu?
RC: Tak, to, co zwykle robię z wydaniami, jest w społeczności WordPressa, większość wydań ma kandydata do wydania, a następnie przejdą do wersji beta, a następnie przejdą do wydania. Teraz z mniejszym wydaniem, po prostu wydali wydanie z głównym wydaniem. Właściwie mają przyjęcie na Slacku, na którym przeprowadzają ostatnie testy, a ja przeszłam przez niektóre z tych imprez i są one całkiem interesujące. Sugerowałbym, aby przeczytać jak najwięcej z wordpress.org. Przeczytaj jak najwięcej o wypuszczeniu kandydatów, ale także przeczytaj źródła stron trzecich, a kilka dużych jest rzeczy, które publikują na regularnym blogu poświęconym bezpieczeństwu. Przeczytaj trochę o niektórych rzeczach na WordFence, które podają naprawdę dobre informacje. A nawet miejsca takie jak Hacker News i Search Engine Journal i takie miejsca. Mówią trochę o tym, co trafi do wydawnictw i ma to znaczenie, ponieważ im bardziej jesteś wykształcony, tym lepiej możesz sobie z tym poradzić, więc myślę, że w tym przypadku naprawdę jest źródło wiedzy,
DV: Czy używałeś wcześniej takich rzeczy jak WP DB do analizy różnych łat bezpieczeństwa, które pojawiają się w twoich wtyczkach lub motywach lub cokolwiek innego.
RC : Tak, używałem i używałem nawet stron trzecich, takich jak zabezpieczenia, aby wykonać skanowanie. Więc tak jakbym podchodzę do Analizy, rozmawiaj z ludźmi, słuchaj, musisz postawić głowę na ziemi. Jest wiele rzeczy do pomocy i myślę, że wszystkie są użytecznymi narzędziami.
DV: Więc łatka wychodzi, w zasadzie uświadamiasz sobie, że wyjdzie, badasz, co jest w łacie i do czego się odnosi. A potem zgaduję, że od tego momentu próbujesz obliczyć, ile ponosisz ryzyka, np. ile czasu i energii zamierzasz w to teraz włożyć. Tak jakbym wspomniał o woluminach cross-site scripting połączonych z kontami administratorów. Na przykład, jeśli Twoja witryna jest jedynym administratorem, domyślam się, że prawdopodobnie nie zabraknie Ci aktualizacji od razu. Ale jeśli masz dziesiątki administratorów, to myślisz, och, nie wiem, co robią. A więc prawdopodobnie jesteś bardziej pilny, czy to sprawiedliwe? Ale jak o tym myślisz?
RC: Um, tak i nie. A powodem jest to, że dla niektórych wybuchła pandemia, wszyscy wiemy, że hakerzy są znudzeni w domu. Dlatego robiłem aktualizacje bezpieczeństwa dla klientów raz w tygodniu. Zazwyczaj w sobotę lub niedzielę. Wierzcie lub nie, ale przeglądam strony internetowe i stronę bezpieczeństwa trzy razy w tygodniu. Ponieważ staram się zminimalizować ryzyko. A ze wszystkimi hakerami w domu i nudą, a teraz, co dzieje się na Ukrainie, kiedy to nagrywamy, przestrzeń bezpieczeństwa jest teraz naprawdę trudną przestrzenią. Tak więc myślę, że faktycznie musisz rozwijać swoją wiedzę i to, co robisz, zamiast ją pogłębiać, i myślę, że to jest naprawdę ważne.
DV : Tak, rozumiem, co mówisz, bardziej agresywna postawa, zwłaszcza ze wszystkimi związanymi z tym ryzykiem. Ok, więc następne pytanie. Jaką rolę w Twoim podejściu do bezpieczeństwa odgrywa hosting?
RC: Uwielbiam to pytanie. Ponieważ większość ludzi uważa, że gospodarze nie mają znaczenia, a ja, wolny od twoich, powiedziałem, że host jest twoim partnerem w biznesie, którego nie tylko zatrudniasz. I przez to mam na myśli, że musisz przeprowadzić pewne dochodzenie i zobaczyć, jaki rodzaj planu zamierzasz realizować. Więc czy po raz pierwszy znalazłeś kamień zawsze najlepiej, jaka jest reputacja hostów i zobacz, co robią z punktu widzenia bezpieczeństwa na swoich zaporach ogniowych po ich stronie, aby pomóc właścicielowi witryny z ich perspektywy, niektórzy gospodarze i ja nie zamierzam ich wzywać, obaj wykonują bardzo dobrą robotę, a niektórzy gospodarze wykonują naprawdę niesamowitą robotę. Myślę, że musisz patrzeć na te rzeczy i traktować je jak swojego partnera.
DV: to zdecydowanie słuszne punkty. Ponieważ pracują dla nas. Zdecydowanie zgadzam się z niektórymi z tych punktów. Myślę, że jedną z zachęcających rzeczy, które widziałem w społeczności WordPressa, jest po prostu ogromna różnorodność hostów, którzy biorą udział w rozmowach na temat bezpieczeństwa, aby upewnić się, że witryny WordPress są zablokowane. Ale tak, poziom głębi to zdecydowanie duża rzecz, która ewoluuje. Właściwie monitoruję wewnętrzny kanał Slack, który monitoruje nasz zespół ds. bezpieczeństwa, którego używamy do wysyłania alertów e-mail do naszych klientów, gdy mają wtyczki z kośćmi. Więc tak, na pewno pójdziemy tam o krok dalej. To było niesamowicie interesujące, Rob, myślę, że moglibyśmy rozmawiać przez cały dzień, ale w pewnym sensie zbliżamy się do końca. Dziękuję bardzo za przyłączenie się do nas dzisiaj.
RC: Moja przyjemność jest taka fajna, David i mam nadzieję, że pomoże to jeszcze większej liczbie osób
DV: Tak, tak myślę. Było kilka dobrych punktów, które dzisiaj porzuciłeś i zdecydowanie podobała mi się rozmowa, a wszyscy słuchający chcieliby dowiedzieć się więcej o tym, co robi Rob. Możesz odwiedzić StunningDigitalmarketing.com Dziękujemy za słuchanie podcastów społeczności Press This WordPress na WMR. To był twój gospodarz David Vogelpohl. Wspieram społeczność WordPressa poprzez moją rolę w WP Engine i uwielbiam przedstawiać wam to, co najlepsze w społeczności tutaj co tydzień na Press This.