Interviu cu Ivica Delic despre profesioniștii și securitatea WordPress

Până acum am intervievat doar persoane care înțeleg și lucrează în securitatea aplicațiilor și WordPress. Întotdeauna am auzit vocea vânzătorilor . Cu toate acestea, în acest interviu am adoptat o abordare diferită. Am intervievat-o pe Ivica Delic, un profesionist WordPress despre securitate. Scopul acestui interviu este de a înțelege mai bine modul în care profesioniștii WordPress, pentru care poate securitatea nu este ceașca lor de echipă, văd și înțeleg produsele și serviciile de securitate. Acest interviu ne ajută, de asemenea, să înțelegem unde ne putem îmbunătăți și ce fac acești profesioniști pentru a menține site-urile web ale clienților în siguranță.

Ivica Delic lucrează cu WordPress din 2011 și a co-fondat FreelancersTools.com. S-a oferit voluntar în comunitatea WordPress și a participat și a prezentat la numeroase întâlniri WP despre accelerarea site-urilor WordPress. Ivica a lansat mai multe grupuri populare de Facebook pe diverse subiecte WordPress. Este administrator în peste 25 de grupuri de Facebook, care împreună au peste 150.000 de membri. Ivica a absolvit un Master în Economie, iar după peste 20 de ani de conducere a echipelor din industria bancară a co-fondat Confida, o companie de piață digitală care se concentrează pe a ajuta clienții să gestioneze site-urile WordPress și nevoile de marketing digital.

Interviul

Î1: Care sunt primele 5 bune practici de securitate pe care le implementați/le urmați atunci când configurați un nou site web WordPress?

Primul este să alegi o găzduire WordPress bună și de încredere. Am lucrat cu o mulțime de gazde web și sunt multe bune. Folosesc SiteGround pentru cea mai mare parte a muncii mele.

A doua cea mai bună practică este implementarea unei bune strategii de backup. Folosesc întotdeauna un serviciu online acolo unde este posibil, cum ar fi BlogVault. Acest lucru face posibilă stocarea copiilor de rezervă în afara site-ului și într-o locație sigură.

Apoi instalez o serie de instrumente și pluginuri de securitate WordPress. Recomand întotdeauna MalCare și WP Activity Log ca ultima linie de apărare a site-ului tuturor clienților noștri.

Cele mai bune două practici rămase sunt recomandări pentru utilizatorii noștri; utilizați parole WordPress unice și puternice și păstrați întotdeauna nucleul WordPress, tema, pluginurile, PHP și tot software-ul de pe serverul web și computerul dvs. la zi. Dacă este posibil, utilizați un software antivirus/anti-malware.

Q2. Considerați că pluginurile și serviciile de securitate WordPress sunt ușor de implementat și utilizat sau nu?

Am testat o mulțime de plugin-uri și instrumente de securitate în ultimii ani. Există unele care sunt foarte ușor de implementat și utilizat. Cu toate acestea, altele sunt foarte greu de folosit și fac mai mult rău decât bine. Ele lasă multe pentru utilizator să decidă, cu toate acestea, majoritatea utilizatorilor și profesioniștilor nu sunt cunoscători de securitate. Așa că ei găsesc aceste plugin-uri copleșitoare și ajung fie să-și protejeze sau să supraprotejeze site-urile web.

De cele mai multe ori, utilizatorii configurează greșit pluginurile complexe de securitate. De exemplu, aceștia sunt blocați de pe propriul lor site web de pluginul de securitate sau toate imaginile lor conectate fierbinți nu se mai încarcă. Sau unele pluginuri de securitate cu monitorizare a integrității fișierelor raportează că o modificare a unui fișier jurnal este posibil rău intenționat. Utilizatorii intră în panică la aceste lucruri deoarece nu înțeleg că, de exemplu, o modificare a unui fișier jurnal nu este rău intenționată sau de ce imaginile conectate la cald nu funcționează.

Q3. Care a fost cea mai mare provocare/dificultate pe care ați întâmpinat-o la implementarea sau utilizarea pluginurilor/produselor/serviciilor de securitate?

Ca să mă raportez la întrebarea anterioară – cea mai mare provocare pe care am întâlnit-o personal este că trebuie să testez și să verific instrumentele de securitate folosite pe site-ul unui client, cu care s-ar putea să nu sunt familiarizat. Uneori preluăm gestionarea site-ului web al unui client și trebuie să verificăm dacă toate soluțiile de securitate funcționează corect împreună, fără a se suprapune funcții. Trebuie să ne asigurăm că nu există probleme de compatibilitate între ele pentru a evita comportamentul nedorit, cum ar fi blocarea administratorilor site-ului.

Î4. Urmăriți vreun site web de securitate pentru a afla despre securitatea WordPress sau o lăsați pe seama profesioniștilor? Sau este puțin din ambele?

Sunt membru și administrator al câtorva grupuri de Facebook de securitate WordPress unde o mulțime de experți în securitate WP postează. Urmăresc și citesc toate știrile relevante în materie de securitate, precum și sfaturile practice / cele mai bune practici de securitate. Cu toate acestea, sarcina complexă de curățare a site-urilor infectate pe care (încă) nu am stăpânit. În astfel de situații mă bazez pe profesioniști.

Î5. Preferiți să utilizați un serviciu de firewall online WordPress sau să instalați un plugin pentru firewall WordPress pe site-ul dvs.? Explică de ce.

Prefer să folosesc un serviciu online WordPress Web Application Firewall (WAF). Toți experții spun că WAF este un strat de securitate mult mai bun împotriva hackerilor și a atacurilor DDoS. Un WAF este capabil să detecteze și să blocheze orice lucru rău intenționat înainte de a ajunge pe site-ul dvs. Din păcate, pluginurile WordPress nu pot oferi asta, deoarece încearcă să apere site-ul din interior .

Î6. În opinia dvs., care sunt primele trei cauze pentru care site-urile WordPress sunt sparte?

Îmi împărtășesc aceeași părere ca mulți alți profesioniști:

• găzduire site-uri web nesigure,
• utilizarea de parole slabe și ușor de ghicit,
• nucleu WordPress învechit, temă, pluginuri, PHP și alte software-uri.

Dacă nu vă deranjează că adaug un sfat suplimentar, dacă vă pasă de site-ul dvs. web și de afacerea dvs., nu instalați pluginuri și teme nulle.

Î7: Ce crezi că pot face industria/furnizorii de securitate WordPress pentru a ajuta mai mulți profesioniști ca tine, cărora securitatea nu este ceașca lor de ceai, să înțeleagă și să-și protejeze mai bine site-urile web ale clienților?

Pe scurt, trebuie să le faciliteze utilizatorului. Ei pot face acest lucru prin:

• crearea mai multor vrăjitori pentru o implementare mai ușoară și mai rapidă a instrumentului de securitate,
• implementează automat „cele mai bune practici”, astfel încât utilizatorului nu mai rămâne mult de făcut,
• implementați un sistem de avertizare, astfel încât atunci când unele instrumente de securitate sunt instalate pe același site cu funcții suprapuse, utilizatorul este informat despre problemă.

Î8. Dacă ați putea alege o caracteristică de securitate care să fie inclusă în nucleul WordPress în mod implicit, care ar fi aceasta și de ce?

Aș dori să văd serviciul de firewall pentru aplicații web (WAF) inclus în WordPress pentru a avea cel puțin un nivel de bază de protecție de securitate, așa cum avem în Windows cu Windows Defender preinstalat.

Q9. Există un anumit subiect sau conținut despre care ați dori să vedeți mai mult de la furnizorii și profesioniștii de securitate?
Mi-ar plăcea să văd mai multe cazuri de utilizare din viața reală pentru începători, care să explice ce se face în anumite situații de zi cu zi când securitatea este încălcată. Există destul de multe, dar cele mai multe dintre ele sunt vizate de oameni de securitate avansată. Ei folosesc limbaj și instrumente complexe.

Q10. Crezi că poți fi la curent cu știrile despre securitate WordPress sau nu? Daca nu, care crezi ca este problema?
Da, după toți acești ani sunt destul de încrezător că m-am înțeles. Ne-a luat destul de mult timp să testăm și să construim cu atenție caseta noastră combinată cu instrumente de securitate și să ne asigurăm că toată lumea din echipa noastră respectă cele mai bune practici de securitate.