กดปุ่มนี้: นอนหลับสบาย ล็อคบล็อก WordPress ของคุณวันนี้ด้วย Rob Cairns

ยินดีต้อนรับสู่ Press This พอดคาสต์ชุมชน WordPress จาก WMR โฮสต์ David Vogelpohl อยู่ที่นี่พร้อมกับแขกจากทั่วชุมชนเพื่อพูดคุยเกี่ยวกับปัญหาที่ใหญ่ที่สุดที่นักพัฒนา WordPress กำลังเผชิญ ต่อไปนี้เป็นการถอดความจากการบันทึกต้นฉบับ

ขับเคลื่อนโดย RedCircle

David Vogelpohl: สวัสดีทุกคนและยินดีต้อนรับสู่ Press This the WordPress community podcasts on WMR นี่คือโฮสต์ของคุณ David Vogelpohl ฉันสนับสนุนชุมชน WordPress ผ่านบทบาทของฉันที่ WP Engine และฉันชอบที่จะนำเสนอสิ่งที่ดีที่สุดของชุมชนให้คุณได้ยินทุกสัปดาห์ในการกดนี้เพื่อเป็นการเตือนความจำ คุณสามารถหาฉันได้บน Twitter @wpdavidv หรือสมัครรับข่าวสารทาง iTunes, iHeartRadio, Spotify หรือดาวน์โหลดตอนล่าสุดได้ที่ wmr.fm ในตอนนี้ เราจะพูดถึงความปลอดภัยและโดยเฉพาะอย่างยิ่งการนอนหลับที่ดีโดยการล็อคบล็อก WordPress ของคุณ และร่วมสนทนากับเราในวันนี้ ฉันขอต้อนรับสู่ Press This Rob Cairns ร็อบ ยินดีต้อนรับ

Rob Cairns: ขอบคุณ David และขอบคุณที่มีฉัน ชื่นชมมัน

DV: ใช่ ตื่นเต้นมากที่มีคุณอยู่ที่นี่ สำหรับผู้ที่ฟัง Rob อยู่ในการตลาดดิจิทัลและได้สร้างและเพิ่มประสิทธิภาพไซต์ WordPress มาเป็นเวลานาน ในตอนนี้ สิ่งที่ Rob จะกล่าวถึงคือมุมมองของเขาเกี่ยวกับแนวทางที่ดีที่สุด สำหรับการล็อคเว็บไซต์ WordPress ร็อบกำลังจะแบ่งปันความคิดของเขาเกี่ยวกับความปลอดภัยผ่านความมืดมน เป็นความคิดที่ดีหรือไม่? ความคิดที่ไม่ดี ข้อควรพิจารณาเกี่ยวกับรหัสผ่านและระยะเวลาของผู้ใช้ในการอัปเดต WordPress และ PHP และอื่นๆ อีกมากมาย ตื่นเต้นจริงๆ ที่มี Rob มาที่นี่เพื่อพูดคุยในวันนี้ และหลักทรัพย์ของเขาก็มีผู้คนมากมายในทุกวันนี้ กับทุกๆ อย่างที่เกิดขึ้นในโลก และโดยทั่วไปแล้วสัมพันธ์กับความปลอดภัยของเว็บ นี่เป็นตอนที่เหมาะมาก ฉันคิดว่าในขณะที่ผู้คนกำลังคิดว่าจะรักษาความปลอดภัยให้กับประสบการณ์ดิจิทัลของพวกเขาได้อย่างไร ร็อบ ฉันจะถามคำถามแรกกับคุณเหมือนที่ถามแขกคนอื่นๆ ทุกคน คุณช่วยบอกฉันสั้น ๆ เกี่ยวกับเรื่องราวต้นกำเนิดของ WordPress ได้ไหม คุณใช้ WordPress เป็นครั้งแรกเมื่อใด

RC: แน่นอน เดวิด สิ่งที่ฉันควรทำคือพาคุณกลับไปหน่อย ฉันเมื่อประมาณ 20 ปีที่แล้ว ลงทะเบียนโดเมนเป็นเวลา 125 ปีที่แล้ว และเหตุผลหนึ่งที่ฉันให้คืออีเมลฟรีที่ครอบครัวของฉันเคยบ่นว่าฉันเปลี่ยนที่อยู่อีเมลมากกว่าที่คนอื่นเปลี่ยนเสื้อผ้า ดังนั้นฉันจึงจดทะเบียนโดเมน ฉันสร้างเว็บไซต์ HTML แบบคงที่เพราะฉันทำงานด้านเทคโนโลยี และเมื่อประมาณ 15 ปีที่แล้ว ฉันก็แปลงเว็บไซต์แบบสแตติกนั้นเป็นบล็อก และแน่นอน มุมมองของฉันจากเวิร์ดเพรส ฉันออกจากแวดวงการดูแลสุขภาพเมื่อประมาณ 12 ปีที่แล้ว ฉันอยู่ในสายเทคโนโลยีและการดูแลสุขภาพ จากนั้นฉันก็เริ่มสร้างเว็บไซต์เต็มเวลา นั่นคือเรื่องราวที่มาของฉันโดยพื้นฐาน

DV: แล้วคุณจำได้ว่าปีไหนที่เขาเปลี่ยนไซต์ HTML นั้นเป็นบล็อก WordPress เป็นครั้งแรก

RC: น่าจะเป็นโอ้ น่าจะ 26/27 ที่ไหนสักแห่งในนั้น 26. ไม่นานมานี้ ฉันเพิ่งเริ่มใช้ WordPress ใช่.

DV: ใช่ นั่นคงจะเป็นช่วงเวลาที่เหมาะสมของวิดเจ็ตและรหัสย่อ และเปลี่ยน WordPress จากแพลตฟอร์มบล็อกเป็นเว็บไซต์ประเภทที่ฉันค้นพบ

RC: ใช่ ฉันเป็นสิ่งแรกที่ฉันใช้จริงๆ ผู้ที่มีปัญหาจริงๆในช่วงหลายปีที่ผ่านมาคือ ธีมความคืบหน้าเป็นหนึ่งในธีมใหญ่กลุ่มแรกๆ ที่ฉันพัฒนาป้ายปราชญ์ และเราทุกคนในชุมชนทราบความคืบหน้าของประวัติศาสตร์และสิ่งที่เกิดขึ้นที่นั่น ใช่เลย มีอะไรเกิดขึ้นมากมาย ตอนนี้มันเป็นเพชรที่น่าตื่นเต้น เป็นช่วงเวลาที่น่าตื่นเต้น

DV: เยี่ยมมาก ฉันดีใจที่คุณมีบางเรื่องและล็อคไซต์ WordPress ของคุณ ดังนั้นคุณจึงมีตอนที่ดีที่นี่ เร็วจริงๆ. คุณช่วยบอกเราหน่อยเกี่ยวกับการตลาดดิจิทัลของ Dunning ได้ไหม

RC: และใช่แล้ว II บริหารหน่วยงานการตลาดที่ตั้งอยู่ในเขตโตรอนโตของแคนาดา โดยพื้นฐานแล้วเราเป็นจุดแข็งสองประการของการตลาดผ่านอีเมลและการล็อคเว็บไซต์ ฉันหมายความว่าตอนนี้มีลูกค้าจำนวนมากของเรา ผู้คนไม่ต้องการกังวลเกี่ยวกับการรักษาความปลอดภัยของเว็บไซต์เหล่านั้น และนั่นคือพื้นฐานของสิ่งที่เราทำ นานนับปี. เราได้ทำทุกอย่างตั้งแต่โฆษณาแบบจ่ายต่อคลิกไปจนถึงแคมเปญดิจิทัล และฉันได้จำกัดให้แคบลงในช่วงสุดท้าย

DV: เอาล่ะดี ฉันมีเพื่อนมากมายในชุมชน WordPress จากโตรอนโตหรือไม่ ดีใจที่ได้ยินว่าคุณอยู่ใกล้ ๆ เมื่อสิ่งต่าง ๆ เปิดขึ้นและออกไปหาคุณใน WordCamp Toronto ครั้งต่อไป

RC: เราไม่ต้องพูดถึงค่ายโตรอนโตมาสองสามปีแล้ว ฉันก็เลยอยากออกไปเจอผู้คนบ้าง นั่นจะดีมาก

DV: ใช่ มันเป็นเมืองที่วิเศษมาก ฉันสนุกกับมันจริงๆ เรามาเริ่มกันที่หัวข้อกันเลยดีกว่า เมื่อคุณคิดว่าการรักษาความปลอดภัยเป็นกรณีพิเศษ คุณมีเหตุการณ์ด้านความปลอดภัยที่ทำให้คุณให้ความสำคัญกับความปลอดภัยหรือเป็นสิ่งที่พัฒนาขึ้นเมื่อเวลาผ่านไปสำหรับคุณเช่นมีช่วงเวลาหรือหรือปัญหาที่คุณประสบอยู่หรือไม่? หรือเป็นสิ่งที่พัฒนาขึ้นเมื่อเวลาผ่านไป?

RC: อืม มันพัฒนาขึ้นเมื่อเวลาผ่านไป จริงๆ แล้วฉันมีพื้นฐานด้านความปลอดภัยในเซิร์ฟเวอร์ขององค์กร ดังนั้น เมื่อฉันทำงานด้านการดูแลสุขภาพในโรงพยาบาลที่ใหญ่ที่สุดแห่งหนึ่งของ Trumps สิ่งหนึ่งที่ฉันกำลังดูอยู่คือเราจะช่วยทีมเซิร์ฟเวอร์ของเราในเรื่องความปลอดภัยของเซิร์ฟเวอร์หรือเซิร์ฟเวอร์แลกเปลี่ยนของเราได้อย่างไร ซึ่งก็คืออีเมล และเราจะช่วยทีมเซิร์ฟเวอร์ได้อย่างไร ลูกค้าที่ได้รับการศึกษาในสมัยนั้น ปัญหาที่ใหญ่ที่สุดของการดูแลสุขภาพคือการหลอกลวงแบบฟิชชิ่ง? ดังนั้นผู้ที่คลิกลิงก์จึงไม่ควรนำเข้าเอกสารที่มีความปลอดภัย ดังนั้นความสนใจในความปลอดภัยของฉันจึงพัฒนามาจากที่นั่น

DV: สิ่งนี้อธิบายได้มากเกี่ยวกับการมุ่งเน้นของคุณที่การตลาดผ่านอีเมล และข้อเสียที่ฉันเดา เหมือนกับว่าเป็นสาขาวิชาที่แตกต่างกัน แต่มันสมเหตุสมผลกับภูมิหลังด้านการดูแลสุขภาพของคุณ คิดถึงเซิร์ฟเวอร์ Exchange เหล่านั้น ต่อด้วยด้านความปลอดภัยของบุคคลและการดูแลสุขภาพ เซิร์ฟเวอร์ มันสมเหตุสมผลมาก ลองมาที่ด้าน WordPress กัน คุณรู้ไหม เราเห็นข่าวมากมาย คุณรู้ 70 ล้านไซต์มีช่องโหว่ เนื่องจากมีบางไซต์ ปริมาณในปลั๊กอินหรืออะไรทำนองนั้น แต่โดยส่วนตัวแล้วคุณคิดว่า WordPress มีความปลอดภัยโดยเนื้อแท้ แล้วถ้าเป็นเช่นนั้น เพราะอะไรหรือเพราะอะไร

RC: ฉันเห็นด้วย และสิ่งที่ฉันจะพูดก่อนที่เราจะเชื่อถือไซต์ WordPress คือ Microsoft Windows มีปัญหาด้านความปลอดภัย ทุกเดือน Microsoft ออกแพตช์ในสิ่งที่พวกเขาเรียกว่า Patch Tuesday และเป็นระบบปฏิบัติการทางธุรกิจที่ใหญ่ที่สุดในโลก อาร์กิวเมนต์ของฉันคือ ไม่ใช่ว่าเราพบแพตช์ที่เห็นหรือปัญหาด้านความปลอดภัย แต่เป็นวิธีที่เราจัดการกับแพตช์เหล่านั้น และสิ่งที่ฉันชอบเห็นคือการตอบสนองจากผู้ขาย จากตัวอย่างในชีวิตจริง UpdraftPlus หนึ่งในโปรแกรมสำรองข้อมูลที่ใหญ่ที่สุดเมื่อเร็ว ๆ นี้มีความปลอดภัย ปัญหามากมายในช่วงสองสามเดือนที่ผ่านมา แต่สิ่งที่พวกเขาทำได้ดีคือออกแพตช์ให้ทันที ซึ่งสำหรับผู้ที่ไม่รู้ว่ามีการแก้ไขด้านความปลอดภัย และพวกเขาได้จัดการกับพวกเขาอย่างทันท่วงทีและทันท่วงที และสำหรับฉันนั้นสำคัญกว่า ฉันคิดว่า. เมื่อบางสิ่งกลายเป็นมากกว่า 40% ของตลาดหรือกระบวนการ คุณจะมีคนมาจับตาดูมันจากมุมมองด้านความปลอดภัย เพราะตอนนี้มันคุ้มกับเวลาของแฮ็กเกอร์แล้ว

DV: ใช่นั่นเป็นจุดที่ยอดเยี่ยม ฉันมักจะคิดว่ามันเป็นเหมือนผู้เขียนซอฟต์แวร์ที่อาจถูกจูงใจให้อ้างถึงปัญหา นักข่าวที่พยายามหาผู้อ่านจะได้รับการฝึกอบรมให้เล่นปัญหามากเกินไปในประเด็นของคุณ ซอฟต์แวร์สำคัญๆ ทุกชิ้นในชีวิตของคุณหากมีการจัดการอย่างเหมาะสม และให้ความสนใจกับช่องโหว่ที่ค้นพบเมื่อเวลาผ่านไป และแก้ไขจุดอ่อนเหล่านั้นโดยทันที และฉันคิดว่าอีกประเด็นหนึ่งที่ฉันทำคือ WordPress ไม่มีช่องโหว่สาธารณะที่เป็นที่รู้จักในขณะนี้ซึ่งไม่ได้รับการแพตช์ และนั่นคือวิธีที่ฉันคิดเกี่ยวกับมัน ฉันรักที่นี่จริงๆ และฉันก็ชอบที่คุณบอกว่ากระแสลมกำลังเข้าใกล้ลูกบอลที่ถูกค้นพบที่นั่น และฉันคิดว่า ผู้ให้บริการที่ดีจริงๆ จำนวนมากในระบบมีความรับผิดชอบมากมาย พวกเขาทำงานได้ดีมากในการจัดการโทรศัพท์เมื่อได้รับรายงานด้วยวิธีที่รับผิดชอบ ไม่ว่าเสียงของคุณหรืออะไรก็ตามที่คุณเพิ่มเข้าไป

RC: ยังไงก็ตาม ฉัน PodOmatic พวกเขาได้ทำงานที่ยอดเยี่ยมในการแก้ไขช่องโหว่ ฉันรู้ว่าเราเพิ่งออกเวอร์ชัน 5.9 เมื่อเร็วๆ นี้ และเมื่อ 5.9 จุดหนึ่งออกมาเมื่อสัปดาห์ที่แล้ว มันเป็นเพียงการปล่อยการบำรุงรักษา ไม่มีแม้แต่การแก้ไขความปลอดภัยในรุ่นนั้น ความรุ่งโรจน์และฉันคิดว่าระบบอัตโนมัติให้ความสำคัญกับความปลอดภัยเป็นอย่างมาก ใช่เลย พื้นที่ดีๆ

DV : การเปิดเผยของฉันต่อทีมนั้นคือมีคนจำนวนมากในนั้น เช่น ฉันจะบอกว่าประสบการณ์ความปลอดภัยระดับองค์กร ในการเปิดเผยของฉัน พวกเขาได้ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเกี่ยวกับการเปิดเผยข้อมูลอย่างรับผิดชอบและตอบสนองต่อพวกเขา และไม่ใช่แค่ฉันจะพูดถึงทีมหลักของ WordPress แต่ฉันจะบอกว่าทีมปลั๊กอินของ WordPress ด้วย และวิธีที่พวกเขาจัดการช่องโหว่ วิธีที่พวกเขาคิดเกี่ยวกับวันที่ พวกเขาสื่อสารกับผู้เขียน วิธีที่พวกเขาเอาปลั๊กอินออกจาก repo ถ้า พวกมันไม่ได้แพตช์ ไม่รู้สิ ไม่รู้ว่าคุณอินกับมันมากไปหรือเปล่า แต่สิ่งเหล่านี้เป็นสิ่งที่โดดเด่นสำหรับฉัน

RC : ฉันมีเรื่องที่จริงแล้ว ฉันเพิ่งคุยกับ Proteus fetcher ซึ่งเป็นสถาปนิก Gutenberg ที่อ่อนแอเกินไป และเขาบอกว่าทีมของเขาจริงจังกับเรื่องนี้มาก ดังนั้นฉันคิดว่าใครก็ตามที่คิดว่าพวกเขาไม่มี ฉันคิดว่าพวกเขาไม่ค่อยชอบมาร์ค พูดตรงๆ. ฉันคิดว่าพวกเขากำลังเอาจริงเอาจัง พวกเขากำลังฟัง และพวกเขากำลังเปิดเผยอย่างไม่เหมาะสม

DV: ใช่ รู้สึกเหมือนมีแง่ลบมากมายที่เปิดเผยออกมา นั่นคือคุณรู้หัวข้อข่าวที่น่าตื่นเต้นที่ผู้คนตีความในทางที่ผิด แต่และฉันคิดว่าผู้เขียนส่วนใหญ่ที่จริงแล้วชอบอธิบายสิ่งที่เกิดขึ้นอย่างถูกต้องแม่นยำ แค่พาดหัวข่าวนั้นน่ากลัวจริงๆ ในการอ่าน และเป็นกลุ่มเป้าหมายของการรักษาความปลอดภัยและซอฟต์แวร์ และนั่นเป็นเพียงวิธีที่จะได้ผลเสมอ นั่นคือสิ่งที่มันเป็น ดังนั้นฉันจึงต้องการเข้าสู่แนวทางปฏิบัติที่เฉพาะเจาะจงมากขึ้น โดยเฉพาะอย่างยิ่งแนวคิดด้านความปลอดภัยผ่านความมืดมน แต่เรากำลังจะพักครั้งแรก เราจะย้อนเวลากลับไป เพื่อเสียบเข้ากับตัวแบ่งเชิงพาณิชย์ โปรดติดตามข่าวสารเพิ่มเติมในอีกสักครู่นี้ ยินดีต้อนรับทุกคนกลับมากดพอดคาสต์ชุมชน WordPress บน W EMR นี่คือโฮสต์ของคุณ David Vogel พอล. ฉันกำลังสัมภาษณ์ Rob Curtis เกี่ยวกับสื่อดิจิทัลที่น่าทึ่งเกี่ยวกับการล็อกการสร้าง WordPress ของคุณ ปล้นก่อนพัก เรากำลังพูดถึงการรักษาความปลอดภัยโดยธรรมชาติของ WordPress ว่าทีมหลักจัดการกับมันอย่างไร แม้กระทั่งคนในนั้น เช่น ทีมปลั๊กอิน แต่ฉันต้องการเปลี่ยนเกียร์ตอนนี้เพื่อสร้างหัวข้อแขก คุณรู้ไหม คนบางคนมักจะพึ่งพาแนวคิดเรื่องความปลอดภัยผ่านความมืดมน อย่างที่ไม่มีใครสามารถหาสิ่งนี้ได้ ใครสนใจว่ามันไม่ได้ล็อคไว้? ฉันรู้ว่าคุณไม่ใช่แฟนตัวยงของเรื่องนั้น แต่ชอบทำไมและช่วยให้คนเข้าใจ ทำไมจะไม่ล่ะ.

RC: โดยส่วนตัวแล้ว ฉันคิดว่าสองสิ่งนี้จากความสับสนที่หลายคนชอบที่จะทำการเปลี่ยนแปลงและ WordPress ตารางคำนำหน้าฐานข้อมูลของพวกเขา และพวกเขาต้องการเปลี่ยนการเข้าสู่ระบบส่วนหลัง และฉันคิดว่านั่นเป็นแค่การตกแต่งหน้าต่างที่สวยงาม ในตอนท้ายของวัน. ฉันไม่คิดว่าพวกเขาเป็นฉันเอง แฮกเกอร์ส่วนใหญ่มีเครื่องมือที่สามารถสแกนไซต์และค้นหาแบ็กเอนด์ทั้งหมดโดยใช้สคริปต์หรือค้นหาตารางฐานข้อมูล ฉันหมายความว่า ฉันไม่คิดว่าเรื่องแบบนั้นจะมีความสำคัญจริงๆ ในตอนท้ายของวัน ถ้ามันทำให้คุณรู้สึกว่ามีความสามารถทางจิตใจหรือดีขึ้น ไปทำมัน แต่ในท้ายที่สุด ฉันไม่คิดว่ามันให้อะไรมากสำหรับลูกค้าหรือผู้ใช้ปลายทางของคุณ

DV: ใช่ มันเป็นเครื่องมือการค้นพบที่ผู้แสดงไม่ดีใช้ แม้ว่าคุณจะทำให้งงงวย แต่ก็ไม่จำเป็นต้องบรรลุวัตถุประสงค์เสมอไป ฉันจำได้ ย้อนกลับไปในสมัยก่อน ฉันเดาว่ามันน่าจะเป็นช่วงปลายยุค 90 ที่ฉันมีบัญชีเว็บโฮสติ้งฟรีพร้อมงาน และฉันจำได้ว่าอัปโหลดบัตรเครดิตของฉันไปที่มันเพื่อเก็บข้อมูล และฉันก็แบบไม่มีใครรู้ที่อยู่ แต่ความแตกต่างนั้นใหญ่มาก และฉันจำได้ว่าเพื่อนร่วมงานของฉันอับอายอย่างรวดเร็วในเรื่องนั้น นั่นเป็นบทเรียนที่ฉันได้เรียนรู้ในตอนนั้น โอเค นั่นเป็นจุดที่ดีในการรักษาความปลอดภัยผ่านความมืดมน และการที่ผู้ร้ายสามารถใช้ชุดเครื่องมือต่างๆ ของพวกเขาเพื่อล้มล้างสิ่งนั้นได้ อย่างที่ฉันดู ความปลอดภัย และคุณพูดถึงเรื่องนี้ ฉันคิดว่าก่อนหน้านี้นิดหน่อย แต่คุณรู้ไหม หลายคนพูดถึง คุณรู้ไหม คนในองค์กรของคุณมีความเสี่ยงสูงสุดต่อความปลอดภัยของคุณ . คุณจะจัดการกับมันอย่างไร? ด้วยสิ่งต่างๆ เช่น นโยบายรหัสผ่านหรือวิธีการอื่นๆ ภายใน WordPress ของคุณ

RC: สิ่งแรกที่ฉันชอบทำคือ โดยเฉพาะอย่างยิ่งสำหรับบัญชีผู้ดูแลระบบที่มีรหัสผ่านที่รัดกุมและซับซ้อน ฉันมักจะแนะนำให้ผู้ที่ใช้โปรแกรมสร้างรหัสผ่านไม่เก็บใช้รหัสผ่านที่อยู่ในพจนานุกรม ฉันคิดว่ามันเป็นความคิดที่แย่จริงๆ ทำให้นานที่สุดเท่าที่จะเป็นไปได้และผู้คนจะพูดว่า โอ้ ฉันจำไม่ได้ นั่นคือเมื่อคุณต้องใช้เวลาและให้ผู้จัดการรหัสผ่านเลือก LastPass หนึ่งรหัสผ่านบิต Warden ซึ่งเป็นเหตุผลที่ Password Manager เลือกที่จะหารหัสผ่านที่เหมาะกับคุณ และเริ่มใช้รหัสผ่านที่ซับซ้อนซึ่งคุณไม่ได้ใช้ที่อื่น และถ้าคุณไม่เชื่อว่ามีไซต์ที่ดีจริงๆ ที่เรียกว่า ถ้าคุณถูกจำนำ และสิ่งที่จะทำคือบอกที่อยู่อีเมลของคุณและรหัสผ่านของคุณถูกพบที่อื่นบนอินเทอร์เน็ตในช่องโหว่ที่ทราบกันดีอยู่แล้ว ดังนั้น สามารถใช้รหัสผ่านที่ปลอดภัยทั้งตัวเลขและตัวอักษร และคุณก็รู้ อักขระพิเศษ และทำสิ่งเหล่านั้นทั้งหมด และฉันรู้ว่าคนเคยหวังทั้งหมดนี้มาก่อน แต่ฉันไม่คิดว่าจะมีคนทำมากพอ

DV: เหมือนกับที่เกี่ยวกับใบเรียกเก็บเงิน จากนั้นในมุมมองของการกำหนดค่า คุณกำลังคิดที่จะบังคับรหัสผ่านที่คาดเดายาก แต่ดูเหมือนว่าคุณกำลังคิดถึงการฝึกอบรมซึ่งเป็นส่วนหนึ่งของสิ่งนี้ เช่น คุณกำลังฝึกอบรมผู้ที่จะใช้ไซต์ของคุณ ได้สร้างรหัสผ่านที่ถูกต้อง การปฏิบัติ

RC: ไม่มีคำถามเกี่ยวกับสิ่งนั้นและใช้ซอฟต์แวร์เพื่อบังคับและเปลี่ยนรหัสผ่านผู้ดูแลระบบเหล่านั้นเป็นประจำ ฉันมักจะบังคับให้เปลี่ยนทุก 90 วัน นั่นคือสิ่งที่พวกเขาทำในโลกธุรกิจและมีเหตุผลสำหรับมัน และฉันคิดว่ามันเป็นความคิดที่ดีบนเว็บไซต์ WordPress

DV: โอ้น่าสนใจ คุณรู้ไหม ได้ยินการแก้ไขล่าสุดที่ไม่แนะนำ แต่ฉันไม่ใช่ผู้เชี่ยวชาญ ดังนั้นฉันจะไม่ถามคุณที่นั่น แต่ฉันคิดว่าสิ่งเหล่านี้เป็นแนวทางปฏิบัติที่ดีอย่างเห็นได้ชัด ฉันชอบที่จะเสริมกำลังกับคน เขาใช้รหัสผ่านที่ไม่ซ้ำกันต่อไซต์ อีกอย่าง Rob คุณเป็นเกมเมอร์หรือเปล่า

RC : เมื่อก่อนผมไม่ค่อยได้เล่นเกมเท่าไหร่ เพราะพูดตรงๆ ว่าสุดท้ายแล้วถ้าผมเริ่มเล่น ผมจะซึมเข้าไป

DV : โอเค ใจเย็นๆ นั่นคือการคิดจากมุมมองของรหัสผ่านจริงๆ ว่าเป็นการบังคับใช้นโยบายที่รัดกุม แต่ยังรวมถึงการฝึกอบรมผู้ใช้ของคุณด้วย มีอะไรอีกในการฝึกอบรมหรือด้านอื่น ๆ ที่จำกัดความเสี่ยงหรือไม่?

RC: ผู้คนไม่ได้ให้บทบาทของผู้คนในแดชบอร์ด WordPress พวกเขาไม่กินดังนั้นใครบางคนจะทำเพียงแค่โพสต์บล็อกไม่ให้บทบาทผู้ดูแลระบบแก่เขาไม่ว่าพวกเขาจะกรีดร้องแค่ไหนและควรค่าแก่การกล่าวขวัญว่า WP Engine มีปลั๊กอินโปรแกรม CMS ฉลากขาวที่ดีจริง ๆ ที่ฉันเคยใช้ หลายครั้งคือถ้ามีคนกระจายสิทธิ์ของผู้ดูแลระบบ และฉันรู้ว่าฉันไม่ต้องการให้พวกเขาเข้าถึงส่วนนั้น ทั้งหมดติดตั้ง CMS ฉลากขาวโดย WP Engine และล็อกออกจากบางส่วนของเว็บไซต์ ให้สิ่งที่พวกเขาต้องการจริงๆ ไม่ใช่ทุกอย่าง และนั่นก็เป็นเรื่องใหญ่เช่นกัน

DV : ใช่ ฉันไม่คุ้นเคยกับปลั๊กอินนี้ ฉันจะต้องไปดูรอบๆ คุณคิดว่าการทำงานที่นี่ ฉันรู้ว่าคุณแน่ใจหรือว่าเราสร้างมันขึ้นมา? ฉันคิดอย่างนั้น. โอเค ผิด แต่ประเด็นสำคัญที่นี่คือการจำกัดบทบาทผู้ดูแลระบบ และฉันตรวจสอบกระดูกต่างๆ ใน ​​repo ปลั๊กอิน WordPress และเช่นเดียวกับช่องโหว่จำนวนมากที่รายงานเป็นช่องโหว่ของสคริปต์ข้ามไซต์ ใช่ และหลายๆ อย่างจำกัดเฉพาะบทบาทผู้ดูแลระบบและผู้เขียนปลั๊กอินมักจะตอบสนองได้ดี เป็นเพียงผู้ดูแลระบบเท่านั้นที่มีสิทธิ์เข้าถึง ใครจะสนล่ะ และคุณกำลังชี้ให้เห็นว่ามีผู้ใช้บางคนที่บางทีคุณอาจไว้ใจพวกเขา แต่บางทีคุณอาจไม่ไว้ใจพวกเขาในระดับซอฟต์แวร์

RC : ไม่ล้อเล่น ฉันมีลูกค้ารายหนึ่งในขณะนี้ที่ฉันจะไม่ให้บทบาทผู้ดูแลพนักงานของเขาหากชีวิตของฉันขึ้นอยู่กับมัน เพราะฉันรู้ว่าจะเกิดอะไรขึ้น ฉันก็เลยบอกว่าไม่

DV : ใช่ และมันอยู่ในความคิดของคุณ เช่น มันคือไซต์ของพวกเขา ใครสนใจสิ่งที่พวกเขาทำ ฉันเดาว่า คุณก็รู้ มีลูกค้าประเภทนั้นทำลายความเข้าใจของพวกเขาอยู่เสมอ แต่เช่นเดียวกับการอนุญาตระดับสูงเหล่านั้น เมื่อพวกเขาเข้าสู่ระบบในสิ่งต่าง ๆ เช่น ช่องโหว่ของสคริปต์ข้ามไซต์สามารถมีบทบาทที่ใหญ่กว่า ดังนั้นสำหรับผู้ใช้มือใหม่ โดยการตัดมันออกด้วยการเข้าถึงที่คุณอนุญาต ในบทบาทของพวกเขาในบทบาทของผู้ใช้ คุณกำลังช่วยลดความเสี่ยงสำหรับพวกเขาในฐานะลูกค้า

RC: ใช่ จริง และคุณกำลังช่วยเหลือพวกเขาจริงๆ ไม่ใช่การก่อความเสียหายในระยะยาว

DV: แน่นอน ฉันเดาว่าคุณน่าจะให้บางอย่างกับพวกเขา เช่น โอเค นี่คือผู้ดูแลระบบตัวจริง แต่อย่าลงชื่อเข้าใช้ a เป็นอย่างอื่นอีกประเภทหนึ่ง เห็นได้ชัดว่าฉันไม่ชอบปิดกั้นพวกเขาจากความเข้าใจอย่างถ่องแท้

RC: และอีกอย่างที่ต้องทำก็คือถ้ามันเป็น Insight ที่สูงจริง ๆ ฉันมี Insights สูงบางตัวที่ติดตั้งการตรวจสอบสิทธิ์แบบสองปัจจัยซึ่งช่วยได้เช่นกันนอกจากรหัสผ่าน จากนั้นพวกเขาต้องการแอปบนสมาร์ทโฟนหรืออย่างอื่นเพื่อเข้า และนั่นก็ล็อคมันลงไปอีกขั้นหนึ่ง นั่นเป็นส่วนใหญ่ที่ฉันนึกถึงความปลอดภัยของรหัสผ่าน

DV: WP Engine และโฮสต์อื่นๆ ทำเช่นนี้ เรามีเช่น a โดยพื้นฐานแล้วเป็นสัญญาณเดียวในการแก้ปัญหาที่คุณสามารถตีกลับระหว่างการกดคำของคุณ แต่มันยังรวมเอาสองปัจจัยใหญ่ๆ เข้าไว้ด้วยกัน ด้วยเหตุผลที่คุณใส่ไว้ ฉันไม่อยากจะเชื่อเลยว่าเราไม่เคยพูดถึงเรื่องนี้มาก่อนในฐานะรหัสผ่านส่วนใหญ่ หวัดดีค่ะ ขอเปลี่ยนเกียร์หน่อย เมื่อคุณนึกถึง คุณก็รู้ว่ามีปฏิกิริยาต่อการอัปเดต WordPress, PHP และปลั๊กอิน คุณคิดอย่างไรเกี่ยวกับกลยุทธ์ของคุณในการทำเช่นนั้นในแบบที่คุณรู้สึกว่าทำให้คุณมีโอกาสประสบความสำเร็จด้านความปลอดภัยมากที่สุด?

RC: ก่อนอื่น ก่อนที่คุณจะทำการอัปเดตที่สำคัญใดๆ จะต้องสำรองข้อมูลไว้ อย่าพึ่งพาโฮสต์ของคุณโดยใช้ปลั๊กอิน WordPress ตัวเลือกของฉันคือ Updraft Plus Pro ในตอนนี้ นั่นคือสิ่งที่คุณควรทำเพื่อสำรองข้อมูล นอกจากนี้ ให้ทดสอบข้อมูลสำรองของคุณก่อนที่คุณจะต้องการใช้ อย่ารอจนกว่าคุณจะต้องสำรองข้อมูล การสำรองข้อมูลที่ดีเท่านั้นคือความสามารถในการกู้คืน ได้รับการทดสอบบนไซต์การแสดงละครหรือแซนด์บ็อกซ์ผู้สาธิต ก่อนที่คุณจะต้องการใช้เป็นประจำ

DV: เป็นจุดที่ดีเพราะเช่นคุณสามารถสำรองข้อมูลบางอย่างอาจผิดพลาดและคุณต้องพึ่งพามันและทันใดนั้นการสำรองข้อมูลก็ไม่ดี

RC: ฉันเคยเห็นสิ่งนั้นเกิดขึ้นเช่นกัน มาก. แน่นอน. ฉันเคยไปที่นั่น. เราไปกันแต่เช้าเลยต้องตื่น 6 โมงเช้า อีกอย่างคือฉันมักจะทำการอัปเดตหลัก ดังนั้นนี่คือ WordPress เองที่อัปเดตได้ดีทันทีที่ออกมา ฉันเป็นแฟนตัวยงของการอัปเดตโดยเฉพาะการแก้ไขด้านความปลอดภัยในการอัปเดต การอัปเดตจำนวนมากอยู่ระหว่างการอัปเดตที่ฉันมักจะทำไม่ช้าก็เร็ว ในแง่ของปลั๊กอิน เขาสามารถมองไปรอบๆ ได้อย่างดี ตัวอย่างเช่น โดยที่ฉันหมายความว่าคุณต้องแน่ใจว่าไม่มีการขึ้นต่อกันที่เป็นที่รู้จักซึ่งปลั๊กอินตัวหนึ่งไม่สามารถเล่นกับปลั๊กอินอื่นได้ดี เราทุกคนเห็นแล้วว่า ทำการบ้านล่วงหน้าหากคุณต้องทำการทดสอบในแซนด์บ็อกซ์ ให้ทำอย่างนั้น

DV: ดังนั้นฉันชอบไปข้างหน้า ฉันจะพูดแบบ ฉันคิดว่าจุดทดสอบมีความชัดเจนมาก ฉันก็เลยคิดว่า อย่างเมื่อคุณเห็นการปลดปล่อย และคุณคิดว่า ผมของฉันติดไฟหรือไม่? ฉันค่อนข้างสงสัย เช่น คุณคิดอย่างไรเกี่ยวกับการตีความสิ่งต่างๆ เช่น บันทึกประจำรุ่น ฉันต้องการที่จะได้รับความคิดของคุณเกี่ยวกับเรื่องนั้น เราจะพักกันครั้งสุดท้าย แล้วเราจะกลับมา ถึงเวลาเสียบเข้ากับช่วงพักโฆษณา โปรดติดตามข่าวสารเพิ่มเติมในอีกสักครู่นี้ ยินดีต้อนรับทุกคนกลับมากดพอดคาสต์ชุมชน WordPress บน W Mr. เรากำลังพูดถึงการล็อคการสร้าง WordPress ของคุณด้วย Rob Curtis ร็อบ ก่อนพักเบรค เรากำลังพูดถึงกลยุทธ์ของคุณเล็กน้อยเกี่ยวกับการจัดการการอัปเดต WordPress, PHP และปลั๊กอิน และฉันก็พูดพาดพิงถึงคำถามต่อไปของฉัน ซึ่งก็คือ คุณจะรู้ได้อย่างไรว่าเมื่อคุณเห็นการวางจำหน่ายที่ออกมา โดยอาจมีการกล่าวถึงความปลอดภัยที่กล่าวถึงในบันทึกประจำรุ่นว่านั่นคือสิ่งที่คุณควรกังวลจริงๆ ใช่ไหม วินาทีหรือว่าคุณมีเวลาน้อย?

RC: ใช่ สิ่งที่ฉันมักจะทำกับการเผยแพร่คือในชุมชน WordPress รุ่นส่วนใหญ่มีผู้สมัครรับการปล่อยตัว จากนั้นพวกเขาจะไปทำรุ่นเบต้าแล้วจึงจะออกสู่รุ่น ตอนนี้มีการเปิดตัวเล็กน้อย พวกเขาเพิ่งเปิดตัวด้วยการเปิดตัวครั้งใหญ่ จริงๆ แล้วพวกเขามีปาร์ตี้เปิดตัวใน Slack ซึ่งพวกเขาทำการทดสอบขั้นสุดท้าย และฉันได้ผ่านปาร์ตี้การปล่อยตัวเหล่านั้นมาบ้างแล้ว และพวกเขาค่อนข้างน่าสนใจ สิ่งที่ฉันอยากจะแนะนำคืออ่านให้มากที่สุดเท่าที่จะทำได้จาก wordpress.org อ่านให้มากที่สุดเท่าที่จะทำได้เกี่ยวกับการปล่อยตัวผู้สมัคร แต่ยังอ่านแหล่งข้อมูลของบุคคลที่สามด้วย และอีกสองสามข้อที่สำคัญคือสิ่งที่พวกเขานำเสนอในบล็อกการรักษาความปลอดภัยทั่วไป อ่านเล็กน้อยเกี่ยวกับบางสิ่งใน WordFence ที่พวกเขานำเสนอข้อมูลที่ดีจริงๆ และแม้แต่สถานที่เช่น Hacker News และ Search Engine Journal และสถานที่เช่นนั้น พวกเขาพูดคุยกันเล็กน้อยเกี่ยวกับสิ่งที่กำลังจะเผยแพร่ และมันสำคัญเพราะยิ่งคุณมีการศึกษามากเท่าไหร่ คุณก็จะสามารถรับมือได้ดีขึ้นเท่านั้น ดังนั้นฉันคิดว่าแหล่งความรู้ในกรณีนี้จริงๆ

DV: คุณใช้ WP DB มาก่อนเพื่อวิเคราะห์แพตช์ความปลอดภัยต่างๆ ที่เข้ามาในปลั๊กอินหรือธีมหรืออะไรก็ตาม

RC : ใช่ มันมี และฉันยังเคยใช้ไซต์ของบุคคลที่สาม เช่น การรักษาความปลอดภัยเพื่อทำการสแกน ดังนั้นฉันจึงใช้วิธีไปที่วิเคราะห์ พูดคุยกับผู้คน ฟัง คุณต้องก้มหน้าลงกับพื้น มีหลายสิ่งที่ต้องช่วยเหลือ และฉันคิดว่าสิ่งเหล่านี้เป็นเครื่องมือที่มีประโยชน์

DV: ดังนั้น แพตช์ที่ออกมาโดยพื้นฐานแล้ว คุณจะรู้ว่ามันกำลังจะออกมา คุณค้นคว้าว่ามีอะไรอยู่ในแพตช์นี้ และมันกำลังพูดถึงอะไร จากนั้นฉันเดาจากที่นั่น คุณกำลังพยายามหาว่าคุณมีความเสี่ยงมากแค่ไหน ในแง่ของเวลาและพลังงานที่คุณจะใส่ลงไปตอนนี้ เหมือนกับที่ฉันพูดถึงปริมาณการเขียนสคริปต์ข้ามไซต์ที่เชื่อมต่อกับบัญชีผู้ดูแลระบบ เหมือนกับว่าไซต์ของคุณเป็นผู้ดูแลระบบเพียงคนเดียว ฉันเดาว่าคุณคงไม่อยากอัปเดตทันที แต่ถ้าคุณมีผู้ดูแลระบบหลายสิบคน คุณก็แบบ โอ้ ฉันไม่รู้ว่าพวกเขากำลังทำอะไร แล้วคุณน่าจะด่วนกว่านี้ไหม ยุติธรรมไหม? แต่คุณคิดอย่างไรเกี่ยวกับเรื่องนี้?

RC: อืมใช่และไม่ใช่ และเหตุผลก็คือ และสำหรับการระบาดใหญ่บางอย่างที่เริ่มต้นขึ้น เราทุกคนรู้ว่าแฮกเกอร์เบื่อบ้าน ดังนั้นฉันจึงเคยอัปเดตความปลอดภัยให้กับลูกค้าสัปดาห์ละครั้ง โดยปกติในวันเสาร์หรือวันอาทิตย์ เชื่อหรือไม่ ตอนนี้ฉันดูเว็บไซต์และด้านความปลอดภัยสามครั้งต่อสัปดาห์ เพราะฉันพยายามที่จะลดความเสี่ยง และด้วยความที่แฮ็กเกอร์ทั้งบ้านและเบื่อหน่าย และตอนนี้สิ่งที่เกิดขึ้นในยูเครน ขณะที่เราบันทึกไว้ พื้นที่รักษาความปลอดภัยเป็นพื้นที่ที่ยากลำบากมากในขณะนี้ ดังนั้นฉันคิดว่าคุณต้องยกระดับความรู้ของคุณและสิ่งที่คุณทำแทนที่จะยกระดับ และฉันคิดว่านั่นสำคัญมาก

DV : ใช่ ฉันเห็นสิ่งที่คุณพูดในจุดยืนที่ก้าวร้าวมากขึ้น โดยเฉพาะกับความเสี่ยงทั้งหมดที่มีอยู่ เอาล่ะ คำถามต่อไป คุณเห็นว่าโฮสติ้งมีบทบาทอย่างไรในแนวทางการรักษาความปลอดภัยของคุณ?

RC: ฉันชอบคำถามนั้น เพราะคนส่วนใหญ่ไม่คิดว่าโฮสต์มีความสำคัญ และฉันก็บอกว่าโฮสต์ของคุณเป็นหุ้นส่วนของคุณในธุรกิจ คุณไม่เพียงแค่จ้าง และด้วยเหตุนั้น ฉันหมายความว่าคุณต้องทำการสอบสวนและดูว่าคุณกำลังดำเนินแผนประเภทใด ครั้งแรกที่คุณพบว่าหินมีสิ่งที่ดีที่สุดเสมอสิ่งที่เป็นชื่อเสียงของโฮสต์และดูว่าพวกเขากำลังทำอะไรจากมุมมองด้านความปลอดภัยบนไฟร์วอลล์ของพวกเขาในตอนท้ายเพื่อช่วยให้คุณเป็นเจ้าของเว็บไซต์จากมุมมองของพวกเขา โฮสต์บางคนและฉัน จะไม่เรียกพวกเขาออกไปทั้งคู่ทำงานได้ดีมากและเจ้าของบ้านบางคนก็ทำงานที่ยอดเยี่ยมจริงๆ ฉันคิดว่าคุณต้องดูสิ่งเหล่านั้นและปฏิบัติต่อพวกเขาเหมือนเป็นคู่หูของคุณ

DV: นั่นเป็นจุดที่ยุติธรรมอย่างแน่นอน เพราะพวกเขาทำงานให้เรา ฉันเห็นด้วยกับบางประเด็นอย่างแน่นอน ฉันคิดว่าสิ่งหนึ่งที่ให้กำลังใจที่ฉันเคยเห็นในชุมชน WordPress คือโฮสต์ที่หลากหลายซึ่งเข้าร่วมในการสนทนาด้านความปลอดภัยเพื่อให้แน่ใจว่าไซต์ WordPress ถูกล็อค แต่ใช่ ระดับความลึกเป็นเรื่องใหญ่ที่วิวัฒนาการอย่างแน่นอน ฉันเฝ้าติดตามช่อง Slack ภายในที่ทีมรักษาความปลอดภัยของเราตรวจสอบว่าเราใช้เพื่อส่งอีเมลแจ้งเตือนไปยังลูกค้าของเรา เมื่อมีปลั๊กอินที่มีกระดูก ใช่ เราจะไปให้ไกลกว่านั้นแน่นอน เรื่องนี้น่าสนใจอย่างเหลือเชื่อ ร็อบ ฉันคิดว่าเราอาจจะคุยกันได้ทั้งวัน แต่เราก็มาถึงจุดสิ้นสุดที่นี่ ขอบคุณมากสำหรับการเข้าร่วมกับเราในวันนี้

RC: ความสุขของฉันสนุกมาก เดวิดและฉันหวังว่ามันจะช่วยคนอื่นได้บ้าง

DV: ใช่ ฉันคิดอย่างนั้น วันนี้มีคะแนนดีๆ ที่คุณทำพลาดไปบ้าง และฉันก็ชอบบทสนทนานี้มาก และทุกคนที่ฟังก็อยากเรียนรู้เพิ่มเติมเกี่ยวกับสิ่งที่ Rob กำลังทำอยู่ คุณสามารถไปที่ StunningDigitalmarketing.com ขอบคุณสำหรับการฟังพอดแคสต์ชุมชน Press This WordPress บน WMR นี่คือโฮสต์ของคุณ David Vogelpohl ฉันสนับสนุนชุมชน WordPress ผ่านบทบาทของฉันที่ WP Engine และฉันชอบที่จะนำสิ่งที่ดีที่สุดของชุมชนมาให้คุณที่นี่ทุกสัปดาห์ใน Press This