Ivica Delic ile WordPress uzmanları ve güvenlik üzerine röportaj

Yayınlanan: 2019-09-05

Şimdiye kadar sadece uygulama ve WordPress güvenliğinden anlayan ve çalışan kişilerle görüştük. Her zaman satıcıların sesini duyduk. Ancak, bu röportajda farklı bir yaklaşım izledik. Güvenlik konusunda bir WordPress uzmanı olan Ivica Delic ile röportaj yaptık. Bu röportajın kapsamı, güvenliğin belki de ekiplerinin fincanı olmadığı WordPress profesyonellerinin güvenlik ürünlerini ve hizmetlerini nasıl gördüğünü ve anladığını daha iyi anlamaktır. Bu röportaj ayrıca, nerede geliştirebileceğimizi ve bu profesyonellerin müşterilerinin web sitelerini güvende tutmak için neler yaptığını anlamamıza yardımcı oluyor.

Ivica Delic, WordPress uzmanı Ivica Delic, 2011'den beri WordPress ile çalışıyor ve FreelancersTools.com'un kurucu ortağı. WordPress topluluğunda gönüllü oldu ve WordPress web sitelerini hızlandırma konusunda çok sayıda WP Meetup'a katıldı ve sunum yaptı. Ivica, çeşitli WordPress konularında birkaç popüler Facebook grubu kurdu. Birlikte 150.000'den fazla üyesi olan 25'ten fazla Facebook grubunda yöneticidir. Ivica, Ekonomi alanında Yüksek Lisans derecesi ile mezun oldu ve bankacılık sektöründe 20 yılı aşkın ekip yönetiminden sonra, müşterilere WordPress web sitelerini ve dijital pazarlama ihtiyaçlarını yönetmede yardımcı olmaya odaklanan bir dijital pazar şirketi olan Confida'nın kurucu ortağı oldu.

Görüşme

S1: Yeni bir WordPress web sitesi kurarken uyguladığınız/takip ettiğiniz ilk 5 en iyi güvenlik uygulaması nelerdir?

Birincisi, iyi ve güvenilir bir WordPress barındırma seçmektir. Pek çok web barındırıcısı ile çalıştım ve çok iyileri var. İşimin çoğu için SiteGround'u kullanıyorum.

İkinci en iyi uygulama, iyi bir yedekleme stratejisi uygulamaktır. Mümkün olduğunda her zaman BlogVault gibi bir çevrimiçi hizmet kullanırım. Bu, yedekleri site dışında ve güvenli bir yerde saklamayı mümkün kılar.

Sonra bir dizi WordPress güvenlik aracı ve eklentisi yüklüyorum. Tüm müşterilerimize her zaman web sitesinin savunmasının son satırı olarak MalCare ve WP Activity Log'u tavsiye ederim.

Kalan iki en iyi uygulama, kullanıcılarımız için önerilerdir; benzersiz ve güçlü WordPress şifreleri kullanın ve WordPress çekirdeğinizi, temanızı, eklentilerinizi, PHP'nizi ve web sunucunuzdaki ve bilgisayarınızdaki tüm yazılımları her zaman güncel tutun. Mümkünse bir virüsten koruma / kötü amaçlı yazılımdan koruma yazılımı kullanın.

S2. WordPress güvenlik eklentilerini ve hizmetlerini uygulamayı ve kullanmayı kolay buluyor musunuz?

Son yıllarda birçok güvenlik eklentisini ve aracını test ettik. Uygulaması ve kullanımı çok kolay olanlar var. Bununla birlikte, bazılarının kullanımı çok zordur ve yarardan çok zarar verirler. Kullanıcının karar vermesi için çok şey bırakırlar, ancak kullanıcıların ve profesyonellerin çoğu güvenlik konusunda bilgili değildir. Bu nedenle, bu eklentileri ezici buluyorlar ve web sitelerinin altında veya aşırı koruma altında kalıyorlar.

Çoğu zaman, kullanıcılar karmaşık güvenlik eklentilerini yanlış yapılandırır. Örneğin, güvenlik eklentisi tarafından kendi web sitelerinden kilitlenirler veya tüm etkin bağlantılı resimleri artık yüklenmiyor. Veya dosya bütünlüğü izleme özelliğine sahip bazı güvenlik eklentileri, günlük dosyasındaki bir değişikliğin muhtemelen kötü amaçlı olduğunu bildiriyor. Kullanıcılar, örneğin bir günlük dosyasındaki bir değişikliğin kötü amaçlı olmadığını veya etkin bağlantılı görüntülerin neden çalışmadığını anlamadıkları için bu konuda paniğe kapılırlar.

S3. Güvenlik eklentilerini / ürünlerini / hizmetlerini uygularken veya kullanırken karşılaştığınız en büyük zorluk / zorluk neydi?

Bir önceki soruyla ilgili olarak – şahsen karşılaştığım en büyük zorluk, aşina olmayabileceğim bir müşterinin web sitesinde kullanılan güvenlik araçlarını test etmem ve kontrol etmem gerektiğiydi. Bazen bir müşterinin web sitesinin yönetimini devralırız ve tüm güvenlik çözümlerinin çakışan işlevler olmadan birlikte düzgün çalıştığını kontrol etmemiz gerekir. Site yöneticilerini engellemek gibi istenmeyen davranışlardan kaçınmak için aralarında uyumluluk sorunu olmadığından emin olmalıyız.

S4. WordPress güvenliği hakkında bilgi edinmek için herhangi bir güvenlik web sitesini takip ediyor musunuz yoksa profesyonellere mi bırakıyorsunuz? Yoksa ikisinden de biraz mı?

Birçok WP güvenlik uzmanının yayınladığı birkaç WordPress Güvenlik Facebook Grubunun üyesi ve yöneticisiyim. İlgili tüm güvenlik haberlerini ve güvenlikle ilgili pratik tavsiyeleri / en iyi uygulamaları takip eder ve okurum. Bununla birlikte, virüslü siteleri temizlemenin karmaşık görevi (hala) ustalaşmadım. Bu gibi durumlarda profesyonellere güvenirim.

S5. Çevrimiçi bir WordPress güvenlik duvarı hizmeti kullanmayı mı yoksa sitenize bir WordPress güvenlik duvarı eklentisi yüklemeyi mi tercih ediyorsunuz? Sebebini açıkla.

Çevrimiçi bir WordPress Web Uygulaması Güvenlik Duvarı (WAF) hizmeti kullanmayı tercih ediyorum. Tüm uzmanlar, WAF'ın bilgisayar korsanlarına ve DDoS saldırılarına karşı çok daha iyi bir güvenlik katmanı olduğunu söylüyor. WAF, kötü amaçlı her şeyi sitenize ulaşmadan önce algılayabilir ve engelleyebilir. Ne yazık ki, WordPress eklentileri web sitesini içeriden savunmaya çalıştıkları için bunu sağlayamazlar.

S6. Sizce WordPress sitelerinin saldırıya uğramasının en önemli üç nedeni nelerdir?

Diğer birçok profesyonelle aynı görüşü paylaşıyorum:

  • güvensiz web siteleri barındırma,
  • zayıf ve tahmin edilmesi kolay şifrelerin kullanılması,
  • eski WordPress çekirdeği, tema, eklentiler, PHP ve diğer yazılımlar.

Ekstra bir ipucu eklememde sakınca yoksa, web sitenize ve işinize önem veriyorsanız boş eklentiler ve temalar kurmayın.

S7: WordPress güvenlik endüstrisinin/satıcılarının, sizin gibi güvenliği bir fincan çay olmayan daha fazla profesyonele, müşterilerinin web sitelerini daha iyi anlamalarına ve korumalarına yardımcı olmak için neler yapabileceğini düşünüyorsunuz?

Kısacası, kullanıcı için çok daha kolay hale getirmeleri gerekiyor. Bunu şu şekilde yapabilirler:

  • güvenlik aracının daha kolay ve daha hızlı uygulanması için daha fazla Sihirbaz oluşturma,
  • "en iyi uygulamaları" otomatik olarak uygular, böylece kullanıcının yapması gereken pek bir şey kalmaz,
  • bir uyarı sistemi uygulayın, böylece aynı siteye çakışan özelliklere sahip bazı güvenlik araçları yüklendiğinde, kullanıcıya sorun hakkında bilgi verilir.

S8. WordPress çekirdeğine varsayılan olarak dahil edilecek bir güvenlik özelliği seçebilseydiniz, bu ne olurdu ve neden?

Windows'ta önceden yüklenmiş Windows Defender'da olduğu gibi, güvenlik korumasının en azından temel katmanına sahip olmak için WordPress'te bulunan web uygulaması güvenlik duvarı (WAF) hizmetini görmek istiyorum.

S9. Güvenlik sağlayıcılarından ve profesyonellerinden daha fazla görmek istediğiniz belirli bir konu veya içerik var mı?
Yeni başlayanlar için, güvenlik ihlal edildiğinde özellikle günlük durumlarda ne yapıldığını açıklayan daha fazla gerçek yaşam kullanım örnekleri görmek istiyorum. Dışarıda epeyce var ama çoğu gelişmiş güvenlik görevlilerini hedef alıyor. Karmaşık bir dil ve araçlar kullanırlar.

S10. WordPress güvenlik haberlerini güncel tutabileceğinizi düşünüyor musunuz? Değilse, sizce sorun nedir?
Evet, bunca yıldan sonra, işi çözdüğümden oldukça eminim. Güvenlik Araçları Açılan Kutumuzu test etmek ve dikkatli bir şekilde oluşturmak ve ekibimizdeki herkesin en iyi güvenlik uygulamalarını takip etmesini sağlamak oldukça zaman aldı.