Buna basın: İyi Uyuyun. WordPress Derlemelerinizi Bugün Rob Cairns ile Kilitleyin
Yayınlanan: 2022-03-09WMR'nin WordPress topluluğu podcast'i Press This'e hoş geldiniz. Burada ev sahibi David Vogelpohl, WordPress geliştiricilerinin karşılaştığı en büyük sorunlar hakkında konuşmak için topluluğun dört bir yanından konuklarla oturuyor. Aşağıdaki orijinal kaydın bir transkripsiyonudur.
RedCircle tarafından desteklenmektedir
David Vogelpohl: Herkese merhaba ve WordPress topluluğu WMR'de yayın yapan Press This'e hoş geldiniz. Bu, sunucunuz David Vogelpohl, WP Engine'deki rolüm aracılığıyla WordPress topluluğunu destekliyorum ve her hafta basında duyduğumuz topluluğun en iyilerini size ulaştırmayı seviyorum, bunu bir hatırlatma olarak, beni Twitter'da bulabilirsiniz @wpdavidv veya iTunes, iHeartRadio, Spotify'da buna basmak için abone olabilir veya en son bölümleri wmr.fm'den indirebilirsiniz. Bu bölümde, WordPress yapınızı kilitleyerek güvenlik ve özellikle iyi uyku hakkında konuşacağız. Ve bugün bu sohbet için bize katılıyorsunuz. Press This'e hoş geldiniz, Rob Cairns. Rob, hoşgeldin.
Rob Cairns: Teşekkür ederim David ve bana sahip olduğun için teşekkür ederim. Bunu takdir et.
DV: Evet, burada olduğun için çok heyecanlıyım. Dinleyenler için. Rob dijital pazarlamada ve uzun süredir WordPress siteleri kuruyor ve optimize ediyor. Bu bölümde, Rob'un ele alacağı şey, en iyi yaklaşımlar hakkındaki görüşleridir. WordPress sitelerini kilitlemek için Rob, güvenlik konusundaki düşüncelerini belirsizlik yoluyla paylaşacak. Bu iyi bir fikir mi? Kötü fikir, parolalar ve kullanıcıların güncellemeleriniz için zamanlamaları hakkında düşünceler, WordPress ve PHP ve çok daha fazlası. Rob'un bugün burada konuşacağı için gerçekten heyecanlıyım ve bu günlerde dünyadaki her şey ve genel olarak web güvenliği ile ilgili olarak menkul kıymetleri birçok insanın zihnini meşgul ediyor. Bu çok zamanında bir bölüm, bence insanlar dijital deneyimlerini nasıl güvence altına alacaklarını düşünüyorlar. Rob, sana diğer tüm konuklara sorduğum ilk soruyu soracağım. WordPress başlangıç hikayenizden kısaca bahseder misiniz? WordPress'i ilk ne zaman kullandınız?
RC: Elbette David, yapmam gereken seni biraz geriye götürmek. Yaklaşık 20 yıl önce, alan adını ilk 125 yıl önce kaydettirdim ve vermemin nedenlerinden biri ücretsiz e-postaydı, ailem e-posta adreslerini insanlardan daha fazla değiştirdiğimden şikayet ederdi. Bu yüzden etki alanını kaydettim. Teknikte çalıştığım için statik bir HTML web sitesi oluşturdum. Ve yaklaşık 15 yıl önce bu statik web sitesini bir bloga ve tabii ki WordPress'ten bakış açıma dönüştürdüm. Yaklaşık 12 yıl önce sağlık sektöründen ayrıldım, teknoloji ve sağlık sektöründeydim ve ardından tam zamanlı web siteleri oluşturmaya başladım. Yani bu temelde benim başlangıç hikayem.
DV: Ve sonra o HTML sitesini bir WordPress bloguna ilk dönüştürdüğü yılın yaklaşık olarak hangi yıl olduğunu hatırlıyorsunuz.
RC: Öyle mi olurdu, muhtemelen 26/27. Orada bir yerde 26. Kısa bir süre önce WordPress'i erken benimsemiştim. Evet.
DV: Evet. Bu, widget'ların ve kısa kodların ve WordPress'i bir blog platformundan bir tür web sitesi sürümüne dönüştürmenin tam zamanıydı, bunu nasıl buldum.
RC: Evet, gerçekten kullandığım ilk şeylerden biriyim. Yıllar boyunca kimin gerçekten sorunları olduğu, ilerleme temaları, adaçayı işareti geliştirdiğim ilk büyük temalardan biriydi ve topluluktaki hepimiz tarihin ilerlemesini ve orada ne tür şeyler olduğunu biliyoruz. Yani evet, çok şey oluyor. Şimdi heyecan verici bir elmastı. Bu heyecan verici bir zaman.
DV: Mükemmel Pekala, biraz yarasalar yaşadığınıza ve WordPress sitelerini kilitlediğinize sevindim, bu yüzden burada iyi bir bölümümüz var. Çok hızlı. Bize biraz Dunning dijital pazarlamadan bahseder misiniz?
RC: Ve evet, Kanada'nın Toronto bölgesinde bulunan bir pazarlama ajansı işletiyorum. Temel olarak e-posta pazarlamamızın ve web sitelerini kilitlememizin iki güçlü yanıyız. Demek istediğim, şu anda müşterimizin büyük bir kısmı bu, insanlar bu web sitelerini güvence altına almak için endişelenmek istemiyorlar. Ve yaptığımız işin temeli bu. Yıllar sonra. Tıklama Başına Ödeme reklamlarından dijital kampanyalara kadar her şeyi yaptık ve sonuncusunda biraz daralttım.
DV: Pekala, iyi. Toronto dışındaki WordPress topluluğunda o kadar çok arkadaşım var ki, işler açıldığında ve bir sonraki WordCamp Toronto'da sizi aramak için dışarı çıktığında yakında olduğunuzu duymaktan memnun oldum.
RC: Birkaç yıldır Toronto kampına gitmek zorunda kalmadık. Bu yüzden dışarı çıkıp bazı insanları görmek için can atıyorum. Bu harika olur.
DV: evet, harika bir şehirdi. Oradan gerçekten zevk alıyorum. O halde bir nevi elimizdeki konuya geçelim. Yani güvenliği bir uzmanlık alanı olarak düşündüğünüzde, güvenlik konusuna odaklanmanıza neden olan bir güvenlik olayı mı yaşadınız yoksa bu sizin için daha çok zamanla gelişen bir şey miydi, yaşadığınız bir aha, ya da sorun mu oldu? Yoksa daha çok zamanla gelişen bir şey mi?
RC: Zamanla gelişti diyebilirim, aslında kurumsal sunucularda güvenlik geçmişim var. Bu yüzden, Trumps'ın en büyük hastanelerinden biri için sağlık hizmetlerinde çalışırken, baktığım şeylerden biri, sunucu ekibimize sunucularımızın veya e-posta sunucularımızın güvenliği konusunda nasıl yardımcı olabiliriz ve bir e-postaya nasıl yardımcı olabiliriz? o zamanlar sağlık hizmetlerinde eğitimli müşteriler en büyük sorun kimlik avı dolandırıcılığı mıydı? Bu nedenle, bağlantılara tıklayan kişiler, güvenlikli belgeler getirmemelidir. Bu yüzden güvenliğe olan ilgim oradan gelişti.
DV: Bu, e-posta pazarlamacılığına odaklanmanız ve sanırım, bunlar çok farklı disiplinler gibi, dezavantajları kilitlemeniz hakkında çok şey açıklıyor, ancak bu Exchange sunucularını ve ardından sağlık hizmetlerinin yanı sıra kişinin güvenlik yönlerini düşünmek, sağlık bakımı geçmişiniz ile mantıklı geliyor. sunucular, çok mantıklı. O halde biraz WordPress tarafına geçelim. Bilirsiniz, haberlerde çok şey görüyoruz, bilirsiniz, 70 milyon sitenin bir güvenlik açığı var çünkü bazıları, bilirsiniz, bir eklentide hacim veya bunun gibi bir şey. Ancak kişisel olarak WordPress'in doğası gereği güvenli olduğunu düşünüyor musunuz ve öyleyse, neden veya neden olmasın?
RC: Kabul ediyorum ve WordPress sitesine güvenmeden önce Microsoft Windows'un güvenlik sorunları olduğu konusunda söyleyeceğim. Microsoft her ay Salı Yaması olarak adlandırdıkları şeye yamalar koyar ve bu, dünyadaki en büyük işletme işletim sistemidir. Benim argümanım, gördüğü yamaları veya güvenlik sorunlarını bulmamız değil, onlarla nasıl başa çıktığımız. Ve görmek istediğim şey, satıcılardan gelen yanıt. Gerçek hayattan bir örnek verilirse, son zamanlarda en büyük yedekleme programlarından biri olan UpdraftPlus, güvenlik konusunda ortaya çıktı, son birkaç aydır birçok sorun ortaya çıktı. Ancak iyi yaptıkları şey, hemen ve bilmeyenler için güvenlik düzeltmeleri olan yamaların yayınlanmasıdır ve bunlarla derhal ve zamanında ilgilenmişlerdir. Ve bu benim için daha önemli. Bence. Bir şey pazarın veya işlemin %40'ının üzerine çıktığında, her zaman güvenlik perspektifinden insanların onu ele geçirmesini sağlayabilirsiniz, çünkü artık bilgisayar korsanlarının zamanına değer.
DV: Evet, bunlar harika noktalar. Sık sık, yazılımın yazarının, sorunu önemsiz göstermeye teşvik edilebileceğini düşünüyorum. Okuyucuları elde etmeye çalışan muhabir, sorunu abartmak için eğitilmiştir, sizin açınızdan, hayatınızdaki her büyük yazılım parçası, eğer düzgün bir şekilde yönetilirse ve zaman içinde keşfedilen güvenlik açıklarına dikkat edilirse ve bu güvenlik açıklarını derhal düzeltir. Ve bence kişisel olarak belirttiğim diğer nokta, WordPress'in şu anda yama uygulanmamış bilinen hiçbir genel güvenlik açığı olmadığı ve bu yüzden bu konuda böyle düşünüyorum. Burayı gerçekten çok seviyorum. Ayrıca, yukarı çekişin topa nasıl yaklaştığını orada keşfedildiğini söylemenize de bayılıyorum. Ve bilirsiniz, sistemdeki birçok gerçekten iyi sağlayıcıya karşı çok fazla sorumluluk olduğunu düşünüyorum. Kendilerine sorumlu bir şekilde rapor edildiklerinde telefonları yönetme konusunda mükemmel bir iş çıkarıyorlar. İster sesiniz ister buna ekleyeceğiniz herhangi bir şey,
RC: bu arada, ben PodOmatic. Güvenlik açıklarını düzeltmek için harika bir iş çıkardılar. Yakın zamanda bir 5.9 sürümümüz olduğunu biliyorum. Ve geçen hafta 5.9 puan bir çıktığında, bu sadece bir bakım sürümüydü. O sürümde bir güvenlik düzeltmesi bile yoktu. Bu yüzden şeref ve bence otomatik güvenliği oldukça ciddiye alıyor. Yani evet, iyi alan.
DV : Bu takıma maruz kaldığım şey, içinde çok fazla insan olması. Gibi, kurumsal düzeyde güvenlik deneyimi söyleyebilirim. Benim maruz kalmamda. Sorumlu ifşaatla ilgili en iyi uygulamaları kesinlikle takip ettiler ve bunlara yanıt veriyorlar. Ve sadece WordPress çekirdek ekibini değil, aynı zamanda WordPress eklenti ekibini ve güvenlik açıklarını nasıl yönettiklerini, malzeme tarihlerini nasıl düşündüklerini, yazarlarla nasıl iletişim kurduklarını, eklentileri depodan nasıl çıkardıklarını da söyleyebilirim. yamasızlar. Bilmiyorum, o kadar derine indin mi bilmiyorum. Ama bunlar benim dikkatimi çeken şeyler.
RC : Aslında geçenlerde Gutenberg mimarı çok zayıf olan Proteus Getirici ile bir tartışmam var ve ekibinin bunu çok ama çok ciddiye aldığını söyledi. Bu yüzden, öyle olmadığını düşünenlerin Mark'a tam olarak uyduklarını düşünmüyorum. Dürüst olmak gerekirse. Bence ciddiye alıyorlar. Dinliyorlar. Ve uygunsuz bir şekilde ifşa ediyorlar.
DV: Evet, insanların yanlış yorumladığı bu tür sansasyonel manşetleri biliyorsunuz ama ve ben çoğu yazarın aslında neler olup bittiğini doğru bir şekilde tanımladığını düşünüyorum. Sadece başlık gerçekten korkutucu bir okuma ve hedef güvenlik ve yazılım havuzu. Ve bu her zaman böyle çalışacak. Bu böyle. Bu yüzden biraz daha spesifik uygulamalara, özellikle de belirsizlik yoluyla güvenlik kavramına girmek istiyorum. Ama ilk molamızı vereceğiz, tam zamanı geri alacağız. Ticari bir ara vermek için. Bir dakika içinde daha fazla basın için bizi izlemeye devam edin. Herkes W EMR'deki bu WordPress topluluğu podcast'ine tekrar hoş geldiniz. Bu, sunucunuz David Vogel. Paul. Çarpıcı dijital medyadan Rob Curtis ile WordPress yapılarınızı kilitleme konusunda röportaj yapıyorum. Aradan hemen önce Rob, WordPress'in doğal güvenliği hakkında biraz konuşuyorduk, çekirdek ekibin, eklenti ekibi gibi, içteki insanlar bile buna nasıl hitap ettiğini, ancak şimdi bir konuk konu oluşturmak için vites değiştirmek istiyorum. Bilirsiniz, bazı insanlar genellikle bu şeyi kimse bulamayacakmış gibi, kilitli olmaması umurunda değilmiş gibi, belirsizlik yoluyla güvenlik kavramına güvenirler? Bunun büyük bir hayranı olmadığını biliyorum. Ama neden gibi ve insanların anlamasına yardımcı olun. Neden.
RC: Şahsen, bence pek çok insanın yapmaktan hoşlandığı iki şey belirsizliği ve WordPress, veritabanı önek tabloları ve giriş arka uçlarını değiştirmeyi seviyorlar. Ve bence bunlar sadece süslü vitrin süsleri. Günün sonunda. Kişisel olarak yaptıklarını sanmıyorum, bilgisayar korsanlarının çoğu, bir siteyi tarayabilen ve arka ucu anlayan araçlara sahip, komut dosyalarını kullanıyor veya veritabanı tablolarını çözüyor. Yani, günün sonunda böyle şeylerin gerçekten önemli olduğunu düşünmüyorum. Zihinsel olarak yeterli veya daha iyi hissetmenizi sağlıyorsa. Git yap onu. Ama sonuçta, müşteriniz veya son kullanıcı için pek bir şey sağladığını düşünmüyorum.
DV: Evet, bildiğiniz kötü aktörlerin kullandığı keşif araçları, kafa karıştırıyor olsanız bile, mutlaka hedefe ulaşmak gibi olmayabilir. Hatırlıyorum, 90'ların sonları olmalı, bir iş ile ücretsiz bir web barındırma hesabım var ve depolama için kredi kartlarımı bu hesaba yüklediğimi hatırlıyorum. Ben de kimse adresi bilmiyor gibiyim. Ama farklar büyük. Ve bazı meslektaşlarım tarafından bu konuda oldukça hızlı bir şekilde utandığımı hatırlıyorum. Yani bu o zamanlar öğrendiğim bir dersti. Tamam, bu, belirsizlik yoluyla güvenlik ve kötü aktörlerin bunu yıkmak için çeşitli araç takımlarını ne kadar kullanabileceği konusunda iyi bir nokta. Bilirsiniz, ben bakınca, bilirsiniz, güvenlik ve siz bundan bahsetmiştiniz, sanırım biraz daha önce, ama bilirsiniz, birçok insan hakkında konuşuyor, bilirsiniz, kuruluşunuzdaki insanlar güvenliğiniz için en büyük risktir. . Buna nasıl hitap edersin? WordPress yapılarınızdaki parola politikaları veya diğer yaklaşımlar gibi şeylerle.
RC: Bu yüzden yapmayı sevdiğim ilk şey, özellikle bir yönetici hesabı için, örneğin güçlü ve karmaşık bir şifre, insanlara her zaman bir şifre üreticisi kullanmalarını öneririm, sözlükte bulunan bir şifreyi saklamayın. Bence bu gerçekten kötü bir fikir. Mümkün olduğu kadar uzun yapın ve insanlar, Ah, bunu hatırlayamıyorum. İşte o zaman zaman harcamanız ve bir parola yöneticisi almanız gerektiğinde, bir LastPass bir parola biti Warden seçin, bu yüzden Parola Yöneticisi'nin sizin için uygun olanı bulmayı seçmesinin nedeni budur. Ve başka hiçbir yerde kullanmadığınız karmaşık şifreleri kullanmaya başlayın. Ve gerçekten iyi bir site olduğuna inanmıyorsanız, orada rehin edildiyseniz ve bunun yapacağı şey size e-posta adresinizi ve şifrenizin internette başka bir yerde bilinen bir güvenlik açığında bulunduğunu söylemektir. Rakamların ve harflerin ve bilirsiniz, özel karakterlerin birleşimini güvenli bir şekilde şifreleyebilir ve tüm bunları yapabilir. Ve biliyorum ki insanlar bunu daha önce de ummuşlardı ama bence yeterince insan bunu yapmıyor.
DV: faturaya göre olduğu gibi, daha sonra bir yapılandırma perspektifinden, güçlü şifreler zorlamayı düşünüyorsunuz ama aynı zamanda bunun bir parçası olarak eğitim almayı da düşünüyorsunuz, sanki siteleri kullanacakları eğitiyormuşsunuz gibi. uygun şifre üzerine inşa ettik. Uygulamalar
RC: Buna hiç şüphe yok ve bu yönetici şifrelerini düzenli olarak zorlamak ve değiştirmek için yazılım kullanmak. Genellikle onları her 90 günde bir değiştirmeye zorlarım. Kurumsal dünyada yaptıkları şey bu ve bunun bir nedeni var. Ve bir WordPress web sitesinde bunun iyi bir fikir olduğunu düşünüyorum.
DV: Ah, ilginç. Biliyorsun, tavsiye edilmeyen bazı yakın tarihli düzeltmeler duydum, ama ben bir uzman değilim. O yüzden sana orada sormayacağım. Ama bence bunlar açıkçası sağlam uygulamalar. İnsanlarla pekiştirmeyi gerçekten seviyorum. Site başına benzersiz şifreler kullanır. Bu arada Rob, sen oyuncu musun?
RC : Eskiden bu aralar pek oyun oynamıyorum çünkü açıkçası günün sonunda oynamaya başlarsam kendimi kaptırırım.
DV : tamam, güzel. Yani bu, bunu gerçekten parola açısından güçlü politikaların uygulanması olarak düşünmek, ancak aynı zamanda kullanıcılarınızı eğitmektir. Eğitimde veya diğer tarafta riski sınırlandıran başka bir şey var mı?
RC: İnsanlar, WordPress panosunda insanlara rol vermez. Yemek yemezler, bu yüzden birileri sadece blog gönderileri yapacak, ne kadar bağırsalar da ona yönetici rolü vermeyin ve WP Engine'in kullandığım gerçekten iyi bir beyaz etiket CMS program eklentisine sahip olduğunu söylemeye değer. Çoğu zaman, birisi yönetici hakları için yayılırsa ve onların bu bölüme erişimlerinin olmasını istemediğimi biliyorum, hepsi beyaz etiketli CMS by WP Engine'i kurdu ve onları web sitesinin belirli bölümlerinden kilitledi. Bu yüzden insanlara gerçekten ihtiyaç duydukları şeyi verin. Her şey değil. Ve bu da çok önemli.
DV : Evet, bu eklentiye aşina değilim. Gidip etrafa bakmam gerekecek. Yani burada çalışmanın, bunu yapanın biz olduğumuzdan emin olduğunu bildiğimi mi sanıyorsun? Bence de. Tamam, yanlış. Ancak buradaki kilit nokta, yönetici rollerini sınırlamaktır. Ve WordPress eklenti deposundaki çeşitli kemikleri izliyorum. Ve bildirilen birçok güvenlik açığı gibi, siteler arası komut dosyası çalıştırma güvenlik açıklarıdır. Evet ve bunların çoğu yönetici rolleriyle sınırlıdır ve eklenti yazarları genellikle iyi tepki verir, bu erişime sahip olan sadece yöneticilerdir, kimin umurunda? Ve belki onlara güvendiğinizi ama belki de yazılım düzeyinde onlara güvenmediğinizi düşünseniz de bazı kullanıcılar olduğunu vurguluyorsunuz.
RC : Şaka değil. Şu anda bir müşterim var ve hayatım buna bağlıysa personeline yönetici rollerini vermeyeceğim çünkü ne olacağını biliyorum. Yani ben sadece hayır diyorum.
DV : Evet, ve bu onların sitesi gibi, ne yaptıkları kimin umrunda, sanırım, bilirsiniz, her zaman müşterinin içgörülerini bozduğuna dair bu tür bir mecaz vardır. Ancak, bu yükseltilmiş izinlerle, oturum açtıklarında, siteler arası komut dosyası çalıştırma güvenlik açıkları gibi şeyler daha büyük bir rol oynayabilir. Ve bu acemi kullanıcılar için, verdiğiniz erişimle, kullanıcı rollerindeki rollerini keserek, bir müşteri olarak onlar için bu riski azaltmaya yardımcı oluyorsunuz.
RC: Evet, çok doğru. Ve aslında onlara bir iyilik yapıyorsun, uzun vadede bir kötülük değil.
DV: Tabii. Tahmin ediyorum ki muhtemelen onlara bir şeyler veriyorsunuz, bilirsiniz, tamam, işte gerçek yönetici ama asla oturum açmayın, bu başka bir şey. Açıkçası, onları içgörülerinin dışında tutmaktan hoşlanmıyorum.
RC: Ve yapılacak diğer bir şey de, eğer gerçekten yüksek bir içgörü ise, iki faktörlü kimlik doğrulama yüklü bazı yüksek içgörülerim var, bu da şifrenin yanı sıra yardımcı oluyor, o zaman bir akıllı telefonda bir uygulamaya ya da girmek için başka bir şeye ihtiyaçları var. ve bu onu bir adım daha kilitliyor. Yani bu o kadar büyük bir parça ki, şifre güvenliği düşünüyorum.
DV: WP Engine ve diğer bazı ana bilgisayarlar bunu yapar. Kelime presleriniz arasında bir tür sıçrama yapabileceğiniz, temelde tek bir oturum açma çözümümüz var. Ama aynı zamanda, koyduğunuz nedenlerden dolayı iki faktörden oluşan büyük bir parçayı da içeriyor. Bunu daha önce parolaların büyük bir parçası olarak gündeme getirmediğimize inanamıyorum. İyi söz Pekala, biraz vites değiştireyim. Düşündüğünüz gibi, bilirsiniz, WordPress, PHP ve eklenti güncellemelerine tepki verir. Bunu, güvenlik konusunda başarı için sizi en iyi şansa sokacağını düşündüğünüz bir şekilde yapma stratejiniz hakkında nasıl düşünüyorsunuz?
RC: Her şeyden önce, herhangi bir büyük güncelleme yapmadan önce bir yedek alır. Bir WordPress eklentisi kullanarak sunucunuza güvenmeyin. Seçimler Madeni Updraft Plus Pro şu anda yedek almak için yapmanız gereken şey bu. Ayrıca, yedeklerinizi ihtiyaç duymadan önce test edin. Yedeklemeleri yedeklemeniz gerekene kadar beklemeyin, yalnızca geri yükleme yeteneği iyidir. Düzenli olarak ihtiyaç duymadan önce bir hazırlama sitesinde veya gösterici sanal alanında test edilir.
DV: Bu harika bir nokta çünkü bir yedekleme yapabiliyormuşsunuz gibi bir şeyler ters gidebilir ve ona güveniyorsunuz ve sonra birdenbire kötü bir yedekleme oldu.
RC: Ben de böyle olduğunu gördüm. Çok. Emin. Ben orada oldum. Sabah 6'da kalkması gereken sabaha hepimiz gittik Evet. Diğer bir şey ise, genellikle temel güncellemeler yapıyorum. Yani bunlar, WordPress'in kendilerinin çıktıkları anda oldukça iyi güncellemeleridir. Özellikle güncellemelerdeki güvenlik düzeltmelerinde güncellemeleri almanın büyük bir hayranıyım. Çoğu güncelleme, daha sonra yapmaya meyilli olduğum güncellemeler arasında. Eklentiler açısından, etrafa iyi bir göz atmasını sağladı. Örneğin, bununla demek istediğim, bir eklentinin başka bir eklentiyle iyi oynamadığı bilinen hiçbir bağımlılık olmadığından emin olmalısınız. Bunu hepimiz gördük. Bir sanal alanda bazı testler yapmanız gerekiyorsa, ödevinizi önceden yapın.
DV: Yani devam etmek istiyorum. Şöyle diyecektim, bence test noktaları çok belirgin. Ve ben de düşünüyorum, örneğin serbest bırakıldığını gördüğünüzde ve siz de şöyle düşünüyorsunuz, Saçım yanıyor mu, yanmıyor mu? Sürüm notları gibi şeyleri yorumlamayı nasıl düşündüğünüzü biraz merak ediyorum. Bununla ilgili düşüncelerinizi almak isterim. Son molamızı vereceğiz ve hemen döneceğiz. Ticari bir mola verme zamanı. Bir dakika içinde daha fazla basın için bizi izlemeye devam edin. Herkes bu WordPress topluluğu podcast'ini W Mr'da yayınlamaya tekrar hoş geldiniz. WordPress yapılarınızı Rob Curtis ile kilitlemek hakkında konuşmanın ortasındayız. Rob, aradan hemen önce. WordPress, PHP ve eklenti güncellemelerini yönetme konusundaki stratejileriniz hakkında biraz konuşuyorduk. Ben de bir sonraki soruma atıfta bulunuyordum, yani, bir sürümün çıktığını gördüğünüzde, belki de sürüm notlarında bahsedilen güvenlikle ilgili bir şey gördüğünüzde, bunun gerçekten endişelenmeniz gereken bir şey olduğunu nereden biliyorsunuz? ikinci ya da biraz zamanınız var mı?
RC: Evet, genellikle sürümlerle yaptığım şey WordPress topluluğunda, çoğu sürümün sürüm adayı var ve sonra bir beta yapacaklar ve sonra bir sürüme geçecekler. Şimdi küçük bir sürümle, büyük bir sürümle sürümü yayınladılar. Aslında Slack'te bazı son testler yaptıkları bir serbest bırakma partisi var ve ben bu serbest bırakma partilerinden bazılarından geçtim ve oldukça ilginçler. Önereceğim şey, wordpress.org'dan okuyabildiği kadar okumak. Adayları serbest bırakmak üzere olabildiğince çok okuyun, ancak üçüncü taraf kaynakları da okuyun ve birkaç büyük kaynak, düzenli bir güvenlik blogu yayınladıkları şeylerdir. WordFence'deki bazı şeyler hakkında biraz okuyun, gerçekten iyi bilgiler verdiler. Hatta Hacker News ve Search Engine Journal gibi yerler ve bunun gibi yerler. Sürümlerde neler olduğu hakkında biraz konuşuyorlar ve bu önemli çünkü kendin ne kadar eğitimliysen, o kadar iyi başa çıkabilirsin, bu yüzden bence bilgi pınarı bu durumda gerçekten,
DV: Eklentilerinize veya temalarınıza gelen farklı güvenlik yamalarını analiz etmek için daha önce WP DB gibi şeyler kullanıyor musunuz?
RC : Evet, var ve tarama yapmak için güvenlik gibi üçüncü taraf sitelerini bile kullandım. Bu yüzden, Analiz'e gitme yaklaşımını benimsiyorum, insanlarla konuşun, dinleyin, başınızı yere koymalısınız. Yardım edilecek çok şey var ve bunların hepsinin faydalı araçlar olduğunu düşünüyorum.
DV: Yani bir yama çıkıyor, temelde onun çıktığının farkına varıyorsunuz, yamanın içinde ne olduğunu ve neyi ele aldığını araştırıyorsunuz. Ve oradan tahmin ediyorum ki, şu anda ne kadar zaman ve enerji harcayacağınız açısından ne kadar risk taşıdığınızı bulmaya çalışıyorsunuz. Yönetici hesaplarına bağlı bu siteler arası komut dosyası hacimlerinden bahsettiğim gibi. Mesela sitenizin tek yöneticisi sizseniz, muhtemelen hemen güncellemek için tükenmek istemiyorsunuzdur. Ama düzinelerce yöneticiniz varsa, ah, ne yaptıklarını bilmiyorum der gibisiniz. Ve muhtemelen daha acilsiniz, bu adil mi? Ama bunun hakkında nasıl düşünüyorsun?
RC: Um, evet ve hayır. Bunun nedeni, bazı pandemilerin başlamasından dolayı, bilgisayar korsanlarının evde sıkıldığını hepimiz biliyoruz. Bu yüzden haftada bir müşteriler için güvenlik güncellemeleri yapardım. Genellikle bir Cumartesi veya Pazar günü. İster inanın ister inanmayın, şimdi haftada üç kez web sitelerine ve güvenlik tarafına bakıyorum. Çünkü riski azaltmaya çalışıyorum. Ve tüm bilgisayar korsanları evlerinde ve canı sıkılmışken ve şimdi Ukrayna'da olup bitenler, biz bunu kaydederken, güvenlik alanı şu anda gerçekten zor bir alandır. Bu yüzden aslında bilginizi ve yaptığınız şeyi yükseltmek yerine yükseltmeniz gerektiğini düşünüyorum ve bence bu gerçekten önemli.
DV : Evet, orada daha agresif bir duruş dediğinizi anlıyorum, özellikle de bağlı olan tüm risklerle. Tamam, sıradaki soru. Güvenlik yaklaşımınızda barındırmanın nasıl bir rol oynadığını düşünüyorsunuz?
RC: Bu soruyu seviyorum. Çünkü çoğu insan ev sahiplerinin önemli olmadığını düşünüyor ve ben sizinkinden bağımsız olarak ev sahibinizin sadece işe almadığınız işteki ortağınız olduğunu söyledim. Ve bununla demek istediğim, biraz araştırma yapmanız ve ne tür bir plan yaptığınızı görmeniz gerekiyor. Öyleyse, ilk önce taşın her zaman en iyisine sahip olduğunu buldunuz mu ve ana bilgisayarların itibarının ne olduğunu ve güvenlik açısından ne yaptıklarını kendi güvenlik duvarlarında kendi bakış açılarından web sitesi sahibine, bazı ana bilgisayarlara ve ben Onları aramayacağım, ikisi de çok iyi bir iş çıkarıyor ve bazı ev sahipleri gerçekten harika bir iş çıkarıyor. Bence bu şeylere bakmalı ve onlara ortağın gibi davranmalısın.
DV: bunlar kesinlikle adil noktalar. Çünkü onlar bizim için çalışıyorlar. Bu noktalardan bazılarına kesinlikle katılıyorum. WordPress topluluğunda gördüğüm cesaret verici şeylerden birinin, WordPress sitelerinin kilitlendiğinden emin olmak için güvenlik görüşmelerine katılan çok çeşitli ana bilgisayar olduğunu düşünüyorum. Ama evet, derinlik seviyesi kesinlikle gelişen büyük bir şey. Aslında, güvenlik ekibimizin, kemikli eklentileri olduğunda müşterilerimize uyarıları e-postayla göndermek için kullandığımız dahili bir Slack kanalını izliyorum. Yani evet, kesinlikle orada ekstra mil gideceğiz. Bu inanılmaz derecede ilginçti Rob, sanırım bütün gün konuşabiliriz ama burada biraz sona geliyoruz. Bugün bize katıldığınız için çok teşekkür ederiz.
RC: Benim zevkim çok eğlenceli David ve umarım daha fazla insana yardımcı olur
DV: Evet, öyle düşünüyorum. Bugün atladığınız bazı iyi noktalar vardı ve sohbetten kesinlikle keyif aldım ve dinleyen herkes Rob'un neler yaptığı hakkında daha fazla bilgi edinmek istiyor, StunningDigitalmarketing.com'u ziyaret edebilirsiniz WMR'de Press This WordPress topluluğu podcast'lerini dinlediğiniz için teşekkürler. Bu, sunucunuz David Vogelpohl. WP Engine'deki rolüm aracılığıyla WordPress topluluğunu destekliyorum ve her hafta Press This'de topluluğun en iyilerini size getirmeyi seviyorum.