• 主页
  • 文章
  • 指导
  • 按这个:睡得好。 与 Rob Cairns 一起锁定您今天构建的 WordPress

按这个:睡得好。 与 Rob Cairns 一起锁定您今天构建的 WordPress

已发表: 2022-03-09

欢迎来到来自 WMR 的 WordPress 社区播客 Press This。 在这里,主持人 David Vogelpohl 与来自社区的客人坐下来讨论 WordPress 开发人员面临的最大问题。 以下是原录音的抄录。

由 RedCircle 提供支持

David Vogelpohl:大家好,欢迎来到 WMR 上的 WordPress 社区播客 Press This。 这是您的主持人,David Vogelpohl,我通过我在 WP Engine 的角色来支持 WordPress 社区,我喜欢将最好的社区带给您,每周在新闻上听到这个提醒,您可以在 Twitter @wpdavidv 上找到我,或者您可以在 iTunes、iHeartRadio、Spotify 上订阅按此,或在 wmr.fm 下载最新剧集。 在这一集中,我们将讨论安全性,尤其是通过锁定您的 WordPress 构建来睡个好觉。 今天加入我们的谈话。 我想欢迎按此,罗布凯恩斯。 罗伯,欢迎。

Rob Cairns:谢谢你,大卫,谢谢你邀请我。 欣赏它。

DV:是的,很高兴有你在这里。 对于那些听。 Rob 从事数字营销,长期以来一直在构建和优化 WordPress 网站。 在这一集中,Rob 将介绍他对最佳方法的看法。 为了锁定 WordPress 网站,Rob 将通过默默无闻来分享他对安全性的看法。 这是一个好主意吗? 坏主意,关于密码和用户更新 WordPress 和 PHP 时间的考虑等等。 今天让 Rob 来这里演讲真的很兴奋,他的证券这些天有很多人的想法,世界上发生的一切,只是相对于网络安全而言。 这是一个非常及时的插曲,我认为人们正在考虑如何保护他们的数字体验。 Rob,我要问你第一个问题,我问过其他客人。 您能简单介绍一下您的 WordPress 起源故事吗? 您第一次使用 WordPress 是什么时候?

RC:当然好吧,大卫,我应该做的就是把你带回去一点。 大约 20 年前,我在第一个 125 年前注册了该域名,我提供的原因之一是我的家人曾经抱怨我更改电子邮件地址的时间比人们换衣服的时间更多。 所以我注册了域名。 因为我从事技术工作,所以我创建了一个静态 HTML 网站。 然后大约 15 年前,我把那个静态网站变成了一个博客,当然,我的观点来自 WordPress。 大约 12 年前,我离开了医疗保健圈,从事科技和医疗保健行业,然后开始全职创建网站。 所以这基本上是我的起源故事。

DV:然后你还记得他第一次将 HTML 网站转换为 WordPress 博客是在哪一年。

RC:会不会是哦,可能是 26/27。 那里的某个地方 26. 不久前,我还是 WordPress 的早期采用者。 是的。

DV:是的。 因此,在小部件和短代码以及将 WordPress 从博客平台转变为网站发布的时候,我发现了这一点。

RC:是的,我是我实际使用的第一批东西之一。 多年来真正遇到的问题是进展主题是我开发圣人标志的第一个大主题之一,我们社区中的所有人都知道历史进展以及那里发生了什么。 所以,是的,发生了很多事情。 现在这是一颗令人兴奋的钻石。 这是一个激动人心的时刻。

DV:太好了,我很高兴你有一些在蝙蝠和锁定 WordPress 网站,所以你是我们这里有一个很好的插曲。 真快。 你能告诉我们一些关于催款数字营销的信息吗?

RC:是的,我在加拿大多伦多地区经营一家营销机构。 我们基本上是我们的电子邮件营销和锁定网站的两个优势。 我的意思是,这是我们现在的大部分客户,人们不想担心保护这些网站。 这就是我们工作的基础。 这些年来。 我们已经完成了从按点击付费广告到数字广告系列的所有工作,我只是在最后一个范围内缩小了范围。

DV:好的,很好。 我在多伦多以外的 WordPress 社区里有这么多朋友吗?很高兴听到你在附近,当事情开放并出去寻找下一个多伦多 WordCamp 时。

RC:我们已经有好几年没有提到camp Toronto了。 所以我很想出去见一些人。 那简直太好了。

DV:是的,那是一座很棒的城市。 我真的很喜欢那里。 因此,让我们进入手头的主题。 因此,当您将安全视为一门专业时,您是否遇到过导致您专注于安全的安全事件,或者这对您来说是随着时间的推移而发展起来的,或者您是否遇到过问题? 还是它更多的是随着时间的推移而发展起来的?

RC:嗯,它是随着时间的推移而发展起来的,我想说,我实际上有企业服务器的安全背景。 因此,当我在特朗普最大的医院之一从事医疗保健工作时,我正在研究的一件事是我们如何帮助我们的服务器团队保护我们的服务器或交换服务器(即电子邮件)的安全性,以及我们如何帮助当时在医疗保健领域受过教育的客户最大的问题是网络钓鱼诈骗? 所以人们点击链接,他们不应该带入安全的文件。 所以我对安全的兴趣就是从那里发展起来的。

DV:这很好地解释了你对电子邮件营销的关注,以及我想锁定的缺点,就像那些是不同的学科,但你的医疗保健背景是有意义的,考虑那些 Exchange 服务器,然后是个人和医疗保健的安全方面服务器,这很有意义。 因此,让我们进入 WordPress 方面。 你知道,我们在新闻中看到了很多,你知道,有 7000 万个网站存在漏洞,因为有些,你知道,插件或类似的东西。 但是您个人是否认为 WordPress 本质上是安全的,如果是,为什么或为什么不呢?

RC:我同意,在我们相信 WordPress 网站之前,我想说的是 Microsoft Windows 存在安全问题。 微软每个月都会发布他们所谓的 Patch Tuesday 的补丁,它是世界上最大的商业操作系统。 所以我的论点是,不是我们发现它看到的补丁或安全问题,而是我们如何处理它们。 我希望看到供应商的响应能力。 因此,以现实生活为例,UpdraftPlus 最近在安全方面出现了最大的备份程序之一,在过去的几个月里断断续续地出现了很多问题。 但他们做得好的是马上发布补丁,对于不知道的人来说是安全修复,他们及时及时地处理了。 而这对我来说更重要。 我认为。 一旦某样东西占据了超过 40% 的市场或流程,你总会有人从安全的角度对其进行攻击,因为现在值得黑客花时间。

DV:是的,这些都很好。 我经常认为这就像软件的作者可能会受到激励,引用淡化问题。 试图吸引读者的记者被训练过夸大问题,进入你的观点,如果管理得当,你生活中的每一个主要软件,并注意随着时间的推移发现漏洞,并及时修补这些漏洞。 而且我认为我个人提出的另一点是 WordPress 目前没有已知的未修补的公共漏洞,所以这就是我的想法。 我真的很喜欢这个地方。 而且我也喜欢你如何称呼上升气流如何接近球在那里被发现。 而且,你知道,我认为系统中很多非常好的提供者都有很多责任。 当他们以负责任的方式向他们报告时,他们在管理电话方面做得很好。 无论是你的声音还是你想要添加的任何东西,

RC:顺便说一下,我是 PodOmatic。 他们在修补漏洞方面做得非常出色。 我知道我们最近发布了 5.9 版本。 上周发布 5.9 点时,它只是一个维护版本。 该版本中甚至没有安全修复。 所以荣誉,我认为自动非常重视安全性。 所以,是的,很好的空间。

DV :我对那个团队的了解是它有很多人。 有了类似,我会说企业级安全经验。 在我的曝光。 他们当然遵循了围绕负责任的披露演变的最佳实践来回应他们。 不仅我会说 WordPress 核心团队,而且我还会说 WordPress 插件团队,以及他们如何管理漏洞,他们如何考虑内容日期,他们如何与作者沟通,他们如何从 repo 中取出插件,如果他们没有打补丁。 我不知道,我不知道你是否已经深入了解它。 但这些都是让我印象深刻的事情。

RC :我有一个实际上我最近与 Proteus fetcher 进行了讨论,他太弱了 Gutenberg 架构师,他说他的团队非常非常重视它。 所以我认为任何认为他们没有的人,我认为他们不太支持马克。 老实说。 我认为他们正在认真对待它。 他们在听。 他们披露不当。

DV:是的,感觉很多负面情绪都是你知道人们以错误的方式解释的那种耸人听闻的头条新闻,但我发现大多数作者实际上都喜欢准确地描述正在发生的事情。 只是标题读起来真的很吓人,而且它是安全和软件的目标池。 这就是它总是会起作用的方式。 它就是这样儿的。 所以我想进入一些更具体的实践,特别是通过默默无闻的安全概念。 但是我们要休息一下,我们会马上回来的。 插入商业广告。 请继续关注更多新闻。 欢迎大家回来在 W EMR 上按此 WordPress 社区播客。 这是您的主持人大卫·沃格尔。 保罗。 我正在采访令人惊叹的数字媒体的 Rob Curtis,了解如何锁定您的 WordPress 版本。 Rob 休息前我们谈到了 WordPress 的固有安全性,核心团队如何解决它,甚至像插件团队这样的人,但我现在想换个档次来建立一个访客主题。 你知道,有些人经常会依靠默默无闻的安全概念,就像没有人能找到这个关心它是否被锁定的东西? 我知道你不是那个的忠实粉丝。 但是喜欢为什么并帮助人们理解。 为什么不。

RC:就我个人而言,我认为这两件事是很多人喜欢做的,你喜欢改变WordPress,他们的数据库前缀表,他们喜欢改变他们的登录后端。 我认为这些只是花哨的橱窗装饰。 在一天结束时。 我个人认为他们不会这样做,大多数黑客都有可以扫描站点并找出后端都在使用脚本或找​​出数据库表的工具。 所以我的意思是,我不认为这样的事情在一天结束时真的很重要。 如果它让你感觉精神上的能力或更好。 去这样做。 但最后,我认为它不会为您的客户或最终用户提供很多东西。

DV:是的,你知道坏人使用的那些发现工具,即使你在混淆,也不一定能达到目的。 我记得,早在 90 年代末,我就获得了一个有工作的免费网络托管帐户,我记得将我的信用卡上传到其中进行存储。 我想,没有人知道地址。 但差异很大。 我记得我很快就被周围的一些同事羞辱了。 所以这是我当时学到的一个教训。 好的,这是关于通过默默无闻的安全性以及不良行为者如何使用,你知道,他们的各种工具包来颠覆它的一个很好的观点。 你知道,正如我所看到的,你知道,安全,你谈到了这个,我想早一点,但你知道,很多人都在谈论,你知道,你组织中的人是你安全的最大风险. 你如何解决这个问题? 使用 WordPress 构建中的密码策略或其他方法。

RC:所以我喜欢做的第一件事是,特别是对于管理员帐户来说,一个强大而复杂的密码,我总是建议人们使用密码生成器,不要使用字典中的密码。 我认为这真是个坏主意。 让它尽可能长,人们会说,哦,我不记得了。 好吧,那是您需要花时间让密码管理器选择一个 LastPass 一个密码位 Warden 的时候,这就是为什么 Password Manager 选择找到适合您的密码管理器的原因。 并开始使用您在其他任何地方都不会使用的复杂密码。 如果你不相信有一个非常好的网站,如果你已经被典当了,它会告诉你你的电子邮件地址和你的密码已经在互联网上的其他任何地方发现了一个已知漏洞,所以它可以对数字和字母以及特殊字符进行密码安全组合并执行所有这些操作。 而且我知道人们以前一直希望这一切,但我认为没有足够的人这样做

DV:相对于账单,然后从配置的角度来看,您正在考虑强制使用强密码,但听起来您也在考虑将培训作为其中的一部分,就像您正在培训那些将使用您的网站的人'建立在正确的密码之上。 实践。

RC:毫无疑问,使用软件强制并定期更改这些管理员密码。 我通常强迫它们每 90 天更换一次。 这就是他们在企业界所做的事情,这是有原因的。 而且我认为在 WordPress 网站上这是一个好主意。

DV:哦,有趣。 你知道,听说最近有一些不推荐的修改,但我不是专家。 所以我不会在那里问你。 但我认为这些显然是合理的做法。 我真的很喜欢和人一起加强。 他使用每个站点的唯一密码。 顺便问一下,Rob,你是游戏玩家吗?

RC : 我以前玩的游戏不多,因为坦率地说,如果我开始玩,我会全神贯注

DV :好的,很酷。 所以这真的是从密码的角度考虑它作为执行强有力的策略,但同时也培训你的用户。 培训或其他方面是否还有其他限制风险的方法?

RC:人们不会在 WordPress 仪表板中赋予人们角色。 他们不吃东西,所以有人只会做博客文章 不要给他一个管理员角色,不管他们多么尖叫,值得一提的是 WP Engine 有一个非常好的白标 CMS 程序插件,我用过很多时候,如果有人传播管理员权限,我知道我不希望他们访问该部分,所有这些部分都安装了 WP Engine 的白标 CMS,并将它们锁定在网站的某些部分之外。 所以真正给人们他们需要的东西。 不是一切。 这也是一件大事。

DV :是的,我不熟悉这个插件。 我得四处看看。 所以你认为在这里工作我知道你确定是我们做的? 我认同。 好吧,错了。 但是这里的关键点是限制管理员角色。 我在 WordPress 插件仓库中监控各种骨骼。 而且,报告的许多漏洞都是跨站点脚本漏洞。 是的,其中很多仅限于管理员角色,插件作者通常会做出很好的反应,只有管理员拥有该访问权限,谁在乎? 并且您有点表明有一些用户,尽管您可能信任他们,但也许您在软件级别不信任他们。

RC :不开玩笑。 我现在有一个客户,如果我的生活依赖它,我不会给他的员工管理角色,因为我知道会发生什么。 所以我只是,我只是说不。

DV : 是的,这在你的想法中就像,嗯,这是他们的网站,谁在乎他们做了什么,我猜,你知道,总是有那种客户打破他们的洞察力的比喻。 但是,有了这些提升的权限,当他们登录时,跨站点脚本漏洞之类的东西可以发挥更大的作用。 因此,对于这些新手用户,通过使用您授予的访问权限,在他们的用户角色中,您可以帮助降低他们作为客户的风险。

RC:是的,如此真实。 从长远来看,你实际上是在帮他们一个忙,而不是伤害他们。

DV:当然。 我猜你可能会给他们一些喜欢,你知道,好吧,这是真正的管理员,但永远不要登录这是另一种事情。 显然,我不喜欢将他们排除在他们的见解之外。

RC:另一件要做的事情是如果它真的是高洞察力,我有一些高洞察力安装了双因素身份验证,除了密码之外也有帮助,然后他们需要智能手机上的应用程序或其他东西才能进入这甚至将其锁定了一步。 所以这是我认为密码安全性的重要组成部分。

DV: WP Engine 和其他一些主机会这样做。 我们有一个类似的,本质上是一个单一的解决方案,您可以在您的文字印刷机之间反弹。 但出于您提出它的原因,它也包含了两个因素。 我不敢相信我们之前没有把它作为密码的重要组成部分。 好提 好吧,让我稍微换个档次。 因此,当您考虑对 WordPress、PHP 和插件更新做出反应时。 你如何看待你的策略,以一种你觉得让你在安全方面获得成功的最佳机会的方式?

RC:首先,在进行任何重大更新之前,都需要进行备份。 不要依赖您的主机使用 WordPress 插件。 现在选择Updraft Plus Pro,这就是你应该做的备份。 此外,在需要之前测试您的备份。 不要等到需要备份备份,唯一的好处是恢复能力。 在您定期需要它之前,它已在暂存站点或演示沙箱中进行了测试。

DV:这是一个很好的观点,因为就像您可以进行备份一样,可能会出现问题并且您依赖它,然后突然间备份变得很糟糕。

RC:我也看到过这种情况。 很多。 当然。 我去过那儿。 我们都去过早上 6 点的时候是的。 另一件事是,我通常会进行核心更新。 所以这些是 WordPress 本身一出来就更新得很好。 我非常喜欢获取更新,尤其是更新中的安全修复。 许多更新都在我倾向于迟早做的更新之间。 在插件方面,他有点了解它。 因此,例如,我的意思是你必须确保没有已知的依赖关系,其中一个插件不能与另一个插件很好地配合。 我们都看到了。 如果您必须在沙箱中进行一些测试,请提前做好功课。

DV:所以我有点想继续。 我想说的是,我认为测试点非常突出。 所以我在想,就像当你看到发布时,你在想,我的头发是不是着火了? 我有点好奇,比如,你如何看待发布说明之类的解释。 我想听听你对此的看法。 我们将进行最后一次休息,我们会马上回来的。 是时候插播广告了。 请继续关注更多新闻。 欢迎大家回来在 W Mr. 上按此 WordPress 社区播客。我们正在讨论与 Rob Curtis 一起锁定您的 WordPress 构建。 罗布,就在休息前。 我们谈论了一些关于管理 WordPress、PHP 和插件更新的策略。 我有点暗示我的下一个问题,就像,你怎么知道当你看到一个版本发布时,可能会在发行说明中提到安全性,这是你应该真正担心的事情,对第二或者你是否有一点时间?

RC:是的,我通常在 WordPress 社区中发布版本,大多数版本都有一个候选版本,然后他们会进行测试,然后再发布。 现在有了一个次要版本,他们只是发布了一个主要版本。 他们实际上在 Slack 上有一个发布派对,在那里他们进行了一些最终测试,我经历过其中一些发布派对,它们非常有趣。 我的建议是尽可能多地阅读 wordpress.org。 尽可能多地阅读即将发布候选人的内容,但也阅读第三方资源,其中一些重要的内容是他们在常规安全博客上发布的内容。 阅读一些关于 WordFence 的内容,他们提供了一些非常好的信息。 甚至像 Hacker News 和 Search Engine Journal 这样的地方。 他们谈论了一些关于发布的内容,这很重要,因为你自己受过的教育越多,你就能更好地应对,所以我认为知识的源泉真​​的在这种情况下,

DV:你之前是否使用过 WP DB 之类的东西来分析不同的安全补丁进入你的插件或主题或其他任何东西。

RC :是的,它有,我什至还使用第三方网站(如安全性)进行扫描。 所以我采取的方法去分析,与人交谈,倾听,你必须脚踏实地。 有很多事情可以提供帮助,我认为它们都是有用的工具。

DV:所以补丁发布基本上你会意识到它的发布,你研究补丁中的内容以及它正在解决的问题。 然后我从那里猜测,你试图弄清楚你承担了多少风险,比如你现在要投入多少时间和精力。 所以就像我提到的那些连接到管理员帐户的跨站点脚本卷一样。 就像您的网站是唯一的管理员一样,我猜您可能不喜欢马上更新。 但是如果你有几十个管理员,那么你会说,哦,我不知道他们在做什么。 所以你可能更紧急,这公平吗? 但是你怎么看呢?

RC:嗯,是的,也不是。 原因是,对于一些大流行开始,我们都知道黑客们在家里很无聊。 所以我过去每周为客户做一次安全更新。 通常在周六或周日。 信不信由你,我现在每周查看网站和安全方面 3 次。 因为我正在努力降低风险。 所有的黑客都在家里无聊,现在乌克兰正在发生什么,正如我们记录的那样,安全空间现在是一个非常艰难的空间。 所以我认为你实际上必须提升你的知识和你正在做的事情,而不是提升它,我认为这真的很重要。

DV : 是的,我看到你所说的更激进的立场,尤其是在所有风险都存在的情况下。 好的,那么下一个问题。 您认为托管在您的安全方法中扮演什么角色?

RC:我喜欢这个问题。 因为大多数人不认为房东很重要,而我没有说你的房东是你在业务中的合作伙伴,而不仅仅是招聘。 我的意思是你需要做一些调查,看看你正在进行什么样的计划。 那么,您是否首先发现石头总是最好的是主机声誉,并从安全角度查看他们在防火墙上所做的事情,以从他们的角度帮助您网站所有者,一些主机和我不会把他们叫出来,他们都做得很好,有些房东做得非常棒。 我认为你必须看看这些东西,把它们当作你的伙伴。

DV:这些绝对是公平的观点。 因为他们为我们工作。 我绝对同意其中一些观点。 我认为我在 WordPress 社区中看到的令人鼓舞的事情之一就是各种各样的主机参与围绕确保 WordPress 站点被锁定的安全对话。 但是,是的,深度水平绝对是一件不断发展的大事。 我实际上监控了一个内部 Slack 通道,我们的安全团队监控该通道,当他们有带骨骼的插件时,我们使用该通道向客户发送警报。 所以,是的,我们肯定会在那里加倍努力。 Rob,这非常有趣,我想我们可能会聊一整天,但我们到这里就要结束了。 非常感谢您今天加入我们。

RC:我的快乐非常有趣,大卫,我希望它能帮助更多的人

DV:是的,我想是的。 你今天放弃了一些好点,我非常喜欢这次谈话,每个听众都想了解更多关于 Rob 在做什么,你可以访问 StunningDigitalmarketing.com 感谢收听关于 WMR 的 Press This WordPress 社区播客。 这位是您的主持人 David Vogelpohl。 我通过我在 WP Engine 的角色来支持 WordPress 社区,我喜欢每周在 Press This 上为您带来社区中最好的。