採訪 Ivica Delic 關於 WordPress 專業人士和安全性

已發表: 2019-09-05

到目前為止,我們只採訪了了解並在應用程序和 WordPress 安全方面工作的人。 我們一直聽到供應商的聲音。 然而,在這次採訪中,我們採取了不同的方法。 我們採訪了 WordPress 安全專家 Ivica Delic。 本次採訪的範圍是為了更好地了解 WordPress 專業人士(對他們來說可能安全不是他們的團隊)如何看待和理解安全產品和服務。 這次採訪還幫助我們了解我們可以改進的地方以及這些專業人士正在採取哪些措施來確保客戶網站的安全。

Ivica Delic,WordPress 專業人士 Ivica Delic 自 2011 年以來一直在使用 WordPress,並與他人共同創立了 FreelancersTools.com。 他曾在 WordPress 社區做志願者,並參加了許多 WP Meetups 會議並發表了有關加速 WordPress 網站的演講。 Ivica 在各種 WordPress 主題上創建了幾個受歡迎的 Facebook 群組。 他是超過 25 個 Facebook 群組的管理員,這些群組共有超過 150,000 名成員。 Ivica 畢業於經濟學碩士學位,在銀行業管理團隊 20 多年後,他與人共同創立了 Confida,這是一家專注於幫助客戶管理 WordPress 網站和數字營銷需求的數字市場公司。

面試

Q1:當您設置新的 WordPress 網站時,您實施/遵循的前 5 個安全最佳實踐是什麼?

第一個是選擇一個好的和可靠的 WordPress 主機。 我與很多網絡主機合作過,其中也有很多不錯的。 我的大部分工作都使用 SiteGround。

第二個最佳實踐是實施良好的備份策略。 我總是盡可能使用在線服務,例如 BlogVault。 這使得將備份存儲在異地和安全位置成為可能。

然後我安裝了一些 WordPress 安全工具和插件。 我總是向所有客戶推薦 MalCare 和 WP Activity Log 作為網站防禦的最後一道防線。

剩下的兩個最佳實踐是對我們用戶的建議; 使用唯一且強大的 WordPress 密碼,並始終保持您的 WordPress 核心、主題、插件、PHP 以及您的網絡服務器和計算機上的所有軟件為最新。 如果可能,請使用防病毒/反惡意軟件。

Q2。 您是否發現 WordPress 安全插件和服務易於實施和使用?

在過去的幾年裡,我們測試了很多安全插件和工具。 有一些非常容易實現和使用。 然而,其他一些非常難以使用,它們弊大於利。 它們給用戶留下了很多決定權,但是,大多數用戶和專業人士並不精通安全。 因此,他們發現這些插件勢不可擋,最終導致網站保護不足或過度保護。

用戶通常會錯誤配置複雜的安全插件。 例如,他們被安全插件鎖定在自己的網站之外,或者他們所有的熱鏈接圖像不再加載。 或者一些帶有文件完整性監控的安全插件報告日誌文件中的更改可能是惡意的。 用戶對此感到恐慌,因為他們不明白例如日誌文件中的更改不是惡意的,或者為什麼熱鏈接圖像不起作用。

Q3。 您在實施或使用安全插件/產品/服務時遇到的最大挑戰/困難是什麼?

與上一個問題相關——我個人遇到的最大挑戰是我必須測試和檢查客戶網站上使用的安全工具,這些工具我可能並不熟悉。 有時,我們接管了客戶網站的管理,並且必須檢查所有安全解決方案是否可以正常協同工作,而不會出現功能重疊。 我們必須確保它們之間不存在兼容性問題,以避免出現不良行為,例如阻止網站管理員。

Q4。 您是否關注任何安全網站以了解 WordPress 安全性,還是將其留給專業人士? 或者兩者兼而有之?

我是許多 WP 安全專家發布的少數 WordPress 安全 Facebook 群組的成員和管理員。 我關注並閱讀所有相關的安全新聞以及安全實用建議/最佳實踐。 然而,清理受感染站點的複雜任務我(仍然)沒有掌握。 在這種情況下,我依靠專業人士。

Q5。 您更喜歡使用在線 WordPress 防火牆服務還是在您的網站上安裝 WordPress 防火牆插件? 解釋為什麼。

我更喜歡使用在線 WordPress Web 應用程序防火牆 (WAF) 服務。 所有專家都表示,WAF 是抵禦黑客和 DDoS 攻擊的更好的安全層。 WAF 能夠在任何惡意內容到達您的站點之前檢測並阻止它。 不幸的是,WordPress 插件無法提供這一點,因為它們試圖從內部保護網站。

Q6。 在您看來,WordPress 網站被黑的三大原因是什麼?

我與許多其他專業人士有著相同的看法:

  • 不安全的網站託管,
  • 使用弱且容易猜到的密碼,
  • 過時的WordPress核心、主題、插件、PHP等軟件。

如果您不介意我添加額外的提示,如果您關心您的網站和業務,請不要安裝無效的插件和主題。

Q7:您認為 WordPress 安全行業/供應商可以做些什麼來幫助更多像您這樣的專業人士,安全不是他們的一杯茶,更好地了解和保護他們客戶的網站?

簡而言之,他們需要讓用戶更輕鬆。 他們可以通過以下方式做到這一點:

  • 創建更多嚮導以更輕鬆、更快地實施安全工具,
  • 自動實施“最佳實踐”,讓用戶無需做太多事情,
  • 實施警告系統,以便當某些安全工具安裝在具有重疊功能的同一站點上時,會告知用戶該問題。

Q8。 如果您可以選擇默認包含在 WordPress 核心中的一項安全功能,那會是什麼以及為什麼?

我希望看到 WordPress 中包含的 Web 應用程序防火牆 (WAF) 服務至少具有基本的安全保護層,就像我們在預裝 Windows Defender 的 Windows 上一樣。

問題 9。 您是否希望從安全供應商和專業人士那裡看到更多特定主題或內容?
我希望為初學者看到更多現實生活中的用例,這些用例解釋了當安全遭到破壞時如何處理特定的日常情況。 那裡有很多,但其中大多數都是針對高級安全人員的。 他們使用複雜的術語和工具。

問題 10。 您是否覺得您可以及時了解 WordPress 安全新聞? 如果不是,您認為問題出在哪裡?
是的,經過這麼多年,我對自己掌握了竅門感到非常有信心。 我們花了相當長的時間來測試和仔細構建我們的安全工具組合框,並確保我們團隊中的每個人都遵循安全最佳實踐。