• 主頁
  • 文章
  • 指導
  • 按這個:睡得好。 與 Rob Cairns 一起鎖定您今天構建的 WordPress

按這個:睡得好。 與 Rob Cairns 一起鎖定您今天構建的 WordPress

已發表: 2022-03-09

歡迎來到來自 WMR 的 WordPress 社區播客 Press This。 在這裡,主持人 David Vogelpohl 與來自社區的客人坐下來討論 WordPress 開發人員面臨的最大問題。 以下是原錄音的抄錄。

由 RedCircle 提供支持

David Vogelpohl:大家好,歡迎來到 WMR 上的 WordPress 社區播客 Press This。 這是您的主持人,David Vogelpohl,我通過我在 WP Engine 的角色來支持 WordPress 社區,我喜歡將最好的社區帶給您,每週在新聞上聽到這個提醒,您可以在 Twitter @wpdavidv 上找到我,或者您可以在 iTunes、iHeartRadio、Spotify 上訂閱按此,或在 wmr.fm 下載最新劇集。 在這一集中,我們將討論安全性,尤其是通過鎖定您的 WordPress 構建來睡個好覺。 今天加入我們的談話。 我想歡迎按此,羅布凱恩斯。 羅伯,歡迎。

Rob Cairns:謝謝你,大衛,謝謝你邀請我。 欣賞它。

DV:是的,很高興有你在這裡。 對於那些聽。 Rob 從事數字營銷,長期以來一直在構建和優化 WordPress 網站。 在這一集中,Rob 將介紹他對最佳方法的看法。 為了鎖定 WordPress 網站,Rob 將通過默默無聞來分享他對安全性的看法。 這是一個好主意嗎? 壞主意,關於密碼和用戶更新 WordPress 和 PHP 時間的考慮等等。 今天讓 Rob 來這裡演講真的很興奮,他的證券這些天有很多人的想法,世界上發生的一切,只是相對於網絡安全而言。 這是一個非常及時的插曲,我認為人們正在考慮如何保護他們的數字體驗。 Rob,我要問你第一個問題,我問過其他客人。 您能簡單介紹一下您的 WordPress 起源故事嗎? 您第一次使用 WordPress 是什麼時候?

RC:當然好吧,大衛,我應該做的就是把你帶回去一點。 大約 20 年前,我在第一個 125 年前註冊了該域名,我提供的原因之一是我的家人曾經抱怨我更改電子郵件地址的時間比人們換衣服的時間更多。 所以我註冊了域名。 因為我從事技術工作,所以我創建了一個靜態 HTML 網站。 然後大約 15 年前,我把那個靜態網站變成了一個博客,當然,我的觀點來自 WordPress。 大約 12 年前,我離開了醫療保健圈,從事科技和醫療保健行業,然後開始全職創建網站。 所以這基本上是我的起源故事。

DV:然後你還記得他第一次將 HTML 網站轉換為 WordPress 博客是在哪一年。

RC:會不會是哦,可能是 26/27。 那裡的某個地方 26. 不久前,我還是 WordPress 的早期採用者。 是的。

DV:是的。 因此,在小部件和短代碼以及將 WordPress 從博客平台轉變為網站發布的時候,我發現了這一點。

RC:是的,我是我實際使用的第一批東西之一。 多年來真正遇到的問題是進展主題是我開發聖人標誌的第一個大主題之一,我們社區中的所有人都知道歷史進展以及那裡發生了什麼。 所以,是的,發生了很多事情。 現在這是一顆令人興奮的鑽石。 這是一個激動人心的時刻。

DV:太好了,我很高興你有一些在蝙蝠和鎖定 WordPress 網站,所以你是我們這裡有一個很好的插曲。 真快。 你能告訴我們一些關於催款數字營銷的事情嗎?

RC:是的,我在加拿大多倫多地區經營一家營銷機構。 我們基本上是我們的電子郵件營銷和鎖定網站的兩個優勢。 我的意思是,這是我們現在的大部分客戶,人們不想擔心保護這些網站。 這就是我們工作的基礎。 這些年來。 我們已經完成了從按點擊付費廣告到數字廣告系列的所有工作,我只是在最後一個範圍內縮小了範圍。

DV:好的,很好。 我在多倫多以外的 WordPress 社區裡有這麼多朋友嗎?很高興聽到你在附近,當事情開放並出去尋找下一個多倫多 WordCamp 時。

RC:我們已經有好幾年沒有提到camp Toronto了。 所以我很想出去見一些人。 那簡直太好了。

DV:是的,那是一座很棒的城市。 我真的很喜歡那裡。 因此,讓我們進入手頭的主題。 因此,當您將安全視為一門專業時,您是否遇到過導致您專注於安全的安全事件,或者這對您來說是隨著時間的推移而發展起來的,或者您是否遇到過問題? 還是它更多的是隨著時間的推移而發展起來的?

RC:嗯,它是隨著時間的推移而發展起來的,我想說,我實際上有企業服務器的安全背景。 因此,當我在特朗普最大的醫院之一從事醫療保健工作時,我正在研究的一件事是我們如何幫助我們的服務器團隊保護我們的服務器或交換服務器(即電子郵件)的安全性,以及我們如何幫助當時在醫療保健領域受過教育的客戶最大的問題是網絡釣魚詐騙? 所以人們點擊鏈接,他們不應該帶入安全的文件。 所以我對安全的興趣就是從那裡發展起來的。

DV:這很好地解釋了你對電子郵件營銷的關注,以及我想鎖定的缺點,就像那些是不同的學科,但你的醫療保健背景是有意義的,考慮那些 Exchange 服務器,然後是個人和醫療保健的安全方面服務器,這很有意義。 因此,讓我們進入 WordPress 方面。 你知道,我們在新聞中看到了很多,你知道,有 7000 萬個網站存在漏洞,因為有些,你知道,插件或類似的東西。 但是您個人是否認為 WordPress 本質上是安全的,如果是,為什麼或為什麼不呢?

RC:我同意,在我們相信 WordPress 網站之前,我想說的是 Microsoft Windows 存在安全問題。 微軟每個月都會發布他們所謂的 Patch Tuesday 的補丁,它是世界上最大的商業操作系統。 所以我的論點是,不是我們發現它看到的補丁或安全問題,而是我們如何處理它們。 我希望看到供應商的響應能力。 因此,以現實生活為例,UpdraftPlus 最近在安全方面出現了最大的備份程序之一,在過去的幾個月裡斷斷續續地出現了很多問題。 但他們做得好的是馬上發布補丁,對於不知道的人來說是安全修復,他們及時及時地處理了。 而這對我來說更重要。 我認為。 一旦某樣東西佔據了超過 40% 的市場或流程,你總會有人從安全的角度對其進行攻擊,因為現在值得黑客花時間。

DV:是的,這些都很好。 我經常認為這就像軟件的作者可能會受到激勵,引用淡化問題。 試圖吸引讀者的記者被訓練過誇大問題,進入你的觀點,如果管理得當,你生活中的每一個主要軟件,並註意隨著時間的推移發現漏洞,並及時修補這些漏洞。 而且我認為我個人提出的另一點是 WordPress 目前沒有已知的未修補的公共漏洞,所以這就是我的想法。 我真的很喜歡這個地方。 而且我也喜歡你如何稱呼上升氣流如何接近球在那裡被發現。 而且,你知道,我認為系統中很多非常好的提供者都有很多責任。 當他們以負責任的方式向他們報告時,他們在管理電話方面做得很好。 無論是你的聲音還是你想要添加的任何東西,

RC:順便說一下,我是 PodOmatic。 他們在修補漏洞方面做得非常出色。 我知道我們最近發布了 5.9 版本。 上週發布 5.9 點時,它只是一個維護版本。 該版本中甚至沒有安全修復。 所以榮譽,我認為自動非常重視安全性。 所以,是的,很好的空間。

DV :我對那個團隊的了解是它有很多人。 有了類似,我會說企業級安全經驗。 在我的曝光。 他們當然遵循了圍繞負責任的披露演變的最佳實踐來回應他們。 不僅我會說 WordPress 核心團隊,而且我還會說 WordPress 插件團隊,以及他們如何管理漏洞,他們如何考慮內容日期,他們如何與作者溝通,他們如何從 repo 中取出插件,如果他們沒有打補丁。 我不知道,我不知道你是否已經深入了解它。 但這些都是讓我印象深刻的事情。

RC :我有一個實際上我最近與 Proteus fetcher 進行了討論,他太弱了 Gutenberg 架構師,他說他的團隊非常非常重視它。 所以我認為任何認為他們沒有的人,我認為他們不太支持馬克。 老實說。 我認為他們正在認真對待它。 他們在聽。 他們披露不當。

DV:是的,感覺很多負面情緒都是你知道人們以錯誤的方式解釋的那種聳人聽聞的頭條新聞,但我發現大多數作者實際上都喜歡準確地描述正在發生的事情。 只是標題讀起來真的很嚇人,而且它是安全和軟件的目標池。 這就是它總是會起作用的方式。 它就是這樣兒的。 所以我想進入一些更具體的實踐,特別是通過默默無聞的安全概念。 但是我們要休息一下,我們會馬上回來的。 插入商業廣告。 請繼續關注更多新聞。 歡迎大家回來在 W EMR 上按此 WordPress 社區播客。 這是您的主持人大衛·沃格爾。 保羅。 我正在採訪令人驚嘆的數字媒體的 Rob Curtis,了解如何鎖定您的 WordPress 版本。 Rob 休息前我們談到了 WordPress 的固有安全性,核心團隊如何解決它,甚至像插件團隊這樣的人,但我現在想換個檔次來建立一個訪客主題。 你知道,有些人經常會依靠默默無聞的安全概念,就像沒有人能找到這個關心它是否被鎖定的東西? 我知道你不是那個的忠實粉絲。 但是喜歡為什麼並幫助人們理解。 為什麼不。

RC:就我個人而言,我認為這兩件事是很多人喜歡做的,你喜歡改變WordPress,他們的數據庫前綴表,他們喜歡改變他們的登錄後端。 我認為這些只是花哨的櫥窗裝飾。 在一天結束時。 我個人認為他們不會這樣做,大多數黑客都有可以掃描站點並找出後端都在使用腳本或找出數據庫表的工具。 所以我的意思是,我不認為這樣的事情在一天結束時真的很重要。 如果它讓你感覺精神上的能力或更好。 去這樣做。 但最後,我認為它不會為您的客戶或最終用戶提供很多東西。

DV:是的,你知道壞人使用的那些發現工具,即使你在混淆,也不一定能達到目的。 我記得,早在 90 年代末,我就獲得了一個有工作的免費網絡託管帳戶,我記得將我的信用卡上傳到其中進行存儲。 我想,沒有人知道地址。 但差異很大。 我記得我很快就被周圍的一些同事羞辱了。 所以這是我當時學到的一個教訓。 好的,這是關於通過默默無聞的安全性以及不良行為者如何使用,你知道,他們的各種工具包來顛覆它的一個很好的觀點。 你知道,正如我所看到的,你知道,安全,你談到了這個,我想早一點,但你知道,很多人都在談論,你知道,你組織中的人是你安全的最大風險. 你如何解決這個問題? 使用 WordPress 構建中的密碼策略或其他方法。

RC:所以我喜歡做的第一件事是,特別是對於管理員帳戶來說,一個強大而復雜的密碼,我總是建議人們使用密碼生成器,不要使用字典中的密碼。 我認為這真是個壞主意。 讓它盡可能長,人們會說,哦,我不記得了。 好吧,那是您需要花時間讓密碼管理器選擇一個 LastPass 一個密碼位 Warden 的時候,這就是為什麼 Password Manager 選擇找到適合您的密碼管理器的原因。 並開始使用您在其他任何地方都不會使用的複雜密碼。 如果你不相信有一個非常好的網站,如果你已經被典當了,它會告訴你你的電子郵件地址和你的密碼已經在互聯網上的其他任何地方發現了一個已知漏洞,所以它可以對數字和字母以及特殊字符進行密碼安全組合併執行所有這些操作。 而且我知道人們以前一直希望這一切,但我認為沒有足夠的人這樣做

DV:相對於賬單,然後從配置的角度來看,您正在考慮強制使用強密碼,但聽起來您也在考慮將培訓作為其中的一部分,就像您正在培訓那些將使用您的網站的人'建立在正確的密碼之上。 實踐。

RC:毫無疑問,使用軟件強制並定期更改這些管理員密碼。 我通常強迫它們每 90 天更換一次。 這就是他們在企業界所做的事情,這是有原因的。 而且我認為在 WordPress 網站上這是一個好主意。

DV:哦,有趣。 你知道,聽說最近有一些不推薦的修改,但我不是專家。 所以我不會在那裡問你。 但我認為這些顯然是合理的做法。 我真的很喜歡和人一起加強。 他使用每個站點的唯一密碼。 順便問一下,Rob,你是遊戲玩家嗎?

RC : 我以前玩的遊戲不多,因為坦率地說,如果我開始玩,我會全神貫注

DV :好的,很酷。 所以這真的是從密碼的角度考慮它作為執行強有力的策略,但同時也培訓你的用戶。 培訓或其他方面是否還有其他限制風險的方法?

RC:人們不會在 WordPress 儀表板中賦予人們角色。 他們不吃東西,所以有人只會做博客文章 不要給他一個管理員角色,不管他們多麼尖叫,值得一提的是 WP Engine 有一個非常好的白標 CMS 程序插件,我用過很多時候,如果有人傳播管理員權限,我知道我不希望他們訪問該部分,所有這些部分都安裝了 WP Engine 的白標 CMS,並將它們鎖定在網站的某些部分之外。 所以真正給人們他們需要的東西。 不是一切。 這也是一件大事。

DV :是的,我不熟悉這個插件。 我得四處看看。 所以你認為在這里工作我知道你確定是我們做的? 我認同。 好吧,錯了。 但是這裡的關鍵點是限制管理員角色。 我在 WordPress 插件倉庫中監控各種骨骼。 而且,報告的許多漏洞都是跨站點腳本漏洞。 是的,其中很多僅限於管理員角色,插件作者通常會做出很好的反應,只有管理員擁有該訪問權限,誰在乎? 並且您有點表明有一些用戶,儘管您可能信任他們,但也許您在軟件級別不信任他們。

RC :不開玩笑。 我現在有一個客戶,如果我的生活依賴它,我不會給他的員工管理角色,因為我知道會發生什麼。 所以我只是,我只是說不。

DV : 是的,這在你的想法中就像,嗯,這是他們的網站,誰在乎他們做了什麼,我猜,你知道,總是有那種客戶打破他們的洞察力的比喻。 但是,有了這些提升的權限,當他們登錄時,跨站點腳本漏洞之類的東西可以發揮更大的作用。 因此,對於這些新手用戶,通過使用您授予的訪問權限,在他們的用戶角色中,您可以幫助降低他們作為客戶的風險。

RC:是的,如此真實。 從長遠來看,你實際上是在幫他們一個忙,而不是傷害他們。

DV:當然。 我猜你可能會給他們一些喜歡,你知道,好吧,這是真正的管理員,但永遠不要登錄這是另一種事情。 顯然,我不喜歡將他們排除在他們的見解之外。

RC:另一件要做的事情是如果它真的是高洞察力,我有一些高洞察力安裝了雙因素身份驗證,除了密碼之外也有幫助,然後他們需要智能手機上的應用程序或其他東西才能進入這甚至將其鎖定了一步。 所以這是我認為密碼安全性的重要組成部分。

DV: WP Engine 和其他一些主機會這樣做。 我們有一個類似的,本質上是一個單一的解決方案,您可以在您的文字印刷機之間反彈。 但出於您提出它的原因,它也包含了兩個因素。 我不敢相信我們之前沒有把它作為密碼的重要組成部分。 好提 好吧,讓我稍微換個檔次。 因此,當您考慮對 WordPress、PHP 和插件更新做出反應時。 你如何看待你的策略,以一種你覺得讓你在安全方面獲得成功的最佳機會的方式?

RC:首先,在進行任何重大更新之前,都需要進行備份。 不要依賴您的主機使用 WordPress 插件。 現在選擇Updraft Plus Pro,這就是你應該做的備份。 此外,在需要之前測試您的備份。 不要等到需要備份備份,唯一的好處是恢復能力。 在您定期需要它之前,它已在暫存站點或演示沙箱中進行了測試。

DV:這是一個很好的觀點,因為就像您可以進行備份一樣,可能會出現問題並且您依賴它,然後突然間備份變得很糟糕。

RC:我也看到過這種情況。 很多。 當然。 我去過那兒。 我們都去過早上 6 點的時候是的。 另一件事是,我通常會進行核心更新。 所以這些是 WordPress 本身一出來就更新得很好。 我非常喜歡獲取更新,尤其是更新中的安全修復。 許多更新都在我傾向於遲早做的更新之間。 在插件方面,他有點了解它。 因此,例如,我的意思是你必須確保沒有已知的依賴關係,其中一個插件不能與另一個插件很好地配合。 我們都看到了。 如果您必須在沙箱中進行一些測試,請提前做好功課。

DV:所以我有點想繼續。 我想說的是,我認為測試點非常突出。 所以我在想,就像當你看到發佈時,你在想,我的頭髮是不是著火了? 我有點好奇,比如,你如何看待發布說明之類的解釋。 我想听聽你對此的看法。 我們將進行最後一次休息,我們會馬上回來的。 是時候插播廣告了。 請繼續關注更多新聞。 歡迎大家回來在 W Mr. 上按此 WordPress 社區播客。我們正在討論與 Rob Curtis 一起鎖定您的 WordPress 構建。 羅布,就在休息前。 我們談論了一些關於管理 WordPress、PHP 和插件更新的策略。 我有點暗示我的下一個問題,就像,你怎麼知道當你看到一個版本發佈時,可能會在發行說明中提到安全性,這是你應該真正擔心的事情,對第二或者你是否有一點時間?

RC:是的,我通常在 WordPress 社區中發布版本,大多數版本都有一個候選版本,然後他們會進行測試,然後再發布。 現在有了一個次要版本,他們只是發布了一個主要版本。 他們實際上在 Slack 上有一個發布派對,在那裡他們進行了一些最終測試,我經歷過其中一些發布派對,它們非常有趣。 我的建議是盡可能多地閱讀 wordpress.org。 盡可能多地閱讀即將發布候選人的內容,但也閱讀第三方資源,其中一些重要的內容是他們在常規安全博客上發布的內容。 閱讀一些關於 WordFence 的內容,他們提供了一些非常好的信息。 甚至像 Hacker News 和 Search Engine Journal 這樣的地方。 他們談論了一些關於發布的內容,這很重要,因為你自己受過的教育越多,你就能更好地應對,所以我認為知識的源泉真的在這種情況下,

DV:你之前是否使用過 WP DB 之類的東西來分析不同的安全補丁進入你的插件或主題或其他任何東西。

RC :是的,它有,我什至還使用第三方網站(如安全性)進行掃描。 所以我採取的方法去分析,與人交談,傾聽,你必須腳踏實地。 有很多事情可以提供幫助,我認為它們都是有用的工具。

DV:所以補丁發布基本上你會意識到它的發布,你研究補丁中的內容以及它正在解決的問題。 然後我從那裡猜測,你試圖弄清楚你承擔了多少風險,比如你現在要投入多少時間和精力。 所以就像我提到的那些連接到管理員帳戶的跨站點腳本卷一樣。 就像您的網站是唯一的管理員一樣,我猜您可能不喜歡馬上更新。 但是如果你有幾十個管理員,那麼你會說,哦,我不知道他們在做什麼。 所以你可能更緊急,這公平嗎? 但是你怎麼看呢?

RC:嗯,是的,也不是。 原因是,對於一些大流行開始,我們都知道黑客們在家裡很無聊。 所以我過去每週為客戶做一次安全更新。 通常在周六或週日。 信不信由你,我現在每週查看網站和安全方面 3 次。 因為我正在努力降低風險。 所有的黑客都在家裡無聊,現在烏克蘭正在發生什麼,正如我們記錄的那樣,安全空間現在是一個非常艱難的空間。 所以我認為你實際上必須提升你的知識和你正在做的事情,而不是提升它,我認為這真的很重要。

DV : 是的,我看到你所說的更激進的立場,尤其是在所有風險都存在的情況下。 好的,那麼下一個問題。 您認為託管在您的安全方法中扮演什麼角色?

RC:我喜歡這個問題。 因為大多數人不認為房東很重要,而我沒有說你的房東是你在業務中的合作夥伴,而不僅僅是招聘。 我的意思是你需要做一些調查,看看你正在進行什麼樣的計劃。 那麼,您是否首先發現石頭總是最好的是主機聲譽,並從安全角度查看他們在防火牆上所做的事情,以從他們的角度幫助您網站所有者,一些主機和我不會把他們叫出來,他們都做得很好,有些房東做得非常棒。 我認為你必須看看這些東西,把它們當作你的伙伴。

DV:這些絕對是公平的觀點。 因為他們為我們工作。 我絕對同意其中一些觀點。 我認為我在 WordPress 社區中看到的令人鼓舞的事情之一就是各種各樣的主機參與圍繞確保 WordPress 站點被鎖定的安全對話。 但是,是的,深度水平絕對是一件不斷發展的大事。 我實際上監控了一個內部 Slack 通道,我們的安全團隊監控該通道,當他們有帶骨骼的插件時,我們使用該通道向客戶發送警報。 所以,是的,我們肯定會在那裡加倍努力。 Rob,這非常有趣,我想我們可能會聊一整天,但我們到這裡就要結束了。 非常感謝您今天加入我們。

RC:我的快樂非常有趣,大衛,我希望它能幫助更多的人

DV:是的,我想是的。 你今天放棄了一些好點,我非常喜歡這次談話,每個聽眾都想了解更多關於 Rob 在做什麼,你可以訪問 StunningDigitalmarketing.com 感謝收聽關於 WMR 的 Press This WordPress 社區播客。 這位是您的主持人 David Vogelpohl。 我通過我在 WP Engine 的角色來支持 WordPress 社區,我喜歡每週在 Press This 上為您帶來社區中最好的。