Bir web sitesini profesyonel olarak nasıl yönetirim?

19

Eşim bir iş kurdu ve web sitesi potansiyel müşterilere ulaşmanın önemli bir yoludur. Ben bir yazılım geliştiricisiyim, bu yüzden 'elbette' teknik şeylerle ilgileniyorum. Bir web barındırıcısı düzenledim ve WordPress'i yükledim ve yapılandırdım (ki bu iyi bir temayla birlikte faturamıza güzel uyuyor). Eşim HTML ve CSS hakkında biraz bilgiye sahip, bu yüzden web sitesini kendisi özelleştirebilir.

Şimdi, bu şeyleri profesyonelleştirmek istiyorum. Aptalca bir şey olursa (yanlışlıkla bir dosyayı karıştırır, WordPress güncellemesinde hata, site hacklenir) tüm siteyi kaybederiz.

Siteyi yönetmek için neye ihtiyacım var? Bu konuyu incelerken, yalnızca peşinde olduğum bilgi düzeyi olmayan FTP eğiticileri buluyorum. Anladım:

  • dosyaların yedeği + veritabanı (Bunlara zaten sahibim, ancak geri yüklemenin işe yarayıp yaramadığını test etmedim)
  • temayı düzenlemek ve wordpress güncellemelerini test etmek için yerel bir test ortamı
  • test ortamını canlı siteye yüklemeden önce test edilecek bazı şeyler içeren bir test planı
  • sürümleme - bir şey ters giderse, önceki bir sürüme gidebilmeliyiz.
  • çalışma süresi izleme - site kapanırsa, müşterilerden duymak zorunda kalmayacağım

Bybe tarafından önerilen , çoğunlukla güvenlikle ilgili:

  • bir VPS kullanın. Bu beni diğer paylaşılan barındırma hesaplarına yapılan saldırılara karşı koruyacak, ancak sunucuyu kendim güvende tutmak zorunda olduğum için başka bir solucan kutusu açıyor .
  • yazılabilir olması gerekmeyen tüm dosyalardaki yazma izinlerini kaldırın (şablon dosyaları, .htaccess)
  • CMS posta listesine abone olun (bu durumda Wordpress) ve yeni sürümler hazır olur olmaz güncelleyin
  • CMS eklentilerinin sayısını en aza indirin - kendi güvenlik açıkları vardır
  • CMS'nin varsayılan yönetici hesabını kaldırın
  • web sitesini değiştirirken bakım moduna geçirin. Tutarlı bir yedekleme sağlar ve ziyaretçiler için daha hoştur.

Bu listede eksik olan bir şey var mı?

web-development  wordpress  change-management 
Frank Kusters
kaynak
Eşinizin işinin hedeflenecek bir nedeni olmadıkça, biraz denize düştüğünüz anlaşılıyor. Bu soru "toplumda nasıl güvende kalabilirim?" Bununla başa çıkma planı yapmadan önce tehdidi ölçmeniz gerekir. Bir hırsızın bazı sunucuları çalmak için ortaya çıkması durumunda veri merkezinin dışında kamp kurabilirsiniz, ancak bu çok saçma olurdu. Çoğu böyle olur.
Eşimin işinin hedeflenmesi için belirli bir nedeni yok, ancak web sitesi herhangi bir hackerın ilgisini çekiyor. Sadece bir göz atın bu . Yukarıdaki adımlar zor değildir ve herhangi bir paraya mal olmaz, ancak bilgisayar korsanları için çok daha zor hale getirir .
Frank Kusters
Lütfen daha iyi bir başlık seçin, bu çok genel ve sorunuzu okumamış olsaydım aşağı oy kullanmak üzereydim.
Omne

Yanıtlar:

11

İyi Sorular, güvenlik ana konunuzdur ve kendi web sitelerini yönetmeyi isteyen herkes için aynıdır. WordPress, gezegendeki en güvenli içerik yönetim sistemi değildir, ancak iyi barındırma ve güvenliğin ve neyin güvence altına alınacağının iyi bilgisi ile güvenli hale getirilebilir.

Barındırma

Sitenizi barındırmanın en güvenli yolu, işletim sisteminde iyi bir güvenliğe sahip olduğunuzu varsayarak bir VPS veya adanmıştır. Paylaşılan barındırma ile ilgili sorun, hackerlar hapishanede olsalar bile, bu hackerlar yollarını bulur ve birden fazla siteye bulaşır. Örneğin GoDaddy geçen ay saldırıya uğradı ve gri renkli backlink ekleri ile 100.000 web sitesini hacklendi.

Okuduğum kadarıyla bir VPS ile gitmek istiyorsunuz, ancak önemli olan yedeklerinizi yönetmek için bir şey istiyorsunuz, ihtiyacınız olan şey CentOS6 ile Cpanel'li bir VPS. Cpanel için ek ödeme yapmanız gerekecek, ancak bu, web sitelerini ayarlamayı ve veritabanını yedeklemeyi ve dosya sistemini otomatik hale getirmenin yanı sıra yedekleme bir nedenden ötürü tamamlandığında veya başarısız olduğunda günlük e-postalar gönderecektir.

Artık linux içinde ne kadar güçlü becerilere sahip olduğunuzu bilmiyorum ama bu bölümde güçlü değilseniz, VPS genellikle diğer güvenlik sorunlarını getirebilir. Bu günlerde yeterince şanslıyız, Google gibi şeyler var ve VPS'nizi nasıl kolayca güvenceye alabileceğinizi hemen hemen öğrenebilirsiniz. VPS kutunuzla ilgili temel şey, bilgisayarınızda bulunan bir SSL Anahtarı kullanmanızın, şifreyi bilseler bile, bu sertifika olmadan sisteminize erişemedikleri anlamına gelir. Ayrıca şifreyi tahmin etmeyi durdurmak için her zaman ssh portunu değiştirebilirsiniz.

Kutunuza erişimi önlemek için yapabileceğiniz birçok şey var ve Google bu en iyi hizmeti sunuyor, listelemek için çok fazla şey var.

WordPress

Wordpress'in güvenliğini sağlamak oldukça basit, En güçlü tavsiyem şablon içindeki dosyaları güvence altına almak /wp-content/themes directory. Karınız bunları düzenlemek istediğiniz şablon dosyalarını düzenlemeyeceğinden, doğrudan WordPress'ten yazılamazlar. İçinde bir ayar yoktur configuration.phpsadece sen gidip bir VPS bu dosyaların sahipliğini değiştirmek kullanmak yoksa bunları FTP kullanarak veya CHMOD ciddi ayarlamak ancak www-dataetmek root. Bu şekilde WordPress veya sunucuda çalışan başka bir yazılımdan değiştirilemezler. Çoğu enjeksiyon, komut dosyası tabanlı index.phpşablonların dosyalarına saldırır ve kötü amaçlı yazılımı ekler. Ayrıca birkaç .htaccessyönlendirme saldırısı vardır, bu yüzden .htaccessistediğiniz ayarlara sahip olduğunuzda dosyayı tekrar yazılamaz duruma getirin veya www verilerinden köke geçin. Ayrıcaconfiguration.php konuklar ve yabancılar tarafından okunamayacak şekilde kök veya chmod olarak ayarlamanız gerekir.

CHMOD'un gücünü yeterince tahmin etmeyin, ne kadar çok dosya yazılamazsa o kadar iyi olur. Gereksiz WordPress eklentilerinden kaçınmaya çalışın. Bazıları harika olsa da, kendinize ihtiyacınız var mı diye sorun. Ne kadar çok yüklerseniz, bilgisayar korsanlarınız o kadar çok oynamak zorunda, bu yüzden eklentilerden olabildiğince kaçının ve siteyi onlarla şişirmeyin.

WordPress haftalık olarak aylık olarak güncellenir, mümkün olan en kısa zamanda güncellenir - Bu kadar çok güncellemelerinin olmasının bir nedeni vardır ve bunlardan biri buldukları güvenlik sorunları ve boşluklardır.

Ayrıca, varsayılan olarak bir "admin" "parola" hesabınız olur, wifenamesiniz gibi başka bir yönetici ve iyi bir parola oluşturun. Ardından bu yönetici hesabını silin.

Test planı

Sitenizi her zaman taklit edebilirsiniz, yani bir klonunuz olabilir. Cpanel kullanarak bir alt etki alanı test.subdomain.com kurabilir ve veritabanının bir kopyasıyla birlikte aynı WordPress'i çalıştırabilirsiniz.

Kişisel olarak WordPress için büyük uzantılar kullanmıyorsanız, siteyi çevrimdışı duruma getirebilirsiniz, yani Bakım devam ediyor. ve bir şey ters giderse, sistemi güncelleyin, o zaman otomatik yedekleme veya bakım sırasında yaptığınız bir yedekleme var. bu şekilde her iki durumda da güvende.

Bakım modunda güncelleme yapmak her zaman en iyisidir, ancak bazı güncellemeler sormazken bazıları günceller. En iyisi çevrimdışı almak için en iyi GOOD snap mağazası var.

Sürüm Oluşturma Her günlük yedeklemede, GZ / Zip içinde yapılandırma dosyasını WordPress sürüm numaralarıyla okuyabileceğiniz bir tarih olacaktır.

Çalışma Süresi İyi Vps sistemleri sizin için izler ve gerekirse yeniden başlatılır, sunucuyu çalıştırdığınızdan beri her zaman sunucu kapanırsa size bir e-posta gönderecek bir cron işi yükleyebilirsiniz. İyi bir sunucu hiçbir zaman gerçekten düşmez, yedek güç kaynakları ve donanımı, örneğin Rackspace veya bir bulut üzerinde amazon çalışması olan bir bulut üzerinde çalışan iyi bir VPS şirketi seçin.

Test Sürümü Tekrar siteyi .htaccess şifresi kullanan bir alt etki alanına kopyalayın.

Umarım bu yardımcı olur ve başka sorularınız varsa lütfen sorun.

Simon Hayter
kaynak
1
Burada sağlam bir tavsiye var. Sorumdaki listeye ekleyeceğim.
Frank Kusters
Güvenilirlik için bir kümede çalışan bir webhost seçtim. Ancak yanlış yapılandırmalar, çalışma zamanı yazılımları tarafından algılanmaz - bununla kendim ilgilenmeliyim.
Frank Kusters
2

Kesinlikle basit tutmak isteyeceksiniz. Ama sonuçta ne tür bir siteye ihtiyacınız olduğuna bağlı (insanlar bir şeyler satın alabilecekler mi?).

Basit bir WordPress siteniz varsa, yedekleme yapmak istersiniz (veya genel sunucudaki kopyanın tek kopya olmadığından emin olun; statik dosyaları sunucudan yedeklemeyin, ancak her hafta veritabanını yedekleyin). Daha büyük siteler için veya herhangi bir kullanıcı verilerini veritabanında saklıyorsanız, daha sık yedekleyin.

Daha büyük e-ticaret siteleri için, ziyaretçilerin güvenini kazanmak ve verileri şifrelemek için bir SSL sertifikasına yatırım yapmak iyi bir fikir olabilir (kendi kendinden imzalı sertifikanızı ücretsiz olarak oluşturabilirsiniz, ancak yalnızca bir geliştirme ortamı).

Güvenlikle ilgileniyorsanız kesinlikle bir VPS veya özel bir sunucu kiralamayı düşünün; çok daha fazla esneklik sunar, ancak güç ile sorumluluk gelir (ve aynı zamanda işleri mahvetme potansiyeli). Uzaktaki sunucular arasında gerçekten süslü olabilir ve senkronize edilmiş veritabanları kurabilir, rsyncverileri bir zamanlamaya göre yedeklemek için kullanabilirsiniz , ancak yine de basit tutun.

Bir test ortamı için, kötü bir fikir değil ve muhtemelen tasarımı ve içeriği sık sık değiştirirseniz iyi bir şey, ancak WP sürümlerinin ve ayarlarının aynı olduğundan emin olmak istersiniz. Çok önemli.

Son olarak, basit tutun. Dosyaları silmede / silmede insan hataları veri kaybının önde gelen nedenidir. Hackerlar değil.

ionFish
kaynak
Web sitesi temel olarak bir portföy ve sipariş formu içermektedir. Kapalı ise, müşteriler eşimin işini bulamıyor demektir. Bu bir 'daha büyük e-ticaret sitesi' değil - boş zamanlarımda bunu yapmazdım. VPS ellerime gereğinden fazla güç veriyor - paylaşılan barındırma gayet iyi. Sitenin güvenilirliği web barındırma tarafından halledilir. Tavsiye için teşekkürler.
Frank Kusters
2

Kendim yeni bir web yöneticisiyim, bu yüzden bir uzmandan çok uzakım. Size söyleyebileceğim şey, son birkaç aydır yaşadığım deneyimler. Küçük bir arka plan: Ben küçük bir Linux / Apache deneyimi olan, PHP / HTML / CSS konusunda yetkin, WordPress (WP) konusunda iyi bir bilgi birikimine sahip bir Windows adamıyım.

XAMPP ile yerel bir test ortamı kurdum ve WP'yi kurmak / yapılandırmak / silmek için çok zaman harcadım. Sonra WP eklenti geliştirme öğrenmek için birkaç gün geçirdim. Her şeyi yerel olarak yaptı, küçük bir eklenti yarattı. İyi çalışıyor, canlı olarak yükledi, sonra neden canlı sitemde çalışmadığını anlamaya çalışmak için bir sürü zaman harcamak zorunda kaldı.

Kesin nedenleri hatırlamıyorum, ancak yerel sunucumdan farklı ayarlar / izinler / vb. Sunucu yönetimi hakkında daha fazla şey öğrenmek ve yerelden canlıya ortamlarımı eşleştirmeye çalışmak için çok daha fazla zaman harcayabilsem de, daha kolay bir yol izlemeye karar verdim. Canlı bir test alanı ayarladım - birden çok aslında.

Hosting planım tipik bir paylaşılan plan. Aslında, sınırsız alan adı eklentilerine izin veren ancak bu alan adlarının kökten başka bir yere işaret etmesine izin vermeyen, sunucumun sunduğu en ucuz olanıdır. Bu nedenle, farklı alan adlarını farklı dizinlere dinamik olarak yeniden yönlendirmek için .htaccess'in nasıl kullanılacağını öğrendim, bazı basit kes-yapıştır. Sonra CU.CC aracılığıyla bazı ücretsiz alt alan adları aldım. Onları herhangi bir gerçek site için kullanmasam da, bunlar gerçek etki alanları değiller, yani onlara 'sahip değilsiniz', canlı test için harika çalışıyorlar.

Bir freebie'yi canlı sitemin bir klonu olarak kullanıyorum, bu yüzden bir eklenti veya tema yüklemek istersem canlı göndermeden önce iyice test edebilirim. Test alanım aynı sunucuda olduğundan, canlı sitemin nasıl görüneceğini tam olarak biliyorum. Genel bir WP test yatağı olarak başka bir freebie kullanıyorum. Ve genel webdev testi için bir başka.

Sitemi klonlamak için 'Duplicator' adlı ücretsiz bir WP eklentisi kullanıyorum. Bir sitenin dosyalarını ve veritabanını yedekler. Ayrıca, başka bir etki alanına geri yüklemek istiyorsanız gereken tüm WP arka uç öğelerini işler. Bu, WP test yatağım için harika çalışıyor, çünkü sadece bir kez WP yüklemek, kukla içeriğim ve kullanıcılarla yüklemek zorunda kaldım, yöneticim kalıcı bağlantılar, saat dilimi vb. benim bakire yakın ama istediğim gibi yapılandırılmış WP yüklemek.

akTed
kaynak
Bir test ortamı oluşturmakla ilgili gerçekten sorunum yok. Siteyi canlı olarak göndermeden önce, her şey bir LAMP kurulumuyla bir VirtualBox içinde oluşturuldu ve test edildi. Zaten Teksir buldum. Test ortamını ve canlı siteyi senkronize tutmakta daha fazla sorun olacağını öngörüyorum.
Frank Kusters
Senkronize etmenin bir yolunu bilmiyorum. Bu yeteneğe sahip olduğuna inandığım Dreamweaver'ı kullanıyorum ama gerçekten bakmadım. Teksir kullanarak, küçük canlı sitemi - ~ 35MB - yedeklemem ve geliştirmeme kopyalamam / yüklemem sadece 3 dakika sürüyor. Sadece mevcut bir veritabanının üzerine yazmak yerine yeni bir DB kurmam gerekirse 1-2 dakika daha. Verilen bu düşük zaman, test sırasında sayısız kez yaptığım ve sitemin küçük olması nedeniyle. Açıkçası, siteniz önemli ölçüde daha büyükse, Duplicator'ın yedekleme süresi artacaktır.
13'te
1

Sitenizin saldırıya uğramasından veya kötü amaçlı yazılımlardan etkilenmesinden korkuyorsanız, http://sucuri.net/

Ücretli olmasına rağmen, site güvenliğinize oldukça verimli bir şekilde bakacaktır.

Bunun dışında sizin yanınızdan önlem almanız tavsiye edilir. Her hafta veritabanı yedeğini alın. Barındırma sisteminizde yedekleme veritabanı seçeneğini AÇIK olarak ayarlayın ve veritabanı yedeklemesini düzenli aralıklarla postanızda tekrar tekrar alacaksınız.

Sidh
kaynak
Saldırıya uğrama konusunda gerçekten endişelenmiyorum. Böyle bir durumda, sadece bir yedeklemeyi geri yükleriz.
Frank Kusters
@spaceknarf Ancak saldırganlar ISS'yi hacklediyse ve WordPress'i hedefleyen komut dosyaları çalıştırıyorsa veya bir eklenti / tema içinde bir kusur varsa tekrar tekrar hackleneceksiniz. Bilinen temiz bir duruma geri dönmek zorunda kalmak bir süre sonra yorucu hale gelir. Proaktif olarak korumak ve sertleştirmek daha iyidir.
JCL1178
1

Diğer cevapların çok iyi tavsiyeleri var, ancak sunucu bakımı ve WordPress bilgisinde a) sahip olamayacağınız ve b) gerçekten öğrenmeye ayıracak zamana sahip olmayabileceği konusunda daha fazla veya daha az uzmanlık olduğunu varsayın.

Zaten hosting için ödeme yaptığınızı ve bir VPS'ye yükseltmeyi düşündüğünüzü varsayarsak, WordPress barındırma konusunda uzmanlaşmış ve kötü amaçlı yazılım koruması ve kurtarma, eklentiler üzerinde güvenlik kontrolleri, yedeklemeler ve sizin için temel yükseltmeleri sağlayan bir ISS'ye taşınmanızı şiddetle tavsiye ederim. Şu anda müşteriler için kullandığım ikisi Pagely ve WP Engine . Güzel bir bonus, bu ISS'lerin WordPress'in bazen ihtiyaç duyduğu bir hız artışı sağlamak için optimize edilmesidir. WP Engine ayrıca test için bir hazırlama ortamı ile birlikte gelir ...

Yönetilen barındırma kullanmamayı tercih ediyorsanız , birincil yedekleme ve güvenlik planınız olarak VaultPress'e abone olmanızı şiddetle tavsiye ederim . Premium servis seviyesi her ikisini de ele alır (normal servis sadece yedekleme / geri yükleme) ve yalnızca gönül rahatlığı ücrete değer. VaultPress oldukça pahalı ve yukarıda önerilen yönetilen barındırma kullanmaktan daha pahalı olabilir.

Üçüncü yol, deneyiminizden, eklentilerinizden gelen güvenliği ve Google'da ve yedekleme / sürüm oluşturmada aynı şekilde arama yapma yeteneğinizi bir araya getirmektir. Yine, bu, sunucu yapılandırması ve WordPress ile hemen sahip olamayacağınız bir uzmanlık seviyesini varsayar ve bir WordPress hackinden kurtarmak, saldırgan kabuğunda komut dosyaları yürütüyorsa, sefil bir deneyim olabilir.

JCL1178
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.