Как мне профессионально управлять сайтом?

19

Моя жена начала бизнес, и веб-сайт - это важный способ привлечь потенциальных клиентов. Я разработчик программного обеспечения, поэтому «конечно», я забочусь о технических вещах. Я организовал веб-хостинг, загрузил и настроил WordPress (который, в сочетании с достойной темой, прекрасно подходит для нашего счета). Моя жена немного знакома с HTML и CSS, поэтому она может настроить сайт самостоятельно.

Теперь я хочу профессионализировать этот материал. Если случается что-то глупое (случайно испорченный файл, ошибка в обновлении WordPress, сайт взломан), мы теряем весь сайт.

Что мне нужно для управления сайтом? При поиске в этой теме я нахожу только учебники по FTP, что не совсем соответствует уровню моей информации. Я понял:

  • резервное копирование файлов + базы данных (у меня уже есть, но я не проверял, работает ли восстановление)
  • локальная тестовая среда для редактирования темы и тестирования обновлений WordPress
  • план тестирования, содержащий некоторые вещи для тестирования перед загрузкой среды тестирования на работающий сайт
  • управление версиями - если что-то пойдет не так, мы сможем перейти к предыдущей версии.
  • мониторинг работоспособности - если сайт не работает, мне не придется слышать это от клиентов

Предложил bybe , в основном связанный с безопасностью:

  • использовать VPS. Это защитит меня от атак на других общих учетных записей хостинга, однако он открывает другую банку с червями, потому что я должен держать в сейфе SERVER себя .
  • удалить права на запись для всех файлов, которые не должны быть доступны для записи (файлы шаблонов, .htaccess)
  • подписаться на список рассылки CMS (в данном случае Wordpress) и обновлять, как только будут доступны новые версии
  • минимизировать количество плагинов CMS - у них есть свои уязвимости
  • удалить учетную запись администратора по умолчанию CMS
  • при внесении изменений переведите сайт в режим обслуживания. Это позволяет обеспечить постоянное резервное копирование и приятнее для посетителей.

Чего-нибудь не хватает в этом списке?

Фрэнк Кастерс
источник
Если у бизнеса вашей жены нет причины быть объектом преследования, кажется, что вы идете немного за борт. Этот вопрос сродни "как мне оставаться в безопасности на публике?" Вы должны измерить угрозу, прежде чем составить план борьбы с ней. Вы можете разбить лагерь за пределами центра обработки данных с загруженным АК-47 на случай, если появится грабитель, чтобы украсть несколько серверов, но это будет просто смешно. Как и большая часть этого.
У бизнеса моей жены нет особой причины для преследования, но ее сайт интересен любому хакеру. Просто взгляните на это . Вышеуказанные шаги не сложны и не стоят никаких денег, но делают их намного сложнее для хакеров.
Фрэнк Кастерс
Пожалуйста, выберите более подходящее название, оно носит слишком общий характер, и я собирался отказаться от голосования, если бы не прочитал ваш вопрос.
Омне

Ответы:

11

Хорошие вопросы, безопасность - это ваша главная проблема, и она одинакова для всех, кто занимается управлением своими собственными сайтами. WordPress - не самая безопасная система управления контентом на планете, однако ее можно сделать надежной с хорошим хостингом и хорошим знанием того, что нужно обезопасить и обеспечить.

Хостинг

Самый безопасный способ размещения вашего сайта - использовать VPS или выделенный сервер, если у вас хорошая безопасность в ОС. Проблема с общим хостингом заключается в том, что вредоносные программы могут распространяться из одной учетной записи в другую, даже если они находятся в тюрьмах, эти хакеры находят обходные пути и заражают несколько сайтов. GoDaddy, например, был взломан в прошлом месяце, а 100 000 сайтов были взломаны с помощью вставок с серыми ссылками.

Из того, что я прочитал, вы хотите использовать VPS, но важно, что вы хотите что-то для управления вашими резервными копиями, вам нужен VPS с CentOS6 с Cpanel. Вам нужно будет доплатить за Cpanel, но это сделает настройку веб-сайтов и резервное копирование базы данных, автоматизацию файловой системы, а также отправку вам электронных писем ежедневно, когда резервное копирование завершено или не удалось по той или иной причине.

Сейчас я не знаю, насколько сильны ваши навыки в самой Linux, но VPS часто может принести другие проблемы с безопасностью, если вы не сильны в этом отделе. К счастью, в наши дни у нас есть такие вещи, как Google, и вы можете в значительной степени узнать, как легко защитить свой VPS. Основная вещь в вашем VPS-устройстве заключается в том, чтобы убедиться, что вы используете ключ SSL, который у вас есть на вашем компьютере, что означает, что даже если они знают пароль, они не смогут получить доступ к вашей системе без этой сертификации. Кроме того, чтобы люди не могли угадать пароль, вы всегда можете изменить порт ssh.

Есть много вещей, которые вы можете сделать, чтобы запретить доступ к вашему боксу, и Google обслуживает это наилучшим образом, и многие из них далеко не все в списке.

WordPress

Обеспечить безопасность Wordpress довольно просто. Мой самый сильный совет - защитить файлы шаблонов внутри /wp-content/themes directory. Так как ваша жена не будет редактировать файлы шаблонов, вы хотите изменить их, чтобы они не могли быть записаны напрямую из WordPress. Внутри есть настройка, которую configuration.phpвы можете установить, но если серьезно, просто CHMOD, используя FTP, или, если вы все же используете VPS, измените владельца этих файлов с www-dataна root. Таким образом, они не могут быть изменены с WordPress или любого другого программного обеспечения, работающего на сервере. Большинство инъекций, основанных на сценариях, будут атаковать index.phpфайлы шаблонов и добавлять вредоносные программы. Кроме того, существует несколько .htaccessатак с перенаправлением, поэтому снова .htaccessизмените файл на недоступный для записи, когда у вас появятся нужные настройки, или снова переключитесь с www-data на root. Так жеconfiguration.php Вы должны установить root или chmod, чтобы его не могли прочитать гости и посторонние.

Не стоит недооценивать силу CHMOD, чем больше файлов вы сможете сделать недоступными для записи, тем лучше. Старайтесь избегать ненужных плагинов WordPress. Хотя некоторые из них великолепны, спросите себя, нужно ли вам. Чем больше вы установили, тем больше хакерам придется поиграть, поэтому старайтесь избегать плагинов как можно чаще и не раздувать сайт с ними.

WordPress обновляется еженедельно и ежемесячно, обновляйте как можно скорее - есть причина, по которой у них так много обновлений, и одна из них - это проблемы безопасности и обнаруженные лазейки.

Кроме того, по умолчанию у вас будет учетная запись «admin» и «пароль», создайте другого администратора, например yourwifenames, вместе с надежным паролем. Затем удалите эту учетную запись администратора.

План испытаний

Вы всегда можете имитировать свой сайт, то есть иметь клона. Используя cpanel, вы можете настроить поддомен test.subdomain.com и запустить тот же WordPress вместе с клоном базы данных.

Лично, если вы не используете основные расширения для WordPress, вы можете просто перевести сайт в автономный режим, т.е. а затем обновите систему, если что-то пойдет не так, у вас будет автоматическое резервное копирование или резервное копирование, которое вы делали, пока оно находилось на обслуживании. Таким образом, ваш сейф в любом случае.

Всегда лучше обновлять в режиме обслуживания, в то время как некоторые обновления не спрашивают, некоторые делают. Лучше всего взять его в автономном режиме, так что у вас есть хороший магазин.

Управление версиями С каждым ежедневным резервным копированием у вас будет дата, внутри GZ / Zip вы сможете прочитать конфигурационный файл с номерами версий WordPress.

Uptime Good Vps системы будет следить за вами и при необходимости перезагружаться, так как при работе с сервером вы всегда можете установить задание cron, которое отправит вам электронное письмо, если сервер выйдет из строя, но снова. Хороший сервер никогда не выходит из строя на самом деле, выберите хорошую VPS-компанию, которая работает в облаке с резервными блоками питания и оборудованием, например, Rackspace, или Amazon работает в облаке.

Тестовая версия Снова просто клонируйте сайт на поддомен, который использует пароль .htaccess.

Надеюсь, это поможет, и если у вас есть какие-либо дополнительные вопросы, пожалуйста, задавайте.

Саймон Хейтер
источник
1
Здесь есть несколько убедительных советов. Я добавлю это в список в моем вопросе.
Фрэнк Кастерс
Я выбрал веб-хостинга, работающего на кластере для надежности. Но неправильная конфигурация не обнаруживается их программным обеспечением безотказной работы - я должен сам позаботиться об этом.
Фрэнк Кастерс
2

Вы определенно захотите, чтобы все было просто. Но в конечном итоге это зависит от того, на каком сайте вы собираетесь (люди смогут покупать вещи?).

Если у вас простой сайт на WordPress, то вы захотите сделать резервные копии (или убедитесь, что копия на общедоступном сервере не единственная; не создавайте резервные копии статических файлов с сервера, но ДЕЛАЙТЕ резервные копии базы данных каждую неделю). Для больших сайтов или если вы храните какие-либо пользовательские данные в базе данных, делайте резервные копии чаще.

Для более крупных сайтов электронной коммерции целесообразно инвестировать в SSL-сертификат, чтобы завоевать доверие посетителей, а также зашифровать данные (вы можете бесплатно создать собственный самозаверяющий сертификат, но его следует использовать только в среда разработки).

Обязательно рассмотрите аренду VPS или даже выделенного сервера, если вы обеспокоены безопасностью; это предлагает намного большую гибкость, но с властью прибывает ответственность (и также потенциал, чтобы испортить вещи). Вы можете по-настоящему полюбить и настроить синхронизированные базы данных на удаленных серверах, использовать их rsyncдля резервного копирования данных по расписанию и т. Д. Но, опять же, будьте проще.

Для тестовой среды это неплохая идея и, вероятно, хорошая вещь, если вы будете часто менять дизайн и контент, но вам нужно убедиться, что версии и настройки WP идентичны. Очень важный.

И наконец, будьте проще. Человеческие ошибки при удалении / порче файлов являются основной причиной потери данных. Хакеры нет.

ionFish
источник
Сайт содержит в основном портфолио и форму заказа. Если он не работает, это означает, что клиенты не могут найти бизнес моей жены. Это не «более крупный сайт электронной коммерции» - если бы это было так, я бы не занимался этим в свободное время. VPS дает мне больше возможностей, чем необходимо - общий хостинг - это нормально. Надежность сайта заботится о веб-хостинге. Спасибо за совет.
Фрэнк Кастерс
2

Я новый веб-мастер, поэтому я далеко не эксперт. Что я могу сказать вам, тем не менее, это мой собственный опыт за последние несколько месяцев. Немного предыстории: я работаю в Windows с небольшим опытом работы с Linux / Apache, хорошо разбираюсь в PHP / HTML / CSS и обладаю приличным базовым знанием WordPress (WP).

Я установил локальную тестовую среду с XAMPP и потратил много времени на установку / настройку / удаление WP. Затем я провел несколько дней, изучая разработку плагинов для WP. Сделал все локально, создав небольшой плагин. Работал нормально, загрузил его вживую, потом пришлось потратить кучу времени, пытаясь выяснить, почему он не работает на моем живом сайте.

Я не помню точных причин, но все сводится к тому, что мой хост имеет другие настройки / разрешения / и т. Д., Чем мой локальный сервер. Несмотря на то, что я мог бы потратить гораздо больше времени на углубленное изучение управления серверами и на соответствие моим локальным условиям, я решил пойти по более простому пути. Я установил живой тестовый домен - несколько на самом деле.

Мой хостинг-план является типичным общим планом. На самом деле, это самый дешевый вариант, который предлагает мой хост, который позволяет добавлять неограниченное количество доменов, но не позволяет указывать эти домены где-либо, кроме корневого. Итак, я узнал, как использовать .htaccess для динамического перенаправления разных доменов в разные каталоги, что-то простое: вырезать и вставить. Затем я получил несколько бесплатных поддоменов через CU.CC. Хотя я бы не стал использовать их для каких-либо реальных сайтов, потому что они не являются настоящими доменами, т. Е. Вы не «владеете» ими, они отлично подходят для живого тестирования.

Я использую одну халяву в качестве клона моего живого сайта, поэтому, если я хочу установить плагин или тему, я могу тщательно протестировать ее перед отправкой. Поскольку мой тестовый домен находится на том же сервере, я точно знаю, как будет выглядеть мой действующий сайт. Я использую другую халяву в качестве общего тестового стенда WP. И еще один для общего тестирования webdev.

Для клонирования моего сайта я использую бесплатный плагин WP под названием «Duplicator». Резервное копирование файлов сайта и базы данных. Он также обрабатывает все вещи, необходимые для WP WP, если вы хотите восстановить домен. Это прекрасно работает на моем испытательном стенде WP, так как мне нужно было установить WP только один раз, загрузить его с моим фиктивным контентом и пользователями, настроить мои привилегии администратора, такие как постоянные ссылки, часовой пояс и т. Д. Теперь я могу взломать WP все, что хочу, а затем восстановить резервную копию на будет, к моему почти девственному все же настроенному как я хочу WP установить.

akTed
источник
У меня действительно нет проблем с настройкой тестовой среды. Перед отправкой сайта в живую все было собрано и протестировано в VirtualBox с установкой LAMP. Я уже нашел Дубликатор. Я предвижу больше проблем с синхронизацией среды тестирования и живого сайта.
Фрэнк Кастерс
Я не знаю ни одного способа синхронизации. Я использую Dreamweaver, который, я считаю, обладает способностью, но я на самом деле не изучал ее. Используя Duplicator, у меня уходит всего около 3 минут на резервное копирование моего маленького живого сайта - ~ 35 МБ - и копирование / установка его в мой dev. Может быть, еще 1-2 минуты, если мне нужно настроить новую БД вместо того, чтобы просто перезаписать существующую. Конечно, это небольшое количество времени, потому что я делал это бесчисленное количество раз во время тестирования, и мой сайт маленький. Очевидно, что если ваш сайт значительно больше, время, затрачиваемое Duplicator на резервное копирование, увеличится.
akTed
1

Если вы боитесь, что ваш сайт будет взломан или подвергнется воздействию вредоносных программ, я предлагаю воспользоваться http://sucuri.net/

Хотя это платный, но он позаботится о безопасности вашего сайта довольно эффективно.

Кроме того, с вашей стороны рекомендуется принимать меры предосторожности. Получайте резервную копию базы данных каждую неделю. Установите опцию резервного копирования базы данных на вашем хостинге, и вы будете регулярно получать резервные копии базы данных в своей почте.

SIDH
источник
Я не очень беспокоюсь, что меня взломают. Если это произойдет, мы просто восстановим резервную копию.
Фрэнк Кастерс
@spaceknarf Но если злоумышленники взломали интернет-провайдера и исполняют сценарии, предназначенные для WordPress, или если в плагине / теме есть недостаток, вас будут взламывать снова и снова. Откат до известного чистого состояния через некоторое время утомляет. Лучше предварительно защитить и укрепить.
JCL1178
1

Другие ответы содержат много полезных советов, но предполагают, что у вас есть некоторые большие или меньшие знания в области обслуживания серверов и знания WordPress, которых у вас а) может не быть, и б) у вас может не быть времени, чтобы посвятить себя его изучению.

Предполагая, что вы уже платите за хостинг и рассматриваете возможность перехода на VPS, я настоятельно рекомендую перейти на интернет-провайдера, который специализируется на хостинге WordPress и обеспечивает защиту и восстановление от вредоносных программ, проверку безопасности плагинов, резервное копирование и обновление ядра для вас. Два, которые я сейчас использую для клиентов, это Pagely и WP Engine . Приятным бонусом является то, что эти интернет-провайдеры также оптимизированы для повышения скорости, в которой иногда нуждается WordPress. WP Engine также поставляется с промежуточной средой для тестирования ...

Если вы предпочитаете не использовать управляемый хостинг, я настоятельно рекомендую вам подписаться на VaultPress в качестве основного плана резервного копирования и обеспечения безопасности. Премиум-уровень обслуживания отвечает обоим (обычное обслуживание - только резервное копирование / восстановление), и только душевное спокойствие стоит платы. VaultPress довольно дорогой и может быть дороже, чем использование управляемого хостинга, рекомендованного выше.

Третий путь - собрать воедино безопасность, основанную на вашем опыте, плагинах и возможности поиска в Google и резервного копирования / управления версиями. Опять же, это предполагает уровень знаний о конфигурации сервера и WordPress, который у вас может не быть сразу, и восстановление после взлома WordPress может быть жалким опытом, особенно если злоумышленник выполняет сценарии в оболочке.

JCL1178
источник