问题描述
我的妻子已经开始了业务,网站是吸引潜在客户的重要途径。我是一个软件开发人员,所以’of course’ 我在照顾技术的东西。我安排了一个 webhost,并上传并配置了 WordPress(它与一个体面的主题,很适合我们的账单) 。我的老婆有一些 HTML 和 CSS 的知识,所以她可以自己定制网站。
现在,我想把这个东西专业化。如果任何愚蠢的事情发生 (偶然弄乱文件,WordPress 更新中的错误,网站被黑客入侵),我们失去了整个网站。
我需要管理网站?当 Google 搜索这个主题时,我只会发现 FTP 教程,这不是我以后的信息级别。我想到:
-
备份文件+数据库 (我已经有了这些,但是我还没有测试是否还原)
-
用于编辑主题和测试 wordpress 更新的本地测试环境
-
测试计划,包含在将测试环境上传到实际站点之前要测试的一些内容
-
版本控制 – 应该有什么问题,我们应该可以去以前的版本。
-
正常运行时间监控 – 如果站点出现故障,我将不必从客户那里听到
建议由 bybe,主要是安全相关:
-
使用 VPS 。这将阻止我对其他共享主机帐户的攻击,但是它会打开另一个蠕虫病毒,因为我必须保持服务器的安全。
-
删除所有不需要写入的文件的写入权限 (模板文件.htaccess)
-
订阅 CMS 邮件列表 (在这种情况下为 Wordpress),并在新版本可用时立即更新
-
最小化 CMS 插件的数量 – 他们有自己的漏洞
-
删除 CMS 的默认管理帐户
-
修改时将网站置于维护模式。它允许一致的备份,并且对访问者更好。
这个清单有没有什么?
最佳解决方案
好的问题,安全是你的主要问题,对于那些正在管理自己的网站的人来说,安全是一样的。 WordPress 并不是地球上最安全的内容管理系统,但是它可以通过良好的托管和良好的知识来保护和确保设置成为安全的。
主机
托管您的站点的最安全的方式是在 VPS 或专用的,假设您在操作系统上具有良好的安全性。共享托管的问题是,恶意软件可以从一个帐户传播到另一个帐户,即使他们在这些黑客中找到自己的方式并感染多个站点。例如 GoDaddy 上个月遭到黑客入侵,并将 100,000 个网站的灰色反向插入插入黑客。
从我所看到的,您想要使用 VPS,但重要的是您需要一些管理备份,您需要的是使用带有 Cpanel 的 CentOS6 的 VPS 。您将需要为 Cpanel 支付额外费用,但这将使得设置网站和备份数据库,文件系统自动化,并在备份完成或由于某种原因导致失败时每天发送电子邮件。
现在我不知道你在 linux 本身有多么强大的技能,但如果你在这个部门不够强大,VPS 就会带来其他安全问题。幸运的是,这些天我们有像 Google 这样的东西,你几乎可以轻松学习如何保护您的 VPS 。您的 VPS 框的基本信息是确保您在计算机上使用的 SSL 密钥意味着即使他们知道密码,即使没有该认证也无法访问您的系统。此外,为了阻止人们猜测密码,您可以随时更改 ssh 端口。
有很多事情你可以做,以防止访问你的盒子和谷歌服务最好的,这是很多很多要列出。
WordPress 的
保护 Wordpress 非常简单,我最强烈的建议是保护/wp-content/themes directory
中的模板文件。由于您的妻子将不会编辑模板文件,您要 chmod 这些,所以他们不能直接从 WordPress 写入。在 configuration.php
中有一个设置可以设置,但是严重的只是使用 FTP 进行 CHMOD,或者如果您使用 VPS 将这些文件的所有权更改为 www-data
到 root
。这样,它们不能从 WordPress 或服务器上运行的任何其他软件更改。大多数注射,基于脚本将攻击模板的 index.php
文件并添加恶意软件。此外,还有一些.htaccess
重定向攻击,所以一旦有了所需的设置,再次将.htaccess
文件改为.htaccess
文件,或者再次从 www-data 更改为 root 。另外 configuration.php
你应该设置为 root,或者 chmod,所以它不能被客人和外部人员读取。
不要估计 CHMOD 的力量,你可以使越多的文件变得越来越好。尽量避免不必要的 WordPress 插件。虽然有些是伟大的,问你自己需要的。安装越多的黑客必须玩,所以避免插件尽可能多,不要与他们的网站膨胀。
WordPress 每周更新到每月,尽快更新 – 有一个原因,他们有这么多的更新,其中一个是安全问题和漏洞他们发现。
此外,默认情况下,您将拥有一个”admin” “password” 帐户,使另一个管理员,如你的名字以及一个好的密码。然后删除该管理员帐户。
测试计划
您可以随时模仿您的网站,即拥有克隆。使用 cpanel,您可以设置子域 test.subdomain.com,并使其运行相同的 WordPress 以及数据库的克隆。
就个人而言,如果您不使用 WordPress 的主要扩展程序,那么您可以将站点脱机,即正在进行维护。然后更新系统,如果出现任何问题,那么您具有自动备份或在进行维护时所做的备份。这样你的安全无论哪种方式。
总是最好在维护模式下更新,而一些更新不要求,有些更新。最好让它离线,所以你有一个很好的快餐店。
版本控制通过每个日常备份,您将有一个日期,在 GZ /Zip 内,您可以使用版本号的 WordPress 读取配置文件。
正常运行良好的 VPS 系统将监控它,并且如果需要重新启动,由于您操作服务器,您可以随时安装一个 cron 作业,如果服务器关闭,则再次发送电子邮件。一个好的服务器永远不会下降,选择一个优秀的 VPS 公司,在云上运行冗余电源和硬件,例如 Rackspace,或亚马逊在云上工作。
测试版本再次将站点克隆到使用.htaccess 密码的子域上。
希望这有帮助,如果您有任何其他问题请问。
参考文献
注:本文内容整合自 Google/Baidu/Bing 辅助翻译的英文资料结果。如果您对结果不满意,可以加入我们改善翻译效果:薇晓朵技术论坛。