مقابلة مع Ivica Delic حول محترفي وأمان WordPress
نشرت: 2019-09-05حتى الآن أجرينا مقابلات مع الأشخاص الذين يفهمون ويعملون في التطبيق وأمن WordPress. لطالما سمعنا صوت البائعين . ومع ذلك ، في هذه المقابلة اتخذنا نهجا مختلفا. أجرينا مقابلة مع Ivica Delic ، أحد محترفي WordPress حول الأمان. يتمثل نطاق هذه المقابلة في فهم أفضل لكيفية رؤية محترفي WordPress ، الذين قد لا يكون الأمن لهم كأس فريقهم ، ويرون ويفهمون منتجات وخدمات الأمان. تساعدنا هذه المقابلة أيضًا على فهم الجوانب التي يمكننا تحسينها وما يفعله هؤلاء المحترفون للحفاظ على أمان مواقع عملائهم.
المقابلة
س 1: ما هي أفضل 5 ممارسات أمنية تقوم بتنفيذها / اتباعها عند إعداد موقع ويب WordPress جديد؟
الأول هو اختيار استضافة WordPress جيدة وموثوقة. لقد عملت مع الكثير من مضيفي الويب ، وهناك العديد من المضيفين الجيدين. أستخدم SiteGround في معظم أعمالي.
ثاني أفضل ممارسة هي تنفيذ استراتيجية نسخ احتياطي جيدة. أستخدم دائمًا خدمة عبر الإنترنت حيثما أمكن ذلك ، مثل BlogVault. هذا يجعل من الممكن تخزين النسخ الاحتياطية خارج الموقع وفي مكان آمن.
ثم أقوم بتثبيت عدد من أدوات الأمان والإضافات في WordPress. أوصي دائمًا بـ MalCare و WP Activity Log باعتباره الخط الأخير للدفاع عن موقع الويب لجميع عملائنا.
أفضل الممارسات المتبقية هما توصيات لمستخدمينا ؛ استخدم كلمات مرور WordPress فريدة وقوية ، وحافظ دائمًا على تحديث WordPress الأساسي والموضوع والمكونات الإضافية و PHP وجميع البرامج الموجودة على خادم الويب والكمبيوتر لديك. إذا أمكن ، استخدم برنامج مكافحة فيروسات / مكافحة برامج ضارة.
س 2. هل تجد الإضافات والخدمات الأمنية في WordPress سهلة التنفيذ والاستخدام أم لا؟
لقد اختبرنا الكثير من المكونات الإضافية والأدوات الأمنية على مدار السنوات الماضية. هناك بعضها سهل التنفيذ والاستخدام. ومع ذلك ، فإن البعض الآخر يصعب استخدامه ويضر أكثر مما ينفع. إنهم يتركون الكثير للمستخدم ليقرره ، ومع ذلك ، فإن غالبية المستخدمين والمحترفين ليسوا على دراية بالأمان. لذلك يجدون هذه المكونات الإضافية مربكة وينتهي بهم الأمر إما تحت حماية مواقعهم الإلكترونية أو الإفراط في حمايتها.
في أغلب الأحيان ، يخطئ المستخدمون في تكوين المكونات الإضافية الأمنية المعقدة. على سبيل المثال ، تم حظر دخولهم إلى موقع الويب الخاص بهم بواسطة المكون الإضافي للأمان ، أو لم يعد يتم تحميل جميع صورهم المرتبطة الساخنة. أو تشير بعض المكونات الإضافية للأمان مع مراقبة سلامة الملفات إلى أن التغيير في ملف السجل قد يكون ضارًا. يشعر المستخدمون بالذعر من هذه الأشياء لأنهم لا يفهمون أن التغيير في ملف السجل ، على سبيل المثال ، ليس ضارًا ، أو سبب عدم عمل الصور المرتبطة الساخنة.
س 3. ما هو التحدي / الصعوبة الأكبر التي واجهتها عند تنفيذ أو استخدام المكونات الإضافية / المنتجات / الخدمات الأمنية؟
للعلاقة مع السؤال السابق - التحدي الأكبر الذي واجهته شخصيًا هو أنه يتعين علي اختبار والتحقق من أدوات الأمان المستخدمة على موقع الويب الخاص بالعميل ، والتي قد لا أكون على دراية بها. في بعض الأحيان نتولى إدارة موقع الويب الخاص بالعميل وعلينا التحقق من أن جميع الحلول الأمنية تعمل بشكل صحيح معًا دون تداخل الوظائف. علينا التأكد من عدم وجود مشكلات توافق بينهما لتجنب السلوك غير المرغوب فيه ، مثل حظر مسؤولي الموقع.
س 4. هل تتابع أي مواقع أمان للتعرف على أمان WordPress ، أم تترك الأمر للمحترفين؟ أم أنه قليل من الاثنين؟
أنا عضو ومسؤول في عدد قليل من مجموعات WordPress Security على Facebook حيث ينشر الكثير من خبراء أمان WP. أتابع وأقرأ جميع الأخبار الأمنية ذات الصلة بالإضافة إلى النصائح العملية / أفضل الممارسات الأمنية. ومع ذلك ، فإن المهمة المعقدة لتنظيف المواقع المصابة (ما زلت) لم أتقن ذلك. في مثل هذه الحالات أعتمد على المحترفين.
س 5. هل تفضل استخدام خدمة جدار حماية WordPress عبر الإنترنت أو تثبيت مكون إضافي لجدار حماية WordPress على موقعك؟ اشرح السبب.
أفضل استخدام خدمة جدار حماية تطبيق الويب WordPress (WAF) عبر الإنترنت. يقول جميع الخبراء أن WAF هو طبقة أمان أفضل بكثير ضد المتسللين وهجمات DDoS. يمكن لـ WAF اكتشاف أي شيء ضار وحظره قبل أن يصل إلى موقعك. لسوء الحظ ، لا تستطيع مكونات WordPress الإضافية توفير ذلك ، نظرًا لأنها تحاول الدفاع عن موقع الويب من الداخل .
س 6. برأيك ، ما هي أهم ثلاثة أسباب لاختراق مواقع WordPress؟
أشارك نفس الرأي مع العديد من المهنيين الآخرين:
- استضافة المواقع غير الآمنة ،
- استخدام كلمات مرور ضعيفة وسهلة التخمين ،
- قلب ووردبريس قديم وموضوع ومكونات إضافية و PHP وبرامج أخرى.
إذا كنت لا تمانع في إضافة نصيحة إضافية ، إذا كنت تهتم بموقعك على الويب وعملك ، فلا تقم بتثبيت المكونات الإضافية والسمات الفارغة.
س 7: ما الذي تعتقد أن صناعة / بائعي الأمن في WordPress يمكنهم القيام به لمساعدة المزيد من المهنيين مثلك ، الذين لا يمثل الأمن لهم كوب الشاي ، على فهم مواقع عملائهم وحمايتها بشكل أفضل؟
باختصار ، هم بحاجة إلى تسهيل الأمر على المستخدم. يمكنهم القيام بذلك عن طريق:
- إنشاء المزيد من المعالجات لتنفيذ أسهل وأسرع لأداة الأمان ،
- تنفيذ "أفضل الممارسات" تلقائيًا حتى لا يتبقى الكثير ليقوم به المستخدم ،
- تنفيذ نظام تحذير ، لذلك عند تثبيت بعض أدوات الأمان على نفس الموقع مع ميزات متداخلة ، يتم إبلاغ المستخدم بالمشكلة.
س 8. إذا كان بإمكانك اختيار ميزة أمان واحدة ليتم تضمينها في نواة WordPress بشكل افتراضي ، فماذا ستكون ولماذا؟
أرغب في رؤية خدمة جدار حماية تطبيقات الويب (WAF) المضمنة في WordPress للحصول على طبقة أساسية على الأقل من الحماية الأمنية ، كما هو الحال في Windows مع Windows Defender المثبت مسبقًا.
س 9. هل هناك أي موضوع أو محتوى معين ترغب في رؤية المزيد منه من بائعي الأمان والمتخصصين؟
أود أن أرى المزيد من حالات الاستخدام الواقعية للمبتدئين والتي تشرح ما يجب فعله في مواقف يومية معينة عند انتهاك الأمان. يوجد عدد غير قليل منها ولكن معظمها يستهدف أفراد الأمن المتقدمين. يستخدمون لغة وأدوات معقدة.
س 10. هل تشعر أنه يمكنك مواكبة أخبار أمان WordPress أم لا؟ إذا لم يكن كذلك ، فما هي المشكلة في رأيك؟
نعم ، بعد كل هذه السنوات ، أشعر بالثقة في أنني قد تعلمت الأمر. لقد استغرقت منا بعض الوقت لاختبار مربع التحرير والسرد الخاص بأدوات الأمان وبنائه بعناية ، ولضمان اتباع كل فرد في فريقنا لأفضل الممارسات الأمنية.