Wawancara dengan Ivica Delic tentang profesional & keamanan WordPress
Diterbitkan: 2019-09-05Sejauh ini kami hanya mewawancarai orang-orang yang mengerti dan bekerja dalam keamanan aplikasi dan WordPress. Kami selalu mendengar suara vendor . Namun, dalam wawancara ini kami mengambil pendekatan yang berbeda. Kami mewawancarai Ivica Delic, seorang profesional WordPress tentang keamanan. Ruang lingkup wawancara ini adalah untuk lebih memahami bagaimana para profesional WordPress, yang mungkin bukan tim keamanan mereka, melihat dan memahami produk dan layanan keamanan. Wawancara ini juga membantu kami memahami di mana kami dapat meningkatkan dan apa yang dilakukan para profesional ini untuk menjaga keamanan situs web pelanggan mereka.
Ivica Delic telah bekerja dengan WordPress sejak 2011 dan ikut mendirikan FreelancersTools.com. Dia telah menjadi sukarelawan di komunitas WordPress dan menghadiri dan mempresentasikan di berbagai Pertemuan WP tentang mempercepat situs web WordPress. Ivica memulai beberapa grup Facebook populer di berbagai topik WordPress. Dia adalah administrator di lebih dari 25 grup Facebook, yang bersama-sama memiliki lebih dari 150.000 anggota. Ivica lulus dengan gelar Master di bidang Ekonomi, dan setelah lebih dari 20 tahun mengelola tim di industri perbankan, ia mendirikan Confida, sebuah perusahaan pasar digital yang berfokus membantu pelanggan mengelola situs web WordPress dan kebutuhan pemasaran digital.
Wawancara
T1: Apa 5 praktik terbaik keamanan pertama yang Anda terapkan/ikuti saat Anda menyiapkan situs web WordPress baru?
Yang pertama adalah memilih hosting WordPress yang bagus dan terpercaya. Saya telah bekerja dengan banyak web host, dan ada banyak yang bagus. Saya menggunakan SiteGround untuk sebagian besar pekerjaan saya.
Praktik terbaik kedua adalah menerapkan strategi cadangan yang baik. Saya selalu menggunakan layanan online jika memungkinkan, seperti BlogVault. Hal ini memungkinkan untuk menyimpan cadangan di luar lokasi dan di lokasi yang aman.
Kemudian saya menginstal sejumlah alat dan plugin keamanan WordPress. Saya selalu merekomendasikan MalCare dan WP Activity Log sebagai garis pertahanan terakhir situs web untuk semua pelanggan kami.
Dua praktik terbaik lainnya adalah rekomendasi untuk pengguna kami; gunakan kata sandi WordPress yang unik dan kuat, dan selalu perbarui inti, tema, plugin, PHP, dan semua perangkat lunak di server web dan komputer Anda. Jika memungkinkan gunakan software antivirus/antimalware.
Q2. Apakah menurut Anda plugin dan layanan keamanan WordPress mudah diterapkan dan digunakan atau tidak?
Kami telah menguji banyak plugin dan alat keamanan selama beberapa tahun terakhir. Ada beberapa yang sangat mudah diterapkan dan digunakan. Namun, beberapa yang lain sangat sulit untuk digunakan dan mereka melakukan lebih banyak kerugian daripada kebaikan. Mereka meninggalkan banyak hal untuk diputuskan oleh pengguna, namun, sebagian besar pengguna dan profesional tidak paham keamanan. Jadi mereka menemukan plugin ini luar biasa dan berakhir di bawah atau terlalu melindungi situs web mereka.
Lebih sering daripada tidak, pengguna salah mengonfigurasi plugin keamanan yang kompleks. Misalnya mereka dikunci dari situs web mereka sendiri oleh plugin keamanan, atau semua gambar tertaut panas mereka tidak dimuat lagi. Atau beberapa plugin keamanan dengan pemantauan integritas file melaporkan bahwa perubahan dalam file log mungkin berbahaya. Pengguna panik pada hal ini karena mereka tidak mengerti bahwa misalnya perubahan dalam file log tidak berbahaya, atau mengapa gambar hot link tidak bekerja.
Q3. Apa tantangan/kesulitan terbesar yang Anda temui saat menerapkan atau menggunakan plugin/produk/layanan keamanan?
Terkait dengan pertanyaan sebelumnya – tantangan terbesar yang saya alami secara pribadi adalah saya harus menguji dan memeriksa alat keamanan yang digunakan di situs web pelanggan, yang mungkin tidak saya kenal. Terkadang kami mengambil alih pengelolaan situs web pelanggan dan harus memeriksa bahwa semua solusi keamanan bekerja dengan baik bersama-sama tanpa fungsi yang tumpang tindih. Kami harus memastikan bahwa tidak ada masalah kompatibilitas di antara mereka untuk menghindari perilaku yang tidak diinginkan, seperti memblokir admin situs.
Q4. Apakah Anda mengikuti situs web keamanan apa pun untuk mempelajari tentang keamanan WordPress, atau apakah Anda menyerahkannya kepada para profesional? Atau sedikit dari keduanya?
Saya anggota dan admin dari beberapa Grup Facebook Keamanan WordPress tempat banyak pakar keamanan WP memposting. Saya mengikuti dan membaca semua berita keamanan yang relevan serta saran / praktik terbaik keamanan. Namun, tugas kompleks membersihkan situs yang terinfeksi saya (masih) tidak kuasai. Dalam situasi seperti itu saya mengandalkan para profesional.
Q5. Apakah Anda lebih suka menggunakan layanan firewall WordPress online atau menginstal plugin firewall WordPress di situs Anda? Jelaskan mengapa.
Saya lebih suka menggunakan layanan WordPress Web Application Firewall (WAF) online. Semua ahli mengatakan bahwa WAF adalah lapisan keamanan yang jauh lebih baik terhadap peretas dan serangan DDoS. WAF dapat mendeteksi dan memblokir segala sesuatu yang berbahaya sebelum mencapai situs Anda. Sayangnya, plugin WordPress tidak dapat menyediakannya, karena mereka mencoba mempertahankan situs web dari dalam .
Q6. Menurut Anda, apa saja tiga penyebab utama situs WordPress diretas?
Saya berbagi pendapat yang sama dengan banyak profesional lainnya:
- hosting situs web tidak aman,
- penggunaan kata sandi yang lemah dan mudah ditebak,
- inti WordPress usang, tema, plugin, PHP, dan perangkat lunak lainnya.
Jika Anda tidak keberatan saya menambahkan tip tambahan, jika Anda peduli dengan situs web dan bisnis Anda, jangan pasang plugin dan tema nulled.
T7: Menurut Anda, apa yang dapat dilakukan oleh industri/vendor keamanan WordPress untuk membantu lebih banyak profesional seperti Anda, yang keamanannya bukan favorit mereka, lebih memahami dan melindungi situs web pelanggan mereka?
Singkatnya, mereka perlu membuatnya lebih mudah bagi pengguna. Mereka dapat melakukan ini dengan:
- membuat lebih banyak Wizards untuk implementasi alat keamanan yang lebih mudah dan lebih cepat,
- secara otomatis menerapkan "praktik terbaik" sehingga tidak banyak yang tersisa untuk dilakukan pengguna,
- menerapkan sistem peringatan sehingga ketika beberapa alat keamanan dipasang di situs yang sama dengan fitur yang tumpang tindih, pengguna diberi tahu tentang masalah tersebut.
Q8. Jika Anda dapat memilih satu fitur keamanan untuk disertakan dalam inti WordPress secara default, apakah itu dan mengapa?
Saya ingin melihat layanan firewall aplikasi web (WAF) yang disertakan di WordPress memiliki setidaknya lapisan dasar perlindungan keamanan, seperti yang kami miliki di Windows dengan Windows Defender yang sudah diinstal sebelumnya.
Q9. Apakah ada subjek atau konten tertentu yang ingin Anda lihat lebih banyak dari vendor dan profesional keamanan?
Saya ingin melihat lebih banyak kasus penggunaan kehidupan nyata untuk pemula yang menjelaskan apa yang harus dilakukan dalam situasi sehari-hari tertentu ketika keamanan dilanggar. Ada beberapa di luar sana tetapi kebanyakan dari mereka ditargetkan pada orang-orang keamanan tingkat lanjut. Mereka menggunakan istilah dan alat yang rumit.
Q10. Apakah Anda merasa dapat mengikuti perkembangan berita keamanan WordPress atau tidak? Jika tidak, menurut Anda apa masalahnya?
Ya, setelah bertahun-tahun saya merasa cukup yakin bahwa saya telah menguasainya. Kami membutuhkan waktu yang cukup lama untuk menguji dan membuat Kotak Kombo Alat Keamanan dengan hati-hati, dan untuk memastikan semua orang di tim kami mengikuti praktik terbaik keamanan.