Wywiad z Ivica Delic na temat specjalistów WordPress i bezpieczeństwa
Opublikowany: 2019-09-05Do tej pory rozmawialiśmy tylko z osobami, które rozumieją i pracują w zakresie bezpieczeństwa aplikacji i WordPressa. Zawsze słyszeliśmy głos sprzedawców . Jednak w tym wywiadzie przyjęliśmy inne podejście. Przeprowadziliśmy wywiad z Ivicą Delic, specjalistą od WordPressa na temat bezpieczeństwa. Celem tego wywiadu jest lepsze zrozumienie, w jaki sposób specjaliści od WordPressa, dla których bezpieczeństwo nie jest ich filiżanką zespołu, widzą i rozumieją produkty i usługi związane z bezpieczeństwem. Ten wywiad pomaga nam również zrozumieć, co możemy ulepszyć i co robią ci specjaliści, aby zapewnić bezpieczeństwo stron internetowych swoich klientów.
Ivica Delic pracuje z WordPress od 2011 roku i jest współzałożycielem FreelancersTools.com. Był wolontariuszem w społeczności WordPressa i uczestniczył i prezentował na wielu WP Meetupach na temat przyspieszania stron internetowych WordPress. Ivica założył kilka popularnych grup na Facebooku na różne tematy związane z WordPressem. Jest administratorem w ponad 25 grupach na Facebooku, które łącznie mają ponad 150 000 członków. Ivica ukończył studia magisterskie z ekonomii, a po ponad 20 latach zarządzania zespołami w branży bankowej był współzałożycielem Confida, firmy zajmującej się rynkiem cyfrowym, która koncentruje się na pomaganiu klientom w zarządzaniu witrynami WordPress i potrzebami marketingu cyfrowego.
Wywiad
P1: Jakie są pierwsze najlepsze praktyki bezpieczeństwa 5, które wdrażasz / stosujesz podczas konfigurowania nowej witryny WordPress?
Pierwszym z nich jest wybór dobrego i niezawodnego hostingu WordPress. Pracowałem z wieloma hostami internetowymi i jest wielu dobrych. Używam SiteGround do większości mojej pracy.
Drugą najlepszą praktyką jest wdrożenie dobrej strategii tworzenia kopii zapasowych. W miarę możliwości zawsze korzystam z usług internetowych, takich jak BlogVault. Umożliwia to przechowywanie kopii zapasowych poza siedzibą firmy oraz w bezpiecznej lokalizacji.
Następnie instaluję szereg narzędzi i wtyczek do WordPressa. Zawsze polecam MalCare i WP Activity Log jako ostatnią linię obrony strony wszystkim naszym klientom.
Pozostałe dwie najlepsze praktyki to zalecenia dla naszych użytkowników; używaj unikalnych i silnych haseł WordPress i zawsze aktualizuj swój rdzeń WordPress, motyw, wtyczki, PHP i całe oprogramowanie na serwerze internetowym i komputerze. Jeśli to możliwe, użyj oprogramowania antywirusowego/anty-malware.
Q2. Czy uważasz, że wtyczki i usługi zabezpieczające WordPress są łatwe do wdrożenia i użytkowania, czy nie?
W ciągu ostatnich lat przetestowaliśmy wiele wtyczek i narzędzi bezpieczeństwa. Są takie, które są bardzo łatwe do wdrożenia i użytkowania. Jednak niektóre inne są bardzo trudne w użyciu i wyrządzają więcej szkody niż pożytku. Pozostawiają wiele do decyzji użytkownika, jednak większość użytkowników i profesjonalistów nie ma doświadczenia w bezpieczeństwie. Uważają więc, że te wtyczki są przytłaczające i kończą albo niedostatecznie, albo nadmiernie chronią swoje witryny.
Najczęściej użytkownicy błędnie konfigurują złożone wtyczki bezpieczeństwa. Na przykład zostają zablokowane we własnej witrynie przez wtyczkę bezpieczeństwa lub wszystkie ich gorące, połączone obrazy nie są już ładowane. Lub niektóre wtyczki bezpieczeństwa z monitorowaniem integralności plików zgłaszają, że zmiana w pliku dziennika jest prawdopodobnie złośliwa. Użytkownicy wpadają w panikę, ponieważ nie rozumieją, że na przykład zmiana w pliku dziennika nie jest złośliwa lub dlaczego gorące, połączone obrazy nie działają.
Q3. Jakie było największe wyzwanie/trudność, z jakim się zetknąłeś podczas wdrażania lub używania wtyczek/produktów/usług zabezpieczających?
Odnosząc się do poprzedniego pytania – największym wyzwaniem, z jakim się osobiście spotkałem, jest to, że muszę przetestować i sprawdzić narzędzia bezpieczeństwa używane na stronie klienta, z którymi mogę nie być zaznajomiony. Czasami przejmujemy zarządzanie stroną internetową klienta i musimy sprawdzić, czy wszystkie rozwiązania bezpieczeństwa współpracują ze sobą bez nakładania się funkcji. Musimy upewnić się, że nie ma między nimi problemów z kompatybilnością, aby uniknąć niepożądanych zachowań, takich jak blokowanie administratorów witryny.
Q4. Czy śledzisz strony internetowe poświęcone bezpieczeństwu, aby dowiedzieć się o bezpieczeństwie WordPressa, czy pozostawiasz to profesjonalistom? A może jest to po trosze jedno i drugie?
Jestem członkiem i administratorem kilku grup WordPress Security na Facebooku, w których publikuje wielu ekspertów ds. bezpieczeństwa WP. Śledzę i czytam wszystkie istotne wiadomości dotyczące bezpieczeństwa, a także praktyczne porady / najlepsze praktyki dotyczące bezpieczeństwa. Jednak złożone zadanie czyszczenia zainfekowanych stron, które (nadal) nie opanowałem. W takich sytuacjach liczę na fachowców.
P5. Wolisz korzystać z usługi zapory internetowej WordPress lub zainstalować wtyczkę zapory WordPress w swojej witrynie? Wyjaśnij dlaczego.
Wolę korzystać z usługi zapory internetowej WordPress (WAF). Wszyscy eksperci twierdzą, że WAF to znacznie lepsza warstwa ochrony przed hakerami i atakami DDoS. WAF jest w stanie wykryć i zablokować wszystko, co złośliwe, zanim dotrze do Twojej witryny. Niestety wtyczki WordPress nie są w stanie tego zapewnić, ponieważ starają się chronić witrynę od środka .
P6. Twoim zdaniem, jakie są trzy główne przyczyny ataków na witryny WordPress?
Podzielam tę samą opinię, co wielu innych profesjonalistów:
- niezabezpieczony hosting stron internetowych,
- stosowanie słabych i łatwych do odgadnięcia haseł,
- przestarzały rdzeń WordPress, motyw, wtyczki, PHP i inne oprogramowanie.
Jeśli nie masz nic przeciwko dodaniu dodatkowej wskazówki, jeśli zależy Ci na swojej witrynie i biznesie, nie instaluj pustych wtyczek i motywów.
P7: Jak myślisz, co branża / dostawcy zabezpieczeń WordPress mogą zrobić, aby pomóc większej liczbie profesjonalistów takich jak Ty, dla których bezpieczeństwo nie jest ich filiżanką herbaty, lepiej zrozumieć i chronić strony internetowe swoich klientów?
Krótko mówiąc, muszą znacznie ułatwić użytkownikowi. Mogą to zrobić poprzez:
- tworzenie większej liczby kreatorów dla łatwiejszej i szybszej implementacji narzędzia bezpieczeństwa,
- automatycznie wdraża „najlepsze praktyki”, dzięki czemu niewiele pozostaje do zrobienia dla użytkownika,
- wdrożyć system ostrzegania, aby w przypadku zainstalowania niektórych narzędzi bezpieczeństwa w tej samej witrynie z nakładającymi się funkcjami użytkownik został poinformowany o problemie.
P8. Gdybyś mógł wybrać jedną funkcję bezpieczeństwa, która ma być domyślnie zawarta w rdzeniu WordPress, co by to było i dlaczego?
Chciałbym, aby usługa zapory aplikacji internetowych (WAF) zawarta w WordPressie miała przynajmniej podstawową warstwę ochrony bezpieczeństwa, tak jak w systemie Windows z preinstalowanym programem Windows Defender.
P9. Czy jest jakiś konkretny temat lub treść, którą chciałbyś zobaczyć więcej od dostawców zabezpieczeń i profesjonalistów?
Chciałbym zobaczyć więcej rzeczywistych przypadków użycia dla początkujących, które wyjaśnią, co robić w konkretnych codziennych sytuacjach, gdy dochodzi do naruszenia bezpieczeństwa. Jest ich sporo, ale większość z nich jest skierowana do zaawansowanych osób zajmujących się bezpieczeństwem. Używają złożonego żargonu i narzędzi.
Q10. Czy uważasz, że możesz być na bieżąco z wiadomościami dotyczącymi bezpieczeństwa WordPress, czy nie? Jeśli nie, jak myślisz, na czym polega problem?
Tak, po tylu latach czuję się całkiem pewny, że już to ogarnąłem. Trochę czasu zajęło nam przetestowanie i staranne zbudowanie naszego zestawu Security Tools Combo Box oraz zapewnienie, że wszyscy w naszym zespole przestrzegają najlepszych praktyk bezpieczeństwa.