Интервью с Ивицей Делич о специалистах и ​​безопасности WordPress

До сих пор мы брали интервью только у людей, которые понимают и работают в области безопасности приложений и WordPress. Мы всегда слышали голос продавцов . Однако в этом интервью мы использовали другой подход. Мы взяли интервью у Ивицы Делич, специалиста по безопасности WordPress. Цель этого интервью — лучше понять, как профессионалы WordPress, для которых безопасность, возможно, не является частью их команды, видят и понимают продукты и услуги, связанные с безопасностью. Это интервью также помогает нам понять, что мы можем улучшить и что эти профессионалы делают для обеспечения безопасности веб-сайтов своих клиентов.

Ивица Делич работает с WordPress с 2011 года и является соучредителем FreelancersTools.com. Он был волонтером в сообществе WordPress, участвовал и выступал на многочисленных встречах WP, посвященных ускорению веб-сайтов WordPress. Ивица создала несколько популярных групп в Facebook по различным темам WordPress. Он является администратором более чем 25 групп Facebook, которые в совокупности насчитывают более 150 000 участников. Ивица получил степень магистра экономики и после более чем 20 лет управления командами в банковской сфере стал соучредителем Confida, компании цифрового рынка, которая занимается оказанием помощи клиентам в управлении веб-сайтами WordPress и удовлетворении потребностей в цифровом маркетинге.

Интервью

Q1: Каковы первые 5 передовых методов обеспечения безопасности, которые вы применяете/соблюдаете при настройке нового веб-сайта WordPress?

Первый — выбрать хороший и надежный хостинг WordPress. Я работал со многими веб-хостингами, и есть много хороших. Я использую SiteGround для большей части своей работы.

Вторая лучшая практика — реализовать хорошую стратегию резервного копирования. Я всегда использую онлайн-сервис, где это возможно, например BlogVault. Это позволяет хранить резервные копии вне офиса и в безопасном месте.

Затем я устанавливаю ряд инструментов и плагинов безопасности WordPress. Я всегда рекомендую MalCare и WP Activity Log в качестве последней линии защиты веб-сайта всем нашим клиентам.

Два оставшихся передовых метода являются рекомендациями для наших пользователей; используйте уникальные и надежные пароли WordPress и всегда обновляйте ядро ​​WordPress, тему, плагины, PHP и все программное обеспечение на вашем веб-сервере и компьютере. Если возможно, используйте антивирусное / антивредоносное программное обеспечение.

Q2. Считаете ли вы плагины и службы безопасности WordPress простыми в реализации и использовании или нет?

За последние годы мы протестировали множество плагинов и инструментов безопасности. Есть некоторые, которые очень просты в реализации и использовании. Однако некоторые другие очень трудно использовать, и они приносят больше вреда, чем пользы. Они оставляют многое на усмотрение пользователя, однако большинство пользователей и профессионалов не разбираются в вопросах безопасности. Таким образом, они находят эти плагины подавляющими и в конечном итоге либо недостаточно, либо чрезмерно защищают свои веб-сайты.

Чаще всего пользователи неправильно настраивают сложные плагины безопасности. Например, плагин безопасности блокирует их собственный веб-сайт, или все их горячие ссылки больше не загружаются. Или некоторые подключаемые модули безопасности с мониторингом целостности файлов сообщают, что изменение в файле журнала, возможно, является вредоносным. Пользователи впадают в панику по этому поводу, потому что они не понимают, что, например, изменение в файле журнала не является вредоносным или почему горячие ссылки на изображения не работают.

Q3. С какой самой большой проблемой / трудностью вы столкнулись при внедрении или использовании подключаемых модулей / продуктов / услуг безопасности?

В отношении предыдущего вопроса: самая большая проблема, с которой я лично столкнулся, заключается в том, что мне нужно протестировать и проверить инструменты безопасности, используемые на веб-сайте клиента, с которыми я, возможно, не знаком. Иногда мы берем на себя управление веб-сайтом клиента и должны проверить, что все решения безопасности работают правильно вместе, не дублируя функции. Мы должны убедиться, что между ними нет проблем совместимости, чтобы избежать нежелательного поведения, такого как блокировка администраторов сайта.

Q4. Следите ли вы за какими-либо веб-сайтами по безопасности, чтобы узнать о безопасности WordPress, или вы оставляете это профессионалам? Или и то, и другое?

Я являюсь членом и администратором нескольких групп безопасности WordPress в Facebook, где публикуют сообщения многие эксперты по безопасности WP. Я слежу и читаю все актуальные новости по безопасности, а также практические советы по безопасности и лучшие практики. Однако со сложной задачей по очистке зараженных сайтов я (пока) не справился. В таких ситуациях я доверяю профессионалам.

Q5. Вы предпочитаете использовать онлайн-сервис брандмауэра WordPress или установить плагин брандмауэра WordPress на свой сайт? Объяснить, почему.

Я предпочитаю использовать онлайн-сервис WordPress Web Application Firewall (WAF). Все эксперты говорят, что WAF намного лучше защищает от хакеров и DDoS-атак. WAF способен обнаруживать и блокировать любые вредоносные программы до того, как они попадут на ваш сайт. К сожалению, плагины WordPress не могут этого обеспечить, так как они пытаются защитить сайт изнутри .

Q6. На ваш взгляд, какие три основные причины взламывают сайты WordPress?

Я придерживаюсь того же мнения, что и многие другие профессионалы:

• небезопасный хостинг веб-сайтов,
• использование слабых и легко угадываемых паролей,
• устаревшее ядро ​​WordPress, тема, плагины, PHP и другое программное обеспечение.

Если вы не возражаете, я добавлю дополнительный совет, если вы заботитесь о своем веб-сайте и бизнесе, не устанавливайте обнуленные плагины и темы.

Вопрос 7: Как вы думаете, индустрия/поставщики систем безопасности WordPress могут помочь большему количеству таких профессионалов, как вы, для которых безопасность не является их чашкой чая, лучше понять и защитить веб-сайты своих клиентов?

Короче говоря, они должны сделать это намного проще для пользователя. Они могут сделать это:

• создание большего количества мастеров для более простой и быстрой реализации инструмента безопасности,
• автоматически внедрять «лучшие практики», так что пользователю почти ничего не остается делать,
• внедрить систему предупреждений, чтобы, когда на одном сайте были установлены некоторые инструменты безопасности с перекрывающимися функциями, пользователь уведомлялся о проблеме.

Q8. Если бы вы могли выбрать одну функцию безопасности, которая будет включена в ядро ​​WordPress по умолчанию, что бы это было и почему?

Я хотел бы, чтобы служба брандмауэра веб-приложений (WAF), включенная в WordPress, имела хотя бы базовый уровень защиты безопасности, как у нас в Windows с предустановленным Защитником Windows.

Q9. Есть ли какая-либо конкретная тема или контент, которые вы хотели бы видеть от поставщиков и профессионалов в области безопасности?
Я хотел бы видеть больше реальных случаев использования для начинающих, которые объясняют, что делать в конкретных повседневных ситуациях, когда нарушается безопасность. Их довольно много, но большинство из них предназначены для продвинутых специалистов по безопасности. Они используют сложный жаргон и инструменты.

Q10. Считаете ли вы, что можете быть в курсе новостей безопасности WordPress или нет? Если нет, то как вы думаете, в чем проблема?
Да, по прошествии стольких лет я чувствую себя вполне уверенным, что наловчился. Нам потребовалось довольно много времени, чтобы протестировать и тщательно создать поле со списком инструментов безопасности, а также убедиться, что все в нашей команде следуют передовым методам обеспечения безопасности.