采访 Ivica Delic 关于 WordPress 专业人士和安全性

已发表: 2019-09-05

到目前为止,我们只采访了了解并在应用程序和 WordPress 安全方面工作的人。 我们一直听到供应商的声音。 然而,在这次采访中,我们采取了不同的方法。 我们采访了 WordPress 安全专家 Ivica Delic。 本次采访的范围是为了更好地了解 WordPress 专业人士(对他们来说可能安全不是他们的团队)如何看待和理解安全产品和服务。 这次采访还帮助我们了解我们可以改进的地方以及这些专业人士正在采取哪些措施来确保客户网站的安全。

Ivica Delic,WordPress 专业人士 Ivica Delic 自 2011 年以来一直在使用 WordPress,并与他人共同创立了 FreelancersTools.com。 他曾在 WordPress 社区做志愿者,并参加了许多 WP Meetups 会议并发表了有关加速 WordPress 网站的演讲。 Ivica 在各种 WordPress 主题上创建了几个受欢迎的 Facebook 群组。 他是超过 25 个 Facebook 群组的管理员,这些群组共有超过 150,000 名成员。 Ivica 毕业于经济学硕士学位,在银行业管理团队 20 多年后,他与人共同创立了 Confida,这是一家专注于帮助客户管理 WordPress 网站和数字营销需求的数字市场公司。

面试

Q1:当您设置新的 WordPress 网站时,您实施/遵循的前 5 个安全最佳实践是什么?

第一个是选择一个好的和可靠的 WordPress 主机。 我与很多网络主机合作过,其中也有很多不错的。 我的大部分工作都使用 SiteGround。

第二个最佳实践是实施良好的备份策略。 我总是尽可能使用在线服务,例如 BlogVault。 这使得将备份存储在异地和安全位置成为可能。

然后我安装了一些 WordPress 安全工具和插件。 我总是向所有客户推荐 MalCare 和 WP Activity Log 作为网站防御的最后一道防线。

剩下的两个最佳实践是对我们用户的建议; 使用唯一且强大的 WordPress 密码,并始终保持您的 WordPress 核心、主题、插件、PHP 以及您的网络服务器和计算机上的所有软件为最新。 如果可能,请使用防病毒/反恶意软件。

Q2。 您是否发现 WordPress 安全插件和服务易于实施和使用?

在过去的几年里,我们测试了很多安全插件和工具。 有一些非常容易实现和使用。 然而,其他一些非常难以使用,它们弊大于利。 它们给用户留下了很多决定权,但是,大多数用户和专业人士并不精通安全。 因此,他们发现这些插件势不可挡,最终导致网站保护不足或过度保护。

用户通常会错误配置复杂的安全插件。 例如,他们被安全插件锁定在自己的网站之外,或者他们所有的热链接图像不再加载。 或者一些带有文件完整性监控的安全插件报告日志文件中的更改可能是恶意的。 用户对此感到恐慌,因为他们不明白例如日志文件中的更改不是恶意的,或者为什么热链接图像不起作用。

Q3。 您在实施或使用安全插件/产品/服务时遇到的最大挑战/困难是什么?

与上一个问题相关——我个人遇到的最大挑战是我必须测试和检查客户网站上使用的安全工具,这些工具我可能并不熟悉。 有时,我们接管了客户网站的管理,并且必须检查所有安全解决方案是否可以正常协同工作,而不会出现功能重叠。 我们必须确保它们之间不存在兼容性问题,以避免出现不良行为,例如阻止网站管理员。

Q4。 您是否关注任何安全网站以了解 WordPress 安全性,还是将其留给专业人士? 或者两者兼而有之?

我是许多 WP 安全专家发布的少数 WordPress 安全 Facebook 群组的成员和管理员。 我关注并阅读所有相关的安全新闻以及安全实用建议/最佳实践。 然而,清理受感染站点的复杂任务我(仍然)没有掌握。 在这种情况下,我依靠专业人士。

Q5。 您更喜欢使用在线 WordPress 防火墙服务还是在您的网站上安装 WordPress 防火墙插件? 解释为什么。

我更喜欢使用在线 WordPress Web 应用程序防火墙 (WAF) 服务。 所有专家都表示,WAF 是抵御黑客和 DDoS 攻击的更好的安全层。 WAF 能够在任何恶意内容到达您的站点之前检测并阻止它。 不幸的是,WordPress 插件无法提供这一点,因为它们试图从内部保护网站。

Q6。 在您看来,WordPress 网站被黑的三大原因是什么?

我与许多其他专业人士有着相同的看法:

  • 不安全的网站托管,
  • 使用弱且容易猜到的密码,
  • 过时的WordPress核心、主题、插件、PHP等软件。

如果您不介意我添加额外的提示,如果您关心您的网站和业务,请不要安装无效的插件和主题。

Q7:您认为 WordPress 安全行业/供应商可以做些什么来帮助更多像您这样的专业人士,安全不是他们的一杯茶,更好地了解和保护他们客户的网站?

简而言之,他们需要让用户更轻松。 他们可以通过以下方式做到这一点:

  • 创建更多向导以更轻松、更快地实施安全工具,
  • 自动实施“最佳实践”,让用户无需做太多事情,
  • 实施警告系统,以便当某些安全工具安装在具有重叠功能的同一站点上时,会告知用户该问题。

Q8。 如果您可以选择默认包含在 WordPress 核心中的一项安全功能,那会是什么以及为什么?

我希望看到 WordPress 中包含的 Web 应用程序防火墙 (WAF) 服务至少具有基本的安全保护层,就像我们在预装了 Windows Defender 的 Windows 上一样。

问题 9。 您是否希望从安全供应商和专业人士那里看到更多特定主题或内容?
我希望为初学者看到更多现实生活中的用例,这些用例解释了当安全遭到破坏时如何处理特定的日常情况。 那里有很多,但其中大多数都是针对高级安全人员的。 他们使用复杂的术语和工具。

问题 10。 您是否觉得您可以及时了解 WordPress 安全新闻? 如果不是,您认为问题出在哪里?
是的,经过这么多年,我对自己掌握了窍门感到非常有信心。 我们花了相当长的时间来测试和仔细构建我们的安全工具组合框,并确保我们团队中的每个人都遵循安全最佳实践。