ฉันจะจัดการเว็บไซต์อย่างมืออาชีพได้อย่างไร

ภรรยาของฉันเริ่มธุรกิจและเว็บไซต์เป็นวิธีสำคัญในการเข้าถึงลูกค้า ฉันเป็นนักพัฒนาซอฟต์แวร์ดังนั้น 'แน่นอน' ฉันกำลังดูแลเรื่องทางเทคนิค ฉันจัดการเว็บโฮสต์และอัปโหลดและกำหนดค่า WordPress (ซึ่งพร้อมด้วยธีมที่เหมาะสมเหมาะสมกับใบเสร็จของเรา) ภรรยาของฉันมีความรู้เกี่ยวกับ HTML และ CSS ดังนั้นเธอจึงสามารถกำหนดเว็บไซต์เองได้

ตอนนี้ฉันต้องการให้สิ่งนี้เป็นมืออาชีพ หากมีอะไรโง่ ๆ เกิดขึ้น (โดยไม่ตั้งใจทำให้ไฟล์เกิดข้อผิดพลาดในการอัปเดต WordPress ไซต์ถูกแฮ็ก) เราจะสูญเสียทั้งไซต์

ฉันต้องจัดการไซต์อย่างไร เมื่อ googling เรื่องนี้ฉันพบแค่บทเรียน FTP ซึ่งไม่ใช่ระดับของข้อมูลที่ฉันตามมา ฉันคิดว่า:

• สำรองไฟล์ + ฐานข้อมูล (ฉันมีสิ่งเหล่านี้แล้ว แต่ยังไม่ได้ทดสอบว่าจะคืนค่าได้หรือไม่)
• สภาพแวดล้อมการทดสอบในท้องถิ่นสำหรับการแก้ไขชุดรูปแบบและการทดสอบการปรับปรุง WordPress
• แผนการทดสอบที่มีบางสิ่งที่ต้องทดสอบก่อนที่จะอัปโหลดสภาพแวดล้อมการทดสอบไปยังไซต์จริง
• เวอร์ชัน - ควรมีอะไรผิดพลาดเราควรจะไปรุ่นก่อนหน้า
• การตรวจสอบสถานะการออนไลน์ - หากเว็บไซต์หยุดทำงานฉันไม่จำเป็นต้องฟังจากลูกค้า

แนะนำโดยbybeส่วนใหญ่เกี่ยวข้องกับความปลอดภัย:

• ใช้ VPS นี้จะปกป้องฉันจากการโจมตีในบัญชีอื่น ๆ ร่วมกันพื้นที่ แต่จะเปิดสามารถของเวิร์อีกเพราะผมมีเพื่อให้ปลอดภัยเซิร์ฟเวอร์ตัวเอง
• ลบสิทธิ์การเขียนในไฟล์ทั้งหมดที่ไม่จำเป็นต้องเขียนได้ (ไฟล์เทมเพลต. htaccess)
• สมัครสมาชิกรายการส่งจดหมาย CMS (Wordpress ในกรณีนี้) และอัปเดตทันทีที่มีรุ่นใหม่
• ลดจำนวนปลั๊กอิน CMS - มีช่องโหว่ของตนเอง
• ลบบัญชีผู้ดูแลระบบเริ่มต้นของ CMS
• ทำให้เว็บไซต์อยู่ในโหมดบำรุงรักษาเมื่อทำการแก้ไข จะช่วยให้การสำรองข้อมูลที่สอดคล้องและดีกว่าแก่ผู้เข้าชม

มีอะไรหายไปจากรายการนี้หรือไม่?

คำถามที่ดีความปลอดภัยเป็นประเด็นหลักของคุณและเป็นสิ่งเดียวกันสำหรับทุกคนที่มองหาการจัดการเว็บไซต์ของตัวเอง WordPress ไม่ได้เป็นระบบการจัดการเนื้อหาที่ปลอดภัยที่สุดในโลกอย่างไรก็ตามมันสามารถทำให้ปลอดภัยด้วยโฮสติ้งที่ดีและความรู้ที่ดีเกี่ยวกับสิ่งที่ปลอดภัยและมั่นใจว่ามีการตั้งค่าแล้ว

โฮสติ้ง

วิธีที่ปลอดภัยที่สุดในการโฮสต์เว็บไซต์ของคุณอยู่ใน VPS หรือโดยเฉพาะสมมติว่าคุณมีความปลอดภัยในระบบปฏิบัติการ ปัญหาเกี่ยวกับการโฮสต์ที่ใช้ร่วมกันคือมัลแวร์สามารถแพร่กระจายจากบัญชีหนึ่งไปยังอีกบัญชีหนึ่งแม้ว่าพวกเขาจะอยู่ในคุกแฮกเกอร์เหล่านี้ค้นหาวิธีการของพวกเขาและติดเชื้อหลายเว็บไซต์ ตัวอย่างเช่น GoDaddy ถูกแฮ็กเมื่อเดือนที่แล้วและมีเว็บไซต์กว่า 100,000 แห่งที่ถูกแฮ็กด้วยการแทรกลิงก์ย้อนกลับสีเทา

จากสิ่งที่ฉันได้อ่านแล้วคุณต้องการใช้ VPS แต่สิ่งสำคัญที่คุณต้องการให้จัดการการสำรองข้อมูลของคุณสิ่งที่คุณต้องการคือ VPS พร้อม CentOS6 กับ Cpanel คุณจะต้องจ่ายเพิ่มเติมสำหรับ Cpanel แต่จะเป็นการตั้งค่าเว็บไซต์และสำรองฐานข้อมูลและระบบไฟล์อัตโนมัติรวมถึงส่งอีเมลถึงคุณทุกวันเมื่อการสำรองข้อมูลเสร็จสมบูรณ์หรือล้มเหลวด้วยเหตุผลใดก็ตาม

ตอนนี้ฉันไม่ทราบว่าคุณมีทักษะที่แข็งแกร่งภายในตัว linux ได้อย่างไร แต่ VPS สามารถนำปัญหาด้านความปลอดภัยอื่น ๆ มาใช้หากคุณไม่แข็งแกร่งในแผนกนี้ โชคดีที่วันนี้เรามีสิ่งต่าง ๆ เช่น Google และคุณสามารถเรียนรู้วิธีรักษาความปลอดภัย VPS ของคุณได้อย่างง่ายดาย สิ่งพื้นฐานเกี่ยวกับกล่อง VPS ของคุณคือการทำให้มั่นใจว่าการใช้รหัส SSL ที่คุณมีในคอมพิวเตอร์ของคุณหมายความว่าแม้ว่าพวกเขาจะรู้รหัสผ่านพวกเขาไม่สามารถเข้าถึงระบบของคุณได้หากไม่ได้รับการรับรอง นอกจากนี้เพื่อหยุดคนเดารหัสผ่านคุณสามารถเปลี่ยนพอร์ต ssh ได้ตลอดเวลา

มีหลายสิ่งที่คุณสามารถทำได้เพื่อป้องกันการเข้าถึงกล่องของคุณและ Google ให้บริการที่ดีที่สุดมีหลายรายการที่อยู่ไกล

WordPress

การรักษาความปลอดภัย Wordpress /wp-content/themes directoryเป็นสวยตรงหน้าคำแนะนำในการที่แข็งแกร่งที่สุดของฉันคือการรักษาความปลอดภัยแฟ้มแม่แบบภายใน เนื่องจากภรรยาของคุณจะไม่แก้ไขไฟล์เทมเพลตที่คุณต้องการ chmod เหล่านี้จึงไม่สามารถเขียนจาก WordPress ได้โดยตรง มีการตั้งค่าอยู่ภายในconfiguration.phpคุณสามารถตั้งค่า แต่อย่างจริงจังเพียง CHMOD พวกเขาโดยใช้ FTP หรือถ้าคุณไม่ไปและใช้ VPS เปลี่ยนความเป็นเจ้าของของไฟล์เหล่านี้จากไปwww-data rootวิธีนี้จะไม่สามารถเปลี่ยนแปลงได้จาก WordPress หรือซอฟต์แวร์อื่น ๆ ที่ทำงานบนเซิร์ฟเวอร์ การฉีดสคริปต์ส่วนใหญ่จะโจมตีindex.phpไฟล์ของแม่แบบและเพิ่มมัลแวร์ นอกจากนี้ยังมีการ.htaccessโจมตีด้วยการเปลี่ยนเส้นทางเล็กน้อยดังนั้นให้ทำการ chmod .htaccessไฟล์อีกครั้งเพื่อให้ไม่สามารถเขียนทับได้เมื่อคุณมีการตั้งค่าที่ต้องการหรือเปลี่ยนจาก www-data เป็น root อีกครั้ง อีกทั้งยังconfiguration.php คุณควรตั้งค่าเป็นรูทหรือ chmod เพื่อให้แขกและบุคคลภายนอกไม่สามารถอ่านได้

อย่าประเมินพลังของ CHMOD ภายใต้ไฟล์ยิ่งคุณสามารถเขียนได้ดีกว่า พยายามหลีกเลี่ยงปลั๊กอิน WordPress ที่ไม่จำเป็น ในขณะที่บางคนเก่งถามตัวเองว่าคุณต้องการ ยิ่งคุณติดตั้งแฮ็กเกอร์ของคุณก็ยิ่งต้องเล่นมากขึ้นดังนั้นควรหลีกเลี่ยงปลั๊กอินมากเท่าที่จะทำได้

WordPress อัปเดตทุกสัปดาห์เป็นรายเดือนอัปเดตโดยเร็วที่สุด - มีเหตุผลที่พวกเขามีการอัปเดตมากมายและหนึ่งในนั้นคือปัญหาด้านความปลอดภัยและช่องโหว่ที่พบ

นอกจากนี้โดยค่าเริ่มต้นคุณจะมีบัญชี "admin" "รหัสผ่านทำให้ผู้ดูแลระบบอื่นเช่นชื่อคุณพร้อมรหัสผ่านที่ดี จากนั้นลบบัญชีผู้ดูแลระบบนั้น

แผนการทดสอบ

คุณสามารถเลียนแบบไซต์ของคุณได้เสมอเช่นมีการลอกแบบ การใช้ cpanel คุณสามารถตั้งค่าโดเมนย่อย test.subdomain.com และเรียกใช้ WordPress เดียวกันพร้อมกับโคลนของฐานข้อมูล

ส่วนตัวถ้าคุณไม่ได้ใช้ส่วนขยายที่สำคัญสำหรับ WordPress คุณก็สามารถทำเว็บไซต์ออฟไลน์เช่นการบำรุงรักษาอยู่ในความคืบหน้า จากนั้นอัปเดตระบบหากมีสิ่งใดผิดพลาดคุณจะมีการสำรองข้อมูลอัตโนมัติหรือสำรองข้อมูลที่คุณทำระหว่างการบำรุงรักษา ด้วยวิธีของคุณอย่างปลอดภัย

ดีที่สุดเสมอที่จะอัปเดตในโหมดบำรุงรักษาในขณะที่การปรับปรุงบางอย่างไม่ถาม ดีที่สุดที่จะใช้แบบออฟไลน์เพื่อให้คุณมีร้านค้าที่ดี

การกำหนดเวอร์ชัน ด้วยการสำรองข้อมูลทุกวันคุณจะมีวันที่ภายใน GZ / Zip คุณจะสามารถอ่านไฟล์กำหนดค่าด้วยหมายเลขรุ่นของ WordPress

ระบบ Uptime Good Vps จะตรวจสอบให้คุณและทำการรีบูทหากจำเป็นเนื่องจากคุณใช้งานเซิร์ฟเวอร์คุณสามารถติดตั้งงาน cron ที่จะส่งอีเมลถึงคุณหากเซิร์ฟเวอร์หยุดทำงาน แต่อีกครั้ง เซิร์ฟเวอร์ที่ดีไม่เคยล้มลงเลยเลือก บริษัท VPS ที่ดีที่ทำงานบนคลาวด์ที่มีแหล่งจ่ายไฟและฮาร์ดแวร์ที่ซ้ำซ้อน Rackspace เป็นต้นหรือ amazon ทำงานบนคลาวด์

รุ่นทดสอบ อีกครั้งเพียงโคลนไซต์ลงในโดเมนย่อยที่ใช้รหัสผ่าน. htaccess

หวังว่านี่จะช่วยได้และถ้าคุณมีคำถามเพิ่มเติมกรุณาถาม

คุณจะต้องทำให้มันง่ายอย่างแน่นอน แต่ท้ายที่สุดมันก็ขึ้นอยู่กับประเภทของเว็บไซต์ที่คุณต้องการ (คนจะสามารถซื้อของได้หรือไม่)

หากคุณมีเว็บไซต์ WordPress ที่เรียบง่ายคุณจะต้องทำการสำรองข้อมูล (หรือตรวจสอบให้แน่ใจว่าการคัดลอกบนเซิร์ฟเวอร์สาธารณะไม่ใช่เพียงการคัดลอกเท่านั้นอย่าทำการสำรองข้อมูลไฟล์คงที่จากเซิร์ฟเวอร์ แต่ทำการสำรองฐานข้อมูลทุกสัปดาห์) สำหรับเว็บไซต์ขนาดใหญ่หรือหากคุณจัดเก็บข้อมูลผู้ใช้ใด ๆ ในฐานข้อมูลให้สำรองข้อมูลบ่อยขึ้น

สำหรับไซต์อีคอมเมิร์ซที่มีขนาดใหญ่ขึ้นคุณควรลงทุนในใบรับรอง SSL เพื่อให้ได้รับความไว้วางใจจากผู้เยี่ยมชมรวมทั้งเข้ารหัสข้อมูล (คุณสามารถสร้างใบรับรองที่ลงชื่อด้วยตนเองได้ฟรี แต่ควรใช้ใน การพัฒนาสภาพแวดล้อม).

พิจารณาเช่า VPS หรือเซิร์ฟเวอร์เฉพาะหากคุณกังวลเรื่องความปลอดภัย มันให้ความยืดหยุ่นมากกว่า แต่ด้วยพลังที่มาพร้อมความรับผิดชอบ คุณสามารถจินตนาการและตั้งค่าฐานข้อมูลที่ซิงโครไนซ์ข้ามเซิร์ฟเวอร์ระยะไกลใช้rsyncเพื่อสำรองข้อมูลตามกำหนดเวลาและอื่น ๆ ได้ แต่ง่ายขึ้นอีกครั้ง

สำหรับสภาพแวดล้อมการทดสอบไม่ใช่ความคิดที่ไม่ดีและอาจเป็นสิ่งที่ดีถ้าคุณจะเปลี่ยนการออกแบบและเนื้อหาบ่อยครั้ง แต่คุณต้องแน่ใจว่ารุ่น WP และการตั้งค่าเหมือนกัน สำคัญมาก.

สุดท้ายทำให้มันง่าย ข้อผิดพลาดของมนุษย์ในการลบ / ไฟล์ messing ขึ้นเป็นสาเหตุสำคัญสำหรับการสูญเสียข้อมูล แฮกเกอร์ไม่ใช่

ฉันเป็นเว็บมาสเตอร์ตัวใหม่ดังนั้นฉันจึงห่างไกลจากผู้เชี่ยวชาญ แม้ว่าสิ่งที่ฉันสามารถบอกคุณได้คือประสบการณ์ของตัวเองในช่วงสองสามเดือนที่ผ่านมา พื้นหลังเล็กน้อย: ฉันเป็นผู้ชาย Windows ที่มีประสบการณ์ Linux / Apache เล็กน้อยเชี่ยวชาญใน PHP / HTML / CSS พร้อมความรู้พื้นฐานที่ดีของ WordPress (WP)

ฉันตั้งค่าสภาพแวดล้อมการทดสอบในท้องถิ่นด้วย XAMPP และใช้เวลาในการติดตั้ง / กำหนดค่า / ลบ WP ในปริมาณที่ดี จากนั้นฉันใช้เวลาสองสามวันในการเรียนรู้การพัฒนาปลั๊กอิน WP ทำทุกอย่างในเครื่องโดยสร้างปลั๊กอินขนาดเล็ก ทำให้มันทำงานได้ดีอัปโหลดเป็นสดจากนั้นต้องใช้เวลาพยายามคิดว่าทำไมมันไม่ทำงานบนไซต์สดของฉัน

ฉันจำสาเหตุที่แท้จริงไม่ได้ แต่มันทำให้โฮสต์ของฉันมีการตั้งค่า / การอนุญาต / อื่น ๆ ที่แตกต่างจากเซิร์ฟเวอร์ท้องถิ่นของฉัน ในขณะที่ฉันสามารถใช้เวลาเรียนรู้เกี่ยวกับการจัดการเซิร์ฟเวอร์ในเชิงลึกและพยายามปรับให้เข้ากับสภาพแวดล้อมในพื้นที่ของฉันฉันตัดสินใจใช้เส้นทางที่ง่ายขึ้น ฉันตั้งค่าโดเมนทดสอบสด - หลายรายการจริง

แผนโฮสติ้งของฉันเป็นแบบแผนที่ทั่วไป ในความเป็นจริงมันเป็นโฮสต์ที่ถูกที่สุดที่เสนอให้ซึ่งช่วยให้สามารถเพิ่มโดเมนได้ไม่ จำกัด แต่ไม่อนุญาตให้โดเมนเหล่านั้นชี้ไปที่ใดก็ได้ยกเว้นรูท ดังนั้นฉันจึงค้นพบวิธีใช้. htaccess เพื่อเปลี่ยนเส้นทางโดเมนที่แตกต่างไปยังไดเรกทอรีที่ต่างกันแบบไดนามิก ๆ จากนั้นฉันได้รับโดเมนย่อยฟรีผ่าน CU.CC แม้ว่าฉันจะไม่ใช้มันสำหรับเว็บไซต์จริงใด ๆ เพราะพวกเขาไม่ใช่โดเมนจริงเช่นคุณไม่ได้เป็นเจ้าของพวกเขาทำงานได้ดีสำหรับการทดสอบสด

ฉันใช้ freebie หนึ่งตัวเป็นโคลนของไซต์สดของฉันดังนั้นหากฉันต้องการติดตั้งปลั๊กอินหรือชุดรูปแบบฉันสามารถทดสอบได้อย่างละเอียดก่อนส่งสด เนื่องจากโดเมนทดสอบของฉันอยู่บนเซิร์ฟเวอร์เดียวกันฉันรู้ว่าไซต์สดของฉันจะปรากฏอย่างไร ฉันใช้ freebie อื่นเป็น WP testbed ทั่วไป และอีกอันสำหรับการทดสอบ webdev ทั่วไป

สำหรับการโคลไซต์ของฉันฉันใช้ปลั๊กอิน WP ฟรีที่เรียกว่า 'Duplicator' สำรองไฟล์และฐานข้อมูลของเว็บไซต์ นอกจากนี้ยังจัดการสิ่งแบ็กเอนด์ WP ทั้งหมดที่จำเป็นหากคุณต้องการกู้คืนไปยังโดเมนอื่น มันใช้งานได้ดีสำหรับ WP testbed ของฉันเนื่องจากฉันต้องติดตั้ง WP เพียงครั้งเดียวโหลดด้วยเนื้อหาจำลองและผู้ใช้ตั้งค่าผู้ดูแลระบบของฉันเช่น Permalinks เขตเวลา ฯลฯ ตอนนี้ฉันสามารถแฮ็ค WP ทั้งหมดที่ฉันต้องการแล้วคืนค่าการสำรองข้อมูล จะสำหรับการติดตั้ง WP แบบ near-virgin ของฉัน แต่ได้รับการกำหนดค่าเป็นฉันต้องการ

หากคุณกลัวว่าไซต์ของคุณจะถูกแฮ็กหรือได้รับผลกระทบจากมัลแวร์ฉันแนะนำให้ใช้http://sucuri.net/

แม้ว่าจะเป็นค่าใช้จ่าย แต่จะดูแลความปลอดภัยของเว็บไซต์ของคุณอย่างมีประสิทธิภาพ

นอกจากนี้จากข้อควรระวังด้านข้างของคุณจะแนะนำให้เลือก รับการสำรองฐานข้อมูลทุกสัปดาห์ ตั้งค่าตัวเลือกของฐานข้อมูลสำรองในการโฮสต์ของคุณและคุณจะได้รับการสำรองฐานข้อมูลในเวลาจดหมายของคุณและอีกครั้งเป็นประจำ

คำตอบอื่น ๆ มีคำแนะนำที่ดีมาก แต่สมมติว่ามีความเชี่ยวชาญมากขึ้นหรือน้อยลงในการบำรุงรักษาเซิร์ฟเวอร์และความรู้เกี่ยวกับ WordPress ที่คุณก) อาจไม่มีและข) อาจไม่มีเวลาอุทิศให้เรียนรู้จริงๆ

สมมติว่าคุณจ่ายค่าโฮสติ้งแล้วและกำลังพิจารณาการอัปเกรดเป็น VPS ฉันขอแนะนำให้ย้ายไปที่ ISP ที่เชี่ยวชาญในการโฮสต์ WordPress และให้การป้องกันมัลแวร์และการกู้คืนการตรวจสอบความปลอดภัยบนปลั๊กอินสำรองข้อมูลและอัปเกรดหลักสำหรับคุณ สองที่ผมใช้สำหรับลูกค้าในขณะนี้Pagelyและเครื่องยนต์ WP โบนัสที่ดีคือผู้ให้บริการอินเทอร์เน็ตเหล่านี้ได้รับการปรับแต่งเพื่อเพิ่มความเร็วซึ่งบางครั้ง WordPress ต้องการ WP Engine ยังมาพร้อมกับสภาพแวดล้อมสำหรับการทดสอบ ...

หากคุณไม่ต้องการใช้โฮสติ้งที่มีการจัดการฉันขอแนะนำให้คุณสมัครสมาชิกVaultPressเป็นแผนสำรองและความปลอดภัยหลักของคุณ ระดับการบริการระดับพรีเมี่ยมจะจัดการทั้งสองอย่าง (บริการปกติเป็นเพียงการสำรอง / กู้คืน) และความอุ่นใจเพียงอย่างเดียวนั้นคุ้มค่า VaultPress ค่อนข้างแพงและอาจจะแพงกว่าการใช้โฮสติ้งที่ได้รับการจัดการที่แนะนำข้างต้น

วิธีที่สามที่จะไปคือการผสมผสานการรักษาความปลอดภัยจากประสบการณ์ปลั๊กอินและความสามารถในการค้นหาบน Google และการสำรองข้อมูล / การกำหนดเวอร์ชันในแบบเดียวกัน อีกครั้งนี้ถือว่าระดับของความเชี่ยวชาญกับการกำหนดค่าเซิร์ฟเวอร์และ WordPress ที่คุณอาจไม่ได้ทันทีและการกู้คืนจากการแฮ็ก WordPress สามารถเป็นประสบการณ์ที่น่าสังเวชมากขึ้นหากผู้โจมตีใช้สคริปต์ในเชลล์