Як мені професійно керувати веб-сайтом?

Моя дружина розпочала бізнес, і веб-сайт є важливим способом досягнення потенційних клієнтів. Я розробник програмного забезпечення, тому "звичайно" я дбаю про технічні речі. Я організував веб-хостинг і завантажив і налаштував WordPress (який разом з гідною темою чудово відповідає нашому рахунку). Моя дружина володіє деякими знаннями HTML та CSS, тому сама може налаштувати веб-сайт.

Тепер я хочу професіоналізувати цей матеріал. Якщо трапиться щось дурне (випадково зіпсувати файл, помилка в оновлення WordPress, сайт зламаний), ми втрачаємо весь сайт.

Що мені потрібно для управління сайтом? Під час гуглити цю тему, я знаходжу лише підручники з FTP, що є не зовсім рівнем інформації, за якою я переживаю. Я зрозумів:

• резервне копіювання файлів + база даних (у мене вже є, але я не перевіряв, чи відновлення працює)
• локальне тестове середовище для редагування теми та тестування оновлень Wordpress
• тестовий план, що містить деякі речі для тестування перед завантаженням тестового середовища на активний сайт
• версія - якщо щось піде не так, ми повинні мати можливість перейти до попередньої версії.
• моніторинг безперервного часу - якщо сайт не працює, мені не доведеться чути його від клієнтів

Запропоновано bybe , здебільшого стосується безпеки:

• використовувати VPS. Це захистить мене від атак на інших загальних облікових записів хостингу, однак він відкриває іншу банку з хробаками, тому що я повинен тримати в сейфі SERVER себе .
• видалити дозволи на запис для всіх файлів, які не потребують запису (файли шаблонів, .htaccess)
• підпишіться на список розсилки CMS (у цьому випадку Wordpress) та оновлюйте, як тільки з’являться нові випуски
• мінімізуйте кількість плагінів CMS - у них є свої вразливі місця
• видаліть обліковий запис адміністратора CMS за замовчуванням
• перевести веб-сайт у режим технічного обслуговування при зміні. Це дозволяє послідовно створювати резервні копії і приємніше відвідувачів.

Щось у цьому списку бракує?

Хороші запитання, безпека - це ваша головна проблема, і вона однакова для всіх, хто бере на себе завдання керувати своїми веб-сайтами. WordPress - не найбезпечніша система управління контентом на планеті, проте її можна забезпечити хорошим хостингом та хорошими знаннями про те, що захистити та забезпечити.

Хостинг

Найбезпечніший спосіб розміщення вашого веб-сайту - це VPS або присвячений припущенні, що у вас хороша безпека в ОС. Проблема спільного хостингу полягає в тому, що зловмисне програмне забезпечення може поширюватися з одного облікового запису на інший, хоча вони перебувають у в'язницях, коли ці хакери знаходять шлях та заражають кілька сайтів. Наприклад, GoDaddy був зламаний минулого місяця і залишив 100000 веб-сайтів зламаними із вставками із зворотною посиланням.

З того, що я читав, ви хочете користуватися VPS, але важливо, що ви хочете, щоб чимось керувати вашими резервними копіями, вам потрібно VPS з CentOS6 з Cpanel. Вам потрібно буде додатково заплатити за Cpanel, але це дозволить створити веб-сайти та створити резервну копію бази даних, а також файлову систему автоматизувати, а також щодня надсилати вам електронні листи, коли резервна копія завершена або не вдалася з тієї чи іншої причини.

Зараз я не знаю, наскільки сильні навички у вас в самій Linux, але VPS часто може спричинити інші проблеми із безпекою, якщо ваш не сильний у цьому відділі. На щастя, в наші дні у нас є такі речі, як Google, і ви можете дуже багато дізнатися, як легко забезпечити свій VPS. Основне, що стосується вашого VPS-поля, - це забезпечити використання вашого ключа SSL, який ви маєте на своєму комп’ютері, тобто, навіть якщо вони знають пароль, вони не можуть отримати доступ до вашої системи без сертифікації. Крім того, щоб люди не вгадували пароль, ви завжди можете змінити порт ssh.

Ви можете зробити багато речей, щоб не допустити доступу до своєї скриньки, і Google служить цим найкращим чином.

WordPress

Забезпечення Wordpress досить прямо вперед, моя найсильніша порада - захистити файли шаблонів у /wp-content/themes directory. Оскільки ваша дружина не буде редагувати файли шаблонів, ви хочете їх chmod, щоб вони не могли бути записані безпосередньо з WordPress. configuration.phpВи можете встановити всередині, але ви серйозно просто CHMOD їх за допомогою FTP або якщо ви перейдете та використовуєте VPS, змініть право власності на ці файли з www-dataна root. Таким чином вони не можуть бути змінені з WordPress або будь-якого іншого програмного забезпечення, що працює на сервері. Більшість ін'єкцій та сценаріїв атакуватимуть index.phpфайли шаблонів та додаватимуть зловмисне програмне забезпечення. Крім того, є кілька .htaccessатак на переадресацію, тому знову chmod .htaccessфайл непридатний, як тільки ви отримаєте потрібні налаштування, або знову перейдіть з www-data на root. Такожconfiguration.php ви повинні встановити root або chmod, щоб його не могли читати гості та сторонні люди.

Не варто оцінювати потужність CHMOD, чим більше файлів ви можете зробити непридатними, тим краще. Постарайтеся уникати зайвих плагінів WordPress. Хоча деякі чудові, запитайте себе, чи потрібно вам. Чим більше ви встановили, тим більше вашим хакерам доводиться грати, тому уникайте плагінів наскільки це можливо і не роздувайте сайт разом з ними.

WordPress оновлюється щотижня до щомісяця, оновлюється якнайшвидше - є причина, чому в них так багато оновлень, і одна з них - проблеми з безпекою та пробіли, які вони знайшли.

Крім того, за замовчуванням у вас буде обліковий запис "пароль" адміністратора, зробіть іншого адміністратора, такого як ваші імена, а також хороший пароль. Потім видаліть цей обліковий запис адміністратора.

План тесту

Ви завжди можете імітувати свій сайт, тобто мати клон. Використовуючи cpanel, ви можете встановити піддомен test.subdomain.com і мати такий запуск WordPress разом із клоном бази даних.

Особисто, якщо ви не використовуєте великих розширень для WordPress, ви можете просто взяти сайт в автономному режимі, тобто працює технічне обслуговування. а потім оновіть систему, якщо щось піде не так, то у вас є автоматизована резервна копія або резервна копія, яку ви робили під час обслуговування. таким чином ваш безпечний в будь-якому випадку.

Завжди найкраще оновлюватись у режимі обслуговування, тоді як деякі оновлення не вимагають, а деякі -. Найкраще взяти його в автономному режимі, щоб у вас був ДОБРИЙ магазин.

Версія з кожним щоденним резервним копіюванням у вас буде дата, всередині GZ / Zip ви зможете прочитати файл конфігурації з номерами версій WordPress.

Системи Uptime Good Vps відстежуватимуть це за вами та перезавантажуватимуться за потреби, оскільки ви працюєте із сервером, ви завжди можете встановити завдання cron, яке надішле вам електронну пошту, якщо сервер не працює, але знову. Хороший сервер ніколи не виходить з ладу, виберіть хорошу компанію VPS, яка працює в хмарі із зайвими джерелами живлення та обладнання, наприклад Rackspace, або Amazon працює на хмарі.

Тестова версія Знову просто клонуйте сайт на піддомен, який використовує пароль .htaccess.

Сподіваюся, це допоможе, і якщо у вас виникнуть додаткові запитання, будь ласка, запитайте.

Ви обов'язково захочете, щоб це було просто. Але в кінцевому підсумку це залежить від того, для якого сайту ви збираєтесь (чи зможуть люди придбати речі?).

Якщо у вас простий сайт WordPress, ви хочете зробити резервні копії (або переконайтесь, що копія на загальнодоступному сервері не є єдиною копією; не створюйте резервні копії статичних файлів на сервері, а робіть резервні копії бази даних щотижня). Для великих сайтів або якщо ви зберігаєте будь-які користувацькі дані в базі даних, частіше створюйте резервні копії.

Для великих веб-сайтів електронної комерції може бути хорошою ідеєю інвестувати в сертифікат SSL, щоб отримати довіру відвідувачів, а також зашифрувати дані (ви можете генерувати власний самопідписаний сертифікат безкоштовно, але його слід використовувати лише у середовище розвитку).

Однозначно розглянути можливість оренди VPS або навіть виділеного сервера, якщо ви переймаєтесь безпекою; він пропонує набагато більшу гнучкість, але з силою приходить відповідальність (а також потенціал зіпсувати речі). Ви можете по-справжньому фантазувати та налаштовувати синхронізовані бази даних на віддалених серверах, використовувати rsyncдля резервного копіювання даних за розкладом тощо. Але знову ж таки, нехай це буде просто.

Для тестового середовища це не погана ідея, і, мабуть, гарна річ, якби ви часто змінювали дизайн та вміст, але хочете, щоб версії та налаштування WP були однаковими. Дуже важливо.

І нарешті, нехай це буде просто. Помилки людини при видаленні / збитті файлів є головною причиною втрати даних. Хакери - ні.

Я сам новий веб-майстер, тому далеко не експерт. Що я можу вам сказати, - це власний досвід за останні кілька місяців. Невелика довідка: я хлопець з Windows з невеликим досвідом Linux / Apache, досвідчений PHP / HTML / CSS, з гідними базовими знаннями WordPress (WP).

Я встановив локальну тестову середу з XAMPP і витратив чимало часу на установку / налаштування / видалення WP. Тоді я витратив кілька днів, вивчаючи розробку плагінів WP. Це все було локально, створивши невеликий плагін. Зробив це нормально, завантажив його в прямому ефірі, потім довелося витратити купу часу, намагаючись зрозуміти, чому це не працює на моєму веб-сайті в реальному часі.

Я не пам’ятаю точних причин, але це зводиться до мого хоста, який має інші налаштування / дозволи / тощо., Ніж мій локальний сервер. Хоча я міг витратити набагато більше часу на вивчення поглибленого управління сервером і намагаючись відповідати моєму середовищу місцевого життя та жити, я вирішив скористатися більш простим маршрутом. Я встановлюю живий тестовий домен - насправді кілька.

Мій план хостингу - це типовий спільний план. Насправді це найдешевший, який пропонує мій хост, який дозволяє необмежено додавати домени, але не дозволяє цим доменам вказувати нікуди, крім кореня. Тож я дізнався, як за допомогою .htaccess динамічно перенаправляти різні домени до різних каталогів, деякі прості різання-вставки. Потім я отримав кілька безкоштовних субдоменів через CU.CC. Хоча я б не використовував їх на будь-яких справжніх сайтах, оскільки вони не є справжніми доменами, тобто ви не володієте ними, вони чудово працюють для тестування в реальному часі.

Я використовую одну халяву як клон свого прямого веб-сайту, тому якщо я хочу встановити плагін або тему, я можу його ретельно перевірити, перш ніж надсилати його наживо. Оскільки мій тестовий домен знаходиться на одному сервері, я точно знаю, як з’явиться мій веб-сайт у реальному часі. Я використовую іншу халяву як загальну тестову панель WP. І ще одне для загального тестування webdev.

Для клонування мого сайту я використовую безкоштовний плагін WP під назвою "Копіювач". Він створює резервні копії файлів і баз даних сайту. Він також обробляє всі необхідні матеріали WP, якщо потрібно відновити інший домен. Це чудово підходить для моєї тестової панелі WP, оскільки мені довелося лише один раз встановити WP, завантажити його з моїм фіктивним вмістом та користувачами, налаштувати свої адміністраторські префікси, як постійні посилання, часовий пояс і т.д. буде, для моєї майже незайманої ще налаштованої WP-установки.

Якщо ви боїтесь, що ваш сайт не буде зламаний або зловмисниками, тоді я пропоную скористатися http://sucuri.net/

Хоча це платне, але воно піклується про безпеку вашого сайту досить ефективно.

Крім цього, з вашого боку доцільно вживати запобіжних заходів. Отримуйте резервну копію бази даних щотижня. Встановіть опцію резервної бази даних у вашому хостингу, і ви отримуватимете резервне копіювання бази даних у вашій пошті постійно та знову.

В інших відповідях є багато корисних порад, але припустимо, що більший чи менший досвід у сервісному обслуговуванні та знання WordPress, яких у вас а) може не бути, і б) може не встигнути присвятити його дійсному вивченню.

Припускаючи, що ви вже платите за хостинг та розглядаєте можливість оновлення до VPS, я настійно рекомендую перейти до Інтернет-провайдера, який спеціалізується на хостингу WordPress та забезпечує захист та відновлення зловмисного програмного забезпечення, перевірку безпеки плагінів, резервного копіювання та оновлення ядра для вас. Два, які я зараз використовую для клієнтів, - це Pagely та WP Engine . Приємним бонусом є те, що ці Інтернет-провайдери також оптимізовані, щоб забезпечити збільшення швидкості, яке іноді потребує WordPress. WP Engine також поставляється з постановочним середовищем для тестування ...

Якщо ви віддаєте перевагу не використовувати керований хостинг, я настійно рекомендую підписатися на VaultPress як основний план резервного копіювання та безпеки. Рівень обслуговування Premium обробляє і те, і інше (звичайний сервіс - це лише резервне копіювання / відновлення), і лише спокій коштує варто плати. VaultPress досить дорогий і може бути дорожчим, ніж використання рекомендованого вище хостингу.

Третій шлях - зібрати захист від досвіду, плагінів та можливості пошуку в Google і резервного копіювання / версії однаковим чином. Знову ж таки, це передбачає рівень знань з конфігурацією сервера та WordPress, який у вас може не виникнути відразу, і відновлення після злому WordPress може бути жалюгідним досвідом, тим більше, якщо зловмисник виконує сценарії в оболонці.