Bagaimana cara mengelola situs web secara profesional?


19

Istri saya telah memulai bisnis, dan situs web adalah cara penting untuk menjangkau pelanggan potensial. Saya seorang pengembang perangkat lunak, jadi 'tentu saja' saya mengurus hal-hal teknis. Saya mengatur hosting dan mengunggah dan mengonfigurasi WordPress (yang, bersama dengan tema yang layak, cocok dengan tagihan kami). Istri saya memiliki pengetahuan tentang HTML dan CSS, sehingga ia dapat menyesuaikan situs web sendiri.

Sekarang, saya ingin memprofesionalkan hal ini. Jika sesuatu yang bodoh terjadi (secara tidak sengaja mengacaukan file, bug di pembaruan WordPress, situs diretas) kami kehilangan seluruh situs.

Apa yang saya perlukan untuk mengelola situs ini? Ketika googling subjek ini, saya hanya menemukan tutorial FTP, yang tidak cukup tingkat info yang saya cari. Saya telah menemukan:

  • backup file + database (saya sudah punya ini, tapi saya belum menguji apakah mengembalikan berfungsi)
  • lingkungan pengujian lokal untuk mengedit tema dan menguji pembaruan wordpress
  • rencana pengujian, berisi beberapa hal untuk diuji sebelum mengunggah lingkungan pengujian ke situs langsung
  • versi - jika terjadi kesalahan, kita harus dapat pergi ke versi sebelumnya.
  • pemantauan uptime - jika situs turun, saya tidak perlu mendengarnya dari pelanggan

Disarankan oleh bybe , sebagian besar terkait keamanan:

  • gunakan VPS. Ini akan melindungi saya dari serangan pada akun hosting bersama lainnya, namun itu membuka kaleng cacing lain, karena saya harus menjaga server tetap aman sendiri .
  • hapus izin menulis pada semua file yang tidak perlu ditulis (file templat, .htaccess)
  • berlangganan milis CMS (Wordpress dalam kasus ini) dan perbarui segera setelah rilis baru tersedia
  • meminimalkan jumlah plugin CMS - mereka memiliki kerentanannya sendiri
  • hapus akun admin default dari CMS
  • menempatkan situs web dalam mode pemeliharaan saat memodifikasi. Ini memungkinkan untuk pencadangan yang konsisten dan lebih baik bagi pengunjung.

Adakah yang hilang dari daftar ini?


Kecuali bisnis istri Anda memiliki alasan untuk dijadikan target, sepertinya Anda akan sedikit berlebihan. Pertanyaan ini mirip dengan "bagaimana saya bisa tetap aman di depan umum?" Anda perlu mengukur ancaman sebelum membuat rencana untuk menghadapinya. Anda bisa berkemah di luar pusat data dengan AK-47 yang dimuat kalau-kalau seorang pencuri muncul untuk mencuri beberapa server tetapi itu hanya akan konyol. Begitu juga sebagian besar dari ini.

Bisnis istri saya tidak memiliki alasan khusus untuk ditargetkan, tetapi situs webnya menarik bagi peretas mana pun. Coba lihat ini . Langkah-langkah di atas tidak sulit dan tidak memerlukan biaya apa pun, tetapi membuatnya jauh lebih sulit bagi peretas.
Frank Kusters

Silakan pilih judul yang lebih baik, ini terlalu umum dan saya akan memilih jika saya belum membaca pertanyaan Anda.
Omne

Jawaban:


11

Pertanyaan bagus, keamanan adalah masalah utama Anda dan sama untuk semua orang yang berusaha mengelola situs web mereka sendiri. WordPress bukan sistem manajemen konten yang paling aman di planet ini, tetapi WordPress dapat dibuat aman dengan hosting yang baik dan pengetahuan yang baik tentang apa yang harus dijamin dan dipastikan telah diatur.

Hosting

Cara paling aman untuk meng-hosting situs Anda adalah dalam VPS atau berdedikasi dengan asumsi Anda memiliki keamanan yang baik pada OS. Masalah dengan hosting bersama adalah bahwa malware dapat menyebar dari satu akun ke akun lainnya, meskipun mereka berada di penjara, peretas ini menemukan jalan mereka dan menginfeksi banyak situs. GoDaddy misalnya diretas bulan lalu dan meninggalkan 100.000 situs yang diretas dengan sisipan backlink greyhat.

Dari apa yang saya baca Anda ingin menggunakan VPS tetapi yang penting Anda ingin sesuatu mengelola cadangan Anda, yang Anda butuhkan adalah VPS dengan CentOS6 dengan Cpanel. Anda perlu membayar tambahan untuk Cpanel tetapi ini akan membuat pengaturan situs web dan membuat cadangan basis data, dan sistem file otomatis serta mengirimi Anda email setiap hari ketika cadangan telah selesai atau gagal karena satu dan lain alasan.

Sekarang saya tidak tahu seberapa kuat keterampilan yang Anda miliki dalam linux itu sendiri tetapi VPS sering dapat membawa masalah keamanan lainnya jika Anda tidak kuat di departemen ini. Cukup beruntung hari ini kami memiliki hal-hal seperti Google dan Anda dapat mempelajari cara mengamankan VPS Anda dengan mudah. Hal dasar tentang kotak VPS Anda adalah untuk memastikan bahwa Anda menggunakan Kunci SSL yang Anda miliki di komputer Anda yang berarti bahwa bahkan jika mereka tahu kata sandi mereka tidak dapat mengakses sistem Anda tanpa sertifikasi itu. Selanjutnya untuk menghentikan orang menebak kata sandi Anda selalu dapat mengubah port ssh.

Ada banyak hal yang dapat Anda lakukan untuk mencegah akses ke Kotak Anda dan Google menyajikan yang terbaik ini, ada banyak hal yang perlu dicantumkan.

WordPress

Mengamankan Wordpress sangat mudah, saran terkuat saya adalah untuk mengamankan file templat di dalam /wp-content/themes directory. Karena istri Anda tidak akan mengedit file template yang Anda ingin chmod ini sehingga mereka tidak dapat ditulis dari WordPress secara langsung. Ada pengaturan di dalam configuration.phpAnda dapat mengatur tetapi serius hanya CHMOD mereka menggunakan FTP atau jika Anda pergi dan menggunakan VPS mengubah kepemilikan file-file ini dari www-datake root. Dengan cara ini mereka tidak dapat diubah dari WordPress atau perangkat lunak lain yang berjalan di server. Sebagian besar suntikan, berbasis skrip akan menyerang index.phpfile templat dan menambahkan malware. Selain itu ada beberapa .htaccessserangan redirect, jadi sekali lagi chmod .htaccessfile menjadi tidak dapat ditulis begitu Anda memiliki pengaturan yang diinginkan, atau lagi berubah dari www-data menjadi root. Jugaconfiguration.php Anda harus menyetel ke root, atau chmod sehingga tidak dapat dibaca oleh tamu dan orang luar.

Jangan memperkirakan kekuatan CHMOD, semakin banyak file yang dapat Anda buat menjadi lebih mudah ditulis. Cobalah untuk menghindari plugin WordPress yang tidak perlu. Sementara beberapa hebat, tanyakan pada diri sendiri apakah Anda perlu. Semakin banyak Anda menginstal, semakin banyak peretas Anda harus bermain, jadi hindari plugin sebanyak yang Anda bisa dan jangan mengasapi situs dengan mereka.

Pembaruan WordPress mingguan hingga bulanan, perbarui sesegera mungkin - Ada alasan mengapa mereka memiliki begitu banyak pembaruan dan salah satunya adalah masalah keamanan dan celah yang telah mereka temukan.

Selain itu, secara default Anda akan memiliki akun "admin" "kata sandi", buat administrator lain seperti nama wanita Anda bersama dengan kata sandi yang baik. Kemudian hapus akun admin itu.

Rencana Tes

Anda selalu dapat meniru situs Anda, yaitu memiliki tiruan. Dengan menggunakan cpanel, Anda dapat mengatur sub domain test.subdomain.com dan menjalankan WordPress yang sama bersama dengan klon basis data.

Secara pribadi jika Anda tidak menggunakan ekstensi utama untuk WordPress maka Anda bisa menjadikan situs offline yaitu Pemeliharaan sedang berlangsung. dan kemudian perbarui sistem, jika terjadi kesalahan maka Anda memiliki cadangan otomatis atau cadangan yang Anda lakukan saat sedang dalam pemeliharaan. dengan cara itu Anda juga aman.

Selalu yang terbaik untuk memperbarui dalam mode pemeliharaan, sementara beberapa pembaruan tidak meminta, beberapa melakukannya. Terbaik untuk membuatnya offline sehingga Anda memiliki snap shop BAIK.

Versi Dengan setiap cadangan harian Anda melakukannya akan memiliki tanggal, di dalam GZ / Zip Anda dapat membaca file konfigurasi dengan nomor versi WordPress.

Sistem Vps Baik Uptime akan memonitornya untuk Anda dan reboot jika diperlukan, karena Anda mengoperasikan server Anda selalu dapat menginstal cron job yang akan mengirimi Anda email jika server turun, tetapi sekali lagi. Server yang bagus tidak pernah benar-benar rusak, pilih perusahaan VPS yang bagus yang beroperasi di cloud dengan catu daya dan perangkat keras yang berlebihan, Rackspace misalnya, atau amazon bekerja di cloud.

Versi Uji Lagi hanya mengkloning situs ke sub domain yang menggunakan kata sandi .htaccess.

Semoga ini bisa membantu, dan jika Anda memiliki pertanyaan tambahan, silakan tanyakan.


1
Ada beberapa saran kuat di sini. Saya akan menambahkannya ke daftar di pertanyaan saya.
Frank Kusters

Saya memang memilih hosting yang beroperasi pada sebuah cluster untuk keandalan. Tetapi kesalahan konfigurasi tidak terdeteksi oleh perangkat lunak uptime mereka - saya harus mengurusnya sendiri.
Frank Kusters

2

Anda pasti ingin tetap sederhana. Tetapi pada akhirnya itu tergantung pada jenis situs yang Anda tuju (akankah orang dapat membeli barang?).

Jika Anda memiliki situs WordPress sederhana, maka Anda ingin membuat cadangan (atau memastikan salinan di server publik bukan satu-satunya salinan; jangan membuat cadangan file statis dari server tetapi DO backup database setiap minggu). Untuk situs yang lebih besar atau jika Anda menyimpan data pengguna apa pun pada basis data, buat cadangan lebih sering.

Untuk situs e-commerce yang lebih besar, mungkin ide yang baik untuk berinvestasi dalam sertifikat SSL untuk mendapatkan kepercayaan pengunjung serta mengenkripsi data (Anda dapat menghasilkan sertifikat yang Anda tandatangani sendiri secara gratis tetapi hanya boleh digunakan dalam pengembangan lingkungan).

Pertimbangkan untuk menyewa VPS atau bahkan server khusus jika Anda khawatir dengan keamanan; ia menawarkan fleksibilitas yang jauh lebih besar tetapi dengan kekuatan datang tanggung jawab (dan juga potensi untuk mengacaukan segalanya). Anda bisa benar-benar suka dan mengatur database yang disinkronkan di server jauh, gunakan rsyncuntuk membuat cadangan data sesuai jadwal, dll. Tetapi sekali lagi, buat itu tetap sederhana.

Untuk lingkungan pengujian, bukan ide yang buruk, dan mungkin hal yang baik jika Anda akan sering mengubah desain dan konten, tetapi Anda ingin memastikan bahwa versi WP dan pengaturannya identik. Sangat penting.

Terakhir, sederhanakan. Kesalahan manusia dalam menghapus / mengacaukan file adalah penyebab utama hilangnya data. Peretas tidak.


Situs web ini terutama berisi portofolio dan formulir pemesanan. Jika turun, itu berarti pelanggan tidak dapat menemukan bisnis istri saya. Ini bukan 'situs e-commerce yang lebih besar' - jika ya, saya tidak akan melakukan ini di waktu luang saya. VPS memberikan lebih banyak kekuatan di tangan saya daripada yang diperlukan - shared hosting baik-baik saja. Keandalan situs diurus oleh web host. Terima kasih atas sarannya.
Frank Kusters

2

Saya sendiri seorang webmaster baru, jadi saya jauh dari ahli. Apa yang dapat saya katakan adalah pengalaman saya sendiri selama beberapa bulan terakhir. Sedikit latar belakang: Saya seorang pria Windows dengan sedikit pengalaman Linux / Apache, mahir dalam PHP / HTML / CSS, dengan pengetahuan dasar yang layak tentang WordPress (WP).

Saya menyiapkan lingkungan pengujian lokal dengan XAMPP dan menghabiskan banyak waktu menginstal / mengkonfigurasi / menghapus WP. Kemudian saya menghabiskan beberapa hari belajar pengembangan plugin WP. Lakukan semuanya secara lokal, buat plugin kecil. Menjalankannya dengan baik, mengunggahnya langsung, kemudian harus menghabiskan banyak waktu untuk mencari tahu mengapa itu tidak berfungsi di situs langsung saya.

Saya tidak ingat penyebab pastinya, tetapi intinya ke host saya memiliki pengaturan / izin / etc yang berbeda, dari server lokal saya. Sementara saya bisa menghabiskan lebih banyak waktu untuk belajar tentang manajemen server secara mendalam dan mencoba mencocokkan lingkungan lokal-ke-hidup saya, saya memutuskan untuk mengambil rute yang lebih mudah. Saya menyiapkan domain tes langsung - sebenarnya beberapa.

Paket hosting saya adalah paket bersama yang tipikal. Sebenarnya, ini adalah yang termurah yang ditawarkan oleh host saya, yang memungkinkan penambahan domain tanpa batas tetapi tidak mengizinkan domain tersebut untuk menunjuk ke mana pun selain root. Jadi saya menemukan cara menggunakan .htaccess untuk secara dinamis mengarahkan ulang domain yang berbeda ke direktori yang berbeda, beberapa hal sederhana yang dapat di-paste. Lalu saya mendapat beberapa subdomain gratis melalui CU.CC. Meskipun saya tidak akan menggunakannya untuk situs yang benar karena itu bukan domain yang benar, yaitu, Anda tidak 'memiliki' mereka, mereka bekerja sangat baik untuk pengujian langsung.

Saya menggunakan satu freebie sebagai tiruan dari situs langsung saya, jadi jika saya ingin menginstal plugin atau tema saya dapat mengujinya secara menyeluruh sebelum mengirimkannya langsung. Karena domain pengujian saya ada di server yang sama, saya tahu persis bagaimana situs langsung saya akan muncul. Saya menggunakan freebie lain sebagai testbed WP umum. Dan satu lagi untuk pengujian webdev umum.

Untuk mengkloning situs saya, saya menggunakan plugin WP gratis yang disebut 'Duplikator'. Ini mencadangkan file dan database situs. Ini juga menangani semua hal backend WP yang diperlukan jika Anda ingin mengembalikan ke domain lain. Ini berfungsi baik untuk WP testbed saya, karena saya hanya perlu menginstal WP sekali, muat dengan konten & pengguna tiruan saya, atur admin saya seperti permalinks, zona waktu, dll. Sekarang saya dapat meretas WP semua yang saya inginkan lalu mengembalikan cadangan di akan, untuk WP dekat-perawan saya belum dikonfigurasi-as-I-want instal.


Saya tidak benar-benar mengalami masalah dengan pengaturan lingkungan pengujian. Sebelum mengirimkan situs secara langsung, semuanya dibangun dan diuji dalam VirtualBox dengan instalasi LAMP. Saya sudah menemukan Duplikator. Saya melihat lebih banyak masalah dengan menjaga lingkungan pengujian dan situs langsung dalam sinkronisasi.
Frank Kusters

Saya tidak tahu cara menyinkronkan. Saya menggunakan Dreamweaver, yang saya percaya memiliki kemampuan tetapi saya belum benar-benar melihatnya. Menggunakan Duplicator, hanya perlu sekitar 3 menit untuk membuat cadangan situs langsung kecil saya - ~ 35MB - dan salin / instal ke pengembang saya. Mungkin 1-2 menit lagi jika saya harus menyiapkan DB baru alih-alih hanya menimpa yang sudah ada. Memang, jumlah waktu yang rendah itu karena saya telah melakukannya berkali-kali saat pengujian dan situs saya kecil. Jelas, jika situs Anda secara signifikan lebih besar, waktu yang diperlukan Duplikator untuk membuat cadangan akan meningkat.
akTed

1

Jika Anda takut situs Anda diretas atau terkena malware, maka saya sarankan untuk menggunakan http://sucuri.net/

Meskipun berbayar, tetapi itu akan menjaga keamanan situs Anda cukup efisien.

Terlepas dari ini, dari pihak Anda mengambil tindakan pencegahan disarankan. Dapatkan cadangan basis data setiap minggu. Tetapkan opsi database cadangan di hosting Anda ON dan Anda akan mendapatkan cadangan database dalam waktu surat Anda dan lagi secara teratur.


Saya tidak terlalu khawatir akan diretas. Jika itu terjadi, kami hanya akan mengembalikan cadangan.
Frank Kusters

@spaceknarf Tetapi jika penyerang telah meretas ISP dan mengeksekusi skrip yang menargetkan WordPress atau jika ada cacat pada plugin / tema Anda akan diretas berulang-ulang. Harus memutar kembali ke kondisi bersih yang diketahui akan melelahkan setelah beberapa saat. Lebih baik melindungi dan mengeraskan secara proaktif.
JCL1178

1

Jawaban lain memiliki banyak saran bagus tetapi anggaplah keahlian yang lebih besar atau lebih kecil dalam pemeliharaan server dan pengetahuan WordPress yang a) mungkin tidak Anda miliki dan b) mungkin tidak memiliki waktu untuk mendedikasikan untuk benar-benar mempelajarinya.

Dengan asumsi Anda sudah membayar untuk hosting dan mempertimbangkan untuk meningkatkan ke VPS saya sangat merekomendasikan untuk pindah ke ISP yang berspesialisasi dalam hosting WordPress dan memberikan perlindungan dan pemulihan malware, pemeriksaan keamanan pada plugin, cadangan, dan peningkatan inti untuk Anda. Dua yang saya gunakan untuk klien sekarang adalah Pagely dan WP Engine . Bonus yang bagus adalah bahwa ISP ini juga dioptimalkan untuk memberikan peningkatan kecepatan yang kadang dibutuhkan WordPress. WP Engine juga dilengkapi dengan lingkungan pementasan untuk pengujian ...

Jika Anda memilih untuk tidak menggunakan hosting yang dikelola, SAYA SANGAT menyarankan Anda berlangganan VaultPress sebagai cadangan utama dan paket keamanan Anda. Tingkat layanan Premium menangani keduanya (layanan reguler hanya cadangan / pemulihan) dan ketenangan pikiran saja sepadan dengan biayanya. VaultPress cukup mahal dan mungkin lebih mahal daripada menggunakan hosting yang dikelola yang disarankan di atas.

Cara ketiga adalah mengumpulkan keamanan dari pengalaman, plugin, dan kemampuan untuk mencari di Google dan mencadangkan / membuat versi dengan cara yang sama. Sekali lagi, ini mengasumsikan tingkat keahlian dengan konfigurasi server dan WordPress yang mungkin tidak Anda miliki saat ini dan memulihkan dari peretasan WordPress dapat menjadi pengalaman yang menyedihkan, lebih jika penyerang mengeksekusi skrip dalam shell.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.