Webサイトを専門的に管理するにはどうすればよいですか?

19

私の妻はビジネスを始めました。ウェブサイトは潜在的な顧客にリーチするための重要な方法です。私はソフトウェア開発者なので、「もちろん」技術的なことはやっています。私はウェブホストを配置し、WordPressをアップロードして設定しました(これはまともなテーマとともに、私たちの法案にうまく適合しています)。私の妻はHTMLとCSSについてある程度の知識を持っているため、自分でWebサイトをカスタマイズできます。

今、私はこのようなものを専門化したいです。バカなことが起こった場合(誤ってファイルを台無しにしたり、WordPressの更新のバグ、サイトがハッキングされたり)、サイト全体が失われます。

サイトを管理するには何が必要ですか?このテーマをグーグル検索するとき、私はFTPチュートリアルのみを見つけますが、これは私が求めている情報のレベルではありません。私が考えた:

  • ファイル+データベースのバックアップ(これらは既にありますが、復元が機能するかどうかはテストしていません)
  • テーマを編集し、ワードプレスの更新をテストするためのローカルテスト環境
  • テスト環境をライブサイトにアップロードする前にテストするいくつかの項目を含むテスト計画
  • バージョン管理-何か問題が発生した場合、以前のバージョンに移行できるはずです。
  • 稼働時間の監視-サイトがダウンしても、顧客から聞く必要はありません

bybeにより提案され、主にセキュリティ関連:

  • VPSを使用します。これにより、他の共有ホスティングアカウントへの攻撃から保護されますが、サーバーを自分で安全に保つ必要があるため、別のワームの缶を開きます。
  • 書き込み可能である必要のないすべてのファイル(テンプレートファイル、.htaccess)の書き込み権限を削除します。
  • CMSメーリングリスト(この場合はWordpress)を購読し、新しいリリースが利用可能になり次第更新する
  • CMSプラグインの数を最小限に抑える-独自の脆弱性があります
  • CMSのデフォルトの管理者アカウントを削除します
  • 変更時にWebサイトをメンテナンスモードにします。一貫性のあるバックアップが可能になり、訪問者にとって便利です。

このリストに欠けているものはありますか?

web-development  wordpress  change-management 
フランク・クスターズ
ソース
あなたの妻のビジネスにターゲットを絞る理由がない限り、あなたは少し船外に行くようです。この質問は「公共の場でどのように安全に滞在するのですか?」に似ています。対処する計画を立てる前に、脅威を測定する必要があります。強盗がいくつかのサーバーを盗むために現れた場合、ロードされたAK-47でデータセンターの外でキャンプすることができますが、それはばかげています。これのほとんどもそうです。
私の妻のビジネスには標的となる特定の理由はありませんが、彼女のウェブサイトはどんなハッカーにとっても興味深いものです。ただ、見とるこれを。上記の手順は難しくはなく、費用もかかりませんが、ハッカーにとってははるかに困難です。
フランククスターズ
より良いタイトルを選択してください。これはあまりにも一般的であり、あなたの質問を読んでいないのであれば、私は反対票を投じようとしていました。
オムネ

回答:

11

良い質問です。セキュリティはあなたの主な問題であり、自分のウェブサイトの管理を探しているすべての人に同じです。WordPressは地球上で最も安全なコンテンツ管理システムではありませんが、適切なホスティングと、何を確保し、確保するかについての十分な知識があれば、安全にすることができます。

ホスティング

サイトをホストする最も安全な方法は、VPSを使用するか、OSに適切なセキュリティがあることを想定して専用にすることです。共有ホスティングの問題は、マルウェアが1つのアカウントから別のアカウントに拡散する可能性があることです。これらのハッカーは刑務所にいるにもかかわらず、ハッカーが道を見つけて複数のサイトに感染します。たとえば、GoDaddyは先月ハッキングされ、100,000のWebサイトがgreyhat backlink insertsでハッキングされました。

私が読んだことから、あなたはVPSで行きたいが、バックアップを管理するために何かが重要であるということから、必要なのはCpanelを備えたCentOS6を備えたVPSです。Cpanelに追加料金を支払う必要がありますが、これによりWebサイトのセットアップとデータベースのバックアップ、ファイルシステムの自動化、および何らかの理由でバックアップが完了または失敗した場合の毎日のメール送信が行われます。

現在、Linux内であなたがどれほど強力なスキルを持っているのかはわかりませんが、この部門に強くない場合、VPSは他のセキュリティ問題をもたらすことがよくあります。最近幸運なことにGoogleのようなものがあり、VPSを簡単に保護する方法を学ぶことができます。VPSボックスの基本的なことは、コンピューターにあるSSLキーを使用して、パスワードを知っていても、その証明書なしではシステムにアクセスできないようにすることです。さらに、人々がパスワードを推測するのを防ぐために、sshポートをいつでも変更できます。

Boxへのアクセスを防ぐためにできることはたくさんありますが、Googleはこれを最高に提供しています。

WordPress

Wordpressの保護は非常に簡単です。私の最も強力なアドバイスは、内のテンプレートファイルを保護することです/wp-content/themes directory。あなたの妻はテンプレートファイルを編集しないので、これらをchmodして、WordPressから直接書き込むことができないようにします。内に設定configuration.phpできる設定がありますが、真剣にFTPを使用してそれらをCHMODするか、VPSを使用してこれらのファイルの所有権をからwww-dataに変更しますroot。この方法では、WordPressまたはサーバーで実行されている他のソフトウェアから変更できません。スクリプトベースのほとんどのインジェクションindex.phpは、テンプレートのファイルを攻撃し、マルウェアを追加します。さらに、いくつかの.htaccessリダイレクト攻撃があり.htaccessますので、目的の設定ができたらファイルを書き込み不可に変更するか、www-dataからrootに再度変更します。またconfiguration.php rootまたはchmodに設定して、ゲストや部外者が読み取れないようにする必要があります。

CHMODのパワーを過小評価しないでください。書き込み可能なファイルの数が多いほど良いです。不要なWordPressプラグインを避けるようにしてください。すばらしいものもありますが、必要かどうか自問してください。インストールするほど、ハッカーはより多くのゲームをプレイする必要があるため、プラグインはできる限り避け、サイトを肥大化させないでください。

WordPressは毎週から毎月更新し、できるだけ早く更新します-更新が非常に多く、その1つがセキュリティの問題と発見した抜け穴である理由があります。

さらに、デフォルトでは「admin」「password」アカウントがあり、yourwifenamesなどの別の管理者と適切なパスワードを作成します。次に、その管理者アカウントを削除します。

テスト計画

あなたはいつでもあなたのサイトを模倣することができます、すなわちクローンを持っています。cpanelを使用すると、サブドメインtest.subdomain.comをセットアップし、データベースのクローンとともに同じWordPressを実行させることができます。

個人的に、WordPressの主要な拡張機能を使用していない場合は、サイトをオフライン(メンテナンス中)にすることができます。システムを更新します。何か問題が発生した場合は、自動バックアップまたはメンテナンス中に行ったバックアップがあります。どちらの方法でも安全です。

常にメンテナンスモードで更新するのが最善です。一部の更新は要求しませんが、一部の更新は要求します。オフラインにするのがベストなので、良いスナップショップがあります。

バージョン管理 毎日のバックアップを行うたびに日付があり、GZ / Zip内でWordPressのバージョン番号を使用して構成ファイルを読み取ることができます。

Uptime Good Vpsシステムはそれを監視し、必要に応じて再起動します。サーバーを操作するので、サーバーがダウンした場合に電子メールを送信するcronジョブをいつでもインストールできますが、再度実行できます。優れたサーバーが実際にダウンすることはありません。冗長な電源とハードウェアを備えたクラウド上で動作する優れたVPS会社、たとえばRackspace、またはクラウド上のAmazonの仕事を選びます。

テストバージョン ここでも、.htaccessパスワードを使用するサブドメインにサイトを複製します。

これがお役に立てば幸いです。さらに質問がある場合はお問い合わせください。

サイモン・ヘイター
ソース
1
ここには確かなアドバイスがあります。質問のリストに追加します。
フランククスターズ
信頼性のために、クラスターで動作するウェブホストを選びました。しかし、構成ミスはアップタ​​イムソフトウェアによって検出されません。私は自分でそれを処理する必要があります。
フランククスターズ
2

あなたは間違いなくシンプルにしたいと思うでしょう。しかし、最終的には、どの種類のサイトにアクセスするかによって異なります(人々はものを購入できますか?)。

単純なWordPressサイトがある場合は、バックアップを作成します(または、パブリックサーバー上のコピーだけがコピーであることを確認します。サーバーから静的ファイルをバックアップせず、毎週データベースをバックアップします)。大規模なサイトの場合、またはデータベースにユーザーデータを保存している場合は、より頻繁にバックアップしてください。

大規模な電子商取引サイトの場合、訪問者の信頼を得るためにSSL証明書に投資し、データを暗号化することをお勧めします(無料で独自の自己署名証明書を生成できますが、開発環境)。

セキュリティに懸念がある場合は、VPSまたは専用サーバーのレンタルを検討してください。それははるかに高い柔軟性を提供しますが、力には責任があります(そして物事を台無しにする可能性もあります)。本当に空想を得て、リモートサーバー間で同期されたデータベースをセットアップしたりrsync、スケジュールに従ってデータをバックアップしたりすることができます。

テスト環境の場合、悪い考えではなく、デザインとコンテンツを頻繁に変更するが、おそらくWPのバージョンと設定が同じであることを確認したい場合は良いことです。とても重要です。

最後に、シンプルにしてください。ファイルの削除/混乱における人為的エラーは、データ損失の主な原因です。ハッカーはそうではありません。

ionFish
ソース
Webサイトには、主にポートフォリオと注文フォームが含まれています。それがダウンしている場合、それは顧客が私の妻のビジネスを見つけることができないことを意味します。それは「より大きなeコマースサイト」ではありません。もしあったとしても、暇なときにこれをすることはありません。VPSは必要以上に多くのパワーを手に入れます-共有ホスティングは大丈夫です。サイトの信頼性は、Webホストによって処理されます。アドバイスをありがとう。
フランククスターズ
2

私は新しいウェブマスターなので、専門家とはほど遠いです。しかし、私があなたに伝えることができるのは、過去数ヶ月にわたる私自身の経験です。少しのバックグラウンド:私は、Linux / Apacheの経験がほとんどなく、PHP / HTML / CSSに精通し、WordPress(WP)の十分な基礎知識を持つWindowsの男です。

XAMPPを使用してローカルテスト環境をセットアップし、WPのインストール/構成/削除にかなりの時間を費やしました。その後、WPプラグインの開発を学ぶのに数日費やしました。すべてローカルで行い、小さなプラグインを作成しました。正常に動作するようになったので、ライブでアップロードしてから、ライブサイトで機能しなかった理由を把握するために多くの時間を費やす必要がありました。

正確な原因は覚えていませんが、ローカルサーバーとは異なる設定/権限などを持つホストに要約されます。サーバー管理の詳細について学び、ローカル環境とライブ環境を一致させようとするのにもっと多くの時間を費やすこともできたかもしれませんが、私はより簡単なルートをとることに決めました。実際に複数のライブテストドメインを設定します。

私のホスティングプランは、一般的な共有プランです。実際、これは私のホストが提供する最も安価なものであり、無制限のドメインアドオンを許可しますが、それらのドメインがルート以外を指すことは許可しません。そこで、.htaccessを使用して、さまざまなドメインをさまざまなディレクトリに簡単にリダイレクトする方法を見つけました。その後、CU.CCを介していくつかの無料のサブドメインを取得しました。それらは本当のドメインではないので、私はそれらを真のサイトに使用しませんが、つまり、あなたはそれらを「所有」しませんが、それらはライブテストに最適です。

ライブサイトのクローンとして1つの景品を使用するため、プラグインまたはテーマをインストールする場合は、ライブで送信する前に徹底的にテストできます。私のテストドメインは同じサーバー上にあるため、ライブサイトがどのように表示されるかを正確に知っています。別の景品を一般的なWPテストベッドとして使用します。さらに、一般的なwebdevテスト用です。

サイトのクローンを作成するために、「Duplicator」と呼ばれる無料のWPプラグインを使用します。サイトのファイルとデータベースをバックアップします。また、別のドメインに復元する場合に必要なすべてのWPバックエンドを処理します。これは、WPを一度だけインストールし、ダミーコンテンツとユーザーでロードし、パーマリンク、タイムゾーンなどの管理設定をセットアップするだけでよいため、WPテストベッドに最適です。私のニアバージンでありながら、I-wantとして設定されたWPインストールになります。

確認済み
ソース
テスト環境の設定に問題はありません。サイトをライブで送信する前に、LAMPをインストールしたVirtualBoxですべてを構築してテストしました。Duplicatorを既に見つけました。テスト環境とライブサイトの同期を維持することで、さらに多くの問題が発生すると予測しています。
フランククスターズ
同期する方法がわかりません。私はDreamweaverを使用します。Dreamweaverには能力があると思いますが、実際には検討していません。Duplicatorを使用すると、小さなライブサイト(約35 MB)をバックアップし、それを開発者にコピー/インストールするのに約3分しかかかりません。既存のDBを上書きするのではなく、新しいDBをセットアップする必要がある場合は、さらに1〜2分かかります。確かに、その短い時間は、テスト中に何度も行ったことがあり、サイトが小さいためです。明らかに、サイトが非常に大きい場合、Duplicatorがバックアップに要する時間は長くなります。
1
1

サイトがハッキングされたり、マルウェアの影響を受けるのを恐れている場合は、http: //sucuri.net/を使用することをお勧めします

有料ですが、サイトのセキュリティは非常に効率的に処理されます。

これとは別に、予防策を講じることをお勧めします。毎週データベースのバックアップを取得します。ホスティングでデータベースバックアップのオプションをオンに設定すると、メールのバックアップ時にデータベースのバックアップが定期的に取得されます。

シッド
ソース
ハッキングされることを心配していません。その場合は、バックアップを復元するだけです。
フランククスターズ
@spaceknarfしかし、攻撃者がISPをハッキングしてWordPressをターゲットとするスクリプトを実行している場合、またはプラグイン/テーマに欠陥がある場合、何度もハッキングされます。既知のクリーンな状態にロールバックしなければならないのは、しばらくすると疲れます。積極的に保護および強化する方が良い。
JCL1178
1

他の回答には多くの良いアドバイスがありますが、サーバーメンテナンスに関する多少の専門知識と、a)持っていない、b)実際に学習する時間がないかもしれないというWordPressの知識があると仮定してください。

すでにホスティングにお金を払っていて、VPSへのアップグレードを検討していると仮定すると、WordPressホスティングに特化し、マルウェアの保護と回復、プラグインのセキュリティチェック、バックアップ、およびコアのアップグレードを提供するISPに移行することを強くお勧めします。現在クライアント用に使用している2つは、PagelyWP Engineです。素敵なボーナスは、これらのISPも最適化されており、WordPressが時々必要とする速度向上を提供します。WP Engineには、テスト用のステージング環境も付属しています...

管理ホスティングを使用しない場合は、主なバックアップおよびセキュリティプランとしてVaultPressにサブスクライブすることを強くお勧めします。プレミアムサービスレベルは両方を処理し(通常のサービスはバックアップ/復元のみです)、安心だけでも料金に見合う価値があります。VaultPressは非常に高価であり、上記で推奨されているマネージドホスティングを使用するよりも高価になる場合があります。

3番目の方法は、経験、プラグイン、およびGoogleでの検索とバックアップ/バージョン管理の機能を同じ方法でまとめることです。繰り返しますが、これはサーバー構成とWordPressの専門知識があることを前提としているため、攻撃者がシェルでスクリプトを実行している場合、WordPressハックからの回復は悲惨な経験になる可能性があります。

JCL1178
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.