我的妻子开了一家企业,该网站是吸引潜在客户的重要途径。我是软件开发人员,所以“当然”,我负责技术方面的工作。我安排了一个虚拟主机,并上传并配置了WordPress(与一个不错的主题配合,非常适合我们的账单)。我的妻子对HTML和CSS有一定的了解,因此她可以自己定制网站。

现在,我想对这些东西进行专业化处理。如果发生任何愚蠢的事情(不小心弄乱了文件,WordPress更新中的错误,网站被黑客入侵),我们将失去整个网站。

我需要管理什么网站?搜寻此主题时,我仅找到FTP教程,这与我所追求的信息水平不完全相同。我想过:


文件和数据库的备份(我已经有了这些,但是我还没有测试还原是否有效)
用于编辑主题和测试wordpress更新
一个测试计划,其中包含一些要测试的内容,然后再将测试环境上传到实时站点中。
版本-如有任何问题,我们应该可以使用以前的版本。
正常运行时间监控-如果站点出现故障,我将不必再听客户的声音

由bybe建议,主要涉及安全性:


使用VPS。这将使我免受来自其他共享主机帐户的攻击,但是它又打开了另一种蠕虫,因为我必须自己保护服务器的安全。
删除所有不需要可写的文件的写入权限(模板文件。 >删除CMS的默认管理员帐户
进行修改时,将网站置于维护模式。它允许进行一致的备份,并且对访问者更好。

此列表中是否缺少任何内容?

评论

除非您的妻子的生意有针对性,否则似乎您会有些落伍。这个问题类似于“我如何在公共场合保持安全?”在制定应对计划之前,您需要衡量威胁。您可以装上装有AK-47的设备在数据中心外露营,以防盗贼出现以窃取某些服务器,但这太荒谬了。大部分都是这样。

我妻子的业务没有特定的针对性原因,但是任何黑客都对她的网站感兴趣。看看这个。上面的步骤并不难,不花任何钱,但是对于黑客来说却变得困难得多。

请选择一个更好的标题,因为标题太笼统了,如果我没有阅读您的问题,我将投下反对票。

#1 楼

好的问题,安全是您的主要问题,对于希望管理自己的网站的每个人来说都是一样的。 WordPress不是地球上最安全的内容管理系统,但是可以通过良好的托管和对要保护和确保设置的内容的充分了解来使其变得安全。

托管

假设您在OS上具有良好的安全性,最安全的网站托管方法是使用VPS或专用。共享托管的问题在于,即使这些恶意软件进入了监狱,这些恶意软件仍可以从一个帐户传播到另一个帐户,并感染多个站点。例如,GoDaddy上个月遭到了黑客攻击,留下了100,000个带有greyhat反向链接插入内容的网站。 ,您需要的是带有Cpanel的CentOS6的VPS。您将需要为Cpanel支付额外费用,但这将使设置网站和备份数据库,自动进行文件系统以及在备份由于某种原因而完成或失败时每天向您发送电子邮件。
现在,我不知道您在linux本身中有多么强大的技能,但是如果您不擅长Linux,那么VPS通常会带来其他安全问题。这些天我们很幸运,我们拥有Google之类的东西,您几乎可以学到如何轻松保护VPS。 VPS包装盒的基本要求是确保您使用计算机上拥有的SSL密钥,这意味着即使他们知道密码,他们也必须获得该认证才能访问您的系统。此外,要阻止人们猜测密码,您可以随时更改ssh端口。

您可以做很多事情来防止访问Box,而Google可以发挥最好的作用,列出的内容还远远不够。

WordPress

保护Wordpress非常简单,我最强烈的建议是保护/wp-content/themes directory中的模板文件。由于您的妻子将不会编辑模板文件,因此您希望对其进行chmod修改,以使它们无法直接从WordPress写入。您可以设置configuration.php中的一项设置,但请认真使用FTP对其进行更改,或者如果确实使用VPS,请将这些文件的所有权从www-data更改为root。这样就不能从WordPress或服务器上运行的任何其他软件更改它们。大多数基于脚本的注入都会攻击模板的index.php文件并添加恶意软件。此外,还有一些.htaccess重定向攻击,因此一旦您具有所需的设置,便再次将.htaccess文件更改为不可写,或者再次从www-data更改为root。另外,您应该将configuration.php设置为root或chmod,以免访客和外部用户读取它。

不要低估CHMOD的功能,可以使不可写的文件越多越好。尽量避免不必要的WordPress插件。虽然有些很棒,但问问自己您是否需要。您安装的越多,黑客就必须玩的越多,因此,请尽可能避免使用插件,并且不要与它们一起膨胀网站。

WordPress每周更新一次,每月一次,尽快更新。可能-他们之所以拥有如此多的更新是有原因的,其中之一就是他们发现的安全问题和漏洞。

此外,默认情况下,您将拥有一个“ admin”“ password”帐户,另外一个管理员,例如yourwifenames和一个好的密码。然后删除该管理员帐户。

测试计划

您总是可以模仿您的网站,即克隆一个网站。使用cpanel,您可以设置一个子域test.subdomain.com,并使其运行相同的WordPress以及数据库的克隆。

就个人而言,如果您不使用WordPress的主要扩展名,则可以使网站离线,即正在进行维护。然后更新系统,如果出现任何问题,则您将拥有自动备份或维护中进行的备份。无论哪种方式,都是安全的。

最好在维护模式下进行更新,而有些更新不需要,有些则可以。最好使它脱机,这样您就可以拥有一个很好的快照商店。

版本控制
您每天进行一次备份都会有一个日期,可以在GZ / Zip中读取配置文件,带有WordPress的版本号。

正常运行时间
良好的Vps系统会为您监视该文件,并在需要时重新启动,因为您在操作服务器,因此可以随时安装将发送给您的cron作业如果服务器出现故障,则发送一封电子邮件,但再次发送。好的服务器永远不会真正崩溃,选择一家在云上运行并具有冗余电源和硬件的VPS公司,例如Rackspace或在云上运行亚马逊。

测试版本
再次将站点克隆到使用.htaccess密码的子域中。

希望这会有所帮助,如果还有其他问题,请询问。

评论


这里有一些可靠的建议。我将其添加到问题列表中。

–弗兰克·库斯特斯(Frank Kusters)
13年1月5日在22:39

为了确保可靠性,我确实选择了在群集上运行的Web主机。但是它们的正常运行时间软件无法检测到错误的配置-我必须自己照顾。

–弗兰克·库斯特斯(Frank Kusters)
2013年1月5日22:50

#2 楼

您肯定会想保持简单。但这最终取决于您要使用的网站类型(人们可以购买东西吗?)。

如果您有一个简单的WordPress网站,则需要进行备份(或进行备份)。确保公共服务器上的副本不是唯一的副本;不要从服务器上备份静态文件,而要每周备份数据库)。对于较大的站点,或者如果您要将任何用户数据存储在数据库中,请更频繁地备份。

对于较大的电子商务站点,最好投资SSL证书以获得访问者的信任以及对数据的加密(您可以免费生成自己的自签名证书,但只能在开发环境中使用。)

绝对考虑租用VPS或专用服务器,如果您担心安全性;它提供了更大的灵活性,但强大的力量带来了责任感(以及混乱的可能)。您可能会非常喜欢并在远程服务器之间建立同步数据库,使用rsync按计划备份数据,等等。但是,再次简化它。

对于测试环境来说,这不是一个坏主意,如果您经常更改设计和内容,这可能是一件好事,但您需要确保WP版本和设置相同。非常重要。

最后,请保持简单。删除/整理文件中的人为错误是导致数据丢失的主要原因。黑客不是。

评论


该网站主要包含投资组合和订单。如果情况不佳,则意味着客户找不到我妻子的生意。这不是一个“更大的电子商务网站”-如果是的话,我不会在业余时间这样做。 VPS让我掌握了比必要更多的功能-共享托管就可以了。网站的可靠性由网络主机负责。感谢您的建议。

–弗兰克·库斯特斯(Frank Kusters)
13年5月5日在21:59

#3 楼

我本人是新的网站管理员,所以我离专家还很远。不过,我可以告诉您的是我过去几个月的经历。背景知识:我是一个Windows方面的人,几乎没有Linux / Apache经验,精通PHP / HTML / CSS,并且对WordPress(WP)有很好的基础知识。

我设置了本地测试环境使用XAMPP并花费了大量时间安装/配置/删除WP。然后,我花了很多天学习WP插件开发。全部在本地完成,创建了一个小插件。它运行正常,然后将其实时上传,然后不得不花费大量时间试图弄清为什么它无法在我的实时网站上正常运行。

我不记得确切的原因了,但是它归结为与本地服务器具有不同设置/权限/等的主机。尽管本可以花很多时间来深入了解服务器管理并尝试匹配本地到实际环境,但我还是决定走一条简单的路。我设置了一个实时测试域-实际上是多个。

我的托管计划是一个典型的共享计划。实际上,这是我的主机提供的最便宜的主机,它允许无限的域插件,但不允许这些域指向根以外的任何位置。因此,我发现了如何使用.htaccess将不同的域动态重定向到不同的目录,这是一些简单的剪切粘贴功能。然后我通过CU.CC获得了一些免费的子域。虽然我不会将它们用于任何真实的站点,因为它们不是真实的域,也就是说,您没有“拥有”它们,但是它们非常适合实时测试。

我使用一个免费赠品作为我实时网站的克隆,因此,如果我想安装插件或主题,可以在实时发送之前对其进行全面测试。由于我的测试域位于同一台服务器上,因此我确切地知道实时站点的外观。我使用另一个免费赠品作为通用WP测试平台。还有一个用于一般的webdev测试。

为了克隆我的网站,我使用了一个名为“ Duplicator”的免费WP插件。它备份站点的文件和数据库。如果您想还原到另一个域,它还将处理所有必需的WP后端内容。这对我的WP测试平台非常有用,因为我只需要安装WP,将其与虚拟内容和用户一起加载,设置诸如永久链接,时区之类的管理权限。将安装到我的接近原始但尚未配置为我想要的WP安装中。

评论


我在设置测试环境方面并没有真正的问题。在实时发送站点之前,所有内容都在安装了LAMP的VirtualBox中进行了构建和测试。我已经找到了复制器。我预计在保持测试环境与实时站点同步方面会遇到更多麻烦。

–弗兰克·库斯特斯(Frank Kusters)
2013年1月5日在22:31

我不知道任何同步方式。我使用Dreamweaver,我相信它具有此功能,但我尚未真正研究过。使用Duplicator,只需要大约3分钟即可备份我的小型实时站点-〜35MB-并将其复制/安装到我的开发人员中。如果我必须设置一个新的数据库而不是仅仅覆盖一个现有的数据库,可能还要再花1-2分钟。当然,这么短的时间是因为我在测试期间做了无数次并且我的网站很小。显然,如果您的站点很大,则Duplicator备份所需的时间将增加。

–akTed
2013年1月6日4:07



#4 楼

如果您担心自己的网站遭到黑客攻击或受到恶意软件的影响,那么我建议您使用http://sucuri.net/

虽然是付费的,但它会照顾您的网站安全性非常有效。

除此之外,建议您采取预防措施。每周获取数据库备份。将托管中的备份数据库选项设置为“开”,您将定期在邮件中一次又一次获得数据库备份。

评论


我并不担心被黑。如果发生这种情况,我们将仅还原备份。

–弗兰克·库斯特斯(Frank Kusters)
2013年1月5日22:02

@spaceknarf但是,如果攻击者入侵了ISP并正在执行针对WordPress的脚本,或者如果插件/主题中存在缺陷,则您将一遍又一遍地被黑客入侵。一段时间后,必须回滚到已知的干净状态会很累。更好地主动保护和硬化。

– JCL1178
13年1月6日在7:11

#5 楼

其他答案有很多好的建议,但是假设您在服务器维护和WordPress知识上有或多或少的专业知识,这些知识您a)可能没有,b)可能没有时间专门学习。

假设您已经为托管支付了费用,并考虑升级到VPS,我强烈建议您迁移到专门从事WordPress托管并提供恶意软件保护和恢复,插件安全性检查,备份和升级的ISP。您的核心。我现在为客户使用的两个是Pagely和WP Engine。一个不错的好处是,这些ISP也经过了优化,可以提高WordPress有时需要的速度。 WP Engine还带有用于测试的暂存环境。

如果您不想使用托管主机,我强烈建议您订阅VaultPress作为主要备份和安全计划。高级服务级别可同时处理这两种服务(常规服务仅是备份/还原),仅需省心即可。 VaultPress相当昂贵,而且可能比使用上面推荐的托管主机更昂贵。

第三种方法是根据您的经验,插件以及在Google和备份/版本控制方式相同。再次,这假设您可能没有马上具备的服务器配置和WordPress方面的专业知识,并且从WordPress hack中恢复可能是一种惨痛的经历,而且如果攻击者在外壳中执行脚本的话。