Làm thế nào để tôi quản lý một trang web chuyên nghiệp?


19

Vợ tôi đã bắt đầu kinh doanh và trang web là một cách quan trọng để tiếp cận khách hàng tiềm năng. Tôi là một nhà phát triển phần mềm, vì vậy 'dĩ nhiên' tôi đang quan tâm đến các công cụ kỹ thuật. Tôi đã sắp xếp một webhost và tải lên và định cấu hình WordPress (cùng với một chủ đề hợp lý, phù hợp với hóa đơn của chúng tôi). Vợ tôi có một số kiến ​​thức về HTML và CSS, vì vậy cô ấy có thể tự tùy chỉnh trang web.

Bây giờ, tôi muốn chuyên nghiệp hóa công cụ này. Nếu bất cứ điều gì ngu ngốc xảy ra (vô tình làm hỏng một tập tin, lỗi trong bản cập nhật WordPress, trang web bị hack), chúng tôi sẽ mất toàn bộ trang web.

Tôi cần gì để quản lý trang web? Khi tìm hiểu về chủ đề này, tôi chỉ tìm thấy các hướng dẫn về FTP, đây không phải là cấp độ thông tin mà tôi đang theo đuổi. Tôi đã tìm ra:

  • sao lưu tập tin + cơ sở dữ liệu (Tôi đã có những thứ này, nhưng tôi chưa kiểm tra xem khôi phục có hoạt động không)
  • một môi trường thử nghiệm cục bộ để chỉnh sửa chủ đề và thử nghiệm cập nhật wordpress
  • một kế hoạch kiểm tra, chứa một số điều cần kiểm tra trước khi tải môi trường kiểm tra lên trang web trực tiếp
  • phiên bản - nếu bất cứ điều gì sai, chúng ta sẽ có thể đi đến một phiên bản trước.
  • giám sát thời gian hoạt động - nếu trang web bị sập, tôi sẽ không phải nghe nó từ khách hàng

Được đề xuất bởi bybe , chủ yếu liên quan đến bảo mật:

  • sử dụng VPS Điều này sẽ bảo vệ tôi khỏi các cuộc tấn công trên tài khoản lưu trữ được chia sẻ khác, tuy nhiên nó mở ra một thể của sâu, bởi vì tôi có trách nhiệm giữ an toàn máy chủ bản thân mình .
  • xóa quyền ghi trên tất cả các tệp không cần phải ghi (tệp mẫu, .htaccess)
  • đăng ký danh sách gửi thư CMS (Wordpress trong trường hợp này) và cập nhật ngay khi có bản phát hành mới
  • giảm thiểu số lượng plugin CMS - chúng có lỗ hổng riêng
  • xóa tài khoản quản trị mặc định của CMS
  • Đặt trang web trong chế độ bảo trì khi sửa đổi. Nó cho phép sao lưu nhất quán và đẹp hơn cho khách truy cập.

Có điều gì còn thiếu trong danh sách này?


Trừ khi việc kinh doanh của vợ bạn có lý do để được nhắm mục tiêu, có vẻ như bạn đang hơi quá nhiệt tình. Câu hỏi này giống như "làm thế nào để tôi an toàn ở nơi công cộng?" Bạn cần phải đo lường mối đe dọa trước khi bạn lập một kế hoạch để đối phó với nó. Bạn có thể cắm trại bên ngoài trung tâm dữ liệu với một khẩu AK-47 được nạp trong trường hợp một tên trộm xuất hiện để đánh cắp một số máy chủ nhưng điều đó thật vô lý. Vì vậy, hầu hết điều này.

Việc kinh doanh của vợ tôi không có lý do cụ thể để nhắm mục tiêu, nhưng trang web của cô ấy là mối quan tâm của bất kỳ hacker nào. Chỉ cần nhìn vào điều này . Các bước trên không khó và không tốn bất kỳ khoản tiền nào, nhưng làm cho nó khó hơn rất nhiều cho tin tặc.
Frank Kuster

Vui lòng chọn một tiêu đề tốt hơn, điều này quá chung chung và tôi sắp bỏ phiếu nếu tôi không đọc câu hỏi của bạn.
Omne

Câu trả lời:


11

Câu hỏi hay, bảo mật là vấn đề chính của bạn và cũng giống như vậy đối với tất cả những người đảm nhận việc quản lý trang web của riêng họ. WordPress không phải là hệ thống quản lý nội dung an toàn nhất trên hành tinh, tuy nhiên, nó có thể được bảo mật với lưu trữ tốt và kiến ​​thức tốt về những gì cần bảo mật và đảm bảo được đặt.

Lưu trữ

Cách an toàn nhất để lưu trữ trang web của bạn là trong VPS hoặc dành riêng cho rằng bạn có bảo mật tốt trên HĐH. Vấn đề với lưu trữ được chia sẻ là phần mềm độc hại có thể lây lan từ tài khoản này sang tài khoản khác, mặc dù chúng đang ở trong tù, những tin tặc này tìm đường và lây nhiễm nhiều trang web. Ví dụ, GoDaddy đã bị hack vào tháng trước và khiến 100.000 trang web bị tấn công với các chèn backlink màu xám.

Từ những gì tôi đã đọc bạn muốn sử dụng VPS nhưng điều quan trọng là bạn muốn có thứ gì đó để quản lý các bản sao lưu của mình, thứ bạn cần là một VPS có CentOS6 với Cpanel. Bạn sẽ cần trả thêm tiền cho Cpanel nhưng điều này sẽ giúp thiết lập trang web và sao lưu cơ sở dữ liệu và hệ thống tệp tự động cũng như gửi email cho bạn hàng ngày khi sao lưu xong hoặc thất bại vì lý do này hay lý do khác.

Bây giờ tôi không biết bạn có những kỹ năng mạnh mẽ như thế nào trong chính linux nhưng VPS thường có thể mang đến những vấn đề bảo mật khác nếu bạn không mạnh trong bộ phận này. May mắn là những ngày này chúng ta có những thứ như Google và bạn có thể học được cách bảo mật VPS một cách dễ dàng. Điều cơ bản về hộp VPS của bạn là đảm bảo rằng việc bạn sử dụng Khóa SSL mà bạn có trên máy tính có nghĩa là ngay cả khi họ biết mật khẩu, họ không thể truy cập hệ thống của bạn mà không có chứng nhận đó. Hơn nữa, để ngăn mọi người đoán mật khẩu, bạn luôn có thể thay đổi cổng ssh.

Có rất nhiều điều bạn có thể làm để ngăn chặn quyền truy cập vào Hộp của mình và Google phục vụ tốt nhất điều này, có rất nhiều thứ để liệt kê.

WordPress

Bảo mật Wordpress khá dễ dàng, Lời khuyên mạnh mẽ nhất của tôi là bảo mật các tệp mẫu trong /wp-content/themes directory. Vì vợ của bạn sẽ không chỉnh sửa các tệp mẫu mà bạn muốn chỉnh sửa chúng để chúng không thể được ghi trực tiếp từ WordPress. Có một cài đặt trong configuration.phpbạn có thể đặt nhưng nghiêm túc chỉ CHMOD chúng bằng FTP hoặc nếu bạn đi và sử dụng VPS, hãy thay đổi quyền sở hữu các tệp này từ www-datasang root. Bằng cách này, chúng không thể được thay đổi từ WordPress hoặc bất kỳ phần mềm nào khác đang chạy trên máy chủ. Hầu hết các mũi tiêm, tập lệnh dựa trên sẽ tấn công các index.phptệp của mẫu và thêm phần mềm độc hại. Hơn nữa, có một vài .htaccesscuộc tấn công chuyển hướng, do đó, một lần nữa hãy chỉnh sửa .htaccesstệp thành không thể ghi được một khi bạn có các cài đặt mong muốn hoặc một lần nữa thay đổi từ dữ liệu www sang root. Ngoài raconfiguration.php bạn nên đặt thành root hoặc chmod để khách và người ngoài không thể đọc được.

Đừng ước tính sức mạnh của CHMOD, càng nhiều tệp bạn có thể làm cho không thể đọc được càng tốt. Cố gắng tránh các plugin WordPress không cần thiết. Trong khi một số là tuyệt vời, hãy tự hỏi bạn có cần. Bạn càng cài đặt thì tin tặc của bạn càng phải chơi nhiều hơn, vì vậy hãy tránh các plugin càng nhiều càng tốt và đừng làm hỏng trang web với chúng.

WordPress cập nhật hàng tuần đến hàng tháng, cập nhật càng sớm càng tốt - Có một lý do tại sao họ có quá nhiều cập nhật và một trong số đó là các vấn đề bảo mật và sơ hở mà họ đã tìm thấy.

Hơn nữa, theo mặc định, bạn sẽ có một tài khoản "mật khẩu" "quản trị viên", hãy tạo một quản trị viên khác như yourwifenames cùng với một mật khẩu tốt. Sau đó xóa tài khoản quản trị viên đó.

Kế hoạch kiểm tra

Bạn luôn có thể bắt chước trang web của bạn, tức là có một bản sao. Sử dụng cpanel, bạn có thể thiết lập tên miền phụ test.subdomain.com và chạy cùng WordPress với bản sao của cơ sở dữ liệu.

Cá nhân nếu bạn không sử dụng các tiện ích mở rộng chính cho WordPress thì bạn chỉ có thể đưa trang web ngoại tuyến tức là Bảo trì đang diễn ra. và sau đó cập nhật hệ thống, nếu có lỗi xảy ra thì bạn có bản sao lưu tự động hoặc bản sao lưu bạn đã làm trong khi bảo trì. cách đó an toàn cho bạn

Luôn luôn tốt nhất để cập nhật trong chế độ bảo trì, trong khi một số cập nhật không yêu cầu, một số thì không. Tốt nhất nên mang nó ngoại tuyến để bạn có một cửa hàng snap TỐT.

Phiên bản Với mỗi bản sao lưu hàng ngày bạn thực hiện sẽ có một ngày, bên trong GZ / Zip bạn có thể đọc tệp cấu hình với số phiên bản của WordPress.

Hệ thống Vps thời gian hoạt động tốt sẽ giám sát nó cho bạn và khởi động lại nếu cần, vì bạn vận hành máy chủ, bạn luôn có thể cài đặt một công việc định kỳ sẽ gửi email cho bạn nếu máy chủ ngừng hoạt động, nhưng một lần nữa. Một máy chủ tốt không bao giờ ngừng hoạt động, hãy chọn một công ty VPS hoạt động tốt trên nền tảng đám mây với nguồn cung cấp năng lượng và phần cứng dự phòng, ví dụ như Rackspace hoặc amazon hoạt động trên đám mây.

Phiên bản thử nghiệm Một lần nữa chỉ cần sao chép trang web vào một tên miền phụ sử dụng mật khẩu .htaccess.

Hy vọng điều này sẽ giúp, và nếu bạn có bất kỳ câu hỏi nào xin vui lòng hỏi.


1
Có một số lời khuyên vững chắc ở đây. Tôi sẽ thêm nó vào danh sách trong câu hỏi của tôi.
Frank Kuster

Tôi đã chọn một webhost hoạt động trên một cụm cho độ tin cậy. Nhưng các cấu hình sai không được phát hiện bởi phần mềm thời gian hoạt động của chúng - tôi sẽ phải tự chăm sóc nó.
Frank Kuster

2

Bạn chắc chắn sẽ muốn giữ cho nó đơn giản. Nhưng cuối cùng nó phụ thuộc vào loại trang web bạn sẽ truy cập (mọi người sẽ có thể mua công cụ chứ?).

Nếu bạn có một trang web WordPress đơn giản, thì bạn sẽ muốn tạo bản sao lưu (hoặc đảm bảo rằng bản sao trên máy chủ công cộng không phải là bản sao duy nhất; không sao lưu các tệp tĩnh từ máy chủ mà hãy sao lưu cơ sở dữ liệu mỗi tuần). Đối với các trang web lớn hơn hoặc nếu bạn đang lưu trữ bất kỳ dữ liệu người dùng nào trên cơ sở dữ liệu, hãy sao lưu thường xuyên hơn.

Đối với các trang web thương mại điện tử lớn hơn, có thể nên đầu tư vào chứng chỉ SSL để có được sự tin tưởng của khách truy cập cũng như mã hóa dữ liệu (bạn có thể tạo chứng chỉ tự ký miễn phí nhưng chỉ nên sử dụng trong một môi trương phat triển).

Chắc chắn xem xét việc thuê một VPS hoặc thậm chí một máy chủ chuyên dụng nếu bạn quan tâm đến bảo mật; nó mang lại sự linh hoạt cao hơn nhiều nhưng với sức mạnh đi kèm với trách nhiệm (và cũng có khả năng làm mọi thứ rối tung lên). Bạn có thể thực sự ưa thích và thiết lập cơ sở dữ liệu được đồng bộ hóa trên các máy chủ từ xa, sử dụng rsyncđể sao lưu dữ liệu theo lịch, v.v. Nhưng một lần nữa, hãy giữ cho nó đơn giản.

Đối với môi trường thử nghiệm, ý tưởng không tồi và có lẽ là một điều tốt nếu bạn thường xuyên thay đổi thiết kế và nội dung, nhưng bạn muốn chắc chắn rằng các phiên bản và cài đặt WP giống hệt nhau. Rất quan trọng.

Cuối cùng, giữ cho nó đơn giản. Lỗi của con người trong việc xóa / làm rối các tập tin là nguyên nhân hàng đầu gây mất dữ liệu. Tin tặc thì không.


Trang web này chủ yếu chứa một danh mục đầu tư và một hình thức đặt hàng. Nếu nó xuống, điều đó có nghĩa là khách hàng không thể tìm thấy việc kinh doanh của vợ tôi. Đây không phải là một 'trang web thương mại điện tử lớn hơn' - nếu có, tôi sẽ không làm việc này trong thời gian rảnh rỗi. VPS đặt sức mạnh trong tay tôi nhiều hơn mức cần thiết - lưu trữ chia sẻ là tốt. Độ tin cậy của trang web được chăm sóc bởi máy chủ web. Cảm ơn vì lời khuyên.
Frank Kuster

2

Bản thân tôi là một quản trị trang web mới, vì vậy tôi không phải là một chuyên gia. Tuy nhiên, những gì tôi có thể nói với bạn là những trải nghiệm của riêng tôi trong vài tháng qua. Một nền tảng nhỏ: Tôi là một anh chàng Windows có ít kinh nghiệm về Linux / Apache, thành thạo PHP / HTML / CSS, với kiến ​​thức cơ bản về WordPress (WP).

Tôi thiết lập môi trường thử nghiệm cục bộ với XAMPP và dành nhiều thời gian để cài đặt / định cấu hình / xóa WP. Sau đó, tôi đã dành một vài ngày tốt để học phát triển plugin WP. Đã làm tất cả tại địa phương, tạo ra một plugin nhỏ. Nó chạy tốt, tải lên trực tiếp, sau đó phải mất rất nhiều thời gian để cố gắng tìm ra lý do tại sao nó không hoạt động trên trang web trực tiếp của tôi.

Tôi không nhớ nguyên nhân chính xác, nhưng nó làm cho máy chủ của tôi có các cài đặt / quyền / khác nhau, v.v., so với máy chủ cục bộ của tôi. Trong khi tôi có thể dành nhiều thời gian hơn để tìm hiểu sâu về quản lý máy chủ và cố gắng phù hợp với môi trường sống tại địa phương của mình, tôi đã quyết định đi một con đường dễ dàng hơn. Tôi thiết lập một miền thử nghiệm trực tiếp - thực sự nhiều.

Kế hoạch lưu trữ của tôi là một kế hoạch chia sẻ điển hình. Trên thực tế, đây là dịch vụ rẻ nhất mà máy chủ của tôi cung cấp, cho phép bổ sung tên miền không giới hạn nhưng không cho phép các tên miền đó trỏ đến bất cứ nơi nào ngoài gốc. Vì vậy, tôi đã tìm ra cách sử dụng .htaccess để tự động chuyển hướng các tên miền khác nhau sang các thư mục khác nhau, một số công cụ cắt-dán đơn giản. Sau đó, tôi đã nhận được một số tên miền phụ miễn phí thông qua CU.CC. Mặc dù tôi sẽ không sử dụng chúng cho bất kỳ trang web thực sự nào vì chúng không phải là tên miền thực, tức là bạn không 'sở hữu' chúng, chúng hoạt động rất tốt để thử nghiệm trực tiếp.

Tôi sử dụng một phần mềm miễn phí như một bản sao của trang web trực tiếp của mình, vì vậy nếu tôi muốn cài đặt một plugin hoặc chủ đề, tôi có thể kiểm tra kỹ lưỡng trước khi gửi trực tiếp. Vì miền thử nghiệm của tôi nằm trên cùng một máy chủ, tôi biết chính xác trang web trực tiếp của mình sẽ xuất hiện như thế nào. Tôi sử dụng một freebie khác như một thử nghiệm WP chung. Và một cái khác cho thử nghiệm webdev chung.

Để sao chép trang web của tôi, tôi sử dụng plugin WP miễn phí có tên 'Sao chép'. Nó sao lưu các tập tin và cơ sở dữ liệu của một trang web. Nó cũng xử lý tất cả các công cụ phụ trợ WP cần thiết nếu bạn muốn khôi phục lại tên miền khác. Điều này hoạt động rất tốt cho thử nghiệm WP của tôi, vì tôi chỉ phải cài đặt WP một lần, tải nó với nội dung giả và người dùng, thiết lập các bảng quản trị của tôi như permalinks, múi giờ, v.v. Bây giờ tôi có thể hack WP tất cả những gì tôi muốn sau đó khôi phục lại bản sao lưu tại sẽ, để cài đặt WP gần như chưa được cấu hình như tôi muốn.


Tôi không thực sự có vấn đề với việc thiết lập môi trường thử nghiệm. Trước khi gửi trang web trực tiếp, mọi thứ đã được xây dựng và thử nghiệm trong VirtualBox với cài đặt LAMP. Tôi đã tìm thấy Sao chép. Tôi thấy trước nhiều rắc rối hơn với việc giữ cho môi trường thử nghiệm và trang web trực tiếp đồng bộ.
Frank Kuster

Tôi không biết cách nào để đồng bộ hóa. Tôi sử dụng Dreamweaver, thứ mà tôi tin là có khả năng nhưng tôi chưa thực sự nhìn vào nó. Sử dụng Công cụ sao chép, tôi chỉ mất khoảng 3 phút để sao lưu trang web trực tiếp nhỏ của mình - ~ 35MB - và sao chép / cài đặt nó vào nhà phát triển của tôi. Có thể thêm 1-2 phút nữa nếu tôi phải thiết lập một DB mới thay vì chỉ ghi đè lên một DB hiện có. Cấp, số lượng thời gian thấp là vì tôi đã thực hiện nó vô số lần trong khi thử nghiệm và trang web của tôi nhỏ. Rõ ràng, nếu trang web của bạn lớn hơn đáng kể, thời gian Sao chép mất để sao lưu sẽ tăng lên.
akTed

1

Nếu bạn sợ trang web của mình bị hack hoặc bị ảnh hưởng bởi phần mềm độc hại, thì tôi khuyên bạn nên sử dụng http://sucuri.net/

Mặc dù là một trả phí, nhưng nó sẽ chăm sóc an ninh trang web của bạn khá hiệu quả.

Ngoài ra, từ phía bạn có biện pháp phòng ngừa là khuyến khích. Nhận sao lưu cơ sở dữ liệu mỗi tuần. Đặt tùy chọn cơ sở dữ liệu sao lưu trong máy chủ lưu trữ của bạn BẬT và bạn sẽ nhận được bản sao lưu cơ sở dữ liệu trong thời gian thư của bạn một lần nữa.


Tôi không thực sự lo lắng về việc bị hack. Nếu nó xảy ra, chúng tôi sẽ khôi phục lại một bản sao lưu.
Frank Kuster

@spaceknarf Nhưng nếu những kẻ tấn công đã hack ISP và đang thực thi các tập lệnh nhắm mục tiêu WordPress hoặc nếu có một lỗ hổng trong plugin / theme, bạn sẽ bị hack nhiều lần. Phải quay trở lại trạng thái sạch đã biết sẽ mệt mỏi sau một thời gian. Tốt hơn để chủ động bảo vệ và làm cứng.
JCL1178

1

Các câu trả lời khác có rất nhiều lời khuyên tốt nhưng giả sử một số chuyên môn lớn hơn hoặc ít hơn về bảo trì máy chủ và kiến ​​thức WordPress mà bạn a) có thể không có và b) có thể không có thời gian để thực sự học nó.

Giả sử bạn đã trả tiền cho việc lưu trữ và xem xét nâng cấp lên VPS, tôi thực sự khuyên bạn nên chuyển sang một ISP chuyên về lưu trữ WordPress và cung cấp bảo vệ và khôi phục phần mềm độc hại, kiểm tra bảo mật trên các plugin, sao lưu và nâng cấp lõi cho bạn. Hai cái mà tôi sử dụng cho khách hàng bây giờ là PagelyWP Engine . Một phần thưởng tuyệt vời là các ISP này cũng được tối ưu hóa để tăng tốc độ mà đôi khi WordPress cần. WP Engine cũng đi kèm với môi trường dàn dựng để thử nghiệm ...

Nếu bạn không muốn sử dụng lưu trữ được quản lý, tôi thực sự khuyên bạn nên đăng ký VaultPress làm gói sao lưu và bảo mật chính của mình. Cấp độ dịch vụ Premium xử lý cả hai (dịch vụ thông thường chỉ là sao lưu / khôi phục) và sự an tâm là đáng giá. VaultPress có giá khá cao và có thể đắt hơn so với việc sử dụng dịch vụ lưu trữ được quản lý được đề xuất ở trên.

Cách thứ ba là kết hợp bảo mật với kinh nghiệm, plugin và khả năng tìm kiếm trên Google của bạn và sao lưu / phiên bản theo cùng một cách. Một lần nữa, điều này giả định một mức độ chuyên môn với cấu hình máy chủ và WordPress mà bạn có thể không có ngay lập tức và việc khôi phục từ một vụ hack WordPress có thể là một trải nghiệm tồi tệ, moreso nếu kẻ tấn công đang thực thi các tập lệnh trong trình bao.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.