我如何专业地管理网站?


19

我的妻子开了一家企业,该网站是吸引潜在客户的重要途径。我是软件开发人员,所以“当然”,我负责技术方面的工作。我安排了一个虚拟主机,并上传并配置了WordPress(与一个不错的主题一起很好地符合了我们的要求)。我的妻子了解HTML和CSS,因此可以自己定制网站。

现在,我想使这些东西专业化。如果发生任何愚蠢的事情(不小心弄乱了文件,WordPress更新中的错误,网站被黑客入侵),我们将失去整个网站。

我需要管理什么网站?搜寻此主题时,我只找到FTP教程,这与我所追求的信息水平不完全相同。我发现:

  • 文件+数据库的备份(我已经拥有这些,但是我尚未测试还原是否有效)
  • 用于编辑主题和测试wordpress更新的本地测试环境
  • 测试计划,其中包含一些要测试的内容,然后再将测试环境上载到实时站点
  • 版本控制-如有任何问题,我们应该能够使用以前的版本。
  • 正常运行时间监控-如果网站出现故障,我将不必再听取客户的声音

bybe建议,主要涉及安全性:

  • 使用VPS。这将会保护我从其他共享托管帐户的攻击,但是它开辟了蠕虫的另一个就可以了,因为我要保持服务器的安全自己
  • 删除所有不需要写的文件(模板文件,.htaccess)的写权限
  • 订阅CMS邮件列表(在这种情况下为Wordpress)并在有新版本发布时进行更新
  • 最小化CMS插件的数量-它们具有自己的漏洞
  • 删除CMS的默认管理员帐户
  • 修改时将网站置于维护模式。它允许进行一致的备份,对访问者来说更好。

此列表中缺少任何内容吗?


除非您的妻子的生意有针对性,否则您似乎会有些落伍。这个问题类似于“我如何在公共场合保持安全?” 在制定应对计划之前,您需要衡量威胁。您可以携带一台装有AK-47的AK-47在数据中心外扎营,以防盗贼出现以窃取某些服务器,但这太荒谬了。大多数情况也是如此。

我妻子的业务没有特定的针对性原因,但是任何黑客都对她的网站感兴趣。看看这个。上述步骤不硬,不花任何钱,但使它成为很多黑客更难。
Frank Kusters 2013年

请选择一个更好的标题,这太笼统了,如果我没有阅读您的问题,我将投下反对票。
Omne 2015年

Answers:


11

好的问题,安全是您的主要问题,对于每个希望管理自己的网站的人来说都是一样的。WordPress不是地球上最安全的内容管理系统,但是可以通过良好的托管和对要保护和确保设置的内容的充分了解来使其安全。

代管

假设您在操作系统上具有良好的安全性,则最安全的托管网站的方法是使用VPS或专用。共享托管的问题在于,即使这些恶意软件进入监狱,这些恶意软件仍会四处走动并感染多个站点,但恶意软件仍可以从一个帐户传播到另一个帐户。例如,GoDaddy上个月被黑客入侵,并留下了100,000个带有greyhat反向链接插入内容的网站。

从我读到的内容来看,您想使用VPS,但重要的是,您想要管理备份的东西,您需要的是带有CentOS6和Cpanel的VPS。您将需要为Cpanel支付额外费用,但这将使设置网站和备份数据库,自动进行文件系统以及在备份由于某种原因而完成或失败时每天向您发送电子邮件。

现在我不知道您在linux本身中有多么强大的技能,但是如果您不擅长该部门,那么VPS经常会带来其他安全问题。这些天我们很幸运,我们拥有Google之类的东西,您几乎可以学到如何轻松保护VPS。VPS包装盒的基本要求是确保您使用计算机上拥有的SSL密钥,这意味着即使他们知道密码,也无法在没有该证书的情况下访问系统。此外,要阻止人们猜测密码,您可以随时更改ssh端口。

您可以采取多种措施来阻止对Box的访问,而Google发挥了最好的作用,因此还有很多事情要做。

WordPress的

保护Wordpress非常简单,我最强烈的建议是保护内的模板文件/wp-content/themes directory。由于您的妻子将不会编辑模板文件,因此您希望对其进行chmod修改,因此无法直接从WordPress将其写入。configuration.php您可以设置一个设置,但是认真地可以使用FTP对其进行更改,或者如果确实要使用VPS,则将这些文件的所有权从更改www-dataroot。这样,就无法从WordPress或服务器上运行的任何其他软件更改它们。大多数注入是基于脚本的,会攻击index.php模板文件并添加恶意软件。此外,还有一些.htaccess重定向攻击,因此.htaccess一旦您具有所需的设置,就再次将文件chmod 更改为不可写,或者再次从www-data更改为root。还有configuration.php 您应该将其设置为root或chmod,以便访客和外部人员都无法读取。

不要低估CHMOD的功能,可以使不可写的文件越多越好。尽量避免不必要的WordPress插件。虽然有些很棒,但问问自己您是否需要。您安装的次数越多,黑客就应该玩的越多,因此,请尽可能避免使用插件,也不要与他们一起膨胀网站。

WordPress每周更新一次,每月更新一次,尽快更新-这是为什么它们有这么多更新的原因,其中之一就是发现的安全问题和漏洞。

此外,默认情况下,您将拥有一个“ admin”“ password”帐户,并指定另一个管理员(例如yourwifenames)和一个好的密码。然后删除该管理员帐户。

测试计划

您总是可以模仿您的网站,即拥有一个克隆。使用cpanel,您可以设置一个子域test.subdomain.com,并使其运行相同的WordPress以及数据库的克隆。

就个人而言,如果您不使用WordPress的主要扩展名,则可以使站点离线,即正在进行维护。然后更新系统,如果出现任何问题,则您将拥有自动备份或在维护时执行的备份。这样,无论哪种方式,您的安全。

总是最好在维护模式下进行更新,而有些更新不需要,有些则不需要。最好将其离线,这样您就可以拥有一家不错的速配店。

版本控制 每天进行一次备份时,都会有一个日期,在GZ / Zip内,您可以读取带有WordPress版本号的配置文件。

正常运行时间 良好的Vps系统会为您监视它,并在需要时重新启动,因为您操作服务器,因此您始终可以安装cron作业,如果服务器出现故障,该作业将向您发送电子邮件,但是再次。好的服务器永远不会真正崩溃,选择一家好的VPS公司,该公司在具有冗余电源和硬件的云中运行,例如Rackspace,或者在云上运行亚马逊。

测试版本 再次将站点克隆到使用.htaccess密码的子域中。

希望对您有所帮助,如果还有其他问题,请询问。


1
这里有一些可靠的建议。我将其添加到我的问题列表中。
Frank Kusters 2013年

为了确保可靠性,我确实选择了在群集上运行的Web主机。但是它们的正常运行时间软件无法检测到错误的配置-我必须自己照顾。
Frank Kusters 2013年

2

您肯定会想保持简单。但是最终,这取决于您要使用哪种网站(人们能够购买东西吗?)。

如果您有一个简单的WordPress网站,则需要进行备份(或确保公用服务器上的副本不是唯一的副本;不要从服务器上备份静态文件,而要每周备份数据库)。对于较大的站点,或者如果您要在数据库上存储任何用户数据,请更频繁地备份。

对于大型电子商务网站,投资SSL证书以获得访问者的信任以及对数据进行加密可能是一个好主意(您可以免费生成自己的自签名证书,但只能在自定义证书中使用开发环境)。

如果您出于安全考虑,一定要考虑租用VPS甚至专用服务器。它提供了更大的灵活性,但强大的力量带来了责任感(还可能使事情变得混乱)。您可能真的很喜欢并在远程服务器上建立同步数据库,用于rsync按计划备份数据,等等。但是再次,请保持简单。

对于测试环境来说,这不是一个坏主意,如果您经常更改设计和内容,这可能是一件好事,但您需要确保WP版本和设置相同。很重要。

最后,保持简单。删除/整理文件中的人为错误是导致数据丢失的主要原因。黑客不是。


该网站主要包含投资组合和订单。如果情况不佳,则意味着客户找不到我妻子的生意。这不是一个“更大的电子商务网站”-如果是的话,我不会在业余时间这样做。VPS让我掌握了比必要更多的功能-共享托管就可以了。网站的可靠性由网络主机负责。谢谢你的建议。
Frank Kusters

2

我本人是新网站站长,所以我离专家还很远。不过,我可以告诉您的是我过去几个月的经历。背景知识:我是一个Windows方面的人,几乎没有Linux / Apache经验,精通PHP / HTML / CSS,并且对WordPress(WP)有基本的了解。

我使用XAMPP设置了本地测试环境,并花费了大量时间安装/配置/删除WP。然后,我花了好几天学习WP插件开发。全部在本地完成,创建了一个小插件。使它运行良好,将其实时上传,然后不得不花费大量时间试图弄清为什么它无法在我的实时网站上正常工作。

我不记得确切的原因,但是归结为我的主机与本地服务器具有不同的设置/权限/等。尽管本可以花更多时间来深入了解服务器管理并尝试匹配本地到实际环境,但我还是决定走一条简单的路。我设置了一个实时测试域-实际上是多个。

我的托管计划是一个典型的共享计划。实际上,这是我的主机提供的最便宜的主机,它允许无限的域插件,但不允许这些域指向根以外的任何位置。因此,我发现了如何使用.htaccess将不同的域动态重定向到不同的目录,这是一些简单的剪切粘贴操作。然后,我通过CU.CC获得了一些免费的子域。尽管我不会将它们用于任何真实的站点,因为它们不是真实的域,即您没有“拥有”它们,但它们对于实时测试非常有用。

我使用一个免费赠品作为我的实时站点的克隆,因此,如果我想安装插件或主题,则可以在实时发送之前对其进行全面测试。由于我的测试域位于同一台服务器上,因此我确切地知道实时站点的外观。我使用另一个免费赠品作为通用WP测试平台。还有另一个用于一般的webdev测试。

为了克隆我的网站,我使用了一个名为“ Duplicator”的免费WP插件。它备份站点的文件和数据库。如果您想还原到另一个域,它还将处理所有必需的WP后端内容。这对我的WP测试平台非常有用,因为我只需要安装WP,将其与虚拟内容和用户一起加载,设置永久链接,时区等管理首选项即可。现在,我可以破解所有WP,然后在以下位置恢复备份将安装到我的初次使用但尚未配置为我想要的WP安装中。


我在设置测试环境方面并没有真正的问题。在实时发送站点之前,所有内容均在具有LAMP安装的VirtualBox中构建和测试。我已经找到了复制器。我预计在保持测试环境与实时站点同步方面会遇到更多麻烦。
Frank Kusters

我不知道任何同步方式。我使用Dreamweaver,我相信它具有此功能,但我尚未真正研究过。使用Duplicator,只需要大约3分钟即可备份我的小型实时站点-〜35MB-并将其复制/安装到我的开发人员中。如果我必须设置一个新的DB而不是仅仅覆盖一个现有的DB,可能还要再花1-2分钟。当然,这么短的时间是因为我在测试时做了无数次并且我的网站很小。显然,如果您的站点很大,则Duplicator备份所需的时间将增加。
akTed

1

如果您担心自己的网站遭到黑客攻击或受到恶意软件的影响,那么建议您使用http://sucuri.net/

虽然是付费的,但是它将非常有效地保护您的站点安全。

除此之外,建议您采取预防措施。每周获取数据库备份。设置托管中的备份数据库选项为开,您将定期在邮件中一次又一次获得数据库备份。


我并不担心被黑。如果发生这种情况,我们将仅还原备份。
Frank Kusters 2013年

@spaceknarf但是,如果攻击者入侵了ISP并正在执行针对WordPress的脚本,或者如果插件/主题中存在缺陷,则您将一遍又一遍地被黑客入侵。一段时间后,必须回滚到已知的干净状态会很累。更好地主动保护和硬化。
JCL1178 2013年

1

其他答案有很多好的建议,但是假设您在服务器维护和WordPress知识上有或多或少的专业知识,这些知识您a)可能没有,b)可能没有时间专门学习。

假设您已经为托管支付了费用,并考虑升级到VPS,我强烈建议您迁移到专门从事WordPress托管并提供恶意软件保护和恢复,插件安全性检查,备份以及为您升级核心的ISP。我现在为客户使用的两个是PagelyWP Engine。一个不错的好处是这些ISP也经过了优化,可以提高WordPress有时需要的速度。WP Engine还带有用于测试的过渡环境。

如果您不想使用托管主机,我强烈建议您订阅VaultPress作为主要备份和安全计划。高级服务级别可以处理这两种情况(常规服务仅是备份/还原),仅省心就值得付费。VaultPress非常昂贵,并且可能比使用上面建议的托管托管更昂贵。

第三种方法是通过您的经验,插件以及在Google上进行搜索和备份/版本转换的能力来组合安全性。再次,这假设您可能没有马上具备的服务器配置和WordPress方面的专业知识,并且从WordPress hack中恢复可能是一种惨痛的经历,此外,如果攻击者在外壳中执行脚本。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.