Dobre pytania, bezpieczeństwo jest twoim głównym problemem i jest takie samo dla wszystkich, którzy podejmują się zarządzania własnymi stronami internetowymi. WordPress nie jest najbezpieczniejszym systemem zarządzania treścią na świecie, ale można go zabezpieczyć dzięki dobrym hostingowi i dobrej wiedzy o tym, co należy zabezpieczyć i upewnić się.
Hosting
Najbezpieczniejszym sposobem hostowania Twojej witryny jest VPS lub dedykowane, zakładając, że masz dobre bezpieczeństwo w systemie operacyjnym. Problem z udostępnianiem hostowanym polega na tym, że złośliwe oprogramowanie może przenosić się z jednego konta na drugie, nawet jeśli znajdują się w więzieniach, hakerzy znajdują drogę i infekują wiele witryn. Na przykład GoDaddy został zhakowany w zeszłym miesiącu i spowodował włamanie do 100 000 witryn z szarymi wstawkami linków zwrotnych.
Z tego, co przeczytałem, chcesz korzystać z VPS, ale ważne jest, aby mieć coś do zarządzania kopiami zapasowymi, potrzebujesz VPS z CentOS6 z Cpanel. Będziesz musiał dodatkowo zapłacić za Cpanel, ale spowoduje to utworzenie stron internetowych i utworzenie kopii zapasowej bazy danych, a system plików zostanie zautomatyzowany, a także codzienne wysyłanie e-maili, gdy tworzenie kopii zapasowej zakończy się lub zakończy się niepowodzeniem z tego czy innego powodu.
Teraz nie wiem, jak silne masz umiejętności w samym systemie Linux, ale VPS często może powodować inne problemy z bezpieczeństwem, jeśli nie jesteś silny w tym dziale. Na szczęście w dzisiejszych czasach mamy takie rzeczy jak Google i możesz z łatwością nauczyć się, jak zabezpieczyć swój VPS. Podstawową rzeczą w twoim polu VPS jest upewnienie się, że używasz klucza SSL, który masz na swoim komputerze, co oznacza, że nawet jeśli znają hasło, nie będą mogli uzyskać dostępu do twojego systemu bez tego certyfikatu. Ponadto, aby ludzie nie zgadli hasła, zawsze możesz zmienić port ssh.
Istnieje wiele rzeczy, które możesz zrobić, aby uniemożliwić dostęp do swojego urządzenia, a Google oferuje to najlepiej, jest ich tylko wiele.
WordPress
Zabezpieczanie Wordpress jest dość proste, Moja najsilniejsza rada to zabezpieczyć pliki szablonów w /wp-content/themes directory. Ponieważ twoja żona nie będzie edytować plików szablonów, które chcesz przeskoczyć, aby nie można było ich bezpośrednio zapisać w WordPress. Istnieje ustawienie, configuration.phpktóre możesz ustawić, ale poważnie po prostu CHMOD je za pomocą FTP lub jeśli pójdziesz i użyjesz VPS, zmień własność tych plików z www-datana root. W ten sposób nie można ich zmienić z WordPress lub innego oprogramowania działającego na serwerze. Większość zastrzyków opartych na skryptach atakuje index.phppliki szablonów i dodaje złośliwe oprogramowanie. Ponadto istnieje kilka .htaccessataków przekierowujących, więc ponownie chmod .htaccessplik do niezatartego, gdy masz pożądane ustawienia, lub ponownie zmień z www-data na root. Równieżconfiguration.php powinieneś ustawić root lub chmod, aby nie mogli go czytać goście ani osoby postronne.
Nie doceniaj mocy CHMOD, im więcej plików możesz uczynić niezauważalnymi, tym lepiej. Staraj się unikać niepotrzebnych wtyczek WordPress. Chociaż niektóre są świetne, zadaj sobie pytanie, czy potrzebujesz. Im więcej zainstalowałeś, tym więcej hakerów musi grać, więc unikaj wtyczek tak bardzo, jak to możliwe i nie nadużywaj ich wraz z witryną.
WordPress aktualizuje co tydzień do miesiąca, aktualizuj jak najszybciej - Istnieje powód, dla którego mają tak wiele aktualizacji, a jedną z nich są znalezione problemy z bezpieczeństwem i luki.
Ponadto domyślnie będziesz mieć konto „admin” „hasło”, stwórz innego administratora, takiego jak twojewifenames wraz z dobrym hasłem. Następnie usuń to konto administratora.
Plan testowy
Zawsze możesz naśladować swoją witrynę, tj. Mieć klon. Za pomocą cpanela możesz skonfigurować subdomenę test.subdomain.com i mieć ten sam WordPress wraz z klonem bazy danych.
Osobiście, jeśli nie korzystasz z głównych rozszerzeń WordPress, możesz po prostu przełączyć witrynę w tryb offline, tj. Konserwacja w toku. a następnie zaktualizuj system, jeśli coś pójdzie nie tak, masz automatyczną kopię zapasową lub kopię zapasową wykonaną podczas konserwacji. w ten sposób jesteś bezpieczny w obu kierunkach.
Zawsze najlepiej aktualizować w trybie konserwacji, podczas gdy niektóre aktualizacje nie pytają, niektóre wymagają. Najlepiej zabrać to offline, aby mieć DOBRY sklep z przystawkami.
Wersjonowanie
Przy każdej codziennej kopii zapasowej będzie miała datę, w GZ / Zip będziesz mógł odczytać plik konfiguracyjny z numerami wersji WordPress.
Uptime
Dobre systemy Vps będą monitorować je za Ciebie i w razie potrzeby uruchomią się ponownie, ponieważ obsługując serwer, zawsze możesz zainstalować zadanie cron, które wyśle Ci wiadomość e-mail, jeśli serwer ulegnie awarii, ale ponownie. Dobry serwer nigdy się nie psuje, wybierz dobrą firmę VPS, która działa w chmurze z nadmiarowymi zasilaczami i sprzętem, na przykład w Rackspace lub w Amazon na chmurze.
Wersja testowa
Ponownie po prostu sklonuj witrynę do subdomeny, która używa hasła .htaccess.
Mam nadzieję, że to pomoże, a jeśli masz dodatkowe pytania, zadaj je.