Como gerencio profissionalmente um site?

19

Minha esposa iniciou um negócio e o site é uma maneira importante de alcançar clientes em potencial. Sou desenvolvedor de software, então, é claro, estou cuidando das coisas técnicas. Organizei um webhost e carreguei e configurei o WordPress (que, juntamente com um tema decente, se encaixa perfeitamente na nossa conta). Minha esposa tem algum conhecimento de HTML e CSS, para que ela mesma possa personalizar o site.

Agora, eu quero profissionalizar essas coisas. Se algo estúpido acontecer (acidentalmente atrapalhe um arquivo, bug na atualização do WordPress, o site é hackeado), perderemos o site inteiro.

O que eu preciso para gerenciar o site? Ao pesquisar este assunto no Google, encontro apenas tutoriais de FTP, que não são exatamente o nível de informações que busco. Eu imaginei:

  • backup de arquivos + banco de dados (eu já os tenho, mas não testei se a restauração funciona)
  • um ambiente de teste local para editar o tema e testar atualizações do wordpress
  • um plano de teste, contendo algumas coisas para testar antes de fazer upload do ambiente de teste no site ativo
  • versionamento - se algo der errado, poderemos ir para uma versão anterior.
  • monitoramento de tempo de atividade - se o site for desativado, não precisarei ouvi-lo dos clientes

Sugerido por bybe , principalmente relacionado à segurança:

  • use um VPS. Isso vai me proteger de ataques a outras contas de hospedagem compartilhada, no entanto, abre uma outra lata de vermes, porque eu tenho que manter o seguro servidor mim .
  • remova permissões de gravação em todos os arquivos que não precisam ser graváveis ​​(arquivos de modelo, .htaccess)
  • assine a lista de discussão do CMS (neste caso, Wordpress) e atualize assim que novos lançamentos estiverem disponíveis
  • minimizar o número de plug-ins do CMS - eles têm suas próprias vulnerabilidades
  • remova a conta de administrador padrão do CMS
  • coloque o site no modo de manutenção ao modificar. Ele permite um backup consistente e é mais agradável para os visitantes.

Falta alguma coisa nessa lista?

web-development  wordpress  change-management 
Frank Kusters
fonte
A menos que o negócio de sua esposa tenha um motivo para ser direcionado, parece que você está exagerando. Esta pergunta é semelhante a "como me manter seguro em público?" Você precisa medir a ameaça antes de fazer um plano para lidar com ela. Você pode acampar do lado de fora do data center com um AK-47 carregado, caso um ladrão apareça para roubar alguns servidores, mas isso seria ridículo. Assim seria a maior parte disso.
Os negócios da minha esposa não têm um motivo específico para serem segmentados, mas o site dela é do interesse de qualquer hacker. Basta dar uma olhada nisso . As etapas acima não são difíceis e não custam dinheiro, mas tornam muito mais difícil para hackers.
Frank Kusters
Por favor, escolha um título melhor, isso é muito geral e eu estava prestes a votar se não tivesse lido sua pergunta.
Omne

Respostas:

11

Boas perguntas, a segurança é o seu principal problema e é o mesmo para todos que se comprometem a gerenciar seus próprios sites. O WordPress não é o sistema de gerenciamento de conteúdo mais seguro do planeta; no entanto, ele pode ser protegido com uma boa hospedagem e um bom conhecimento do que proteger e garantir.

Hospedagem

A maneira mais segura de hospedar seu site é em um VPS ou dedicado, supondo que você tenha boa segurança no sistema operacional. O problema da hospedagem compartilhada é que o malware pode se espalhar de uma conta para outra, mesmo estando presos, esses hackers descobrem o caminho e infectam vários sites. O GoDaddy, por exemplo, foi hackeado no mês passado e deixou centenas de sites hackeados com inserções de backlink cinza.

Pelo que li, você quer usar um VPS, mas é importante que você queira algo para gerenciar seus backups, o que você precisa é de um VPS com o CentOS6 e o ​​Cpanel. Você precisará pagar mais pelo Cpanel, mas isso tornará a criação de sites e o backup do banco de dados e o sistema de arquivos automatizados, além de enviar e-mails diariamente quando o backup for concluído ou falhar por um motivo ou outro.

Agora eu não sei o quão forte você possui no linux, mas o VPS muitas vezes pode trazer outros problemas de segurança se você não for forte neste departamento. Hoje em dia, temos coisas como o Google e você pode aprender muito bem como proteger seu VPS com facilidade. O básico da sua caixa VPS é garantir que você esteja usando uma chave SSL que você possui no seu computador, o que significa que, mesmo que eles conheçam a senha, não poderão acessar o sistema sem essa certificação. Além disso, para impedir que as pessoas adivinhem a senha, você sempre pode alterar a porta ssh.

Há muitas coisas que você pode fazer para impedir o acesso à sua Caixa e o Google é o que melhor serve; há apenas muitas para listar.

WordPress

Protegendo o Wordpress é bastante simples, meu conselho mais forte é proteger os arquivos de modelo dentro do /wp-content/themes directory. Como sua esposa não estará editando os arquivos de modelo que você deseja modificá-los, eles não poderão ser gravados diretamente no WordPress. Existe uma configuração dentro do que configuration.phpvocê pode definir, mas seriamente apenas CHMOD usando FTP ou, se você usar um VPS, altere a propriedade desses arquivos de www-datapara root. Dessa forma, eles não podem ser alterados do WordPress ou de qualquer outro software em execução no servidor. Na maioria das injeções, os scripts baseados atacam os index.phparquivos dos modelos e adicionam o malware. Além disso, existem alguns .htaccessataques de redirecionamento; portanto, novamente modifique o .htaccessarquivo para que não seja gravável depois que você tiver as configurações desejadas ou mude novamente de www-data para root. Também oconfiguration.php você deve definir como root ou chmod para que não possa ser lido por convidados e pessoas de fora.

Não subestime o poder do CHMOD, quanto mais arquivos você puder tornar gravável, melhor. Tente evitar plugins desnecessários do WordPress. Enquanto alguns são ótimos, pergunte a si mesmo que você precisa. Quanto mais você instala, mais seus hackers precisam jogar, para evitar plugins o máximo possível e não inchar o site com eles.

O WordPress é atualizado semanalmente ou mensalmente, o mais rápido possível - Há uma razão pela qual eles têm tantas atualizações e uma delas são os problemas de segurança e brechas que encontraram.

Além disso, por padrão, você terá uma conta "admin" "password", faça outro administrador, como o seu nome de usuário, juntamente com uma boa senha. Em seguida, exclua essa conta de administrador.

Plano de teste

Você sempre pode imitar seu site, ou seja, ter um clone. Usando o cpanel, você pode configurar um subdomínio test.subdomain.com e executar o mesmo WordPress juntamente com um clone do banco de dados.

Pessoalmente, se você não estiver usando as principais extensões do WordPress, poderá colocar o site offline, ou seja, Manutenção em andamento. e atualize o sistema, se algo der errado, você terá o backup automatizado ou um backup que você fez enquanto estava em manutenção. Dessa forma, você está seguro de qualquer maneira.

Sempre é melhor atualizar no modo de manutenção, enquanto algumas atualizações não pedem, outras pedem. É melhor colocá-lo offline para que você tenha uma BOA loja de encaixes.

Controle de versão A cada backup diário que você fizer, ele terá uma data, dentro do GZ / Zip, você poderá ler o arquivo de configuração com os números de versão do WordPress.

Os sistemas Uptime Good Vps o monitorarão e reiniciarão, se necessário, uma vez que você opera o servidor, sempre pode instalar um trabalho cron que enviará um email se o servidor cair, mas novamente. Um bom servidor nunca cai realmente, escolha uma boa empresa de VPS que opere em uma nuvem com fontes de alimentação e hardware redundantes, Rackspace por exemplo, ou o trabalho da amazon em uma nuvem.

Versão de teste Novamente, basta clonar o site em um subdomínio que usa uma senha .htaccess.

Espero que isso ajude, e se você tiver outras perguntas, pergunte.

Simon Hayter
fonte
11
Há alguns conselhos sólidos aqui. Vou adicioná-lo à lista na minha pergunta.
Frank Kusters
Eu escolhi um host operando em um cluster por confiabilidade. Mas as configurações incorretas não são detectadas pelo software de tempo de atividade - terei que cuidar disso sozinho.
Frank Kusters
2

Você definitivamente vai querer manter as coisas simples. Mas, em última análise, depende de que tipo de site você está acessando (as pessoas poderão comprar coisas?).

Se você possui um site WordPress simples, gostaria de fazer backups (ou certifique-se de que a cópia no servidor público não seja a única cópia; não faça backup dos arquivos estáticos do servidor, mas faça backup do banco de dados toda semana). Para sites maiores ou se você estiver armazenando dados do usuário no banco de dados, faça backup com mais frequência.

Para sites de comércio eletrônico maiores, pode ser uma boa ideia investir em um certificado SSL para ganhar a confiança dos visitantes e criptografar os dados (você pode gerar seu próprio certificado autoassinado gratuitamente, mas deve ser usado apenas em ambiente de desenvolvimento).

Definitivamente, considere alugar um VPS ou mesmo um servidor dedicado se você estiver preocupado com a segurança; oferece muito mais flexibilidade, mas com poder vem a responsabilidade (e também o potencial de atrapalhar as coisas). Você pode realmente gostar e configurar bancos de dados sincronizados em servidores remotos, usar rsyncpara fazer backup dos dados em um agendamento, etc. Mas, novamente, mantenha as coisas simples.

Para um ambiente de teste, não é uma má idéia e provavelmente uma coisa boa se você mudasse o design e o conteúdo com frequência, mas gostaria de garantir que as versões e configurações do WP sejam idênticas. Muito importante.

Por fim, mantenha as coisas simples. Erros humanos ao excluir / desarrumar arquivos são a principal causa de perda de dados. Hackers não são.

ionFish
fonte
O site contém principalmente um portfólio e um formulário de pedido. Se estiver em baixa, significa que os clientes não conseguem encontrar os negócios da minha esposa. Não é um 'site de comércio eletrônico maior' - se fosse, eu não faria isso no meu tempo livre. O VPS coloca muito mais poder em minhas mãos do que o necessário - hospedagem compartilhada é ótima. A confiabilidade do site é atendida pelo host. Obrigado pelo conselho.
Frank Kusters
2

Sou um novo webmaster, estou longe de ser um especialista. O que posso dizer, porém, são minhas próprias experiências nos últimos meses. Um pouco de experiência: eu sou um cara do Windows com pouca experiência em Linux / Apache, proficiente em PHP / HTML / CSS, com um conhecimento básico decente do WordPress (WP).

Instalei um ambiente de teste local com o XAMPP e passei bastante tempo instalando / configurando / excluindo o WP. Passei alguns dias aprendendo o desenvolvimento de plugins do WP. Fez tudo localmente, criando um pequeno plugin. Consegui correr bem, carregá-lo ao vivo e, em seguida, tive que gastar muito tempo tentando descobrir por que não estava funcionando no meu site ao vivo.

Não me lembro das causas exatas, mas tudo se resume ao meu host com configurações / permissões / etc. Diferentes do meu servidor local. Embora eu pudesse ter passado muito mais tempo aprendendo profundamente sobre o gerenciamento de servidores e tentando corresponder aos meus ambientes locais para viver, decidi seguir um caminho mais fácil. Eu configurei um domínio de teste ao vivo - vários, na verdade.

Meu plano de hospedagem é um plano compartilhado típico. Na verdade, é o mais barato que o meu host oferece, que permite addons de domínio ilimitados, mas não permite que esses domínios apontem para outro lugar além da raiz. Então, descobri como usar o .htaccess para redirecionar dinamicamente domínios diferentes para diretórios diferentes, algumas coisas simples de cortar e colar. Então, recebi alguns subdomínios gratuitos pelo CU.CC. Embora eu não os usasse para sites verdadeiros porque não são domínios verdadeiros, ou seja, você não os possui, eles funcionam muito bem para testes ao vivo.

Eu uso um brinde como clone do meu site ao vivo; portanto, se eu quiser instalar um plugin ou tema, posso testá-lo completamente antes de enviá-lo ao vivo. Como meu domínio de teste está no mesmo servidor, sei exatamente como meu site ativo será exibido. Eu uso outro brinde como uma mesa de teste geral do WP. E ainda outro para testes gerais do webdev.

Para clonar meu site, eu uso um plugin WP gratuito chamado 'Duplicator'. Faz o backup dos arquivos e do banco de dados de um site. Ele também lida com todo o material de back-end do WP necessário se você deseja restaurar para outro domínio. Isso funciona muito bem para o meu WP testbed, já que eu só tenho que instalar o WP uma vez, carregá-lo com meu conteúdo e usuários fictícios, configurar minhas preferências de administrador como permalinks, fuso horário, etc. irá, para minha instalação WP quase virgem, mas configurada como eu quero.

akTed
fonte
Não estou realmente tendo problemas com a configuração de um ambiente de teste. Antes de enviar o site ao vivo, tudo foi construído e testado em um VirtualBox com uma instalação LAMP. Eu já encontrei o Duplicator. Estou prevendo mais problemas para manter o ambiente de teste e o site ao vivo sincronizados.
Frank Kusters
Não conheço nenhuma maneira de sincronizar. Uso o Dreamweaver, que acredito ter a capacidade, mas ainda não o examinei. Usando o Duplicator, leva apenas cerca de 3 minutos para fazer backup do meu pequeno site ativo - ~ 35 MB - e copiá-lo / instalá-lo no meu desenvolvedor. Talvez mais um ou dois minutos, se precisar configurar um novo banco de dados, em vez de substituir apenas um existente. É verdade que esse tempo baixo é porque eu o fiz inúmeras vezes durante o teste e meu site é pequeno. Obviamente, se o seu site for significativamente maior, o tempo que o Duplicator leva para fazer backup aumentará.
precisa saber é o seguinte
1

Se você tem medo de que seu site seja invadido ou afetado por malwares, sugiro usar o http://sucuri.net/

Embora seja pago, ele cuidará da segurança do site com bastante eficiência.

Além disso, é recomendável tomar precauções do seu lado. Obtenha o backup do banco de dados toda semana. Defina a opção de banco de dados de backup em sua hospedagem como LIGADA e você obterá o backup do banco de dados no seu e-mail várias vezes regularmente.

Sidh
fonte
Não estou realmente preocupado em ser hackeado. Se isso acontecer, apenas restauramos um backup.
precisa saber é o seguinte
@spaceknarf Mas se os invasores invadirem o ISP e estiverem executando scripts direcionados ao WordPress ou se houver uma falha em um plugin / tema, você será invadido várias vezes. Ter que reverter para um estado limpo conhecido fica cansativo depois de um tempo. Melhor proteger e fortalecer proativamente.
JCL1178
1

As outras respostas têm muitos bons conselhos, mas assumem um conhecimento maior ou menor em manutenção de servidor e conhecimento do WordPress que você a) pode não ter eb) pode não ter tempo para se dedicar a realmente aprendê-lo.

Supondo que você já esteja pagando pela hospedagem e considerando a atualização para um VPS, recomendo vivamente que mude para um ISP especializado em hospedagem WordPress e forneça proteção e recuperação de malware, verificações de segurança em plug-ins, backups e atualizações essenciais para você. Dois que eu uso agora para clientes são o Pagely e o WP Engine . Um bom bônus é que esses ISPs também são otimizados para fornecer um aumento de velocidade que o WordPress às ​​vezes precisa. O WP Engine também vem com um ambiente de teste para testes ...

Se você preferir não usar hospedagem gerenciada, eu recomendo que você assine o VaultPress como seu principal plano de backup e segurança. O nível de serviço Premium lida com ambos (o serviço regular é apenas backup / restauração) e a tranquilidade sozinha vale a pena. O VaultPress é bastante caro e pode ser mais caro do que usar a hospedagem gerenciada recomendada acima.

A terceira maneira é reunir a segurança de sua experiência, plug-ins e capacidade de pesquisar no Google e backups / versões da mesma maneira. Novamente, isso pressupõe um nível de experiência com a configuração do servidor e com o WordPress que você pode não ter imediatamente e a recuperação de um hack do WordPress pode ser uma experiência miserável, mais ainda se o invasor estiver executando scripts no shell.

JCL1178
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.