web-dev-qa-db-ja.com

Webサイトを専門的に管理するにはどうすればよいですか?

私の妻はビジネスを始めました。ウェブサイトは潜在的な顧客にリーチするための重要な方法です。私はソフトウェア開発者なので、「もちろん」技術的なことはやっています。ウェブホストを配置し、WordPressをアップロードして設定しました(まともなテーマとともに、私たちの法案にぴったりです)。私の妻はHTMLとCSSについてある程度の知識を持っているため、自分でWebサイトをカスタマイズできます。

今、私はこのようなものを専門化したいです。バカなことが起こった場合(誤ってファイルを台無しにし、WordPress更新のバグ、サイトがハッキングされた場合)、サイト全体が失われます。

サイトを管理するには何が必要ですか?このテーマをグーグル検索するとき、私はFTPチュートリアルしか見つけませんが、これは私が求めている情報のレベルではありません。私が考えた:

  • ファイル+データベースのバックアップ(これらは既にありますが、復元が機能するかどうかはテストしていません)
  • テーマを編集し、wordpress更新をテストするためのローカルテスト環境
  • テスト環境をライブサイトにアップロードする前にテストするいくつかの項目を含むテスト計画
  • バージョン管理-何か問題が発生した場合、以前のバージョンに移行できるはずです。
  • 稼働時間の監視-サイトがダウンしても、顧客から聞く必要はありません

bybe により提案され、主にセキュリティ関連:

  • vPSを使用します。これにより、他の共有ホスティングアカウントへの攻撃から保護されますが、サーバーを安全に保つ必要があるためmyself、別のワームを開くことができます。
  • 書き込み可能である必要のないすべてのファイル(テンプレートファイル、.htaccess)の書き込み権限を削除します。
  • cMSメーリングリスト(この場合はWordpress)を購読し、新しいリリースが利用可能になり次第更新する
  • cMSプラグインの数を最小限に抑える-独自の脆弱性があります
  • cMSのデフォルトの管理者アカウントを削除します
  • 変更時にWebサイトをメンテナンスモードにします。一貫性のあるバックアップが可能になり、訪問者にとって便利です。

このリストに欠けているものはありますか?

18
Frank Kusters

良い質問です。セキュリティはあなたの主な問題であり、自分のウェブサイトの管理を探しているすべての人にとって同じです。 WordPressは地球上で最も安全なコンテンツ管理システムではありませんが、適切なホスティングと、何を確保し、確保するかについての十分な知識により、安全に構築できます。

ホスティング

サイトをホストする最も安全な方法は、VPSを使用するか、OSに適切なセキュリティがあることを前提としています。共有ホスティングの問題は、マルウェアが1つのアカウントから別のアカウントに拡散する可能性があることです。これらのハッカーは投獄されていても、複数のサイトに侵入して感染します。たとえば、GoDaddyは先月ハッキングされ、100,000のWebサイトがgreyhat backlink insertsでハッキングされました。

私が読んだことから、あなたはVPSで行きたいが、あなたがバックアップを管理するために何かが欲しいことが重要である、あなたが必要とするのはCpanelでCentOS6を備えたVPSです。 Cpanelに追加料金を支払う必要がありますが、これにより、Webサイトのセットアップとデータベースのバックアップ、ファイルシステムの自動化、および何らかの理由でバックアップが完了または失敗したときに毎日メールが送信されます。

現在、Linuxの中であなたがどれほど強力なスキルを持っているのかはわかりませんが、この部門に強くない場合、VPSは他のセキュリティ問題をもたらすことがよくあります。最近幸運なことにGoogleのようなものがあり、VPSを簡単に保護する方法を学ぶことができます。 VPSボックスの基本的なことは、コンピューターにあるSSLキーを使用して、パスワードを知っていても、その証明書なしではシステムにアクセスできないようにすることです。さらに、人々がパスワードを推測するのを止めるには、常にsshポートを変更できます。

Boxへのアクセスを防ぐためにできることはたくさんありますが、Googleはこれを最高に提供しています。

WordPress

Wordpressの保護は非常に簡単です。私の最も強力なアドバイスは、/wp-content/themes directory内のテンプレートファイルを保護することです。妻はテンプレートファイルを編集しないので、WordPressから直接書き込むことができないように、これらをchmodする必要があります。設定できるconfiguration.php内には設定がありますが、真剣にFTPを使用してそれらをCHMODするか、VPSを使用してこれらのファイルの所有権をwww-dataからrootに変更します。この方法では、WordPressまたはサーバーで実行されている他のソフトウェアから変更できません。スクリプトベースのほとんどのインジェクションは、テンプレートのindex.phpファイルを攻撃し、マルウェアを追加します。さらに、いくつかの.htaccessリダイレクト攻撃があるため、目的の設定が完了したら、再度.htaccessファイルを書き込み不可に変更するか、www-dataからrootに再度変更します。また、configuration.phpをrootまたはchmodに設定して、ゲストや部外者が読み取れないようにする必要があります。

CHMODのパワーを過小評価しないでください。書き込み可能なファイルの数が多いほど良いです。不要なWordPressプラグインを避けるようにしてください。すばらしいものもありますが、必要かどうか自問してください。インストールするほど、ハッカーはより多くのゲームをプレイする必要があるため、プラグインはできる限り避け、サイトを肥大化させないでください。

WordPressは毎週から毎月更新し、できるだけ早く更新します-更新が非常に多く、その1つがセキュリティの問題と発見した抜け穴である理由があります。

さらに、デフォルトでは「admin」「password」アカウントがあり、yourwifenamesなどの別の管理者と適切なパスワードを作成します。次に、その管理者アカウントを削除します。

テスト計画

いつでもサイトを模倣することができます。つまり、クローンを作成できます。 cpanelを使用して、サブドメインtest.subdomain.comをセットアップし、データベースのクローンとともに同じWordPressを実行させることができます。

個人的にWordPressの主要な拡張機能を使用していない場合は、サイトをオフライン(メンテナンス中)にすることができます。システムを更新します。何か問題が発生した場合は、自動バックアップまたはメンテナンス中に行ったバックアップがあります。どちらにしても安全です。

常にメンテナンスモードで更新するのが最善です。一部の更新は要求しませんが、一部の更新は要求します。オフラインにするのがベストなので、良いスナップショップがあります。

バージョン管理毎日のバックアップを行うたびに日付があり、GZ/Zip内でWordPressのバージョン番号を使用して構成ファイルを読み取ることができます。

ptime優れたVpsシステムはそれを監視し、必要に応じて再起動します。サーバーを操作するため、サーバーがダウンした場合でもメールを送信するcronジョブをいつでもインストールできます。優れたサーバーが実際にダウンすることはありません。冗長な電源とハードウェアを備えたクラウド上で動作する優れたVPS会社を選択してください。

テストバージョンここでも、.htaccessパスワードを使用するサブドメインにサイトを複製します。

これがお役に立てば幸いです。さらに質問がある場合はお問い合わせください。

11
Simon Hayter

あなたは間違いなくシンプルにしたいと思うでしょう。しかし、最終的には、どのサイトにアクセスするかによって異なります(人々は商品を購入できますか?)。

単純なWordPressサイトがある場合は、バックアップを作成します(または、パブリックサーバー上のコピーだけがコピーではないことを確認します。サーバーから静的ファイルをバックアップせず、バックアップを実行します。毎週データベース)。大規模なサイトの場合、またはデータベースにユーザーデータを保存している場合は、より頻繁にバックアップしてください。

大規模なeコマースサイトの場合は、SSL証明書に投資して訪問者の信頼を獲得し、データを暗号化することをお勧めします(無料で独自の自己署名証明書を生成できますが、開発環境)。

セキュリティに懸念がある場合は、VPSまたは専用サーバーのレンタルを検討してください。それははるかに大きな柔軟性を提供しますが、力には責任が伴います(そして物事を台無しにする可能性もあります)。あなたは本当に空想を得て、リモートサーバー間で同期されたデータベースをセットアップし、rsyncを使用してスケジュールに従ってデータをバックアップできます。

テスト環境の場合、悪い考えではなく、おそらくデザインとコンテンツを頻繁に変更するが、WPバージョンと設定が同じであることを確認したい場合は良いことです。とても重要です。

最後に、シンプルにしてください。ファイルの削除/混乱における人為的エラーは、データ損失の主な原因です。ハッカーはそうではありません。

2
ionFish

私は新しいウェブマスターなので、専門家とはほど遠いです。しかし、私があなたに伝えることができるのは、過去数ヶ月にわたる私自身の経験です。少しのバックグラウンド:私は、Linux/Apacheの経験がほとんどなく、PHP/HTML/CSSに精通しており、WordPress(WP)の十分な基礎知識を持つWindowsの男です。

XAMPPを使用してローカルテスト環境をセットアップし、WPのインストール/構成/削除にかなりの時間を費やしました。その後、WPプラグインの開発を学ぶのに数日費やしました。すべてローカルで行い、小さなプラグインを作成しました。正常に動作するようになったので、ライブでアップロードしてから、ライブサイトで機能しなかった理由を把握するために多くの時間を費やす必要がありました。

正確な原因は覚えていませんが、ローカルサーバーとは異なる設定/権限などを持つホストに要約されます。サーバー管理の詳細について学び、ローカル環境とライブ環境を一致させようとするのにもっと多くの時間を費やすこともできたかもしれませんが、私はより簡単なルートをとることに決めました。実際に複数のライブテストドメインを設定します。

私のホスティングプランは、一般的な共有プランです。実際、これは私のホストが提供する最も安価なもので、無制限のドメインアドオンを許可しますが、それらのドメインがルート以外を指すことは許可しません。そこで、.htaccessを使用して、さまざまなドメインをさまざまなディレクトリに簡単にリダイレクトする方法を見つけました。その後、CU.CCを介していくつかの無料のサブドメインを取得しました。それらは真のドメインではないため、真のサイトには使用しませんが、つまり、あなたはそれらを「所有」していませんが、ライブテストには最適です。

ライブサイトのクローンとして1つの景品を使用するため、プラグインまたはテーマをインストールする場合は、ライブで送信する前に徹底的にテストできます。私のテストドメインは同じサーバー上にあるため、ライブサイトがどのように表示されるかを正確に知っています。一般的なWPテストベッドとして別の景品を使用します。さらに、一般的なwebdevテスト用です。

サイトのクローンを作成するために、「Duplicator」と呼ばれる無料のWPプラグインを使用します。サイトのファイルとデータベースをバックアップします。また、別のドメインに復元する場合に必要なWPバックエンドのすべてを処理します。これはWPテストベッドに最適です。WPを一度インストールするだけで、ダミーのコンテンツとユーザーをロードし、パーマリンク、タイムゾーンなどの管理設定をセットアップするだけで済みます。 WPをハッキングして、必要に応じてバックアップを復元します。これは、ほぼ未使用でありながらI-wantとして構成されているWPインストールです。

2
akTed

サイトがハッキングされたり、マルウェアの影響を受けるのを恐れている場合は、 http://sucuri.net/ を使用することをお勧めします

有料ですが、サイトのセキュリティは非常に効率的に処理されます。

これとは別に、予防策を講じることをお勧めします。毎週データベースのバックアップを取得します。ホスティングONでbackup databaseのオプションを設定すると、メールバックアップ中にデータベースのバックアップが定期的に取得されます。

1
Sidh

他の回答には多くの良いアドバイスがありますが、サーバーメンテナンスに関する多少の専門知識と、a)持っていない、b)実際に学習するための時間がないというWordPress知識があると仮定してください。

既にホスティング料金を支払っており、VPSへのアップグレードを検討している場合、WordPressホスティングに特化し、マルウェアの保護と復旧、プラグインのセキュリティチェック、バックアップ、およびコアのアップグレードを提供するISPに移行することを強くお勧めしますあなたのために。現在クライアントに使用している2つは、 PagelyWP Engine です。素敵なボーナスは、これらのISPもWordPressが時々必要とする速度向上を提供するように最適化されていることです。 WP Engineには、テスト用のステージング環境も付属しています...

管理ホスティングを使用しない場合は、プライマリバックアップおよびセキュリティプランとして VaultPress にサブスクライブすることを強くお勧めします。プレミアムサービスレベルは両方を処理し(通常のサービスはバックアップ/復元のみです)、安心だけでも料金に見合う価値があります。 VaultPressは非常に高価であり、上記で推奨されているマネージドホスティングを使用するよりも高価になる場合があります。

3番目の方法は、経験、プラグイン、およびGoogleでの検索とバックアップ/バージョン管理の機能を同じ方法でまとめることです。繰り返しますが、これはサーバー構成とWordPressに関する専門知識のレベルを想定しており、WordPressハックからの回復は悲惨な経験になる可能性があります。攻撃者が実行している場合シェル内のスクリプト。

1
JCL1178