Come posso gestire professionalmente un sito Web?

Mia moglie ha avviato un'attività e il sito Web è un modo importante per raggiungere potenziali clienti. Sono uno sviluppatore di software, quindi 'ovviamente' mi prendo cura delle cose tecniche. Ho organizzato un webhost e caricato e configurato WordPress (che, insieme a un tema decente, si adatta perfettamente al nostro conto). Mia moglie ha una certa conoscenza di HTML e CSS, quindi può personalizzare il sito Web da sola.

Ora voglio professionalizzare queste cose. Se succede qualcosa di stupido (rovina accidentalmente un file, bug nell'aggiornamento di WordPress, il sito viene violato) perdiamo l'intero sito.

Di cosa ho bisogno per gestire il sito? Quando cerco su questo argomento, trovo solo tutorial FTP, che non è esattamente il livello di informazioni che sto cercando. Ho pensato:

• backup di file + database (li ho già, ma non ho testato se il ripristino funziona)
• un ambiente di test locale per modificare il tema e testare gli aggiornamenti di wordpress
• un piano di test, contenente alcuni elementi da testare prima di caricare l'ambiente di test sul sito live
• controllo delle versioni: se qualcosa dovesse andare storto, dovremmo essere in grado di passare a una versione precedente.
• monitoraggio del tempo di attività - se il sito non funziona, non dovrò sentirlo dai clienti

Suggerito da bybe , principalmente legato alla sicurezza:

• usa un VPS. Questo mi proteggerà da attacchi su altri conti di hosting condiviso, tuttavia, si apre un altro vaso di Pandora, perché devo mantenere la cassaforte del server stesso .
• rimuovere le autorizzazioni di scrittura su tutti i file che non devono essere scrivibili (file modello, .htaccess)
• iscriviti alla mailing list CMS (Wordpress in questo caso) e aggiorna non appena sono disponibili nuove versioni
• minimizzare il numero di plugin CMS - hanno le loro vulnerabilità
• rimuovere l'account amministratore predefinito del CMS
• mettere il sito Web in modalità manutenzione durante la modifica. Consente un backup coerente ed è più gradito ai visitatori.

C'è qualcosa che manca in questo elenco?

Buone domande, la sicurezza è il problema principale ed è la stessa per tutti coloro che si impegnano a cercare di gestire i propri siti Web. WordPress non è il sistema di gestione dei contenuti più sicuro del pianeta, tuttavia può essere reso sicuro con un buon hosting e una buona conoscenza di cosa proteggere e garantire che sia impostato.

Ospitando

Il modo più sicuro di ospitare il tuo sito è in un VPS o dedicato supponendo che tu abbia una buona sicurezza sul sistema operativo. Il problema con l'hosting condiviso è che il malware può diffondersi da un account a un altro, anche se si trovano in prigione in cui questi hacker si fanno strada e infettano più siti. GoDaddy, ad esempio, è stato hackerato il mese scorso e ha lasciato centinaia di migliaia di siti Web hackerati con inserti backlink greyhat.

Da quello che ho letto vuoi andare con un VPS ma importante che vuoi qualcosa per gestire i tuoi backup, quello che ti serve è un VPS con CentOS6 con Cpanel. Dovrai pagare un supplemento per Cpanel, ma ciò renderà la configurazione dei siti Web e il backup del database, il file system automatizzati e l'invio di e-mail quotidianamente quando il backup è stato completato o fallito per un motivo o per l'altro.

Ora non so quanto siano forti le competenze che hai all'interno di Linux stesso ma VPS può spesso portare altri problemi di sicurezza se non sei forte in questo reparto. Fortunatamente in questi giorni abbiamo cose come Google e puoi praticamente imparare come proteggere facilmente il tuo VPS. La cosa fondamentale della tua scatola VPS è assicurarti che tu usi una chiave SSL che hai sul tuo computer, il che significa che anche se conoscono la password non possono accedere al tuo sistema senza quella certificazione. Inoltre, per impedire alle persone di indovinare la password, è sempre possibile modificare la porta ssh.

Ci sono molte cose che puoi fare per impedire l'accesso al tuo Box e Google serve questo meglio, c'è solo molto da elencare.

WordPress

Proteggere Wordpress è piuttosto semplice, il mio consiglio più forte è quello di proteggere i file modello all'interno di /wp-content/themes directory. Dato che tua moglie non modificherà i file modello, li desideri modificare in modo che non possano essere scritti direttamente da WordPress. C'è un'impostazione all'interno configuration.phpche puoi configurare ma seriamente basta CHMOD usando FTP o se vai e usi un VPS cambia la proprietà di questi file da www-dataa root. In questo modo non possono essere modificati da WordPress o da qualsiasi altro software in esecuzione sul server. La maggior parte delle iniezioni, basate su script, attaccherà i index.phpfile dei modelli e aggiungerà il malware. Inoltre ci sono alcuni .htaccessattacchi di reindirizzamento, quindi di nuovo chmod il .htaccessfile in non modificabile una volta che hai le impostazioni desiderate, o cambia nuovamente da www-data a root. Anche ilconfiguration.php dovresti impostare su root o chmod in modo che non possa essere letto da ospiti ed estranei.

Non sottovalutare la potenza di CHMOD, più file puoi rendere non scrivibili, meglio è. Cerca di evitare plugin WordPress non necessari. Mentre alcuni sono fantastici, chiediti di cosa hai bisogno. Più hai installato, più i tuoi hacker devono giocare, quindi evita i plugin il più possibile e non gonfiare il sito con loro.

Aggiornamenti da WordPress settimanali a mensili, aggiornamento il più presto possibile - C'è un motivo per cui hanno così tanti aggiornamenti e uno di questi è problemi di sicurezza e scappatoie che hanno riscontrato.

Inoltre, per impostazione predefinita avrai un account "admin" "password", crea un altro amministratore come il tuo nome utente e una buona password. Quindi elimina quell'account amministratore.

Piano di test

Puoi sempre imitare il tuo sito, ovvero avere un clone. Usando cpanel puoi impostare un sottodominio test.subdomain.com e farlo funzionare con lo stesso WordPress insieme a un clone del database.

Personalmente, se non stai utilizzando le estensioni principali per WordPress, potresti semplicemente portare il sito offline, ad esempio Manutenzione in corso. e quindi aggiorna il sistema, se qualcosa va storto allora hai il backup automatico o un backup che hai fatto mentre era in manutenzione. in questo modo la tua sicurezza in entrambi i modi.

Sempre meglio aggiornare in modalità manutenzione, mentre alcuni aggiornamenti non lo richiedono, altri lo fanno. Meglio metterlo offline in modo da avere un buon negozio di snap.

Controllo delle versioni Con ogni backup giornaliero che fai avrà una data, all'interno di GZ / Zip potrai leggere il file di configurazione con i numeri di versione di WordPress.

I sistemi Upsime Good Vps lo monitoreranno per te e si riavvieranno se necessario, poiché gestisci il server puoi sempre installare un processo cron che ti invierà un'e-mail se il server non funziona, ma di nuovo. Un buon server non scende mai veramente, scegli una buona compagnia VPS che opera su un cloud con alimentatori e hardware ridondanti, ad esempio Rackspace o lavori su Amazon su un cloud.

Versione di prova Ancora una volta clonare il sito su un sottodominio che utilizza una password .htaccess.

Spero che questo aiuti, e se hai ulteriori domande, chiedi.

Avrai sicuramente voglia di mantenerlo semplice. Ma alla fine dipende dal tipo di sito che stai cercando (le persone saranno in grado di acquistare roba?).

Se hai un semplice sito WordPress, allora vorresti fare dei backup (o assicurarti che la copia sul server pubblico non sia l'unica copia; non eseguire il backup dei file statici dal server ma esegui il backup del database ogni settimana). Per siti di grandi dimensioni o se si memorizzano dati utente nel database, eseguire il backup più spesso.

Per i siti di e-commerce più grandi, potrebbe essere una buona idea investire in un certificato SSL per guadagnare la fiducia dei visitatori e crittografare i dati (potresti generare il tuo certificato autofirmato gratuitamente ma dovrebbe essere utilizzato solo in un sviluppo dell'ambiente).

Prendi sicuramente in considerazione la possibilità di noleggiare un VPS o anche un server dedicato se sei interessato alla sicurezza; offre una flessibilità molto maggiore, ma con il potere deriva la responsabilità (e anche il potenziale di rovinare le cose). Potresti diventare davvero fantasioso e impostare database sincronizzati su server remoti, utilizzare rsyncper eseguire il backup dei dati in base a una pianificazione, ecc. Ma ancora una volta, mantenerlo semplice.

Per un ambiente di test, non è una cattiva idea, e probabilmente una buona cosa se cambiassi spesso il design e il contenuto, ma vorresti assicurarti che le versioni e le impostazioni di WP siano identiche. Molto importante.

Infine, mantienilo semplice. Gli errori umani nell'eliminazione / incasinamento dei file sono la principale causa di perdita di dati. Gli hacker non lo sono.

Anch'io sono un nuovo webmaster, quindi sono tutt'altro che un esperto. Quello che posso dirti, tuttavia, sono le mie esperienze personali negli ultimi mesi. Un po 'di storia: sono un ragazzo di Windows con poca esperienza Linux / Apache, esperto di PHP / HTML / CSS, con una discreta conoscenza di base di WordPress (WP).

Ho installato un ambiente di test locale con XAMPP e ho impiegato molto tempo a installare / configurare / eliminare WP. Poi ho trascorso alcuni giorni a studiare lo sviluppo di plugin WP. Ho fatto tutto a livello locale, creando un piccolo plugin. Ho funzionato bene, l'ho caricato dal vivo, quindi ho dovuto passare un sacco di tempo a cercare di capire perché non funzionava sul mio sito live.

Non ricordo le cause esatte, ma si riduce al mio host con impostazioni / autorizzazioni / ecc. Diverse rispetto al mio server locale. Mentre avrei potuto dedicare molto più tempo a conoscere a fondo la gestione dei server e cercando di abbinare i miei ambienti locali alla vita, ho deciso di prendere una strada più semplice. Ho installato un dominio di prova dal vivo - molti in realtà.

Il mio piano di hosting è un tipico piano condiviso. In effetti, è il più economico che offre il mio host, che consente addon di dominio illimitati ma non consente a quei domini di puntare ovunque tranne che alla radice. Così ho scoperto come usare .htaccess per reindirizzare dinamicamente domini diversi verso directory diverse, alcune semplici cose taglia e incolla. Poi ho ottenuto alcuni sottodomini gratuiti tramite CU.CC. Sebbene non li userei per nessun sito vero perché non sono domini veri, vale a dire che non li 'possiedi', funzionano alla grande per i test live.

Uso un omaggio come clone del mio sito live, quindi se voglio installare un plugin o un tema posso provarlo accuratamente prima di inviarlo dal vivo. Poiché il mio dominio di prova si trova sullo stesso server, so esattamente come apparirà il mio sito live. Uso un altro omaggio come testbed WP generale. E ancora un altro per i test generali di webdev.

Per clonare il mio sito, utilizzo un plug-in WP gratuito chiamato "Duplicatore". Esegue il backup dei file e del database di un sito. Gestisce anche tutte le cose di back-end WP necessarie se si desidera ripristinare in un altro dominio. Funziona benissimo per il mio banco di prova WP, poiché ho dovuto installare WP una sola volta, caricarlo con i miei contenuti e utenti fittizi, impostare le mie preferenze di amministrazione come permalink, fuso orario, ecc. Ora posso hackerare WP tutto ciò che voglio quindi ripristinare il backup su sarà, per il mio WP quasi vergine ma configurato come voglio installare WP.

Se hai paura che il tuo sito venga violato o colpito da malware, ti suggerisco di utilizzare il http://sucuri.net/

Sebbene sia a pagamento, si prenderà cura della sicurezza del tuo sito in modo abbastanza efficiente.

A parte questo, è consigliabile prendere precauzioni. Ottieni il backup del database ogni settimana. Imposta l'opzione del database di backup nel tuo hosting ON e otterrai il backup del database nella tua posta più e più volte su base regolare.

Le altre risposte hanno molti buoni consigli, ma assumono una competenza maggiore o minore nella manutenzione del server e la conoscenza di WordPress che a) potresti non avere eb) potrebbe non avere il tempo da dedicare per impararlo davvero.

Supponendo che tu stia già pagando per l'hosting e considerando l'aggiornamento a un VPS, ti consiglio vivamente di passare a un ISP specializzato nell'hosting di WordPress e che offre protezione e ripristino da malware, controlli di sicurezza su plugin, backup e aggiornamenti del core per te. Due che uso per i clienti ora sono Pagely e WP Engine . Un bel vantaggio è che questi ISP sono anche ottimizzati per fornire un aumento di velocità di cui WordPress a volte ha bisogno. WP Engine include anche un ambiente di gestione temporanea per i test ...

Se preferisci non utilizzare l'hosting gestito, ti consiglio vivamente di iscriverti a VaultPress come piano di backup e sicurezza principale. Il livello di servizio Premium gestisce entrambi (il servizio normale è solo backup / ripristino) e la sola tranquillità vale la tariffa. VaultPress è piuttosto costoso e potrebbe essere più costoso rispetto all'utilizzo dell'hosting gestito consigliato sopra.

La terza strada da percorrere è mettere insieme sicurezza dalla tua esperienza, plugin e capacità di cercare su Google e backup / versioning allo stesso modo. Ancora una volta, questo presuppone un livello di esperienza con la configurazione del server e WordPress che potresti non avere subito e il recupero da un hack di WordPress può essere un'esperienza infelice, soprattutto se l'attaccante sta eseguendo script nella shell.