Ividere, qui montre comment les compromis de trois types différents de sites WordPress se produisent réellement (et comment se protéger contre eux).
Jamp;rsquoai rassemblé les vidéos dans lamp;rsquoordre et pouvez abonner à: les vidéos sont directement disponibles à partir du cours (payant), donc camp;rsquoest vraiment une excellente occasion damp;rsquoen apprendre plus et damp;rsquoobtenir gratuitement du matériel de qualité. Bien sûr, je respecterai toujours votre boîte de réception et rejoindrez des milliers d’autres utilisateurs, implémentateurs et développeurs de WordPress dans notre liste 1. Aaron Campbell m’a présenté la sécurité de base de WordPress Aaron Campbell est le chef de l’équipe de sécurité principale de WordPress. Ou comme je le pensais, camp;rsquoétait un Tsar en sécurité. Le « Tsar » est souvent utilisé en anglais pour désigner une personne qui a reçu beaucoup de pouvoir informel et de contrôle pour contrôler quelque chose. Par conséquent, une organisation accorde rarement officiellement le titre de « Tsar », mais lorsquamp;rsquoelle le fait, cela signifie que cette personne est le principal responsable du sujet. Camp;rsquoest pourquoi je suis heureux damp;rsquoavoir lamp;rsquooccasion de parler à Aaron.
Aaron s’empresse de souligner qu’il n’est pas le seul responsable de WordPress security. Il y a une très bonne équipe et tous les principaux entrepreneurs tiennent compte des questions de sécurité chaque fois quamp;rsquoils examinent ou soumettent un code dans le cadre damp;rsquoun projet. C’est à dire qu’aaron et l’équipe de sécurité sont responsables de détecter les problèmes de sécurité dans les grands projets WordPress. Les équipes de sécurité dépendent de plus en plus de hackerone. Lamp;rsquoune des choses les plus importantes quamp;rsquoAaron a entendues est comment le processus de lamp;rsquoéquipe de sécurité a changé. Il fut un temps où trac (l’interface wordpress pour les discussions de projets majeurs et les correctifs de Code) avait une version séparée, privée et tenue à jour uniquement pour les équipes de sécurité. Pourquoi existe t il? Camp;rsquoest beaucoup mieux (même dans les relations publiques)
Open source) résoudre les problèmes de sécurité sans les divulguer au public. Cela empêche un attaquant de tenter damp;rsquoexploiter une vulnérabilité interprétée dans le logiciel qui namp;rsquoa pas de correctif.
Fait intéressant, les équipes de sécurité comptent de plus en plus sur hackerone. Hackerone est un site Web qui permet le paiement de primes de vulnérabilité en échange damp;rsquoune divulgation responsable (c. à D. privée) des questions de sécurité. Il y a quelques mois à peine, lamp;rsquoéquipe centrale y a créé un compte, mais maintenant elle lamp;rsquoutilise souvent pour recevoir des reportages et rester en contact avec les journalistes. Il samp;rsquoagit clairement damp;rsquoun bon changement pour lamp;rsquoensemble du projet. 2. Discussion with Tony Peres on Security breach Tony Perez est en grande partie le PDG de sucuri (peut être tout?) Lamp;rsquoentreprise était privée avant damp;rsquoêtre rachetée par GoDaddy en avril. Il est maintenant dans une plus grande entreprise et voit son rôle samp;rsquoélargir. Une des choses dont nous discutons en détail est donc comment GoDaddy prend des mesures pour assurer la sécurité de l’expérience WordPress par défaut.
Bien quamp;rsquoil ne samp;rsquoagisse certainement pas damp;rsquoun engagement à lamp;rsquoégard de changements futurs dans les produits, Tony envisage clairement ce que GoDaddy pourrait faire pour offrir aux utilisateurs une expérience damp;rsquohébergement meilleure et plus sûre. Cela signifie s’assurer que l’hôte met automatiquement à jour non seulement WordPress lui même, mais aussi les plug ins que le site exécute. Ou lamp;rsquoauthentification à deux facteurs par défaut. S’ils peuvent le faire, leur site WordPress sera sans aucun doute plus sûr. Tony réfléchit clairement à ce que GoDaddy peut faire pour offrir une expérience meilleure et plus sûre à ceux qui dirigent avec eux.
Nous avons également discuté en détail de la suite de services sucuri (accessible à tous, GoDaddy et n
Des professionnels de WordPress du monde entier. Contrairement à elle, elle a une idée très intéressante sur la façon de convaincre les clients de samp;rsquoinquiéter de la sécurité. (camp;rsquoest une question que jamp;rsquoa i entendue de nombreuses personnes différentes du Service de sécurité à la clientèle.) L’histoire est le secret pour convaincre les gens de l’importance de la sécurité du site WordPress.
Beaucoup de ses clients se sont tournés vers moi sans savoir ce qu’est WordPress, ils ont juste senti le besoin d’un site Web. (cela semble familier?) En plus de lui donner un site Web, meher samp;rsquoassure que le site reste sécurisé. Pour ce faire, devez les convaincre que la sécurité est importante. Lamp;rsquoastuce la plus intéressante et la plus utile quamp;rsquoil a trouvée était de raconter lamp;rsquohistoire personnelle damp;rsquoune personne quamp;rsquoil connaissait qui a pris le contrôle du site et a commencé à perdre le classement Google. Les gens ont beaucoup plus de liens avec les histoires que les chiffres, donc je pense que camp;rsquoest une technique très efficace pour convaincre les clients de prendre soin damp;rsquoeux.
Christo panjalov mamp;rsquoa dit comment lamp;rsquohôte siteground était protégé. Christo est un expert WordPress de siteground. Il conserve son plugin cache et discute régulièrement avec wordpcamps des différents thèmes de l’écosystème WordPress. La motivation de mon dialogue avec Hristo est de comprendre le point de vue de l’animateur sur la sécurité WordPress. Hristo donne le point de vue de l’animateur sur la sécurité WordPress. L’une des choses les plus intéressantes dont nous avons discuté est la différence entre siteground et la plupart des autres hôtes qui offrent un hébergement WordPress à faible coût: Memcached pour les utilisateurs d’hébergement partagés. Il s’agit d’un autre niveau de cache que les sites WordPress peuvent utiliser: il est souvent appelé “cache d’objets”. Mais memcahe namp;rsquoa pas de véritable politique de sécurité pour
Fournit un hébergement partagé. lamp;rsquohôte fournit accidentellement memcache, ses utilisateurs peuvent piétiner les données damp;rsquoautres personnes ou avoir la capacité de lire les données damp;rsquoautres personnes. Ni lamp;rsquoun ni lamp;rsquoautre namp;rsquoest bon, et siteground résout le problème damp;rsquoune manière simple et élégante: ils fournissent leur propre processus damp;rsquoexécution memcache pour chaque compte géré. Ben gillbanks mamp;rsquoa parlé de Tim Thumb. Ben gillbanks gagne sa vie grâce à son magasin spécialisé de développement de thème. Il gère également un excellent Bulletin masterwp avec notre bon ami Alex Denning. Mais je suis vraiment intéressé à parler à ben pour une raison très claire: sa connaissance directe de timthumb, qui est l’une des raisons les plus célèbres de compromis de site dans l’histoire de WordPress. Jamp;rsquoapprécie vraiment que Ben soit prêt à en discuter. Timthumb est un outil pour redimensionner l’image avant que WordPress n’inclue cette fonctionnalité. Camp;rsquoest également le début de lamp;rsquoère des thèmes avancés, où de nombreux thèmes fusionnent les bibliothèques dans leur code. Camp;rsquoest le problème. tout le monde met à jour timthumb patch au moment de sa publication, certains sites Web endommagés seront touchés. Lamp;rsquoune des plus grandes victoires en matière de sécurité est de se tenir au courant de votre dépendance. Lorsque le problème a été détecté dans timthumb, le problème a été résolu rapidement et si tout le monde pouvait recevoir des mises à jour rapidement, il namp;rsquoy aurait pas eu de problème grave. Mais les utilisateurs finaux de WordPress n’ont pas pu mettre à jour les corrections apportées aux thèmes proposés. De nombreux sujets ne peuvent pas mettre à jour la version de timthumb, de sorte que les utilisateurs non développeurs ne peuvent rien faire. En raison de cette double mise à jour échouée, de nombreux sites WordPress continuent d’exécuter du Code et d’exposer des vulnérabilités. Camp;rsquoest un
Bile Un facteur qui rend le WAF Cloud (comme sitelock) plus efficace quamp;rsquoun paramètre est sa capacité à absorber une grande quantité de trafic provenant damp;rsquoattaques de déni de service. Une attaque de déni de service est une attaque par laquelle un attaquant tente damp;rsquoinonder votre site avec beaucoup de trafic afin quamp;rsquoil ne soit plus disponible publiquement. telock WAF fournit une protection en ligne constante pour cela. Mais il y a damp;rsquoautres raisons pour lesquelles voulez le WAF. Le plus grand défi est de bloquer automatiquement lamp;rsquoIP partagée (sitelock a trouvé quelquamp;rsquoun qui attaque un site et lamp;empêchera damp;rsquoattaquer votre site) et de fermer les demandes Web malveillantes au niveau du pare feu. Ces deux éléments sont les principaux avantages en matière de sécurité du WAF. Julio potier mamp;rsquoa dit pourquoi tu voulais un plug in sécurisé. Julio dirige secupress. Secupress a été conçu à lamp;rsquoorigine comme un produit WP media et savez probablement quamp;rsquoil a été le créateur du plug in de cache WP Rocket. Récemment, secupress et Julio ont quitté leur société mère pour attirer davantage lamp;rsquoattention. Julio mamp;rsquoa dit à propos de secupress que de bons paramètres par défaut dans le plug in de sécurité sont très importants. (en tant que personne qui a examiné une grande quantité de données pour ce cours, je suis tout à fait damp;rsquoaccord avec son importance.) Julio a souligné lamp;rsquoimportance de bons paramètres par défaut dans les plug ins de sécurité Je suis tout à fait damp;rsquoaccord. Une chose que je ne comprends pas vraiment en tant que développeur est le point de vue de Julio sur le fait que le scanner de logiciels malveillants est essentiellement un ensemble damp;rsquoexpressions régulières, ce qui est intéressant pour moi. Pour les non programmeurs, une expression régulière (ou regex) namp;rsquoest quamp;rsquoun fantasme de trouver une chaîne de texte dans un programme. Je les ai combattus, alors merci beaucoup.
Écrivez leur sécurité pour les scanners de logiciels malveillants, donc ce namp;rsquoest pas nécessaire. Joe Howard explique pourquoi la sécurité est importante Joe est responsable du support pour WordPress et le CTO virtuel, WP buffs. Ils font tout, des conseils techniques à lamp;rsquooptimisation et à la sécurité du site. Et tout est mensuel, donc savez toujours que quand avez besoin damp;rsquoaide, avez quelquamp;rsquoun à qui demander de lamp;rsquoaide. Joe gère également wpmrr, un cours vidéo solide qui enseigne aux professionnels de WordPress comment mettre en œuvre, vendre et exécuter des programmes de service à la clientèle continus pour leurs clients et augmenter leurs revenus chaque mois. De plus, les podcasts WordPress de wpmrr sont entièrement axés sur le développement d’événements WordPress réussis et de revenus mensuels récurrents sans être trop sérieux. Les gens ne demandent de lamp;rsquoaide en matière de sécurité que lorsquamp;rsquoils ont des problèmes de sécurité. Camp;rsquoest trop tard. Une chose intéressante que Joe a apprise (bien que significative rétrospectivement) est que les gens namp;rsquoachètent cette aide que si la sécurité est menacée, comme si leur site Web est « piraté » ou quelque chose damp;rsquoautre. Camp;rsquoest compréhensible. Mais Joe, comme moi, mon but est de faire en sorte que les gens pensent à la sécurité avant que quelque chose damp;rsquoaussi violent et laid ne se produise. Le temps le plus facile pour réparer un site WordPress piraté est toujours avant qu’il ne soit piraté. Plusieurs Parties différentes de la sécurité WordPress la sécurité WordPress a de nombreux aspects différents qui peuvent prendre un certain temps à comprendre. La sécurité comprend des options simples, comme qui obtient votre hôte Web, qui partage vos mots de passe et ce quamp;rsquoils sont. Camp;rsquoest un sujet important et nous venons damp;rsquoaborder la surface de ces entrevues. Je pense quamp;rsquoils sont une bonne façon damp;rsquoapprendre à penser.
’informations sur la sécurité WordPress, que soyez un utilisateur de WordPress ou que écriviez PHP et Javascript pour lui. Mais ce namp;rsquoest que le début. C’est pourquoi mon nouveau cours WordPress Safety confidence offre également des heures de discussion sur des sujets détaillés et importants concernant la sécurité WordPress. C’est bien d’installer un bon plugin de sécurité, mais il est plus important et plus puissant de comprendre tous les aspects de la sécurité WordPress. Mais lire cet article est un bon début. voulez savoir ce qui va se passer ensuite, Visionnez la vidéo via le formulaire ci dessus ou lisez mon guide de sécurité WordPress complet
Ce que j’ai appris en interviewant 10 experts en sécurité WordPress
