¿Cómo administro profesionalmente un sitio web?

19

Mi esposa ha comenzado un negocio, y el sitio web es una forma importante de llegar a clientes potenciales. Soy un desarrollador de software, así que 'por supuesto' me estoy ocupando de las cosas técnicas. Arreglé un servidor web y cargué y configuré WordPress (que, junto con un tema decente, se ajusta muy bien a nuestra factura). Mi esposa tiene cierto conocimiento de HTML y CSS, por lo que puede personalizar el sitio web ella misma.

Ahora, quiero profesionalizar estas cosas. Si sucede algo estúpido (desordenadamente accidentalmente un archivo, error en la actualización de WordPress, el sitio está pirateado), perdemos todo el sitio.

¿Qué necesito para administrar el sitio? Al buscar en Google este tema, solo encuentro tutoriales FTP, que no es exactamente el nivel de información que busco. Me he figurado:

  • copia de seguridad de archivos + base de datos (ya tengo estos, pero no he probado si la restauración funciona)
  • Un entorno de prueba local para editar el tema y probar actualizaciones de WordPress
  • un plan de prueba, que contiene algunas cosas para probar antes de cargar el entorno de prueba en el sitio en vivo
  • versionado: si algo sale mal, deberíamos poder ir a una versión anterior.
  • monitoreo del tiempo de actividad: si el sitio se cae, no tendré que escucharlo de los clientes

Sugerido por bybe , principalmente relacionado con la seguridad:

  • usa un VPS. Esto me va a proteger de ataques a otras cuentas de alojamiento compartido, sin embargo, se abre otra lata de gusanos, porque tengo que mantener el servidor seguro a mí mismo .
  • eliminar permisos de escritura en todos los archivos que no necesitan ser editables (archivos de plantilla, .htaccess)
  • suscríbase a la lista de correo del CMS (Wordpress en este caso) y actualice tan pronto como haya nuevas versiones disponibles
  • minimizar la cantidad de complementos de CMS: tienen sus propias vulnerabilidades
  • eliminar la cuenta de administrador predeterminada del CMS
  • poner el sitio web en modo de mantenimiento al modificar. Permite una copia de seguridad consistente y es más agradable para los visitantes.

¿Falta algo en esta lista?

web-development  wordpress  change-management 
Frank Kusters
fuente
A menos que el negocio de su esposa tenga una razón para ser atacado, parece que se va un poco por la borda. Esta pregunta es similar a "¿cómo me mantengo seguro en público?" Debe medir la amenaza antes de hacer un plan para enfrentarla. Podría acampar fuera del centro de datos con un AK-47 cargado en caso de que aparezca un ladrón para robar algunos servidores, pero eso sería ridículo. Así sería la mayor parte de esto.
El negocio de mi esposa no tiene una razón específica para ser atacado, pero su sitio web es de interés para cualquier hacker. Solo mira esto . Los pasos anteriores no son difíciles y no cuestan dinero, pero lo hacen mucho más difícil para los piratas informáticos.
Frank Kusters
Elija un título mejor, esto es demasiado general y estaba a punto de votar si no hubiera leído su pregunta.
Omne

Respuestas:

11

Buenas preguntas, la seguridad es su problema principal y es el mismo para todos los que se comprometen a buscar administrar sus propios sitios web. WordPress no es el sistema de administración de contenido más seguro del planeta, sin embargo, se puede proteger con un buen alojamiento y un buen conocimiento de qué asegurar y garantizar.

Hospedaje

La forma más segura de alojar su sitio es en un VPS o dedicado, suponiendo que tenga una buena seguridad en el sistema operativo. El problema con el alojamiento compartido es que el malware puede propagarse de una cuenta a otra, a pesar de que están en las cárceles, estos piratas informáticos encuentran su camino e infectan múltiples sitios. GoDaddy, por ejemplo, fue pirateado el mes pasado y dejó 100,000 sitios web pirateados con inserciones de vínculo de retroceso gris.

Por lo que he leído, desea utilizar un VPS, pero es importante que desee algo para administrar sus copias de seguridad, lo que necesita es un VPS con CentOS6 con Cpanel. Deberá pagar más por el Cpanel, pero esto hará que la configuración de sitios web y la copia de seguridad de la base de datos y el sistema de archivos sea automatizada, así como el envío diario de correos electrónicos cuando la copia de seguridad se haya completado o haya fallado por una razón u otra.

Ahora no sé cuán fuertes son las habilidades que tiene dentro de Linux, pero VPS a menudo puede traer otros problemas de seguridad si no es fuerte en este departamento. Afortunadamente en estos días tenemos cosas como Google y puedes aprender cómo proteger tu VPS con facilidad. Lo básico de su caja VPS es asegurarse de que está utilizando una clave SSL que tiene en su computadora, lo que significa que incluso si conocen la contraseña, no pueden acceder a su sistema sin esa certificación. Además, para evitar que la gente adivine la contraseña, siempre puede cambiar el puerto ssh.

Hay muchas cosas que puede hacer para evitar el acceso a su Box y Google sirve mejor, hay muchos para enumerar.

WordPress

Asegurar Wordpress es bastante sencillo, mi mejor consejo es asegurar los archivos de plantilla dentro de /wp-content/themes directory. Dado que su esposa no va a editar los archivos de plantilla que desea modificar, estos no se pueden escribir directamente desde WordPress. Hay una configuración dentro de la configuration.phpque puede configurar, pero en serio simplemente CHMOD utilizando FTP o si va y utiliza un VPS cambie la propiedad de estos archivos www-dataa root. De esta forma, no se pueden cambiar desde WordPress ni ningún otro software que se ejecute en el servidor. La mayoría de las inyecciones, basadas en scripts, atacarán los index.phparchivos de las plantillas y agregarán el malware. Además, hay algunos .htaccessataques de redireccionamiento, por lo tanto, vuelva .htaccessa modificar el archivo para que no se pueda escribir una vez que tenga la configuración deseada, o vuelva a cambiar de www-data a root. También elconfiguration.php debe configurarlo como root o chmod para que no puedan ser leídos por invitados y extraños.

No subestimes el poder del CHMOD, cuantos más archivos puedas hacer que no se puedan escribir, mejor. Intenta evitar complementos innecesarios de WordPress. Si bien algunos son geniales, pregúntate si lo necesitas. Cuanto más haya instalado, más tendrán que jugar sus hackers, así que evite los complementos tanto como pueda y no hinche el sitio con ellos.

WordPress se actualiza semanalmente o mensualmente, actualice lo antes posible: hay una razón por la que tienen tantas actualizaciones y una de ellas son los problemas de seguridad y las lagunas que han encontrado.

Además, por defecto tendrá una cuenta de "contraseña" de "administrador", cree otro administrador como sus nombres de mujer junto con una buena contraseña. Luego elimine esa cuenta de administrador.

Plan de prueba

Siempre puede imitar su sitio, es decir, tener un clon. Usando cpanel, podría configurar un subdominio test.subdomain.com y hacer que ejecute el mismo WordPress junto con un clon de la base de datos.

Personalmente, si no está utilizando las principales extensiones para WordPress, podría desconectar el sitio, es decir, Mantenimiento en curso. y luego actualice el sistema, si algo sale mal, entonces tiene la copia de seguridad automatizada o una copia de seguridad que hizo mientras estaba en mantenimiento. de esa manera su caja fuerte de cualquier manera.

Siempre es mejor actualizar en modo de mantenimiento, mientras que algunas actualizaciones no preguntan, otras sí. Lo mejor es desconectarlo para que tenga una BUENA tienda instantánea.

Control de versiones Con cada copia de seguridad diaria que haga, tendrá una fecha, dentro de GZ / Zip podrá leer el archivo de configuración con los números de versión de WordPress.

Los sistemas Uptime Good Vps lo monitorearán por usted y se reiniciarán si es necesario, ya que usted opera el servidor, siempre puede instalar un trabajo cron que le enviará un correo electrónico si el servidor se cae, pero nuevamente. Un buen servidor nunca se cae realmente, elija una buena compañía de VPS que opere en una nube con fuentes de alimentación redundantes y hardware, Rackspace, por ejemplo, o Amazon trabaje en una nube.

De nuevo la versión de prueba, simplemente clone el sitio en un subdominio que use una contraseña .htaccess.

Espero que esto ayude, y si tiene alguna pregunta adicional, por favor pregunte.

Simon Hayter
fuente
1
Hay algunos consejos sólidos aquí. Lo agregaré a la lista en mi pregunta.
Frank Kusters
Elegí un webhost que operaba en un clúster por confiabilidad. Pero las configuraciones incorrectas no son detectadas por su software de tiempo de actividad; tendré que ocuparme de eso yo mismo.
Frank Kusters
2

Definitivamente querrás que sea simple. Pero, en última instancia, depende del tipo de sitio al que vaya (¿podrán las personas comprar cosas?).

Si tiene un sitio simple de WordPress, entonces querrá hacer copias de seguridad (o asegurarse de que la copia en el servidor público no sea la única copia; no haga una copia de seguridad de los archivos estáticos del servidor, pero haga una copia de seguridad de la base de datos todas las semanas). Para sitios más grandes o si está almacenando datos de usuario en la base de datos, haga una copia de seguridad con más frecuencia.

Para los sitios de comercio electrónico más grandes, puede ser una buena idea invertir en un certificado SSL para ganar la confianza de los visitantes y encriptar los datos (puede generar su propio certificado autofirmado de forma gratuita, pero solo debe usarse en un entorno de desarrollo).

Definitivamente considere alquilar un VPS o incluso un servidor dedicado si le preocupa la seguridad; Ofrece una flexibilidad mucho mayor, pero con el poder viene la responsabilidad (y también el potencial de desordenar las cosas). Puede ser realmente sofisticado y configurar bases de datos sincronizadas en servidores remotos, usar rsyncpara hacer una copia de seguridad de los datos en un horario, etc. Pero, de nuevo, manténgalo simple.

Para un entorno de prueba, no es una mala idea, y probablemente sea algo bueno si cambiara el diseño y el contenido a menudo, pero querría asegurarse de que las versiones y configuraciones de WP sean idénticas. Muy importante.

Por último, que sea sencillo. Los errores humanos en la eliminación / desorden de archivos son la principal causa de pérdida de datos. Los hackers no lo son.

ionFish
fuente
El sitio web contiene principalmente una cartera y un formulario de pedido. Si no funciona, significa que los clientes no pueden encontrar el negocio de mi esposa. No es un 'sitio de comercio electrónico más grande'; si lo fuera, no estaría haciendo esto en mi tiempo libre. VPS pone mucho más poder en mis manos de lo necesario: el alojamiento compartido está bien. El servidor web se encarga de la fiabilidad del sitio. Gracias por el consejo.
Frank Kusters
2

Soy un nuevo webmaster, así que estoy lejos de ser un experto. Sin embargo, lo que puedo decirte son mis propias experiencias en los últimos meses. Un poco de historia: soy un chico de Windows con poca experiencia en Linux / Apache, experto en PHP / HTML / CSS, con un conocimiento base decente de WordPress (WP).

Configuré un entorno de prueba local con XAMPP y pasé una buena cantidad de tiempo instalando / configurando / eliminando WP. Luego pasé unos días aprendiendo el desarrollo del complemento WP. Lo hizo todo localmente, creando un pequeño complemento. Lo hice funcionar bien, lo subí en vivo, luego tuve que pasar mucho tiempo tratando de descubrir por qué no funcionaba en mi sitio en vivo.

No recuerdo las causas exactas, pero se reduce a que mi host tiene diferentes configuraciones / permisos / etc., que mi servidor local. Si bien podría haber pasado mucho más tiempo aprendiendo sobre la administración del servidor en profundidad y tratando de hacer coincidir mis entornos locales para vivir, decidí tomar una ruta más fácil. Configuré un dominio de prueba en vivo, en realidad múltiples.

Mi plan de alojamiento es un plan compartido típico. De hecho, es el más barato que ofrece mi host, que permite complementos de dominio ilimitados pero no permite que esos dominios apunten a ninguna parte que no sea la raíz. Así que descubrí cómo usar .htaccess para redirigir dinámicamente diferentes dominios a diferentes directorios, algunas cosas simples de cortar y pegar. Luego obtuve algunos subdominios gratuitos a través de CU.CC. Si bien no los usaría para ningún sitio verdadero porque no son dominios verdaderos, es decir, no los 'posee', funcionan muy bien para las pruebas en vivo.

Uso un obsequio como clon de mi sitio en vivo, por lo que si quiero instalar un complemento o tema, puedo probarlo a fondo antes de enviarlo en vivo. Como mi dominio de prueba está en el mismo servidor, sé exactamente cómo aparecerá mi sitio en vivo. Uso otro obsequio como banco de pruebas general de WP. Y otro más para pruebas generales de webdev.

Para clonar mi sitio, uso un complemento gratuito de WP llamado 'Duplicator'. Realiza una copia de seguridad de los archivos y la base de datos de un sitio. También maneja todos los elementos de back-end de WP necesarios si desea restaurar a otro dominio. Esto funciona muy bien para mi banco de pruebas WP, ya que solo tuve que instalar WP una vez, cargarlo con mi contenido ficticio y usuarios, configurar mis preferencias de administrador como enlaces permanentes, zona horaria, etc. Ahora puedo hackear WP todo lo que quiera y luego restaurar la copia de seguridad en voluntad, para mi instalación de WP casi virgen pero configurada como quiero.

akTed
fuente
Realmente no tengo problemas para configurar un entorno de prueba. Antes de enviar el sitio en vivo, todo fue construido y probado en un VirtualBox con una instalación LAMP. Ya encontré Duplicator. Preveo más problemas para mantener sincronizados el entorno de prueba y el sitio en vivo.
Frank Kusters
No conozco ninguna forma de sincronizar. Uso Dreamweaver, que creo que tiene la capacidad, pero realmente no lo he investigado. Con Duplicator, solo me lleva unos 3 minutos hacer una copia de seguridad de mi pequeño sitio en vivo, ~ 35 MB, y copiarlo / instalarlo en mi desarrollador. Tal vez 1-2 minutos más si tengo que configurar una nueva base de datos en lugar de sobrescribir una existente. De acuerdo, esa baja cantidad de tiempo se debe a que lo he hecho innumerables veces durante las pruebas y mi sitio es pequeño. Obviamente, si su sitio es significativamente más grande, aumentará el tiempo que Duplicator tarda en realizar la copia de seguridad.
akTed
1

Si tiene miedo de que su sitio sea pirateado o afectado por malwares, le sugiero que use http://sucuri.net/

Aunque es de pago, se encargará de la seguridad de su sitio de manera bastante eficiente.

Aparte de esto, es aconsejable tomar precauciones por su parte. Obtenga la copia de seguridad de la base de datos todas las semanas. Configure la opción de copia de seguridad de la base de datos en su hosting ON y obtendrá la copia de seguridad de la base de datos en su correo una y otra vez de forma regular.

Sidh
fuente
No estoy realmente preocupado por ser hackeado. Si sucede, solo restauraremos una copia de seguridad.
Frank Kusters
@spaceknarf Pero si los atacantes han pirateado el ISP y están ejecutando scripts que apuntan a WordPress o si hay un defecto en un complemento / tema, será pirateado una y otra vez. Tener que volver a un estado limpio conocido se vuelve agotador después de un tiempo. Es mejor proteger y endurecer de manera proactiva.
JCL1178
1

Las otras respuestas tienen muchos buenos consejos, pero suponen una mayor o menor experiencia en el mantenimiento del servidor y el conocimiento de WordPress que a) puede no tener yb) puede no tener el tiempo para dedicarlo realmente a aprenderlo.

Suponiendo que ya está pagando por el alojamiento y considerando actualizar a un VPS, le recomendaría encarecidamente que se mude a un ISP que se especialice en alojamiento de WordPress y proporcione protección y recuperación de malware, controles de seguridad en complementos, copias de seguridad y actualizaciones para usted. Dos que uso para clientes ahora son Pagely y WP Engine . Una buena ventaja es que estos ISP también están optimizados para proporcionar un impulso de velocidad que WordPress a veces necesita. WP Engine también viene con un entorno de ensayo para probar ...

Si prefiere no utilizar el alojamiento administrado, le recomiendo que se suscriba a VaultPress como su principal plan de respaldo y seguridad. El nivel de servicio Premium maneja ambos (el servicio regular es solo copia de seguridad / restauración) y solo la tranquilidad vale la pena. VaultPress es bastante costoso y puede ser más costoso que usar el alojamiento administrado recomendado anteriormente.

La tercera forma de hacerlo es reconstruir la seguridad de su experiencia, complementos y capacidad de búsqueda en Google y copias de seguridad / versiones de la misma manera. Nuevamente, esto supone un nivel de experiencia con la configuración del servidor y WordPress que puede que no tenga de inmediato y recuperarse de un hack de WordPress puede ser una experiencia miserable, más aún si el atacante está ejecutando scripts en el shell.

JCL1178
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.