Comment gérer professionnellement un site Web?

19

Ma femme a lancé une entreprise et le site Web est un moyen important d'atteindre des clients potentiels. Je suis développeur de logiciels, donc, bien sûr, je m'occupe des aspects techniques. J'ai organisé un hébergeur et téléchargé et configuré WordPress (qui, avec un thème décent, correspond bien à notre facture). Ma femme a une certaine connaissance du HTML et du CSS, elle peut donc personnaliser elle-même le site Web.

Maintenant, je veux professionnaliser ce genre de choses. Si quelque chose de stupide se produit (gâcher accidentellement un fichier, bogue dans la mise à jour WordPress, le site est piraté), nous perdons tout le site.

De quoi ai-je besoin pour gérer le site? En cherchant sur ce sujet, je ne trouve que des tutoriels FTP, ce qui n'est pas tout à fait le niveau d'informations que je recherche. J'ai pensé:

  • sauvegarde de fichiers + base de données (je les ai déjà, mais je n'ai pas testé si la restauration fonctionne)
  • un environnement de test local pour éditer le thème et tester les mises à jour de wordpress
  • un plan de test, contenant certaines choses à tester avant de télécharger l'environnement de test sur le site en direct
  • versioning - en cas de problème, nous devrions pouvoir passer à une version précédente.
  • surveillance de la disponibilité - si le site tombe en panne, je n'aurai pas à l'entendre des clients

Suggéré par bybe , principalement lié à la sécurité:

  • utiliser un VPS. Cela me protégera des attaques contre d'autres comptes d'hébergement partagé, mais cela ouvre une autre boîte de vers, car je dois protéger le serveur moi-même .
  • supprimer les autorisations d'écriture sur tous les fichiers qui n'ont pas besoin d'être accessibles en écriture (fichiers modèles, .htaccess)
  • abonnez-vous à la liste de diffusion CMS (Wordpress dans ce cas) et mettez-le à jour dès que de nouvelles versions sont disponibles
  • minimiser le nombre de plugins CMS - ils ont leurs propres vulnérabilités
  • supprimer le compte administrateur par défaut du CMS
  • mettre le site en mode maintenance lors de la modification. Il permet une sauvegarde cohérente et est plus agréable pour les visiteurs.

Y a-t-il quelque chose qui manque dans cette liste?

Frank Kusters
la source
À moins que l'entreprise de votre femme n'ait une raison d'être ciblée, il semble que vous allez un peu trop loin. Cette question s'apparente à "comment puis-je rester en sécurité en public?" Vous devez mesurer la menace avant de faire un plan pour y faire face. Vous pourriez camper à l'extérieur du centre de données avec un AK-47 chargé au cas où un cambrioleur se présenterait pour voler des serveurs, mais ce serait tout simplement ridicule. Il en serait de même pour la plupart de ces choses.
L'entreprise de ma femme n'a pas de raison spécifique d'être ciblée, mais son site Web intéresse tout pirate. Jetez un oeil à cela . Les étapes ci-dessus ne sont pas difficiles et ne coûtent pas d'argent, mais les rendent beaucoup plus difficiles pour les pirates.
Frank Kusters
Veuillez choisir un meilleur titre, c'est trop général et j'allais voter contre si je n'avais pas lu votre question.
Omne

Réponses:

11

Bonnes questions, la sécurité est votre principal problème et est la même pour tous ceux qui cherchent à gérer leurs propres sites Web. WordPress n'est pas le système de gestion de contenu le plus sécurisé de la planète, mais il peut être sécurisé avec un bon hébergement et une bonne connaissance des éléments à sécuriser et à garantir.

Hébergement

Le moyen le plus sûr d'héberger votre site est dans un VPS ou dédié en supposant que vous avez une bonne sécurité sur le système d'exploitation. Le problème avec l'hébergement partagé est que les logiciels malveillants peuvent se propager d'un compte à un autre, même s'ils sont en prison, ces pirates trouvent leur chemin et infectent plusieurs sites. GoDaddy par exemple a été piraté le mois dernier et a laissé 100 000 sites Web piratés avec des inserts de backlink gris.

D'après ce que j'ai lu, vous voulez aller avec un VPS mais important que vous vouliez quelque chose pour gérer vos sauvegardes, ce dont vous avez besoin est un VPS avec CentOS6 avec Cpanel. Vous devrez payer un supplément pour le Cpanel, mais cela rendra la configuration des sites Web et la sauvegarde de la base de données et du système de fichiers automatisés ainsi que l'envoi de courriels quotidiennement lorsque la sauvegarde est terminée ou a échoué pour une raison ou une autre.

Maintenant, je ne sais pas à quel point vous avez de solides compétences au sein de Linux, mais VPS peut souvent poser d'autres problèmes de sécurité si vous n'êtes pas fort dans ce département. Heureusement, de nos jours, nous avons des choses comme Google et vous pouvez à peu près apprendre à sécuriser votre VPS en toute simplicité. La chose fondamentale à propos de votre boîte VPS est de vous assurer que vous utilisez une clé SSL que vous avez sur votre ordinateur, ce qui signifie que même s'ils connaissent le mot de passe, ils ne peuvent pas accéder à votre système sans cette certification. De plus, pour empêcher les gens de deviner le mot de passe, vous pouvez toujours changer le port ssh.

Il y a beaucoup de choses que vous pouvez faire pour empêcher l'accès à votre Box et Google sert le mieux, il y en a beaucoup trop à énumérer.

WordPress

La sécurisation de Wordpress est assez simple, mon meilleur conseil est de sécuriser les fichiers de modèle dans le /wp-content/themes directory. Étant donné que votre femme ne modifiera pas les fichiers de modèle, vous souhaitez les modifier afin qu'ils ne puissent pas être écrits directement depuis WordPress. Il y a un paramètre dans le configuration.phpvous pouvez définir mais sérieusement tout chmod les utiliser FTP ou si vous allez utiliser un VPS changer la propriété de ces fichiers www-dataà root. De cette façon, ils ne peuvent pas être modifiés depuis WordPress ou tout autre logiciel exécuté sur le serveur. La plupart des injections, basées sur des scripts, attaqueront les index.phpfichiers des modèles et ajouteront le malware. De plus, il y a quelques .htaccessattaques de redirection, donc modifiez à nouveau le .htaccessfichier en écriture une fois que vous avez les paramètres souhaités, ou changez de nouveau de www-data à root. Égalementconfiguration.php vous devez définir sur root ou chmod afin qu'il ne puisse pas être lu par les invités et les étrangers.

Ne sous-estimez pas la puissance du CHMOD, plus vous pouvez rendre de fichiers inscriptibles, mieux c'est. Essayez d'éviter les plugins WordPress inutiles. Bien que certains soient excellents, demandez-vous si vous en avez besoin. Plus vous en avez installé, plus vos hackers doivent jouer avec, évitez donc les plugins autant que vous le pouvez et ne plongez pas le site avec eux.

WordPress met à jour toutes les semaines ou tous les mois, mettez à jour dès que possible - Il y a une raison pour laquelle ils ont autant de mises à jour et l'un d'eux est les problèmes de sécurité et les failles qu'ils ont trouvés.

De plus, par défaut, vous aurez un compte "admin" "mot de passe", créez un autre administrateur tel que vos noms de femme avec un bon mot de passe. Supprimez ensuite ce compte administrateur.

Plan de test

Vous pouvez toujours imiter votre site, c'est-à-dire avoir un clone. En utilisant cpanel, vous pouvez configurer un sous-domaine test.subdomain.com et le faire exécuter le même WordPress avec un clone de la base de données.

Personnellement, si vous n'utilisez pas d'extensions majeures pour WordPress, vous pouvez simplement mettre le site hors ligne, c'est-à-dire Maintenance en cours. puis mettez à jour le système, si quelque chose ne va pas, vous avez la sauvegarde automatisée ou une sauvegarde que vous avez effectuée pendant la maintenance. de cette façon, votre coffre-fort de toute façon.

Il est toujours préférable de mettre à jour en mode maintenance, tandis que certaines mises à jour ne demandent pas, d'autres le font. Il est préférable de le mettre hors ligne afin d'avoir un bon magasin de snap.

Versioning Avec chaque sauvegarde quotidienne que vous faites, il y aura une date, à l'intérieur du GZ / Zip, vous pourrez lire le fichier de configuration avec les numéros de version de WordPress.

Les systèmes Uptime Good Vps le surveilleront et redémarreront si nécessaire, puisque vous utilisez le serveur, vous pouvez toujours installer un travail cron qui vous enverra un e-mail si le serveur tombe en panne, mais encore une fois. Un bon serveur ne tombe jamais vraiment en panne, choisissez une bonne entreprise VPS qui fonctionne sur un cloud avec des alimentations et du matériel redondants, Rackspace par exemple, ou Amazon travaille sur un cloud.

Version de test Encore une fois, clonez le site sur un sous-domaine qui utilise un mot de passe .htaccess.

J'espère que cela vous aidera et si vous avez des questions supplémentaires, n'hésitez pas à les poser.

Simon Hayter
la source
1
Il y a de bons conseils ici. Je vais l'ajouter à la liste dans ma question.
Frank Kusters
J'ai choisi un hébergeur fonctionnant sur un cluster pour plus de fiabilité. Mais les erreurs de configuration ne sont pas détectées par leur logiciel de disponibilité - je vais devoir m'en occuper moi-même.
Frank Kusters
2

Vous voudrez certainement rester simple. Mais en fin de compte, cela dépend du type de site que vous recherchez (les gens pourront-ils acheter des trucs?).

Si vous avez un simple site WordPress, alors vous voudrez faire des sauvegardes (ou assurez-vous que la copie sur le serveur public n'est pas la seule copie; ne sauvegardez pas les fichiers statiques du serveur mais faites la sauvegarde de la base de données chaque semaine). Pour les grands sites ou si vous stockez des données utilisateur sur la base de données, sauvegardez plus souvent.

Pour les grands sites de commerce électronique, il peut être judicieux d'investir dans un certificat SSL pour gagner la confiance des visiteurs et crypter les données (vous pouvez générer gratuitement votre propre certificat auto-signé, mais il ne doit être utilisé que dans un environnement de développement).

Envisagez certainement de louer un VPS ou même un serveur dédié si vous êtes concerné par la sécurité; il offre une plus grande flexibilité mais avec le pouvoir vient la responsabilité (et aussi le potentiel de gâcher les choses). Vous pouvez devenir très sophistiqué et configurer des bases de données synchronisées sur des serveurs distants, utiliser rsyncpour sauvegarder les données selon un calendrier, etc. Mais encore une fois, restez simple.

Pour un environnement de test, ce n'est pas une mauvaise idée, et probablement une bonne chose si vous changez souvent la conception et le contenu, mais vous voulez vous assurer que les versions et les paramètres WP sont identiques. Très important.

Enfin, restez simple. Les erreurs humaines lors de la suppression / de la confusion des fichiers sont la principale cause de perte de données. Les pirates ne le sont pas.

ionFish
la source
Le site Internet contient principalement un portfolio et un bon de commande. S'il est en panne, cela signifie que les clients ne peuvent pas trouver l'entreprise de ma femme. Ce n'est pas un "site e-commerce plus grand" - si c'était le cas, je ne le ferais pas pendant mon temps libre. VPS met beaucoup plus de puissance entre mes mains que nécessaire - l'hébergement partagé est très bien. La fiabilité du site est prise en charge par l'hébergeur. Merci pour le conseil.
Frank Kusters
2

Je suis moi-même un nouveau webmaster, donc je suis loin d'être un expert. Ce que je peux vous dire, cependant, ce sont mes propres expériences au cours des derniers mois. Un peu d'histoire: je suis un gars Windows avec peu d'expérience Linux / Apache, compétent en PHP / HTML / CSS, avec une connaissance de base décente de WordPress (WP).

J'ai installé un environnement de test local avec XAMPP et j'ai passé beaucoup de temps à installer / configurer / supprimer WP. J'ai ensuite passé quelques jours à apprendre le développement de plugins WP. J'ai tout fait localement, en créant un petit plugin. Je l'ai bien fonctionné, je l'ai téléchargé en direct, puis j'ai dû passer beaucoup de temps à essayer de comprendre pourquoi cela ne fonctionnait pas sur mon site en direct.

Je ne me souviens pas des causes exactes, mais cela revient à mon hôte ayant des paramètres / autorisations / etc. différents de ceux de mon serveur local. Bien que j'aurais pu passer beaucoup plus de temps à apprendre en détail la gestion des serveurs et à essayer de faire correspondre mes environnements locaux à vivants, j'ai décidé de prendre un itinéraire plus facile. J'ai configuré un domaine de test en direct - plusieurs en fait.

Mon plan d'hébergement est un plan partagé typique. En fait, c'est le moins cher proposé par mon hôte, qui permet des extensions de domaine illimitées mais ne permet pas à ces domaines de pointer ailleurs que vers la racine. J'ai donc découvert comment utiliser .htaccess pour rediriger dynamiquement différents domaines vers différents répertoires, quelques trucs simples à couper et coller. Ensuite, j'ai obtenu des sous-domaines gratuits via CU.CC. Bien que je ne les utiliserais pas pour de vrais sites, car ce ne sont pas de vrais domaines, c'est-à-dire que vous ne les "possédez" pas, ils fonctionnent très bien pour les tests en direct.

J'utilise un cadeau comme clone de mon site en direct, donc si je veux installer un plugin ou un thème, je peux le tester à fond avant de l'envoyer en direct. Étant donné que mon domaine de test est sur le même serveur, je sais exactement comment mon site en direct apparaîtra. J'utilise un autre cadeau comme banc d'essai général de WP. Et encore un autre pour les tests généraux de webdev.

Pour cloner mon site, j'utilise un plugin WP gratuit appelé «Duplicator». Il sauvegarde les fichiers et la base de données d'un site. Il gère également tous les éléments de backend WP nécessaires si vous souhaitez restaurer vers un autre domaine. Cela fonctionne très bien pour mon banc d'essai WP, car je n'ai dû installer WP qu'une seule fois, le charger avec mon contenu factice et mes utilisateurs, configurer mes préférences administratives comme les permaliens, le fuseau horaire, etc. Maintenant, je peux pirater WP tout ce que je veux, puis restaurer la sauvegarde à sera, pour mon installation WP presque vierge encore configurée comme je le veux.

akTed
la source
Je n'ai pas vraiment de problèmes avec la configuration d'un environnement de test. Avant d'envoyer le site en direct, tout a été construit et testé dans une VirtualBox avec une installation LAMP. J'ai déjà trouvé Duplicator. Je prévois plus de problèmes avec la synchronisation de l'environnement de test et du site en direct.
Frank Kusters
Je ne connais aucun moyen de synchroniser. J'utilise Dreamweaver, qui je pense a la capacité mais je ne l'ai pas vraiment examiné. En utilisant Duplicator, il ne me faut que 3 minutes environ pour sauvegarder mon petit site en direct - ~ 35 Mo - et le copier / installer sur mon développeur. Peut-être 1 à 2 minutes de plus si je dois configurer une nouvelle base de données au lieu de simplement remplacer une existante. Certes, ce peu de temps est dû au fait que je l'ai fait d'innombrables fois pendant les tests et que mon site est petit. Évidemment, si votre site est beaucoup plus grand, le temps de copie de Duplicator augmentera.
akTed
1

Si vous avez peur que votre site soit piraté ou affecté par des malwares, je vous suggère d'utiliser le http://sucuri.net/

Bien qu'il soit payant, il assurera la sécurité de votre site de manière assez efficace.

En dehors de cela, il est conseillé de prendre des précautions de votre côté. Obtenez la sauvegarde de la base de données chaque semaine. Réglez l'option de sauvegarde de la base de données dans votre hébergement sur ON et vous obtiendrez régulièrement la sauvegarde de la base de données dans votre courrier.

Sidh
la source
Je ne suis pas vraiment inquiet de me faire pirater. Si cela se produit, nous restaurerons simplement une sauvegarde.
Frank Kusters
@spaceknarf Mais si les attaquants ont piraté le FAI et exécutent des scripts qui ciblent WordPress ou s'il y a une faille dans un plugin / thème, vous serez piraté encore et encore. Devoir revenir à un état de propreté connu devient fatigant après un certain temps. Mieux vaut protéger et durcir de manière proactive.
JCL1178
1

Les autres réponses ont beaucoup de bons conseils mais supposent une expertise plus ou moins grande en maintenance de serveur et des connaissances WordPress que vous a) ne possédez peut-être pas et b) n'avez peut-être pas le temps de consacrer à vraiment l'apprendre.

En supposant que vous payez déjà pour l'hébergement et que vous envisagez de passer à un VPS, je recommanderais fortement de passer à un FAI spécialisé dans l'hébergement WordPress et qui offre une protection et une récupération contre les logiciels malveillants, des contrôles de sécurité sur les plugins, les sauvegardes et les mises à niveau de base pour vous. Deux que j'utilise maintenant pour les clients sont Pagely et WP Engine . Un bon bonus est que ces FAI sont également optimisés pour fournir un boost de vitesse dont WordPress a parfois besoin. WP Engine est également livré avec un environnement de test pour tester ...

Si vous préférez ne pas utiliser l'hébergement géré, je vous recommande FORTEMENT de vous abonner à VaultPress comme plan de sauvegarde et de sécurité principal. Le niveau de service Premium gère les deux (le service régulier n'est que sauvegarde / restauration) et la tranquillité d'esprit vaut les frais. VaultPress est assez cher et peut être plus cher que l'utilisation de l'hébergement géré recommandé ci-dessus.

La troisième voie à suivre consiste à reconstituer la sécurité de votre expérience, de vos plugins et de votre capacité à rechercher sur Google et à sauvegarder / gérer les versions de la même manière. Encore une fois, cela suppose un niveau d'expertise avec la configuration du serveur et WordPress que vous n'avez peut-être pas tout de suite et la récupération à partir d'un piratage WordPress peut être une expérience misérable, d'autant plus si l'attaquant exécute des scripts dans le shell.

JCL1178
la source