Specjalista WordPress: wywiad z dyrektorem generalnym WP White Security Robertem Abela

Opublikowany: 2021-04-10
Białe zabezpieczenia WP

Robert Abela, kim jesteś?! Proszę się przedstawić!

Interesowałem się komputerami od dziecka. Kiedy miałem około 8 lub 9 lat, mój wujek przyniósł do domu Atari i graliśmy na nim.

Od tego czasu moje zainteresowanie rosło i dostałem swój pierwszy komputer (Amiga 500+), na którym pisałem kilka podstawowych programów.

Potem przyszedł PC (miałem 486 DX4), a potem internet. Po zbyt wielu łamaniu komputera porzuciłem szkołę inżynierii elektronicznej i dostałem swoją pierwszą pracę jako tester oprogramowania w międzynarodowej firmie programistycznej. 14 lat po zdobyciu pierwszej pracy w korporacji założyłem własną firmę WP White Security.

Robert Abela

Jak zacząłeś korzystać z WordPressa? Kiedy to było i co z nim robiłeś?

Poznałem WordPressa podczas mojej ostatniej pełnoetatowej pracy korporacyjnej jako menedżer produktu w Acunetix. Potrzebowaliśmy bloga, aby udokumentować wyniki naszych badań i zaczęliśmy korzystać z WordPressa.

Kiedy zaczęliśmy korzystać z WordPressa, zauważyliśmy, że w branży zabezpieczeń WordPressa jest wiele możliwości. Ponieważ byliśmy producentem oprogramowania zabezpieczającego aplikacje internetowe, zbudowaliśmy nawet usługę bezpieczeństwa WordPress o nazwie Website Defender. Niestety produkt nigdy nie wystartował, ale uznałem to za dobrą okazję, aby dowiedzieć się jeszcze więcej o ekosystemie WordPress.

To wszystko wystarczyło, żebym się wciągnął i tak narodził się pomysł na WP White Security. Ponieważ moje poprzednie doświadczenie dotyczyło bezpieczeństwa, założyłem WP White Security jako blog o bezpieczeństwie . Oferowaliśmy również usługi bezpieczeństwa WordPress, takie jak czyszczenie zhakowanych stron internetowych, audyt kodu źródłowego, wzmacnianie bezpieczeństwa stron WordPress i inne podobne zadania.

Później zacząłem uczyć się pisać kod i miałem idealny przypadek użycia: wtyczkę do dzienników aktywności WordPress. Zawsze żałowałem, że właściciele witryn mają zainstalowaną taką wtyczkę, zanim ich witryna zostanie zhakowana. Wtedy znacznie ułatwiłoby to życie!

To była cała motywacja, której potrzebowałem, aby rozpocząć opracowywanie pierwszej wersji dziennika aktywności WP. Kiedy wtyczka zaczęła nabierać tempa, przestaliśmy świadczyć usługi bezpieczeństwa i całkowicie skupiliśmy się na tworzeniu wtyczek do WordPressa. Reszta jest historią.

Opracowałeś kilka wtyczek bezpieczeństwa. Dlaczego zdecydowałeś się skupić na WordPressie?

Wszystko wydarzyło się naturalnie.

Ponieważ moje doświadczenie było związane z bezpieczeństwem aplikacji, wcześniej zawsze pracowałem dla firm zajmujących się oprogramowaniem zabezpieczającym. Kiedy odkryłem WordPressa w Acunetix, zobaczyłem dobrą okazję do zaangażowania się i zrobienia czegoś na WordPressie.

Nigdy tak naprawdę nie patrzyłem na inne projekty CMS (takie jak Joomla, Drupal itp.), głównie dlatego, że po prostu dobrze było zrobić coś na WordPressie, zaangażować się w społeczność i potencjalnie poznać nowych przyjaciół, co dokładnie się stało.

Jakie są mocne i słabe strony tego CMS? Czy WordPress jest bezpieczny? Dlaczego ludzie powinni inwestować we wtyczkę bezpieczeństwa ?


Moim zdaniem mocne strony WordPressa to:

  • Jest bardzo dobrze obsługiwany i udokumentowany
  • Jest wspierany przez dużą i niesamowitą społeczność
  • Rdzeń WordPressa jest bardzo stabilny, często aktualizowany i dobrze utrzymany
  • Dzięki mnóstwu wtyczek i motywów możesz zbudować dowolny rodzaj strony internetowej z WordPress

Rdzeń WordPressa jest bardzo bezpieczny. Najczęstsze problemy z bezpieczeństwem w witrynach WordPress są powodowane przez właścicieli/administratorów witryn. Na przykład;

  • Strony internetowe są źle zarządzane i mają zainstalowane niepotrzebne wtyczki, nieaktualne oprogramowanie, błędnie przypisane uprawnienia użytkownika, słabe hasła itp.
  • Użytkownicy bez doświadczenia nie wiedzą, co jest konieczne, aby witryna WordPress była bezpieczna.

Szczerze mówiąc, utrzymywanie bezpieczeństwa witryny nie jest nauką rakietową. Głównie chodzi o przestrzeganie podstawowych najlepszych praktyk bezpieczeństwa.

Czy możesz podzielić się krótkimi wskazówkami 5, aby wzmocnić bezpieczeństwo witryny WordPress?

  • Utrzymuj wszystko na bieżąco, w tym wtyczki, motywy i oczywiście wersję WordPressa. Dotyczy to również Twojego komputera, smartfona i każdego innego posiadanego urządzenia.
  • Przypisz odpowiednie uprawnienia. Role użytkowników WordPress mają do odegrania znaczącą rolę w ogólnym bezpieczeństwie Twojej witryny. Prosta czynność przypisania zbyt wielu umiejętności niewłaściwej osobie może mieć potencjalnie katastrofalne konsekwencje.
  • Zbadaj wtyczki przed ich zainstalowaniem. Ponadto instaluj tylko te wtyczki, których potrzebujesz. Niektóre rzeczy, o których należy pamiętać przy wyborze wtyczek do witryny WordPress, to: oceny wtyczek, recenzje użytkowników, liczba aktywnych instalacji wtyczki, wsparcie, czas reakcji programisty i dokumentacja.
  • Hartowanie – jest wiele do zrobienia, jeśli chodzi o utwardzanie WordPressa. Możesz jednak zacząć od kilku prostych kroków, takich jak wdrożenie 2FA, poprawa bezpieczeństwa haseł i wyłączenie tego, czego nie potrzebujesz.
  • Bezpieczeństwo powinno być częścią Twoich codziennych zadań. Bezpieczeństwo WordPress nie jest jednorazową poprawką, ale procesem ciągłego testowania zabezpieczeń i iteracji w celu poprawy stanu bezpieczeństwa witryny.

Skupmy się na twoich wtyczkach: dlaczego stworzyłeś dziennik aktywności WP?

Wpadłem na ten pomysł w czasach, gdy czyściłem zhakowane strony internetowe. Pomyślałem, że logi są niezbędne do zarządzania stroną internetową, ale są również przydatne podczas prac kryminalistycznych, gdzie mogą pomóc zrozumieć, co się stało i co zostało wykorzystane.

Ponieważ WordPress nie ma żadnych dzienników, zacząłem tworzyć dziennik aktywności WP. Na dzień dzisiejszy mamy sześć wtyczek, z których wszystkie koncentrują się na bezpieczeństwie WordPress i zarządzaniu użytkownikami.

Dziennik aktywności WP : kompleksowa wtyczka monitorowania użytkowników i dziennika aktywności w czasie rzeczywistym, która pomaga tysiącom administratorów WordPress i specjalistów ds. Bezpieczeństwa śledzić, co dzieje się na ich stronach internetowych.

Menedżer polityki haseł : ta wtyczka umożliwia skonfigurowanie silnych zasad haseł dla witryny WordPress i sieci wielostanowiskowej.

WP 2FA : martwa, łatwa w użyciu wtyczka do uwierzytelniania dwuskładnikowego, dzięki której możesz wzmocnić bezpieczeństwo swojego logowania użytkownika WordPress w ciągu kilku sekund.

Monitor zmian plików witryny : wtyczka do monitorowania integralności plików z ekskluzywną inteligentną technologią, która rozpoznaje zmiany rdzenia WordPressa, wtyczek i motywów, dzięki czemu nie wywołuje fałszywych alarmów o legalnych zmianach plików.

Dzienniki aktywności dla MainWP : jest to rozszerzenie MainWP, którego administratorzy i agencje używają do śledzenia tego, co dzieje się w witrynach podrzędnych z jednego centralnego portalu - pulpitu nawigacyjnego MainWP.

Menedżer powiadomień administratora : ta wtyczka zarządza powiadomieniami administratora na pulpicie WordPress. Pomysł jest prosty, mieć bezpłatny pulpit nawigacyjny i czytać powiadomienia administratora w dogodnym dla siebie czasie i nigdy nie przegapić ważnego rdzenia WordPressa lub wiadomości dla programistów.

Od czasu do czasu ludzie pytają nas, dlaczego tworzymy wtyczki do jednego celu zamiast jednej „ogólnej” wtyczki bezpieczeństwa. Jednym z powodów jest łatwość użytkowania. Ogólne wtyczki bezpieczeństwa mogą być nieco przytłaczające dla użytkowników.

Kiedy tworzysz wtyczkę o jednym przeznaczeniu, możesz specjalizować się w tym obszarze i skupić się na budowaniu bardziej solidnych funkcji, co oczywiście jest dobre dla użytkowników o określonych potrzebach. Tak samo jest ze wszystkim innym. Posłużmy się przykładem analogii aparatu smartfona z lustrzanką cyfrową; Chociaż obecnie większość telefonów ma dobre aparaty, nie można porównać takiego aparatu do lustrzanek cyfrowych, ponieważ bez względu na to, jak dobry jest telefon z aparatem, nigdy nie będzie on miał wszechstronności, funkcji i opcji aparatu cyfrowego.

Jak widzisz rozwój WordPressa w przyszłości?

WordPress zaczynał jako skromna platforma blogowa, a dziś jest używany do blogów, stron internetowych, rozwiązań e-commerce, a także jako rozwiązanie backendowe dla wielu projektów internetowych.

Jej udział w rynku również szybko rośnie, więc przyszłość jest zdecydowanie ciekawa.

Im szerzej się to przyjmuje, tym większe jest nią zainteresowanie. Oznacza to, że więcej firm zainwestuje w ekosystem WordPress, co zazwyczaj prowadzi do większej liczby innowacji , nowych produktów i nowych sposobów korzystania z niego, większej liczby integracji, a przede wszystkim bezpieczniejszego WordPressa.

A co z dziennikiem aktywności WP?

W tym roku skupiamy się na refaktoryzacji rdzenia wtyczki i jej funkcji. Ponadto, będąc rozwiązaniem do rejestrowania aktywności, koncentrujemy się również na integracjach, czego wymagają większe firmy.

Na przykład zapisywanie dzienników do rozwiązań innych firm, integracje z rozwiązaniami takimi jak Splunk i centralne systemy rejestrowania.

Oprócz tego mamy również ciekawą mapę drogową dla wszystkich innych wtyczek, zwłaszcza WP 2FA. W tym roku dodamy wiele nowych funkcji, więc bądźcie czujni!