Профессионал WordPress: интервью с генеральным директором WP White Security Робертом Абелой

Опубликовано: 2021-04-10
WP Белая Безопасность

Роберт Абела, кто ты?! Пожалуйста, представьтесь!

Я интересовался компьютерами с детства. Когда мне было 8 или 9 лет, мой дядя принес домой Atari, и мы играли на ней в игры.

С тех пор мой интерес рос, и у меня появился первый компьютер (Amiga 500+), на котором я писал базовые программы.

Потом появился ПК (у меня был 486 DX4), а потом и интернет. Слишком много раз ломая свой компьютер, я бросил школу инженеров-электронщиков и устроился на свою первую работу в области ИТ в качестве тестировщика программного обеспечения в международной компании-разработчике программного обеспечения. Спустя 14 лет после того, как я получил свою первую корпоративную работу, я основал собственную компанию WP White Security.

Роберт Абела

Как вы начали использовать WordPress? Когда это было и что вы с ним делали?

Я узнал о WordPress во время моей последней корпоративной работы в качестве менеджера по продукту в Acunetix. Нам нужен был блог, чтобы задокументировать результаты наших исследований, и мы начали использовать WordPress.

Как только мы начали использовать WordPress, мы заметили, что в индустрии безопасности WordPress есть много возможностей. Поскольку мы были компанией, занимающейся разработкой программного обеспечения для обеспечения безопасности веб-приложений, мы даже создали службу безопасности WordPress под названием Website Defender. К сожалению, продукт так и не стал популярным, но я посчитал это хорошей возможностью узнать больше об экосистеме WordPress.

Всего этого было достаточно, чтобы зацепить меня, и так родилась идея WP White Security. Поскольку мой предыдущий опыт был связан с безопасностью, я запустил WP White Security в качестве блога по безопасности . Мы также предлагали услуги безопасности WordPress, такие как очистка взломанных веб-сайтов, аудит исходного кода, усиление безопасности веб-сайтов WordPress и другие подобные работы.

Позже я начал учиться писать код, и у меня был идеальный вариант использования: плагин журналов активности WordPress. Я всегда хотел, чтобы владельцы веб-сайтов установили такой плагин до того, как их веб-сайт был взломан. Тогда это сильно облегчило бы жизнь!

Это была вся мотивация, которая мне понадобилась, чтобы начать разработку первой версии WP Activity Log. Когда плагин начал набирать обороты, мы прекратили предоставление услуг безопасности и полностью сосредоточились на разработке плагинов для WordPress. Остальное уже история.

Вы разработали несколько плагинов безопасности. Почему вы решили сосредоточиться на WordPress?

Все произошло естественным путем.

Поскольку я занимался безопасностью приложений, раньше я всегда работал в компаниях, занимающихся разработкой программного обеспечения для обеспечения безопасности. Когда я открыл для себя WordPress в Acunetix, я увидел хорошую возможность принять участие и сделать что-то на WordPress.

Я никогда особо не смотрел на другие CMS-проекты (такие как Joomla, Drupal и т. д.), в основном потому, что было приятно делать что-то на WordPress, участвовать в сообществе и потенциально заводить новых друзей, что и произошло.

Каковы сильные и слабые стороны этой CMS? Безопасен ли WordPress? Почему люди должны инвестировать в плагин безопасности ?


На мой взгляд, сильные стороны WordPress:

  • Он очень хорошо поддерживается и документирован
  • Он поддерживается большим и удивительным сообществом
  • Ядро WordPress очень стабильное, часто обновляется и поддерживается в хорошем состоянии.
  • Благодаря множеству плагинов и тем вы можете создать сайт любого типа с помощью WordPress.

Ядро WordPress очень безопасно. Наиболее распространенные проблемы безопасности с веб-сайтами WordPress вызваны владельцами / администраторами сайта. Например;

  • Веб-сайты плохо управляются, на них установлены ненужные плагины, устаревшее программное обеспечение, неправильно назначенные права пользователя, слабые пароли и т. д.
  • Пользователи без опыта не знают о том, что необходимо для обеспечения безопасности сайта WordPress.

Откровенно говоря, обеспечение безопасности сайта — это не высшая математика. В основном речь идет о следовании некоторым основным рекомендациям по безопасности.

Не могли бы вы поделиться 5 быстрыми советами по усилению безопасности веб-сайта WordPress?

  • Поддерживайте все в актуальном состоянии, включая плагины, темы и, конечно же, версию WordPress. Это также относится к вашему компьютеру, смартфону и любому другому устройству, которым вы владеете.
  • Назначьте правильные привилегии. Роли пользователей WordPress играют важную роль в общей безопасности вашего сайта. Простое действие по назначению слишком многих способностей не тому человеку может иметь потенциально катастрофические последствия.
  • Исследуйте плагины перед их установкой. Кроме того, устанавливайте только те плагины, которые вам нужны. При выборе плагинов для вашего веб-сайта WordPress следует помнить о следующих вещах: рейтинги плагинов, отзывы пользователей, количество активных установок плагина, поддержка, отзывчивость разработчиков и документация.
  • Усиление — многое можно сделать, когда речь идет об укреплении WordPress. Однако вы можете начать с нескольких простых шагов, таких как внедрение 2FA, повышение безопасности паролей и отключение того, что вам не нужно.
  • Безопасность должна быть частью ваших повседневных задач. Безопасность WordPress — это не разовое исправление, а процесс постоянного тестирования вашей защиты и итерации, чтобы улучшить состояние безопасности вашего сайта.

Давайте сосредоточимся на ваших плагинах: зачем вы создали журнал активности WP?

Идея появилась у меня еще в те дни, когда я чистил взломанные сайты. Я думал, что журналы жизненно важны для управления веб-сайтом, но они также полезны во время криминалистической работы, где они могут помочь вам понять, что произошло и что было использовано.

Поскольку у WordPress нет журналов, я начал разрабатывать журнал активности WP. На сегодняшний день у нас есть шесть плагинов, каждый из которых ориентирован на безопасность WordPress и управление пользователями.

Журнал активности WP : комплексный плагин для мониторинга пользователей и журнала активности в реальном времени, который помогает тысячам администраторов WordPress и специалистов по безопасности следить за тем, что происходит на их веб-сайтах.

Менеджер политик паролей : этот плагин позволяет настроить политики надежных паролей для вашего веб-сайта WordPress и многосайтовой сети.

WP 2FA : чрезвычайно простой в использовании плагин двухфакторной аутентификации, с помощью которого вы можете усилить безопасность входа в систему WordPress за считанные секунды.

Монитор изменений файлов веб -сайта: плагин для мониторинга целостности файлов с эксклюзивной интеллектуальной технологией, которая распознает изменения ядра WordPress, плагинов и тем, поэтому он не вызывает ложных тревог о законных изменениях файлов.

Журналы действий для MainWP : это расширение MainWP, которое администраторы и агентства используют для наблюдения за тем, что происходит на дочерних сайтах, с одного центрального портала — панели управления MainWP.

Менеджер уведомлений администратора : этот плагин управляет уведомлениями администратора на панели инструментов WordPress. Идея проста: иметь панель инструментов, не отвлекающую внимание, читать уведомления администратора в удобное для вас время и никогда не пропускать важное сообщение ядра WordPress или сообщения разработчика.

Время от времени люди спрашивают нас, почему мы разрабатываем плагины для одной цели, а не один «общий» плагин безопасности. Одна из причин — простота использования. Универсальные плагины безопасности могут быть немного сложными для пользователей.

Когда вы разрабатываете плагин для одной цели, вы можете специализироваться в этой области и сосредоточиться на создании более надежных функций, что, конечно, хорошо для пользователей с особыми потребностями. То же самое и со всем остальным. Давайте используем аналогию камеры смартфона и DSLR в качестве примера; даже несмотря на то, что в настоящее время большинство телефонов имеют хорошие камеры, вы не можете сравнить такую ​​камеру с зеркальными фотокамерами, потому что независимо от того, насколько хорош ваш телефон с камерой, он никогда не будет обладать универсальностью, функциями и опциями цифровой камеры.

Как вы видите развитие WordPress в будущем?

WordPress начинался как скромная платформа для ведения блогов, а сегодня он используется для блогов, веб-сайтов, решений для электронной коммерции, а также в качестве серверного решения для многих веб-проектов.

Его доля на рынке также быстро растет, поэтому будущее определенно интересно.

Чем более широкое распространение он получает, тем больше к нему интереса. Это означает, что больше компаний будут инвестировать в экосистему WordPress, что обычно приводит к большему количеству инноваций , новых продуктов и новых способов ее использования, большему количеству интеграций и, прежде всего, более безопасному WordPress.

Как насчет журнала активности WP?

В этом году мы сосредоточимся на рефакторинге ядра плагина и его функций. Вдобавок ко всему, будучи решением для журнала активности, мы также уделяем особое внимание интеграции, что требуется более крупным предприятиям.

Например, запись журналов для сторонних решений, интеграция с такими решениями, как Splunk, и центральные системы ведения журналов.

Кроме того, у нас также есть интересная дорожная карта для всех других плагинов, особенно для WP 2FA. В этом году мы добавим много новых функций, так что следите за обновлениями!