it-swarm.com.de

Staging Site: Öffentlich gemacht - Sicherheitsfragen

Bisher war unsere Staging-Site nur für den lokalen Zugriff gesperrt. Wir haben einen Entwickler von Drittanbietern beauftragt, mit der Remote-Lösung eines Themas über unseren "lokalen Staging-Server" zu helfen. Um ihnen Zugriff zu gewähren, haben wir den Staging-Server extern mit einem A-Eintrag im DNS in die Staging-Unterdomäne aufgelöst.

Nach meinem Verständnis ist dies keine bewährte Methode, und ich dachte, wir müssen sie weiter absichern. Beschränke ich den Zugriff auf die gesamte Subdomain per IP oder Passwort, oder gibt es eine bessere Methode?

2
beta208

Ob Sie eine Staging-Site sperren oder nicht, hängt davon ab, wie sehr es Sie stört, wenn die Öffentlichkeit versehentlich eine Site sieht, die "in Arbeit" ist. Normalerweise halte ich es eher für eine Markenentscheidung als für eine Sicherheitsentscheidung.

(Dies würde natürlich nicht zutreffen, wenn Sie gerade eine sichere Anwendung entwickeln, die möglicherweise fehlerhaft ist, aber Wordpress-Themes verursachen - insbesondere, wenn sie auf der Staging-Site angekommen sind - wahrscheinlich keine Sicherheitsrisiko).

Eine Sache, die ich empfehlen würde, ist Einstellungen -> Lesen, indem Sie die Option ankreuzen, die Suchmaschinen vom Crawlen der Site abhält. Das Letzte, was Sie möchten, ist eine Website, die in den Suchergebnissen nicht vollständig angezeigt wird.

Ansonsten besteht die einzige Möglichkeit für jemanden, die Site zu finden, darin, die URL zu kennen. Für eine temporäre Staging-Site ist dies normalerweise ausreichend sicher.

Wenn Sie sich Sorgen machen, sind einige schnelle Möglichkeiten, dies weiter einzuschränken:

  • Installieren Sie ein Wartungs-Plugin (es gibt viele im Plugin-Verzeichnis). Diese funktionieren, indem Sie Ihre Site sperren und allen Benutzern, die nicht angemeldet sind, eine Wartungsseite anzeigen. Sie können also einfach Benutzer in WP für diejenigen erstellen, denen Sie Zugriff gewähren möchten.

  • Fügen Sie .htaccess IP-Blockierung oder Kennwortschutz hinzu. Dies ist auch ziemlich einfach zu tun, diese StackOverfow-Antwort befasst sich mit IP-Erlaubnis und diese Antwort geht durch Passwortschutz.

  • Als noch schnellere Alternative zur ersten Option können Sie if( !is_user_logged_in() ){ die(); } am oberen Rand von header.php im Design hinzufügen. Dann sieht jeder unerwartete Besucher nur eine leere Seite. (Danke an @ shahar in den Kommentaren)

Wenn Sie die Suchmaschine davon abhalten, diese Option auf der Seite "Lesen" zu durchsuchen, machen Sie sich irgendwo eine Notiz, um sie wieder einzuschalten, wenn Sie live gehen. Es gibt fast nichts Schlimmeres, als das zu vergessen!

3
Tim Malone