it-swarm.com.de

Wie verwalte ich eine Website professionell?

Meine Frau hat ein Unternehmen gegründet und die Website ist ein wichtiger Weg, um potenzielle Kunden zu erreichen. Ich bin ein Softwareentwickler, also kümmere ich mich natürlich um die technischen Dinge. Ich habe einen Webhost eingerichtet und WordPress hochgeladen und konfiguriert (was zusammen mit einem anständigen Thema gut zu unserer Rechnung passt). Meine Frau verfügt über einige HTML- und CSS-Kenntnisse, sodass sie die Website selbst anpassen kann.

Jetzt möchte ich dieses Zeug professionalisieren. Wenn irgendetwas Dummes passiert (versehentlich eine Datei durcheinander gebracht, Fehler in WordPress Update, Site wird gehackt), verlieren wir die gesamte Site.

Was brauche ich, um die Site zu verwalten? Wenn ich dieses Thema google, finde ich nur FTP-Tutorials, was nicht ganz dem Informationsstand entspricht, den ich anstrebe. Ich habe gedacht:

  • backup von Dateien + Datenbank (Ich habe diese bereits, aber ich habe nicht getestet, ob die Wiederherstellung funktioniert)
  • eine lokale Testumgebung zum Bearbeiten des Themas und Testen von wordpress Updates
  • einen Testplan, der einige zu testende Dinge enthält, bevor die Testumgebung auf die Live-Site hochgeladen wird
  • versionierung - sollte etwas schief gehen, sollten wir in der Lage sein, zu einer früheren Version zu wechseln.
  • betriebszeitüberwachung - Wenn die Website ausfällt, muss ich sie nicht von Kunden hören

Vorgeschlagen von bybe , hauptsächlich aus Sicherheitsgründen:

  • benutze einen VPS. Dies schützt mich vor Angriffen auf andere gemeinsam genutzte Hosting-Accounts, eröffnet jedoch eine weitere Dose Würmer, da ich den Server selbst schützen muss .
  • schreibberechtigungen für alle Dateien entfernen, die nicht beschreibbar sein müssen (Vorlagendateien, .htaccess)
  • abonnieren Sie die CMS-Mailingliste (in diesem Fall Wordpress) und aktualisieren Sie diese, sobald neue Versionen verfügbar sind
  • minimieren Sie die Anzahl der CMS-Plugins - sie haben ihre eigenen Schwachstellen
  • entfernen Sie das Standard-Administratorkonto des CMS
  • versetzen Sie die Website beim Ändern in den Wartungsmodus. Es ermöglicht ein konsistentes Backup und ist für die Besucher angenehmer.

Fehlt etwas in dieser Liste?

18
Frank Kusters

Gute Fragen, Sicherheit ist Ihr Hauptanliegen und dasselbe gilt für alle, die ihre eigenen Websites verwalten möchten. WordPress ist nicht das sicherste Content-Management-System der Welt, kann jedoch mit gutem Hosting und guten Kenntnissen darüber, was zu sichern und sicherzustellen ist, sicher gemacht werden.

Hosting

Die sicherste Art, Ihre Website zu hosten, ist ein VPS oder ein dedizierter Server, vorausgesetzt, Sie verfügen über eine gute Sicherheit im Betriebssystem. Das Problem mit Shared Hosting ist, dass sich Malware von einem Konto auf ein anderes ausbreiten kann, obwohl sie sich in Gefängnissen befinden. Diese Hacker finden sich zurecht und infizieren mehrere Websites. GoDaddy zum Beispiel wurde im letzten Monat gehackt und hat 100.000 Websites mit grauen Backlink-Inserts gehackt.

Nach dem, was ich gelesen habe, möchten Sie mit einem VPS arbeiten, aber wichtig ist, dass Sie Ihre Backups verwalten. Was Sie brauchen, ist ein VPS mit CentOS6 mit Cpanel. Sie müssen zusätzlich für das Cpanel bezahlen, aber dies macht das Einrichten von Websites und das Sichern der Datenbank sowie des Dateisystems automatisiert und sendet Ihnen täglich E-Mails, wenn die Sicherung aus dem einen oder anderen Grund abgeschlossen wurde oder fehlgeschlagen ist.

Jetzt weiß ich nicht, wie gut Sie Linux beherrschen, aber VPS kann oft andere Sicherheitsprobleme mit sich bringen, wenn Sie nicht stark in dieser Abteilung sind. Glücklicherweise gibt es heutzutage Dinge wie Google, und Sie können so ziemlich lernen, wie Sie Ihr VPS mit Leichtigkeit sichern können. Das Grundlegende an Ihrer VPS-Box ist, sicherzustellen, dass Sie einen SSL-Schlüssel verwenden, den Sie auf Ihrem Computer haben. Dies bedeutet, dass sie ohne diese Zertifizierung nicht auf Ihr System zugreifen können, auch wenn sie das Kennwort kennen. Um zu verhindern, dass Benutzer das Passwort erraten, können Sie den ssh-Port jederzeit ändern.

Es gibt viele Möglichkeiten, um den Zugriff auf Ihre Box zu verhindern, und Google leistet dies am besten. Es gibt nur viel zu viele, um sie aufzulisten.

WordPress

Das Sichern von Wordpress ist ziemlich einfach. Mein wichtigster Rat ist, die Vorlagendateien innerhalb von /wp-content/themes directory zu sichern. Da Ihre Frau die Vorlagendateien nicht bearbeiten wird, möchten Sie diese ändern, damit sie nicht direkt von WordPress aus beschrieben werden können. Es gibt eine Einstellung innerhalb des configuration.php, die Sie festlegen können, aber ernsthaft nur CHMOD über FTP oder wenn Sie einen VPS verwenden, ändern Sie den Besitz dieser Dateien von www-data in root. Auf diese Weise können sie nicht von WordPress oder einer anderen auf dem Server ausgeführten Software geändert werden. Die meisten auf Skripten basierenden Injektionen greifen die index.php -Dateien der Vorlagen an und fügen die Malware hinzu. Darüber hinaus gibt es ein paar .htaccess Umleitungsangriffe, so dass die .htaccess -Datei nach dem Festlegen der gewünschten Einstellungen wieder in "nicht beschreibbar" geändert werden kann oder erneut von "www-data" in "root" geändert wird. Auch den configuration.php sollten Sie auf root oder chmod setzen, damit er nicht von Gästen und Außenstehenden gelesen werden kann.

Unterschätzen Sie nicht die Leistung des CHMOD. Je mehr Dateien Sie überschreiben können, desto besser. Vermeiden Sie unnötige WordPress Plugins. Während einige großartig sind, fragen Sie sich, was Sie brauchen. Je mehr Sie installiert haben, desto mehr müssen Ihre Hacker damit spielen. Vermeiden Sie daher Plugins, so oft Sie können, und machen Sie die Site nicht überlastet.

WordPress-Updates wöchentlich bis monatlich, Update so schnell wie möglich - Es gibt einen Grund, warum es so viele Updates gibt, und einer davon sind Sicherheitsprobleme und Lücken, die es gefunden hat.

Darüber hinaus verfügen Sie standardmäßig über ein "admin" -Kennwortkonto. Machen Sie einen anderen Administrator, wie z. B. Ihren Benutzernamen, und geben Sie ein gutes Kennwort ein. Löschen Sie dann das Administratorkonto.

Testplan

Sie können Ihre Site jederzeit imitieren, d. H. Einen Klon haben. Mit cpanel können Sie eine Subdomain "test.subdomain.com" einrichten, auf der das gleiche WordPress zusammen mit einem Klon der Datenbank ausgeführt wird.

Wenn Sie persönlich keine wichtigen Erweiterungen für WordPress verwenden, können Sie die Site einfach offline schalten, d. H. Die Wartung wird ausgeführt. und aktualisieren Sie dann das System. Wenn etwas schief geht, haben Sie die automatische Sicherung oder eine Sicherung, die Sie während der Wartung durchgeführt haben. Auf diese Weise bist du auf jeden Fall sicher.

Immer am besten im Wartungsmodus aktualisieren, während einige Updates nicht fragen, andere tun. Am besten offline, damit Sie einen guten Snap-Shop haben.

Versionierung Bei jedem täglichen Backup gibt es ein Datum, innerhalb der GZ/Zip können Sie die Konfigurationsdatei mit den Versionsnummern von WordPress lesen.

ptime Gute Vps-Systeme überwachen es für Sie und starten es bei Bedarf neu. Da Sie den Server betreiben, können Sie immer einen Cron-Job installieren, der Ihnen eine E-Mail sendet, wenn der Server ausfällt, aber erneut. Ein guter Server fällt nie wirklich aus. Wählen Sie ein gutes VPS-Unternehmen aus, das in einer Cloud mit redundanten Netzteilen und Hardware arbeitet, z. B. Rackspace oder Amazon in einer Cloud.

Testversion Klonen Sie die Site erneut auf eine Subdomain, die ein .htaccess-Passwort verwendet.

Ich hoffe, dies hilft, und wenn Sie weitere Fragen haben, wenden Sie sich bitte.

11
Simon Hayter

Sie werden es auf jeden Fall einfach halten wollen. Aber letztendlich kommt es darauf an, für welche Art von Site Sie sich entscheiden (können die Leute etwas kaufen?).

Wenn Sie eine einfache WordPress Site haben, möchten Sie Sicherungen erstellen (oder sicherstellen, dass die Kopie auf dem öffentlichen Server nicht die einzige Kopie ist; sichern Sie nicht die statischen Dateien vom Server, sondern sichern Sie sie die Datenbank jede Woche). Bei größeren Sites oder wenn Sie Benutzerdaten in der Datenbank speichern, sichern Sie diese häufiger.

Für größere E-Commerce-Websites ist es möglicherweise eine gute Idee, in ein SSL-Zertifikat zu investieren, um das Vertrauen der Besucher zu gewinnen und die Daten zu verschlüsseln Entwicklungsumgebung).

Erwägen Sie auf jeden Fall, einen VPS oder sogar einen dedizierten Server zu mieten, wenn Sie sich mit Sicherheit befassen. Es bietet viel mehr Flexibilität, aber mit der Kraft geht auch Verantwortung einher (und auch das Potenzial, Dinge durcheinander zu bringen). Sie könnten wirklich ausgefallen sein und synchronisierte Datenbanken über Remoteserver hinweg einrichten, die Daten mit rsync nach einem Zeitplan sichern usw. Aber halten Sie es auch hier einfach.

Für eine Testumgebung ist dies keine schlechte Idee und wahrscheinlich eine gute Sache, wenn Sie das Design und den Inhalt häufig ändern, aber sicherstellen möchten, dass die WP -Versionen und -Einstellungen identisch sind. Sehr wichtig.

Schließlich halten Sie es einfach. Menschliche Fehler beim Löschen/Durcheinanderbringen von Dateien sind die Hauptursache für Datenverlust. Hacker sind nicht.

2
ionFish

Ich bin selbst ein neuer Webmaster, also weit davon entfernt, ein Experte zu sein. Was ich Ihnen jedoch sagen kann, sind meine eigenen Erfahrungen in den letzten Monaten. Ein kleiner Hintergrund: Ich bin ein Windows-Typ mit wenig Linux/Apache-Erfahrung, PHP/HTML/CSS-Kenntnissen und guten Grundkenntnissen in WordPress (WP).

Ich habe mit XAMPP eine lokale Testumgebung eingerichtet und viel Zeit damit verbracht, WP zu installieren, zu konfigurieren und zu löschen. Dann habe ich ein paar Tage damit verbracht, die WP Plugin-Entwicklung zu lernen. Habe alles lokal gemacht und ein kleines Plugin erstellt. Es lief einwandfrei, wurde live hochgeladen und musste einige Zeit damit verbringen, herauszufinden, warum es auf meiner Live-Site nicht funktionierte.

Ich erinnere mich nicht an die genauen Ursachen, aber es läuft darauf hinaus, dass mein Host andere Einstellungen/Berechtigungen usw. hat als mein lokaler Server. Ich hätte viel mehr Zeit damit verbringen können, mich eingehend mit der Serververwaltung zu befassen und zu versuchen, mich an meine lokalen Umgebungen anzupassen, entschied mich jedoch für einen einfacheren Weg. Ich richte eine Live-Testdomäne ein - tatsächlich mehrere.

Mein Hosting-Plan ist ein typischer gemeinsamer Plan. Tatsächlich ist es das billigste, das mein Host anbietet, das unbegrenzte Domain-Addons erlaubt, aber nicht zulässt, dass diese Domains irgendwo anders als auf die Root verweisen. Also fand ich heraus, wie man .htaccess verwendet, um verschiedene Domänen dynamisch in verschiedene Verzeichnisse umzuleiten, einige einfache Dinge zum Ausschneiden und Einfügen. Dann habe ich über CU.CC ein paar kostenlose Subdomains bekommen. Ich würde sie zwar nicht für echte Websites verwenden, da sie keine echten Domänen sind, d. H., Sie besitzen sie nicht, aber sie eignen sich hervorragend für Live-Tests.

Ich verwende ein Werbegeschenk als Klon meiner Live-Site. Wenn ich also ein Plugin oder Theme installieren möchte, kann ich es gründlich testen, bevor ich es live sende. Da sich meine Testdomain auf demselben Server befindet, weiß ich genau, wie meine Live-Site angezeigt wird. Ich verwende ein anderes Werbegeschenk als allgemeines WP Testbed. Und noch eine für allgemeine Webdev-Tests.

Zum Klonen meiner Site verwende ich ein kostenloses WP Plugin namens 'Duplicator'. Es sichert die Dateien und die Datenbank einer Site. Es behandelt auch alle WP Backend-Dinge, die für die Wiederherstellung in einer anderen Domäne erforderlich sind. Dies funktioniert hervorragend für mein WP Testbed, da ich WP nur einmal installieren musste, es mit meinen Dummy-Inhalten und Benutzern laden und meine Admin-Einstellungen wie Permalinks, Zeitzone usw. einrichten musste Ich kann WP alles hacken, was ich will, und dann das Backup nach Belieben auf meinem noch so wie ich will konfigurierten WP installieren.

2
akTed

Wenn Sie befürchten, dass Ihre Website gehackt oder von Malware beeinträchtigt wird, empfehle ich die Verwendung von http://sucuri.net/

Es ist zwar eine bezahlte, aber es wird sich sehr effizient um die Sicherheit Ihrer Website kümmern.

Abgesehen davon ist es von Ihrer Seite ratsam, Vorsichtsmaßnahmen zu treffen. Holen Sie sich jede Woche die Datenbanksicherung. Setzen Sie die Option Datenbank sichern in Ihrem Hosting auf EIN und Sie erhalten die Datenbanksicherung regelmäßig in Ihrer Mail.

1
Sidh

Die anderen Antworten enthalten viele gute Ratschläge, setzen jedoch mehr oder weniger Fachwissen in Bezug auf Serverwartung und WordPress Wissen voraus, das Sie a) möglicherweise nicht haben und b) möglicherweise nicht die Zeit haben, sich dem eigentlichen Lernen zu widmen.

Angenommen, Sie zahlen bereits für das Hosting und erwägen ein Upgrade auf einen VPS. Ich empfehle Ihnen dringend, zu einem ISP zu wechseln, der auf das Hosting von WordPress spezialisiert ist und Malware-Schutz und -Wiederherstellung sowie Sicherheitsprüfungen für Plugins, Backups und Upgrades für den Core bietet . Zwei, die ich jetzt für Clients verwende, sind Pagely und WP Engine . Ein netter Bonus ist, dass diese ISPs auch so optimiert sind, dass sie eine Geschwindigkeitssteigerung bieten, die WordPress manchmal benötigt. WP Engine wird auch mit einer Staging-Umgebung zum Testen geliefert ...

Wenn Sie Managed Hosting nicht verwenden möchten, sollten Sie unbedingt VaultPress als Ihren primären Sicherungs- und Sicherheitsplan abonnieren. Das Premium-Service-Level übernimmt beides (der reguläre Service ist nur Backup/Restore), und die Sicherheit allein ist die Gebühr wert. VaultPress ist ziemlich teuer und möglicherweise teurer als die Verwendung des oben empfohlenen verwalteten Hostings.

Der dritte Weg besteht darin, die Sicherheit aus Ihren Erfahrungen, Plugins und der Möglichkeit, auf Google zu suchen, und Backups/Versionsverwaltung auf dieselbe Weise zusammenzustellen. Dies setzt wiederum voraus, dass Sie über ausreichende Kenntnisse in Bezug auf Serverkonfiguration und WordPress verfügen und dass die Wiederherstellung nach einem WordPress - Hack eine miserable Erfahrung sein kann, auch wenn der Angreifer Skripts in der Shell ausführt .

1
JCL1178