web-dev-qa-db-fra.com

Comment gérer professionnellement un site web?

Ma femme a démarré une entreprise et le site Web est un moyen important d’atteindre des clients potentiels. Je suis un développeur de logiciels, alors bien sûr, je m'occupe des tâches techniques. J'ai organisé un hébergeur, puis téléchargé et configuré WordPress (qui, associé à un thème décent, convient parfaitement à notre projet de loi). Ma femme a quelques connaissances en HTML et CSS, ce qui lui permet de personnaliser elle-même le site.

Maintenant, je veux professionnaliser ce genre de choses. Si quelque chose de stupide se produit (gâcher accidentellement un fichier, un bogue dans WordPress mise à jour, le site est piraté), nous perdons tout le site.

De quoi ai-je besoin pour gérer le site? Quand googler ce sujet, je ne trouve que des tutoriels FTP, ce qui n'est pas tout à fait le niveau d'informations que je recherche. J'ai compris:

  • sauvegarde des fichiers + base de données (je les ai déjà, mais je n'ai pas vérifié si la restauration fonctionnait)
  • un environnement de test local permettant de modifier le thème et de tester wordpress mises à jour
  • un plan de test, contenant certaines choses à tester avant de télécharger l'environnement de test sur le site actif
  • gestion des versions - en cas de problème, nous devrions pouvoir passer à une version précédente.
  • surveillance de la disponibilité - si le site tombe en panne, les clients ne seront plus obligés de l'entendre

Proposé par bybe , principalement lié à la sécurité:

  • utiliser un VPS. Cela me protégera des attaques sur d'autres comptes d'hébergement partagé, mais cela ouvrira une autre boîte de Pandore, car je dois protéger le serveur moi-même .
  • supprimer les autorisations d'écriture sur tous les fichiers qu'il n'est pas nécessaire d'écrire (fichiers de modèle, .htaccess)
  • abonnez-vous à la liste de diffusion CMS (Wordpress dans ce cas) et mettez-le à jour dès que de nouvelles versions sont disponibles
  • minimiser le nombre de plugins CMS - ils ont leurs propres vulnérabilités
  • supprimer le compte administrateur par défaut du CMS
  • mettre le site web en mode maintenance lors de la modification. Il permet une sauvegarde cohérente et est plus agréable pour les visiteurs.

Est-ce qu'il manque quelque chose dans cette liste?

web-developmentwordpresschange-management
18
Frank Kusters

Bonnes questions, la sécurité est votre problème principal et est le même pour tous ceux qui entreprennent de chercher à gérer leurs propres sites Web. WordPress n'est pas le système de gestion de contenu le plus sécurisé de la planète, mais il peut être sécurisé grâce à un bon hébergement et à une bonne connaissance des éléments à sécuriser et à configurer.

Hébergement

Le moyen le plus sûr d’héberger votre site consiste à utiliser un VPS ou un système dédié, en supposant que vous avez une bonne sécurité sur le système d’exploitation. Le problème de l'hébergement partagé est que les logiciels malveillants peuvent se propager d'un compte à un autre, même s'ils se trouvent dans des prisons, ces pirates s'y retrouvent et infectent plusieurs sites. GoDaddy, par exemple, a été piraté le mois dernier et a laissé des centaines de milliers de sites Web piratés avec des insertions de greyhat backlink.

D'après ce que j'ai lu, vous souhaitez utiliser un VPS, mais vous voulez surtout que vos sauvegardes soient gérées, il vous faut un VPS avec CentOS6 avec Cpanel. Vous devrez payer un supplément pour le Cpanel, mais cela rendra la configuration de sites Web et la sauvegarde de la base de données, l'automatisation du système de fichiers ainsi que l'envoi de courriers électroniques chaque jour lorsque la sauvegarde est terminée ou a échoué pour une raison ou une autre.

Maintenant, je ne sais pas quelles compétences vous avez au sein de Linux, mais VPS peut souvent poser d’autres problèmes de sécurité si vous n’êtes pas très fort dans ce département. Heureusement, ces jours-ci, nous avons des outils comme Google et vous pouvez apprendre à sécuriser votre VPS en toute simplicité. L'essentiel sur votre boîtier VPS est de vous assurer que vous utilisez une clé SSL que vous avez sur votre ordinateur, ce qui signifie que même s'ils connaissent le mot de passe, ils ne peuvent pas accéder à votre système sans cette certification. De plus, pour empêcher les gens de deviner le mot de passe, vous pouvez toujours changer le port ssh.

Il existe de nombreuses mesures que vous pouvez utiliser pour empêcher l’accès à votre Box. Google offre ce service au mieux. Il ya beaucoup de choses à énumérer.

WordPress

Sécuriser Wordpress est assez simple, mon conseil le plus puissant est de sécuriser les fichiers modèles dans le /wp-content/themes directory. Puisque votre femme ne modifiera pas les fichiers de modèle que vous souhaitez modifier, vous ne pourrez pas les écrire directement à partir de WordPress. Il y a un paramètre dans le configuration.php que vous pouvez définir, mais vous pouvez simplement le modifier via FTP ou si vous utilisez un SMV, changez la propriété de ces fichiers de www-data à root. De cette manière, ils ne peuvent pas être modifiés à partir de WordPress ou de tout autre logiciel exécuté sur le serveur. La plupart des injections, basées sur des scripts, attaqueront les fichiers index.php des modèles et ajouteront le malware. En outre, il existe quelques .htaccess attaques de redirection, donc modifiez à nouveau le fichier .htaccess en une fois que vous ne pouvez pas écrire les paramètres souhaités, ou passez de nouveau de www-data à root. De plus, le configuration.php que vous devez définir sur root ou chmod afin qu'il ne puisse pas être lu par les invités et les tiers.

Ne sous-estimez pas la puissance du CHMOD, plus vous ferez de fichiers non lisibles, mieux ce sera. Essayez d'éviter les plugins WordPress inutiles. Alors que certains sont géniaux, demandez-vous ce dont vous avez besoin. Plus vous avez installé, plus vos pirates informatiques doivent jouer, évitez donc autant que possible les plugins et ne surchargez pas le site avec eux.

WordPress met à jour toutes les semaines ou tous les mois, mettez à jour dès que possible - Il y a une raison pour laquelle ils ont tant de mises à jour et l'une d'entre elles concerne les problèmes de sécurité et les failles trouvées.

De plus, par défaut, vous aurez un compte "admin" "mot de passe", créez un autre administrateur tel que yourwifenames avec un bon mot de passe. Ensuite, supprimez ce compte administrateur.

Plan de test

Vous pouvez toujours imiter votre site, c’est-à-dire avoir un clone. En utilisant cpanel, vous pouvez configurer un sous-domaine test.subdomain.com et le faire exécuter sous le même WordPress avec un clone de la base de données.

Personnellement, si vous n’utilisez pas d’extensions majeures pour WordPress, il vous suffit de mettre le site hors ligne, c’est-à-dire une maintenance en cours. puis mettez à jour le système. En cas de problème, vous disposez de la sauvegarde automatisée ou d'une sauvegarde effectuée pendant la maintenance. De cette façon, votre coffre-fort de toute façon.

Il est toujours préférable de mettre à jour en mode maintenance, alors que certaines mises à jour ne demandent pas, d'autres le font. Le mieux est de le mettre hors ligne afin d'avoir un BON Magasin instantané.

Versioning Avec chaque sauvegarde quotidienne, vous aurez une date. Dans le GZ/Zip, vous pourrez lire le fichier de configuration avec les numéros de version de WordPress.

ptime De bons systèmes Vps vont le surveiller pour vous et redémarrer si nécessaire, puisque vous faites fonctionner le serveur, vous pouvez toujours installer un travail cron qui vous enverra un courrier électronique si le serveur tombe en panne, mais encore une fois. Un bon serveur ne tombe jamais vraiment en panne, choisissez une bonne société VPS qui opère sur un nuage avec des alimentations et du matériel redondants, Rackspace par exemple, ou Amazon travaillant sur un nuage.

Version test Encore une fois, il suffit de cloner le site sur un sous-domaine utilisant un mot de passe .htaccess.

J'espère que cela vous aidera et si vous avez des questions supplémentaires, posez-les.

11
Simon Hayter

Vous voudrez certainement garder les choses simples. Mais en fin de compte, cela dépend du type de site sur lequel vous vous dirigez (les gens pourront-ils acheter des choses?).

Si vous avez un simple site WordPress, vous souhaitez effectuer des sauvegardes (ou vous assurer que la copie sur le serveur public n'est pas la seule copie; ne sauvegardez pas les fichiers statiques du serveur, mais sauvegardez la base de données chaque semaine). Pour les sites plus importants ou si vous stockez des données utilisateur dans la base de données, effectuez une copie de sauvegarde plus souvent.

Pour les grands sites de commerce électronique, il peut être judicieux d’investir dans un certificat SSL pour gagner la confiance des visiteurs et chiffrer les données (vous pouvez générer votre propre certificat auto-signé gratuitement, mais il ne doit être utilisé que dans un environnement environnement de développement).

Envisagez de louer un VPS ou même un serveur dédié si vous êtes préoccupé par la sécurité; il offre beaucoup plus de souplesse, mais le pouvoir s'accompagne de responsabilités (et également de la possibilité de tout gâcher). Vous pouvez avoir beaucoup de fantaisie et configurer des bases de données synchronisées sur des serveurs distants, utilisez rsync pour sauvegarder les données selon un planning, etc. Mais restez simple.

Pour un environnement de test, ce n’est pas une mauvaise idée et probablement une bonne chose si vous souhaitez modifier souvent la conception et le contenu, mais vous souhaitez vous assurer que les versions et les paramètres WP sont identiques. Très important.

Enfin, restez simple. Les erreurs humaines lors de la suppression/détérioration de fichiers constituent la principale cause de perte de données. Les pirates ne sont pas.

2
ionFish

Je suis moi-même un nouveau webmaster, donc je suis loin d'être un expert. Ce que je peux vous dire, cependant, ce sont mes propres expériences au cours des derniers mois. Un peu d’arrière-plan: je suis un gars Windows avec peu d’expérience Linux/Apache, maîtrisant les langages PHP/HTML/CSS, et possédant une connaissance de base décente de WordPress (WP).

J'ai installé un environnement de test local avec XAMPP et ai passé beaucoup de temps à installer/configurer/supprimer WP. Ensuite, j'ai passé quelques bons jours à apprendre WP le développement de plugins. Tout a été fait localement, créant un petit plugin. Je l'ai bien fonctionné, l'a téléchargé en direct, puis j'ai dû passer un bon bout de temps à essayer de comprendre pourquoi cela ne fonctionnait pas sur mon site en direct.

Je ne me souviens pas des causes exactes, mais cela revient à mon hôte ayant des paramètres/autorisations/etc. différents de ceux de mon serveur local. Alors que j'aurais pu passer beaucoup plus de temps à apprendre la gestion de serveur en profondeur et à essayer de faire correspondre mes environnements local à réel, j'ai décidé de choisir un itinéraire plus simple. J'ai configuré un domaine de test en direct - plusieurs en fait.

Mon plan d'hébergement est un plan partagé typique. En fait, c’est l’offre la moins chère proposée par mon hôte, qui autorise l’addition de domaines illimitée mais ne permet pas à ces domaines de pointer ailleurs que sur la racine. J'ai donc découvert comment utiliser .htaccess pour rediriger dynamiquement différents domaines vers différents répertoires, par exemple des opérations simples de type copier-coller. Ensuite, j'ai eu quelques sous-domaines gratuits via CU.CC. Bien que je ne les utilise pas pour de vrais sites, car ce ne sont pas de vrais domaines, c’est-à-dire que vous ne les possédez pas, ils fonctionnent très bien pour les tests en direct.

J'utilise un billet de faveur en tant que clone de mon site actif. Par conséquent, si je souhaite installer un plugin ou un thème, je peux le tester minutieusement avant de l'envoyer en direct. Étant donné que mon domaine de test est sur le même serveur, je sais exactement comment mon site en ligne apparaîtra. J'utilise un autre billet de faveur en tant que WP testbed général. Et encore un autre pour les tests WebDev généraux.

Pour cloner mon site, j'utilise un plugin gratuit WP appelé "Duplicator". Il sauvegarde les fichiers et la base de données d'un site. Il gère également tous les éléments dorsaux WP nécessaires à la restauration sur un autre domaine. Cela fonctionne très bien pour mon WP testbed, car je n’avais qu’à installer WP une fois, le charger avec mon contenu et mes utilisateurs factices, configurer mes préférences d’administrateur telles que permaliens, fuseau horaire, etc. Maintenant Je peux pirater WP tout ce que je veux, puis restaurer la sauvegarde à volonté, sur mon installation presque vierge mais configurée comme je le veux WP.

2
akTed

Si vous craignez que votre site ne soit piraté ou affecté par des malwares, je vous suggère d'utiliser le http://sucuri.net/

Bien que rémunéré, il s’occupe assez efficacement de la sécurité de votre site.

En dehors de cela, il est conseillé de prendre des précautions de votre côté. Obtenez la sauvegarde de la base de données chaque semaine. Définissez l'option de sauvegarde de la base de données dans votre hébergement ON et vous obtiendrez la sauvegarde de la base de données régulièrement dans votre courrier.

1
Sidh

Les autres réponses ont beaucoup de bons conseils, mais supposent une expertise plus ou moins grande de la maintenance de serveur et une connaissance de WordPress que vous n'aurez peut-être pas et que b) n'auriez peut-être pas le temps de consacrer à l'apprendre réellement.

En supposant que vous payez déjà pour l'hébergement et envisagez de passer à un VPS, je vous recommande fortement de passer chez un fournisseur de services Internet spécialisé dans l'hébergement WordPress et fournissant une protection et une récupération contre les programmes malveillants, des contrôles de sécurité des plugins, des sauvegardes et des mises à niveau. . Deux que j'utilise pour les clients sont maintenant Pagely et Moteur WP . Un bon avantage est que ces fournisseurs de services Internet sont également optimisés pour fournir une accélération de la vitesse dont WordPress a parfois besoin. WP Engine est également fourni avec un environnement intermédiaire pour les tests ...

Si vous préférez ne pas utiliser l'hébergement géré, je vous recommande vivement de vous abonner à VaultPress en tant que plan de sauvegarde et de sécurité principal. Le niveau de service Premium gère les deux (le service régulier est uniquement une sauvegarde/restauration) et la tranquillité d’esprit en vaut la peine. VaultPress est assez cher et peut être plus cher que d'utiliser l'hébergement géré recommandé ci-dessus.

La troisième solution consiste à combiner la sécurité de votre expérience, de vos plugins et de votre capacité à effectuer des recherches sur Google, ainsi que des sauvegardes/versions. Encore une fois, cela suppose un niveau d’expertise avec la configuration du serveur et WordPress que vous n’aurez peut-être pas tout de suite et la récupération à partir d’un piratage de WordPress peut être une expérience lamentable, surtout si l’attaquant exécute des scripts dans le shell .

1
JCL1178