Ein kompletter Leitfaden für Webseitenbetreiber:innen: So schützt du deine WordPress-Seite | David Hayes | Skillshare
Suchen

Playback-Geschwindigkeit


  • 0.5x
  • 1x (normal)
  • 1.25x
  • 1.5x
  • 2x

Ein kompletter Leitfaden für Webseitenbetreiber:innen: So schützt du deine WordPress-Seite

teacher avatar David Hayes, WordPress & PHP & more

Schau dir diesen Kurs und Tausende anderer Kurse an

Erhalte unbegrenzten Zugang zu allen Kursen
Lerne von Branchenführern, Ikonen und erfahrenen Experten
Wähle aus einer Vielzahl von Themen, wie Illustration, Design, Fotografie, Animation und mehr

Schau dir diesen Kurs und Tausende anderer Kurse an

Erhalte unbegrenzten Zugang zu allen Kursen
Lerne von Branchenführern, Ikonen und erfahrenen Experten
Wähle aus einer Vielzahl von Themen, wie Illustration, Design, Fotografie, Animation und mehr

Einheiten dieses Kurses

    • 1.

      Understanding verstehen

      2:23

    • 2.

      Warum deine WordPress-Website geschützt ist und deine WordPress-Website sicher ist.

      7:20

    • 3.

      Dein Your einrichten

      3:10

    • 4.

      Password

      2:17

    • 5.

      Benutzer-Funktionen und Fähigkeiten in WordPress

      3:53

    • 6.

      Backups – So machst du sie und warum

      2:56

    • 7.

      Trust für Plugins

      4:32

    • 8.

      WordPress Updates – was du tun sollst und warum sie wichtig sind.

      2:34

    • 9.

      Warum/So besuche deine WordPress-Website

      1:50

    • 10.

      Security

      4:28

    • 11.

      iThemes Security Schnelle Zusammenfassung

      3:00

    • 12.

      SSL I: Was und warum

      4:30

    • 13.

      SSL Teil II: Einrichtung für SSL

      4:39

    • 14.

      Endgültiger Schritt

      2:39

  • --
  • Anfänger-Niveau
  • Fortgeschrittenes Niveau
  • Fortgeschrittenes Niveau
  • Jedes Niveau

Von der Community generiert

Das Niveau wird anhand der mehrheitlichen Meinung der Teilnehmer:innen bestimmt, die diesen Kurs bewertet haben. Bis das Feedback von mindestens 5 Teilnehmer:innen eingegangen ist, wird die Empfehlung der Kursleiter:innen angezeigt.

715

Teilnehmer:innen

5

Projekte

Über diesen Kurs

Viele Tipps zur security basiert auf zu wenig evidence und wird überkompliziert, was ein ziemlich schneidendes, trockenes Thema sein kann. In diesem Kurs bekommst du die Unordnung und bekommst dir alle Details, die du brauchst, um die Sicherheit von WordPress.

Wir werden Themen wie:

  • Was du die aktuellen Bedrohungen auf die meisten WordPress-Websites ausgibst.
  • Sichere Benutzerkonten
  • Warum du Backups brauchst und wie du sie machst
  • Wie du weißt, welche Plugins du vertrauen solltest.
  • Wie du WordPress Updates durchführst
  • Und was, wenn du etwas nutzt, kannst du dich mit einem “WordPress machen

Dein Kursprojekt wird eine gesicherte WordPress-Website sein. Als Grundlage werden wir dir eine WordPress-Website erwarten, die du sicherer machen möchtest. Dieser Kurs richtet sich an Menschen, die die du mit der Verwendung von WordPress, Plugins und -themen mitarbeitest, Inhalte erstellst und dich schon mal von der HTML mitzumachen.

Triff deine:n Kursleiter:in

Teacher Profile Image

David Hayes

WordPress & PHP & more

Kursleiter:in

Hello, I'm David. I'm a passionate WordPress and PHP developer. I regularly speak at conferences on those two topics, and dabble with tons of related technologies to keep my skills sharp.

Among many project, I run WPShout, which is all about making you into a better WordPress developer. If that's interesting to you, check it out! I also explore less-WordPress-y code topics on Thoughtful Code.

Outside of code, I love playing board games, making coffee, reading, cooking, and volunteering. I'm really meditation and good communication practices as well. I'm not perfect though, no one is.

Vollständiges Profil ansehen

Level: Beginner

Kursbewertung

Erwartungen erfüllt?
    Voll und ganz!
  • 0%
  • Ja
  • 0%
  • Teils teils
  • 0%
  • Eher nicht
  • 0%

Warum lohnt sich eine Mitgliedschaft bei Skillshare?

Nimm an prämierten Skillshare Original-Kursen teil

Jeder Kurs setzt sich aus kurzen Einheiten und praktischen Übungsprojekten zusammen

Mit deiner Mitgliedschaft unterstützt du die Kursleiter:innen auf Skillshare

Lerne von überall aus

Ob auf dem Weg zur Arbeit, zur Uni oder im Flieger - streame oder lade Kurse herunter mit der Skillshare-App und lerne, wo auch immer du möchtest.

Transkripte

1. Understanding verstehen: Hallo, mein Name ist David und willkommen. Dies ist ein Kurs alles über die Sicherung einer WordPress-Website. Wir werden die häufigsten und leicht vermeidbaren Probleme abdecken , die Menschen dazu führen, ihre Website gehackt zu bekommen, und wir werden auch abdecken, was das, „gehackte“ Sache tatsächlich in der Praxis bedeutet. Wer bin ich? Mein Name ist David, wie ich bereits erwähnt habe, der vollständige Name David Hayes. Sie können mich auf Twitter, etc als David B Hayes finden, weil David Hayes ist ein ziemlich häufiger Name zumindest in Amerika. Wer ich bin, führe ich eine WordPress-Website, die alles über die Schaffung besserer WordPress-Entwickler ist. Dies ist kein Kurs über WordPress-Entwicklung obwohl. Ich habe einen Kurs alles über sichere WordPress-Entwicklung erstellt, aber das heißt WordPress Security of Confidence und es deckt viel mehr ab als dieser Kurs kann oder sollte, da wir hier für eine Stunde anstreben. Ich habe WordPress seit 10 Jahren verwendet und ich habe professionell in E-Commerce und Mitgliedschaft und so auf Websites für mehr als fünf entwickelt , Ich habe nie eine Website übernommen oder gehackt, wie wir bereits erwähnt, und das ist, weil der Dinge, die ich Ihnen in diesem Kurs beibringen werde. Für diesen Kurs benötigen Sie eine WordPress-Website, die Sie sichern möchten. Unser Projekt wird die Sicherung einer bestehenden WordPress-Website. Es gibt natürlich jede Menge darüber, wie man einen aufstellt. Also werden wir nur darüber reden, jetzt, wo Sie einen haben, wie machen Sie es noch sicherer und das ist wirklich der Grund, warum Sie diesen Kurs nehmen. Jede WordPress-Website ist in Gefahr online, ich sage nicht, dass Sie zu erschrecken, nur um klar über die tatsächliche Realität der Situation zu sein . Als solche werden wir abdecken, warum das so ist, und dann werden wir abdecken, wie Sie dieses Risiko mindern können. Wir werden über Dinge wie Benutzersicherheit mit Passwörtern sprechen und sicherstellen, dass Benutzer den Zugriff haben, den sie brauchen und nicht mehr. Wir werden auch über Backups sprechen und darüber, wie man sie bekommt und warum sie so wichtig sind. Wir werden reden, wie Sie wissen, welche WordPress-Plugins Sie tatsächlich verwenden möchten. Es gibt so viele da draußen, aber es ist schwer zu wissen, was sie vertrauen sollen, und die Leute sorgen sich viel um die Sicherheit. Es Plugins und wir werden das in einigen Details abdecken. Wir werden auch darüber sprechen, warum es so wichtig ist, Plugins und alles andere in WordPress zu aktualisieren und schließlich werden wir kurz beide Sicherheits-Plugins berühren, die große Kategorie in WordPress sind, und die Art von komplizierten Thema, wie Sie das grüne Schlosssymbol erhalten, das HTTPS Setup auf einer WordPress-Website. Für die letzten beiden Dinge können wir nicht in erschöpfende Details gehen, aber wir sollten Ihnen eine sehr gute Grundlage geben, wie Sie über diese Dinge nachdenken und wie es aussehen würde, das zu tun. Damit sind wir bereit, loszulegen. Ich freue mich darauf. 2. Warum deine WordPress-Website geschützt ist und deine WordPress-Website sicher ist.: In diesem Modul werden wir abdecken, warum Ihre WordPress-Website gefährdet ist, auch wenn Sie lieber denken, dass es nicht ist. Der Grund, warum ich sage, dass ich höre eine Menge Leute, wenn es um Sicherheit geht, sich davon zu entschuldigen, darüber nachzudenken, weil sie wie, na ja, meine Seite ist nur ein Hobby oder während ich nur für Besucher einen Monat bekomme. Was auch immer es ist, es gibt so viele Gründe, dass Menschen versuchen, der Verantwortung zu entkommen, um ihre Website sicher zu halten, aber sie sind einfach nicht lebensfähig. Sie sind nicht vernünftig, sie sind nicht genau, weil es so viele verschiedene Gründe gibt, dass eine Website kompromittiert wird und sehr wenige von ihnen haben damit zu tun, wie viele Treffer Sie bekommen oder wie wichtig Ihre Website für Sie ist zu anderen Menschen, sie sind nur neben dem Punkt. Es gibt so viele Gründe, dass die Menschen wollen über Ihre WordPress-Website, oder jeden Computer wirklich zu übernehmen , aber das ist spezifisch für WordPress-Website. Einer von ihnen ist, dass wegen WordPress öffentlich ist, ist es im Internet. Die Leute werden versuchen und tun, was man Drive-by-Downloads nennt, wo sie im Grunde nur versuchen, Malware, Viren, schlechte Sachen, Würmer, viele verschiedene Begriffe zu schieben Viren, schlechte Sachen, Würmer, . Sie versuchen nur, schlechte Sachen auf die Leute zu schieben. Sie wollen jede Website im Internet, die schlechte Sachen auf Menschen schieben kann und eine WordPress-Website tun wird. Sie könnten auch versuchen, einen Ransomware-Angriff zu tun, wo sie übernehmen Ihre Website und sie sind wie, na ja, geben Sie uns 0.04 Bitcoins und wir geben es zurück. Was auch immer es ist. Das ist ein sehr häufiger Angriff, vor allem auf PCs, aber es ist auch etwas, das Ihnen auf einer WordPress-Website passieren kann und könnte. Manche Leute wollen nur eine WordPress-Website zu übernehmen, um zu zeigen, dass sie können, dass sie in der Lage waren, ein Bein auf jemanden in der Übernahme zu bekommen. Das ist wirklich alles, was sie suchen. Jede Website wird tun, sie könnten tatsächlich Ihre Server-Ressourcen verwenden , um Krypto-Münzen wie Bitcoin oder Ethereum zu minen. Es gibt viele Krypto-Münzen, die offensichtlich weit über unser Thema hinausgehen, aber im Wesentlichen minen Sie Krypto-Münzen auf jeder Computer-Hardware. Ein Server, auf dem eine WordPress-Website ausgeführt wird, ist Computer-Hardware , so dass sie glücklich sind, es zu übernehmen, um es dafür zu verwenden. Klingt super häufig Angriff, aber es passiert. Sie möchten vielleicht Ihr Suchmaschinen-Ranking ausleihen. Das ist, wo es wichtig ist. Ein bisschen, dein Prestige. Aber wenn Ihre Website Google bekannt ist, ist es sehr schön für einen Hacker, das zu leihen , indem Sie ein paar harmlose Links in Ihren Text schieben. Zum Beispiel, es ist nicht ein super häufiger Angriff könnte völlig passieren, politische Aussagen. Das ist definitiv, ich glaube, ich habe gesehen, wo diese freie syrische Armee oder einige russische Hacker oder was auch immer will, nur einige Seiten zu übernehmen und sagen „Hey, Mann, wir waren hier und wir sind politisch wichtig, du solltest auf uns achten.“ Das ist, als würden Sie Ihre Fähigkeiten zeigen, aber auf einer anderen Ebene aus einem anderen Grund. Sie möchten vielleicht nur Ihre Website für die zukünftige Verwendung halten. Das wird unterschätzt. Aber Backdooring-Websites, auf denen Sie Zugriff haben aber Sie sie derzeit nicht nutzen, ist sehr häufig. Eine der häufigsten und verderblichen Möglichkeiten, dass eine Website übernommen wird. Möglicherweise möchten sie nur Anzeigen in Ihrem Konto schalten. Wenn Sie eine Website mit hohem Traffic haben, lohnt es sich, genau wie sie übernehmen, um ein paar $1000 aus einem Anzeigenanbieter zu bekommen. Möglicherweise möchten sie Spam mit Ihrem Konto senden. Die meisten WordPress-Sites haben E-Mail in einer Weise angeschlossen , dass WordPress E-Mails senden kann und als solche, wenn sie nicht bekommen, andere E-Mails aus dieser Box zu gehen, ist es nützlich für sie. Die letzte ist, dass sie Ihren Server als Teil eines Botnets verwenden möchten. Der Grund, warum ich darüber sprechen möchte, da Botnets aus beiden Richtungen wichtig sind. Nun, was ist ein Botnet? Im Allgemeinen ist ein Botnet nur ein Netzwerk von Computern, die jemand, ein Team oder ein einzelner schlechter Schauspieler kontrolliert. PCs, Windows, Computer, die übernommen wurden, können Teil eines Botnetzes sein. So können tatsächlich kaufte kommerzielle Computer, die jemand bekommt gerade von Amazon oder Google oder wer auch immer. Aber so können WordPress-Websites. Im Allgemeinen möchten Sie sich nur ein Botnet als ein Netzwerk von Computern vorstellen, die von einer schlechten Person verwendet werden können, um schlechte Dinge zu tun. Das Hinzufügen Ihrer WordPress-Website zu einem Botnet ist wirklich hilfreich. Aber die andere Seite des Botnets, das wirklich wichtig ist, wenn wir über WordPress-Sicherheit denken, ist, dass, die häufigste Art und Weise, dass WordPress-Sites angegriffen werden, dass diese Botnets, die existieren, die möglicherweise oder nicht enthalten andere WordPress Websites sind auf WordPress-Sites eingeschaltet, um in ihre Konten zu bekommen oder verwenden Sie, was auch immer Methode der Kompromiss sie versuchen wollen, sie zu übernehmen. Die meisten WordPress Übernahme durch Botnets abgeschlossen, nicht Menschen. Es kann passieren, dass verwenden Sie Feuer Steve oder Sousa wer auch immer, und sie sind wirklich wütend auf Sie und sie entscheiden, ihr bestehendes Konto oder ihre Fähigkeiten des Hackens zu verwenden um wieder auf Sie persönlich one-on-one zu bekommen, indem Sie erraten, dass Ihr Passwort ist Ihre Adresse, das passiert. Es ist nicht so, als könnte es nie passieren oder nicht. Aber auf der Skala der WordPress-Sites, können wir es fast auf Null runden. Es ist fast garantiert, dass das ist, was passiert, stattdessen ist nur so viele wirbelnde Computer werden auf so viele WordPress-Sites gesendet und schließlich Ihre wird in der Mitte gefangen und kompromittiert. Es gibt wirklich zwei sehr gebräuchliche Methoden der Übernahme für WordPress-Website. Wo ein Botnet gegen eine WordPress-Website gesetzt und diese WordPress-Website ist wegen einer der vielen Angriffe, die das Botnet versucht kompromittiert . Die häufigste Sache, die ich sagen würde, die einfachste für jemanden, gegen die meisten WordPress-Sites zu tun ist, dass Sie gerade veraltete Software mit bekannten Exploits haben. Sie verwenden entweder eine alte Version von WordPress oder eine alte Version eines Plug-Ins. Gravity Forms hatte einen großen Exploit. 3. Dein Your einrichten: So haben Sie gerade in Ihrer WordPress-Website eingeloggt. Wie ändere ich mein Passwort? Ist die erste Frage, mit der wir uns schnell befassen werden. In der linken Seitenleiste möchte ich von unten zu den Benutzern gehen und dann werde ich auf Ihr Profil klicken. Dort, am unteren Ende finde ich diese Konto-Verwaltung, Neues Passwort-Feld. Was ist wirklich cool über WordPress heute, ist, dass es nicht mehr gibt Ihnen nur ein leeres Feld. Es macht Sie tatsächlich ein Passwort zu generieren, das es als stark hält. Es hält es für stark, weil es sehr zufällig ist und einen großen Zeichenraum hat. Das heißt, es hat Symbole und Großbuchstaben, und Kleinbuchstaben und Zahlen alle darin. Angesichts dessen, ist das ein ziemlich gutes Passwort. Das Schwierige an einem Passwort wie diesem für die meisten Menschen ist es, sich daran zu erinnern. Wir werden im nächsten Video darüber sprechen, warum Sie wahrscheinlich einen Passwort-Manager wollen. Wenn Sie nicht in der Lage sind, einfach Ja zu sagen, ich werde dieses Passwort verwenden, das WordPress generiert hat, dass es stark ist, müssen Sie darüber nachdenken, wie Sie ein Passwort machen. Passwort ist ein schreckliches Passwort. Manche Leute machen gerne diese Charaktersubstitutionen, bei denen sie einfach so sein werden: „Nun, ich kann das und das machen“, aber du hast die Sicherheit davon kaum erhöht. Selbst wenn Sie eine zwei wirklich zufällige Zahl hier in getan haben, WordPress richtig sagt Ihnen, dass dies immer noch schwach ist. Ihr Ziel ist es, diese Box sagen zu lassen, dass Ihr Passwort stark ist. Die beiden häufigsten Empfehlungen, die ich denke, sind eigentlich ziemlich solide, sind, wenn Sie nur im wörtlichen Sinne eingeben, dies ist ein wörtlicher Satz, das ist ein ziemlich starkes Passwort im Allgemeinen, nur weil es am Ende Ziemlich lang. Menschen haben eine ziemlich einfache Zeit, sich an Sätze zu erinnern, und wenn Sie Leerzeichen setzen, das ist ein besonderer Charakter. Also auch alle Kleinbuchstaben, keine Satzzeichen, die es keinen Grund gibt, es in einem Passwortfeld wie Wortpressen auszuschließen, erhalten Sie immer noch ein ziemlich gutes Passwort. Der andere Weg ist diejenigen, wie die WordPress tut, aber sie sind schwieriger zu erinnern. Es gibt auch die Möglichkeit, Möglichkeit herauszufinden, wie Sie sich an einen Satz erinnern können, aber ihn in mehrere Arten von Symbolen codieren können. Manche Leute sagen Dinge wie „Es waren neun Pferde“ und sie erinnern sich, dass es ein Wort gibt, das sie immer buchstabieren. Waren, wird als R Großbuchstaben abgekürzt, vier Pferde, vier ist nur die Zahl, Pferde wird Großbuchstaben Wort. Wenn Sie einen Algorithmus wie diesen entwickeln, ist es ziemlich einfach für Sie, sich an Sätze zu erinnern, in denen wir als Menschen ziemlich gut sind und ihn in etwas verwandeln, das ein wenig mehr Sicherheit als das ist, aber im Allgemeinen möchten Sie nur haben ein gutes Passwort auf Ihrer WordPress-Website. Die Leute empfehlen, dass Sie kein Konto mit der Bezeichnung admin haben, aber ich denke, ein besseres Passwort ist so viel wichtiger als ob Sie ein Konto haben, das ein Botnet wie admin erraten wird. Auf jeden Fall, haben Sie ein gutes Passwort auf Ihrer WordPress-Website. Passwort ist einfach nicht akzeptabel und weder Bier noch Whisky, Denver Broncos oder Chicago Bulls oder was auch immer Ihre Lieblingssportmannschaft ist. Sie müssen ein gutes Passwort haben und wir werden darüber sprechen, warum Passwort-Manager dabei helfen, aber kommen Sie mit einem Satz und verwenden Sie es auf Ihrer WordPress-Website, und verwenden Sie es nirgendwo anders, und Sie werden weit voraus sein -Spiel. Sobald Sie dieses Passwort festgelegt haben, können Sie auf „Profil aktualisieren“ klicken und es wird das Passwort für Sie ändern und nur sicherstellen, dass Sie sich daran erinnern. Setzen Sie Ihren Passwort-Manager ein, legen Sie ihn in Ihren Kopf, und Sie werden alles bereit sein. Das ist nur ein riesiger Gewinn, der sehr leicht zu bekommen ist. 4. Password: Ich benutze einen Passwort-Manager namens 1Password und es hat eine Browser-Erweiterung, die mich schnell in eine Website wie meine WordPress-Website hier auf der linken Seite einloggen kann. Was wirklich beeindruckend und großartig daran ist, dass ich nicht wissen musste, was dieses Passwort war. Das Passwort für diese Website, die ich benutze, als Beispiel hier, werde ich es Ihnen sehr schnell zeigen, also werde ich es ändern, aber es gibt keine Möglichkeit in meinem Kopf, wie man dieses Passwort unter den Tausenden von anderen Passwörtern, die ich haben in meinem Leben. Aber weil ich das eine Passwort kenne, das ich für 1Password verwende, kann ich ein einzigartiges Passwort haben, das diesem im Grunde auf jeder Website sehr ähnlich ist, die ich benutze. Das ist die große Macht eines Passwort-Managers. 1Passwort ist nur eines von ihnen, der LastPass, KeepAss, etc., Dashlane, kommt mir wirklich schnell in den Sinn. Es gibt viele und viele Passwort-Manager. Wegen des Risikos eines Kompromisses zu sagen, Facebook oder eine Website, in die Sie eine Berechtigung einlegen mussten, verwenden Sie Stack Overflow oder Stockfotos oder was auch immer, eines dieser Dinge, ein Kompromiss von einer dieser Websites, wo sie Passwörter schlecht speichern, was leider passiert, was leider passiert, kann Ihr WordPress-Passwort gefährden, weil Sie das gleiche Passwort dort verwenden könnten und sobald es auf einer Liste ist, ist es schlechte Nachrichten. Ein wirklich einzigartiges Passwort auf jeder Website zu haben, ist großartig. Der einfachste Weg, dies zu tun, ist, sich nicht daran zu erinnern, indem Sie einen Passwort-Manager verwenden. Sie müssen diese nicht verwenden, und Sie brauchen nicht unbedingt, um sie zu verwenden, aber ich denke, es ist so vorteilhaft zu wissen, dass jede WordPress-Website, die Sie ein paar haben, wenn Sie wie ich, Sie haben eine Menge von ihnen, kann sein eigenes einzigartiges Passwort haben und so keine Kompromisse, wenn einer von ihnen die anderen auf der Passwortebene gefährden wird. Dies ist eines der einfachsten Dinge, die Sie tun können, um Ihre Website sicherer zu machen. Ich ermutige Sie definitiv dazu, es zu tun oder zumindest darüber nachzudenken, warum Sie sollten. Sie haben in der Regel einige Kosten pro Jahr für sinkende Funktionen und diese Art von Sachen, aber sie sind in der Regel ziemlich vernünftig, wenn Sie die Kosten für ein gemeinsames Werkzeug, das Sie als Profi verwenden, wie WordPress betrachten . Sie sind einfach so billig relativ, dass es eine so offensichtliche gute Wahl ist, also empfehle ich Ihnen wirklich, einen Passwort-Manager zu bekommen und das ist die Logik. 5. Benutzer-Funktionen und Fähigkeiten in WordPress: Wir werden darüber reden, wie du deiner Freundin Susan, rufen wir sie an, Zugang zu deiner Seite geben solltest . Susan möchte für Sie einen Artikel über das gleiche Thema wie Ihre Website schreiben, oder sie will Ihnen mit einigen technischen Dingen helfen, oder sie will einfach nur, Sie wollten, dass sie alle Inhalte auf Ihrer Website korrigiert, weil sie wie SEO oder einfach nur Korrekturlesen, was auch immer es ist. Es gibt ein paar verschiedene Möglichkeiten, wie Leute darüber nachdenken würden, Susan Zugang zu geben. Eine davon ist, dass sie ein Konto haben und Susan nur Zugriff auf das Konto geben. Aus Sicherheitsgründen denke ich, dass dies die schlimmste Situation ist. Es gibt diese Idee namens das Prinzip des geringsten Privilegs und das Prinzip des geringsten Privilegs, aka Prinzip des geringsten Zugriffs ist andere Sache, die ich oft nenne es ein Prinzip der geringsten Autorität, ist die Idee, die Sie wollen , um den Menschen nur so viele Informationen zu geben, wie sie benötigen. Zum Beispiel, berühmt hier in den Vereinigten Staaten, gibt es diese Sache namens Area 51, die militärische Stätte ist, die vielleicht mit Außerirdischen zu tun hat, wissen wir nicht. Der Punkt ist, dass wir es nicht wissen müssen. Das ist das ganze Gründungsprinzip und diese Art von Sicherheitsdenken ist warum nur der Präsident und bestimmte andere Leute, die das Bedürfnis haben, darüber zu wissen, oder irgendetwas anderes bekommen, es zu sehen. Deshalb erfolgt die Einstufung innerhalb von Geheimdiensten. WordPress befasst sich mit der gleichen Sache über das, was es Benutzerrollen und Fähigkeiten nennt. Wenn ich zu meinem Bildschirm „Neue Benutzer hinzufügen“ gehe, sehe ich unten in diesem Dropdown-Menü. Es ist wichtig, dass Sie gute Benutzernamen auswählen und Susan ein gutes Passwort geben, aber diese Rollen sind wirklich das Wichtigste, was ich hier abdecken möchte. Auf WordPress.org kann ich diese Rollen in Fähigkeiten sehen, URL, ich bin nur bei Codex dot WordPress.org Schrägstrich Tools und Fähigkeiten, und es hat diese wirklich, wirklich nützliche Tabelle. Wir können ziemlich sicher ignorieren die Super-Admin-Konto , weil das nur für wie WordPress Multi-Site existieren, die eine Sache, die Sie wahrscheinlich nicht haben oder brauchen, um sich Sorgen zu machen. Was wirklich wichtig ist, ist, dass Sie sehen können, dass eine Administratorrolle, die ist, was mein aktueller Benutzer ist und was die meisten Menschen haben, wenn sie eine WordPress-Website einrichten, hat die Fähigkeit zu aktivieren, löschen, Plugins und Themes, es kann die Website importieren und exportieren, es kann Benutzer entfernen, es kann eine Menge Dinge tun. Nun, Susan wahrscheinlich, wenn sie nicht wie eine Entwicklerin ist, die Sie einstellen, braucht Susan wahrscheinlich nicht all diesen Zugang. Wahrscheinlich muss sie nur Ihre Kommentare verwalten. Das ist eine gemeinsame Sache auf einem wirklich beliebten Websites. Jemand musste nur dort reingehen und Kommentare regelmäßig manuell genehmigen. Wenn Susan nur Kommentare moderieren muss, reicht eine Editorrolle für sie weil sie nicht die Möglichkeit braucht, Ihre Themes und Plugins zu aktualisieren, aber nicht die Möglichkeit hat, Kommentare zu moderieren. In diesem Dropdown werden Sie nur Editor auswählen, wenn das die Rolle ist, die Susan für Sie brauchen wird. Wenn wir nach unten gehen, werden wir immer enger. Ein Autor hat im Grunde die Fähigkeit, einen Beitrag vollständig zu erstellen, einschließlich der Platzierung neuer Bilder und all das Zeug darauf. Autor ist großartig, wenn Sie jemandem Zugriff geben müssen, um einen Beitrag zu erstellen, kann ein Mitwirkender Beiträge bearbeiten und löschen. Aber es gibt diesen seltsamen Schluckauf in WordPress-Editor wo ein Mitwirkender Bilder nicht hochladen kann und so dann ein Abonnent ist, was Sie mit jemandem brauchen, muss nur Lage sein, sich auf Ihre WordPress-Website einloggen, aber muss keine andere haben -Zugang. Mitgliedschaft Plugins auf WordPress fast immer erstellen Abonnentenkonten für Menschen, weil keine der gemeinsamen WordPress-Rollen brauchen sie, sie brauchen nur dieses Konto und dann die Mitgliedschaft Plugin fügt auf andere Funktionen gibt. Wenn Sie mit jemandem zusammenarbeiten müssen, geben Sie ihnen die richtige Rolle, WordPress-Benutzerrolle für sie. Auf diese Weise können wir sie einfach entfernen, wenn Sie keinen Zugriff mehr benötigen . Weise wissen Sie, dass sie nur die Dinge tun können, die Sie wollen. Es ist wirklich ein ziemlich einfaches Prinzip, aber es ist super, super wirkungsvoll in Bezug auf die Sicherheit, denn wenn Susan ihr Passwort ändert, um ein schlechtes Passwort zu sein, sollten Sie es auf jeden Fall gut zu starten geben. Sie möchten die Höhe des Schadens begrenzen, den jemand, der Zugriff auf Susans Konto hat , und Sie tun dies, indem Sie die richtige Rolle für sie erstellen. 6. Backups – So machst du sie und warum: Backups sind sehr wichtig. Der Grund, warum sie so wichtig sind, ist, weil aus Sicherheitsperspektive, wenn Sie kompromittiert wurden, Sie brauchen eine Notwendigkeit für das, was ich vielleicht Zeitsicherheit nennen würde und Backup bietet Zeit Sicherheit, weil Sie ein Backup von Tag oder Woche haben vor, haben Sie einige Zeit Sicherheit. Dies ist ein Teil der Gründe, warum Sie möchten, was Benutzer Rollups nennen , bei denen Sie mehrere Versionen im Laufe der Zeit aufbewahren. Time Machine tut dies bekanntermaßen auf einem Mac-Betriebssystem. Es gibt viele andere Programme, die es in verschiedenen Umgebungen tun und Web-Hosts tatsächlich bieten eine. Ich glaube, dass Website Boden, mit dem ich die meisten meiner Sehenswürdigkeiten gehostet mit. Ich glaube, sie speichern eine pro Woche für 30 Tage und sie speichern eine pro Tag für eine Woche. Dies ist wirklich gut, weil es Ihnen den Vorteil gibt wenn etwas ging etwa eine Woche ein gehen Sie immer noch ein Backup, aber es kann nicht so gut wie speziell, dass man. Die Leute können sich im Grunde darauf verlassen, dass ihr Gastgeber eines davon aber ich glaube sehr stark an der Idee, dass, wenn man es an einem Ort sichert, man eine Kopie davon hat. Wenn Sie es an zwei Stellen sichern, haben Sie tatsächlich ein echtes Backup. Das ist die paranoide Person in mir. Ich hatte die Erfahrung von schlechten Backups, als ich ging, um die Wiederherstellung und es war nur weil ich das zweite Backup zur Verfügung hatte, dass es mich gerettet. Das ist definitiv die Logik davon. Ich persönlich laufe Plugin auf dieser Seite namens Backup Buddy, was ich denke, ist eine ziemlich gute bezahlte Backup-Service für WordPress. Andere, die sofort in den Sinn kommen oder voltpress/wordpress.com, jetpack. Das sind drei Marken, die das Gleiche unter der Haube bedeuten. Es gibt auch einen Blog-Tresor, über den ich in letzter Zeit viele gute Dinge gehört habe. Aber wenn Sie nicht auf der Suche zu bezahlen, gibt es eine Reihe von Backup-Plug-Ins in der WordPress kostenlose Plug-In-Repository, die funktionieren. Updraft Pluspunkte, wenn ich nur gute Erfahrungen damit gemacht habe , wo Sie es im Grunde einrichten können, um Ihre Daten in Dropbox oder Google Drive oder Amazon S3 oder so etwas zuschieben Ihre Daten in Dropbox oder Google Drive oder Amazon S3 oder so etwas zu und dann haben Sie es Ihre rollenden Sicherungen und Dateispeicher, für die Sie wahrscheinlich bereits bezahlen. Wenn Sie für Dropbox oder Google Drive bezahlen, haben Sie viel Platz dort relativ zu einer WordPress-Website, die in der Regel ein großes WordPress in meiner Erfahrung ist, ist etwa fünf Gigs und es wird nur so groß, wenn Sie setzen eine Menge Medien darin oder es ist ziemlich alt. Es gibt viele andere Optionen obwohl und ich habe ehrlich gesagt keine Erfahrung mit einem von ihnen, aber ich empfehle wirklich, dass Sie vor allem sicherstellen möchten, dass Ihr Hosting eine Sicherung bietet. Zweitens möchten Sie einen Backup-Plug-In ausführen. Der andere Vorteil von Backup-Plugins ist einige von ihnen machen es ziemlich einfach, Websites um zu migrieren, wenn Sie WordPress-Entwicklungstraining dieser Dinge zu tun. Nicht, dass ich unbedingt erwarte, dass du das tust. Ich denke nur, dass Backups super wichtig sind, unabhängig davon , ob Sie eine sekundäre Verwendung für sie darüber hinaus haben oder nicht. Ich kann es wiederherstellen, wenn meine Website ausfällt. Das war's. 7. Trust für Plugins: Wo wir in unserer Backup-Diskussion aufgehört haben, ist die Suche nach Plugins. Eine häufige Frage ist, woher weiß ich, dass ein Plugin sicher ist? Leider gibt es keinen Weg, dass eine nicht-technische Person leicht beurteilen kann ein WordPress-Plugin Sicherheit. Der Code kann von qualifizierten Experten beurteilt werden, aber wenn Sie zum Beispiel nicht mit PHP vertraut sind, ist es sehr schwer für Sie zu beurteilen, ob ein Plugin sicher ist oder nicht. Der beste Proxy, den wir haben, wie sicher ein Plugin ist, ist ehrlich sein Ruf im Allgemeinen im Ökosystem. Es ist kein perfektes Signal. Es ist definitiv der Fall, dass sehr beliebte Plugins. Ich erwähnte, Gravitationsformen und Revolution Seite oder in ein paar anderen, die Probleme in der Vergangenheit hatten, wo diese Probleme hatten. Aber einer der besseren Proxies, die Siefür die Beurteilung der Sicherheit eines WordPress-Plug-ins habenkönnen für die Beurteilung der Sicherheit eines WordPress-Plug-ins haben wo Sie den Code nicht lesen können, um es zu beurteilen, weil Sie Code nicht gut genug verstehen, ist wirklich dieser Ruf. Vier kostenlose WordPress-Plugins, die im WordPress-Plugin-Repository verteilt werden. Sie geben Ihnen eine Menge nützlicher Informationen direkt hier in dieser kleinen Box unten. Dies ist alles, was der Plugin-Autor erstellt, wo sie sagen, was ihr Plugin ist und was es tut. Das ist nicht super hohe Qualität in Bezug auf die Beurteilung, ob es sicher ist oder nicht, was sein Ruf ist, aber diese Box ist. Diese Sternebewertung ist genau wie jede andere Sternebewertung, die Sie auf Yelp oder Foursquare oder auf welchem Bewertungssystem der Welt gesehen haben . Ich beurteile jedes Sterne-Bewertungssystem so sehr nach der Quantität der Befragten wie ich die Qualität von ihnen tue. Sie werden feststellen, dass XCloner hier unten rechts meinem Bildschirm vier Sterne und 85 Bewertungen hat, während UpDraftPlus fünf Sterne und mehr als 2000 Bewertungen hat. Ich nehme das als ein gutes Qualitätssignal an, dass viele Leute es überprüft haben und sie sehr darüber nachgedacht haben. Das sind zwei gute Dinge, die in dieser kleinen Box kombiniert werden. Die nächste ist die tatsächliche aktive Installation. Jede WordPress-Website effektiv Telefone nach Hause des WordPress-Plugin-Repository, um über Updates zu fragen, die wir in einer Sekunde erhalten werden. Dabei sammelt WordPress, wie viele Personen aktiv das Plugin ausführen. Wie Sie bereits vertraut sind, können Sie ein Plugin in WordPress installiert haben, aber nicht aktiv. Dies zählt die tatsächlichen aktiven Installationen eines Plugins. Wenn die Leute es weiterhin betreiben, ist es wahrscheinlich ein gutes Zeichen dafür, dass es gut ist und einen guten Ruf hat. Aktualisiert ist derjenige, der für die Sicherheit am relevantesten ist, da das Update einer der besseren Proxys ist, die Sie haben, wie viel ein Plugin aktiv entwickelt wird und dass sie ständig über seine Sicherheit nachdenken. Wenn sie regelmäßig aktualisieren, ist es wahrscheinlich der Fall, dass sie, wenn sie einen Bericht über ein Sicherheitsproblem erhalten, es schnell patchen würden. Es ist ein schwaches Signal, weil ich ein Plugin kenne und empfehle, das in fünf Jahren nicht aktualisiert wurde, wo ich den Code angeschaut habe, ich dachte, es war sehr gut und es hat alle Funktionen, die ich brauche, um es zu haben. Als jemand, der sich den Code nicht ansehen und seine Qualität beurteilen kann. Ich denke, Sie müssen auf Proxies trainieren, wie, ist diese Version kürzlich aktualisiert? Sagt es, dass selbst mit Versionen von WordPress kompatibel ist? Dies wird selbst gemeldet, so dass Sie Probleme mit Inkompatibilitäten haben können, auch wenn Sie dieses Häkchen hier sehen. Aber im Allgemeinen ist es ziemlich gut. Das sind die primären Signale, die Sie verwenden können. Die andere Sache ist genau so, wie unsere Leute es Ihnen entweder online oder persönlich empfehlen. Wenn Sie zu WordPress Meetup gehen, oder wenn Sie zu einer Konferenz gehen, sprechen die Leute über ein Plugin? Wenn sie es tun, ist es ein gutes, wieder, Reputationssignal, das unser bester Proxy als Nicht-Code-Writer für wie gut ein Plugin ist. Einige Plugins sind nicht einmal in den WordPress-Repository Gravitationsformen, wie ich ein paar Mal erwähnt habe, ist ein Formular-Plugin, das die Leute lieben, die einen guten Ruf hat, aber nicht wirklich hier drin ist, so dass Sie diese nicht bekommen spezifische Vertrauenssignale, die Ihnen mit einem Plugin wie das zur Verfügung stehen. Aber wenn Sie gehört haben, dass die Gravitationsform großartig ist, ist es wahrscheinlich. Darauf können Sie sich auch verlassen. Auch hier ist der Ruf der beste Proxy, den wir haben, wenn wir die Codequalität nicht beurteilen können. Es ist, was Sie handeln auf und was können Sie etwas Vertrauen haben , dass dieses Plugin ist wahrscheinlich ziemlich gut und wahrscheinlich sicher zu sein. Wenn es kürzlich aktualisiert wird, wenn es gute Noten hat, sind die Chancen gut, dass es so beibehalten wird, dass, wenn jemand sagt, ich dieses seltsame Problem gefunden habe, wo ich tatsächlich alle Anmeldeinformationen sehen kann, sie es in Zeit. 8. WordPress Updates – was du tun sollst und warum sie wichtig sind.: Wir sprachen über Plugins und wie man weiß, dass sie gut sind. Das nächste, worüber ich sprechen möchte, ist, warum Sie Ihre Plugins und auch WordPress selbst und vieles mehr aktualisieren müssen. Ich habe derzeit, in dieser Installation, eine Update-Version von WordPress, und es ist wirklich wichtig, dass Sie WordPress auf dem neuesten Stand halten. Sie werden feststellen, dass ich auf 4.9.4 und 4.9.4 ist eine Fortsetzung der 4.9 Release-Reihe von WordPress. Ich denke, dass vier eine Sicherheitsfreigabe war, und wenn es nicht drei oder zwei oder eins war. Ich fühle mich zuversichtlich zu sagen, dass mindestens einer von ihnen war. Sie müssen jedes von ihnen bekommen, weil kleine Fehler beim Schreiben von Code gemacht werden und es ist wirklich wichtig, dass Sie im Allgemeinen aktualisieren, weil die Leute Zeit und Fähigkeit brauchen, diese Fehler zu beheben, und WordPress hat, in den letzten paar Jahre, machte es so viel einfacher, diese Dinge zu aktualisieren, die ich wirklich einfach nicht genug empfehlen kann. Kommen zu diesem Bildschirm, Dashboard-Updates in Ihrer Seitenleiste und Aktualisierung WordPress, wenn Sie eine neue Version zur Verfügung. Es ist der Fall von Hosts wie SiteGround haben jetzt irgendwie es zu einer Gewohnheit gemacht wir werden immer halten Ihre WordPress-Version; so diese, die wichtigsten WordPress up-to-date für Sie automatisch, ohne dass Sie fragen, weil sie verstehen, wie wichtig ist es für die Sicherheit von nicht nur WordPress, Ihre spezifische Version, aber das gesamte Internet, dass es nicht eine Reihe von veralteten WordPress-Installationen schweben herum. Es ist auch wichtig, aus genau den gleichen Gründen, dass Sie Ihre Plugins halten, und in geringerem Maße, weil Themen weniger Auswirkungen auf die Sicherheit haben, auf dem neuesten Stand. Ausführen von Updates auf diesem Bildschirm ist super einfach. Es gibt eine Schaltfläche, um WordPress zu aktualisieren. Wenn Sie ein Backup haben, Sie wahrscheinlich in guter Form sein, denn selten wird ein Update zu irgendeinem dieser Dinge etwas für Sie brechen, aber das ist der häufigste Einwand. Ich werde voran gehen und drücken Update auf all diese Plugins und sie werden nur durch laufen, WordPress wird sicherstellen, und tun Sie für Sie den harten Teil des Downloads der ZIP-Datei, setzen Sie es auf das Dateisystem und alles, was Zeug. Damit habe ich gerade sechs Plugins hochgeladen. Es ist ziemlich einfach zu tun, es braucht nicht viel Zeit. Der Paranoid unter uns wird auf die Vorderseite unserer Website gehen und sein wie, es scheint immer noch das gleiche zu sein, wie es war. Aber das müssen Sie nicht unbedingt tun, es ist nur etwas, was der Paranoid von uns von Zeit zu Zeit tun will. Der Grund dafür, dass Backups so wichtig sind, ist genau diese Fähigkeit , die Updates schnell durchzuführen, ohne darüber nachdenken zu müssen. Deshalb ist die Aktualisierung so wichtig und wie man es in sehr kurzer Zeit macht. Es ist erstaunlich, die Zukunft von WordPress, in der wir heute leben. Prost. 9. Warum/So besuche deine WordPress-Website: So ist eine der am meisten unter vermarkteten Dinge über halten Sie Ihre WordPress-Website sicher ist einfach dies. Ich habe eine Website namens Thoughtful Code und möchte sicherstellen, dass sie sicher ist. Also gehe ich zu Thoughtful Code, sagen wir, ich bin nicht eingeloggt. Ich schaue mir die Website an. Diese Pop-ups oder meins. Ich habe sie erstellt und alle Seiten sehen ansonsten gut aus. Wenn ich mich einlogge, sieht die Anmeldeseite so aus, wie ich es erwarte, und ich melde mich an, und alles sieht hoffentlich so aus, wie ich es erwarte. Ich sehe Plugins, die ich installiert habe, Ich sehe Jet-Pack, das ich installiert habe. Ich habe keine Updates, und ich bin gut. Nur dies auf einer regelmäßigen Basis zu tun ist eine der einfachsten Dinge, die Sie tun können, um Ihre WordPress-Website sicherer zu machen. Wir haben bereits erläutert, warum Sie aktualisieren müssen. Nun, wenn Sie diesen Check wöchentlich, monatlich durchführen, kommen Sie hierher und holen Sie alle Updates. Kommen Sie runter und stellen Sie sicher, dass Ihre Backups ausgeführt werden. Komm her und stelle sicher, dass nichts Seltsames auf deinen Einstellungsbildschirmen passiert, oder es gibt eine neue Sache unter dem Tools-Menü oder so etwas. Einfach nur dieses Zeug zu tun, um sicherzustellen, dass nichts Seltsames passiert ist, nichts Unerwartetes passiert auf Ihrer Website ist so wertvoll aus einer Perspektive von, okay, also ist etwas Schlimmes passiert. Sie haben ein Backup, das gerade genug ist, dass Sie nicht nur schlechte Backups einer ungesicherten Site haben , die in irgendeiner Weise kompromittiert wurde. Es klingt so einfach, dass es kaum jemals gesagt wird, aber es ist so wichtig, einfach auf einer Website zu überprüfen. Selbst wenn es etwas ist, das nicht Kern für Ihr Unternehmen ist, wenn Sie überhaupt über es kümmern, müssen Sie nur einmal auf es überprüfen und eine Weile, macht einen großen Unterschied in der allgemeinen Sicherheit dieser Website. 10. Security: Es gibt eine große Kategorie von WordPress-Plugins, die ich das Gefühl, dass wir über in Bezug auf WordPress-Sicherheit sprechen müssen und das ist, was ich in der Regel als WordPress-Sicherheits-Plugins kategorisieren würde. Es gibt verschiedene Plugins, die entweder in WordPress gehen oder dass unsere Service-Schicht [unhörbar] situ außerhalb von WordPress laufen , die Ihnen einige zusätzliche Sicherheitsvorteile über nur nicht machen die offensichtlichen Fehler nicht aktualisieren Ihre WordPress, sagen Sie mit schlechten Passwörtern und was haben Sie. Viele von ihnen haben ein kostenloses Kontingent, wie ich in diesem Diagramm erwähnt habe, das ich auf meinem Bildschirm gestellt habe, fast alle haben ein kostenloses Kontingent. Im Allgemeinen möchten Sie einige Funktionen für einige von ihnen bezahlen. Die besten alle sind, mit fast keine Ausnahme, außer dieser ist ein Ausreißer Sound von vollwertigen Sicherheits-Plugin und schlägt vor, für Audit-Protokolle, die Zeit zurück zu diesem letzten Video. Audit-Protokolle sind großartig, wenn Sie nicht in der Lage sind, sich regelmäßig auf Ihrer Website anzumelden Es kann Ihnen ein Gefühl von dem geben, was jeder Benutzer auf Ihrer gesamten Website getan hat. Aber im Allgemeinen, ein WordPress-Sicherheits-Plugin, eines seiner größten Dinge ist, dass verhindern, was sie Brute-Force-Angriffe nennen, das ist, wo jemand ein Passwort viel auf Ihrer Website nur wirklich versucht, Sie wirklich hart zu treffen und fast alles , was sich als Sicherheits-Plug-in bezeichnet, blockiert diese teilweise, indem bestimmte IPs blockieren, von denen er weiß, dass sie feindlich sind. Dies sind einige der beiden häufigsten Merkmale. Eine fortgeschrittenere Version davon ist eine Webanwendungs-Firewall. Eine Webanwendungs-Firewall funktioniert entweder auf Ihrem Server oder befindet sich zwischen Ihrem Server und dem öffentlichen Internet und blockiert Anfragen, die sie für schlecht hält, Schaden anrichten sollen. Im Wesentlichen Dinge wie, Anfragen für, ist dieses Plugin veraltet auf Ihrer Website. Eine Webanwendungs-Firewall kann diese Anforderungen stoppen, bevor sie Ihren Server erreichen. Viele Sicherheits-Plugins bieten das, was sie Malware-Scannen nennen, wo sie durchlaufen und im Wesentlichen alle Dateien auf Ihrem gesamten System betrachten und die Signatur aller Ihrer Dateien auf Dinge überprüfen , die sie für schlecht halten Dinge, die sie für die Verteilung von Malware betrachten , um durch Downloader oder so etwas zu fahren. Das ist, was Malware-Scannen tut und in der Regel sind dies Dienste, die Sie zahlen , die über alle Dateien auf Ihrer Website suchen und tun es. Audit-Protokolle, wie ich angefangen zu erwähnen, sind großartig, denn ich habe nicht wirklich die Möglichkeit, meine Website so regelmäßig zu sehen, wie ich möchte, aber ich möchte wissen, was dort vor sich geht. Audit protokolliert eine Möglichkeit, wo verschiedene Plugins tun es auf verschiedenen Ebenen, aber sie werden Dinge wie sagen, dieses Plugin wurde eingeschaltet, dieses Plugin wurde hinzugefügt, dieses Plugin wurde ausgeschaltet. Diese Dinge können durch Software für Sie verfolgt werden und Sie gehen hinein und schauen Sie es in so lange, wie das Protokoll hat Treue, was es hoffentlich tut, dann wissen Sie genau, was auf Ihrer WordPress-Website passiert und Sie wissen auch was nicht auf Ihrer WordPress-Website passiert. Einige dieser Plugins geben Ihnen auch Hilfe bei komplizierteren Dingen , die Ihre WordPress-Website aushärten könnte. Sie werden Sie vielleicht durch Dinge führen, wie sicherstellen, dass Dateiberechtigungen korrekt sind oder sogar die Zwei-Faktor-Authentifizierung eingerichtet werden. Sie haben wahrscheinlich eine gewisse Exposition gegenüber Zwei-Faktor-Authentifizierung, wenn Sie sich heute bei einer Bankwebsite anmelden, die Chancen sind gut, dass sie Ihnen eine SMS mit einem Code senden , den Sie zusätzlich zu Ihrem Passwort eingeben müssen. Sie können das auf WordPress einrichten und dann ist es besser, nur um WordPress-Passwort zu sichern, aber es ist schwer zu bekommen, es ist schwieriger einzurichten. Einige der Sicherheits-Plugins verfügen über diese Funktion. Diese Tabelle ist, wie ich denke und wie ich WordPress-Sicherheits-Plugins in der Vergangenheit verglichen habe. Irgendwann im Jahr 2018 veröffentlichte eine Website, die nur diese Tabelle ist, weil es wirklich hilfreich für die Menschen ist, aber das ist, wie ich über verschiedene WordPress-Plugins denke, die existiert. Sie könnten einen Freund haben, der bereits eine Kopie von Word Zaun hat und würde gerne Sie zu ihrer Verwendung hinzufügen, ihre Multi-User-Lizenz und wenn das der Fall ist, denke ich, es ist wirklich vorteilhaft, ein WordPress-Sicherheits-Plugin haben. Die eine Sache, die ich sagen würde, ist es wichtig zu erkennen, dass all das Zeug, über das wir gesprochen haben, ist immer noch sehr relevant für eine sichere WordPress wie auch wenn Sie eines dieser Plugins installieren, weil keiner von ihnen alles tun, was Sie wollen, damit eine Website sicher gemacht werden kann. In der Tat, fast keine von ihnen tun Backups zum Beispiel. Sie müssen immer noch über Backups denken, unabhängig davon, ein WordPress-Sicherheits-Plugin als vollwertige Lösung zu erhalten . Aber ein WordPress-Sicherheits-Plugin ist ein großer Schritt, den Sie ohne zu viel Hektik nehmen können, ohne zu viel Verlangsamung, wird fast sicher machen Ihre Website zumindest ein wenig sicherer. 11. iThemes Security Schnelle Zusammenfassung: Wir haben gerade über diese Matrix gesprochen, die ich aus verschiedenen WordPress-Sicherheits-Plug-Ins gemacht habe. Wirklich schnell möchte ich nur hervorheben, wie die Erfahrung eines von ihnen ist. Wie ich bereits erwähnt habe, die Affäre Betrag. Einige von ihnen enthalten eine Webanwendungs-Firewall, andere nicht. Ich habe mich entschieden, wirklich schnelle iTheme Security hervorzuheben, es ist nicht diejenige, die ich denke, dass Sie unbedingt haben müssen. Ich denke, jeder einzelne, den ich in dieser Matrix habe, ist aus verschiedenen Gründen gut. Es ist nur zufällig derjenige, den ich installiert habe. Ich habe iTheme Security eingerichtet, ich habe gerade das kostenlose Plug-in installiert und aktiviert und es wird überprüft, dass viele Dinge gut für mich sind. Datenbank-Backups auf, Brute-Force-Schutz ist aktiviert, Magic Links sind aktiviert. Ich habe dieses Plug-in so eingerichtet, dass es im Wesentlichen sicher genug ist, dass ich damit zufrieden bin. Ich kann verschiedene Dinge wie meine Sicherheitsprüfung durchführen. Ich kann auch den so genannten Auswärtsmodus aktivieren, was eine Möglichkeit ist, dass sich nur während der geplanten Zeiten jemand auf meiner WordPress-Website anmelden kann? Ich kann die Erkennung von Dateiänderungen aktivieren, was ideal für genau das ist, worüber wir gesprochen haben, wo wir etwas wollen, um uns zu informieren, dass jemand versucht hat, eine Datei zu ändern, sagen wir, indem Sie veraltete Plug-ins oder so etwas hacken. All diese Dinge, diese einzelnen Schritte in iTheme Security sind gute Praktiken, die Sie tun können. Sie haben einige fortgeschrittene und einige empfohlene. Es kümmert sich um alle verschiedenen Schritte für Sie und hilft Ihnen, ein wenig mehr darüber zu erklären, was sie tun. Was wirklich toll an iTheme Security ist vor allem der Bildschirm ist relativ benutzerfreundlich. Es ist benutzerfreundlich in der Art und Weise, dass ein Entwickler es ein wenig gebaut hat, es ist ein wenig ich denke, nicht super intuitiv. Ich würde nicht argumentieren, dass dies die größte Schnittstelle aller Zeiten ist, aber es ist ziemlich gut. Was wirklich schön daran ist, dass es mir nur schnelle Überprüfungen gibt, wie ich sicherheitstechnisch mache und welche weiteren Schritte ich unternehmen kann. Ich glaube nicht, dass Sie iTheme Security verwenden müssen. Ich denke, dass alle, die ich in dieser ganzen Matrix habe, ein guter Schritt sind und Ihnen einige Vorteile geben, die wir im letzten Video behandelt haben. Aber iTheme Security ist einer von ihnen, und es zeigt mir ziemlich deutlich einige der guten und schlechten Sicherheits-Plug-in. Ich habe automatische Protokolle von verschiedenen Ereignissen, seit ich das gerade aktiviert habe, ich habe es bereits. Ich habe es leer, aber da ich das gerade eingeschaltet habe, ist es derzeit leer für mich. Ich weiß, dass sich diese im Laufe der Zeit aufbauen werden, da immer mehr Leute die Seite benutzen und Dinge in einer Umlaufbahn kontrollieren. Ich mache nur Änderungen an den Plug-Ins, die ein- und ausgeschaltet sind. Es ist wirklich gut, dieses Gefühl von haben, zusätzliche vorteilhafte Sicherheit, die ich fast kostenlos bekomme, aber es ist keine komplette Lösung. Ich muss immer noch sicherstellen, dass ich es regelmäßig auf meiner Website überprüfe. Stellen Sie sicher, dass ich Backups durchführe, da das Plug-in selbst diese Dinge nicht für mich erledigt. 12. SSL I: Was und warum: Wenn es eine Sache gibt, die die meisten Leute als ziemlich Synonym für Sicherheit online betrachten, dann ist es dieses Green-Lock-Symbol, dieses in Firefox. Aber die meisten Browser werden ein ähnliches Green-Lock-Symbol machen, unabhängig davon, was sie sind. Meine Website, mit der ich für diesen Kurs gespielt habe, heißt thoughtfulcode.com, und Sie werden feststellen, dass ich hier am Anfang seiner Adresse ein HTTPS habe, und ich habe dieses Green-Lock, das besagt, dass ich auf einer sicheren Verbindung bin. Dies wird als SSL oder TLS oder HTTPS unterschiedlich bezeichnet. Wenn ich hier weitere Informationen klicke, kann ich sehen, dass ich ein Let's Encrypt Zertifikat habe, das ein kostenloses Konsortium ist, das kostenlose Tickets gibt, dass mein Zertifikat, das überprüft, dass es im Wesentlichen die Verbindung sichert zwischen meinen Besuchern und mir. Läuft am 31. Mai 2018 ab, dass ich auf dieser Website eine ganze Reihe von Malen und so weiter gegangen. Ich kann hier drin das Zertifikat sehen. Die große Sache, über dieses Zertifikat zu wissen, ist, dass es im Wesentlichen einen Fingerabdruck hat , um den Ursprung dieses Ganzen die Sicherheit unserer Verbindung zurückzuverfolgen, im Wesentlichen wegen dieses SSL-Zertifikats. Sie haben verschiedene Möglichkeiten, wie niemand jemals in diese in der Regel der Beurteilung der Gültigkeit von Zertifikaten eingräbt . Was für ein Zertifikat für seine grundsätzlich erlaubt, die Verbindung zwischen mir als Besucher auf einer Heimnetzwerkverbindung und die Sicherheit relativ zu dieser thoughtfulcode.com Domain und Server. Diese Verbindung zwischen mir als Privatbenutzer und dieser entfernten Website ist über dieses kleine Vorhängeschloss-Symbol gesichert. Dies ist zum Beispiel für den E-Commerce sehr wichtig, weil es fast auf robuste Weise überprüft, dass niemand schnüffeln kann, selbst bei öffentlichen, nicht sehr sicheren WLAN-Verbindungen. Ihre Verbindung, um Ihre Bank zu sagen, wenn Sie HTTPS verwenden und Sie ein gültiges Zertifikat darin haben, ist viel sicherer vor Menschen, die auf die Hoffnungen neugierig sind, dass Ihr Datenverkehr von Natur aus über das Internet nimmt. heißt, dieses Green-Lock-Symbol überprüft nicht, dass ich es nicht gewesen bin, die Website kann keine Malware erzwingen, oder dass es nicht sicherstellen, dass die Website nicht übernommen wurde, dass es keine Anzeigen wie alle Dinge, die wir abgedeckt haben, so weit darüber, warum Sicherheit auf Ihrer Website wichtig ist. Darüber, warum es wichtig ist, auf Ihrer Website zu überprüfen. Warum es wichtig ist, Backups zu haben. Nichts davon wird durch diese sichere Sperre Sache verifiziert. Das ist alles völlig getrennt von ihm. Schnell, wenn ich an eine Bank denke, ist eine US-Bank eine große. Sie haben ein so genanntes erweitertes Verifizierungszertifikat. Ihr Name ist da, und das ist eigentlich der Name einer juristischen Person. Wenn ich durch dort Zertifikat ein wenig mehr klicken, heißt es, dass sie in Minneapolis, Minnesota sind und dass sie von Entrust Incorporated verifiziert wurden. Das ist Zeug, das sind weitere Funktionen, die Sie auf ein SSL-Zertifikat bekommen können, das ich nicht auf meinem habe, weil meins im Grunde nur für diese Verschlüsselungsschicht statt, US Bank, wenn Sie zu usbank.com gehen, sehen Sie dieses Zertifikat. Während es für einen Hacker sehr schwer wäre, kein Zertifikat zu bekommen, um tatsächlich variiert zu werden, um U.S.Bank National Association US zu sagen, und das ist viel schwieriger für einen Angreifer zu tun, als einfach etwas zu machen, das vage aussieht wie die richtige URL hier. Das ist im Grunde das, was SSL-Zertifikate tun und wofür sie gut sind. Sie können eine WordPress-Website haben, die nicht sicher ist, weil es alten Code hat, weil es nicht läuft, eine gepatchte Version von WordPress wie das passiert völlig in diesem unabhängig von dieser HTTPS-Sache, all das HTTPS über diese Verbindung zwischen einem Browserbenutzer und Ihrem Server. Besonders für E-Commerce-Websites ist es wichtig, HTTPS-Verbindungen zu haben. Es ist ehrlich zunehmend als eine gute Praxis für alle auf jeder Website immer zu haben.Weil nicht nur aus dieser unsicheren Coffee-Shop Wi-Fi Perspektive, sondern auch aus wie die Regierung Schnüffeln und andere Perspektiven. Es ist eine gute Idee, HTTPS zu haben, unabhängig davon, was Sie mit Ihrer Website tun. Aber es ist nicht unbedingt erforderlich und ist keine vollständige Sicherheit. Es ist nur hilfreich, und so werden wir im nächsten Video darüber sprechen, wie ich das auf einer meiner Website einrichten werde, damit Sie den Prozess sehen können , wie ich von einer Nicht-HTTPS-Verbindung zu einer HTTPS-Verbindung gegangen bin . Das werden wir tun. 13. SSL Teil II: Einrichtung für SSL: Die durchdachte Code-Site, die ich bisher verwendet habe, um alles zu demonstrieren, befindet sich bereits auf einer HTTPS-Verbindung, also ist es nicht sehr gut, Ihnen zu zeigen, wie Sie eine Site zu HTTPS verschieben würden , weil sie bereits da ist. Ich habe diese alte Seite, die in meinem Browser kein grünes Schlosssymbol hat. Ich sehe kein HTTPS, und dies wird bei Bluehost gehostet, was ein sehr seriöser und sehr großer, vor allem für mich, Web-Host ist. Ich werde versuchen, das Setup Bluehost zu verwenden , um diese Domain auf HTTPS zu aktualisieren, und wir werden sehen, was passiert. Wenn ich hierher komme und das ist, was sie ein cPanel nennen, hat es viele Symbole und es gibt einen Sicherheitsbereich hier unten, von dem ich bemerkt habe, dass es ein SSL hat. Wenn ich hier reingehe, weiß ich, dass sie bieten, was sie ein WordPress-freies SSL nennen. Ich denke, das ist ähnlich, unterscheidet sich aber von den Lassen Sie uns verschlüsseln Zertifikate, die ich undurchsichtigen Code verwende. Ich gehe voran und wähle meine Domain raus und ich werde auf „Erste Schritte“ klicken und wir werden sehen, wo das geht, weil ich es nicht wirklich weiß. In Ordnung. So wird es Link banana.com schützen. Das ist perfekt und ich werde installieren, na ja, es ist die Installation. Ich werde erwähnen, Link Banane ist irgendwie wie meine Version von Kottke. Wenn Sie jemals gesehen haben, kottke.org bekommt wie einige zufällige Jungs Sammlung von coolen Dingen. Ich liebe es. Es ist eine lustige Seite. Sie haben erfolgreich ein kostenloses SSL bestellt. Wenn Ihre Domains automatisch verifiziert werden können, können Sie erwarten, dass das neue Zertifikat bald installiert wird. Wenn dies nicht der Fall ist, erhalten Sie eine E-Mail mit Anweisungen. In Ordnung. Hoffentlich sind wir dabei, weil ich denke, wir sollten aufgestellt werden. Gehen wir voran und loggen Sie sich bei der Website ein, auf der ich nicht habe. Zu meiner Verlegenheit wird es hier viele Anmeldemöglichkeiten geben. Ein weiterer Grund, HTTPS zu erhalten, ist, dass Browser Ihnen immer mehr sagen, dass Sie keine Anmeldedaten in Nicht-HTTPS-Foren eingeben sollten , und das ist sehr vernünftig auf, wissen Sie, offenen Netzwerken wie Coffee Shop, Wi-Fi, wo jemand schnüffeln könnte, wenn die Anfrage abfängt, die Ihren Benutzernamen und Ihr Passwort beinhaltet, kann es sehen, es wird grob auf eine ziemlich abwärtskompatible Weise übertragen, so dass sie das sehen können. Also ist es schlimm, ich werde ein bisschen zum Zahnarzt herumfahren. Ich sehe, dass ich veraltet bin. Ich bin derzeit auf WordPress 4.9.3. Also möchte ich auf 4.9.4 aktualisieren, während wir warten. Ok. Es scheint, dass ich alles bereit bin, dieses SSL von Bluehost dort zu bekommen, offensichtlich versuche, mich zu upsell, aber ich bin nicht interessiert. Während wir warten. Bluehost arbeitet jetzt an der Sicherheit meiner Websites, aber ich habe gerade einige Fortschrittsaktualisierungen. Ich ging für einen kleinen Spaziergang und machte sich bereit für das Wochenende und es zeigt mir immer noch anhängig hier, aber ich entschied mich zu versuchen, was passiert, wenn ich zu HTTPS gehe? Was passiert, ist, dass meine WordPress-Website jetzt im Grunde aktualisiert wird, um auf HTTPS zu arbeiten. Wenn ich hier schaue, sehe ich, dass ich auf einer sicheren Verbindung bin. Ich merke, dass dies ein Comodo-Zertifikat ist, anstatt auf, lassen Sie uns verschlüsseln, dass ich einen durchdachten Code habe. Aber nur durch die Verwendung ihrer Einrichtung, ihre Armaturenbrett, und warten eine Weile, es erfordert einige Patienten, Ich werde Sie nicht belügen. Bluehost hat meine Website aktualisiert, um HTTPS zu verwenden. Die meisten guten Gastgeber werden heute mit einem ähnlichen. Wir werden automatisch Ihre Einrichtung als das, was Bluehost hier hat, umstellen. Es ist im Grunde eine Frage der, es wird eine andere Schnittstelle sein, weil dies außerhalb von WordPress existiert. Ich kann Ihnen nicht eine einzelne WordPress-Schnittstelle zeigen. Ich habe Ihnen die Bluehost-Schnittstelle gezeigt, die ist, wenn ich einfachen Zugriff auf, wenn eine Website, die ich brauchte, um HTTPS zu aktualisieren. Es ist erwähnenswert, dass jetzt, da ich auf HTTPS aktualisiert habe, bestimmte Dinge möglicherweise nicht so funktionieren, wie ich vonGoogle Analytics erwarte und dass die ganze Suite von Google Webmaster-Tools als etwas in Google Analytics erwarte und dass die ganze Suite von den Sinn kommt, wo Sie bestimmte Dinge möglicherweise nicht so funktionieren, wie ich vonGoogle Analytics erwarte und dass die ganze Suite von Google Webmaster-Tools als etwas inden Sinn kommt, wo Sie müssen explizit eingehen und manuell ändern, um zu sagen, meine Website ist jetzt HTTPS anstatt HTTP, aber im Großen und Ganzen habe ich plötzlich eine größere Sicherheit zwischen all meinen Besuchern und meiner Website. Meine Logins sind sicherer, wenn ich mein Anmeldeformular einreiche und all diese Dinge sind große Vorteile des Upgrades. Wenn Sie auf GoDaddy oder auf dem Gelände oder jemand anderem sind. Der Upgrade-Prozess könnte ein wenig anders aussehen, aber ich ermutige Sie, HTTPS zu verwenden, wenn Sie können und im Allgemeinen ist es nur eine Frage der Suche nach den richtigen Support-Dokumenten oder den richtigen Support-Agent bei Ihrem Hosting-Unternehmen, um Ihnen zu helfen mit diesem Übergang. 14. Endgültiger Schritt: Damit denke ich, dass wir alle wichtigen Punkte, die ich denke, sind wichtig, um die Sicherheit der WordPress-Website als Nicht-Entwickler zu verstehen abgedeckt haben . Ich denke, dass HTTPS wirklich wichtig ist, um Vertrauen einzuflößen, und das aus gutem Grund. Ich denke, dass Sicherheits-Plugins geben Ihnen so ein Bein nach oben in Bezug auf nur die Kernerfahrung von WordPress als sicher. Wenn Sie die Kern-Dinge, über die wir gesprochen; Ich werde Plug-Ins zu bekommen, stellen Sie sicher, dass Sie auf dem Laufenden bleiben, und mit Backups, können Sie darauf vertrauen, dass diese WordPress-Erfahrung wird gut für die lange Sicht sein. Aber Sicherheits-Plugins geben Ihnen das Bein nach oben zu wissen, dass jemand anderes noch schwieriger darüber nachgedacht hat , was andere Dinge, die Sie tun können, um diese Website sicherer zu machen und hilft Ihnen auf dem Weg. Wir haben auch ein wenig darüber gesprochen, warum das Passwort in der Benutzerrollenkontrolle in WordPress so wichtig ist, und wie einfach es ist zu tun, denn solange Sie geben alle Ihren Freund, Frank, die Sie geben Zugriff auf Ihre -Site. Solange Sie ihm sein eigenes Konto geben und ihm ein gutes Passwort geben, sind Sie so ziemlich den ganzen Weg dorthin. Wir haben auch abgedeckt, warum jede WordPress-Website Sicherheitsrisiken hat, weil es im Internet und nichts anderes als das. Das Abschied, was ich Sie mit verlassen möchte, ist das Verständnis, dass WordPress-Sicherheit, gut, es ist eine Reihe von Schritten, die wir abgedeckt haben. Es ist auch ein laufender Prozess, und die Bedrohungen werden sich ändern, und Sie können nicht darauf vertrauen, dass die Dinge, die Sie heute tun irgendwann in der Zukunft nicht ausreichen werden, da Quantencomputer Befehl jedes Kennwort auf der Internet, können diese Dinge passieren. Das letzte, was man wirklich im Auge behalten sollte, ist, dass es sich nicht um einen einzigen Prozess in der Zeit handelt. Du musst es die ganze Zeit tun. Hoffentlich, mit dieser Klasse fühlen Sie sich jetzt zuversichtlich, dass Ihre bestehende WordPress-Website ist völlig sicher. Sie sind glücklich zu sagen: „He, Hacker kommen hinter mir her. Weil Sie vertrauen, dass WordPress selbst sicher ist und Sie die richtigen Schritte unternommen haben, um es so zu machen. Aber ich möchte nur, dass Sie im Hinterkopf behalten, dass Sicherheit auf einer ewigen Wachsamkeit beruht. Ich weiß, es wäre besser, wenn ich dir sage : „Du kannst dich einfach entspannen und jetzt bist du gut, du brauchst dir keine Sorgen zu machen.“ Aber eines Ihrer Plugins wird in den nächsten fünf Jahren fast sicher als unsicher erwiesen, obwohl Sie mit Bedacht ausgewählt haben . Es ist einfach fast unvermeidlich, weil es sich um menschliche Bemühungen handelt. Solange Sie sich dessen bewusst sind und sich dessen bewusst sind, werden Sie großartig tun. Sie werden in ausreichender Zeit aktualisiert, aber Sie müssen nur daran denken, dass kein Sicherheitsprozess jemals abgeschlossen ist - das ist eine laufende Mission. Damit, Prost und Glück.