Informative talk about WordPress security. I really like that your talk was accessible for a broad audience of WordPress users, sitebuilders and even developers! Just two remarks:
1) When it comes to the list of security plugins, I would just recommend the first three and explain in short why I like them. The others didn't really add a lot of value to your point.
2) I would leave out the Robots.txt slide or spend a little more time to explain why those exclusions are valuable for security. After all, they don't enforce anything. I'd argue those exclusions might even be a cue for malicious spiders to go crawl those paths and they might even hurt SEO a little bit.
Deze talk was zeer toegankelijk, zowel voor beginners als iets geavanceerdere bezoekers.
Ik zou de lijstjes inderdaad wat inkorten, iets vertellen over 2 factor authentication en wat minder diep ingaan op .htaccess voorbeelden of in ieder geval een remark plaatsen voor mensen die op NGINX draaien.
Zeer toegankelijke talk die ook iets te bieden heeft voor developers met meer kennis. Een bewonderenswaardige prestatie gezien het grote verschil in kennisniveau op de WordPress meetup Nijmegen.
Als nginx gebruiker had ik een kleine note bij de .htaccess tips ook wel een goed idee gevonden.
Ook eens met robots.txt, gezien deze niks kan forceren draagt het niet bij aan een veiligere site.
De lijst met plugin gaf aanleiding tot vragen uit de zaal die niet direct bijdragen aan informatievere talk (is deze plugin ook goed? waarom staat deze niet op de lijst?).
Nogmaals bedankt voor de interessante presentatie.
Als toevoeging aan het commentaar van Omar: wat was dat nou precies wat je met robots.txt had kunnen voorkomen? Het is bij mij niet blijven hangen. Misschien kun je daar een voorbeeld van geven? Een annecdote van 1 minuut kan erg verfrissend zijn!
Over de oude versie(s) van PHP: safemode en ook bijvoorbeeld suhosin zijn als pleisters op een vergiet; je kan proberen alle gaten dicht te plakken maar het wordt toch nooit een echte pan.
(Die mag je van me quoten, met bronvermelding :-) )
Tot slot nog een onvolledigheid: register_globals. Wat register_globals deed was ALLE get en post parameters in gelijknamige globals zetten. De security implicaties mogen duidelijk zijn. (zie http://php.net/manual/en/security.globals.php)
For security aware people some obvious points, but good to be reminded :)
Awareness on the user's PC security is an excellent point. As Danny mentioned, i'd also add 2-factor auth to the presentations. And you might mention something about who's responsible for what parts, e.g. the difference between managed and regular wordpress hosting ... Other then that ... cudo's!
Comments
Comments are closed.
Very useful and sensible advice
Informative talk about WordPress security. I really like that your talk was accessible for a broad audience of WordPress users, sitebuilders and even developers! Just two remarks:
1) When it comes to the list of security plugins, I would just recommend the first three and explain in short why I like them. The others didn't really add a lot of value to your point.
2) I would leave out the Robots.txt slide or spend a little more time to explain why those exclusions are valuable for security. After all, they don't enforce anything. I'd argue those exclusions might even be a cue for malicious spiders to go crawl those paths and they might even hurt SEO a little bit.
Deze talk was zeer toegankelijk, zowel voor beginners als iets geavanceerdere bezoekers.
Ik zou de lijstjes inderdaad wat inkorten, iets vertellen over 2 factor authentication en wat minder diep ingaan op .htaccess voorbeelden of in ieder geval een remark plaatsen voor mensen die op NGINX draaien.
Top!
Prima talk van Brecht. Ik denk dat het niveau van de talk niet te hoog was, waardoor (bijna?) iedereen goed mee kon komen.
Verbeter punt was inderdaad wel om bijvoorbeeld ook een Lighttpd config of NginX config te laten zien. Persoonlijk gebruik ik bijna geen Apache meer.
Zeer toegankelijke talk die ook iets te bieden heeft voor developers met meer kennis. Een bewonderenswaardige prestatie gezien het grote verschil in kennisniveau op de WordPress meetup Nijmegen.
Als nginx gebruiker had ik een kleine note bij de .htaccess tips ook wel een goed idee gevonden.
Ook eens met robots.txt, gezien deze niks kan forceren draagt het niet bij aan een veiligere site.
De lijst met plugin gaf aanleiding tot vragen uit de zaal die niet direct bijdragen aan informatievere talk (is deze plugin ook goed? waarom staat deze niet op de lijst?).
Nogmaals bedankt voor de interessante presentatie.
Als toevoeging aan het commentaar van Omar: wat was dat nou precies wat je met robots.txt had kunnen voorkomen? Het is bij mij niet blijven hangen. Misschien kun je daar een voorbeeld van geven? Een annecdote van 1 minuut kan erg verfrissend zijn!
Over de oude versie(s) van PHP: safemode en ook bijvoorbeeld suhosin zijn als pleisters op een vergiet; je kan proberen alle gaten dicht te plakken maar het wordt toch nooit een echte pan.
(Die mag je van me quoten, met bronvermelding :-) )
Tot slot nog een onvolledigheid: register_globals. Wat register_globals deed was ALLE get en post parameters in gelijknamige globals zetten. De security implicaties mogen duidelijk zijn. (zie http://php.net/manual/en/security.globals.php)
Niet alleen toegankelijk, maar ook bijzonder goed toepasbaar voor iedere WP-gebruiker
Interessante en goede presentatie! Heb vandaag meteen wat adviezen opgevolgd..
Bedankt daarvoor!
For security aware people some obvious points, but good to be reminded :)
Awareness on the user's PC security is an excellent point. As Danny mentioned, i'd also add 2-factor auth to the presentations. And you might mention something about who's responsible for what parts, e.g. the difference between managed and regular wordpress hosting ... Other then that ... cudo's!