Staging Site: Öffentlich gemacht – Sicherheitsfragen

Zuvor war unsere Staging-Site nur für den lokalen Zugriff gesperrt. Wir haben einen Drittentwickler engagiert, der bei der Lösung eines Themas über unseren “lokalen Staging-Server” remote unterstützt. Um ihnen Zugriff zu gewähren, haben wir den Staging-Server extern mit einem A-Eintrag im DNS auf die Staging-Subdomäne auflösen lassen.

Aus meiner Sicht ist dies keine Best Practice und ich dachte, wir müssten es weiter sichern. Beschränke ich den Zugriff auf die gesamte Subdomain über IP oder ein Passwort oder gibt es eine bessere Methode?

Solutions Collecting From Web of "Staging Site: Öffentlich gemacht – Sicherheitsfragen"

Ob Sie eine Staging-Site sperren oder nicht, hängt davon ab, wie sehr Sie sich davor hüten, dass die Öffentlichkeit versehentlich eine Website sieht, die “in Bearbeitung” ist. Normalerweise würde ich es eher für eine Markenentscheidung als für eine Sicherheitsentscheidung halten.

(Dies trifft natürlich nicht zu, wenn Sie gerade dabei sind, eine sichere Anwendung zu entwickeln, die errorsbehaftet ist, aber WordPress Theming – insbesondere wenn es an die Staging-Site gelangt – ist kaum ein Sicherheitsrisiko).

Eine Sache, die ich empfehlen würde, ist unter Einstellungen -> Lesen, die Option anzukreuzen, die Suchmaschinen davon abhält, die Site zu crawlen. Das letzte, was Sie möchten, ist eine Website, die nicht vollständig in den Suchergebnissen angezeigt wird.

Abgesehen davon ist die einzige Möglichkeit für jemanden, die Seite zu finden, die URL zu kennen. Für eine temporäre Staging-Site ist das normalerweise ausreichend.

Wenn Sie besorgt sind, sind einige schnelle Möglichkeiten, es weiter zu begrenzen:

  • Installieren Sie ein Wartungs-Plugin (im Plugin-Verzeichnis sind viele verfügbar). Diese funktionieren, indem Sie Ihre Site sperren und allen Benutzern außer den angemeldeten Benutzern eine Wartungsseite zeigen. So können Sie einfach Benutzer in WP für diejenigen erstellen, denen Sie Zugriff gewähren möchten.

  • Fügen Sie IP-Blockierung oder Passwortschutz zu .htaccess hinzu. Dies ist auch ziemlich einfach zu tun, diese StackOverfow Antwort befasst sich mit IP erlaubt und diese Antwort geht durch Passwortschutz.

  • Als noch schnellere Alternative zur ersten Option, füge if( !is_user_logged_in() ){ die(); } if( !is_user_logged_in() ){ die(); } am Anfang der header.php im Theme. Dann sieht jeder unerwartete Besucher nur eine leere Seite. (Danke an @shahar in den Kommentaren)

Wenn Sie das Durchforsten der Suchmaschine durch diese Option auf der Seite “Lesen” ablehnen, sollten Sie sich eine Notiz anfertigen, um sie bei der Live-Schaltung wieder einzuschalten. Es gibt fast nichts Schlimmeres als das zu vergessen!