2018 年 11 月 17 日 meetup 紀錄 – 【內湖/十一月】天氣變冷了也要穿暖來聊 WordPress | WordPress Meetup

2018 年 11 月 17 日 meetup 紀錄 - 【內湖/十一月】天氣變冷了也要穿暖來聊 WordPress | WordPress Meetup

今天首先是和日本古宮島的 meatup 連線,在活動之前我們先各自在自己的社群上做了問卷調查,而這次針對了古騰堡這個外掛做了不少的提問。日本的話是開發者比較多,因此知道古騰堡的人也比較多,而相反的台灣是使用者比較多,所以知道古騰堡的人可能會比較少,有這樣的差異。

2018-11-17-wordpress-meetup-taipei
作者ヤンヤン攝於 2018 / 12 / 01。

然後針對古騰堡進行了一些交流和提問之後,就開始各自進行小聚的流程了。這是第一次進行連線,之前透過 WordCamp Taipei 的活動認識許多國外的 WordPress 社群的人們,其中當然也有不少日本人,而那時候就有討論說是否要辦這樣的連線小聚。感覺蠻有趣的,之後或許可以挑幾次的時間再這樣子做作看。

2018-11-17-wordpress-meetup-taipei
作者ヤンヤン攝於 2018 / 11 / 17。

WordPress的安全是標配,不是選配!- By Tonny Chiu

首先是社群當中一位專門針對網路安全在研究的 Timmy 出來演講,把「WordPress」安不安全這件事情說明得非常仔細。

設定防火牆了,到底安不安全呢?最重要的問題例如說不需要正密驗證就直接進去後臺。
想想看,如果 WordPress 在一個不安全的環境裡面建構起來,那會安全嗎?比對看看這兩張違建的圖片。

2018-11-17-wordpress-meetup-taipei
作者ヤンヤン攝於 2018 / 11 / 17。

而 WordPress 是在一個堆疊起來的架構裡面運行,如果下面的各個架構安全性都有問題,那 WordPress 安全性豈不就?為何一定要升級到 5.0,為何要出古騰堡?一部分原因是因為生命週期的關係。
工程師定義,微軟系統硬體多好就把你變得多慢,這是天生缺點。

近期台北市衛生局有100萬筆資料被再暗網被做銷售1000美金就可以買得到。

資訊安全再看網站的時候會有一些方式去看出來,網路上也找得到文件尤其是官方的,其他網路上的資料就當作是參考。
exploit database,這個網站,像是google,下關鍵字就知道最近有什麼問題。
cve是國際重大弱點的國際組織,

不安全的問題的原因出在哪裡呢?假設如果現在還在使用php5.x的話當然不安全,現在當然有容易方線的問題例如綁架或是 DDOS,但是被植入後門的這件事情,因為挖礦比特幣的關係。
駭客集團雖然不會偷資料,但是透過自己的網站表現出自己成功入侵,代表的意義是網站不安全這件事情。

對於資訊安全的定義看廣一點,對自己有威脅但是對他人可能沒有。我們本身有弱點,不需要攻擊,例如 google 語法,
台灣媒體常常會講天才駭客破解誰誰誰的密碼,再加入一些刺激性語氣,就被大家錯認為是駭客。Google hacking 語法:

<br>
index of “inurl:wp - content /”<br>

這是 google 的進階語法,可以查到 wp-content 內容,有些人直接把所有的內容丟進去,甚至把帳號密碼丟進去。
這只是進階語法。

<br>
index of “inurl:wp - content /” password , admin?<br>

要怎麼預防這些事情,老實說其實不是那麼的容易預防,但是還是有一些方式。
例如查查看 WordPress security plugin

目前台灣 WordPress 目前比較沒有人再貢獻關於資訊安全的這件事情。目前正在努力這方面的外掛。
例如果不安裝外掛,這樣wordpress會不會安全?

怎麼判別是否要更新?只要官方說要必須更新,那就要了。
安裝 WordPress 有建議,其實安全部分是必要的。
WordPress 官方文件,首先底層的資料庫、php版本有要求,並講說安全是一條持續的路
網路上也有講一些方法,但是要先回到自己系統底層,才知道這些方式是否合適自己。

2018-11-17-wordpress-meetup-taipei
作者ヤンヤン攝於 2018 / 12 / 01。

OWASP 國際組織,有進階版的事情,裝好 WordPress 的話,安全性的部分再安裝的前中後有哪些要注意的事情。主要就是講系統底層伺服器的安全php資料庫等等。
國內安全機構其實很多資訊都是從國外的文件翻譯過來的,

WordPress 的社群之所以活躍,主要是因為有很多自願的工作者投身在裡面的關係。
ISO 27001本文或控制項,有一百多項的內容,另外最新還有 ISO 27017\27018

威脅情報也可以訂閱是第一手的資料。recorded future、cisco tales intelligence group、還有一個一定要訂閱是 wpscan vulnerability database,因為是針對wp的安全資料庫。
不要使用那些 security 只有很少數人用的外掛,因為沒有被市場驗證。

惡意單位會發布免費的東西讓大家去下載,或是一些實驗的單位會故意丟隨身碟,讓大家去撿,看有多少人會直接插入自己的電腦裡面。

建議你看一個影片,在 TED 的 bruce schneier 演講的安全的錯覺

提問

Docker 權限控管,不管是內或室外,他有先天的問題,例如不要用最高的管理權限,不過還是要,另外 ab 兩個啟動之後,會不會互相衝突?這是他的 source
virus total 是一個免費的服務,由安全軟體公司幫忙去掃描是否有漏洞或是曾經被提過的問題
check sign,對版本簽名,改了的話就會消失這個簽名,但目前 WordPress 官方還沒有完成這個機制。

GA 三表判讀(一):勾勒出你的使用者樣貌 – By Huanyi Chuang

2018-11-17-wordpress-meetup-taipei
作者ヤンヤン攝於 2018 / 12 / 01。

社群的意識形態,各位在社群裡面貢獻,但是有官方的文件有一些章程。例如你如果你對 WordPress 的某對程式碼有意見,提交自己的程式碼上去,被接受的話是全世界幾億人在使用。
matomo piwik、hotjar,網站分析借的wp,從頭到尾架出自己的 GA 出來。

看筒鏡數據的話,其實看 Jetpack 就可以了。GA 背後是一個 javascript 檔案,雖然 Google 還在改善速度,另一個問題的是 Facebook 追蹤碼。
到底是否需要呢?如果只需要知道流量,只要 Jetpack 就可以。

GA 有三種資料型態,
想想看使用者,工作階段,匹配(hit,事件的意思,每個事件就是一個匹配)

GA 之前,例如你到店門口給你一張專屬的卡片,買東西的話你要刷這張卡片,離開店的畫卡片收走,下次來再拿同一張。
紀錄是否是回訪,cookie是回訪依據。

可以使用 Google 示範帳號操作。今天如果沒有登入 Google,透過你的操作模式就大約知道你的年齡層。

1. 示範帳戶 - Analytics (分析)說明

*如果對 GA 有興趣,可以去 Google學習中心看完所有資料,這樣可以禮家85.995%的東西。
GA 因為適用cookie的關係,所以使用無痕視窗,其實對ga來講是一個限制。每次開啟無痕視窗cookie會一直拿到新的。

總結,大家現在喜歡精準化,怎麼知道這個廣告是否有用,因此透過這些分析工具幫你偵測是否已笑或是沒有效果,因為變數很多所以造就市場上的差異化,這是一個互相乘著過程,我們鼓勵以學習者的角度,來調整我們要做到的目標。我們這裡有許多人分享他們的東西,而當中並沒有限制其能力等級年齡等等,或許可以透過不同的角色去繼續分享出這些資訊。

參考資料:
1. 照片由「阿竣哥」和「Yuli 姊」所提供。

歡迎一起來舉辦小聚吧

同時也徵求全台想揪團聚一下的夥伴,如果你有正在舉辦小聚或是想開一場小聚都可以跟我們說,我們都可以跟你分享經驗與心得。
透過由 WordPress 基金會贊助使用的 Meetup 工具,不止可以建立活動,還能在 WordPress 網站後台廣播活動訊息,協助你號召有興趣聊聊的大家!

舉辦一場小聚我們都遵守下列信條:

  1. WordPress 小聚皆是以對 WordPress 社群有幫助為出發點。非特定個人或商業組織目的。作為活動組織者,採取的所有行動以符合社群最佳利益為重。
  2. 小聚成員不論能力、技術、經濟背景或其他條件,開放給所有希望加入的人。
  3. 小聚中包含組織者與講者皆採志工形式運作。有些情況需要會眾支付費用,但這筆費用僅可用來負擔小聚活動本身,不會提撥款項於講者或主辦。
  4. 小聚允許其他可靠、可信任的成員一起加入組織活動。
  5. 小聚是一個歡迎每個人一起促進營造一個沒有歧視、煽動暴力,促進仇恨與類惡形惡狀人的友善環境。

簡言之,各地區小聚皆不屬於「個人或某單位」所有,任何人都可以一起參與活動、組織活動和分享內容。社群不是站在「個人或某單位」為出發點,而是希望所有參與的人皆可得到收穫。為了滿足這樣公平、公正與公開的共好未來,才有上述信條存在。
 https://make.wordpress.org/…/meetup-…/meetup-program-basics/