今天首先是和日本古宮島的 meatup 連線,在活動之前我們先各自在自己的社群上做了問卷調查,而這次針對了古騰堡這個外掛做了不少的提問。日本的話是開發者比較多,因此知道古騰堡的人也比較多,而相反的台灣是使用者比較多,所以知道古騰堡的人可能會比較少,有這樣的差異。
然後針對古騰堡進行了一些交流和提問之後,就開始各自進行小聚的流程了。這是第一次進行連線,之前透過 WordCamp Taipei 的活動認識許多國外的 WordPress 社群的人們,其中當然也有不少日本人,而那時候就有討論說是否要辦這樣的連線小聚。感覺蠻有趣的,之後或許可以挑幾次的時間再這樣子做作看。
WordPress的安全是標配,不是選配!- By Tonny Chiu
首先是社群當中一位專門針對網路安全在研究的 Timmy 出來演講,把「WordPress」安不安全這件事情說明得非常仔細。
設定防火牆了,到底安不安全呢?最重要的問題例如說不需要正密驗證就直接進去後臺。
想想看,如果 WordPress 在一個不安全的環境裡面建構起來,那會安全嗎?比對看看這兩張違建的圖片。
而 WordPress 是在一個堆疊起來的架構裡面運行,如果下面的各個架構安全性都有問題,那 WordPress 安全性豈不就?為何一定要升級到 5.0,為何要出古騰堡?一部分原因是因為生命週期的關係。
工程師定義,微軟系統硬體多好就把你變得多慢,這是天生缺點。
近期台北市衛生局有100萬筆資料被再暗網被做銷售1000美金就可以買得到。
資訊安全再看網站的時候會有一些方式去看出來,網路上也找得到文件尤其是官方的,其他網路上的資料就當作是參考。
exploit database,這個網站,像是google,下關鍵字就知道最近有什麼問題。
cve是國際重大弱點的國際組織,
不安全的問題的原因出在哪裡呢?假設如果現在還在使用php5.x的話當然不安全,現在當然有容易方線的問題例如綁架或是 DDOS,但是被植入後門的這件事情,因為挖礦比特幣的關係。
駭客集團雖然不會偷資料,但是透過自己的網站表現出自己成功入侵,代表的意義是網站不安全這件事情。
對於資訊安全的定義看廣一點,對自己有威脅但是對他人可能沒有。我們本身有弱點,不需要攻擊,例如 google 語法,
台灣媒體常常會講天才駭客破解誰誰誰的密碼,再加入一些刺激性語氣,就被大家錯認為是駭客。Google hacking 語法:
<br> index of “inurl:wp - content /”<br>
這是 google 的進階語法,可以查到 wp-content 內容,有些人直接把所有的內容丟進去,甚至把帳號密碼丟進去。
這只是進階語法。
<br> index of “inurl:wp - content /” password , admin?<br>
要怎麼預防這些事情,老實說其實不是那麼的容易預防,但是還是有一些方式。
例如查查看 WordPress security plugin
目前台灣 WordPress 目前比較沒有人再貢獻關於資訊安全的這件事情。目前正在努力這方面的外掛。
例如果不安裝外掛,這樣wordpress會不會安全?
怎麼判別是否要更新?只要官方說要必須更新,那就要了。
安裝 WordPress 有建議,其實安全部分是必要的。
WordPress 官方文件,首先底層的資料庫、php版本有要求,並講說安全是一條持續的路
網路上也有講一些方法,但是要先回到自己系統底層,才知道這些方式是否合適自己。
OWASP 國際組織,有進階版的事情,裝好 WordPress 的話,安全性的部分再安裝的前中後有哪些要注意的事情。主要就是講系統底層伺服器的安全php資料庫等等。
國內安全機構其實很多資訊都是從國外的文件翻譯過來的,
WordPress 的社群之所以活躍,主要是因為有很多自願的工作者投身在裡面的關係。
ISO 27001本文或控制項,有一百多項的內容,另外最新還有 ISO 27017\27018
威脅情報也可以訂閱是第一手的資料。recorded future、cisco tales intelligence group、還有一個一定要訂閱是 wpscan vulnerability database,因為是針對wp的安全資料庫。
不要使用那些 security 只有很少數人用的外掛,因為沒有被市場驗證。
惡意單位會發布免費的東西讓大家去下載,或是一些實驗的單位會故意丟隨身碟,讓大家去撿,看有多少人會直接插入自己的電腦裡面。
建議你看一個影片,在 TED 的 bruce schneier 演講的安全的錯覺。
提問
Docker 權限控管,不管是內或室外,他有先天的問題,例如不要用最高的管理權限,不過還是要,另外 ab 兩個啟動之後,會不會互相衝突?這是他的 source
virus total 是一個免費的服務,由安全軟體公司幫忙去掃描是否有漏洞或是曾經被提過的問題
check sign,對版本簽名,改了的話就會消失這個簽名,但目前 WordPress 官方還沒有完成這個機制。
GA 三表判讀(一):勾勒出你的使用者樣貌 – By Huanyi Chuang
社群的意識形態,各位在社群裡面貢獻,但是有官方的文件有一些章程。例如你如果你對 WordPress 的某對程式碼有意見,提交自己的程式碼上去,被接受的話是全世界幾億人在使用。
matomo piwik、hotjar,網站分析借的wp,從頭到尾架出自己的 GA 出來。
看筒鏡數據的話,其實看 Jetpack 就可以了。GA 背後是一個 javascript 檔案,雖然 Google 還在改善速度,另一個問題的是 Facebook 追蹤碼。
到底是否需要呢?如果只需要知道流量,只要 Jetpack 就可以。
GA 有三種資料型態,
想想看使用者,工作階段,匹配(hit,事件的意思,每個事件就是一個匹配)
GA 之前,例如你到店門口給你一張專屬的卡片,買東西的話你要刷這張卡片,離開店的畫卡片收走,下次來再拿同一張。
紀錄是否是回訪,cookie是回訪依據。
可以使用 Google 示範帳號操作。今天如果沒有登入 Google,透過你的操作模式就大約知道你的年齡層。
1. 示範帳戶 - Analytics (分析)說明
*如果對 GA 有興趣,可以去 Google學習中心看完所有資料,這樣可以禮家85.995%的東西。
GA 因為適用cookie的關係,所以使用無痕視窗,其實對ga來講是一個限制。每次開啟無痕視窗cookie會一直拿到新的。
總結,大家現在喜歡精準化,怎麼知道這個廣告是否有用,因此透過這些分析工具幫你偵測是否已笑或是沒有效果,因為變數很多所以造就市場上的差異化,這是一個互相乘著過程,我們鼓勵以學習者的角度,來調整我們要做到的目標。我們這裡有許多人分享他們的東西,而當中並沒有限制其能力等級年齡等等,或許可以透過不同的角色去繼續分享出這些資訊。
參考資料: 1. 照片由「阿竣哥」和「Yuli 姊」所提供。
歡迎一起來舉辦小聚吧
同時也徵求全台想揪團聚一下的夥伴,如果你有正在舉辦小聚或是想開一場小聚都可以跟我們說,我們都可以跟你分享經驗與心得。
透過由 WordPress 基金會贊助使用的 Meetup 工具,不止可以建立活動,還能在 WordPress 網站後台廣播活動訊息,協助你號召有興趣聊聊的大家!
舉辦一場小聚我們都遵守下列信條:
- WordPress 小聚皆是以對 WordPress 社群有幫助為出發點。非特定個人或商業組織目的。作為活動組織者,採取的所有行動以符合社群最佳利益為重。
- 小聚成員不論能力、技術、經濟背景或其他條件,開放給所有希望加入的人。
- 小聚中包含組織者與講者皆採志工形式運作。有些情況需要會眾支付費用,但這筆費用僅可用來負擔小聚活動本身,不會提撥款項於講者或主辦。
- 小聚允許其他可靠、可信任的成員一起加入組織活動。
- 小聚是一個歡迎每個人一起促進營造一個沒有歧視、煽動暴力,促進仇恨與類惡形惡狀人的友善環境。
簡言之,各地區小聚皆不屬於「個人或某單位」所有,任何人都可以一起參與活動、組織活動和分享內容。社群不是站在「個人或某單位」為出發點,而是希望所有參與的人皆可得到收穫。為了滿足這樣公平、公正與公開的共好未來,才有上述信條存在。
https://make.wordpress.org/…/meetup-…/meetup-program-basics/