Apprendre à connaître Robert Abela, fondateur du journal d’audit de sécurité WP


Cette semaine, nous avons un entretien avec Robert Abela. C’est un compatriote maltais, comme moi et Jean, et le fondateur d’un excellent plugin WordPress, Journal d'audit de sécurité WP.

Robert a porté le plugin à plus de 80 000 installations actives et affiche une note moyenne de 4.8 sur 5 étoiles. sur wordpress.org. Ce n’est pas une mince affaire, nous avons donc décidé de lui poser quelques questions sur son origine, sur la façon dont il avait développé son activité et sur ce qui allait arriver de Robert et de WP Security Audit Log à l’avenir.

Poursuivez votre lecture pour en apprendre davantage sur le parcours de Robert et vous inspirer des leçons qu'il a apprises au fil des ans.


Hé Robert, parle-nous un peu de toi et de la manière dont tu es entré dans WordPress.

Bonjour et merci de m'avoir invité à cette interview. Je suis le fondateur et le PDG de WP White Security, les développeurs du plugin de journal d'activité WordPress le plus complet. Journal d'audit de sécurité WP, et Password Policy Manager pour WordPress, un plugin que nous avons lancé fin 2018.

J'ai commencé à travailler dans l'informatique quand j'ai quitté l'école. J'avais 20 ans et j'avais quelques connaissances de base en informatique. J'ai commencé à travailler dans les tests de logiciels. Au cours de mes 18 années de carrière en entreprise, j'ai travaillé pour quelques startups de logiciels de sécurité et occupé différents postes: support, ingénieur système, R & D, ingénieur commercial, chef de projet, chef de produit et vice-président marketing.

J'ai eu la chance d'avoir occupé tous ces rôles parce qu'ils m'ont permis de bien comprendre le fonctionnement de chaque département. Aujourd'hui, j'utilise l'expérience acquise pour gérer ma propre entreprise de plug-in.

Je me suis lancé dans WordPress en 2009, alors que j'étais chef de produit chez Acunetix, un éditeur de logiciels qui développe un scanner de vulnérabilité Web automatisé. Nous voulions un blog pour le site Web et avons choisi WordPress. Nous avions également mis en place un service de sécurité WordPress en ligne, qui n’a malheureusement pas été un succès. J’ai beaucoup appris de nos erreurs et j’ai continué à expérimenter avec WordPress depuis lors. En 2012, j'ai commencé à bloguer à propos de la sécurité WordPress et en 2013, lorsque j'ai quitté le monde de l'entreprise, j'ai commencé à développer WP Security Audit Log en tant que projet parallèle tout en freelance.

Le site Web de Robert White WP Security. Visitez le site web.

Comment avez-vous commencé à utiliser le journal d'audit de sécurité WP et comment cela s'est-il passé?

En 2013, alors que j'étais en train de nettoyer les sites WordPress et de renforcer leur sécurité, j'ai été surpris de constater qu'il n'existait pas de solution décente de journal d'activité WordPress (journal d'audit) pour WordPress, considérant qu'il s'agit d'une plate-forme multi-utilisateurs si populaire. Alors j'ai commencé à développer le Journal d'audit de sécurité WP plugin en tant que projet parallèle.

Je ne suis pas un développeur mais j'ai réussi à développer la première version bêta. Heureusement, cela n'a jamais été rendu public! La première version publiée a été développée par un de mes amis. La réaction du public a été très positive, j'ai donc continué à la développer. Pendant les deux ans et demi qui ont suivi, je n’ai pas eu de développeur et j’ai travaillé avec plusieurs sous-traitants. Je les payais avec les revenus de mon travail en freelance et j'embauchais différents développeurs pour différentes mises à jour.

En 2015, j'ai publié le premier module complémentaire premium, à savoir les notifications par courrier électronique. J’ai eu quelques ventes mais elles ne couvraient même pas les dépenses. Je n’ai pas abandonné parce que même si les ventes étaient très basses, j’ai vu le potentiel du projet. En 2016, j'ai commencé à travailler avec une agence de développement. Ils ont pu consacrer quelques heures de développement chaque semaine au plugin. En 2016 et 2017, j'ai publié 4 autres add-ons premium. Et à la fin de 2016, le projet de plug-in était autonome.

Je ne faisais aucun profit et je n’obtenais rien en retour des longues heures sur lesquelles je travaillais. Au moins, je pourrais payer l'agence sans utiliser l'argent de mes propres économies. Pour assurer la croissance, j'avais besoin de quelqu'un qui soit plus facilement disponible que l'agence. Au début de 2017, j'ai donc commencé à chercher un développeur. Après une longue recherche de 6 mois, à la mi-2017, j'ai quitté l'agence et commencé à travailler avec Ashar Irfan. Je travaille avec lui depuis. Il est un développeur très bon et digne de confiance et, avec son aide, nous avons vraiment accéléré le développement et à la fin de 2017, le plugin était une entreprise rentable.

Site Web du journal de vérification de sécurité WP de Robert. Visitez le site web.

En janvier 2018, j'ai franchi le cap et commencé à travailler à plein temps sur le plugin. Maintenant, les choses vont beaucoup mieux. Nous sommes deux employés à temps plein et je travaille également avec beaucoup de sous-traitants. Je vais donc bientôt devoir recruter plus d'employés à temps plein.

Jusqu'à présent, ce fut une expérience formidable, mais également très difficile. Il est difficile de travailler 80 à 100 heures par semaine pendant des années sans rien obtenir en retour. Cependant, il s’agit d’un marathon et non d’un sprint, et les quelques ventes que j’ai faites chaque mois étaient très encourageantes. Je savais que si je tenais plus longtemps, le projet avait beaucoup de potentiel. Aujourd'hui, je suis heureux de dire que j'ai finalement créé l'opportunité que je voulais toujours avoir: gérer ma propre entreprise de logiciels.

Comment le plug-in WP Security Audit Log aide-t-il les utilisateurs à protéger leurs sites WordPress?

Conserver un journal d’activités WordPress présente plusieurs avantages, dont l’amélioration de la sécurité du site. En fait, le manque de journalisation et de surveillance dans les applications Web figurait dans la liste des OWASP Top 10 2017 liste des risques de sécurité les plus critiques.

La sécurité n'est pas une solution ponctuelle. C'est un processus continu dans lequel vous durcissez, enregistrez, surveillez, testez et améliorez. Notre plugin s'inscrit dans Log and Monitor. Une fois que vous avez renforcé votre site WordPress avec un plugin de sécurité ou un service de sécurité, vous devez tenir un journal de ce qui se passe sur le site. Dans le journal, vous pouvez apprendre ce que font vos utilisateurs et comment vos attaquants tentent de pirater votre site WordPress. Les journaux sont également utilisés pour la responsabilité, la conformité et plusieurs autres projets et tâches liés à la sécurité.

Nous souhaitons offrir à nos utilisateurs plus qu’un simple plug-in de journal d'activité. Nous avons donc développé un certain nombre de fonctionnalités autour du plug-in WP Security Audit Log avec lesquelles vous pouvez créer une Système de détection d'intrusion WordPress (IDS).

En résumé, notre plugin aide les administrateurs de sites WordPress à rester au top de leur forme en leur montrant en temps réel ce qui se passe sur leur site et en les informant instantanément des changements importants. Il peut également être utilisé dans le cadre de travaux de police scientifique pour découvrir comment des pirates informatiques malveillants ont réussi à pirater le site Web dans le cas malheureux d’un piratage réussi.

Robert avec Jean Galea, maire de WP, et Vova Feldman & Kobe Ben Itamar de Freemius, à la WCEU 2018 à Paris.

Selon vous, quelle est la plus grande menace pour la sécurité de WordPress et pourquoi?

La plus grande menace pour la sécurité de WordPress concerne ses utilisateurs et leur manque de prise de conscience et de connaissances sur la gestion d’un site Web. WordPress a eu sa juste part de vulnérabilités, bien que tout autre logiciel ait eu cela. Tant que les vulnérabilités sont corrigées rapidement, tout va bien.

WordPress étant très facile à utiliser, il a permis à de nombreuses personnes, qui dans certains cas ne possèdent même pas un ordinateur, d’avoir un site Web. Tout va bien avec ça, mais sans expérience, beaucoup négligent les bases – ils utilisent des informations d'identification faibles et des logiciels obsolètes. Kinsta a publié un article de blog intéressant à ce sujet, en soulignant cette question avec des chiffres.

Si vous pouviez introduire une fonctionnalité de sécurité sur la plate-forme WordPress, ce serait quoi?

J'aime l'idée d'avoir un framework nu très modulaire, comme c'est le cas maintenant. Chaque entreprise a des besoins et des exigences uniques, en particulier en matière de sécurité. Vous ne pouvez donc pas réellement appliquer les fonctionnalités de sécurité dans WordPress. Il est bon que les utilisateurs de WordPress aient tellement de choix pour pouvoir personnaliser leur site Web sans avoir besoin de savoir coder.

Je favoriserais certainement davantage de sécurité via la plate-forme et m'assurerais que les utilisateurs sont exposés aux options de sécurité disponibles, mais n'introduisent pas nécessairement une fonctionnalité spécifique dans le cœur de WordPress.

Quelles mesures pensez-vous que chaque utilisateur de WordPress devrait prendre pour améliorer la sécurité de son site Web?

Il y a beaucoup de choses que l'on peut faire en termes de sécurité WordPress, en particulier lorsqu'il s'agit de solutions complexes et d'entreprise. Quelle que soit la taille de votre configuration, les principes de sécurité de base s'appliquent toujours:

  • Durcissement: appliquez des stratégies de mot de passe solides, maintenez le logiciel à jour, modifiez les valeurs par défaut et utilisez un pare-feu ou un service de protection.
  • Log & Monitor: utilisez un Plugin de journal d'activité WordPress tenir un journal et configurer les notifications par courrier électronique et les rapports fréquents.
  • Test: chaque fois que vous apportez une modification, y compris l'installation d'un nouveau plug-in ou la modification de certains paramètres, veillez à tester.
  • Améliorer: utilisez ce que vous avez appris des journaux et des tests pour améliorer votre configuration. Gardez tous vos logiciels à jour.

Que pensez-vous des nouvelles directives GDPR? Que changeriez-vous / amélioreriez-vous?

Je suis en faveur du GDPR. Les règlements ne sont pas parfaits mais ils seront améliorés au fur et à mesure. Il est bon de sensibiliser à la protection de la vie privée et à l’utilisation des données des utilisateurs. De nombreuses entreprises ont certainement besoin de réglementations.

Je déteste moi-même quand je contacte une entreprise via un formulaire de contact. Sans m'abonner à quoi que ce soit ni donner son consentement, je suis automatiquement abonné à plusieurs de leurs newsletters et contacté par plusieurs de leurs partenaires commerciaux. J'ai le droit de savoir où mes données sont utilisées, de choisir et de savoir à quoi je m'abonne.

Ce comportement nuit également aux entreprises éthiques comme la nôtre, car les gens ne sont plus réceptifs aux courriels et aux appels. Vous pouvez envoyer dix newsletters à vos utilisateurs pour les informer de la modification des modifications apportées à une mise à jour de plug-in. Cependant, une fois que vous avez publié la mise à jour, tout le monde commence à se plaindre car il n'a pas été informé.

Le Règlement général sur la protection des données n'est donc pas parfait, mais il s'agit certainement d'un changement indispensable dans la bonne direction.

Votre plugin aide-t-il également les utilisateurs à se conformer à GDPR?

En termes très simples, le GDPR comprend deux choses:

  1. Indiquez à l'utilisateur du site quelles informations vous collectez, pourquoi, comment elles seront utilisées et pendant combien de temps.
  2. Protéger et veiller à ce que ces informations ne soient pas consultées par des personnes non autorisées.

Le plug-in WP Security Audit Log aide les administrateurs de site à effectuer la deuxième étape: conserver un enregistrement des personnes qui accèdent aux données et s'assurer que les utilisateurs non autorisés n'y ont pas accès. Nous avons écrit comment utiliser les journaux d'activité WordPress dans votre boîte à outils GDPR Il s'agit d'une explication plus détaillée de la manière dont un plugin de journal d'activité WordPress s'intègre dans la conformité GDPR.

Quelle est la performance actuelle du journal d'audit de la sécurité WP (utilisateurs, revenus, trafic, etc.)?

Nous approchons des 90 000 installations actives et comptons plus de 1 000 clients payants. Je suis fier de dire que certains de nos clients sont des marques de renommée mondiale telles que Bosch, Disney et Nginx. Pour moi, il n'y a pas de meilleur sceau d'approbation que d'avoir ces entreprises utilisant mon plugin de journal d'activité WordPress.

Le lancement du nouveau site Web au début de l’année dernière a certainement beaucoup aidé. Nous avons pris au sérieux le référencement et cela porte ses fruits. Nous avons beaucoup de trafic organique et rien ne se transforme mieux que le trafic organique. La croissance est certainement là et prometteuse. Au cours des quatre dernières années, nous avons enregistré une croissance de 100% sur un an. Pour la première fois depuis la création de l'entreprise, nous avons généré un chiffre d'affaires à six chiffres.

En ce qui concerne le plugin, nous nous concentrons actuellement sur la facilité d'utilisation. C'est un plugin très complet avec la meilleure couverture. Cependant, tous les administrateurs de site WordPress ne s'intéressent pas à tous les détails et fonctionnalités, et nous le comprenons. Nous faisons donc beaucoup de changements pour rendre le plugin plus facile à utiliser, en nous assurant qu'il peut être adopté par un plus grand nombre de propriétaires de sites. Nous avons déjà commencé – nous avons ajouté un assistant de configuration, créé différents niveaux de journalisation, réorganisé tous les paramètres du plug-in et ajouté davantage de texte d'aide. Ces changements ont déjà eu un effet, car de plus en plus d'utilisateurs finaux utilisent le plug-in, et pas seulement les grandes entreprises.

L’un des passe-temps préférés de Robert.

Quelles sont les valeurs fondamentales qui sous-tendent vos décisions commerciales?

Quand j'ai commencé le plugin, je n'avais jamais pensé que ce serait mon travail à plein temps. Tout a commencé comme un passe-temps parce que je voulais en savoir plus sur le développement et WordPress et j'avais besoin d'un plugin de journal d'activité WordPress pour moi-même. La réaction positive du public, à laquelle je suis très reconnaissant, est le sous-produit de la construction d’une excellente solution.

Je vais donc toujours rester fidèle à cette valeur fondamentale. pour construire un bon produit que je peux utiliser. En fait, je n’ajoute pas de fonctionnalités de plug-in dont je ne pense pas que mes utilisateurs et moi-même n’aurions pas besoin. Certaines personnes disent qu'une entreprise a besoin de beaucoup de chance pour réussir. Je suis d'accord. Bien que vous ayez également besoin d'une solution qui résout le problème des personnes, cela peut faciliter leur travail quotidien. Et c'est exactement ce que nous faisons.

Nous nous assurons également que nous sommes transparents, honnêtes et réactifs. S'il y a un problème avec le plugin, nous essayons de le résoudre et de le renvoyer le plus rapidement possible à l'utilisateur, même s'il utilise l'édition gratuite. Et si nous ne soutenons pas quelque chose, nous le disons tel quel. Nous n'essayons pas de plier la vérité. Oui, vous perdez parfois un utilisateur potentiel et une vente, mais il vaut mieux un client de moins qu'un client mécontent.

Quels sont vos principaux canaux de marketing pour attirer les clients? Qu'avez-vous essayé ces dernières années?

Le principal canal de marketing est le Page du plug-in WP Security Audit Log sur le référentiel WordPress. Comme vous pouvez le constater, nous essayons de l'utiliser comme page de destination en donnant à l'utilisateur une vue d'ensemble du plug-in. Auparavant, il était beaucoup plus long, bien que nous l'ayons réécrit et utilisé une approche plus directe, ce qui est plus efficace.

Nous utilisons également notre Blog de sécurité WordPress en tant que plate-forme de marketing et site Web de publicité gratuite. Nous écrivons toujours un contenu de qualité et pertinent qui attire beaucoup de lecteurs. Enfin et surtout, nous investissons également dans d’autres canaux de marketing communs, par exemple en écrivant des articles et des articles sur des sites Web qui attirent des utilisateurs potentiels de plugins, exécutez des bannières publicitaires et des campagnes similaires.

Quelles ont été les principales leçons apprises (échecs, moments aha, pivots) jusqu'à présent?

Le premier est que si vous ne demandez pas, vous ne recevez pas. Vous seriez surpris de voir combien de personnes sont disposées à donner lorsque vous leur demandez. J'ai beaucoup travaillé pour les campagnes marketing, mais je ne contactais que des entreprises et des sites Web dont la taille était à la taille de celle de mon plugin, pensant que les gros joueurs m'ignoreraient. J'avais tort. En fait, beaucoup de gens vous répondent, surtout si vous avez un bon produit. La même chose s'applique pour l'escompte et la négociation. N'essayez pas de tirer parti de l'autre partie, mais si vous travaillez sur une campagne de marketing commune, faites entendre votre voix.

La seconde est que les affaires sont un marathon et non un sprint. L’entraînement pour les marathons prend beaucoup plus de temps et demande plus d’efforts à long terme que les sprints. Donc, si vous attendez un succès instantané, vous serez déçu. C’est beaucoup de travail et si vous êtes patient et prêt à vous engager dans vos rêves, cela se produira.

Admirez-vous d’autres entreprises de votre secteur et pourquoi?

J'admire vraiment deux sociétés de l'écosystème WordPress:

BlogVaultJe connais Akshat, PDG de BlogVault, depuis plus de cinq ans et il a un intérêt sincère pour ce qu’il fait. Pour cette raison, son entreprise a les mêmes valeurs fondamentales que les nôtres. Ils sont transparents, honnêtes, donnent de leur mieux et ont évidemment un excellent produit.

Yoast: Ces gars excellent dans ce qu'ils font. Et c'est quelque chose à admirer. Beaucoup d’entreprises savent bien faire ce qu’elles font, mais très peu d’entre elles excellent et dirigent comme Yoast. Leur attention aux détails est impressionnante. Même les e-mails de suivi automatique qu'ils envoient lorsque vous achetez un plugin sont très bien écrits. Joast aime aussi parce qu’il s’agit d’une entreprise de type «people», ce qui n’est pas typique d’une entreprise de cette taille. Une fois, je les ai contactés avec des recommandations pour un article de blog. Ils sont revenus vers moi et ont manifesté un intérêt sincère pour mon plugin et pour mes recommandations. Nous avons également poursuivi la conversation et m'a même aidé à résoudre des problèmes non liés au travail! Un grand bravo à eux pour avoir gardé les pieds sur terre.

Que pouvons-nous attendre de WP Security Audit Log dans les mois et les années à venir?

Un plugin de journal d'activité WordPress encore meilleur! Cela semble ringard, mais c'est vrai. Notre objectif principal est d'améliorer continuellement le plugin. Nous le faisons depuis plus de cinq ans. Nous avons beaucoup appris sur le plugin et le marché et nous en sommes maintenant à une étape où nous nous sommes occupés des bases et sommes prêts à passer à la prochaine étape. Comme nous en avons parlé, les problèmes courants rencontrés par les nouveaux plug-ins, tels que les performances, la conception des produits et des problèmes similaires.

Nous voulons supporter de nombreux autres plugins et continuer à augmenter notre couverture. Nous nous concentrons également sur davantage d’intégrations avec les systèmes d’exploitation centralisés que l’on trouve généralement dans les entreprises, comme nous l’avions fait avec Slack. Nous sommes actuellement en train d'améliorer l'intégration avec WooCommerce. Nous annoncerons également une intégration avec Twilio afin que vous puissiez configurer les notifications par SMS! Restez donc à l'écoute du blog du plug-in WP Security Audit Log.

Merci, Robert, d'avoir pris le temps de répondre à ces questions. Félicitations pour ce que vous avez construit jusqu’à présent avec Journal d'audit de sécurité WPet nous sommes impatients de le voir se développer encore davantage dans les années à venir.

Si vous souhaitez entrer en contact avec Robert, laissez un commentaire ci-dessous ou visitez le site Web WP Security Audit Log.

Articles Liés

  • Aujourd'hui, nous nous sommes associés à WP White Security pour offrir ce cadeau génial. Vous avez une chance de gagner l'une des 5 licences du plugin WP Security Audit Log (4 add-ons) d'une valeur de…

  • Examen du plug-in du journal d'audit de sécurité WP

    WP Security Audit Log est un plugin gratuit pour WordPress qui enregistre toutes les activités des utilisateurs connectés. Le plugin enregistre les modifications apportées au contenu, à toute activité de compte utilisateur, aux modifications apportées aux plugins…

  • Plug-in de journal d'audit de sécurité WP

    Le journal d’audit de sécurité WP est un plug-in de journal d’activité complet qui tient un journal de tous les changements qui se produisent sur vos sites WordPress et vos réseaux multisites. Il est disponible en tant que…

  • Discussion sur la sécurité du maire de WP avec Robert de WPWhiteSecurity

    La semaine dernière, je discutais de la sécurité de WordPress avec mon ami Robert de WPWhiteSecurity. Nous avons décidé d'enregistrer notre discussion au profit d'autres utilisateurs de WordPress intéressés par…



Source

Laisser un commentaire

Fermer le menu