Am o mărturisire de făcut. Sunt foarte lenes
Am propriul meu blog personal bazat pe WordPress, dar - în ciuda faptului că este un geek întărit - nu-l găzduiesc. Nu mă pot deranja să mă ocup de dificultatea de a mă asigura constant că caseta mea nu a fost afectată de un hacker malefic Internet. Nu vreau să mă împiedic de oboselie asigurându-mă că VPS-ul meu Aflați totul despre serverele private virtuale în două minuteCu atât de multe servicii excelente de găzduire web disponibile, este greu să îl decizi pe cel potrivit pentru nevoile tale. Citeste mai mult este plasat la infinitum și este configurat într-un centimetru din viața sa pentru a descuraja orice abateri întreprinzător.
Dar eu sunt eu. Și tu?
Indiferent de modul în care alegeți să vă gestionați instalarea WordPress, aș plasa bani pentru că sunteți preocupat de securitate. Îmi place să mă gândesc la abordarea amenințărilor de securitate în termen de trei etape.
Aveți nevoie de găzduire fiabilă și accesibilă pentru site-ul dvs. WordPress? Înscrieți-vă cu Bluehost de la 2,95 USD / lună.
Etapele securității
Primul vine înainte de un atac. Aici, încercați să vă asigurați că oricine dorește să compromită limitele consacrate ale site-ului dvs. web este întâmpinat de rezistență rigidă și imense cantități de frustrare.
În continuare, va trebui să verificați dacă site-ul dvs. nu a fost compromis. Veți avea nevoie de o vigilență constantă, un ochi atent și o capacitate în stil Sherlock de a observa anomalii în funcționarea site-ului dvs.
În sfârșit, atunci când se produce un dezastru, va trebui să știi cum să faci față cu hotărâre și încredere. Vom vorbi despre asta luna viitoare, dar mai întâi vreau să vorbesc despre al doilea pas. Monitorizarea.
Monitorizarea WordPress
Hollywood-ul a făcut o treabă incredibilă de a înfățișa hackerul de calculator ca o persoană în umbră, distrugând din umbră digitală. Realitatea nu ar putea fi mai departe de adevăr.
Da, ei lucrează probabil din camere slab luminate undeva, vă voi da asta. Dar liniștit? Nah. Sunt tare, omule.
Fiecare atac asupra fiecărei casete și a fiecărui site web lasă o urmă pe un fișier-jurnal undeva. Modul în care înțelegem tipurile de amenințări cu care ne confruntăm (sau ne-am confruntat) este prin examinarea jurnalelor.
Nu faceți nicio greșeală, căutarea manuală a jurnalelor de sistem este o treabă nebună. Sunt destul de sigur că au existat romane ale lui Dan Brown care sunt mai puțin obositoare decât asta - și asta spune ceva. Mai mult, este o sarcină care necesită cantități nebunești de precizie și atenție la detalii. Nu este ceea ce vă recomand să faceți de mână.
Nu trebuie doar să avem o atenție asupra securității. De asemenea, este extrem de importantă monitorizarea performanța unui site Wordpress este lent - faceți ceva despre asta cu acești 10 pași Citeste mai mult .
Asigurarea că site-ul dvs. este receptiv și fiabil este esențial pentru a asigura implicarea continuă a cititorilor. Conform gigantul metricilor site-ului KissMetrics, o întârziere de încărcare de 1 secundă poate duce la o scădere a implicării utilizatorilor cu șapte la sută, în timp ce 40% din toți utilizatorii de internet spun că ar abandona un site web dacă durează mai mult de trei secunde pentru a se încărca. Înțelegerea modului în care funcționează site-ul dvs. este un instrument vital în lupta pentru a vă asigura că site-ul dvs. este rapid și receptiv.
Din fericire, există unele produse care fac această sarcină mult mai ușoară. Și probabil că sunt mai buni decât tu. Iată doi dintre ei. Și dacă insiști, îți voi spune cum îți poți derula propriul sistem de monitorizare WordPress pentru lovituri de fund.
Auditorul
Auditorul (249 USD) este un plugin autorizat GPL care permite administratorilor WordPress să monitorizeze securitatea site-ului, performanța și productivitatea utilizatorului.
Am o experiență de primă folosință în utilizarea acestui plugin, deoarece am avut norocul să am ocazia să-l testez cu câțiva ani în urmă, când a apărut pentru prima dată. Primele mele impresii despre aceasta au fost cu adevărat pozitive; de atunci, a făcut salturi și limite.
Baietii din spatele ei sunt Interconnect / IT, care, de asemenea, realizează o mulțime de consultanță și instruire WordPress în Marea Britanie, precum și creează câteva plugin-uri și ghiduri utile. Au un pedigree pentru a face lucruri interesante în lumea dezvoltării WordPress.
Încasarea numerarului pentru auditor nu vă va oferi doar o copie a codului, ci și o documentație stelară și o asistență pe viață. Oh, și este extensibil de utilizator, deși va trebui să fii la îndemână cu limbajul de programare PHP.
Dar ce face de fapt? Marea întrebare.
În primul rând, verifică dacă există activitate neobișnuită în instalarea WordPress. Dacă ați avut o cantitate nejustificată de autentificări eșuate într-un timp scurt sau dacă un utilizator obscur a văzut brusc permisiunile sale ridicate în stratosferă, veți ști.
În al doilea rând, puteți crea alerte personalizate. Dacă dezvoltați un nou plugin și doriți să observați cum se comportă, îi puteți permite să trimită mesaje către Auditor. Acest lucru este crucial pentru dezvoltatorii WordPress care doresc să vadă o imagine mai globală a modului în care funcționează pluginul lor.
Aceste jurnalele personalizate sunt extensibile și pot fi folosite de dezvoltatori pentru a înregistra orice își dorește inima. Un astfel de caz de utilizare pentru aceasta este monitorizarea numărului de urmăritori Twitter pe un personal de scriere de-a lungul timpului.
Auditorul este disponibil acum, deși o nouă versiune a pachetului software este în curs de dezvoltare, aducând o serie de îmbunătățiri și completări noi și o schemă de licențe care reduce costul de achiziție.
Sucuri
Sucuri este unul dintre proactivii puțin mai populari Pluginuri de securitate WordPress Obțineți un schimb de securitate pentru site-ul dvs. WordPress cu WebsiteDefenderO dată cu popularitatea Wordpress în continuă creștere, problemele de securitate nu au fost niciodată mai relevante - dar, în afară de menținerea actualizării, cum poate un utilizator de nivel începător sau mediu să rămână în frunte? Ai vrea chiar ... Citeste mai mult pe piață chiar acum. Spre deosebire de Auditor - care are un tarif forfetar - Sucuri percepe anual. Costul crește odată cu numărul de implementări Sucuri pe care le utilizați.
Să vorbim despre ce aduce Sucuri la masă. S-ar putea să fi ghicit că vine cu o anumită monitorizare a evenimentelor, care să vă anunțe când lucrurile au trecut. De asemenea, Securi vă poate avertiza cu privire la problemele potențiale prin SMS, e-mail și Twitter. Deși, în mod ideal, prima ar fi printr-un mesaj direct. Va fi destul de penibil dacă s-au descurcat cu o serie de probleme de securitate care afectează site-urile web.
În plus, orice malware care este injectat pe site-ul dvs. - fie printr-o încărcare de fișiere nesanitizate sau cu unele JavaScript inserate printr-o vulnerabilitate de scripturi de site (XSS) - este curățat de Sucuri.
Dacă nu este suficient, puteți plăti în plus pentru Sucuri să adăugați un Firewall pentru aplicații web (WAF) pe site-ul dvs., oprind atacurile bazate pe browser la ușă. Acestea funcționează examinând toate intrările transmise site-ului dvs. web și eliminându-le pe cele care au caracter ostensibil rău.
Un alt serviciu suplimentar oferit de Sucuri este backup-urile automate în afara site-ului. Subiectul de backup al WordPress este unul mamut și unul care a fost acoperit la lungime Cum se face o copie de siguranță automatizată de pe blogul dvs. WordpressÎn acest weekend, site-ul meu web a fost hacked pentru prima dată. M-am gândit că este un eveniment care trebuia să se întâmple în cele din urmă, dar mă simțeam un pic șocat. Am avut noroc că ... Citeste mai mult în trecut de colegii mei.
Unul dintre argumentele mai convingătoare pentru a permite Sucuri să se ocupe de copiile de rezervă în afara site-ului este punctul de preț scăzut. Cinci dolari asigură stocarea în siguranță a site-ului dvs. pe serverele Sucuri. Nu trebuie să fiți abonat la Sucuri pentru a utiliza copii de rezervă Sucuri, iar platforma agnostică este singura cerință fiind o casetă * nix sau o mașină Windows care rulează PHP.
Nu faceți greșeală, accentul pe Sucuri este unul de securitate. Nu este chiar atât de grozav la monitorizarea performanței aplicației și face o singură sarcină. Cu toate că, această sarcină este executată perfect și, prin urmare, vă recomand să verificați acest produs.
Fă-o singur
Nu faceți nicio greșeală, dacă vă preocupa securitatea și performanța instalării dvs. WordPress, ar trebui să utilizați într-adevăr un produs terț. Acestea sunt realizate de oameni care își cunosc cu adevărat lucrurile. Cunosc amenințările de acolo, înțeleg cum să se apere împotriva lor și știu ce face ca site-ul dvs. să funcționeze mai lent decât un pensionar acoperit cu melasa.
Cu toate acestea, dacă sunteți absolut hotărât să rulați propria soluție de monitorizare a sistemului, va trebui să aveți următoarele componente.
Primul este un instrument pentru a analiza traficul, zgomotul și jurnalele. Acestea pot fi lăsate de o amenințare externă sau de un instrument pe care l-ați instalat pentru a înregistra performanțele site-ului dvs. Există o cantitate imensă de produse pe piață, dar niciunul nu are acest lucru Splunk a.
Nu există nici o dezbatere aici. Splunk este mai bun la vizualizarea și interogarea jurnalelor decât orice alte produse de pe piață și îl recomand cu drag. L-am folosit pentru prima dată când era într-o stare beta, foarte timpurie. De atunci a înflorit și este un instrument puternic în arsenalul oricărui administrator de sisteme.
În continuare, va trebui să începi să-ți profilezi aplicația. Aceasta înseamnă să strângeți cantități uriașe de informații pentru a vedea cum funcționează și există un singur cal particular în această cursă care merită să vorbim. Știi cine. Religie nouă.
Acești tipi au izbucnit pe scena în urmă cu câțiva ani, primind o atenție uriașă pentru a fi simplu de implementat și adunând cantități uriașe de statistici de performanță. Oh, și pentru că ai oferit mai multe tricouri decât o mascotă la un joc de baschet.
În calitate de dezvoltator, am primit un loc destul de soft pentru New Relic și le-am folosit singură pe site-urile web pe care le-am dezvoltat. Am constatat că statisticile lor sunt corecte, iar pluginul folosit pentru înregistrarea lor este relativ ușor și ușor de implementat. Există chiar și documentație specifică WordPress!
Ultimul instrument din arsenalul nostru este un WAF. Aceasta servește două scopuri. Primul vă permite să știți dacă cineva a luat fotografii de pe site-ul dvs. Al doilea (după cum am discutat anterior) este de a atenua împotriva atacurilor de pe site-ul dvs.
Dacă conduceți Apache, trebuie să vorbim despre un singur WAF. Se numeste Securitate Mod. Este creat de băieții din Trustwave Securitate și este gratuită. Chiar nu poți bate asta.
Combinarea acestora într-o formă de pachet coerent ar constitui un articol în sine. Este într-adevăr o sarcină mamut și una care poate avea probleme mai mult decât merită. Mai ales când aveți în vedere că există pe piață pachete precum Auditor și Sucuri. Drept urmare, nu voi intra în prea multe detalii. Știi doar că este posibil.
Concluzie
În acest articol, am analizat două produse ucigașe pentru păstrarea pieselor pe instalarea WordPress, precum și modul în care vă puteți derula propria soluție. Cu tot mai multe companii care folosesc WordPress pentru a-și gestiona prezența online, importanța pentru asigurarea securității unui site web nu a fost niciodată mai mare. Și cu site-urile care clamează pentru globurile oculare, nevoia de a vă păstra site-ul rapid și sigur nu a fost niciodată atât de importantă.
Aș fi cu adevărat interesat să vă aud gândurile pe acest subiect. Lasă-mi un comentariu mai jos.
Obțineți o găzduire WordPress sigură și fiabilă cu Bluehost. Înscrieți-vă pentru un cont la doar 2,95 USD / lună.
Credit foto: Centrul de date (Bob Mical)
Matthew Hughes este un dezvoltator de software și scriitor din Liverpool, Anglia. Foarte rar este găsit fără o ceașcă de cafea neagră puternică în mână și își adoră absolut Macbook Pro și camera foto. Îi poți citi blogul la http://www.matthewhughes.co.uk și urmăriți-l pe twitter la adresa @matthewhughes.
