Jeg har en tilståelse at gøre. Jeg er virkelig doven.
Jeg har min egen personlige WordPress-baserede blog, men - selvom jeg er en hærdet nørd - er jeg ikke selv vært for den. Jeg kan ikke være generet af at håndtere besværet ved konstant at sikre, at min kasse ikke er blevet poppet af en ondskabsfuld Internet-hacker. Jeg ønsker ikke at blive forkælet med tedium af at sikre, at min VPS Lær alt om virtuelle private servere på to minutterMed så mange gode webhostingtjenester tilgængelige, er det svært at beslutte den rigtige, der passer til dine behov. Læs mere er lappet til uendelig og konfigureret inden for en tomme af sin levetid til at afskrække enhver initiativrig miscreant.
Men det er mig. Hvad med dig?
Uanset hvordan du vælger at administrere din WordPress-installation, lægger jeg penge på dig som bekymret for sikkerhed. Jeg kan godt lide at tænke på at håndtere sikkerhedstrusler i tre faser.
Brug for pålidelig, overkommelig hosting til dit WordPress-sted? Tilmeld dig Bluehost fra $ 2.95 / måned.
Faser af sikkerhed
Den første kommer før et angreb. Her prøver du at sikre, at enhver, der vil forsøge at gå på kompromis med de hellige rammer på dit websted, bliver mødt med hård modstand og enorme mængder af frustration.
Derefter skal du kontrollere, at dit websted ikke er kompromitteret. Du har brug for konstant årvågenhed, et vågent øje og en Sherlock-stil-evne til at bemærke uregelmæssigheder i driften af dit websted.
Endelig, når katastrofen rammer, bliver du nødt til at vide, hvordan man håndterer det beslutsomt og selvsikkert. Vi vil tale om det næste måned, men først vil jeg tale om det andet trin. Overvågning.
Overvågning af WordPress
Hollywood har gjort et utroligt stykke arbejde med at fremstille computerhacker som et skyggefuldt individ og ødelægge ødelæggelse fra de digitale skygger. Virkeligheden kunne ikke være længere væk fra sandheden.
Ja, de arbejder sandsynligvis fra svagt oplyste værelser et eller andet sted, det skal jeg give dig. Men stille? Nah. De er høje, mand.
Hvert angreb på hver kasse og hvert websted efterlader et spor på en log-fil et eller andet sted. Den måde, vi forstår de typer trusler, vi står overfor (eller står overfor) på, er ved at se på logfilerne.
Lav ikke fejl, manuelt at se på systemlogfiler er et vanvittigt kedeligt job. Jeg er temmelig sikker på, at der har været Dan Brown-romaner, der er mindre trættende end det - og det siger noget. Desuden er det en opgave, der kræver vanvittige mængder af præcision og opmærksomhed på detaljer. Det er ikke noget, jeg anbefaler dig at gøre i hånden.
Det er ikke kun sikkerhed, som vi har brug for at holde øje med. Også meget vigtigt er overvågning af udførelse af et websted Wordpress er langsom - Gør noget ved det med disse 10 trin Læs mere .
At sikre, at dit websted er lydhør og pålideligt er afgørende for at sikre, at dine læsere fortsat engageres. Ifølge website metrics gigantisk KissMetrics, kan en forsinkelse på 1 sekund medføre et fald af brugerengagement med syv procent, mens 40 procent af alle internetbrugere siger, at de ville opgive et websted, hvis det tager mere end tre sekunder at indlæse. At forstå, hvordan dit websted fungerer, er et vigtigt værktøj i kampen om at sikre, at dit websted er hurtigt og lydhør.
Heldigvis er der nogle produkter, der gør denne opgave meget lettere. Og de er sandsynligvis bedre til det end du er. Her er to af dem. Og hvis du insisterer, vil jeg fortælle dig, hvordan du kan rulle dit eget kick-ass WordPress-overvågningssystem.
Revisor
Auditor ($ 249) er et GPL-licenseret plugin, der tillader WordPress-administratorer at overvåge webstedssikkerhed, ydeevne og brugerproduktivitet.
Jeg har førstehåndserfaring med at bruge dette plugin, da jeg var heldig nok til at få mulighed for at prøvekøre det et par år tilbage, da det først kom ud. Mine første indtryk af det var virkelig positive; siden da har det skabt spring og grænser.
Fyrene bag det er Interconnect / IT, der også laver en masse WordPress-rådgivning og -uddannelse i England, samt skaber nogle nyttige plugins og brugervejledninger. De har en ganske stamtavle til at gøre interessante ting i verdenen af WordPress-udvikling.
Hvis du lægger kontanterne ned for Revisoren, får du ikke bare en kopi af koden, men også noget stjernedokumentation og livstidsstøtte. Åh, og det er brugerudvideligt, selvom du behøver at være ganske praktisk med PHP-programmeringssprog.
Men hvad gør det egentlig? Fantastisk spørgsmål.
For det første kontrollerer det for usædvanlig aktivitet på din WordPress-installation. Hvis du har haft en overdreven mængde mislykkede login på kort tid, eller hvis en uklar bruger pludselig har set sine tilladelser hævet ind i stratosfæren, ved du det.
For det andet kan du oprette tilpassede alarmer. Hvis du udvikler et nyt plugin, og du vil se, hvordan det fungerer, kan du tillade, at det sender meddelelser til revisoren. Dette er afgørende for WordPress-udviklere, der ønsker at se et mere globalt billede af, hvordan deres plugin fungerer.
Disse brugerdefinerede logfiler er udvidelige og kan bruges af udviklere til at registrere uanset hvad deres hjerte ønsker. En sådan brugssag til dette er at overvåge antallet af Twitter-tilhængere på et skrivende personale over tid.
Revisoren er tilgængelig nu, selvom en ny udgivelse af softwarepakken truer, hvilket bringer en række nye forbedringer og tilføjelser og en licensordning, der reducerer omkostningerne ved erhvervelse.
Sucuri
Sucuri er en af de lidt mere populære proaktive WordPress sikkerheds plugins Få en sikkerhedsmakeover til dit WordPress-sted med WebsiteDefenderMed Wordpress-popularitet, der stadig stiger, har sikkerhedsspørgsmål aldrig været mere relevante - men bortset fra blot at holde sig opdateret, hvordan kan en nybegynder eller en gennemsnitlig bruger være på toppen af tingene? Vil du endda ... Læs mere på markedet lige nu. I modsætning til revisor - som er prisfastsat til en fast sats - opkræver Sucuri årligt. Omkostningerne stiger med antallet af Sucuri-implementeringer, du bruger.
Lad os tale om, hvad Sucuri bringer til bordet. Du har måske gættet, at det kommer med en vis hændelsesovervågning, der fortæller dig, når tingene er gået galt. Ud over det kan Securi også advare dig om potentielle problemer via SMS, e-mail og Twitter. Skønt ideelt set først og fremmest ville være ved en direkte besked. Det er temmelig akavet, hvis de gik rundt med at tweede litanien om sikkerhedsspørgsmål, der plager websteder.
Derudover al malware, der injiceres på dit websted - enten gennem en uplaneret fil upload eller med noget JavaScript indsat via en sårbarhed på tværs af scripting (XSS) - ryddes op af Sucuri.
Hvis det ikke er nok, kan du betale ekstra for Sucuri at tilføje en Web Application Firewall (WAF) til dit websted ved at stoppe browserbaserede angreb ved døren. Disse fungerer ved at undersøge alle input, der er sendt til dit websted, og kassere dem, der tilsyneladende er ondsindede.
En anden tilføjelsestjeneste, der tilbydes af Sucuri, er automatiske off-site-sikkerhedskopieringer. Emnet for sikkerhedskopiering af WordPress er en enorm, og det har været dækket i længden Sådan laver du en automatisk ekstern sikkerhedskopi af din Wordpress-blogDenne weekend blev min hjemmeside hacket for første gang nogensinde. Jeg regnede med, at det var en begivenhed, der efterhånden skulle ske, men jeg følte mig stadig en smule chokeret. Jeg var heldig at jeg ... Læs mere i fortiden af mine kolleger.
Et af de mere overbevisende argumenter for at lade Sucuri håndtere dine off-site-sikkerhedskopieringer er dets lave prispunkt. Fem dollars sikrer, at dit websted er sikkert gemt på Sucuris servere. Du behøver ikke at være abonnent på Sucuri for at bruge Sucuri-sikkerhedskopier, og det er platform-agnostisk med det eneste krav at være en * nix-boks, eller en Windows-maskine, der kører PHP.
Foretag ingen fejl, Sucuri's vægt er en sikkerhed. Det er egentlig ikke så flot til at overvåge, hvordan din app udfører, og udfører kun en opgave. Skønt denne ene opgave udføres perfekt, og som et resultat anbefaler jeg kraftigt, at du tjekker dette produkt ud.
Gør det selv
Lav ikke fejl, hvis du er bekymret for sikkerheden og ydeevnen for din WordPress-installation, skal du virkelig bruge et tredjepartsprodukt. Disse er lavet af mennesker, der virkelig kender deres ting. De kender truslerne derude, de forstår, hvordan de skal forsvare sig mod dem, og de ved, hvad der får dit websted til at gå langsommere end en pensionist, der er dækket af melasse.
Hvis du imidlertid er bestemt på at rulle din egen systemovervågningsløsning, har du brug for følgende komponenter.
Den første er et værktøj til at analysere trafik, støj og logfiler. Disse kan efterlades af en ekstern trussel eller af et værktøj, du har installeret til at registrere, hvordan dit websted fungerer. Der er en enorm mængde produkter på markedet, men ingen har den polske der splunk har.
Der er bare ingen debat her. Splunk er bedre til at visualisere og spørge logfiler end nogen andre produkter på markedet, og jeg anbefaler det varmt. Jeg brugte det først, da det var i en meget tidlig betatilstand. Siden da har det blomstret og er et kraftfuldt værktøj i arsenalet for enhver systemadministrator.
Derefter bliver du nødt til at begynde at profilere din ansøgning. Det betyder, at man samler enorme mængder information for at se, hvordan den klarer sig, og der er kun en bestemt hest i dette løb værd at tale om. Du ved hvem. Ny relik.
Disse fyre brast ud på scenen for bare få år siden og fik enorme mængder opmærksomhed for at være enkle at implementere og samle enorme mængder af performancestatistikker. Åh, og for at have afgivet flere T-shirts end en maskot i en basketballkamp.
Som selvudvikler har jeg fået et meget blødt sted for New Relic og har brugt dem selv på websteder, jeg har udviklet. Jeg finder ud af, at deres statistik er nøjagtig, og det plugin, der bruges til at registrere dem, er relativt let og let at implementere. Der er endda WordPress-specifik dokumentation!
Det sidste værktøj i vores arsenal er en WAF. Dette tjener to formål. Den første fortæller dig, om nogen har taget pot-shots på dit websted. Det andet (som vi tidligere har diskuteret) er at afbøde mod angreb på dit websted.
Hvis du kører Apache, er der kun en WAF, vi har brug for at tale om. Det hedder Mod sikkerhed. Det er oprettet af fyrene kl Trustwave Sikkerhed, og det er gratis. Du kan virkelig ikke slå det.
At samle disse sammen til en form for sammenhængende pakke ville udgøre en artikel i sig selv. Det er virkelig en enorm opgave, og en, der måske er mere besvær, end det er værd. Især når du overvejer, at der er pakker som Auditor og Sucuri på markedet. Som et resultat vil jeg ikke gå for mange detaljer. Bare ved, at det er muligt.
Konklusion
I denne artikel kiggede vi på to killer-produkter til at holde spor på din WordPress-installation, samt hvordan du kan rulle din egen løsning. Med flere og flere virksomheder, der bruger WordPress til at styre deres online tilstedeværelse, har vigtigheden for at sikre et websteds sikkerhed aldrig været større. Og med websteder, der kæmper for øjenkugler, har behovet for at holde dit websted hurtigt og sikkert aldrig været så vigtigt.
Jeg ville virkelig være interesseret i at høre dine tanker om dette emne. Giv mig en kommentar nedenfor.
Få sikker, pålidelig WordPress-hosting hos Bluehost. Tilmeld dig en konto til kun $ 2,95 / måned.
Fotokredit: Datacenter (Bob Mical)
Matthew Hughes er en softwareudvikler og forfatter fra Liverpool, England. Han findes sjældent uden en kop stærk sort kaffe i hånden og forguder absolut sin Macbook Pro og hans kamera. Du kan læse hans blog på http://www.matthewhughes.co.uk og følg ham på twitter på @matthewhughes.