Chcesz mieć czujność na instalacji WordPress? Oto jak

Muszę się do czegoś przyznać. Jestem naprawdę leniwy.

Mam własny blog oparty na WordPress, ale - mimo że jestem zahartowanym geekiem - nie prowadzę go sam. Nie przeszkadza mi kłopot z ciągłym upewnianiem się, że mój komputer nie został wyrzucony przez złośliwego hakera internetowego. Nie chcę zaprzątać sobie głowy nudą polegającą na tym, że mój VPS Dowiedz się wszystkiego o wirtualnych serwerach prywatnych w dwie minuty Dowiedz się wszystkiego o wirtualnych serwerach prywatnych w dwie minuty Przy tak wielu świetnych dostępnych usługach hostingowych trudno jest wybrać właściwą taki, który odpowiada Twoim potrzebom. jest łatany do nieskończoności i skonfigurowany w ciągu jednego cala swojego życia, aby powstrzymać każdego przedsiębiorczego przestępcę.

Ale to ja. Co z Tobą?

Niezależnie od tego, jak zdecydujesz się zarządzać instalacją WordPress, zainwestowałbym w twoje pieniądze związane z bezpieczeństwem. Lubię myśleć o zagrożeniach bezpieczeństwa w kategoriach trzech etapów.

Potrzebujesz niezawodnego, niedrogiego hostingu dla swojej witryny WordPress? Zarejestruj się w Bluehost od 2,95 $ / miesiąc.

Etapy bezpieczeństwa

Pierwszy następuje przed atakiem. Tutaj starasz się zapewnić, aby każdy, kto chciałby pójść na kompromis z uświęconymi ograniczeniami twojej witryny, spotkał się ze sztywnym oporem i ogromną frustracją.

Następnie musisz sprawdzić, czy Twoja witryna nie została naruszona. Będziesz potrzebować stałej czujności, czujnego oka i zdolności w stylu Sherlocka do zauważania anomalii w działaniu witryny.

Wreszcie, gdy dojdzie do katastrofy, będziesz musiał wiedzieć, jak sobie z nią poradzić zdecydowanie i pewnie. Porozmawiamy o tym w przyszłym miesiącu, ale najpierw chcę porozmawiać o drugim kroku. Monitorowanie.

Monitorowanie WordPress

Hollywood wykonało niesamowitą robotę, przedstawiając hakera komputerowego jako cienistą osobę, niszczącą spustoszenie z cyfrowych cieni. Rzeczywistość nie może być dalsza od prawdy.

Tak, prawdopodobnie pracują gdzieś w słabo oświetlonych pokojach, dam ci to. Ale cicho? Nie Są głośne, stary.

Każdy atak na każde pudełko i każdą stronę internetową pozostawia ślad w pliku dziennika. Sposób, w jaki rozumiemy rodzaje zagrożeń, przed którymi stoimy (lub z którymi mieliśmy do czynienia), polega na przeglądaniu dzienników.

Nie popełniaj błędu, ręczne przeglądanie dzienników systemowych jest niezwykle nudnym zadaniem. Jestem prawie pewien, że były powieści Dana Browna, które są mniej nudne - i to coś mówi. Co więcej, jest to zadanie wymagające niesamowitej precyzji i dbałości o szczegóły. Nie polecam tego robić ręcznie.

Nie tylko bezpieczeństwo musimy pilnować. Bardzo ważne jest również monitorowanie wydajności strony Wordpress jest powolny - zrób coś z tym za pomocą 10 kroków Wordpress jest powolny - zrób coś z tym za pomocą tych 10 kroków .

Zapewnienie elastyczności i niezawodności witryny jest kluczowe dla zapewnienia ciągłego zaangażowania czytelników. Według giganta metryk witryny KissMetrics, 1-sekundowe opóźnienie ładowania może spowodować spadek zaangażowania użytkowników o siedem procent, podczas gdy 40 procent wszystkich internautów twierdzi, że porzuciłoby stronę internetową, jeśli załadowanie zajmie więcej niż trzy sekundy. Zrozumienie, jak działa Twoja strona internetowa, jest niezbędnym narzędziem w walce o szybkość i szybkość reakcji witryny.

Na szczęście istnieją produkty, które znacznie ułatwiają to zadanie. I prawdopodobnie są w tym lepsi niż ty. Oto dwa z nich. A jeśli nalegasz, powiem ci, jak stworzyć własny system monitorowania WordPress.

Audytor

Auditor (249 USD) to licencjonowana wtyczka GPL, która umożliwia administratorom WordPress monitorowanie bezpieczeństwa witryny, wydajności i wydajności użytkowników.

Mam doświadczenie w korzystaniu z tej wtyczki, ponieważ miałem szczęście, że mogłem przetestować ją kilka lat temu, kiedy pojawiła się po raz pierwszy. Moje pierwsze wrażenia z tego były bardzo pozytywne; od tego czasu wykonał skok.

Za tym stoją Interconnect / IT, którzy również prowadzą konsultacje i szkolenia WordPress w Wielkiej Brytanii, a także tworzą przydatne wtyczki i przewodniki użytkownika. Mają dość rodowód do robienia interesujących rzeczy w świecie rozwoju WordPress.

Zebranie gotówki dla Audytora nie tylko da ci kopię kodu, ale także świetną dokumentację i wsparcie na całe życie. Aha, i jest rozszerzalny dla użytkownika, chociaż będziesz musiał być bardzo przydatny w języku programowania PHP.

Ale co to właściwie robi? Świetne pytanie.

Po pierwsze, sprawdza, czy nie ma nietypowych działań w instalacji WordPress. Jeśli masz zbyt wiele nieudanych logowań w krótkim czasie lub jeśli niejasny użytkownik nagle zobaczył, że jego uprawnienia zostały podniesione do stratosfery, będziesz wiedział.

Po drugie, możesz tworzyć niestandardowe alerty. Jeśli opracowujesz nową wtyczkę i chcesz zobaczyć, jak ona się zachowuje, możesz zezwolić jej na wysyłanie wiadomości do Audytora. Ma to kluczowe znaczenie dla programistów WordPress, którzy chcą zobaczyć bardziej globalny obraz działania ich wtyczek.

Te niestandardowe dzienniki są rozszerzalne i mogą być używane przez programistów do rejestrowania, co tylko zapragnie ich serce. Jednym z takich przypadków użycia jest monitorowanie liczby obserwujących na Twitterze wśród personelu zajmującego się pisaniem w czasie.

Audytor jest już dostępny, choć nadchodzi nowa wersja pakietu oprogramowania, oferująca mnóstwo nowych ulepszeń i dodatków oraz program licencjonowania, który zmniejsza koszty przejęcia.

Sucuri

Sucuri jest jedną z nieco bardziej popularnych proaktywnych wtyczek zabezpieczających WordPress Zdobądź makijaż bezpieczeństwa dla swojej witryny WordPress dzięki WebsiteDefender Zdobądź makijaż bezpieczeństwa dla swojej witryny WordPress dzięki WebsiteDefender Z rosnącą popularnością Wordpress problemy bezpieczeństwa nigdy nie były bardziej istotne - ale inne niż po prostu aktualizując się, w jaki sposób początkujący lub średni poziom użytkownika może być na bieżąco? Czy w ogóle… teraz na rynku. W przeciwieństwie do audytora, którego cena jest ustalana według stawki ryczałtowej, Sucuri pobiera opłaty roczne. Koszt wzrasta wraz z liczbą używanych wdrożeń Sucuri.

Porozmawiajmy o tym, co Sucuri przynosi do stołu. Być może zgadłeś, że jest wyposażony w pewne monitorowanie zdarzeń, które informuje, kiedy wszystko poszło nie tak. Oprócz tego Securi może również powiadamiać cię o potencjalnych problemach przez SMS, e-mail i Twitter. Chociaż najlepiej byłoby, gdyby ta pierwsza była bezpośrednim przesłaniem. To byłoby dość niezręczne, gdyby poszli tweetować litanię problemów bezpieczeństwa nękających strony internetowe.

Ponadto każde złośliwe oprogramowanie, które jest wstrzykiwane do Twojej witryny - albo przez niezarządzane przesyłanie plików, albo z niektórymi skryptami JavaScript wstawionymi przez lukę w zabezpieczeniach XSS - jest usuwane przez Sucuri.

Jeśli to nie wystarczy, możesz dodatkowo zapłacić za Sucuri, aby dodać do swojej witryny zaporę sieciową (WAF), zatrzymując ataki z użyciem przeglądarki. Działają one poprzez sprawdzenie wszystkich danych wejściowych przekazanych do Twojej witryny i odrzucenie tych, które są rzekomo złośliwe z natury.

Kolejną usługą dodatkową oferowaną przez Sucuri są automatyczne kopie zapasowe poza witryną. Temat tworzenia kopii zapasowej WordPress jest gigantyczny i został obszernie omówiony Jak zrobić zautomatyzowaną zdalną kopię zapasową bloga Wordpress Jak zrobić zautomatyzowaną zdalną kopię zapasową bloga Wordpress W ten weekend moja witryna została zhakowana za pierwszy raz. Uznałem, że to wydarzenie miało się ostatecznie wydarzyć, ale nadal czułem się trochę zszokowany. Miałem szczęście, że… w przeszłości przez moich kolegów.

Jednym z bardziej przekonujących argumentów za pozwoleniem Sucuri na obsługę kopii zapasowych poza witryną jest jej niska cena. Pięć dolców zapewnia bezpieczne przechowywanie witryny na serwerach Sucuri. Nie musisz być subskrybentem Sucuri, aby korzystać z kopii zapasowych Sucuri, i jest on niezależny od platformy, a jedynym wymaganiem jest pole * nix lub komputer z systemem Windows z uruchomionym PHP.

Nie popełnijcie błędu, nacisk kładzie się na bezpieczeństwo. Monitorowanie wydajności aplikacji nie jest aż tak świetne i wykonuje tylko jedno zadanie. Chociaż to jedno zadanie jest wykonane perfekcyjnie, dlatego zdecydowanie polecam sprawdzenie tego produktu.

Zrób to sam

Nie pomyl się, jeśli martwisz się bezpieczeństwem i wydajnością instalacji WordPress, naprawdę powinieneś użyć produktu innej firmy. Są tworzone przez ludzi, którzy naprawdę znają swoje rzeczy. Znają zagrożenia, wiedzą, jak się przed nimi bronić, i wiedzą, co sprawia, że ​​twoja strona działa wolniej niż emeryt pokryty melasą.

Jeśli jednak jesteś absolutnie zdeterminowany, aby wprowadzić własne rozwiązanie do monitorowania systemu, będziesz potrzebować następujących składników.

Pierwszy to narzędzie do analizy ruchu, hałasu i kłód. Mogą je pozostawić zewnętrzne zagrożenia lub zainstalowane narzędzie do rejestrowania wydajności witryny. Na rynku jest ogromna ilość produktów, ale żaden z nich nie ma połysku, który ma Splunk.

Po prostu nie ma tutaj debaty. Splunk jest lepszy w wizualizacji i odpytywaniu logów niż jakikolwiek inny produkt na rynku i polecam go serdecznie. Po raz pierwszy użyłem go, gdy był w bardzo wczesnym stanie beta. Od tego czasu rozkwitło i jest potężnym narzędziem w arsenale każdego administratora systemu.

Następnie musisz rozpocząć profilowanie aplikacji. Oznacza to zebranie ogromnej ilości informacji, aby zobaczyć, jak sobie radzi, i jest tylko jeden konkretny koń w tej rasie, o którym warto rozmawiać. Wiesz kto. Nowa relikwia.

Ci faceci pojawili się na scenie zaledwie kilka lat temu, zyskując ogromną uwagę na łatwość wdrożenia i zbierając ogromne ilości statystyk wydajności. Aha, i za rozdawanie więcej koszulek niż maskotka podczas meczu koszykówki.

Jako programista mam słabość do New Relic i sam z nich korzystałem na stronach, które opracowałem. Uważam, że ich statystyki są dokładne, a wtyczka używana do ich rejestrowania jest stosunkowo lekka i łatwa do wdrożenia. Istnieje nawet dokumentacja specyficzna dla WordPress!

Ostatnim narzędziem w naszym arsenale jest WAF. Służy to dwóm celom. Pierwszy informuje, czy ktoś robił zdjęcia na twojej stronie. Drugim (jak już wcześniej omawialiśmy) jest ograniczenie ataków na twoją stronę.

Jeśli korzystasz z Apache, jest tylko jedna WAF, o której musimy rozmawiać. To się nazywa Mod Security. Jest tworzony przez facetów z Trustwave Security i jest bezpłatny. Naprawdę nie możesz tego przebić.

Łączenie ich w jakąś spójną paczkę stanowiłoby sam w sobie artykuł. To naprawdę ogromne zadanie, które może sprawiać więcej kłopotów niż jest warte. Zwłaszcza gdy weźmie się pod uwagę, że na rynku dostępne są pakiety takie jak Auditor i Sucuri. W rezultacie nie będę wchodził w zbyt wiele szczegółów. Po prostu wiedz, że to możliwe.

Wniosek

W tym artykule przyjrzeliśmy się dwóm zabójczym produktom służącym do śledzenia instalacji programu WordPress, a także temu, jak możesz stworzyć własne rozwiązanie. Ponieważ coraz więcej firm korzysta z WordPressa do zarządzania swoją obecnością w Internecie, znaczenie zapewnienia bezpieczeństwa strony internetowej nigdy nie było większe. A gdy strony domagają się gałek ocznych, potrzeba zapewnienia szybkości i bezpieczeństwa witryny nigdy nie była tak ważna.

Byłbym bardzo zainteresowany, aby usłyszeć twoje przemyślenia na ten temat. Dodaj mi komentarz poniżej.

Uzyskaj bezpieczny, niezawodny hosting WordPress dzięki Bluehost. Załóż konto za jedyne 2,95 USD / miesiąc.

Zdjęcie kredytowe: Data Center (Bob Mical)