Jeg har en tilståelse å lage. Jeg er veldig lat.
Jeg har min egen personlige WordPress-baserte blogg, men til tross for at jeg er en herdet nørd - er jeg ikke vert for den. Jeg kan ikke bry meg om å takle problemer med å hele tiden sikre at esken min ikke er blitt sprengt av en ondskapsfull internett-hacker. Jeg ønsker ikke å bli fast i tedium av sikre at VPS-en min Lær alt om virtuelle private servere på to minutterMed så mange gode webhotell-tjenester tilgjengelig, er det vanskelig å bestemme seg for hvilken som passer dine behov. Les mer er lappet til uendelig, og konfigurert innen en tomme av livet for å avskrekke enhver initiativrik miscreant.
Men det er meg. Hva med deg?
Uansett hvordan du velger å administrere WordPress-installasjonen, vil jeg legge penger på at du er opptatt av sikkerhet. Jeg liker å tenke på å håndtere sikkerhetstrusler i tre faser.
Trenger du pålitelig og rimelig hosting for ditt WordPress-nettsted? Registrer deg med Bluehost fra $ 2.95 / måned.
Fasene i sikkerhet
Den første kommer før et angrep. Her prøver du å sikre at alle som vil søke å kompromittere de hellige rammer på nettstedet ditt, blir møtt med hard motstand og enorme mengder frustrasjon.
Deretter må du sjekke at nettstedet ditt ikke har blitt kompromittert. Du kommer til å trenge konstant årvåkenhet, et våkent øye og en Sherlock-stil evne til å legge merke til uregelmessigheter i driften av nettstedet ditt.
Til slutt, når katastrofen rammer, trenger du å vite hvordan du skal takle det avgjørende og selvsikker. Vi kommer til å snakke om det neste måned, men først vil jeg snakke om det andre trinnet. Overvåkning.
Overvåking WordPress
Hollywood har gjort en utrolig jobb med å fremstille datamaskinhacker som et skyggefullt individ og ødelegge ødeleggelser fra de digitale skyggene. Virkeligheten kunne ikke være lenger fra sannheten.
Ja, de jobber sannsynligvis fra svakt opplyste rom et sted, det vil jeg gi deg. Men stille? Nah. De er høye, mann.
Hvert angrep på hver boks og hvert nettsted etterlater spor etter en loggfil et eller annet sted. Måten vi forstår hvilke trusler vi står overfor (eller har møtt på) er ved å se på loggene.
Gjør ingen feil, manuelt å se på systemlogger er en sinnsykt kjedelig jobb. Jeg er ganske sikker på at det har vært Dan Brown-romaner som er mindre kjedelige enn det - og det sier noe. Videre er det en oppgave som krever vanvittige mengder presisjon og oppmerksomhet på detaljer. Det er ikke noe jeg anbefaler deg å gjøre for hånd.
Det er ikke bare sikkerhet som vi trenger å holde øye med. Også avgjørende viktig er å overvåke ytelse av et nettsted Wordpress er treg - Gjør noe med det med disse 10 trinnene Les mer .
Å sikre at nettstedet ditt er responsivt og pålitelig er helt sentralt for å sikre lesernes fortsatte engasjement. I følge nettstedmetrikekjempen KissMetrics, kan en forsinkelse på 1 sekund føre til et fall av brukerengasjement med syv prosent, mens 40 prosent av alle internettbrukere sier at de ville forlate et nettsted hvis det tar mer enn tre sekunder å laste. Å forstå hvordan nettstedet ditt fungerer er et viktig verktøy i kampen for å sikre at nettstedet ditt er raskt og responsivt.
Heldigvis er det noen produkter som gjør denne oppgaven mye enklere. Og de er sannsynligvis flinkere til det enn du er. Her er to av dem. Og hvis du insisterer, vil jeg fortelle deg hvordan du kan rulle ditt eget kick-ass WordPress-overvåkingssystem.
Revisor
Auditor ($ 249) er en GPL-lisensiert plugin som lar WordPress-administratorer overvåke nettstedets sikkerhet, ytelse og brukerproduktivitet.
Jeg har førstehåndserfaring med å bruke denne pluginen, da jeg var heldig nok til å få muligheten til å prøvekjøre den for et par år tilbake, da den først kom ut. De første inntrykkene mine av det var veldig positive; siden den gang har det gjort store sprang.
Gutta bak det er Interconnect / IT, som også driver mye med WordPress-rådgivning og opplæring i Storbritannia, i tillegg til å lage noen nyttige plugins og brukerhåndbøker. De har en ganske stamtavle for å gjøre interessante ting i verden av WordPress-utvikling.
Hvis du plumper kontantene for revisoren, får du ikke bare en kopi av koden, men også noe fantastisk dokumentasjon og livstidsstøtte. Åh, og det kan utvides brukeren, selv om du trenger å være ganske praktisk med PHP-programmeringsspråket.
Men hva gjør det egentlig? Flott spørsmål.
For det første kontrollerer det for uvanlig aktivitet på WordPress-installasjonen. Hvis du har hatt en overdreven mengde mislykkede pålogginger på kort tid, eller hvis en uklar bruker plutselig har sett tillatelsene sine hevet seg inn i stratosfæren, vet du det.
Dernest kan du lage tilpassede varsler. Hvis du utvikler en ny plugin og du vil se hvordan den oppfører seg, kan du tillate den å sende meldinger til revisoren. Dette er avgjørende for WordPress-utviklere som ønsker å se et mer globalt bilde av hvordan pluginen deres fungerer.
Disse tilpassede loggene er utvidbare og kan brukes av utviklere til å registrere hva deres hjerte ønsker. En slik brukssak for dette er å overvåke antall Twitter-følgere på en skrivende stab over tid.
Revisor er tilgjengelig nå, selv om det kommer en ny utgivelse av programvarepakken, noe som gir en rekke nye forbedringer og tillegg, og en lisensordning som reduserer kostnadene for anskaffelse.
Sucuri
Sucuri er en av de litt mer populære proaktive WordPress-sikkerhetsplugins Få en sikkerhetsmakeover for ditt WordPress-nettsted med WebsiteDefenderSiden Wordpress-populariteten stadig øker, har sikkerhetsproblemer aldri vært mer relevante - men annet enn å holde seg oppdatert, hvordan kan en nybegynner eller bruker på et gjennomsnittlig nivå holde seg oppdatert? Vil du til og med ... Les mer på markedet akkurat nå. I motsetning til revisor - som er priset til en fast sats - belaster Sucuri årlig. Kostnadene øker med antall Sucuri-distribusjoner du bruker.
La oss snakke om hva Sucuri bringer til bordet. Du har kanskje gjettet at det følger med litt hendelsesovervåking, og fortalt deg når ting har gått galt. I tillegg til det, kan Securi også varsle deg om potensielle problemer via SMS, e-post og Twitter. Skjønt, ideelt sett ville førstnevnte være ved en direkte melding. Det er ganske vanskelig hvis de gikk rundt og twitret litanene om sikkerhetsproblemer som plager nettsteder.
I tillegg kommer all skadelig programvare som blir injisert på nettstedet ditt - enten gjennom en uanitert filopplasting eller med noe JavaScript satt inn via et XSS-sikkerhetsproblem på tvers av steder - ryddes opp av Sucuri.
Hvis det ikke er nok, kan du betale ekstra for Sucuri for å legge til en Web Application Firewall (WAF) på nettstedet ditt, og stoppe nettleserbaserte angrep på døren. Disse fungerer ved å undersøke alle innspill som sendes til nettstedet ditt, og forkaste de som tilsynelatende er ondsinnet.
En annen tilleggstjeneste som tilbys av Sucuri er automatiske sikkerhetskopier utenfor stedet. Temaet for sikkerhetskopiering av WordPress er en mammut, og det har vært dekket på lengde Slik gjør du en automatisk ekstern sikkerhetskopi av Wordpress-bloggen dinI helgen ble nettstedet mitt hacket for første gang noensinne. Jeg regnet med at det var en hendelse som etter hvert skulle skje, men jeg følte meg fortsatt litt sjokkert. Jeg var heldig at jeg ... Les mer i fortiden av kollegene mine.
Et av de mer overbevisende argumentene for å la Sucuri håndtere sikkerhetskopieringen utenfor nettstedet, er det lave prispunktet. Fem dollar sikrer at nettstedet ditt er sikkert lagret på Sucuris servere. Du trenger ikke å være abonnent på Sucuri for å bruke Sucuri-sikkerhetskopier, og det er plattformagnostisk med det eneste kravet å være en * nix-boks, eller en Windows-maskin som kjører PHP.
Gjør ingen feil, vektleggingen av Sucuri er en av sikkerhet. Det er egentlig ikke så bra med å overvåke hvordan appen din presterer, og utfører bare en oppgave. Selv om denne oppgaven utføres perfekt, og som et resultat, anbefaler jeg på det sterkeste at du sjekker ut dette produktet.
Gjør det selv
Gjør ingen feil, hvis du er bekymret for sikkerheten og ytelsen til WordPress-installasjonen din, bør du bruke et tredjepartsprodukt. Disse er laget av folk som virkelig kjenner tingene sine. De kjenner truslene der ute, de forstår hvordan de skal forsvare seg mot dem, og de vet hva som gjør at nettstedet ditt går saktere enn en pensjonist dekket av melasse.
Hvis du imidlertid absolutt er fast bestemt på å rulle din egen systemovervåkningsløsning, trenger du følgende komponenter.
Den første er et verktøy for å analysere trafikk, støy og logger. Disse kan etterlates av en ekstern trussel, eller av et verktøy du har installert for å registrere hvordan nettstedet ditt presterer. Det er en enorm mengde produkter på markedet, men ingen har poleringsmaterialet som Splunk har.
Det er bare ingen debatt her. Splunk er flinkere til å visualisere og spørre logger enn noen andre produkter på markedet, og jeg anbefaler det hjertelig. Jeg brukte den først da den var i en veldig tidlig betatilstand. Siden den gang har den blomstret, og er et kraftig verktøy i arsenalet til enhver systemadministrator.
Deretter må du begynne å profilere søknaden din. Dette betyr å samle enorme mengder informasjon for å se hvordan den presterer, og det er bare en bestemt hest i dette løpet som er verdt å snakke om. Du vet hvem. Ny relikvie.
Disse karene sprengte seg på scenen for bare noen få år siden, og fikk enorme mengder oppmerksomhet for å være enkle å distribuere og samle enorme mengder ytelsesstatistikk. Oh, og for å gi bort flere T-skjorter enn en maskot på et basketballkamp.
Som utvikler selv har jeg fått et ganske mykt sted for New Relic og har brukt dem selv på nettsteder jeg har utviklet. Jeg synes at statistikken deres er nøyaktig, og pluginen som brukes til å registrere dem er relativt lett og enkel å distribuere. Det er til og med WordPress-spesifikk dokumentasjon!
Det siste verktøyet i vårt arsenal er en WAF. Dette tjener to formål. Den første lar deg vite om noen har tatt pot-shots på nettstedet ditt. Det andre (som vi tidligere har diskutert) er å avbøte mot angrep på nettstedet ditt.
Hvis du kjører Apache, er det bare en WAF vi trenger å snakke om. Det heter Mod sikkerhet. Den er laget av gutta kl Trustwave Sikkerhet, og det er gratis. Du kan virkelig ikke slå det.
Å samle disse sammen til en form for sammenhengende pakke vil utgjøre en artikkel i seg selv. Det er virkelig en enorm oppgave, og det kan være mer problemer enn det er verdt. Spesielt når du tenker på at det er pakker som Auditor og Sucuri på markedet. Som et resultat skal jeg ikke gå for mange detaljer. Bare vet at det er mulig.
Konklusjon
I denne artikkelen så vi på to killer-produkter for å holde spor på din WordPress-installasjon, samt hvordan du kan rulle din egen løsning. Med flere og flere selskaper som bruker WordPress for å administrere sin tilstedeværelse på nettet, har viktigheten for å sikre sikkerheten til et nettsted aldri vært større. Og med nettsteder som kjemper for øyeepler, har behovet for å holde nettstedet raskt og sikkert aldri vært så viktig.
Jeg ville være veldig interessert i å høre tankene dine om dette emnet. Send meg en kommentar nedenfor.
Få sikker, pålitelig WordPress-hosting med Bluehost. Registrer deg for en konto til bare $ 2,95 per måned.
Fotokreditt: Datasenter (Bob Mical)
Matthew Hughes er programvareutvikler og skribent fra Liverpool, England. Han blir sjelden funnet uten en kopp sterk svart kaffe i hånden og elsker absolutt Macbook Pro og kameraet hans. Du kan lese bloggen hans på http://www.matthewhughes.co.uk og følg ham på twitter på @matthewhughes.
