Muszę się do czegoś przyznać. Jestem naprawdę leniwy.
Mam własny blog oparty na WordPress, ale - mimo że jestem zahartowanym geekiem - nie prowadzę go sam. Nie mogę sobie pozwolić na kłopoty z ciągłym upewnianiem się, że moje pudełko nie zostało wyrzucone przez złowrogiego hakera internetowego. Nie chcę utknąć w nędzy upewniając się, że mój VPS Dowiedz się wszystkiego o wirtualnych prywatnych serwerach w dwie minutyPrzy tak wielu świetnych dostępnych usługach hostingowych trudno jest wybrać taką, która najlepiej odpowiada Twoim potrzebom. Czytaj więcej jest łatany do nieskończoności i skonfigurowany w ciągu jednego cala swojego życia, aby powstrzymać każdego przedsiębiorczego przestępcę.
Ale to ja. A ty?
Bez względu na to, jak zdecydujesz się zarządzać instalacją WordPress, chciałbym zarabiać na twoich obawach związanych z bezpieczeństwem. Lubię myśleć o zagrożeniach bezpieczeństwa w kategoriach trzech etapów.
Potrzebujesz niezawodnego, niedrogiego hostingu dla swojej witryny WordPress? Zarejestruj się w Bluehost od 2,95 $ / miesiąc.
Etapy bezpieczeństwa
Pierwszy przychodzi przed atakiem. Tutaj starasz się zapewnić, aby każdy, kto chciałby pójść na kompromis z uświęconymi ograniczeniami twojej witryny, spotkał się ze sztywnym oporem i ogromną frustracją.
Następnie musisz sprawdzić, czy Twoja witryna nie została naruszona. Będziesz potrzebować ciągłej czujności, czujnego oka i zdolności w stylu Sherlocka do zauważania anomalii w działaniu witryny.
Wreszcie, gdy dojdzie do katastrofy, będziesz musiał wiedzieć, jak sobie z nią poradzić zdecydowanie i pewnie. Porozmawiamy o tym w przyszłym miesiącu, ale najpierw chcę porozmawiać o drugim kroku. Monitorowanie
Monitorowanie WordPress
Hollywood wykonało niesamowitą robotę, przedstawiając hakera komputerowego jako cienistą osobę, niszczącą spustoszenie z cyfrowych cieni. Rzeczywistość nie może być dalsza od prawdy.
Tak, prawdopodobnie pracują gdzieś w słabo oświetlonych pokojach, dam ci to. Ale cicho? Nie Są głośne, stary.
Każdy atak na każde pudełko i każdą stronę internetową pozostawia ślad w jakimś pliku dziennika. Sposób, w jaki rozumiemy rodzaje zagrożeń, przed którymi stoimy (lub z którymi mieliśmy do czynienia), polega na przeglądaniu dzienników.
Nie popełnij błędu, ręczne przeglądanie dzienników systemowych jest niezwykle nudnym zadaniem. Jestem pewien, że były powieści Dana Browna, które były mniej nudne - i to coś mówi. Co więcej, jest to zadanie wymagające niesamowitej precyzji i dbałości o szczegóły. Nie polecam tego robić ręcznie.
Nie tylko bezpieczeństwo musimy pilnować. Niezwykle ważne jest również monitorowanie wydajność strony Wordpress jest powolny - zrób coś z tym za pomocą tych 10 kroków Czytaj więcej .
Zapewnienie elastyczności i niezawodności witryny jest kluczowe dla zapewnienia ciągłego zaangażowania czytelników. Według gigant metryk witryny KissMetricsopóźnienie wczytywania o 1 sekundę może spowodować zmniejszenie zaangażowania użytkowników o siedem procent, podczas gdy 40 procent wszystkich internautów twierdzi, że porzuciłoby witrynę, jeśli załadowanie trwa dłużej niż trzy sekundy. Zrozumienie, jak działa Twoja strona internetowa, jest niezbędnym narzędziem w walce o szybkie i szybkie reagowanie.
Na szczęście istnieją produkty, które znacznie ułatwiają to zadanie. I prawdopodobnie są w tym lepsi niż ty. Oto dwa z nich. A jeśli nalegasz, powiem ci, jak zbudować własny system monitoringu WordPress.
Audytor
Auditor (249 USD) to licencjonowana wtyczka GPL, która umożliwia administratorom WordPress monitorowanie bezpieczeństwa witryny, wydajności i wydajności użytkowników.
Mam doświadczenie w korzystaniu z tej wtyczki, ponieważ miałem szczęście, że mogłem przetestować ją kilka lat temu, kiedy pojawiła się po raz pierwszy. Moje pierwsze wrażenia z tego były bardzo pozytywne; od tego czasu wykonał skok.
Faceci za tym są Interconnect / IT, którzy również prowadzą konsultacje i szkolenia WordPress w Wielkiej Brytanii, a także tworzą przydatne wtyczki i przewodniki użytkownika. Mają dość rodowód do robienia interesujących rzeczy w świecie rozwoju WordPress.
Zebranie gotówki dla Audytora nie tylko da ci kopię kodu, ale także świetną dokumentację i wsparcie na całe życie. Aha, i jest rozszerzalny dla użytkownika, chociaż musisz być całkiem przydatny w języku programowania PHP.
Ale co to właściwie robi? Świetne pytanie.
Po pierwsze, sprawdza nietypową aktywność w instalacji WordPress. Jeśli miałeś nadmierną liczbę nieudanych prób logowania w krótkim czasie lub jeśli niejasny użytkownik nagle zauważył, że jego uprawnienia zostały podniesione do stratosfery, dowiesz się.
Po drugie, możesz tworzyć niestandardowe alerty. Jeśli opracowujesz nową wtyczkę i chcesz zobaczyć, jak się zachowuje, możesz zezwolić jej na wysyłanie wiadomości do Audytora. Ma to kluczowe znaczenie dla programistów WordPress, którzy chcą zobaczyć bardziej globalny obraz działania ich wtyczek.
Te niestandardowe dzienniki są rozszerzalne i mogą być używane przez programistów do rejestrowania, czego tylko zapragnie. Jednym z takich przypadków jest monitorowanie liczby obserwujących na Twitterze wśród personelu zajmującego się pisaniem w czasie.
Audytor jest już dostępny, chociaż nadchodzi nowa wersja pakietu oprogramowania, przynosząca mnóstwo nowych ulepszeń i dodatków oraz program licencjonowania, który zmniejsza koszt nabycia.
Sucuri
Sucuri jest jednym z nieco bardziej popularnych proaktywnych Wtyczki bezpieczeństwa WordPress Zdobądź makijaż bezpieczeństwa dla swojej witryny WordPress dzięki WebsiteDefenderPonieważ popularność Wordpress stale rośnie, problemy z bezpieczeństwem nigdy nie były bardziej istotne - ale poza prostym aktualizowaniem, w jaki sposób początkujący lub średni poziom użytkownika może być na bieżąco. Czy w ogóle ... Czytaj więcej na rynku już teraz. W przeciwieństwie do audytora, którego cena jest ustalana według stawki ryczałtowej, Sucuri pobiera opłaty roczne. Koszt rośnie wraz z liczbą używanych wdrożeń Sucuri.
Porozmawiajmy o tym, co Sucuri przynosi do stołu. Być może zgadłeś, że jest wyposażony w pewne monitorowanie zdarzeń, które informuje, kiedy wszystko poszło nie tak. Oprócz tego Securi może również powiadamiać cię o potencjalnych problemach przez SMS, e-mail i Twitter. Chociaż najlepiej byłoby, gdyby pierwsza była bezpośrednim przesłaniem. Byłoby dość niezręcznie, gdyby poszli tweetować z litanią problemów bezpieczeństwa nękających strony internetowe.
Ponadto wszelkie złośliwe oprogramowanie, które jest wstrzykiwane do Twojej witryny - albo przez niezarządzane przesyłanie plików lub z niektórymi JavaScriptami wstawionymi przez lukę w zabezpieczeniach XSS - jest usuwany przez Sucuri
Jeśli to nie wystarczy, możesz dodatkowo zapłacić za Sucuri, aby dodać zaporę sieciową (WAF) do swojej witryny, powstrzymując ataki oparte na przeglądarce. Działa to poprzez sprawdzenie wszystkich danych wejściowych przekazanych do Twojej witryny i odrzucenie tych, które są rzekomo złośliwe z natury.
Kolejną usługą dodatkową oferowaną przez Sucuri są automatyczne kopie zapasowe poza witryną. Temat tworzenia kopii zapasowej WordPress jest gigantyczny i taki był pokryte na długość Jak wykonać automatyczną zdalną kopię zapasową bloga WordpressW ten weekend moja strona internetowa została po raz pierwszy zhakowana. Uznałem, że to wydarzenie miało się ostatecznie wydarzyć, ale nadal czułem się trochę zszokowany. Miałem szczęście, że ... Czytaj więcej w przeszłości przez moich kolegów.
Jednym z bardziej przekonujących argumentów za pozwoleniem Sucuri na obsługę kopii zapasowych poza witryną jest jej niska cena. Pięć dolców zapewnia bezpieczne przechowywanie witryny na serwerach Sucuri. Nie musisz być subskrybentem Sucuri, aby korzystać z kopii zapasowych Sucuri, i jest to platforma niezależna od platformy, a jedynym wymaganiem jest * nix box lub komputer z systemem Windows z uruchomionym PHP.
Nie pomylcie się, nacisk na Sucuri kładzie się na bezpieczeństwie. Monitorowanie wydajności aplikacji nie jest aż tak świetne i wykonuje tylko jedno zadanie. Chociaż to jedno zadanie jest wykonane perfekcyjnie, dlatego zdecydowanie polecam sprawdzenie tego produktu.
Zrób to sam
Nie popełnij błędu, jeśli obawiasz się o bezpieczeństwo i wydajność instalacji WordPress, naprawdę powinieneś użyć produktu innej firmy. Są tworzone przez ludzi, którzy naprawdę znają się na rzeczy. Znają zagrożenia, wiedzą, jak się przed nimi bronić, i wiedzą, co sprawia, że twoja strona działa wolniej niż emeryt pokryty melasą.
Jeśli jednak jesteś absolutnie zdeterminowany, aby wprowadzić własne rozwiązanie do monitorowania systemu, będziesz potrzebować następujących składników.
Pierwszy to narzędzie do analizy ruchu, hałasu i dzienników. Mogą być pozostawione przez zewnętrzne zagrożenie lub narzędzie, które zainstalowałeś, aby rejestrować wydajność Twojej witryny. Na rynku jest ogromna ilość produktów, ale żaden z nich nie ma tego po polsku Splunk ma.
Po prostu nie ma tutaj debaty. Splunk jest lepszy w wizualizacji i odpytywaniu logów niż jakikolwiek inny produkt na rynku i polecam go serdecznie. Po raz pierwszy użyłem go, gdy był w bardzo wczesnym stanie beta. Od tego czasu rozkwitło i jest potężnym narzędziem w arsenale każdego administratora systemu.
Następnie musisz rozpocząć profilowanie aplikacji. Oznacza to zebranie ogromnej ilości informacji, aby zobaczyć, jak sobie radzi, a w tej rasie jest tylko jeden konkretny koń, o którym warto rozmawiać. Wiesz kto. Nowa relikwia.
Ci faceci pojawili się na scenie zaledwie kilka lat temu, zyskując ogromną uwagę na łatwość wdrożenia i zbierając ogromne ilości statystyk wydajności. Aha, i za rozdawanie więcej koszulek niż maskotka podczas meczu koszykówki.
Jako programista mam słabość do New Relic i sam z nich korzystałem w witrynach, które opracowałem. Uważam, że ich statystyki są dokładne, a wtyczka używana do ich rejestrowania jest stosunkowo lekka i łatwa do wdrożenia. Istnieje nawet dokumentacja specyficzna dla WordPress!
Ostatnim narzędziem w naszym arsenale jest WAF. Służy to dwóm celom. Pierwszy informuje, czy ktoś robił zdjęcia na twojej stronie. Drugim (jak już wcześniej omawialiśmy) jest ograniczenie ataków na twoją stronę.
Jeśli korzystasz z Apache, jest tylko jedna WAF, o której musimy rozmawiać. To jest nazwane Mod Security. Jest stworzony przez facetów z Trustwave Bezpieczeństwo i to za darmo. Naprawdę nie możesz tego przebić.
Łączenie ich w jedną formę spójnego opakowania stanowiłoby sam w sobie artykuł. To naprawdę ogromne zadanie, które może sprawiać więcej kłopotów niż jest warte. Zwłaszcza gdy weźmie się pod uwagę, że na rynku dostępne są pakiety takie jak Auditor i Sucuri. W rezultacie nie zamierzam wdawać się w zbyt wiele szczegółów. Po prostu wiedz, że to możliwe.
Wniosek
W tym artykule przyjrzeliśmy się dwóm zabójczym produktom służącym do śledzenia instalacji programu WordPress, a także sposobom wprowadzenia własnego rozwiązania. Ponieważ coraz więcej firm korzysta z WordPressa do zarządzania swoją obecnością w Internecie, znaczenie zapewnienia bezpieczeństwa strony internetowej nigdy nie było większe. A gdy strony domagają się gałek ocznych, potrzeba zapewnienia szybkości i bezpieczeństwa witryny nigdy nie była tak ważna.
Byłbym bardzo zainteresowany, aby usłyszeć twoje przemyślenia na ten temat. Dodaj mi komentarz poniżej.
Uzyskaj bezpieczny, niezawodny hosting WordPress dzięki Bluehost. Zaloguj się na konto zaledwie 2,95 USD / miesiąc.
Kredyt zdjęciowy: Centrum danych (Bob Mical)
Matthew Hughes jest programistą i pisarzem z Liverpoolu w Anglii. Rzadko można go znaleźć bez filiżanki mocnej czarnej kawy w dłoni i absolutnie uwielbia swojego Macbooka Pro i aparat. Możesz przeczytać jego blog na http://www.matthewhughes.co.uk i śledź go na Twitterze na @matthewhughes.