Peter Holmes
0 
2504
172
Jeg har en tilståelse at gøre. Jeg er virkelig doven.
Jeg har min egen personlige WordPress-baserede blog, men - selvom jeg er en hærdet nørd - er jeg ikke selv vært for den. Jeg kan ikke være generet af at håndtere besværet med konstant at sikre, at min kasse ikke er blevet poppet af en ondskabsfuld Internet-hacker. Jeg ønsker ikke at blive forkælet med tedium for at sikre, at min VPS lærer alt om virtuelle private servere på to minutter Lær alt om virtuelle private servere på to minutter Med så mange gode webhostingtjenester tilgængelige, er det svært at beslutte det rigtige en der passer til dine behov. er lappet til uendelig og konfigureret inden for en tomme af sin levetid til at afskrække enhver initiativrig miscreant.
Men det er mig. Hvad med dig?
Uanset hvordan du vælger at administrere din WordPress-installation, vil jeg lægge penge på, at du er bekymret for sikkerhed. Jeg kan godt lide at tænke på at håndtere sikkerhedstrusler i tre faser.
Brug for pålidelig, overkommelig hosting til dit WordPress-sted? Tilmeld dig Bluehost fra $ 2.95 / måned.
Faser af sikkerhed
Den første kommer før et angreb. Her prøver du at sikre, at enhver, der vil forsøge at gå på kompromis med de hellige rammer på dit websted, bliver mødt med hård modstand og enorme mængder af frustration.
Derefter skal du kontrollere, at dit websted ikke er kompromitteret. Du har brug for konstant årvågenhed, et vågent øje og en Sherlock-stil-evne til at bemærke unormaliteter i driften af dit websted.
Endelig, når katastrofen rammer, bliver du nødt til at vide, hvordan man håndterer det beslutsomt og selvsikkert. Vi vil tale om det næste måned, men først vil jeg tale om det andet trin. Overvågning.
Overvågning af WordPress
Hollywood har gjort et utroligt stykke arbejde med at fremstille computerhacker som et skyggefuldt individ og ødelægge ødelæggelse fra de digitale skygger. Virkeligheden kunne ikke være længere væk fra sandheden.
Ja, de arbejder sandsynligvis fra svagt oplyste værelser et eller andet sted, det skal jeg give dig. Men stille? Nah. De er højlydt, mand.
Hvert angreb på hver kasse og hvert websted efterlader et spor på en log-fil et eller andet sted. Den måde, vi forstår de typer trusler, vi står overfor (eller står overfor) på, er ved at se på logfilerne.
Lav ikke fejl, manuelt at se på systemlogfiler er et vanvittigt kedeligt job. Jeg er temmelig sikker på, at der har været Dan Brown-romaner, der var mindre trættende end det - og det siger noget. Desuden er det en opgave, der kræver vanvittige mængder af præcision og opmærksomhed på detaljer. Det er ikke noget, jeg anbefaler dig at gøre i hånden.
Det er ikke kun sikkerhed, som vi har brug for at holde øje med. Også meget vigtigt er at overvåge ydelsen på et websted Wordpress er langsomt - Gør noget ved det med disse 10 trin Wordpress er langsomt - Gør noget ved det med disse 10 trin .
At sikre, at dit websted er lydhør og pålideligt er afgørende for at sikre, at dine læsere fortsat engageres. Ifølge webstedsmetrics-giganten KissMetrics kan en belastningsforsinkelse på 1 sekund resultere i et fald af brugerengagement med syv procent, mens 40 procent af alle internetbrugere siger, at de ville opgive et websted, hvis det tager mere end tre sekunder at indlæse. At forstå, hvordan dit websted fungerer, er et vigtigt værktøj i kampen for at sikre, at dit websted er hurtigt og lydhør.
Heldigvis er der nogle produkter, der gør denne opgave meget lettere. Og de er sandsynligvis bedre til det end du er. Her er to af dem. Og hvis du insisterer, vil jeg fortælle dig, hvordan du kan rulle dit eget kick-ass WordPress-overvågningssystem.
Revisor
Auditor ($ 249) er et GPL-licenseret plugin, der tillader WordPress-administratorer at overvåge webstedssikkerhed, ydeevne og brugerproduktivitet.
Jeg har førstehåndserfaring med at bruge dette plugin, da jeg var heldig nok til at få mulighed for at prøvekøre det et par år tilbage, da det først kom ud. Mine første indtryk af det var virkelig positive; siden da har det skabt spring og grænser.
Fyrene bag det er Interconnect / IT, der også laver en masse WordPress-rådgivning og -uddannelse i England, samt skaber nogle nyttige plugins og brugervejledninger. De har en ganske stamtavle til at gøre interessante ting i verdenen af WordPress-udvikling.
Hvis du lægger kontanterne ned for revisoren, får du ikke bare en kopi af koden, men også noget stellar dokumentation og livstidsstøtte. Åh, og det er brugerudvideligt, selvom du skal være ganske praktisk med PHP-programmeringssprog.
Men hvad gør det egentlig? Fantastisk spørgsmål.
For det første kontrollerer det for usædvanlig aktivitet på din WordPress-installation. Hvis du har haft en overdreven mængde mislykkede login på kort tid, eller hvis en uklar bruger pludselig har set sine tilladelser hævet ind i stratosfæren, ved du.
For det andet kan du oprette tilpassede alarmer. Hvis du udvikler et nyt plugin, og du vil se, hvordan det fungerer, kan du tillade, at det sender meddelelser til revisoren. Dette er afgørende for WordPress-udviklere, der ønsker at se et mere globalt billede af, hvordan deres plugin fungerer.
Disse brugerdefinerede logfiler er udvidelige og kan bruges af udviklere til at registrere uanset hvad deres hjerte ønsker. En sådan brugssag til dette er at overvåge antallet af Twitter-tilhængere på et skrivende personale over tid.
Revisoren er tilgængelig nu, selvom en ny udgivelse af softwarepakken truer, hvilket bringer en række nye forbedringer og tilføjelser og en licensordning, der reducerer omkostningerne ved erhvervelse.
Sucuri
Sucuri er et af de lidt mere populære proaktive WordPress-sikkerhedsplugins Få en sikkerhedsmakeover til dit WordPress-sted med WebsiteDefender Få en sikkerhedsmakeover til dit WordPress-sted med WebstedDefender Med Wordpress-popularitet, der stadig stiger, har sikkerhedsspørgsmål aldrig været mere relevante - men andet end blot holde sig opdateret, hvordan kan en nybegynder eller en gennemsnitlig bruger være på toppen af tingene? Vil du endda ... på markedet lige nu. I modsætning til revisor - som er prisfastsat til en fast sats - opkræver Sucuri årligt. Omkostningerne stiger med antallet af Sucuri-implementeringer, du bruger.
Lad os tale om, hvad Sucuri bringer til bordet. Du har måske gættet, at det kommer med en vis hændelsesovervågning, der fortæller dig, når tingene er gået galt. Ud over det kan Securi også advare dig om potentielle problemer via SMS, e-mail og Twitter. Skønt ideelt set ville det førstnævnte være ved en direkte besked. Det er meget akavet, hvis de gik rundt med at tweetet litanien om sikkerhedsspørgsmål, der plager websteder.
Derudover bliver al malware, der injiceres på dit websted - enten gennem en uplaneret filupload eller med noget JavaScript indsat via en crossSScripting (XSS) sårbarhed - renset op af Sucuri.
Hvis det ikke er nok, kan du betale ekstra for Sucuri at tilføje en Web Application Firewall (WAF) til dit websted ved at stoppe browserbaserede angreb ved døren. Disse fungerer ved at undersøge alle input, der er sendt til dit websted, og kassere dem, der tilsyneladende er ondsindede..
En anden tilføjelsestjeneste, der tilbydes af Sucuri, er automatisk off-site-sikkerhedskopiering. Emnet for sikkerhedskopiering af WordPress er en enorm, og en, der er blevet dækket i længden. Sådan udføres en automatisk fjernbetjent sikkerhedskopi af din Wordpress-blog Sådan udføres en automatiseret ekstern sikkerhedskopi af din Wordpress-blog Denne weekend fik min hjemmeside hacket til første gang nogensinde. Jeg regnede med, at det var en begivenhed, der efterhånden skulle ske, men jeg følte mig stadig en smule chokeret. Jeg var heldig, at jeg ... i fortiden af mine kolleger.
Et af de mere overbevisende argumenter for at lade Sucuri håndtere dine off-site-sikkerhedskopieringer er dets lave prispunkt. Fem dollars sikrer, at dit websted er sikkert gemt på Sucuris servere. Du behøver ikke at være abonnent på Sucuri for at bruge Sucuri-sikkerhedskopier, og det er platform-agnostisk med det eneste krav at være en * nix-boks, eller en Windows-maskine, der kører PHP.
Lav ikke fejl, Sucuri's vægt er en sikkerhed. Det er egentlig ikke så flot til at overvåge, hvordan din app udfører, og udfører kun en opgave. Skønt denne ene opgave udføres perfekt, og som et resultat anbefaler jeg kraftigt, at du tjekker dette produkt ud.
Gør det selv
Lav ikke fejl, hvis du er bekymret for sikkerheden og ydeevnen for din WordPress-installation, skal du virkelig bruge et tredjepartsprodukt. Disse er lavet af mennesker, der virkelig kender deres ting. De kender truslerne derude, de forstår, hvordan de skal forsvare sig mod dem, og de ved, hvad der får dit websted til at køre langsommere end en pensionist dækket af melasse.
Hvis du imidlertid absolut er fast besluttet på at rulle din egen systemovervågningsløsning, har du brug for følgende komponenter.
Den første er et værktøj til at analysere trafik, støj og logfiler. Disse kan efterlades af en ekstern trussel eller af et værktøj, du har installeret til at registrere, hvordan dit websted fungerer. Der er en enorm mængde produkter på markedet, men ingen har den polske, Splunk har.
Der er bare ingen debat her. Splunk er bedre til at visualisere og spørge logfiler end nogen andre produkter på markedet, og jeg anbefaler det varmt. Jeg brugte det først, da det var i en meget tidlig betatilstand. Siden da har det blomstret, og er et kraftfuldt værktøj i arsenalet for enhver systemadministrator.
Derefter bliver du nødt til at begynde at profilere din ansøgning. Det betyder, at man samler enorme mængder information for at se, hvordan den klarer sig, og der er kun en bestemt hest i dette løb værd at tale om. Du ved hvem. Ny relikvie.
Disse fyre brast ud på scenen for bare få år siden og fik enorme mængder opmærksomhed for at være enkle at implementere og samle enorme mængder af performancestatistikker. Åh, og for at have afgivet flere T-shirts end en maskot i en basketballkamp.
Som selvudvikler har jeg fået et meget blødt sted for New Relic og har brugt dem selv på websteder, jeg har udviklet. Jeg finder ud af, at deres statistik er nøjagtig, og det plugin, der bruges til at registrere dem, er relativt let og let at implementere. Der er endda WordPress-specifik dokumentation!
Det sidste værktøj i vores arsenal er en WAF. Dette tjener to formål. Den første fortæller dig, om nogen har taget pot-shots på dit websted. Det andet (som vi tidligere har diskuteret) er at afbøde mod angreb på dit websted.
Hvis du kører Apache, er der kun en WAF, vi har brug for at tale om. Det kaldes Mod Security. Det er oprettet af fyrene på Trustwave Security, og det er gratis. Du kan virkelig ikke slå det.
At samle disse i en eller anden form for sammenhængende pakke ville udgøre en artikel i sig selv. Det er virkelig en enorm opgave, og en som måske er mere besvær, end det er værd. Især når du overvejer, at der er pakker som Auditor og Sucuri på markedet. Som et resultat vil jeg ikke gå for mange detaljer. Bare ved, at det er muligt.
Konklusion
I denne artikel kiggede vi på to killer-produkter til at holde spor på din WordPress-installation, samt hvordan du kan rulle din egen løsning. Med flere og flere virksomheder, der bruger WordPress til at styre deres online tilstedeværelse, har vigtigheden for at sikre et websteds sikkerhed aldrig været større. Og med websteder, der klynger sig efter øjenkugler, har behovet for at holde dit websted hurtigt og sikkert aldrig været så vigtigt.
Jeg ville virkelig være interesseret i at høre dine tanker om dette emne. Giv mig en kommentar nedenfor.
Få sikker, pålidelig WordPress-hosting hos Bluehost. Tilmeld dig en konto til kun $ 2,95 / måned.
Fotokredit: Datacenter (Bob Mical)