Трябва да направя признание. Наистина съм мързелива.
Имам собствен личен блог, базиран на WordPress, но - въпреки че съм закален маниер - не го правя самостоятелно. Не мога да се притеснявам да се справям с неудобствата, че непрекъснато се уверявам, че моята кутия не е изскачана от злонамерен интернет хакер. Не искам да се заливам с досадата на гарантиране, че моята VPS Научете всичко за виртуалните частни сървъри за две минутиС толкова много страхотни уеб хостинг услуги на разположение, е трудно да се реши най-подходящия, който да отговаря на вашите нужди. Прочетете още е закърпен до безкрайност и е конфигуриран в рамките на сантиметър от живота си, за да възпира всеки предприемчив злоупотреба.
Но това съм аз. Ами ти?
Независимо от начина, по който сте избрали да управлявате вашата инсталация на WordPress, аз бих заложил пари на това, че сте загрижени за сигурността. Обичам да мисля да се справя със заплахи за сигурността по отношение на три етапа.
Нуждаете се от надежден, достъпен хостинг за вашия WordPress сайт? Регистрирайте се с Bluehost от $ 2.95 / месец.
Етапите на сигурността
Първият идва преди атака. Тук се опитвате да гарантирате, че всеки, който би искал да направи компромис със светещите ограничения на вашия уебсайт, е посрещнат с твърда съпротива и огромни количества разочарование.
След това ще трябва да проверите дали сайтът ви не е компрометиран. Ще се нуждаете от постоянна бдителност, зорко око и способност в стил Шерлок, за да забележите аномалии в работата на вашия сайт.
И накрая, когато се стигне до бедствие, ще трябва да знаете как да се справите с него решително и уверено. Ще говорим за това следващия месец, но първо искам да поговорим за втората стъпка. Мониторинг.
Мониторинг на WordPress
Холивуд свърши невероятна работа, представяйки компютърния хакер като сенчест индивид, разрушаващ хаос от цифровите сенки. Реалността не може да бъде по-далеч от истината.
Да, те вероятно работят някъде от слабо осветени стаи, ще ви го дам. Но тихо? Нее. Те са силни, човече.
Всяка атака върху всяко поле и всеки уебсайт оставя следа в лог-файл някъде. Начинът, по който разбираме видовете заплахи, с които се сблъскваме (или сме се сблъсквали), е чрез разглеждане на дневниците.
Не се заблуждавайте, ръчно гледането на системните дневници е безумно досадна работа. Почти съм сигурен, че има романи на Дан Браун, които са по-малко досадни от това - и това говори нещо. Освен това това е задача, която изисква безумни количества прецизност и внимание към детайлите. Това не е нещо, което ви препоръчвам да направите на ръка.
Това не е просто сигурност, която трябва да следим внимателно. Също така от изключително значение е наблюдението на изпълнение на сайт Wordpress е бавен - направете нещо за това с тези 10 стъпки Прочетете още .
Гарантирането, че вашият сайт е отзивчив и надежден, е от основно значение за осигуряването на непрекъснато ангажиране на вашите читатели. Според уебсайт метрик гигант KissMetrics, забавяне на зареждането с 1 секунда може да доведе до спад на ангажираността на потребителите със седем процента, докато 40 процента от всички интернет потребители казват, че ще изоставят уебсайт, ако се изисква повече от три секунди за зареждане. Разбирането на начина, по който работи уебсайтът ви, е жизненоважно средство в битката за осигуряване на бърз и отзивчив сайт.
За щастие, има някои продукти, които правят тази задача много по-лесна. И те вероятно са по-добри от вас. Ето две от тях. И ако настоявате, ще ви кажа как можете да превъртите вашата собствена система за наблюдение на WordPress.
Одиторът
Одиторът ($ 249) е GPL лицензиран плъгин, който позволява на WordPress администраторите да наблюдават сигурността на сайта, производителността и производителността на потребителите.
Имам опит от първа ръка с използването на този плъгин, тъй като имах късмета да получих възможността да го тествам - карам го няколко години назад, когато той излезе за първи път. Първите ми впечатления от него бяха наистина положителни; оттогава прави скокове и граници.
Момчетата зад него са Interconnect / IT, които също правят много WordPress консултации и обучение във Великобритания, както и създаване на някои полезни плъгини и ръководства за потребители. Те имат доста родословие за правенето на интересни неща в света на разработката на WordPress.
Намаляването на парите за одитора няма да ви предостави само копие на кода, но и някаква звездна документация и поддръжка за цял живот. О, и потребителят е разширяем, въпреки че ще трябва да бъдете много удобен с езика за програмиране на PHP.
Но какво всъщност прави? Страхотен въпрос.
Първо, тя проверява за необичайна активност във вашата WordPress инсталация. Ако сте имали прекомерно количество неуспешни входни данни за кратък период от време или ако някой неясен потребител внезапно е видял разрешенията му да са повишени в стратосферата, ще знаете.
Второ, можете да създадете персонализирани сигнали. Ако разработвате нов плъгин и искате да наблюдавате как се държи, можете да му позволите да изпраща съобщения до Одитора. Това е от решаващо значение за разработчиците на WordPress, които искат да видят по-глобална картина как работи техният плъгин.
Тези персонализирани регистрационни файлове са разширяеми и могат да се използват от разработчиците за регистриране, каквото сърцето им пожелае. Един такъв случай на използване за това е мониторингът на броя на последователите в Twitter на писателски персонал във времето.
Одиторът вече е достъпен, въпреки че се появява нова версия на софтуерния пакет, която предлага редица нови подобрения и допълнения и схема за лицензиране, която намалява разходите за придобиване.
Sucuri
Sucuri е един от малко по-популярните проактивни WordPress приставки за сигурност Вземете защитен грим за вашия WordPress сайт с WebsiteDefenderС нарастващата популярност на Wordpress проблемите със сигурността никога не са били по-уместни - но освен да поддържате актуализирани, как начинаещият или средният потребител може да остане на върха на нещата? Бихте ли дори ... Прочетете още на пазара в момента. За разлика от одитора - който се определя на фиксирана ставка - Sucuri таксува ежегодно. Цената се увеличава с броя на разполаганията на Sucuri, които използвате.
Нека да поговорим за това, което Сукури носи на масата. Може би сте се досетили, че идва с някакъв мониторинг на събитията, който ви уведомява кога нещата са се объркали. Освен това, Securi може да ви предупреди и за потенциални проблеми чрез SMS, имейл и Twitter. Макар че в идеалния случай първата би била чрез пряко съобщение. Ще бъде доста неудобно, ако обикалят по чуруликане на линията на проблемите със сигурността, които изпитват уебсайтове.
В допълнение, всеки зловреден софтуер, който се инжектира в сайта ви - или чрез несанизирано качване на файлове или с някакъв JavaScript, вмъкнат чрез уязвимост на кръстосан скрипт (XSS) - се почиства от Sucuri.
Ако това не е достатъчно, можете да заплатите допълнително за Sucuri да добави защитна стена на уеб приложение (WAF) към вашия уебсайт, като спира атаките на браузъра на вратата. Те работят, като изследват всички данни, предадени на вашия уебсайт, и изхвърлят онези, които са уж злонамерени по своята същност.
Друга добавена услуга, предлагана от Sucuri, е автоматичното архивиране извън сайта. Обектът на архивиране на WordPress е мамут и такъв, който е бил покрити по дължина Как да направите автоматизирано отдалечено архивиране на вашия блог на WordpressТози уикенд уебсайтът ми се хакна за първи път. Реших, че това е събитие, което трябва да се случи в крайна сметка, но все още се чувствах малко шокиран. Имах късмет, че ... Прочетете още в миналото от моите колеги.
Един от по-убедителните аргументи за позволяването на Sucuri да обработва вашите резервни копия извън сайта е неговата ниска цена. Пет долара гарантира, че вашият сайт е сигурно съхраняван на сървърите на Sucuri. Не е необходимо да сте абонат на Sucuri, за да използвате резервни копия на Sucuri, а той е агностик на платформата, като единственото изискване е * nix box или Windows машина, работеща с PHP.
Не се заблуждавайте, акцентът на Sucuri е един от сигурността. Всъщност не е всичко толкова важно за наблюдение на работата на приложението ви и изпълнява само една задача. Въпреки че тази една задача се изпълнява перфектно и като резултат горещо препоръчвам да проверите този продукт.
Направи го сам
Не се заблуждавайте, ако сте загрижени за сигурността и производителността на вашата инсталация на WordPress, наистина трябва да използвате продукт на трета страна. Те са направени от хора, които наистина знаят своите неща. Те знаят заплахите навън, разбират как да се защитят срещу тях и знаят какво прави вашия сайт да работи по-бавно от пенсионер, покрит с меласа.
Ако обаче сте абсолютно решени да въведете свое собствено решение за мониторинг на системата, ще ви трябва следните компоненти.
Първият е инструмент за анализ на трафика, шума и дневниците. Те могат да бъдат оставени от външна заплаха или от инсталиран от вас инструмент за запис на ефективността на вашия сайт. На пазара има огромно количество продукти, но нито един не притежава този лак Splunk има.
Тук просто няма дебати. Splunk е по-добър при визуализиране и запитване на трупи, отколкото всички други продукти на пазара и го препоръчвам от сърце. Първо го използвах, когато беше в много ранно, бета състояние. Оттогава тя процъфтява и е мощен инструмент в арсенала на всеки системен администратор.
След това ще трябва да започнете профилиране на заявлението си. Това означава да събирате огромни количества информация, за да видите как се представя и има само един конкретен кон в тази надпревара, за който си струва да говорим. Ти знаеш кой. Нова реликва.
Тези момчета избухнаха на сцената само преди няколко години, привличайки огромно внимание за това, че са лесни за разполагане и събират огромни количества статистически данни за ефективността. О, и за раздаването на повече тениски, отколкото талисман на баскетболна игра.
Аз като разработчик имам доста меко място за New Relic и сам съм ги използвал в уебсайтове, които съм разработил. Намирам, че статистиката им е точна и плъгинът, използван за записването им, е сравнително лек и лесен за разгръщане. Има дори специфична документация за WordPress!
Последният инструмент в нашия арсенал е WAF. Това служи за две цели. Първият ви позволява да знаете дали някой прави снимки на гърнета на вашия уебсайт. Второто (както вече обсъждахме) е да смекчи атаките срещу вашия сайт.
Ако управлявате Apache, трябва да говорим само за един WAF. Нарича се Mod Security. Той е създаден от момчетата в Trustwave Сигурност и е безплатна. Наистина не можеш да победиш това.
Обединяването им в някаква форма на съгласуван пакет би представлявало само по себе си статия. Това наистина е задача на мамут и тази, която може да има повече проблеми, отколкото си струва. Особено, когато вземете предвид, че на пазара има пакети като Auditor и Sucuri. В резултат на това няма да навлизам в твърде много подробности. Просто знайте, че е възможно
заключение
В тази статия разгледахме два продукта убийци за запазване на следите във вашата инсталация на WordPress, както и как можете да прехвърлите вашето собствено решение. С все повече и повече компании, които използват WordPress за управление на онлайн присъствието си, значението за гарантиране на сигурността на уебсайт никога не е било по-голямо. И със сайтове, които изискват очни ябълки, необходимостта да поддържате сайта си бърз и сигурен никога не е била толкова важна.
Ще ми е наистина интересно да чуя вашите мисли по този въпрос. Пусни ми коментар по-долу.
Вземете сигурен, надежден хостинг на WordPress с Bluehost. Регистрирайте се за акаунт само $ 2,95 / месец.
Кредит за снимка: Център за данни (Bob Mical)
Матю Хюз е разработчик на софтуер и писател от Ливърпул, Англия. Рядко се среща без чаша силно черно кафе в ръка и абсолютно обожава своя Macbook Pro и камерата си. Можете да прочетете неговия блог на http://www.matthewhughes.co.uk и го последвайте в Туитър в @matthewhughes.