Я хотел бы в кое-чем признаться. Я действительно ленивый.
У меня есть свой личный блог на основе WordPress, но - несмотря на то, что я закаленный - я не принимаю его самостоятельно. Меня не беспокоит необходимость постоянно следить за тем, чтобы мой ящик не был взломан злым интернет-хакером. Я не хочу увязнуть в скуке убедившись, что мой VPS Узнайте все о виртуальных частных серверах за две минутыИмея так много отличных услуг веб-хостинга, трудно выбрать правильный, соответствующий вашим потребностям. Читать далее исправлен до бесконечности и настроен в пределах дюйма своей жизни, чтобы удержать любого предприимчивого злоумышленника.
Но это я. А как насчет вас?
Независимо от того, как вы решите управлять установкой WordPress, я бы положил деньги на то, чтобы вы беспокоились о безопасности. Мне нравится думать об угрозах безопасности с точки зрения трех этапов.
Нужен надежный и доступный хостинг для вашего сайта WordPress? Зарегистрируйтесь в Bluehost от $ 2.95 / месяц.
Этапы безопасности
Первый приходит перед атакой. Здесь вы пытаетесь добиться того, чтобы любой, кто попытается скомпрометировать священные рамки вашего сайта, встретил жесткое сопротивление и огромное количество разочарований.
Затем вам нужно будет убедиться, что ваш сайт не был взломан. Вам понадобится постоянная бдительность, внимательный взгляд и способность в стиле Шерлока замечать аномалии в работе вашего сайта.
Наконец, когда наступит бедствие, вам нужно будет знать, как справиться с ним решительно и уверенно. Мы поговорим об этом в следующем месяце, но сначала я хочу поговорить о втором шаге. Мониторинг.
Мониторинг WordPress
Голливуд проделал невероятную работу, изображая компьютерного хакера как скрытую личность, разрушая цифровые тени. Реальность не может быть дальше от истины.
Да, они, вероятно, работают где-то в плохо освещенных комнатах, я дам вам это. Но тихо? Неа. Они громкие, чувак.
Каждая атака на каждый ящик и каждый веб-сайт оставляет где-то след в лог-файле. То, как мы понимаем типы угроз, с которыми мы сталкиваемся (или сталкивались), заключается в просмотре журналов.
Не заблуждайтесь, ручной просмотр системных журналов - безумно утомительная работа. Я почти уверен, что были романы Дэна Брауна, которые менее утомительны, чем это - и это говорит о чем-то. Кроме того, это задача, которая требует безумной точности и внимания к деталям. Это не то, что я рекомендую вам делать вручную.
Надо не только следить за безопасностью, но и следить за ней. Также крайне важным является мониторинг производительность сайта Wordpress медленный - сделайте что-нибудь с этим с этими 10 шагами Читать далее .
Обеспечение того, чтобы ваш сайт был отзывчивым и надежным, имеет решающее значение для обеспечения постоянного вовлечения ваших читателей. В соответствии с веб-сайт гиганта метрик KissMetricsзадержка загрузки в 1 секунду может привести к снижению вовлеченности пользователей на семь процентов, в то время как 40 процентов всех пользователей Интернета говорят, что они покинут веб-сайт, если для его загрузки потребуется более трех секунд. Понимание того, как работает ваш сайт, является жизненно важным инструментом в борьбе за то, чтобы ваш сайт был быстрым и отзывчивым.
К счастью, есть некоторые продукты, которые значительно облегчают эту задачу. И они, вероятно, лучше в этом, чем вы. Вот два из них. И если вы настаиваете, я расскажу вам, как вы можете использовать свою собственную систему мониторинга WordPress.
Аудитор
Auditor ($ 249) - это лицензионный подключаемый модуль под GPL, который позволяет администраторам WordPress контролировать безопасность сайта, производительность и производительность пользователей.
Я получил из первых рук опыт использования этого плагина, так как мне посчастливилось получить возможность протестировать его пару лет назад, когда он только появился. Мои первые впечатления были действительно положительными; с тех пор это сделало скачки.
Ребята за этим стоят Interconnect / ITОн также занимается консультированием и обучением WordPress в Великобритании, а также создает несколько полезных плагинов и руководств для пользователей. У них достаточно родословная для того, чтобы делать интересные вещи в мире разработки WordPress.
Сберегая деньги для Аудитора, вы получите не только копию кода, но и некоторую звездную документацию и пожизненную поддержку. Да, и это расширяемый пользователем, хотя вам нужно быть очень удобным с языком программирования PHP.
Но что это на самом деле делает? Отличный вопрос
Во-первых, он проверяет необычную активность в вашей установке WordPress. Если у вас было слишком много неудачных входов в систему за короткий промежуток времени или если малоизвестный пользователь внезапно увидел, что его разрешения повышены до уровня стратосферы, вы будете знать.
Во-вторых, вы можете создавать собственные оповещения. Если вы разрабатываете новый плагин и хотите наблюдать за его поведением, вы можете разрешить ему отправлять сообщения аудитору. Это очень важно для разработчиков WordPress, которые хотят увидеть более глобальную картину того, как работает их плагин.
Эти пользовательские журналы расширяемы и могут использоваться разработчиками для регистрации того, что они пожелают. Одним из таких вариантов использования для этого является мониторинг количества подписчиков в Twitter со временем.
Аудитор доступен уже сейчас, хотя вырисовывается новый выпуск пакета программного обеспечения, который приносит множество новых улучшений и дополнений, а также схему лицензирования, которая снижает стоимость приобретения.
Sucuri
Sucuri является одним из чуть более популярных проактивных Плагины безопасности WordPress Получите макияж безопасности для вашего сайта WordPress с WebsiteDefenderС ростом популярности WordPress проблемы с безопасностью никогда не были более актуальными, но кроме того, чтобы просто быть в курсе, как новичок или пользователь среднего уровня может оставаться в курсе событий? Вы бы даже ... Читать далее на рынке прямо сейчас. В отличие от Аудитора, который оценивается по фиксированной ставке, Sucuri взимает плату ежегодно. Стоимость увеличивается с увеличением количества развертываний Sucuri, которые вы используете.
Давайте поговорим о том, что Sucuri приносит на стол. Вы, возможно, догадались, что это идет с некоторым мониторингом событий, сообщая, когда что-то пошло не так. Кроме того, Securi может также предупредить вас о потенциальных проблемах с помощью SMS, электронной почты и Twitter. Хотя в идеале первое было бы прямым сообщением. Было бы довольно неловко, если бы они обменивались сообщениями о проблемах безопасности, которыми страдают веб-сайты.
Кроме того, любое вредоносное ПО, внедряемое на ваш сайт - либо через неанализованную загрузку файлов. или с некоторым JavaScript, вставленным через уязвимость межсайтового скриптинга (XSS) - очищается Sucuri.
Если этого недостаточно, вы можете доплатить Sucuri за добавление брандмауэра веб-приложений (WAF) на свой веб-сайт, прекратив атаки на браузер у дверей. Они работают, проверяя все входные данные, передаваемые на ваш сайт, и отбрасывая те, которые якобы являются вредоносными по своей природе.
Еще одна дополнительная услуга, предлагаемая Sucuri, - это автоматическое резервное копирование за пределы сайта. Тема резервного копирования WordPress - гигантская, и она была покрыты в длину Как сделать автоматическое удаленное резервное копирование вашего блога WordpressВ эти выходные мой сайт был взломан впервые. Я подумал, что это событие должно было произойти в конце концов, но я все еще был немного шокирован. Мне повезло, что я ... Читать далее в прошлом мои коллеги.
Одним из наиболее убедительных аргументов в пользу того, что Sucuri может обрабатывать резервные копии за пределами сайта, является его низкая цена. Пять баксов гарантируют, что ваш сайт надежно хранится на серверах Sucuri. Вам не нужно быть подписчиком Sucuri, чтобы использовать резервные копии Sucuri, и он не зависит от платформы, единственным требованием является * nix box или машина Windows с PHP.
Не заблуждайтесь, акцент Sucuri - безопасность. На самом деле он не так хорош в мониторинге работы вашего приложения и выполняет только одну задачу. Хотя это одно задание выполнено отлично, и в результате я настоятельно рекомендую вам проверить этот продукт.
Сделай сам
Не заблуждайтесь, если вы беспокоитесь о безопасности и производительности вашей установки WordPress, вам действительно следует использовать сторонний продукт. Они сделаны людьми, которые действительно знают свое дело. Они знают об угрозах, понимают, как защититься от них, и знают, что заставляет ваш сайт работать медленнее, чем пенсионер, покрытый патокой.
Тем не менее, если вы абсолютно уверены, что хотите развернуть собственное решение для мониторинга системы, вам понадобятся следующие компоненты.
Первый - это инструмент для анализа трафика, шума и логов. Они могут быть оставлены внешней угрозой или с помощью установленного вами инструмента для записи работы вашего сайта. На рынке есть огромное количество продуктов, но ни один не имеет Splunk есть.
Здесь просто нет споров. Splunk лучше визуализирует и запрашивает журналы, чем любые другие продукты на рынке, и я рекомендую это от всей души. Я впервые использовал его, когда он был в очень раннем, бета-состоянии. С тех пор он процветал и является мощным инструментом в арсенале любого системного администратора.
Затем вам нужно будет начать профилирование вашего приложения. Это означает сбор огромного количества информации, чтобы увидеть, как она работает, и есть только одна конкретная лошадь в этой гонке, о которой стоит поговорить. Вы знаете, кто. Новая Реликвия.
Эти парни ворвались на сцену всего несколько лет назад, получив огромное внимание за простоту развертывания и собрав огромное количество статистики производительности. Да, и за то, что ты отдал больше футболок, чем талисман на баскетбольном матче.
Как сам разработчик, я получил довольно слабое место для New Relic и использовал их сам на сайтах, которые я разработал. Я считаю, что их статистика точна, а плагин, используемый для их записи, относительно легкий и простой в развертывании. Есть даже специальная документация для WordPress!
Последний инструмент в нашем арсенале - WAF. Это служит двум целям. Первый позволяет узнать, делал ли кто-нибудь пот-шоты на вашем сайте. Второе (как мы уже обсуждали) - это защита от атак на ваш сайт.
Если вы используете Apache, нам нужен только один WAF. Это называется Мод безопасности. Он создан парнями из Trustwave Безопасность, и это бесплатно. Вы действительно не можете победить это.
Объединение их воедино в некую форму связного пакета само по себе стало бы стать статьей. Это действительно гигантская задача, которая может доставить больше хлопот, чем стоит. Особенно, если учесть, что на рынке есть такие пакеты, как Auditor и Sucuri. В результате я не буду вдаваться в подробности. Просто знайте, что это возможно.
Вывод
В этой статье мы рассмотрели два продукта-убийцы, которые следят за вашей установкой WordPress, а также как вы можете создать собственное решение. Поскольку все больше компаний используют WordPress для управления своим присутствием в сети, важность обеспечения безопасности веб-сайта никогда не была выше. А с сайтами, требующими глазных яблок, никогда не было так важно, чтобы ваш сайт был быстрым и безопасным.
Мне было бы очень интересно услышать ваши мысли на эту тему. Оставьте мне комментарий ниже.
Получите безопасный, надежный хостинг WordPress с Bluehost. Зарегистрировать аккаунт всего за $ 2,95 / месяц.
Кредит Фотографии: Центр обработки данных (Боб Микаль)
Мэтью Хьюз - разработчик программного обеспечения и писатель из Ливерпуля, Англия. Его редко можно найти без чашки крепкого черного кофе в руке, и он абсолютно обожает свой Macbook Pro и свою камеру. Вы можете прочитать его блог на http://www.matthewhughes.co.uk и следуйте за ним в твиттере на @matthewhughes.
