Хотите внимательно следить за установкой WordPress? Вот как

Я хотел бы в кое-чем признаться. Я очень ленивый.

У меня есть свой личный блог на основе WordPress, но - несмотря на то, что я закаленный - я не веду себя самостоятельно. Я не могу быть обеспокоен тем, чтобы постоянно заботиться о том, чтобы мой ящик не был взломан злым интернет-хакером. Я не хочу зацикливаться на том, что мой VPS узнает все о виртуальных частных серверах за две минуты Узнает все о виртуальных частных серверах за две минуты С таким большим количеством отличных услуг веб-хостинга трудно выбрать правильное один, чтобы удовлетворить ваши потребности. исправлен до бесконечности и настроен в пределах дюйма своей жизни, чтобы удержать любого предприимчивого злоумышленника.

Но это я. как насчет тебя?

Независимо от того, как вы решите управлять установкой WordPress, я бы положил деньги на то, чтобы вы беспокоились о безопасности. Мне нравится думать о борьбе с угрозами безопасности с точки зрения трех этапов.

Нужен надежный и доступный хостинг для вашего сайта WordPress? Зарегистрируйтесь в Bluehost от $ 2.95 / месяц.

Этапы безопасности

Первый приходит перед атакой. Здесь вы пытаетесь добиться того, чтобы любой, кто попытается скомпрометировать священные рамки вашего сайта, встретил жесткое сопротивление и огромное количество разочарований..

Затем вам нужно будет убедиться, что ваш сайт не был взломан. Вам понадобится постоянная бдительность, внимательный взгляд и способность в стиле Шерлока замечать аномалии в работе вашего сайта..

Наконец, когда случится катастрофа, вам необходимо знать, как с ней справиться решительно и уверенно. Мы поговорим об этом в следующем месяце, но сначала я хочу поговорить о втором шаге. мониторинг.

Мониторинг WordPress

Голливуд проделал невероятную работу, изображая компьютерного хакера как скрытую личность, разрушая цифровые тени. Реальность не может быть дальше от истины.

Да, они, вероятно, работают где-то в плохо освещенных комнатах, я дам тебе это. Но тихо? Неа. Они громко, чувак.

Каждая атака на каждый ящик и каждый веб-сайт оставляет след в лог-файле. То, как мы понимаем типы угроз, с которыми мы сталкиваемся (или сталкивались), заключается в просмотре журналов.

Не заблуждайтесь, ручной просмотр системных журналов - безумно утомительная работа. Я почти уверен, что были романы Дэна Брауна, которые менее утомительны, чем это - и это что-то говорит. Кроме того, это задача, которая требует безумной точности и внимания к деталям. Это не то, что я рекомендую вам делать вручную.

Надо не только следить за безопасностью, но и следить за ней. Также крайне важно следить за производительностью сайта Wordpress медленно - сделать что-то об этом с этими 10 шагами Wordpress медленно - сделать что-то об этом с этими 10 шагами .

Обеспечение того, чтобы ваш сайт был отзывчивым и надежным, имеет решающее значение для обеспечения постоянного вовлечения ваших читателей. Согласно гиганту метрик веб-сайта KissMetrics, задержка загрузки в 1 секунду может привести к снижению вовлеченности пользователей на семь процентов, в то время как 40 процентов всех пользователей Интернета говорят, что они покинут сайт, если для его загрузки потребуется более трех секунд. Понимание того, как работает ваш сайт, является жизненно важным инструментом в борьбе за то, чтобы ваш сайт был быстрым и отзывчивым.

К счастью, есть некоторые продукты, которые значительно облегчают эту задачу. И они, вероятно, лучше, чем вы. Вот два из них. И если вы настаиваете, я расскажу вам, как вы можете свернуть свою собственную офигенную систему мониторинга WordPress.

Аудитор

Auditor ($ 249) - это лицензионный подключаемый модуль под GPL, который позволяет администраторам WordPress контролировать безопасность сайта, производительность и производительность пользователей..

Я получил из первых рук опыт использования этого плагина, так как мне посчастливилось получить возможность протестировать его пару лет назад, когда он только появился. Мои первые впечатления были действительно положительными; с тех пор он сделал скачки.

За ним стоят Interconnect / IT, которые также проводят консультации и тренинги по WordPress в Великобритании, а также создают несколько полезных плагинов и руководств для пользователей. У них достаточно родословной для того, чтобы делать интересные вещи в мире разработки WordPress..

Сберегая деньги для Auditor, вы получите не только копию кода, но и звездную документацию и пожизненную поддержку. Да, и это расширяемый пользователем, хотя вам нужно быть очень удобным с языком программирования PHP.

Но что это на самом деле делает? Большой вопрос.

Во-первых, он проверяет необычную активность в вашей установке WordPress. Если за короткий промежуток времени у вас было чрезмерное количество неудачных входов в систему или неясный пользователь внезапно увидел, что его разрешения повышены до уровня стратосферы, вы будете знать,.

Во-вторых, вы можете создавать собственные оповещения. Если вы разрабатываете новый плагин и хотите наблюдать за его поведением, вы можете разрешить ему отправлять сообщения аудитору. Это очень важно для разработчиков WordPress, которые хотят увидеть более глобальную картину того, как работает их плагин..

Эти пользовательские журналы расширяемы и могут использоваться разработчиками для регистрации того, что они пожелают. Одним из таких вариантов использования для этого является мониторинг количества подписчиков в Твиттере со временем..

Аудитор доступен уже сейчас, хотя вырисовывается новый выпуск пакета программного обеспечения, который приносит множество новых улучшений и дополнений, а также схему лицензирования, которая снижает стоимость приобретения..

Sucuri

Sucuri - один из чуть более популярных проактивных подключаемых модулей безопасности WordPress. Получите модернизацию безопасности для вашего сайта WordPress с помощью WebsiteDefender Получите модернизацию безопасности для вашего сайта WordPress с помощью WebsiteDefender С ростом популярности Wordpress проблемы безопасности никогда не были более актуальными, но кроме простого постоянно обновляться, как новичок или пользователь среднего уровня может оставаться в курсе событий? Вы бы даже ... на рынке прямо сейчас. В отличие от аудитора, который оценивается по фиксированной ставке, Sucuri взимает плату ежегодно. Стоимость увеличивается с увеличением количества развертываний Sucuri, которые вы используете..

Давайте поговорим о том, что Sucuri приносит на стол. Вы, возможно, догадались, что это идет с некоторым мониторингом событий, сообщая, когда что-то пошло не так. Кроме того, Securi может также предупредить вас о потенциальных проблемах через SMS, электронную почту и Twitter. Хотя в идеале первое было бы прямым сообщением. Было бы довольно неловко, если бы они обменивались сообщениями о проблемах безопасности, преследующих сайты.

Кроме того, Sucuri очищает любую вредоносную программу, внедряемую в ваш сайт - либо посредством неанализованной загрузки файлов, либо с использованием некоторого JavaScript-кода, вставленного с помощью уязвимости межсайтового скриптинга (XSS)..

Если этого недостаточно, вы можете доплатить Sucuri за добавление брандмауэра веб-приложений (WAF) на свой веб-сайт, прекратив атаки на браузер у дверей. Они работают, проверяя все входные данные, передаваемые на ваш сайт, и отбрасывая те, которые якобы являются вредоносными по своей природе..

Еще одним дополнительным сервисом, предлагаемым Sucuri, является автоматическое резервное копирование вне сайта. Тема резервного копирования WordPress - гигантская, и она подробно освещена. Как сделать автоматическое удаленное резервное копирование вашего блога Wordpress Как сделать автоматическое удаленное резервное копирование вашего блога Wordpress В эти выходные мой сайт был взломан для самый первый раз. Я подумал, что это событие должно было произойти в конце концов, но я все еще был немного шокирован. Мне повезло, что я ... в прошлом мои коллеги.

Одним из наиболее убедительных аргументов в пользу того, что Sucuri может обрабатывать резервные копии за пределами сайта, является его низкая цена. Пять баксов гарантируют, что ваш сайт надежно хранится на серверах Sucuri. Вам не нужно быть подписчиком Sucuri, чтобы использовать резервные копии Sucuri, и он не зависит от платформы, единственное требование - * nix box или машина Windows с PHP.

Не заблуждайтесь, акцент Sucuri - безопасность. На самом деле он не так хорош в мониторинге работы вашего приложения и выполняет только одну задачу. Хотя это одно задание выполнено отлично, и в результате я настоятельно рекомендую вам проверить этот продукт.

Сделай это сам

Не заблуждайтесь, если вы беспокоитесь о безопасности и производительности вашей установки WordPress, вам действительно следует использовать сторонний продукт. Они сделаны людьми, которые действительно знают свое дело. Они знают об угрозах, понимают, как защититься от них, и знают, что заставляет ваш сайт работать медленнее, чем пенсионер, покрытый патокой.

Тем не менее, если вы абсолютно уверены, что хотите создать собственное решение для мониторинга системы, вам потребуются следующие компоненты..

Первый - это инструмент для анализа трафика, шума и логов. Они могут быть оставлены внешней угрозой или с помощью установленного вами инструмента для записи работы вашего сайта. На рынке есть огромное количество продуктов, но ни у одного нет того блеска, который есть у Splunk..

Здесь просто нет споров. Splunk лучше визуализирует и запрашивает журналы, чем любые другие продукты на рынке, и я рекомендую это от всей души. Я впервые использовал его, когда он был в очень раннем, бета-состоянии. С тех пор он процветал и является мощным инструментом в арсенале любого системного администратора..

Затем вам нужно будет начать профилирование вашего приложения. Это означает сбор огромного количества информации, чтобы увидеть, как она работает, и есть только одна конкретная лошадь в этой гонке, о которой стоит поговорить. Вы знаете, кто. Новая Реликвия.

Эти парни ворвались на сцену всего несколько лет назад, получив огромное внимание за простоту развертывания и сбор огромных статистических данных о производительности. Да, и за то, что ты раздал больше футболок, чем талисман на баскетбольном матче.

Как сам разработчик, у меня есть довольно слабое место для New Relic, и я сам использовал их на сайтах, которые я разработал. Я считаю, что их статистика точна, а плагин, используемый для их записи, относительно легкий и простой в развертывании. Есть даже специальная документация для WordPress!

Последний инструмент в нашем арсенале - WAF. Это служит двум целям. Первый позволяет узнать, делал ли кто-нибудь пот-шоты на вашем сайте. Второе (как мы уже обсуждали) - это предотвращение атак на ваш сайт..

Если вы используете Apache, нам нужен только один WAF. Это называется Mod Security. Он создан ребятами из Trustwave Security и бесплатен. Вы действительно не можете победить это.

Объединение их воедино в некую форму связного пакета само по себе стало бы стать статьей. Это действительно гигантская задача, и она может доставить больше хлопот, чем стоит. Особенно, если учесть, что на рынке есть такие пакеты, как Auditor и Sucuri. В результате я не буду вдаваться в подробности. Просто знайте, что это возможно.

Заключение

В этой статье мы рассмотрели два продукта-убийцы, которые следят за вашей установкой WordPress, а также как вы можете создать собственное решение. Поскольку все больше компаний используют WordPress для управления своим присутствием в сети, важность обеспечения безопасности веб-сайта никогда не была выше. И с сайтами, требующими глазных яблок, необходимость поддерживать ваш сайт быстрым и безопасным никогда не была настолько важной.

Мне было бы очень интересно услышать ваши мысли на эту тему. Оставьте мне комментарий ниже.

Получите безопасный, надежный хостинг WordPress с Bluehost. Зарегистрируйте учетную запись всего за $ 2,95 / месяц.

Кредит Фотографии: Центр данных (Боб Микаль)