Chcete dávať pozor na inštaláciu Wordpress? Tu je návod

Musím sa priznať. Som naozaj lenivý.

Mám svoj vlastný osobný blog založený na WordPress, ale napriek tomu, že som tvrdený geek, nemám ho hostiteľa. Nemôžem sa obťažovať problémami s neustálym zabezpečovaním toho, aby moja schránka nebola prelomená zlým internetovým hackerom. Nechcem sa zabaliť s tediom zabezpečiť, aby moje VPS Dozviete sa všetko o virtuálnych súkromných serveroch za dve minútyS toľkými skvelými webhostingovými službami, ktoré sú k dispozícii, je ťažké sa rozhodnúť, ktorý z nich vyhovuje vašim potrebám. Čítaj viac je upravená do nekonečna a je nakonfigurovaná do jedného centimetra od svojho života tak, aby odradila každého podnikavého darcu.

Ale to som ja. A čo ty?

Bez ohľadu na to, ako sa rozhodnete spravovať svoju inštaláciu WordPress, vkladám vám peniaze týkajúce sa bezpečnosti. Rád uvažujem o riešení bezpečnostných hrozieb v troch etapách.

Potrebujete spoľahlivý a cenovo dostupný hosting pre svoje stránky WordPress? Zaregistrujte sa v službe Bluehost od 2,95 dolárov mesačne.

Etapy bezpečnosti

Prvý prichádza pred útokom. Tu sa snažíte zaistiť, aby sa každý, kto by sa snažil ohroziť posvätné hranice vášho webu, stretol s tvrdým odporom a obrovským množstvom frustrácie.

Ďalej musíte skontrolovať, či vaše stránky neboli napadnuté. Budete potrebovať neustálu ostražitosť, ostražité oko a schopnosť Sherlocka všímať si anomálie pri fungovaní vášho webu.

Nakoniec, keď zasiahne katastrofa, budete musieť vedieť, ako s ňou zaobchádzať rozhodne a sebavedome. Budeme o tom hovoriť budúci mesiac, ale najprv chcem hovoriť o druhom kroku. Monitorovanie.

Monitorovanie WordPress

Hollywood urobil neuveriteľnú prácu, keď vykreslil počítačového hackera ako temného jednotlivca a zničil digitálne tiene. Realita nemôže byť ďalej od pravdy.

Áno, pravdepodobne niekde pracujú zo slabo osvetlených miestností, dám vám to. Ale ticho? Nah. Sú nahlas, človeče.

Každý útok na každú schránku a každú webovú stránku niekde zanecháva stopy v protokolovom súbore. Spôsob, akým chápeme typy hrozieb, ktorým čelíme (alebo ktorým čelíme), je pohľadom na protokoly.

Nerobte žiadnu chybu, manuálne prezeranie systémových denníkov je šialene zdĺhavá práca. Som si celkom istý, že boli aj romány Dan Browna, ktoré sú menej únavné ako to - a to niečo hovorí. Okrem toho je to úloha, ktorá vyžaduje šialené množstvo presnosti a pozornosť k detailom. Nie je to niečo, čo by som vám odporúčal robiť ručne.

Nie je to len bezpečnosť, ktorú musíme pozorne sledovať. Mimoriadne dôležité je aj monitorovanie internetu výkon stránky Wordpress je pomalý - s týmto 10 krokmi niečo s tým urobte Čítaj viac .

Zabezpečenie toho, aby vaše stránky boli citlivé a spoľahlivé, je rozhodujúce pre zabezpečenie neustáleho zapojenia vašich čitateľov. Podľa obrie metrika webových stránok KissMetrics, oneskorenie načítania za 1 sekundu môže mať za následok pokles interakcie používateľov o sedem percent, zatiaľ čo 40 percent všetkých používateľov internetu tvrdí, že opustia web, ak načítanie trvá dlhšie ako tri sekundy. Pochopenie toho, ako vaše webové stránky fungujú, je dôležitým nástrojom v boji o zabezpečenie toho, aby bol váš web rýchly a pohotový.

Našťastie existuje niekoľko produktov, ktoré uľahčujú túto úlohu. A sú na tom asi lepšie ako vy. Tu sú dve. A ak budete trvať na tom, poviem vám, ako si môžete nasadiť vlastný monitorovací systém WordPress s funkciou kick-ass.

Audítor

Audítor (249 USD) je doplnok s licenciou GPL, ktorý umožňuje správcom WordPress monitorovať bezpečnosť stránok, výkon a produktivitu používateľov.

S používaním tohto doplnku mám skúsenosti z prvej ruky, pretože som mal to šťastie, že som mal možnosť vyskúšať si ho pred pár rokmi, keď vyšlo prvýkrát. Moje prvé dojmy boli skutočne pozitívne; odvtedy urobil skoky a hranice.

Chlapci za tým sú Interconnect / IT, ktorí tiež robia veľa konzultácií a školení WordPress vo Veľkej Británii, ako aj vytváranie užitočných doplnkov a používateľských príručiek. Majú celkom rodokmeň na robenie zaujímavých vecí vo svete vývoja WordPressu.

Zníženie hotovosti pre audítora vám nezíska iba kópiu kódu, ale aj nejakú hviezdnu dokumentáciu a celoživotnú podporu. Jo, a je to užívateľsky rozšíriteľný, aj keď budete musieť docela dobre ovládať programovací jazyk PHP.

Čo to vlastne robí? Skvelá otázka.

Najprv skontroluje neobvyklú aktivitu pri inštalácii programu WordPress. Ak ste mali v krátkom čase neúmerné množstvo neúspešných prihlásení alebo ak obskurný používateľ naraz narazil na zvýšenie povolení do stratosféry, budete to vedieť.

Po druhé, môžete vytvoriť vlastné upozornenia. Ak vyvíjate nový doplnok a chcete sledovať jeho správanie, môžete mu povoliť posielanie správ audítorovi. Toto je rozhodujúce pre vývojárov WordPress, ktorí chcú vidieť globálnejší obraz o tom, ako ich doplnok funguje.

Tieto vlastné denníky sú rozšíriteľné a vývojári ich môžu použiť na registráciu toho, čo si ich srdce želá. Jedným z takýchto prípadov použitia je sledovanie počtu sledovateľov Twitteru v časopise písaného personálu.

Audítor je teraz k dispozícii, hoci sa objavuje nové vydanie softvérového balíka, ktoré prináša množstvo nových vylepšení a dodatkov a licenčnú schému, ktorá znižuje náklady na získanie.

Šučur

Šučur je jedným z mierne populárnejších proaktívnych Doplnky zabezpečenia WordPress Získajte pre svoju webovú stránku WordPress zabezpečenie zabezpečenia pomocou nástroja WebsiteDefenderS rastúcou popularitou Wordpressu neboli nikdy problémy s bezpečnosťou nikdy natoľko relevantné - ako by si však mohol ostať začiatočník alebo priemerný užívateľ na vrchole vecí, len aby bol neustále aktualizovaný? Mohli by ste ... Čítaj viac na trhu práve teraz. Na rozdiel od audítora, ktorého cena je paušálna, sa Sucuri účtuje ročne. Náklady sa zvyšujú s počtom nasadení Sucuri, ktoré používate.

Poďme hovoriť o tom, čo Sucuri prináša na stôl. Možno ste uhádli, že prichádza s nejakým monitorovaním udalostí, a dá vám vedieť, kedy sa situácia zhoršila. Okrem toho vás spoločnosť Securi môže upozorniť na možné problémy prostredníctvom SMS, e-mailu a Twitteru. V ideálnom prípade by však prvý bol priamym odkazom. Bolo by dosť trápne, keby obchádzali litaniu bezpečnostných problémov trápiacich webové stránky.

Okrem toho akýkoľvek malware, ktorý sa vstrekuje na vaše stránky - buď prostredníctvom neanitizovaného odovzdania súboru alebo s nejakým JavaScript vloženým prostredníctvom zraniteľnosti skriptovania medzi servermi (XSS) - vyčistí ho Šučur.

Ak to nestačí, môžete za Sucuri zaplatiť viac, ak na svoj web pridáte Firewall webovej aplikácie (WAF), čím zastavíte útoky založené na prehliadači pri dverách. Tieto práce skúmajú všetky vstupy odovzdané na vaše webové stránky a zahodia tie, ktoré majú zdanlivo škodlivú povahu.

Ďalšou doplnkovou službou, ktorú ponúka Sucuri, sú automatické zálohy mimo pracoviska. Predmet zálohovania WordPress je mamut a taký, ktorý bol na ktoré sa vzťahuje dĺžka Ako urobiť automatizované vzdialené zálohovanie vášho bloguTento víkend boli moje webové stránky prvýkrát hacknuté. Myslel som, že to bola udalosť, ktorá sa nakoniec musí stať, ale stále som bol trochu šokovaný. Mal som šťastie, že som ... Čítaj viac v minulosti moji kolegovia.

Jedným z presvedčivejších argumentov pre to, aby spoločnosť Sucuri zvládla vaše zálohy mimo lokality, je nízka cena. Päť babiek zaisťuje, že vaše stránky sú bezpečne uložené na serveroch Sucuri. Ak chcete používať zálohy Sucuri, nemusíte byť predplatiteľom služby Sucuri. Je to platforma agnostická, pričom jedinou požiadavkou je * nix box alebo stroj Windows so systémom PHP.

Nerobte chybu, dôraz Sucuri je jedným z bezpečnostných prvkov. Monitorovanie výkonnosti vašej aplikácie nie je naozaj také vynikajúce a vykonáva iba jednu úlohu. Táto úloha sa síce dokonale vykonáva, a preto dôrazne odporúčam vyskúšať si tento produkt.

Urob si sám

Nerobte chybu, ak máte obavy o bezpečnosť a výkonnosť vašej inštalácie WordPress, mali by ste skutočne používať produkt tretej strany. Tvoria ich ľudia, ktorí skutočne poznajú svoje veci. Vedia, že tam sú hrozby, chápu, ako sa proti nim brániť, a vedia, čo spôsobuje, že vaše stránky bežia pomalšie ako dôchodcovia pokrytí melasou.

Ak ste však odhodlaní nasadiť vlastné riešenie na monitorovanie systému, budete potrebovať nasledujúce komponenty.

Prvým je nástroj na analýzu premávky, hluku a protokolov. Môže ich zanechať vonkajšia hrozba alebo nástroj, ktorý ste nainštalovali na zaznamenanie výkonnosti vašich stránok. Na trhu existuje veľké množstvo výrobkov, ale žiadny z nich nemá poľské Splunk má.

Nie je tu žiadna rozprava. Splunk má lepšiu vizualizáciu a dopytovanie protokolov než akékoľvek iné produkty na trhu, a preto to vrelo odporúčam. Prvýkrát som ho použil, keď bol vo veľmi skorom stave beta. Odvtedy prekvital a je mocným nástrojom v arzenáli správcu systému.

Ďalej budete musieť začať profilovať svoju žiadosť. Znamená to zhromaždiť obrovské množstvo informácií, aby sme zistili, ako sa darí, a v tejto rase je len jeden konkrétny kôň, ktorý stojí za to hovoriť. Ty vieš kto. Nové pamiatky.

Títo chlapci sa dostali na scénu pred niekoľkými rokmi, získali obrovské množstvo pozornosti za to, že sa dajú ľahko nasadiť, a zhromažďujú obrovské množstvo štatistík výkonnosti. Jo, a za rozdávanie viac tričiek ako maskota pri basketbalovej hre.

Ako sám vývojár mám pre agentúru New Relic dosť mäkké miesto a sám ich používam na webových stránkach, ktoré som vyvinul. Zistil som, že ich štatistiky sú presné a doplnok používaný na ich zaznamenanie je pomerne ľahký a ľahko nasaditeľný. K dispozícii je dokonca aj špecifická dokumentácia WordPress!

Posledným nástrojom v našom arzenáli je WAF. Slúži to na dva účely. Prvý vám dá vedieť, či niekto na vašom webe robil pot-shoty. Druhou (ako sme už diskutovali) je zmiernenie útokov na vaše stránky.

Ak prevádzkujete Apache, musíme hovoriť iba o jednom WAF. Hovorí sa tomu Mod Security. Tvoria ho chlapci na adrese Trustwave Bezpečnosť a je zadarmo. Naozaj to nemôžete poraziť.

Ich vzájomné kombinovanie do určitej formy koherentného balíka by samo osebe predstavovalo článok. Je to naozaj mamutská úloha a tá, ktorá môže mať väčšie problémy, ako sa oplatí. Najmä ak si uvedomíte, že na trhu existujú balíčky ako Auditor a Sucuri. V dôsledku toho sa nebudem zaoberať príliš mnohými podrobnosťami. Len viem, že je to možné.

záver

V tomto článku sme sa venovali dvom zabijáckym produktom, ktoré sledujú vašu inštaláciu WordPress, ako aj to, ako môžete rozšíriť svoje vlastné riešenie. S rastúcim počtom spoločností, ktoré používajú WordPress na správu svojej online prítomnosti, nikdy nebol väčší význam zabezpečenia bezpečnosti webových stránok. A vďaka webovým stránkam hľadajúcim očné bulvy nebola nikdy potrebná taká rýchlosť a bezpečnosť vašich stránok.

Naozaj by som chcel počuť vaše myšlienky na túto tému. Dajte mi komentár nižšie.

Získajte bezpečný a spoľahlivý hosting WordPress pomocou služby Bluehost. Zaregistrujte sa na účet iba 2,95 dolárov mesačne.

Fotografický kredit: Dátové centrum (Bob Mical)