Condividere:
Vuoi mantenere un occhio vigile sulla tua installazione di WordPress? Ecco come
Ho una confessione da fare. Sono davvero pigro.
Ho il mio blog personale basato su WordPress, ma - nonostante sia un geek incallito - non lo faccio da solo. Non posso essere preso la briga di affrontare il fastidio di garantire costantemente che il mio box non sia stato scoppiato da un hacker malevolo su Internet. Non voglio impantanarmi con la noia di garantire che il mio VPS apprenda tutto sui server privati virtuali in due minuti impara tutto sui server privati virtuali in due minuti Con così tanti ottimi servizi di web hosting disponibili, è difficile decidere il giusto uno per soddisfare le tue esigenze. Leggi altro è patchato all'infinito, e configurato entro un pollice della sua vita per scoraggiare qualsiasi miscredente intraprendente.
Ma sono io. E tu?
Indipendentemente da come scegli di gestire l'installazione di WordPress, metterei dei soldi per te che sei preoccupato per la sicurezza. Mi piace pensare di affrontare le minacce alla sicurezza in termini di tre fasi.
Hai bisogno di hosting affidabile e conveniente per il tuo sito WordPress? Iscriviti con Bluehost da $ 2,95 / mese.
Le fasi della sicurezza
Il primo arriva prima di un attacco. Qui, si tenta di garantire che chiunque cerchi di compromettere i confini consacrati del tuo sito web incontra resistenza rigida e immensa frustrazione.
Successivamente, dovrai verificare che il tuo sito non sia stato compromesso. Avrai bisogno di costante vigilanza, di un occhio vigile e di un'abilità in stile Sherlock per notare le anomalie nel funzionamento del tuo sito.
Infine, quando il disastro colpisce, avrai bisogno di sapere come affrontarlo con decisione e sicurezza. Ne parleremo il prossimo mese, ma prima voglio parlare del secondo passo. Monitoraggio.
Monitoraggio di WordPress
Hollywood ha fatto un incredibile lavoro nel ritrarre l'hacker informatico come un individuo oscuro, distruggendo il caos dalle ombre digitali. La realtà non potrebbe essere più lontana dalla verità.
Sì, probabilmente stanno lavorando da stanze scarsamente illuminate da qualche parte, te lo darò. Ma tranquillo? Nah. Sono rumorosi, amico.
Ogni attacco su ogni scatola e ogni sito web lascia una traccia su un file di registro da qualche parte. Il modo in cui comprendiamo i tipi di minacce che affrontiamo (o che abbiamo affrontato) è guardando i registri.
Non commettere errori, guardare manualmente i log di sistema è un lavoro follemente noioso. Sono abbastanza sicuro che ci siano stati romanzi di Dan Brown meno noiosi di questo - e questo sta dicendo qualcosa. Inoltre, è un compito che richiede folle quantità di precisione e attenzione ai dettagli. Non è qualcosa che consiglio di fare a mano.
Non è solo la sicurezza che dobbiamo tenere d'occhio. Importante è anche il monitoraggio delle prestazioni di un sito Wordpress è lento - Fare qualcosa con questi 10 passi Wordpress è lento - Fare qualcosa con questi 10 passi Leggi di più .
Garantire che il tuo sito sia reattivo e affidabile è fondamentale per garantire il coinvolgimento continuo dei tuoi lettori. Secondo il gigante delle metriche del sito web KissMetrics, un ritardo di caricamento di 1 secondo può comportare una diminuzione del coinvolgimento degli utenti del sette percento, mentre il 40 percento di tutti gli utenti di Internet dichiara di voler abbandonare un sito Web se sono necessari più di tre secondi. Capire come funziona il tuo sito web è uno strumento vitale nella battaglia per assicurarsi che il tuo sito sia veloce e reattivo.
Per fortuna, ci sono alcuni prodotti che rendono questo compito molto più facile. E probabilmente sono più bravi di te. Ecco due di loro. E se insisti, ti dirò come si può rotolare il proprio sistema di monitoraggio WordPress kick-ass.
Il revisore dei conti
The Auditor ($ 249) è un plugin con licenza GPL che consente agli amministratori di WordPress di monitorare la sicurezza del sito, le prestazioni e la produttività degli utenti.
Ho esperienza di prima mano con l'utilizzo di questo plugin, dato che ho avuto la fortuna di avere l'opportunità di testarlo un paio di anni fa, quando è uscito. Le mie prime impressioni furono davvero positive; da allora, ha fatto passi da gigante.
I ragazzi dietro di loro sono Interconnect / IT, che fanno anche molte consulenze e corsi di formazione in WordPress nel Regno Unito, oltre a creare alcuni utili plugin e guide per l'utente. Hanno un discreto pedigree per fare cose interessanti nel mondo dello sviluppo di WordPress.
Abbassare il denaro per The Auditor non ti darà solo una copia del codice, ma anche una documentazione stellare e un supporto a vita. Oh, e l'utente è estensibile, anche se avrai bisogno di essere abbastanza a portata di mano con il linguaggio di programmazione PHP.
Ma cosa fa in realtà? Grande domanda.
In primo luogo, controlla attività insolite nell'installazione di WordPress. Se hai avuto una quantità eccessiva di accessi non riusciti in un breve lasso di tempo, o se un utente oscuro ha improvvisamente visto le sue autorizzazioni elevate nella stratosfera, saprai.
In secondo luogo, è possibile creare avvisi personalizzati. Se stai sviluppando un nuovo plug-in e vuoi osservare come si comporta, puoi permetterlo di inviare messaggi a The Auditor. Questo è fondamentale per gli sviluppatori di WordPress che vogliono vedere un'immagine più globale di come funziona il loro plugin.
Questi registri personalizzati sono estensibili e possono essere utilizzati dagli sviluppatori per registrare qualsiasi cosa il loro cuore desideri. Uno di questi casi d'uso è il monitoraggio del numero di follower su Twitter nel tempo.
L'Auditor è ora disponibile, anche se una nuova versione del pacchetto software è in arrivo, portando una serie di nuovi miglioramenti e aggiunte e uno schema di licenza che riduce il costo di acquisizione.
Sucuri
Sucuri è uno dei plug-in proattivo di sicurezza WordPress leggermente più popolari Ottieni un makeover di sicurezza per il tuo sito WordPress con WebsiteDefender Ottieni un makeover di sicurezza per il tuo sito WordPress con WebsiteDefender Con la popolarità di Wordpress sempre crescente, i problemi di sicurezza non sono mai stati più rilevanti - ma diversi semplicemente tenendosi aggiornato, come può un principiante o un utente di livello medio stare in cima alle cose? Vorresti ... Leggi altro sul mercato adesso. A differenza del revisore dei conti - che ha un prezzo forfettario - Sucuri addebita annualmente. Il costo aumenta con il numero di distribuzioni Sucuri che utilizzi.
Parliamo di ciò che Sucuri porta in tavola. Potresti aver intuito che si tratta di un monitoraggio degli eventi, che ti informa quando le cose vanno male. Inoltre, Securi può anche avvisarti di potenziali problemi tramite SMS, e-mail e Twitter. Anche se, idealmente, il primo sarebbe un messaggio diretto. Sarebbe piuttosto imbarazzante se andassero in giro a cinguettare la litania di problemi di sicurezza che affliggono i siti web.
Inoltre, qualsiasi malware che viene iniettato nel tuo sito - tramite un caricamento di file non pubblicizzato o con qualche JavaScript inserito tramite una vulnerabilità di cross site scripting (XSS) - viene ripulito da Sucuri.
Se ciò non bastasse, puoi pagare un extra per Sucuri per aggiungere un Web Application Firewall (WAF) al tuo sito web, bloccando gli attacchi basati su browser. Questi funzionano esaminando tutti gli input passati al tuo sito web e scartando quelli che sono apparentemente dannosi in natura.
Un altro servizio aggiuntivo offerto da Sucuri è il backup off-site automatico. L'argomento del backup di WordPress è gigantesco, ed è stato trattato a lungo Come fare un backup remoto automatizzato del tuo blog Wordpress Come eseguire un backup remoto automatico del tuo blog Wordpress Questo fine settimana, il mio sito web è stato violato per la prima volta in assoluto. Ho pensato che fosse un evento che doveva accadere alla fine, ma mi sentivo ancora un po 'scioccato. Sono stato fortunato che io ... Leggi altro in passato dai miei colleghi.
Uno degli argomenti più convincenti per consentire a Sucuri di gestire i backup off-site è il suo basso prezzo. Cinque dollari assicurano che il tuo sito sia memorizzato in modo sicuro sui server di Sucuri. Non è necessario essere abbonati a Sucuri per utilizzare i backup Sucuri, ed è indipendente dalla piattaforma con l'unico requisito di una casella * nix o di una macchina Windows con PHP.
Non commettere errori, l'enfasi di Sucuri è quella della sicurezza. Non è poi così bello monitorare il rendimento della tua app e svolgere una sola attività. Anche se, questo compito è eseguito perfettamente, e come risultato vi consiglio vivamente di controllare questo prodotto.
Fallo da solo
Non commettere errori, se sei preoccupato per la sicurezza e le prestazioni della tua installazione di WordPress, dovresti davvero usare un prodotto di terze parti. Questi sono fatti da persone che sanno davvero le loro cose. Conoscono le minacce là fuori, capiscono come difendersi da loro e sanno cosa fa rallentare il tuo sito rispetto a un pensionato coperto di melassa.
Tuttavia, se sei assolutamente determinato a implementare la tua soluzione di monitoraggio del sistema, avrai bisogno dei seguenti componenti.
Il primo è uno strumento per analizzare il traffico, il rumore e i registri. Questi possono essere lasciati da una minaccia esterna o da uno strumento che hai installato per registrare il rendimento del tuo sito. Sul mercato c'è un'enorme quantità di prodotti, ma nessuno ha lo smalto che ha Splunk.
Non c'è solo dibattito qui. Splunk è più bravo a visualizzare e interrogare i registri rispetto a qualsiasi altro prodotto sul mercato e lo raccomando vivamente. L'ho usato per la prima volta quando era in uno stato beta molto precoce. Da allora è prosperato ed è un potente strumento nell'arsenale di qualsiasi amministratore di sistema.
Successivamente, dovrai iniziare a profilare la tua applicazione. Ciò significa raccogliere enormi quantità di informazioni per vedere come si comporta, e c'è solo un particolare cavallo in questa razza di cui vale la pena parlare. Tu sai chi. Nuova reliquia.
Questi ragazzi sono entrati in scena solo pochi anni fa, ricevendo enormi quantità di attenzione per essere semplici da implementare e raccogliendo enormi quantità di statistiche sulle prestazioni. Oh, e per dare via più magliette di una mascotte in una partita di basket.
Come sviluppatore personalmente, ho avuto un debole per New Relic e li ho usati personalmente nei siti web che ho sviluppato. Trovo che le loro statistiche siano accurate e il plugin utilizzato per registrarle è relativamente leggero e facile da implementare. C'è persino la documentazione specifica di WordPress!
L'ultimo strumento nel nostro arsenale è un WAF. Questo ha due scopi. La prima ti consente di sapere se qualcuno ha fatto scatti di potassio sul tuo sito web. Il secondo (come abbiamo discusso in precedenza) è quello di mitigare gli attacchi sul tuo sito.
Se stai usando Apache, c'è solo un WAF di cui dobbiamo parlare. Si chiama Mod Security. È creato dai ragazzi di Trustwave Security ed è gratuito. Non puoi davvero batterlo.
Raggruppare questi insieme in una qualche forma di pacchetto coerente costituirebbe un articolo in sé. È davvero un compito gigantesco, e uno che può essere più difficile di quello che vale. Soprattutto se si considera che sul mercato esistono pacchetti come Auditor e Sucuri. Di conseguenza, non ho intenzione di entrare in troppi dettagli. Sappi solo che è possibile.
Conclusione
In questo articolo, abbiamo esaminato due prodotti killer per tenere traccia delle tue installazioni su WordPress e come puoi realizzare la tua soluzione. Con sempre più aziende che utilizzano WordPress per gestire la propria presenza online, l'importanza di garantire la sicurezza di un sito Web non è mai stata così grande. E con siti che chiedono a gran voce i bulbi oculari, la necessità di mantenere il tuo sito veloce e sicuro non è mai stata così importante.
Sarei davvero interessato a sentire i tuoi pensieri su questo argomento. Lasciami un commento qui sotto.
Ottieni un hosting WordPress sicuro e affidabile con Bluehost. Registrati per un account a soli $ 2,95 / mese.
Credito fotografico: Data Center (Bob Mical)
Scopri di più su: Bluehost, Sicurezza online, Web Hosting, Wordpress Plugin.