Musím se přiznat. Jsem opravdu líný.
Mám svůj vlastní osobní blog založený na WordPress, ale - přestože jsem ztvrdlý geek - ho nepřijímám. Nemohu se obtěžovat problémem neustálého zajišťování toho, aby můj box nebyl vytržen zlovolným internetovým hackerem. Nechci se zabalit do tedia zajistit, aby moje VPS Dozvíte se vše o virtuálních soukromých serverech za dvě minutyS tolika skvělých webhostingových služeb k dispozici, je těžké se rozhodnout, který vyhovuje vašim potřebám. Přečtěte si více je napraven do nekonečna a nakonfigurován do jednoho centimetru svého života, aby zabránil jakémukoli podnikavému miscreantovi.
Ale to jsem já. Co o tobě?
Bez ohledu na to, jak se rozhodnete spravovat svou instalaci WordPress, vložím vám peníze, které vás zajímají o zabezpečení. Rád přemýšlím o řešení bezpečnostních hrozeb ve třech fázích.
Potřebujete spolehlivý a cenově dostupný hosting pro váš web WordPress? Zaregistrujte se u Bluehost od 2,95 $ / měsíc.
Fáze bezpečnosti
První přichází před útokem. Zde se snažíte zajistit, aby se kdokoli, kdo by se snažil ohrozit posvátné hranice vašeho webu, setkal s tvrdým odporem a obrovským množstvím frustrace.
Dále musíte zkontrolovat, zda váš web nebyl ohrožen. Budete potřebovat neustálou ostražitost, ostražité oko a schopnost Sherlocka zaznamenat anomálie při provozu vašeho webu.
Nakonec, až dojde k katastrofě, budete muset vědět, jak se s tím rozhodně a sebevědomě vypořádat. Budeme o tom mluvit příští měsíc, ale nejdřív chci mluvit o druhém kroku. Sledování.
Monitorování WordPress
Hollywood odvedl neuvěřitelnou práci, když vykreslil počítačového hackera jako stínového jedince a zničil digitální stíny. Realita nemohla být dále od pravdy.
Ano, pravděpodobně někde pracují z tlumeně osvětlených místností, dám vám to. Ale klid? Ne. Jsou nahlas, chlape.
Každý útok na každou krabici a každý web zanechává někde stopy v souboru protokolu. Způsob, jakým chápeme typy hrozeb, kterým čelíme (nebo jim čelíme), je prohlížet si protokoly.
Nedělejte chybu, ruční prohlížení systémových logů je šíleně únavná práce. Jsem si docela jistý, že existovaly romány Dana Browna, které byly méně únavné než to - a to něco říká. Navíc je to úkol, který vyžaduje šílené přesnosti a pozornost k detailům. To není něco, co bych vám doporučil udělat ručně.
Není to jen zabezpečení, které musíme dávat pozorné oko. Velmi důležité je také monitorování výkon webu Wordpress je pomalý - s tím udělejte něco s těmito 10 kroky Přečtěte si více .
Zajištění toho, aby vaše stránky byly citlivé a spolehlivé, je klíčové pro zajištění nepřetržitého zapojení vašich čtenářů. Podle Obří metrika webových stránek KissMetrics, zpoždění načítání o 1 sekundu může mít za následek pokles interakce uživatelů o sedm procent, zatímco 40 procent všech uživatelů internetu tvrdí, že opustí web, pokud načtení trvá déle než tři sekundy. Pochopení toho, jak vaše webové stránky fungují, je důležitým nástrojem v bitvě o to, aby váš web byl rychlý a pohotový.
Naštěstí existují některé produkty, které tento úkol mnohem usnadňují. A jsou na tom asi lepší než vy. Tady jsou dva. A pokud budete trvat na tom, řeknu vám, jak můžete zavést svůj vlastní monitorovací systém WordPress pro kick-ass.
Auditor
Auditor (249 $) je plugin s licencí GPL, který umožňuje správcům WordPress sledovat zabezpečení webu, výkon a produktivitu uživatelů.
S používáním tohoto pluginu mám zkušenosti z první ruky, protože jsem měl to štěstí, že jsem měl příležitost vyzkoušet ho před pár lety, když vyšel poprvé. Moje první dojmy z toho byly opravdu pozitivní; od té doby udělal skoky a meze.
Chlapi za tím jsou Propojení / IT, kteří také ve Velké Británii provádějí mnoho konzultací a školení WordPress a také vytvářejí některé užitečné doplňky a uživatelské příručky. Mají docela rodokmen za to, že dělají zajímavé věci ve světě vývoje WordPressu.
Úspora peněz pro auditora vám nezíská pouze kopii kódu, ale také nějakou hvězdnou dokumentaci a celoživotní podporu. Jo, a je to uživatelsky rozšiřitelný, i když budete muset být docela šikovný s programovacím jazykem PHP.
Ale co vlastně dělá? Skvělá otázka.
Nejprve zkontroluje neobvyklou aktivitu při instalaci WordPress. Pokud jste v krátké době měli nadměrné množství neúspěšných přihlášení nebo pokud obskurní uživatel najednou viděl, jak jeho oprávnění byla zvýšena do stratosféry, budete to vědět.
Za druhé, můžete vytvořit vlastní upozornění. Pokud vyvíjíte nový plugin a chcete sledovat jeho chování, můžete mu povolit odesílání zpráv auditorovi. To je zásadní pro vývojáře WordPress, kteří chtějí vidět globálnější obrázek o tom, jak jejich plugin funguje.
Tyto vlastní protokoly jsou rozšiřitelné a vývojáři je mohou použít k registraci, co si jejich srdce přeje. Jedním z takových případů použití je sledování počtu sledovatelů Twitteru na pracovníky psaní v průběhu času.
Auditor je nyní k dispozici, ačkoli se objevuje nové vydání softwarového balíčku, přináší řadu nových vylepšení a doplňků a licenční schéma, které snižuje náklady na pořízení.
Sucuri
Sucuri je jedním z mírně populárnějších proaktivní Doplňky zabezpečení WordPress Získejte zabezpečení pro svůj web WordPress pomocí WebsiteDefenderuS rostoucí popularitou Wordpress nikdy nebyly problémy s bezpečností nikdy důležitější - ale kromě jednoduchého udržování aktuality, jak může zůstat začátečník nebo průměrný uživatel na špičce? Mohl bys ... Přečtěte si více na trhu právě teď. Na rozdíl od auditora, který je stanoven paušálně, se Sucuri účtuje ročně. Náklady se zvyšují s počtem nasazení Sucuri, které používáte.
Pojďme mluvit o tom, co Sucuri přináší ke stolu. Možná jste uhodli, že přichází s nějakým monitorováním událostí, abyste dali vědět, kdy se věci začaly zhoršovat. Securi vás také může upozornit na možné problémy prostřednictvím SMS, e-mailu a Twitteru. V ideálním případě by však první byl přímou zprávou. Bylo by docela trapné, kdyby obešli litanii bezpečnostních problémů sužujících webové stránky.
Kromě toho jakýkoli malware, který je vložen na váš web - buď prostřednictvím neanitizovaného nahrání souboru nebo s některým JavaScript vloženým prostřednictvím zranitelnosti skriptování mezi weby (XSS) - je odstraněn Sucuri.
Pokud to nestačí, můžete za Sucuri zaplatit navíc za přidání Brány webových aplikací (WAF) na svůj web a zastavit útoky založené na prohlížeči hned u dveří. Tyto práce zkoumají všechny vstupy předané na váš web a zahodí ty, které jsou zdánlivě škodlivé povahy.
Další doplňkovou službou nabízenou společností Sucuri jsou automatické zálohy mimo lokalitu. Předmět zálohování WordPress je mamut a ten, který byl na délku Jak provést automatizované vzdálené zálohování blogu WordpressTento víkend byl můj web poprvé hacknut. Myslel jsem, že to byla událost, která se nakonec musí stát, ale pořád jsem se cítil trochu šokován. Měl jsem štěstí, že jsem ... Přečtěte si více v minulosti moji kolegové.
Jedním z přesvědčivějších argumentů, proč nechat Sucuri zpracovat vaše zálohy mimo web, je jeho nízká cena. Pět babek zajišťuje, že váš web je bezpečně uložen na serverech Sucuri. Nemusíte být předplatitelem Sucuri, abyste mohli používat zálohy Sucuri, a je to platforma agnostická, přičemž jediným požadavkem je * nix box nebo stroj Windows s PHP.
Nedělejte chybu, důraz Sucuri je na bezpečnosti. Monitorování výkonu vaší aplikace není opravdu skvělé a provádí pouze jeden úkol. Přestože je tento jeden úkol proveden dokonale, v důsledku toho důrazně doporučujeme tento produkt zkontrolovat.
Udělej si sám
Neměňte chybu, pokud máte obavy o bezpečnost a výkon instalace WordPress, měli byste skutečně používat produkt třetí strany. Jsou vyrobeny lidmi, kteří opravdu znají své věci. Znají tam venku hrozby, rozumějí jim, jak se proti nim bránit, a vědí, proč je váš web pomalejší než důchodce pokrytý melasou.
Pokud jste však zcela odhodláni zavést vlastní řešení pro monitorování systému, budete potřebovat následující komponenty.
První je nástroj pro analýzu provozu, hluku a protokolů. Může to být způsobeno externí hrozbou nebo nástrojem, který jste nainstalovali, abyste zaznamenali, jak vaše stránky fungují. Na trhu existuje obrovské množství produktů, ale žádný z nich nemá polské Splunk má.
Není tu žádná debata. Splunk je lepší ve vizualizaci a dotazování protokolů než jakékoli jiné produkty na trhu, a já to doporučuji srdečně. Poprvé jsem to použil, když byl ve velmi raném beta stavu. Od té doby vzkvétal a je mocným nástrojem v arzenálu jakéhokoli správce systému.
Dále budete muset začít profilovat svou aplikaci. To znamená shromáždit obrovské množství informací, abychom viděli, jak se hraje, a v tomto závodě stojí za zmínku jen jeden konkrétní kůň. Víš kdo. Nová relikvie.
Tito kluci před pár lety propukli na scénu a získali obrovské množství pozornosti za to, že se dají snadno nasadit, a shromažďují obrovské množství statistik výkonu. Jo, a za rozdávání více trička než maskota při basketbalové hře.
Jako sám vývojář mám pro společnost New Relic docela jemné místo a sám jsem je použil na webech, které jsem vyvinul. Zjistil jsem, že jejich statistiky jsou přesné, a plugin používaný k jejich záznamu je relativně lehký a snadno použitelný. K dispozici je dokonce i specifická dokumentace WordPress!
Posledním nástrojem v našem arzenálu je WAF. To slouží dvěma účelům. První vám dá vědět, zda někdo na vašem webu pořizoval pot-shoty. Druhým (jak jsme již dříve diskutovali) je zmírnění útoků na váš web.
Pokud používáte Apache, musíme jen mluvit o jednom WAF. Jmenuje se to Mod zabezpečení. Vytvořili ho kluci na Trustwave Zabezpečení a je zdarma. To opravdu nemůžete porazit.
Jejich vzájemné seskupení do nějaké formy koherentního balíčku by samo o sobě představovalo článek. Je to opravdu mamutí úkol a ten, který může mít větší potíže, než stojí za to. Obzvláště když si uvědomíte, že na trhu existují balíčky jako Auditor a Sucuri. V důsledku toho se nebudu zabývat příliš mnoha detaily. Jen vím, že je to možné.
Závěr
V tomto článku jsme se zabývali dvěma zabijáckými produkty, které sledují vaši instalaci WordPress, a také, jak můžete zavést vlastní řešení. S rostoucím počtem společností, které používají WordPress ke správě své online přítomnosti, nebyl nikdy nikdy větší význam zajištění bezpečnosti webových stránek. A s místy, které se dožadují očí, nebyla nikdy nutnost udržovat web rychlou a bezpečnou.
Měl bych opravdu zájem slyšet vaše myšlenky na toto téma. Zašlete mi komentář níže.
Získejte bezpečný a spolehlivý hosting WordPress s Bluehost. Zaregistrujte se k účtu pouhých 2,95 $ / měsíc.
Fotografický kredit: Datové centrum (Bob Mical)
Matthew Hughes je vývojář a spisovatel softwaru z anglického Liverpoolu. Málokdy je nalezen bez šálku silné černé kávy v ruce a absolutně zbožňuje svůj Macbook Pro a fotoaparát. Jeho blog si můžete přečíst na adrese http://www.matthewhughes.co.uk a následujte ho na twitteru na @ matthewhughes.
