Vuoi tenere d'occhio la tua installazione di Wordpress? Ecco come

Ho una confessione da fare. Sono davvero pigro.

Ho il mio blog personale basato su WordPress, ma - nonostante sia un fanatico irriducibile - non lo ospito da solo. Non posso essere disturbato a gestire la seccatura di garantire costantemente che la mia scatola non sia stata spuntata da un malvagio hacker di Internet. Non voglio impantanarmi con la noia di assicurando che il mio VPS Scopri tutto sui server privati ​​virtuali in due minutiCon così tanti fantastici servizi di web hosting disponibili, è difficile decidere quello giusto per soddisfare le tue esigenze. Leggi di più è patchato all'infinito e configurato entro un centimetro della sua vita per scoraggiare qualsiasi miscredente intraprendente.

Ma sono io. E tu?

Indipendentemente da come scegli di gestire la tua installazione di WordPress, metterei soldi su di te preoccupato per la sicurezza. Mi piace pensare di affrontare le minacce alla sicurezza in tre fasi.

Hai bisogno di hosting affidabile e conveniente per il tuo sito WordPress? Iscriviti con Bluehost da $ 2,95 / mese.

Le fasi della sicurezza

Il primo arriva prima di un attacco. Qui, cerchi di assicurarti che chiunque cerchi di compromettere i santi limiti del tuo sito web sia incontrato con una resistenza rigida e immense quantità di frustrazione.

Successivamente, dovrai verificare che il tuo sito non sia stato compromesso. Avrai bisogno di una costante vigilanza, un occhio attento e una capacità in stile Sherlock di notare anomalie nel funzionamento del tuo sito.

Alla fine, quando scoppierà un disastro, dovrai sapere come affrontarlo in modo deciso e sicuro. Ne parleremo il prossimo mese, ma prima voglio parlare del secondo passo. Monitoraggio.

Monitoraggio di WordPress

Hollywood ha fatto un lavoro incredibile nel ritrarre l'hacker informatico come un individuo oscuro, distruggendo il caos dalle ombre digitali. La realtà non potrebbe essere più lontana dalla verità.

Sì, probabilmente stanno lavorando da stanze scarsamente illuminate da qualche parte, te lo darò. Ma tranquillo? Nah. Sono rumorosi, amico.

Ogni attacco su ogni scatola e ogni sito Web lascia una traccia su un file di registro da qualche parte. Il modo in cui comprendiamo i tipi di minacce che affrontiamo (o abbiamo affrontato) è guardando i registri.

Non commettere errori, guardare manualmente i registri di sistema è un lavoro follemente noioso. Sono abbastanza sicuro che ci siano stati romanzi di Dan Brown meno noiosi di così - e questo sta dicendo qualcosa. Inoltre, è un compito che richiede quantità insane di precisione e attenzione ai dettagli. Non è qualcosa che ti consiglio di fare a mano.

Non è solo la sicurezza che dobbiamo tenere d'occhio. Anche di fondamentale importanza è il monitoraggio di prestazione di un sito Wordpress è lento: fai qualcosa al riguardo con questi 10 passaggi Leggi di più .

Garantire che il tuo sito sia reattivo e affidabile è fondamentale per garantire il costante coinvolgimento dei tuoi lettori. Secondo sito web gigante metriche KissMetrics, un ritardo di caricamento di 1 secondo può comportare un calo del coinvolgimento degli utenti del sette percento, mentre il 40 percento di tutti gli utenti di Internet afferma che abbandonerebbe un sito Web se il caricamento impiegasse più di tre secondi. Comprendere come funziona il tuo sito Web è uno strumento vitale nella battaglia per assicurarsi che il tuo sito sia rapido e reattivo.

Per fortuna, ci sono alcuni prodotti che rendono questo compito molto più semplice. E probabilmente sono più bravi di te. Eccone due. E se insisti, ti dirò come puoi creare il tuo sistema di monitoraggio WordPress.

Il revisore dei conti

Auditor ($ 249) è un plug-in con licenza GPL che consente agli amministratori di WordPress di monitorare la sicurezza del sito, le prestazioni e la produttività degli utenti.

Ho avuto un'esperienza di prima mano con l'utilizzo di questo plugin, poiché sono stato abbastanza fortunato da avere l'opportunità di testarlo un paio di anni fa, quando è uscito per la prima volta. Le mie prime impressioni sono state davvero positive; da allora ha fatto passi da gigante.

I ragazzi dietro sono Collegamenti / IT, che svolgono anche molte attività di consulenza e formazione su WordPress nel Regno Unito, oltre a creare plug-in e guide per l'utente utili. Hanno un buon pedigree per fare cose interessanti nel mondo dello sviluppo di WordPress.

Rimpicciolire i soldi per The Auditor non ti procurerà solo una copia del codice, ma anche una documentazione stellare e un supporto a vita. Oh, ed è estensibile dall'utente, anche se dovrai essere abbastanza utile con il linguaggio di programmazione PHP.

Ma cosa fa effettivamente? Ottima domanda

In primo luogo, verifica attività insolite nell'installazione di WordPress. Se hai avuto un numero eccessivo di accessi non riusciti in un breve periodo di tempo o se un utente oscuro ha visto improvvisamente le sue autorizzazioni elevarsi nella stratosfera, lo saprai.

In secondo luogo, è possibile creare avvisi personalizzati. Se stai sviluppando un nuovo plug-in e vuoi osservare come si comporta, puoi permettergli di inviare messaggi a The Auditor. Questo è cruciale per gli sviluppatori di WordPress che vogliono vedere un'immagine più globale di come funziona il loro plugin.

Questi registri personalizzati sono estensibili e possono essere utilizzati dagli sviluppatori per registrare qualsiasi cosa il loro cuore desideri. Uno di questi casi d'uso è il monitoraggio nel tempo del numero di follower di Twitter su uno staff di scrittura.

Il revisore dei conti è ora disponibile, anche se si profila una nuova versione del pacchetto software, che porta una serie di nuovi miglioramenti e aggiunte e uno schema di licenze che riduce il costo di acquisizione.

Sucuri

Sucuri è uno dei proattivi leggermente più popolari Plugin di sicurezza di WordPress Ottieni un cambio di sicurezza per il tuo sito WordPress con WebsiteDefenderCon la popolarità di Wordpress in costante aumento, i problemi di sicurezza non sono mai stati più rilevanti, ma a parte il semplice aggiornamento, come può un principiante o un utente di livello medio rimanere in cima alle cose? Vorresti anche ... Leggi di più sul mercato in questo momento. A differenza del revisore dei conti - che ha un prezzo forfettario - Sucuri addebita annualmente. Il costo aumenta con il numero di distribuzioni Sucuri utilizzate.

Parliamo di ciò che Sucuri porta sul tavolo. Potresti aver indovinato che viene fornito con un monitoraggio degli eventi, che ti consente di sapere quando le cose sono andate male. Inoltre, Securi può anche avvisarti di potenziali problemi tramite SMS, e-mail e Twitter. Sebbene, idealmente, il primo sarebbe un messaggio diretto. È piuttosto imbarazzante se hanno girato in tweet la litania di problemi di sicurezza che affliggono i siti Web.

Inoltre, qualsiasi malware che viene iniettato nel tuo sito, sia attraverso un caricamento di file non autenticato o con alcuni JavaScript inseriti tramite una vulnerabilità di cross site scripting (XSS) - viene ripulito da Sucuri.

Se ciò non bastasse, puoi pagare un extra per Sucuri per aggiungere un Web Application Firewall (WAF) al tuo sito Web, bloccando gli attacchi basati sul browser alla porta. Questi funzionano esaminando tutti gli input passati al tuo sito Web e scartando quelli apparentemente dannosi in natura.

Un altro servizio aggiuntivo offerto da Sucuri è il backup automatico fuori sede. L'argomento del backup di WordPress è un tema mastodontico e lo è stato coperto a lungo Come eseguire un backup remoto automatico del tuo blog WordpressQuesto fine settimana, il mio sito Web è stato violato per la prima volta in assoluto. Ho pensato che fosse un evento che doveva succedere alla fine, ma mi sentivo ancora un po 'scioccato. Sono stato fortunato a ... Leggi di più in passato dai miei colleghi.

Uno degli argomenti più convincenti per consentire a Sucuri di gestire i backup off-site è il suo prezzo basso. Cinque dollari assicurano che il tuo sito sia archiviato in modo sicuro sui server di Sucuri. Non è necessario essere abbonati a Sucuri per utilizzare i backup di Sucuri, ed è indipendente dalla piattaforma con l'unico requisito di essere una * nix box o una macchina Windows che esegue PHP.

Non commettere errori, l'enfasi di Sucuri è di sicurezza. Non è poi così eccezionale nel monitorare il rendimento della tua app e svolge solo un'attività. Tuttavia, questa attività viene eseguita perfettamente e, di conseguenza, ti consiglio vivamente di dare un'occhiata a questo prodotto.

Fallo da solo

Non commettere errori, se sei preoccupato per la sicurezza e le prestazioni della tua installazione di WordPress, dovresti davvero utilizzare un prodotto di terze parti. Questi sono fatti da persone che conoscono davvero le loro cose. Conoscono le minacce là fuori, capiscono come difendersi da loro e sanno cosa rende il tuo sito più lento di un pensionato coperto di melassa.

Tuttavia, se sei assolutamente determinato a implementare la tua soluzione di monitoraggio del sistema, avrai bisogno dei seguenti componenti.

Il primo è uno strumento per analizzare il traffico, il rumore e i registri. Questi possono essere lasciati da una minaccia esterna o da uno strumento che hai installato per registrare il rendimento del tuo sito. Ci sono una quantità enorme di prodotti sul mercato, ma nessuno lo ha Splunk ha.

Non c'è proprio nessun dibattito qui. Splunk è migliore nella visualizzazione e nella query dei registri rispetto a qualsiasi altro prodotto sul mercato e lo consiglio vivamente. L'ho usato per la prima volta in uno stato beta molto precoce. Da allora è fiorito ed è un potente strumento nell'arsenale di qualsiasi amministratore di sistema.

Successivamente, dovrai iniziare a profilare la tua domanda. Questo significa raccogliere enormi quantità di informazioni per vedere come si comporta e in questa gara vale la pena parlare di un solo cavallo. Tu sai chi. Nuova reliquia.

Questi ragazzi sono entrati in scena solo pochi anni fa, ottenendo enormi quantità di attenzione per essere semplici da implementare e raccogliendo enormi quantità di statistiche sulle prestazioni. Oh, e per aver regalato più magliette di una mascotte in una partita di basket.

Come sviluppatore, ho un debole per New Relic e li ho usati io stesso nei siti Web che ho sviluppato. Trovo che le loro statistiche siano accurate e che il plugin utilizzato per registrarle sia relativamente leggero e facile da distribuire. Esiste persino una documentazione specifica per WordPress!

L'ultimo strumento nel nostro arsenale è un WAF. Questo ha due scopi. Il primo ti fa sapere se qualcuno ha scattato foto sul tuo sito web. Il secondo (come abbiamo discusso in precedenza) è quello di mitigare gli attacchi al tuo sito.

Se usi Apache, c'è solo un WAF di cui dobbiamo parlare. È chiamato Sicurezza Mod. È stato creato dai ragazzi di Trustwave Sicurezza ed è gratuito. Non puoi davvero batterlo.

Combinarli insieme in una forma di pacchetto coerente costituirebbe un articolo in sé. È davvero un compito mastodontico, e potrebbe essere più un problema che un problema. Soprattutto se si considera che sul mercato ci sono pacchetti come Auditor e Sucuri. Di conseguenza, non entrerò in troppi dettagli. Sappi solo che è possibile.

Conclusione

In questo articolo, abbiamo esaminato due prodotti killer per tenere traccia della tua installazione di WordPress, oltre a come implementare la tua soluzione. Con sempre più aziende che utilizzano WordPress per gestire la propria presenza online, l'importanza di garantire la sicurezza di un sito Web non è mai stata così grande. E con i siti che chiedono a gran voce i bulbi oculari, la necessità di mantenere il tuo sito veloce e sicuro non è mai stata così importante.

Sarei davvero interessato a sentire le tue opinioni su questo argomento. Mandami un commento qui sotto.

Ottieni hosting WordPress sicuro e affidabile con Bluehost. Iscriviti per un account a soli $ 2,95 / mese.

Diritti d'autore della foto: Data Center (Bob Mical)