Vill du hålla ett vaksamt öga på din WordPress-installation? Här är hur
Jag har en bekännelse att göra. Jag är verkligen lat.
Jag har min egen personliga WordPress-baserade blogg, men jag är inte värd för det, trots att jag är en härdad nörd. Jag kan inte vara störd att hantera krångel med att ständigt se till att min låda inte har blivit poppad av en illvillig internethackare. Jag vill inte komma igång med tiden för att se till att min VPS Lär dig allt om virtuella privata servrar på två minuter Läs allt om virtuella privata servrar på två minuter Med så många bra webbhotellstjänster som möjligt, är det svårt att bestämma rätt en som passar dina behov. Read More är patched till infinitum, och konfigureras inom en tum av sitt liv för att avskräcka från någon företagsprestanda.
Men det är jag. Hur är det med dig?
Oavsett hur du väljer att hantera din WordPress-installation, skulle jag placera pengar på dig att vara oroad över säkerheten. Jag tycker om att ta itu med säkerhetshot i tre steg.
Behöver du pålitlig, prisvärd hosting för din WordPress-webbplats? Anmäl dig med Bluehost från $ 2,95 / månad.
Stages of Security
Den första kommer före en attack. Här försöker du se till att alla som vill försöka kompromissa med din hemsidas heliga gränser möts med styvt motstånd och enorma mängder frustration.
Därefter måste du kontrollera att din webbplats inte har äventyras. Du kommer att behöva ständig vaksamhet, ett vakande öga och en Sherlock-stil förmåga att märka avvikelser i driften av din webbplats.
Slutligen, när katastrof slår, måste du veta hur man hanterar det beslutsamt och med självförtroende. Vi ska prata om det nästa månad, men först vill jag prata om det andra steget. Övervakning.
Övervakning WordPress
Hollywood har gjort ett otroligt jobb med att skildra datorns hackare som en skuggig person som förlorar kaos från de digitala skuggorna. Verkligheten kunde inte vara längre från sanningen.
Ja, de arbetar förmodligen från svagt upplysta rum någonstans, jag ger dig det. Men tyst? Nah. De är höga, man.
Varje attack på varje låda och varje hemsida lämnar ett spår på en loggfil någonstans. Det sätt vi förstår de typer av hot som vi står inför (eller har mött) är genom att titta på stockarna.
Gör inget misstag, manuellt titta på systemloggar är ett vansinnigt tråkigt jobb. Jag är ganska säker på att det har varit Dan Brown-romaner som är mindre tråkiga än det - och det säger något. Dessutom är det en uppgift som kräver galenheter av precision och uppmärksamhet på detaljer. Det är inte något jag rekommenderar att du gör för hand.
Det är inte bara säkerhet som vi behöver hålla ett vaksamt öga över. Också viktig är att övervaka prestanda på en webbplats Wordpress är långsam - gör något om det med dessa 10 steg Wordpress är långsamt - gör något om det med dessa 10 steg Läs mer .
Att säkerställa att din webbplats är lyhörd och pålitlig är avgörande för att säkerställa att dina läsare fortsätter att engagera sig. Enligt webbadressen Metrics Giant KissMetrics kan en 1 sekunders fördröjningsfördröjning leda till en minskad användarengagemang med sju procent, medan 40 procent av alla internetanvändare säger att de skulle överge en webbplats om det tar mer än tre sekunder att ladda. Att förstå hur din webbplats fungerar är ett viktigt verktyg i striden att se till att din webbplats är snabb och lyhörd.
Tack och lov finns det några produkter som gör denna uppgift mycket enklare. Och de är nog bättre med det än du är. Här är två av dem. Och om du insisterar, ska jag berätta för dig hur du kan rulla ditt eget kick-ass WordPress-övervakningssystem.
Revisorn
Revisorn ($ 249) är ett GPL licensierat plugin som tillåter WordPress-administratörer att övervaka säkerhetssäkerhet, prestanda och användarproduktivitet på webbplatsen.
Jag har erfarenhet av att använda denna plugin, eftersom jag hade turen att få möjlighet att prova kör det ett par år tillbaka när det först kom ut. Mina första intryck av det var verkligen positiva; Sedan dess har det skett hoppar och gränser.
Killarna bakom det är Interconnect / IT, som också gör en hel del WordPress-konsulter och utbildning i Storbritannien, liksom att skapa några användbara plugins och användarhandböcker. De har ganska stamtavla för att göra intressanta saker i WordPress-utvecklingsverksamheten.
Att plotta ner kontanter till revisorn kommer inte bara att få dig en kopia av koden, utan också en del stellär dokumentation och livstidsstöd. Åh, och det är användarens extensible, även om du måste vara ganska praktisk med PHP-programmeringsspråket.
Men vad gör det egentligen? Stor fråga.
För det första kontrollerar den för ovanlig aktivitet på din WordPress-installation. Om du har haft en orimlig mängd misslyckade inloggningar på kort tid, eller om en dunkel användare plötsligt har sett hans behörigheter förhöjda i stratosfären, vet du det.
För det andra kan du skapa anpassade varningar. Om du utvecklar ett nytt plugin och vill observera hur det fungerar kan du låta det skicka meddelanden till revisorn. Detta är avgörande för WordPress-utvecklare som vill se en mer global bild av hur deras plugin fungerar.
Dessa anpassade loggar är utökbara och kan användas av utvecklare för att registrera vad som helst deras hjärta önskar. Ett sådant användningsfall för detta är att övervaka antalet Twitter-anhängare på skrivande personal över tiden.
Revisorn är tillgänglig nu, även om en ny version av mjukvarupaketet hotar, vilket ger en rad nya förbättringar och tillägg samt ett licensprogram som minskar kostnaden för förvärvet.
Sucuri
Sucuri är ett av de lite mer populära proaktiva WordPress-säkerhetsprogrammen. Få en säkerhetskonfiguration för din WordPress-webbplats med WebsiteDefender. Få en säkerhetskonfiguration för din WordPress-webbplats med WebsiteDefender. Med WordPress-popularitet någonsin ökat har säkerhetsfrågor aldrig varit mer relevanta - men annat än helt enkelt håller sig uppdaterad, hur kan en nybörjare eller genomsnittlig användare stanna kvar på saker? Skulle du ens ... Läs mer på marknaden just nu. Till skillnad från revisorn - som är prissatt till en fast ränta - debiteras Sucuri årligen. Kostnaden ökar med antalet Sucuri-implementeringar du använder.
Låt oss prata om vad Sucuri tar med på bordet. Du kanske har gissat att det kommer med händelseövervakning, så att du vet när saker har gått fel. Förutom det kan Securi också varna dig för potentiella problem via SMS, Email och Twitter. Även om den ideala skulle vara ett direkt meddelande. Det är ganska besvärligt om de gick runt tweeting litaniet av säkerhetsproblem plaguing webbplatser.
Dessutom rengörs eventuella skadliga program som injiceras i din webbplats - antingen genom en oanpassad filuppladdning eller med vissa JavaScript som sätts in via en cross-site scripting (XSS) sårbarhet - rengörs av Sucuri.
Om det inte räcker kan du betala extra för att Sucuri ska lägga till en webbapplikationsvägg (WAF) på din webbplats och stoppa webbläsarbaserade attacker vid dörren. Dessa fungerar genom att undersöka alla insatser som skickas till din webbplats och kassera de som är uppenbart skadliga i naturen.
En annan tilläggstjänst som erbjuds av Sucuri är automatisk säkerhetskopiering på plats. Ämnet med att säkerhetskopiera WordPress är en mammut, och en som har täckts på längden Hur man gör en automatisk fjärrbackup av din Wordpress-blogg Hur man gör en automatisk fjärrbackup av din Wordpress-blogg Den här helgen blev min hemsida hackad för första gången någonsin. Jag tänkte att det var en händelse som skulle hända så småningom, men jag kände mig fortfarande chockad. Jag hade tur att jag ... Läs mer tidigare av mina kollegor.
En av de mer övertygande argumenten att låta Sucuri hantera dina säkerhetskopieringar på plats är den låga prispunkten. Fem dollar garanterar att din webbplats lagras säkert på Sucuris servrar. Du behöver inte vara abonnent på Sucuri för att använda Sucuri-säkerhetskopior, och det är plattformsagnostik med det enda kravet att vara en * nix-box eller en Windows-maskin som kör PHP.
Gör inget misstag, Sucuri betonar en säkerhet. Det är inte så bra att övervaka hur din app utför, och gör bara en uppgift. Även om den här uppgiften utförs perfekt, och som ett resultat rekommenderar jag starkt att du kolla denna produkt.
Gör det själv
Gör inget misstag, om du är orolig för säkerheten och prestanda för din WordPress-installation, borde du verkligen använda en tredjepartsprodukt. Dessa är gjorda av människor som verkligen känner till deras grejer. De känner till hoten där ute, de förstår hur man försvarar mot dem, och de vet vad som gör din webbplats långsammare än en pensionär som omfattas av melass.
Men om du är helt fast besluten att rulla din egen systemövervakningslösning, behöver du följande komponenter.
Det första är ett verktyg för att analysera trafik, ljud och loggar. Dessa kan lämnas av ett externt hot, eller av ett verktyg du har installerat för att spela in hur din webbplats utför. Det finns en enorm mängd produkter på marknaden, men ingen har det polska som Splunk har.
Det finns bara ingen debatt här. Splunk är bättre att visualisera och fråga loggar än någon annan produkt på marknaden, och jag rekommenderar det varmt. Jag använde det först när det var i en mycket tidig beta-stat. Sedan dess har det blomstrat och är ett kraftfullt verktyg i arsenalen hos någon systemadministratör.
Därefter måste du börja profilera din ansökan. Det betyder att samla enorma mängder information för att se hur det fungerar, och det finns bara en viss häst i den här tävlingen värt att prata om. Du vet vem. New Relic.
Dessa killar sprängde på scenen för några år sedan, fick stora mängder uppmärksamhet för att vara enkla att distribuera och samla enorma mängder prestationsstatistik. Åh, och för att ge bort fler T-shirts än en maskot i ett basketspel.
Som utvecklare själv har jag en ganska mjuk plats för New Relic och använt dem själv på webbplatser jag har utvecklat. Jag tycker att deras statistik är korrekt och plugin som används för att spela in dem är relativt lätt och lätt att distribuera. Det finns även WordPress-specifik dokumentation!
Det sista verktyget i vårt arsenal är en WAF. Detta tjänar två syften. Den första låter dig veta om någon har tagit pottskott på din hemsida. Den andra (som vi tidigare diskuterat) är att mildra mot attacker på din webbplats.
Om du kör Apache finns det bara en WAF som vi behöver prata om. Det heter Mod Security. Det är skapat av killarna på Trustwave Security, och det är gratis. Du kan verkligen inte slå det.
Cobbling dessa tillsammans i någon form av sammanhängande paket skulle utgöra en artikel i sig. Det är verkligen en mammut uppgift, och en som kan vara mer problem än det är värt. Speciellt när du anser att det finns paket som Auditor och Sucuri på marknaden. Som ett resultat kommer jag inte att gå in på för många detaljer. Bara vet att det är möjligt.
Slutsats
I den här artikeln tittade vi på två mördare produkter för att hålla spår på din WordPress-installation, liksom hur du kan rulla din egen lösning. Med fler och fler företag som använder WordPress för att hantera sin online-närvaro, har betydelsen för att säkerställa säkerheten hos en webbplats aldrig varit större. Och med webbplatser som klamrar på ögonbollar, har behovet av att hålla din sida snabbt och säkert aldrig varit så viktigt.
Jag skulle verkligen vara intresserad av att höra dina tankar om detta ämne. Släpp mig en kommentar nedan.
Få säker, pålitlig WordPress-hosting med Bluehost. Registrera dig för ett konto på bara $ 2,95 / månad.
Foto Kredit: Data Center (Bob Mical)
Utforska mer om: Bluehost, webbsäkerhet, webbhotell, Wordpress-plugins.