Wilt u een waakzaam oog houden op uw WordPress installeren? Hier is hoe
Ik moet een bekentenis doen. Ik ben echt lui.
Ik heb mijn eigen persoonlijke WordPress-gebaseerde blog, maar - ondanks dat ik een geharde nerd ben - ik host het zelf niet. Ik kan me niet druk maken over het gedoe van constant ervoor te zorgen dat mijn doos niet door een kwaadwillende internet-hacker is gepoft. Ik wil niet vastlopen met de verveling om ervoor te zorgen dat mijn VPS alles leert over virtuele privéservers in twee minuten Alles leren over virtuele privéservers in twee minuten Met zoveel geweldige webhostingservices beschikbaar, is het moeilijk om de juiste beslissing te nemen een die aan uw behoeften voldoet. Meer lezen is gepatcht tot in het oneindige en geconfigureerd binnen een paar centimeter van zijn leven om elke ondernemende miscreant te ontmoedigen.
Maar dat ben ik. En jij dan?
Ongeacht hoe u ervoor kiest om uw WordPress-installatie te beheren, zou ik u geld geven dat u zich zorgen maakt over de beveiliging. Ik denk graag aan het omgaan met beveiligingsrisico's in drie fasen.
Heeft u betrouwbare, betaalbare hosting nodig voor uw WordPress-site? Meld u aan bij Bluehost vanaf $ 2,95 / maand.
De stadia van beveiliging
De eerste komt voor een aanval. Hier probeer je ervoor te zorgen dat iedereen die de geheiligde grenzen van je website probeert te compromitteren, stugge weerstand en immense hoeveelheden frustratie ontmoet..
Vervolgens moet je controleren of je site niet is gecompromitteerd. Je hebt constante waakzaamheid, een oogje in het zeil en een Sherlock-achtige vaardigheid nodig om anomalieën op te merken in de werking van je site.
Eindelijk, wanneer het noodlot toeslaat, zul je moeten weten hoe je er slagvaardig en zelfverzekerd mee kunt omgaan. Daar gaan we volgende maand over praten, maar eerst wil ik het hebben over de tweede stap. Toezicht houden.
Monitoring van WordPress
Hollywood heeft een ongelooflijke klus geklaard om de computerhakker als een schimmig persoon uit te beelden en de digitale schaduwen te vernietigen. De realiteit kan niet verder van de waarheid zijn.
Ja, ze werken waarschijnlijk ergens in slecht verlichte kamers, dat geef ik je. Maar stil? Nah. Ze zijn hard, man.
Elke aanval op elke doos en elke website laat ergens een logbestand achter. De manier waarop we de soorten bedreigingen begrijpen waarmee we worden geconfronteerd (of geconfronteerd), is door naar de logboeken te kijken.
Vergis je niet, handmatig naar systeemlogboeken kijken is een waanzinnig saai werk. Ik ben er vrij zeker van dat er Dan Brown-romans zijn geweest die minder vervelend zijn dan dat - en dat zegt iets. Bovendien is het een taak die krankzinnige hoeveelheden precisie en aandacht voor detail vereist. Het is niet iets dat ik aanraad om het met de hand te doen.
Het is niet alleen de veiligheid die we nodig hebben om een oogje in het zeil te houden. Het is ook van cruciaal belang om de prestaties van een site te monitoren. Wordpress is traag - doe iets over dat met deze 10 stappen Wordpress is traag - doe iets over dat met deze 10 stappen Lees meer .
Zorgen dat uw site responsief en betrouwbaar is, staat centraal bij het garanderen van de voortdurende betrokkenheid van uw lezers. Volgens gigant KissMetrics van de website kan een vertraging van 1 seconde leiden tot een daling van de gebruikersbetrokkenheid met zeven procent, terwijl 40 procent van alle internetgebruikers zegt een website te verlaten als het meer dan drie seconden duurt om te laden. Inzicht in hoe uw website werkt, is een essentieel hulpmiddel in de strijd om ervoor te zorgen dat uw site snel en snel reageert.
Gelukkig zijn er enkele producten die deze taak veel eenvoudiger maken. En ze zijn er waarschijnlijk beter in dan je bent. Dit zijn er twee. En als u erop staat, zal ik u vertellen hoe u uw eigen kick-ass WordPress-monitoringsysteem kunt gebruiken.
De auditor
De Auditor ($ 249) is een plug-in met GPL-licentie waarmee WordPress-beheerders de veiligheid, prestaties en productiviteit van de gebruiker kunnen controleren.
Ik heb uit de eerste hand ervaring met het gebruik van deze plug-in, want ik had het geluk dat ik de mogelijkheid kreeg om het een paar jaar geleden te testen, toen het voor het eerst uitkwam. Mijn eerste indrukken ervan waren echt positief; sindsdien heeft het sprongen gemaakt.
De jongens erachter zijn Interconnect / IT, die ook veel WordPress-consultancy en -training in het Verenigd Koninkrijk doen, evenals enkele nuttige plug-ins en gebruikershandleidingen. Ze hebben een goede stamboom voor het doen van interessante dingen in de wereld van WordPress-ontwikkeling.
Als u de contanten voor The Auditor neerhaalt, ontvangt u niet alleen een kopie van de code, maar ook een aantal geweldige documentatie en levenslange ondersteuning. Oh, en het is door de gebruiker uitbreidbaar, hoewel je wel heel handig moet zijn met de PHP-programmeertaal.
Maar wat doet het eigenlijk? Geweldige vraag.
Allereerst controleert het op ongebruikelijke activiteit in uw WordPress-installatie. Als je in korte tijd een buitensporig aantal mislukte logins hebt gehad, of als een obscure gebruiker plotseling zijn permissies heeft zien stijgen in de stratosfeer, zul je weten.
Ten tweede kunt u aangepaste meldingen maken. Als u een nieuwe plug-in ontwikkelt en wilt observeren hoe deze zich gedraagt, kunt u toestaan dat deze berichten naar de auditor verzendt. Dit is cruciaal voor WordPress-ontwikkelaars die een meer algemeen beeld willen zien van hoe hun plug-in werkt.
Deze aangepaste logs zijn uitbreidbaar en kunnen door ontwikkelaars worden gebruikt om te registreren wat hun hart begeert. Een voorbeeld hiervan is het bijhouden van het aantal Twitter-volgers in de loop van de tijd.
De Auditor is nu beschikbaar, hoewel er een nieuwe versie van het softwarepakket opdoemt, wat een hele reeks nieuwe verbeteringen en toevoegingen oplevert, en een licentieregeling die de aanschafkosten vermindert.
Sucuri
Sucuri is een van de iets meer populaire proactieve WordPress beveiligingsinvoegtoepassingen Get A Security Makeover voor uw WordPress-site met WebsiteDefender Get a Security Makeover voor uw WordPress-site Met WebsiteDefender Met Wordpress populariteit steeds groter, veiligheidskwesties zijn nog nooit zo relevant geweest - maar niet alleen up-to-date blijven, hoe kan een beginner of gemiddelde gebruiker op de hoogte blijven? Zou je zelfs ... Lees nu meer over de markt. In tegenstelling tot de accountant - die tegen een vast tarief wordt geprijsd - brengt Sucuri jaarlijks kosten in rekening. De kosten nemen toe met het aantal Sucuri-implementaties dat u gebruikt.
Laten we praten over wat Sucuri naar de tafel brengt. Je hebt misschien geraden dat het gaat om een bewaking van gebeurtenissen, zodat je weet wanneer dingen mis zijn gegaan. Daarnaast kan Securi u ook waarschuwen voor potentiële problemen via sms, e-mail en Twitter. Hoewel idealiter de eerste zou zijn door een directe boodschap. Het is best ongemakkelijk als ze rondliepen in de litanie van beveiligingsproblemen die websites teisterden.
Bovendien wordt alle malware die op uw site is geïnjecteerd - hetzij door een niet-geauthentiseerde bestandsupload, hetzij door wat JavaScript ingevoegd via een cross-site scripting (XSS) -kwetsbaarheid - opgeschoond door Sucuri.
Als dat niet genoeg is, kunt u extra betalen voor Sucuri om een Web Application Firewall (WAF) aan uw website toe te voegen en browser-gebaseerde aanvallen aan de deur te stoppen. Deze werken door alle invoer te onderzoeken die aan uw website wordt doorgegeven, en die degenen te verwijderen die ogenschijnlijk kwaadaardig van aard zijn.
Een andere add-on-service aangeboden door Sucuri is automatische off-site back-ups. Het onderwerp van het maken van back-ups van WordPress is een gigantische, en een die uitgebreid is behandeld. Hoe maak je een geautomatiseerde externe back-up van je WordPress Blog? Hoe doe je een geautomatiseerde externe back-up van je WordPress-blog? Dit weekend werd mijn website gehackt voor de eerste keer ooit. Ik dacht dat het uiteindelijk een evenement was dat uiteindelijk zou plaatsvinden, maar ik voelde me nog steeds een beetje geschrokken. Ik had het geluk dat ik ... Lees meer in het verleden door mijn collega's.
Een van de meest overtuigende argumenten om Sucuri uw off-site back-ups te laten afhandelen, is de lage prijs. Vijf dollar zorgt ervoor dat uw site veilig wordt opgeslagen op de servers van Sucuri. U hoeft Sucuri niet te abonneren op het gebruik van Sucuri-back-ups en het is platformonafhankelijk, met als enige vereiste een * nix-box of een Windows-machine met PHP.
Vergis je niet, de nadruk van Sucuri ligt op veiligheid. Het is niet zo geweldig om te controleren hoe uw app presteert, en doet slechts één taak. Hoewel deze ene taak perfect wordt uitgevoerd, raad ik u ten zeerste aan dit product te controleren.
Doe het zelf
Vergis u niet, als u zich zorgen maakt over de veiligheid en de prestaties van uw WordPress-installatie, moet u echt een product van een derde partij gebruiken. Deze zijn gemaakt door mensen die hun dingen echt weten. Ze kennen de bedreigingen die er zijn, ze begrijpen hoe ze zich tegen hen kunnen verdedigen en ze weten wat ervoor zorgt dat jouw site langzamer draait dan een gepensioneerde in melasse.
Als u echter vastbesloten bent om uw eigen oplossing voor systeemmonitoring te gebruiken, hebt u de volgende componenten nodig.
De eerste is een hulpmiddel om het verkeer, lawaai en logs te analyseren. Deze kunnen achterblijven door een externe dreiging of door een tool die u hebt geïnstalleerd om vast te leggen hoe uw site presteert. Er zijn enorm veel producten op de markt, maar geen enkele heeft de nagellak die Splunk heeft.
Er is gewoon geen debat hier. Splunk is beter in het visualiseren en bevragen van logs dan andere producten op de markt, en ik raad het van harte aan. Ik heb het voor het eerst gebruikt toen het zich in een zeer vroege beta-status bevond. Sindsdien heeft het een bloeiend karakter en is het een krachtig hulpmiddel in het arsenaal van elke systeembeheerder.
Vervolgens moet je beginnen met het profileren van je applicatie. Dit betekent het verzamelen van enorme hoeveelheden informatie om te zien hoe het presteert, en er is maar één bepaald paard in deze race dat het waard is om over te praten. Je weet wie. Nieuwe relikwie.
Deze jongens kwamen een paar jaar geleden op het toneel, kregen enorme aandacht voor het eenvoudig in gebruik nemen en het verzamelen van enorme hoeveelheden prestatiestatistieken. Oh, en voor het weggeven van meer T-shirts dan een mascotte bij een basketbalspel.
Als ontwikkelaar heb ik nogal een zwak voor New Relic en heb ze zelf gebruikt in websites die ik heb ontwikkeld. Ik vind dat hun statistieken juist zijn en dat de plug-in die wordt gebruikt om ze vast te leggen relatief licht van gewicht is en gemakkelijk kan worden geïmplementeerd. Er is zelfs WordPress-specifieke documentatie!
De laatste tool in ons arsenaal is een WAF. Dit dient twee doelen. De eerste laat je weten of iemand pot-opnamen heeft gemaakt op jouw website. De tweede (zoals we eerder hebben besproken) is om aanvallen op uw site te beperken.
Als je met Apache werkt, is er maar één WAF waarover we het nodig hebben. Het heet Mod Security. Het is gemaakt door de jongens van Trustwave Security en het is gratis. Je kunt dat echt niet verslaan.
Als ze samen in een of andere vorm van samenhangend pakket worden gepropt, zou dit een artikel op zich zijn. Het is echt een gigantische taak en een die misschien meer problemen oplevert dan het waard is. Vooral als je bedenkt dat er pakketten zoals Auditor en Sucuri op de markt zijn. Als gevolg daarvan ga ik niet te veel in op details. Weet gewoon dat het mogelijk is.
Conclusie
In dit artikel hebben we gekeken naar twee killer-producten voor het bijhouden van tracks op uw WordPress-installatie en hoe u uw eigen oplossing kunt gebruiken. Met steeds meer bedrijven die WordPress gebruiken om hun online aanwezigheid te beheren, is het belang voor het waarborgen van de beveiliging van een website nog nooit zo groot geweest. En met sites die schreeuwen om oogbollen, is de noodzaak om uw site snel en veilig te houden nog nooit zo belangrijk geweest.
Ik zou echt geïnteresseerd zijn om je gedachten over dit onderwerp te horen. Stuur me een reactie hieronder.
Krijg veilige, betrouwbare WordPress-hosting met Bluehost. Meld u aan voor een account voor slechts $ 2,95 per maand.
Photo Credit: datacenter (Bob Mical)
Ontdek meer over: Bluehost, online beveiliging, webhosting, WordPress-plug-ins.