Ik moet een bekentenis afleggen. Ik ben echt lui.
Ik heb mijn eigen persoonlijke op WordPress gebaseerde blog, maar ondanks dat ik een geharde nerd ben, host ik het niet zelf. Ik kan me niet druk maken over het gedoe om er constant voor te zorgen dat mijn box niet is gepopt door een kwaadwillende internethacker. Ik wil niet verzanden in de verveling van ervoor te zorgen dat mijn VPS Leer alles over virtuele privéservers in twee minutenMet zoveel geweldige webhostingservices beschikbaar, is het moeilijk om de juiste te kiezen die aan uw behoeften voldoet. Lees verder is tot in het oneindige gepatcht en binnen een paar centimeter van zijn levensduur geconfigureerd om ondernemende onverlaten af te schrikken.
Maar dat ben ik. En jij dan?
Ongeacht hoe u ervoor kiest om uw WordPress-installatie te beheren, ik zou u geld willen geven als u zich zorgen maakt over beveiliging. Ik denk graag aan het omgaan met veiligheidsdreigingen in drie fasen.
Heeft u betrouwbare, betaalbare hosting nodig voor uw WordPress-site? Meld u aan bij Bluehost vanaf $ 2,95 / maand.
De stadia van beveiliging
De eerste komt voor een aanval. Hier probeert u ervoor te zorgen dat iedereen die de heilige grenzen van uw website wil compromitteren, wordt geconfronteerd met stijve weerstand en enorme hoeveelheden frustratie.
Vervolgens moet u controleren of uw site niet is gehackt. U zult constante waakzaamheid, een waakzaam oog en een Sherlock-achtige vaardigheid nodig hebben om afwijkingen in de werking van uw site op te merken.
Eindelijk, als het noodlot toeslaat, moet je weten hoe je er resoluut en zelfverzekerd mee om moet gaan. Daar gaan we volgende maand over praten, maar eerst wil ik het hebben over de tweede stap. Toezicht houden.
Monitoring van WordPress
Hollywood heeft ongelooflijk goed werk verricht door de computerhacker af te schilderen als een schimmig persoon en de digitale schaduwen te gronde te richten. De realiteit kan niet verder van de waarheid zijn.
Ja, ze werken waarschijnlijk ergens vanuit slecht verlichte kamers, dat zal ik je geven. Maar stil? Nee. Ze zijn luid, man.
Elke aanval op elke doos en elke website laat ergens een spoor achter in een logbestand. De manier waarop we de soorten bedreigingen begrijpen waarmee we worden geconfronteerd (of zijn geconfronteerd), is door naar de logboeken te kijken.
Vergis u niet, handmatig naar systeemlogboeken kijken is een waanzinnig vervelende klus. Ik ben er vrij zeker van dat er Dan Brown-romans zijn geweest die minder vervelend zijn dan dat - en dat zegt iets. Bovendien is het een taak die waanzinnige hoeveelheden precisie en aandacht voor detail vereist. Het is niet iets dat ik je met de hand aanbeveel.
Het is niet alleen beveiliging die we in de gaten moeten houden. Ook van cruciaal belang is het bewaken van de prestaties van een site Wordpress is traag - doe daar iets aan met deze 10 stappen Lees verder .
Ervoor zorgen dat uw site responsief en betrouwbaar is, is cruciaal om de voortdurende betrokkenheid van uw lezers te garanderen. Volgens website metrics gigant KissMetricskan een laadvertraging van 1 seconde resulteren in een daling van de gebruikersbetrokkenheid met zeven procent, terwijl 40 procent van alle internetgebruikers zegt dat ze een website zouden verlaten als het langer dan drie seconden duurt om te laden. Begrijpen hoe uw website werkt, is een essentieel hulpmiddel in de strijd om ervoor te zorgen dat uw site snel en responsief is.
Gelukkig zijn er enkele producten die deze taak veel gemakkelijker maken. En ze zijn er waarschijnlijk beter in dan jij. Hier zijn er twee. En als je erop staat, vertel ik je hoe je je eigen geweldige WordPress-bewakingssysteem kunt gebruiken.
De accountant
The Auditor ($ 249) is een plug-in met GPL-licentie waarmee WordPress-beheerders sitebeveiliging, prestaties en gebruikersproductiviteit kunnen bewaken.
Ik heb uit de eerste hand ervaring met het gebruik van deze plug-in, want ik had het geluk dat ik de kans kreeg om het een paar jaar geleden te testen toen het voor het eerst uitkwam. Mijn eerste indrukken waren echt positief; sindsdien heeft het grote sprongen gemaakt.
De jongens erachter zijn Interconnect / IT, die ook veel WordPress-consultancy en -training doen in het VK, en ook enkele handige plug-ins en gebruikershandleidingen maken. Ze hebben een behoorlijke stamboom voor het doen van interessante dingen in de wereld van WordPress-ontwikkeling.
Het geld voor The Auditor naar beneden halen, levert niet alleen een kopie van de code op, maar ook wat geweldige documentatie en levenslange ondersteuning. Oh, en het is uitbreidbaar door de gebruiker, hoewel je best handig moet zijn met de programmeertaal PHP.
Maar wat doet het eigenlijk? Geweldige vraag.
Ten eerste controleert het op ongebruikelijke activiteit op uw WordPress-installatie. Als u in korte tijd een buitensporige hoeveelheid mislukte aanmeldingen heeft gehad, of als een obscure gebruiker plotseling zijn rechten in de stratosfeer heeft zien toenemen, weet u dat.
Ten tweede kunt u aangepaste meldingen maken. Als u een nieuwe plug-in ontwikkelt en u wilt zien hoe deze zich gedraagt, kunt u toestaan dat deze berichten naar The Auditor stuurt. Dit is cruciaal voor WordPress-ontwikkelaars die een meer globaal beeld willen zien van hoe hun plug-in werkt.
Deze aangepaste logboeken zijn uitbreidbaar en kunnen door ontwikkelaars worden gebruikt om te registreren wat hun hartje begeert. Een voorbeeld hiervan is het monitoren van het aantal Twitter-volgers op een schrijfpersoneel in de tijd.
De Auditor is nu beschikbaar, hoewel er een nieuwe release van het softwarepakket op komst is, die een hele reeks nieuwe verbeteringen en toevoegingen met zich meebrengt, en een licentieschema dat de aanschafkosten verlaagt.
Sucuri
Sucuri is een van de iets populairdere proactieve WordPress-beveiligingsplug-ins Krijg een Security Makeover voor uw WordPress-site met WebsiteDefenderNu de populariteit van Wordpress steeds groter wordt, zijn beveiligingsproblemen nog nooit zo relevant geweest - maar hoe kan een beginner of gebruiker van een gemiddeld niveau, behalve gewoon up-to-date blijven, op de hoogte blijven? Zou je zelfs ... Lees verder op de markt nu. In tegenstelling tot de accountant - die een vast tarief heeft - brengt Sucuri jaarlijks kosten in rekening. De kosten stijgen met het aantal Sucuri-implementaties dat u gebruikt.
Laten we het hebben over wat Sucuri op tafel brengt. Je hebt misschien geraden dat het wordt geleverd met wat eventmonitoring, zodat je weet wanneer er iets mis is gegaan. Daarnaast kan Securi u ook waarschuwen voor mogelijke problemen via sms, e-mail en Twitter. Hoewel idealiter de eerste via een directe boodschap zou zijn. Het is nogal ongemakkelijk als ze de litanie van beveiligingsproblemen die websites teisteren, tweeten.
Bovendien, alle malware die op uw site wordt geïnjecteerd - hetzij via een niet-geautoriseerde bestandsupload of met wat JavaScript ingevoegd via een cross site scripting (XSS) kwetsbaarheid - wordt opgeruimd door Sucuri.
Als dat niet genoeg is, kunt u Sucuri extra betalen om een Web Application Firewall (WAF) aan uw website toe te voegen, waardoor browsergebaseerde aanvallen aan de deur worden gestopt. Deze werken door alle ingangen die naar uw website zijn gestuurd te onderzoeken en die te verwijderen die ogenschijnlijk kwaadaardig van aard zijn.
Een andere add-on-service die door Sucuri wordt aangeboden, zijn automatische off-site back-ups. Het onderwerp van het maken van een back-up van WordPress is enorm, en dat is het ook geweest uitgebreid bedekt Hoe u een geautomatiseerde externe back-up van uw WordPress-blog kunt makenDit weekend is mijn website voor het eerst gehackt. Ik dacht dat het een evenement was dat uiteindelijk zou gebeuren, maar ik voelde me nog steeds een beetje geschokt. Ik had het geluk dat ik ... Lees verder in het verleden door mijn collega's.
Een van de meer overtuigende argumenten om Sucuri uw off-site back-ups te laten afhandelen, is de lage prijs. Vijf dollar zorgt ervoor dat uw site veilig wordt opgeslagen op de servers van Sucuri. U hoeft geen abonnee van Sucuri te zijn om Sucuri-back-ups te gebruiken, en het is platformonafhankelijk, met als enige vereiste een * nix-box of een Windows-machine met PHP.
Vergis u niet, de nadruk van Sucuri ligt op veiligheid. Het is niet zo geweldig om te controleren hoe uw app presteert, en doet maar één taak. Hoewel deze ene taak perfect wordt uitgevoerd, raad ik u ten zeerste aan dit product te bekijken.
Doe het zelf
Vergis u niet, als u zich zorgen maakt over de beveiliging en prestaties van uw WordPress-installatie, moet u echt een product van derden gebruiken. Deze zijn gemaakt door mensen die hun spullen echt kennen. Ze kennen de bedreigingen die er zijn, ze begrijpen hoe ze zich ertegen moeten verdedigen, en ze weten waarom uw site langzamer werkt dan een gepensioneerde die bedekt is met stroop.
Als u echter absoluut vastbesloten bent om uw eigen oplossing voor systeembewaking te gebruiken, heeft u de volgende componenten nodig.
De eerste is een tool om het verkeer, lawaai en logs te analyseren. Deze kunnen worden achtergelaten door een externe bedreiging of door een tool die u heeft geïnstalleerd om vast te leggen hoe uw site presteert. Er zijn enorm veel producten op de markt, maar geen enkele heeft dat Splunk heeft.
Er is hier gewoon geen debat. Splunk is beter in het visualiseren en bevragen van logs dan alle andere producten op de markt, en ik raad het van harte aan. Ik gebruikte het voor het eerst toen het in een zeer vroege bètastaat was. Sindsdien is het tot bloei gekomen en is het een krachtig hulpmiddel in het arsenaal van elke systeembeheerder.
Vervolgens moet u beginnen met het profileren van uw aanvraag. Dit betekent dat je enorme hoeveelheden informatie moet verzamelen om te zien hoe het presteert, en er is maar één bepaald paard in deze race dat het waard is om over te praten. Je weet wie. Nieuwe relikwie.
Deze jongens zijn pas een paar jaar geleden op het toneel verschenen, kregen veel aandacht omdat ze eenvoudig te implementeren waren en verzamelden enorme hoeveelheden prestatiestatistieken. Oh, en voor het weggeven van meer T-shirts dan een mascotte bij een basketbalspel.
Als ontwikkelaar heb ik een vrij zwak voor New Relic en heb ze zelf gebruikt in websites die ik heb ontwikkeld. Ik vind dat hun statistieken accuraat zijn en de plug-in die wordt gebruikt om ze op te nemen, is relatief lichtgewicht en gemakkelijk te implementeren. Er is zelfs WordPress-specifieke documentatie!
De laatste tool in ons arsenaal is een WAF. Dit heeft twee doelen. De eerste laat je weten of iemand pot-shots heeft gemaakt op je website. De tweede (zoals we eerder hebben besproken) is om aanvallen op uw site te beperken.
Als je Apache gebruikt, is er maar één WAF waar we het over moeten hebben. Het heet Mod Beveiliging. Het is gemaakt door de jongens van Trustwave Beveiliging en het is gratis. Daar kun je echt niet tegenop.
Deze samenvoegen tot een vorm van samenhangend pakket zou een artikel op zich zijn. Het is echt een gigantische taak, en eentje die misschien meer moeite dan de moeite waard is. Zeker als je bedenkt dat er pakketten als Auditor en Sucuri op de markt zijn. Als gevolg hiervan ga ik niet op te veel details in. Weet gewoon dat het mogelijk is.
Conclusie
In dit artikel hebben we gekeken naar twee geweldige producten voor het bijhouden van uw WordPress-installatie en hoe u uw eigen oplossing kunt gebruiken. Nu steeds meer bedrijven WordPress gebruiken om hun online aanwezigheid te beheren, is het belang om de beveiliging van een website te garanderen nog nooit zo groot geweest. En met sites die om oogbollen schreeuwen, was de noodzaak om uw site snel en veilig te houden nog nooit zo belangrijk geweest.
Ik zou heel graag uw mening over dit onderwerp willen horen. Stuur me een reactie hieronder.
Ontvang veilige, betrouwbare WordPress-hosting met Bluehost. Meld je aan voor een account voor slechts $ 2,95 / maand.
Fotocredit: Datacenter (Bob Mical)
Matthew Hughes is een softwareontwikkelaar en schrijver uit Liverpool, Engeland. Hij wordt zelden gevonden zonder een kopje sterke zwarte koffie in zijn hand en is dol op zijn Macbook Pro en zijn camera. Je kunt zijn blog lezen op http://www.matthewhughes.co.uk en volg hem op twitter op @matthewhughes.
