Ich muss etwas gestehen. Ich bin wirklich faul.
Ich habe mein eigenes WordPress-basiertes Blog, aber obwohl ich ein hartgesottener Geek bin, hoste ich es nicht selbst. Ich kann mir nicht die Mühe machen, ständig sicherzustellen, dass meine Box nicht von einem böswilligen Internet-Hacker geknallt wurde. Ich möchte nicht mit der Langeweile von festsitzen dafür sorgen, dass mein VPS Erfahren Sie in zwei Minuten alles über virtuelle private ServerBei so vielen großartigen Webhosting-Diensten ist es schwierig, den richtigen für Ihre Anforderungen zu finden. Weiterlesen ist auf unendlich gepatcht und innerhalb eines Zentimeters seiner Lebensdauer konfiguriert, um jeden unternehmungslustigen Schurken abzuhalten.
Aber das bin ich. Was ist mit Ihnen?
Unabhängig davon, wie Sie Ihre WordPress-Installation verwalten, würde ich Geld dafür investieren, dass Sie sich Sorgen um die Sicherheit machen. Ich denke gerne daran, Sicherheitsbedrohungen in drei Schritten zu behandeln.
Benötigen Sie zuverlässiges, erschwingliches Hosting für Ihre WordPress-Site? Melden Sie sich bei Bluehost ab 2,95 USD / Monat an.
Die Stufen der Sicherheit
Der erste kommt vor einem Angriff. Hier versuchen Sie sicherzustellen, dass jeder, der versuchen würde, die heiligen Grenzen Ihrer Website zu gefährden, auf heftigen Widerstand und immense Frustration stößt.
Als Nächstes müssen Sie überprüfen, ob Ihre Website nicht kompromittiert wurde. Sie benötigen ständige Wachsamkeit, ein wachsames Auge und die Fähigkeit im Sherlock-Stil, Anomalien beim Betrieb Ihrer Website zu bemerken.
Wenn eine Katastrophe eintritt, müssen Sie schließlich wissen, wie Sie entschlossen und sicher damit umgehen können. Wir werden nächsten Monat darüber sprechen, aber zuerst möchte ich über den zweiten Schritt sprechen. Überwachung.
WordPress überwachen
Hollywood hat einen unglaublichen Job gemacht, indem es den Computerhacker als ein schattiges Individuum porträtierte, das die digitalen Schatten verwüstet. Die Realität könnte nicht weiter von der Wahrheit entfernt sein.
Ja, sie arbeiten wahrscheinlich irgendwo in schwach beleuchteten Räumen, das gebe ich dir. Aber ruhig? Nein, nein. Sie sind laut, Mann.
Jeder Angriff auf jede Box und jede Website hinterlässt irgendwo eine Spur in einer Protokolldatei. Wir verstehen die Arten von Bedrohungen, denen wir ausgesetzt sind (oder denen wir ausgesetzt waren), indem wir uns die Protokolle ansehen.
Machen Sie keinen Fehler, das manuelle Betrachten von Systemprotokollen ist eine wahnsinnig mühsame Aufgabe. Ich bin mir ziemlich sicher, dass es Dan Brown-Romane gegeben hat, die weniger langweilig sind - und das sagt etwas aus. Darüber hinaus ist es eine Aufgabe, die unglaublich viel Präzision und Liebe zum Detail erfordert. Ich empfehle Ihnen nicht, dies von Hand zu tun.
Es ist nicht nur die Sicherheit, die wir im Auge behalten müssen. Entscheidend ist auch die Überwachung der Leistung einer Website Wordpress ist langsam - Machen Sie mit diesen 10 Schritten etwas dagegen Weiterlesen .
Die Sicherstellung, dass Ihre Website reaktionsschnell und zuverlässig ist, ist entscheidend, um das kontinuierliche Engagement Ihrer Leser sicherzustellen. Gemäß Website-Metrik-Riese KissMetricsEine Ladeverzögerung von 1 Sekunde kann zu einem Rückgang der Benutzerinteraktion um sieben Prozent führen, während 40 Prozent aller Internetnutzer angeben, dass sie eine Website verlassen würden, wenn das Laden länger als drei Sekunden dauert. Das Verständnis der Funktionsweise Ihrer Website ist ein wichtiges Instrument, um sicherzustellen, dass Ihre Website schnell und reaktionsschnell ist.
Zum Glück gibt es einige Produkte, die diese Aufgabe erheblich erleichtern. Und sie sind wahrscheinlich besser darin als Sie. Hier sind zwei davon. Und wenn Sie darauf bestehen, werde ich Ihnen sagen, wie Sie Ihr eigenes WordPress-Überwachungssystem entwickeln können.
Der Wirtschaftsprüfer
Der Auditor (249 US-Dollar) ist ein GPL-lizenziertes Plugin, mit dem WordPress-Administratoren die Sicherheit, Leistung und Benutzerproduktivität von Websites überwachen können.
Ich habe Erfahrungen aus erster Hand mit diesem Plugin gesammelt, da ich das Glück hatte, es vor ein paar Jahren testen zu können, als es herauskam. Meine ersten Eindrücke davon waren wirklich positiv; seitdem hat es sprunghaft gemacht.
Die Leute dahinter sind Verbindung / IT, die auch viel WordPress-Beratung und -Schulung in Großbritannien durchführen und einige nützliche Plugins und Benutzerhandbücher erstellen. Sie haben einen ziemlichen Stammbaum für interessante Dinge in der Welt der WordPress-Entwicklung.
Wenn Sie das Geld für The Auditor ausgeben, erhalten Sie nicht nur eine Kopie des Codes, sondern auch eine hervorragende Dokumentation und lebenslange Unterstützung. Oh, und es ist vom Benutzer erweiterbar, obwohl Sie mit der PHP-Programmiersprache ziemlich vertraut sein müssen.
Aber was macht es eigentlich? Gute Frage.
Erstens wird Ihre WordPress-Installation auf ungewöhnliche Aktivitäten überprüft. Wenn Sie in kurzer Zeit übermäßig viele fehlgeschlagene Anmeldungen hatten oder wenn ein obskurer Benutzer plötzlich gesehen hat, dass seine Berechtigungen in die Stratosphäre angehoben wurden, wissen Sie Bescheid.
Zweitens können Sie benutzerdefinierte Warnungen erstellen. Wenn Sie ein neues Plugin entwickeln und dessen Verhalten beobachten möchten, können Sie zulassen, dass es Nachrichten an The Auditor sendet. Dies ist von entscheidender Bedeutung für WordPress-Entwickler, die ein globaleres Bild der Funktionsweise ihres Plugins erhalten möchten.
Diese benutzerdefinierten Protokolle sind erweiterbar und können von Entwicklern verwendet werden, um zu registrieren, was auch immer ihr Herz begehrt. Ein solcher Anwendungsfall hierfür ist die Überwachung der Anzahl der Twitter-Follower in einem Schreibpersonal im Laufe der Zeit.
Der Auditor ist ab sofort verfügbar, obwohl sich eine neue Version des Softwarepakets abzeichnet, die eine Reihe neuer Verbesserungen und Ergänzungen sowie ein Lizenzierungsschema mit sich bringt, das die Anschaffungskosten senkt.
Sucuri
Sucuri ist eine der etwas populäreren proaktiven WordPress-Sicherheits-Plugins Holen Sie sich mit WebsiteDefender ein Sicherheits-Makeover für Ihre WordPress-SiteAngesichts der zunehmenden Beliebtheit von Wordpress waren Sicherheitsprobleme noch nie so relevant - aber wie kann ein Anfänger oder ein durchschnittlicher Benutzer nicht nur auf dem Laufenden bleiben, sondern auch den Überblick behalten? Würden Sie sogar ... Weiterlesen jetzt auf dem Markt. Im Gegensatz zum Wirtschaftsprüfer, der zu einem Pauschalpreis angeboten wird, berechnet Sucuri eine jährliche Gebühr. Die Kosten steigen mit der Anzahl der von Ihnen verwendeten Sucuri-Bereitstellungen.
Lassen Sie uns darüber sprechen, was Sucuri auf den Tisch bringt. Sie haben vielleicht vermutet, dass es sich um eine Ereignisüberwachung handelt, die Sie darüber informiert, wenn etwas schief gelaufen ist. Darüber hinaus kann Securi Sie per SMS, E-Mail und Twitter auf potenzielle Probleme aufmerksam machen. Ersteres wäre jedoch idealerweise eine direkte Nachricht. Es ist ziemlich umständlich, wenn sie die Litanei von Sicherheitsproblemen, die Websites plagen, twittern.
Darüber hinaus jede Malware, die in Ihre Website eingeschleust wird - entweder durch einen nicht bereinigten Datei-Upload oder mit etwas JavaScript, das über eine XSS-Sicherheitsanfälligkeit (Cross Site Scripting) eingefügt wurde - wird von bereinigt Sucuri.
Wenn dies nicht ausreicht, können Sie für Sucuri einen Aufpreis zahlen, um Ihrer Website eine Web Application Firewall (WAF) hinzuzufügen und so browserbasierte Angriffe an der Tür zu stoppen. Diese funktionieren, indem alle auf Ihre Website übertragenen Eingaben untersucht und diejenigen verworfen werden, die angeblich böswilliger Natur sind.
Ein weiterer von Sucuri angebotener Add-On-Service sind automatische Off-Site-Backups. Das Thema der Sicherung von WordPress ist ein Mammutthema, und eines, das es war ausführlich abgedeckt So führen Sie eine automatisierte Remote-Sicherung Ihres Wordpress-Blogs durchDieses Wochenende wurde meine Website zum ersten Mal gehackt. Ich dachte, es wäre ein Ereignis, das irgendwann passieren würde, aber ich fühlte mich immer noch ein bisschen schockiert. Ich hatte Glück, dass ich ... Weiterlesen in der Vergangenheit von meinen Kollegen.
Eines der überzeugenderen Argumente dafür, dass Sucuri Ihre externen Backups verwalten kann, ist der niedrige Preis. Fünf Dollar sorgen dafür, dass Ihre Website sicher auf den Servern von Sucuri gespeichert wird. Sie müssen kein Abonnent von Sucuri sein, um Sucuri-Backups verwenden zu können, und es ist plattformunabhängig. Die einzige Voraussetzung ist eine * nix-Box oder ein Windows-Computer, auf dem PHP ausgeführt wird.
Machen Sie keinen Fehler, der Schwerpunkt von Sucuri liegt auf Sicherheit. Es ist nicht besonders gut zu überwachen, wie Ihre App funktioniert, und erledigt nur eine Aufgabe. Obwohl diese eine Aufgabe perfekt ausgeführt wird, empfehle ich Ihnen dringend, dieses Produkt auszuprobieren.
Mach es selbst
Machen Sie keinen Fehler, wenn Sie über die Sicherheit und Leistung Ihrer WordPress-Installation besorgt sind, sollten Sie wirklich ein Produkt eines Drittanbieters verwenden. Diese werden von Leuten gemacht, die sich wirklich auskennen. Sie kennen die Bedrohungen da draußen, sie verstehen es, sich gegen sie zu verteidigen, und sie wissen, warum Ihre Website langsamer läuft als ein Rentner, der mit Melasse bedeckt ist.
Wenn Sie jedoch absolut entschlossen sind, Ihre eigene Systemüberwachungslösung zu entwickeln, benötigen Sie die folgenden Komponenten.
Das erste ist ein Tool zur Analyse von Verkehr, Lärm und Protokollen. Diese können durch eine externe Bedrohung oder durch ein von Ihnen installiertes Tool zur Aufzeichnung der Leistung Ihrer Website hinterlassen werden. Es gibt eine große Menge von Produkten auf dem Markt, aber keine hat die Politur, die Splunk hat.
Hier gibt es einfach keine Debatte. Splunk kann Protokolle besser visualisieren und abfragen als alle anderen Produkte auf dem Markt, und ich empfehle es von Herzen. Ich habe es zum ersten Mal verwendet, als es sich in einem sehr frühen Beta-Zustand befand. Seitdem hat es floriert und ist ein mächtiges Werkzeug im Arsenal eines jeden Systemadministrators.
Als Nächstes müssen Sie mit der Profilerstellung Ihrer Anwendung beginnen. Dies bedeutet, große Mengen an Informationen zu sammeln, um zu sehen, wie es funktioniert, und es gibt nur ein bestimmtes Pferd in diesem Rennen, über das es sich zu sprechen lohnt. Sie wissen, wer. Neues Relikt.
Diese Jungs sind erst vor ein paar Jahren auf die Bühne gekommen und haben große Aufmerksamkeit auf sich gezogen, weil sie einfach zu implementieren sind, und haben riesige Mengen an Leistungsstatistiken gesammelt. Oh, und dafür, dass Sie bei einem Basketballspiel mehr T-Shirts als ein Maskottchen verschenken.
Als Entwickler habe ich ein ziemliches Faible für New Relic und habe sie selbst in von mir entwickelten Websites verwendet. Ich finde, dass ihre Statistiken korrekt sind und das Plugin, mit dem sie aufgezeichnet wurden, relativ leicht und einfach bereitzustellen ist. Es gibt sogar WordPress-spezifische Dokumentation!
Das letzte Werkzeug in unserem Arsenal ist eine WAF. Dies dient zwei Zwecken. Der erste informiert Sie darüber, ob jemand auf Ihrer Website Pot-Shots gemacht hat. Die zweite Möglichkeit (wie bereits erwähnt) besteht darin, Angriffe auf Ihre Website abzuwehren.
Wenn Sie Apache ausführen, gibt es nur eine WAF, über die wir sprechen müssen. Es heißt Mod Sicherheit. Es wurde von den Jungs von erstellt Vertrauenswelle Sicherheit und es ist kostenlos. Das kann man wirklich nicht übertreffen.
Diese zu einem zusammenhängenden Paket zusammenzufassen, wäre ein Artikel für sich. Es ist wirklich eine Mammutaufgabe, die mehr Probleme bereiten kann, als es wert ist. Besonders wenn man bedenkt, dass es Pakete wie Auditor und Sucuri auf dem Markt gibt. Daher werde ich nicht auf zu viele Details eingehen. Wisse nur, dass es möglich ist.
Fazit
In diesem Artikel haben wir uns zwei Killerprodukte angesehen, mit denen Sie Ihre WordPress-Installation verfolgen und wie Sie Ihre eigene Lösung entwickeln können. Da immer mehr Unternehmen WordPress zur Verwaltung ihrer Online-Präsenz verwenden, war die Bedeutung für die Gewährleistung der Sicherheit einer Website nie größer. Und da Websites nach Augäpfeln verlangen, war es noch nie so wichtig, Ihre Website schnell und sicher zu halten.
Es würde mich sehr interessieren, Ihre Gedanken zu diesem Thema zu hören. Schreiben Sie mir unten einen Kommentar.
Holen Sie sich sicheres, zuverlässiges WordPress-Hosting mit Bluehost. Für einen Account anmelden bei nur 2,95 $ / Monat.
Fotokredit: Rechenzentrum (Bob Mical)
Matthew Hughes ist ein Softwareentwickler und Autor aus Liverpool, England. Er wird selten ohne eine Tasse starken schwarzen Kaffee in der Hand gefunden und liebt sein Macbook Pro und seine Kamera. Sie können seinen Blog unter lesen http://www.matthewhughes.co.uk und folge ihm auf Twitter unter @matthewhughes.
