Jag har en bekännelse att göra. Jag är riktigt lat.
Jag har min egen personliga WordPress-baserade blogg, men trots att jag är en härdad nörd - är jag inte värd för den själv. Jag kan inte bry mig om att hantera besväret med att ständigt se till att min låda inte har blivit spruten av en ondskapsfull Internet-hacker. Jag vill inte bli fast i tedium av säkerställa att min VPS Lär dig allt om virtuella privata servrar på två minuterMed så många fantastiska webbhotelltjänster tillgängliga är det svårt att bestämma den rätta som passar dina behov. Läs mer är patched till oändligt, och konfigureras inom en tum av sitt liv för att avskräcka alla initiativrika missuppfattningar.
Men det är jag. Hur är det med dig?
Oavsett hur du väljer att hantera din WordPress-installation, skulle jag lägga pengar på att du är orolig för säkerhet. Jag tycker om att hantera säkerhetshot i tre steg.
Behöver du pålitlig, prisvärd webbhotell för din WordPress-webbplats? Registrera dig med Bluehost från $ 2,95 per månad.
Säkerhetsstadierna
Den första kommer före en attack. Här försöker du säkerställa att den som vill försöka kompromissa med den hängivna gränsen på din webbplats möts med hårt motstånd och enorma mängder frustration.
Därefter måste du kontrollera att din webbplats inte har äventyrats. Du kommer att behöva ständig vaksamhet, ett vakande öga och en Sherlock-stil förmåga att märka avvikelser i driften av din webbplats.
Slutligen, när katastrofen slår till, kommer du att behöva veta hur du ska hantera den beslutsamt och säkert. Vi kommer att prata om det nästa månad, men först vill jag prata om det andra steget. Övervakning.
Övervaka WordPress
Hollywood har gjort ett otroligt jobb med att framställa datahacker som en skuggig individ och förstöra förödelse från de digitala skuggorna. Verkligheten kunde inte vara längre från sanningen.
Ja, de arbetar förmodligen från svagt upplysta rum någonstans, det ska jag ge dig. Men tyst? Nah. De är högt, man.
Varje attack på varje ruta och varje webbplats lämnar ett spår på en loggfil någonstans. Hur vi förstår vilka typer av hot vi står inför (eller har mött) är genom att titta på stockarna.
Gör inget misstag, att manuellt titta på systemloggar är ett vansinnigt tråkigt jobb. Jag är ganska säker på att det har funnits Dan Brown-romaner som är mindre tråkiga än så - och det säger något. Dessutom är det en uppgift som kräver vansinniga mängder precision och uppmärksamhet på detaljer. Det är inte något jag rekommenderar att du gör för hand.
Det är inte bara säkerhet som vi behöver för att hålla ett vakande öga över. Också mycket viktigt är att övervaka prestanda för en webbplats Wordpress är långsam - Gör något åt det med dessa 10 steg Läs mer .
Att säkerställa att din webbplats är lyhörd och pålitlig är avgörande för att säkerställa att dina läsare fortsätter att engagera sig. Enligt webbplatsmetrics jätte KissMetrics, en 1 sekunders belastningsfördröjning kan resultera i en minskning av användarnas engagemang med sju procent, medan 40 procent av alla internetanvändare säger att de skulle överge en webbplats om det tar mer än tre sekunder att ladda. Att förstå hur din webbplats fungerar är ett viktigt verktyg i kampen för att se till att din webbplats är snabb och lyhörd.
Tack och lov finns det några produkter som gör denna uppgift mycket enklare. Och de är nog bättre på det än du är. Här är två av dem. Och om du insisterar, säger jag hur du kan rulla ditt eget kick-ass WordPress-övervakningssystem.
Revisorn
Revisorn ($ 249) är ett GPL-licensierat plugin som tillåter WordPress-administratörer att övervaka webbplatsens säkerhet, prestanda och användarproduktivitet.
Jag har erfarenhet från första hand med att använda det här insticksprogrammet, eftersom jag hade turen att få möjlighet att provköra det för ett par år tillbaka, när det först kom ut. Mitt första intryck av det var riktigt positivt; sedan dess har det gjort hopp och gränser.
Killen bakom det är Interconnect / IT, som också gör en hel del WordPress-konsultation och utbildning i Storbritannien, samt skapar några användbara plugins och användarguider. De har en ganska stamtavla för att göra intressanta saker i världen av WordPress-utveckling.
Genom att plocka ner kontanter för revisoren får du inte bara en kopia av koden, utan också en viss stjärndokumentation och livstidsstöd. Åh, och det är användarutdragbart, även om du behöver vara ganska praktiskt med PHP-programmeringsspråket.
Men vad gör det faktiskt? Stor fråga.
Först kontrollerar det om det är ovanligt med din WordPress-installation. Om du har haft en överdriven mängd misslyckade inloggningar på kort tid, eller om en obskur användare plötsligt har sett sina behörigheter höjas i stratosfären, vet du det.
För det andra kan du skapa anpassade varningar. Om du utvecklar ett nytt plugin och du vill se hur det fungerar kan du låta det skicka meddelanden till revisoren. Detta är avgörande för WordPress-utvecklare som vill se en mer global bild av hur deras plugin fungerar.
Dessa anpassade loggar är utdragbara och kan användas av utvecklare för att registrera vad deras hjärta önskar. Ett sådant användningsfall för detta är att övervaka antalet Twitter-följare på en skrivande personal över tid.
Revisorn är tillgänglig nu, även om en ny utgåva av programvarupaketet är på väg, vilket innebär en mängd nya förbättringar och tillägg, och ett licenssystem som minskar anskaffningskostnaderna.
Sucuri
Sucuri är en av de lite mer populära proaktiva WordPress-säkerhetsplugins Skaffa en säkerhets Makeover för din WordPress-webbplats med WebsiteDefenderMed Wordpress-popularitet som alltmer ökar har säkerhetsfrågor aldrig varit mer relevanta - men annat än att bara hålla sig uppdaterad, hur kan en nybörjare eller en genomsnittlig användare hålla sig uppdaterad? Skulle du ens ... Läs mer på marknaden just nu. Till skillnad från revisoren - som prissätts till en fast ränta - debiterar Sucuri årligen. Kostnaden ökar med antalet Sucuri-distributioner du använder.
Låt oss prata om vad Sucuri tar med sig till bordet. Du kanske har gissat att det kommer med en viss händelseövervakning, så att du vet när saker har gått fel. Förutom detta kan Securi också varna dig om potentiella problem via SMS, e-post och Twitter. Även om det för det första skulle vara det direktmeddelandet. Det är ganska besvärligt om de gick runt och tweetade litanierna om säkerhetsfrågor som plågar webbplatser.
Dessutom, all skadlig kod som injiceras på din webbplats - antingen genom en oaniterad filuppladdning eller med något JavaScript infogat via en XSS-sårbarhet (cross site scripting) - rensas upp av Sucuri.
Om det inte räcker kan du betala extra för Sucuri att lägga till en webbapplikations Firewall (WAF) på din webbplats och stoppa webbläsarbaserade attacker vid dörren. Dessa fungerar genom att undersöka alla ingångar som skickas till din webbplats och kassera de som är uppenbarligen skadliga till sin natur.
En annan tilläggstjänst som erbjuds av Sucuri är automatiska säkerhetskopior utanför webbplatsen. Motivet för att säkerhetskopiera WordPress är en mammut och det har varit det täckt i längd Så här gör du en automatisk fjärrkontroll av din Wordpress-bloggI helgen hackades min webbplats för första gången någonsin. Jag tänkte att det var en händelse som skulle hända så småningom, men jag kände fortfarande lite chockad. Jag hade tur att jag ... Läs mer i det förflutna av mina kollegor.
Ett av de mer övertygande argumenten för att låta Sucuri hantera dina säkerhetskopior utanför webbplatsen är dess låga prispunkt. Fem dollar säkerställer att din webbplats är säkert lagrad på Sucuris servrar. Du behöver inte vara en abonnent på Sucuri för att använda Sucuri-säkerhetskopior, och det är plattformsagnostiskt med det enda kravet som är en * nix-ruta, eller en Windows-maskin som kör PHP.
Gör inget misstag, betoning av Sucuri är en säkerhet. Det är egentligen inte så bra att övervaka hur din app presterar och bara en uppgift. Även om den här uppgiften utförs perfekt, och som ett resultat rekommenderar jag starkt att du kolla in den här produkten.
Gör det själv
Gör inget misstag, om du är orolig för säkerheten och prestandan för din WordPress-installation, bör du verkligen använda en tredjepartsprodukt. Dessa är gjorda av människor som verkligen känner till sina saker. De känner till hoten där ute, de förstår hur de kan försvara sig mot dem, och de vet vad som gör att din webbplats går långsammare än en pensionär som är täckt av melass.
Men om du absolut är fast besluten att rulla din egen systemövervakningslösning kommer du att behöva följande komponenter.
Den första är ett verktyg för att analysera trafik, buller och loggar. Dessa kan lämnas av ett externt hot, eller av ett verktyg som du har installerat för att registrera hur din webbplats presterar. Det finns en enorm mängd produkter på marknaden, men ingen har polermedel det Splunk har.
Det är bara ingen debatt här. Splunk är bättre på att visualisera och fråga loggar än andra produkter på marknaden, och jag rekommenderar det varmt. Jag använde det först när det var i ett mycket tidigt betatillstånd. Sedan dess har det blommat och är ett kraftfullt verktyg i arsenal för alla systemadministratörer.
Därefter kommer du att behöva profilera din ansökan. Detta innebär att samla in enorma mängder information för att se hur den presterar, och det finns bara en särskild häst i det här loppet som är värt att prata om. Du vet vem. Ny relik.
Dessa killar brast ut på scenen för bara några år sedan och fick enorma mängder uppmärksamhet för att vara enkla att implementera och samla enorma mängder prestationsstatistik. Åh, och för att ge bort fler T-shirts än en maskot i ett basketspel.
Som utvecklare själv har jag fått en ganska mjuk plats för New Relic och har använt dem själv på webbplatser jag har utvecklat. Jag tycker att deras statistik är korrekt och plugin som används för att spela in dem är relativt lätt och lätt att distribuera. Det finns till och med WordPress-specifik dokumentation!
Det sista verktyget i vårt arsenal är en WAF. Detta tjänar två syften. Den första låter dig veta om någon har tagit pot-shots på din webbplats. Den andra (som vi tidigare diskuterat) är att mildra mot attacker på din webbplats.
Om du kör Apache, finns det bara en WAF som vi behöver prata om. Det heter Mod Security. Det är skapat av killarna kl Trustwave Säkerhet, och det är gratis. Du kan verkligen inte slå det.
Att samla dessa i någon form av sammanhängande paket skulle utgöra en artikel i sig. Det är verkligen en enorm uppgift, och en som kan vara mer besvär än den är värd. Särskilt när du tänker på att det finns paket som revisor och Sucuri på marknaden. Som ett resultat kommer jag inte gå in på för många detaljer. Vet bara att det är möjligt.
Slutsats
I den här artikeln tittade vi på två mördarprodukter för att hålla spår på din WordPress-installation, samt hur du kan rulla din egen lösning. Med fler och fler företag som använder WordPress för att hantera sin online-närvaro har vikten för att säkerställa säkerheten på en webbplats aldrig varit större. Och med sajter som kämpar för ögongulor har behovet av att hålla din webbplats snabbt och säkert aldrig varit så viktigt.
Jag skulle verkligen vara intresserad av att höra dina tankar om detta ämne. Släpp en kommentar nedan.
Få säker, pålitlig WordPress-värd hos Bluehost. Registrera dig för ett konto till bara $ 2,95 per månad.
Fotokredit: Datacenter (Bob Mical)
Matthew Hughes är en programutvecklare och författare från Liverpool, England. Han hittas sällan utan en kopp starkt svart kaffe i handen och älskar absolut sin Macbook Pro och sin kamera. Du kan läsa hans blogg på http://www.matthewhughes.co.uk och följ honom på twitter på @matthewhughes.
