Eu tenho uma confissão a fazer. Sou muito preguiçosa
Eu tenho meu próprio blog pessoal baseado em WordPress, mas, apesar de ser um nerd endurecido, não o hospedo. Não posso me incomodar em lidar com o incômodo de garantir constantemente que minha caixa não seja aberta por um hacker da Internet malévolo. Eu não quero ficar atolado com o tédio de garantindo que meu VPS Aprenda tudo sobre servidores privados virtuais em dois minutosCom tantos excelentes serviços de hospedagem disponíveis, é difícil decidir o que melhor se adequa às suas necessidades. consulte Mais informação é corrigido até o infinito e configurado dentro de uma polegada de sua vida útil para impedir qualquer infrator empreendedor.
Mas sou eu. E se você?
Independentemente de como você optar por gerenciar sua instalação do WordPress, eu investirei dinheiro em você se preocupar com a segurança. Eu gosto de pensar em lidar com ameaças à segurança em termos de três estágios.
Precisa de hospedagem confiável e acessível para o seu site WordPress? Inscreva-se com Bluehost a partir de US $ 2,95 / mês.
Os estágios de segurança
O primeiro vem antes de um ataque. Aqui, você tenta garantir que qualquer pessoa que pretenda comprometer os limites consagrados do seu site seja recebida com forte resistência e imensa quantidade de frustração.
Em seguida, você precisará verificar se seu site não foi comprometido. Você precisará de vigilância constante, um olhar atento e uma capacidade no estilo Sherlock de perceber anomalias na operação do seu site.
Por fim, quando ocorrer um desastre, você precisará saber como lidar com isso de forma decisiva e confiante. Vamos falar sobre isso no próximo mês, mas primeiro quero falar sobre o segundo passo. Monitoramento.
Monitorando o WordPress
Hollywood fez um trabalho incrível ao retratar o hacker de computadores como um indivíduo sombrio, destruindo as sombras digitais. A realidade não poderia estar mais longe da verdade.
Sim, eles provavelmente estão trabalhando em salas mal iluminadas em algum lugar, eu vou lhe dar isso. Mas quieto? Nah. Eles são barulhentos, cara.
Todo ataque a cada caixa e site deixa rastros em um arquivo de log em algum lugar. A maneira como entendemos os tipos de ameaças que enfrentamos (ou enfrentamos) é observando os logs.
Não se engane, olhar manualmente os logs do sistema é um trabalho insanamente tedioso. Tenho certeza de que houve romances de Dan Brown menos entediantes que isso - e isso está dizendo algo. Além disso, é uma tarefa que exige quantidades insanas de precisão e atenção aos detalhes. Não é algo que eu recomendo que você faça manualmente.
Não é apenas a segurança que precisamos manter atentos. Também de importância crucial é o monitoramento da desempenho de um site Wordpress é lento - faça algo sobre isso com estas 10 etapas consulte Mais informação .
Garantir que seu site seja responsivo e confiável é essencial para garantir o envolvimento contínuo de seus leitores. De acordo com gigante de métricas de site KissMetrics, um atraso de carregamento de 1 segundo pode resultar em uma queda no envolvimento do usuário em sete por cento, enquanto 40% de todos os usuários da Internet dizem que abandonariam um site se levar mais de três segundos para carregar. Entender como o site funciona é uma ferramenta vital na batalha para garantir que o site seja rápido e responsivo.
Felizmente, existem alguns produtos que tornam essa tarefa muito mais fácil. E eles provavelmente são melhores nisso do que você. Aqui estão dois deles. E se você insistir, eu vou lhe dizer como você pode implementar seu próprio sistema de monitoramento WordPress.
O Auditor
O Auditor (US $ 249) é um plug-in licenciado pela GPL que permite aos administradores do WordPress monitorar a segurança, o desempenho e a produtividade do usuário do site.
Eu tenho experiência em primeira mão no uso desse plug-in, pois tive a sorte de ter a oportunidade de testá-lo alguns anos atrás, quando ele foi lançado. Minhas primeiras impressões foram realmente positivas; desde então, deu trancos e barrancos.
Os caras por trás disso são Interconexão / TI, que também prestam muita consultoria e treinamento em WordPress no Reino Unido, além de criar alguns plug-ins e guias do usuário úteis. Eles têm um pedigree bastante para fazer coisas interessantes no mundo do desenvolvimento do WordPress.
Arrecadar dinheiro para o The Auditor não apenas fornece uma cópia do código, mas também documentação estelar e suporte vitalício. Ah, e é extensível ao usuário, embora você precise ser bastante útil com a linguagem de programação PHP.
Mas o que isso realmente faz? Ótima pergunta.
Primeiro, ele verifica atividades incomuns na sua instalação do WordPress. Se você teve uma quantidade excessiva de logins com falha em um curto período de tempo ou se um usuário obscuro viu subitamente suas permissões elevadas na estratosfera, você saberá.
Em segundo lugar, você pode criar alertas personalizados. Se você estiver desenvolvendo um novo plug-in e quiser observar como ele se comporta, pode permitir que ele envie mensagens para o Auditor. Isso é crucial para os desenvolvedores do WordPress que desejam ver uma imagem mais global de como o plug-in funciona.
Esses logs personalizados são extensíveis e podem ser usados pelos desenvolvedores para registrar o que seu coração desejar. Um desses casos de uso é o monitoramento do número de seguidores do Twitter em uma equipe de redação ao longo do tempo.
O Auditor está disponível agora, apesar de uma nova versão do pacote de software estar chegando, trazendo uma série de novas melhorias e adições e um esquema de licenciamento que reduz o custo de aquisição.
Sucuri
Sucuri é um dos proativos um pouco mais populares Plugins de segurança do WordPress Obtenha uma reforma de segurança para o seu site WordPress com o WebsiteDefenderCom a crescente popularidade do Wordpress, os problemas de segurança nunca foram tão relevantes - mas, além de simplesmente manter-se atualizado, como um usuário iniciante ou de nível médio pode ficar por dentro das coisas? Você ainda ... consulte Mais informação no mercado agora. Ao contrário do Auditor - que tem um preço fixo - a Sucuri cobra anualmente. O custo aumenta com o número de implantações da Sucuri que você usa.
Vamos falar sobre o que a Sucuri traz para a mesa. Você deve ter adivinhado que ele acompanha algum monitoramento de evento, informando quando as coisas deram errado. Além disso, a Securi também pode alertá-lo sobre possíveis problemas via SMS, E-mail e Twitter. Embora, idealmente, o primeiro seria por uma mensagem direta. Seria bastante estranho se eles twittassem a litania de questões de segurança que afetam os sites.
Além disso, qualquer malware injetado no seu site - por meio de um upload de arquivo não autorizado ou com algum JavaScript inserido por meio de uma vulnerabilidade de script entre sites (XSS) - é limpo por Sucuri.
Se isso não for suficiente, você poderá pagar um valor extra pela Sucuri para adicionar um WAF (Web Application Firewall) ao seu site, impedindo ataques à porta. Eles funcionam examinando todas as entradas passadas para o seu site e descartando as que são ostensivamente maliciosas por natureza.
Outro serviço complementar oferecido pela Sucuri são os backups automáticos externos. O assunto de fazer backup do WordPress é gigantesco e já foi coberto longamente Como fazer um backup remoto automatizado do seu blog WordpressNeste fim de semana, meu site foi invadido pela primeira vez. Achei que seria um evento que acabaria por acontecer, mas ainda me senti um pouco chocado. Eu tive sorte que eu ... consulte Mais informação no passado pelos meus colegas.
Um dos argumentos mais convincentes para permitir que a Sucuri lide com seus backups externos é o preço baixo. Cinco dólares garantem que seu site seja armazenado com segurança nos servidores da Sucuri. Você não precisa ser um assinante da Sucuri para usar os backups da Sucuri, e é independente da plataforma, com o único requisito sendo uma caixa * nix ou uma máquina Windows executando PHP.
Não se engane, a ênfase da Sucuri é a segurança. Na verdade, não é tão bom em monitorar o desempenho do aplicativo e executar apenas uma tarefa. Embora essa tarefa seja executada perfeitamente, como resultado, recomendo fortemente que você verifique este produto.
Faça Você Mesmo
Não se engane, se você está preocupado com a segurança e o desempenho da sua instalação do WordPress, você realmente deve usar um produto de terceiros. Estes são feitos por pessoas que realmente conhecem suas coisas. Eles conhecem as ameaças por aí, entendem como se defender e sabem o que faz com que seu site seja mais lento do que um pensionista coberto de melaço.
No entanto, se você estiver absolutamente determinado a lançar sua própria solução de monitoramento do sistema, precisará dos seguintes componentes.
A primeira é uma ferramenta para analisar o tráfego, ruído e logs. Elas podem ser deixadas por uma ameaça externa ou por uma ferramenta que você instalou para registrar o desempenho do site. Há uma enorme quantidade de produtos no mercado, mas nenhum tem o polimento que Splunk tem.
Não há debate aqui. O Splunk é melhor em visualizar e consultar logs do que qualquer outro produto no mercado, e eu o recomendo com entusiasmo. Eu o usei pela primeira vez quando estava em um estado beta muito inicial. Desde então, ele floresceu e é uma ferramenta poderosa no arsenal de qualquer administrador de sistemas.
Em seguida, você precisará começar a criar um perfil do seu aplicativo. Isso significa coletar grandes quantidades de informações para ver o desempenho delas, e há apenas um cavalo em particular nesta corrida que vale a pena falar. Você sabe quem. New Relic.
Esses caras entraram em cena apenas alguns anos atrás, recebendo muita atenção por serem simples de implantar e reunindo grandes quantidades de estatísticas de desempenho. Ah, e por doar mais camisetas do que um mascote em um jogo de basquete.
Como desenvolvedor, eu tenho um ponto fraco pela New Relic e os usei nos sites que desenvolvi. Acho que suas estatísticas são precisas e o plug-in usado para gravá-las é relativamente leve e fácil de implantar. Existe até documentação específica do WordPress!
A última ferramenta em nosso arsenal é um WAF. Isso serve para dois propósitos. O primeiro permite que você saiba se alguém já tirou fotos do seu site. O segundo (como discutimos anteriormente) é mitigar ataques ao seu site.
Se você está executando o Apache, há apenas um WAF sobre o qual precisamos falar. É chamado Mod Security. É criado pelos caras da Trustwave Segurança e é grátis. Você realmente não pode superar isso.
Juntar esses itens em alguma forma de pacote coerente constituiria um artigo em si. É realmente uma tarefa gigantesca e que pode ser mais problemática do que vale a pena. Especialmente quando você considera que existem pacotes como o Auditor e a Sucuri no mercado. Como resultado, não vou entrar em muitos detalhes. Apenas saiba que é possível.
Conclusão
Neste artigo, analisamos dois produtos matadores para rastrear sua instalação do WordPress e também como você pode implementar sua própria solução. Com mais e mais empresas usando o WordPress para gerenciar sua presença online, a importância de garantir a segurança de um site nunca foi tão grande. E com sites clamando por olhos, a necessidade de manter seu site rápido e seguro nunca foi tão importante.
Eu ficaria realmente interessado em ouvir seus pensamentos sobre esse assunto. Deixe-me um comentário abaixo.
Obtenha hospedagem WordPress segura e confiável com o Bluehost. Inscreva-se pra uma conta por apenas US $ 2,95 / mês.
Crédito da foto: Data Center (Bob Mical)
Matthew Hughes é desenvolvedor e escritor de software de Liverpool, Inglaterra. Ele raramente é encontrado sem uma xícara de café preto forte na mão e adora absolutamente o Macbook Pro e a câmera. Você pode ler o blog dele em http://www.matthewhughes.co.uk e siga-o no twitter em @matthewhughes.