Saya memiliki sebuah pengakuan. Saya sangat malas.
Saya memiliki blog pribadi berbasis WordPress saya sendiri, tetapi - meskipun seorang geek yang keras - saya tidak meng-host-nya sendiri. Saya tidak bisa repot berurusan dengan kerumitan untuk terus-menerus memastikan bahwa kotak saya belum muncul oleh peretas Internet jahat. Saya tidak ingin terjebak dengan kebosanan memastikan bahwa VPS saya Pelajari Semua Tentang Server Privat Virtual Dalam Dua MenitDengan begitu banyak layanan hosting web yang tersedia, sulit untuk memutuskan yang tepat sesuai dengan kebutuhan Anda. Baca lebih banyak ditambal ke infinitum, dan dikonfigurasikan dalam satu inci dari umurnya untuk mencegah penjahat giat.
Tapi itu aku. Bagaimana dengan kamu?
Terlepas dari bagaimana Anda memilih untuk mengelola instalasi WordPress Anda, saya akan menempatkan uang pada Anda khawatir tentang keamanan. Saya suka berpikir untuk berurusan dengan ancaman keamanan dalam tiga tahap.
Perlu hosting yang andal dan terjangkau untuk situs WordPress Anda? Daftar dengan Bluehost mulai $ 2,95 / bulan.
Tahapan Keamanan
Yang pertama datang sebelum serangan. Di sini, Anda mencoba memastikan bahwa siapa pun yang ingin berkompromi dengan batas keramat situs web Anda mendapat perlawanan yang keras dan frustrasi yang luar biasa.
Selanjutnya, Anda harus memeriksa bahwa situs Anda belum dikompromikan. Anda akan membutuhkan kewaspadaan terus-menerus, mata yang waspada, dan kemampuan gaya Sherlock untuk melihat anomali dalam pengoperasian situs Anda.
Akhirnya, ketika terjadi bencana, Anda harus tahu cara menghadapinya dengan tegas dan percaya diri. Kami akan membicarakannya bulan depan, tetapi pertama-tama saya ingin berbicara tentang langkah kedua. Pemantauan
Memantau WordPress
Hollywood telah melakukan pekerjaan luar biasa dalam menggambarkan peretas komputer sebagai individu bayangan, menghancurkan kekacauan dari bayangan digital. Kenyataannya tidak bisa jauh dari kebenaran.
Ya, mereka mungkin bekerja dari kamar yang redup di suatu tempat, saya akan berikan itu. Tapi diam? Tidak Mereka keras, bung.
Setiap serangan pada setiap kotak dan setiap situs web meninggalkan jejak pada file log di suatu tempat. Cara kita memahami jenis ancaman yang kita hadapi (atau hadapi) adalah dengan melihat log.
Jangan salah, melihat log sistem secara manual adalah pekerjaan yang sangat membosankan. Saya cukup yakin ada novel-novel Dan Brown yang tidak terlalu membosankan dari itu - dan itu mengatakan sesuatu. Selain itu, ini adalah tugas yang membutuhkan ketelitian dan perhatian terhadap detail dalam jumlah yang gila. Itu bukan sesuatu yang saya sarankan Anda lakukan dengan tangan.
Bukan hanya keamanan yang perlu kita awasi. Yang juga sangat penting adalah pemantauan kinerja suatu situs Wordpress Lambat - Lakukan Sesuatu Tentang Itu Dengan 10 Langkah Ini Baca lebih banyak .
Memastikan bahwa situs Anda responsif dan andal adalah penting untuk memastikan keterlibatan pembaca Anda yang berkelanjutan. Berdasarkan metrik situs web raksasa KissMetrics, keterlambatan memuat 1 detik dapat mengakibatkan penurunan keterlibatan pengguna sebesar tujuh persen, sementara 40 persen dari semua pengguna internet mengatakan mereka akan meninggalkan situs web jika perlu memuat lebih dari tiga detik. Memahami cara kerja situs web Anda adalah alat vital dalam perjuangan memastikan situs Anda cepat dan responsif.
Untungnya, ada beberapa produk yang membuat tugas ini jauh lebih mudah. Dan mereka mungkin lebih baik daripada Anda. Inilah mereka berdua. Dan jika Anda bersikeras, saya akan memberi tahu Anda bagaimana Anda dapat menggulung sistem pemantauan WordPress kick-ass Anda sendiri.
Auditor
Auditor ($ 249) adalah plugin berlisensi GPL yang memungkinkan Administrator WordPress untuk memantau keamanan situs, kinerja, dan produktivitas pengguna.
Saya punya pengalaman langsung dengan menggunakan plugin ini, karena saya cukup beruntung diberi kesempatan untuk mengujinya beberapa tahun lalu, ketika pertama kali keluar. Kesan pertama saya tentang itu benar-benar positif; sejak itu, telah membuat lompatan dan batas.
Orang-orang di belakangnya Interkoneksi / IT, yang juga melakukan banyak konsultasi dan pelatihan WordPress di Inggris, serta membuat beberapa plugin dan panduan pengguna yang bermanfaat. Mereka punya cukup banyak keahlian untuk melakukan hal-hal menarik di dunia pengembangan WordPress.
Memungut uang tunai untuk Auditor tidak akan hanya memberikan Anda salinan kode, tetapi juga beberapa dokumentasi bintang dan dukungan seumur hidup. Oh, dan ini pengguna yang dapat diperpanjang, meskipun Anda harus cukup berguna dengan bahasa pemrograman PHP.
Tetapi apa yang sebenarnya dilakukannya? Pertanyaan yang bagus
Pertama, ia memeriksa aktivitas yang tidak biasa pada instalasi WordPress Anda. Jika Anda memiliki sejumlah besar login gagal dalam waktu singkat, atau jika pengguna yang tidak dikenal tiba-tiba melihat izinnya naik ke stratosfer, Anda akan tahu.
Kedua, Anda dapat membuat lansiran ubahsuaian. Jika Anda mengembangkan plugin baru dan ingin mengamati bagaimana perilakunya, Anda dapat mengizinkannya mengirim pesan ke Auditor. Ini sangat penting bagi pengembang WordPress yang ingin melihat gambaran yang lebih global tentang cara kerja plugin mereka.
Log khusus ini dapat dikembangkan, dan dapat digunakan oleh pengembang untuk mendaftarkan apa pun yang diinginkan hati mereka. Salah satu kasus penggunaan untuk ini adalah memantau jumlah pengikut Twitter pada staf penulis dari waktu ke waktu.
Auditor tersedia sekarang, meskipun rilis baru dari paket perangkat lunak menjulang, membawa rakit perbaikan dan penambahan baru, dan skema lisensi yang mengurangi biaya akuisisi.
Sucuri
Sucuri adalah salah satu proaktif yang sedikit lebih populer Plugin keamanan WordPress Dapatkan Makeover Keamanan Untuk Situs WordPress Anda Dengan WebsiteDefenderDengan popularitas Wordpress yang semakin meningkat, masalah keamanan tidak pernah lebih relevan - tetapi selain hanya terus diperbarui, bagaimana seorang pemula atau pengguna tingkat rata-rata tetap berada di atas hal-hal? Apakah Anda akan ... Baca lebih banyak di pasar sekarang. Berbeda dengan Auditor - yang dihargai dengan tarif tetap - Sucuri mengenakan biaya setiap tahun. Biaya meningkat dengan jumlah penyebaran Sucuri yang Anda gunakan.
Mari kita bicara tentang apa yang dibawa Sucuri ke meja. Anda mungkin menduga bahwa itu datang dengan beberapa pemantauan acara, membiarkan Anda tahu ketika semuanya serba salah. Selain itu, Securi juga dapat memberi tahu Anda tentang masalah potensial melalui SMS, Email, dan Twitter. Meskipun, idealnya yang pertama akan melalui pesan langsung. Akan sangat aneh jika mereka berkeliling tweeting tentang masalah keamanan yang mengganggu situs web.
Selain itu, malware apa pun yang disuntikkan ke situs Anda - baik melalui unggahan file yang tidak bersih atau dengan JavaScript yang disisipkan melalui kerentanan lintas situs scripting (XSS) - dibersihkan oleh Sucuri.
Jika itu tidak cukup, Anda dapat membayar ekstra untuk Sucuri untuk menambahkan Web Application Firewall (WAF) ke situs web Anda, menghentikan serangan berbasis browser di depan pintu. Ini bekerja dengan memeriksa semua input yang dikirimkan ke situs web Anda, dan membuang yang tampaknya berbahaya.
Layanan tambahan lain yang ditawarkan oleh Sucuri adalah cadangan otomatis di luar lokasi. Subjek mencadangkan WordPress adalah yang sangat besar, dan yang telah panjangnya tertutup Cara Melakukan Backup Jarak Jauh Otomatis dari Blog Wordpress AndaAkhir pekan ini, situs web saya diretas untuk pertama kalinya. Saya pikir itu adalah peristiwa yang pasti akan terjadi pada akhirnya, tetapi saya masih merasa sedikit terkejut. Saya beruntung bahwa saya ... Baca lebih banyak di masa lalu oleh kolega saya.
Salah satu argumen yang lebih meyakinkan untuk membiarkan Sucuri menangani backup di luar situs Anda adalah titik harga yang rendah. Lima dolar memastikan bahwa situs Anda disimpan dengan aman di server Sucuri. Anda tidak perlu menjadi pelanggan Sucuri untuk menggunakan cadangan Sucuri, dan itu adalah platform agnostik dengan satu-satunya persyaratan adalah kotak * nix, atau mesin Windows yang menjalankan PHP.
Jangan salah, penekanan Sucuri adalah keamanan. Tidak terlalu hebat dalam memantau kinerja aplikasi Anda, dan hanya melakukan satu tugas. Meskipun, tugas yang satu ini dijalankan dengan sempurna, dan sebagai hasilnya saya sangat menyarankan Anda memeriksa produk ini.
Lakukan sendiri
Jangan salah, jika Anda khawatir tentang keamanan dan kinerja instalasi WordPress Anda, Anda harus menggunakan produk pihak ketiga. Ini dibuat oleh orang-orang yang benar-benar tahu barang-barang mereka. Mereka tahu ancaman di luar sana, mereka mengerti cara mempertahankannya, dan mereka tahu apa yang membuat situs Anda berjalan lebih lambat daripada seorang pensiunan yang tercakup dalam molase.
Namun, jika Anda benar-benar bertekad untuk meluncurkan solusi pemantauan sistem Anda sendiri, Anda akan memerlukan komponen-komponen berikut.
Yang pertama adalah alat untuk menganalisis lalu lintas, kebisingan dan log. Ini dapat dibiarkan oleh ancaman eksternal, atau oleh alat yang telah Anda instal untuk merekam bagaimana kinerja situs Anda. Ada sejumlah besar produk di pasaran, tetapi tidak ada yang memolesnya Splunk telah.
Tidak ada perdebatan di sini. Splunk lebih baik dalam memvisualisasikan dan menanyakan log daripada produk lain di pasaran, dan saya sangat merekomendasikannya. Saya pertama kali menggunakannya ketika masih dalam kondisi beta yang sangat awal. Sejak itu telah berkembang, dan merupakan alat yang ampuh dalam gudang administrator sistem.
Selanjutnya, Anda harus mulai membuat profil aplikasi Anda. Ini berarti mengumpulkan sejumlah besar informasi untuk melihat kinerjanya, dan hanya ada satu kuda tertentu dalam perlombaan ini yang layak dibicarakan. Kamu tahu siapa. Relik Baru.
Orang-orang ini muncul beberapa tahun yang lalu, mendapatkan banyak perhatian karena mudah digunakan, dan mengumpulkan banyak statistik kinerja. Oh, dan karena memberikan lebih banyak T-shirt daripada maskot di pertandingan basket.
Sebagai pengembang sendiri, saya punya titik lemah untuk New Relic dan telah menggunakannya sendiri di situs web yang saya kembangkan. Saya menemukan bahwa statistik mereka akurat, dan plugin yang digunakan untuk merekamnya relatif ringan dan mudah digunakan. Bahkan ada dokumentasi khusus WordPress!
Alat terakhir di gudang senjata kami adalah WAF. Ini melayani dua tujuan. Yang pertama memberi tahu Anda jika ada yang mengambil gambar di situs web Anda. Yang kedua (seperti yang kita bahas sebelumnya) adalah untuk mengurangi serangan di situs Anda.
Jika Anda menjalankan Apache, hanya ada satu WAF yang perlu kita bicarakan. Ini disebut Mod Security. Itu dibuat oleh orang-orang di Trustwave Keamanan, dan gratis. Anda benar-benar tidak bisa mengalahkan itu.
Menyatukan ini bersama-sama menjadi beberapa bentuk paket yang koheren akan membentuk artikel itu sendiri. Ini benar-benar tugas yang sangat berat, dan tugas yang mungkin lebih merepotkan daripada nilainya. Terutama ketika Anda mempertimbangkan bahwa ada paket seperti Auditor dan Sucuri di pasaran. Akibatnya, saya tidak akan membahas terlalu banyak detail. Ketahuilah bahwa itu mungkin.
Kesimpulan
Pada artikel ini, kami melihat dua produk pembunuh untuk menjaga jejak pada instalasi WordPress Anda, serta bagaimana Anda dapat menggulung solusi Anda sendiri. Dengan semakin banyak perusahaan yang menggunakan WordPress untuk mengelola kehadiran online mereka, pentingnya memastikan keamanan situs web tidak pernah lebih besar. Dan dengan situs yang menuntut bola mata, kebutuhan untuk menjaga situs Anda cepat dan aman tidak pernah begitu penting.
Saya benar-benar tertarik mendengar pendapat Anda tentang hal ini. Berikan saya komentar di bawah.
Dapatkan hosting WordPress yang aman dan andal dengan Bluehost. Mendaftar untuk akun hanya dengan $ 2,95 / bulan.
Kredit Foto: Pusat Data (Bob Mical)
Matthew Hughes adalah pengembang dan penulis perangkat lunak dari Liverpool, Inggris. Dia jarang ditemukan tanpa secangkir kopi hitam pekat di tangannya dan sangat menyukai Macbook Pro dan kameranya. Anda dapat membaca blognya di http://www.matthewhughes.co.uk dan ikuti dia di twitter di @matthewhughes.
