¿Quieres mantener un ojo vigilante en tu instalación de WordPress? Así es cómo
Tengo una confesión que hacer. Soy muy perezosa.
Tengo mi propio blog personal basado en WordPress, pero, a pesar de ser un geek endurecido, no me auto hospedo. No puedo molestarme en lidiar con la molestia de garantizar constantemente que mi caja no haya sido explotada por un pirata informático malévolo de Internet. No quiero quedarme atascado con el tedio de garantizar que mi VPS aprenda todo sobre servidores privados virtuales en dos minutos. Aprenda todo sobre servidores virtuales privados en dos minutos. uno para satisfacer sus necesidades. Read More está parcheado a infinito, y configurado dentro de una pulgada de su vida útil para disuadir a cualquier malvado emprendedor.
Pero, ese soy yo. Que pasa contigo?
Independientemente de cómo elija administrar su instalación de WordPress, le pondría dinero en su preocupación por la seguridad. Me gusta pensar en lidiar con las amenazas de seguridad en tres etapas..
¿Necesita un alojamiento confiable y asequible para su sitio de WordPress? Regístrese con Bluehost desde $ 2.95 / mes.
Las etapas de seguridad
El primero viene antes de un ataque. Aquí, intenta asegurarse de que cualquier persona que busque comprometer los confinados límites de su sitio web se encuentre con una fuerte resistencia y una inmensa frustración..
A continuación, tendrá que verificar que su sitio no haya sido comprometido. Necesitará vigilancia constante, un ojo vigilante y una habilidad de estilo Sherlock para detectar anomalías en el funcionamiento de su sitio..
Finalmente, cuando ocurra un desastre, tendrá que saber cómo lidiar con él con decisión y confianza. Vamos a hablar de eso el próximo mes, pero primero quiero hablar sobre el segundo paso. Vigilancia.
Monitorizando WordPress
Hollywood ha hecho un trabajo increíble al retratar al pirata informático como un individuo en la sombra, causando estragos en las sombras digitales. La realidad no podría estar más lejos de la verdad..
Sí, probablemente están trabajando desde habitaciones con poca luz en alguna parte, te daré eso. Pero tranquilo? Nah Son ruidosos hombre.
Cada ataque en cada caja y cada sitio web deja un rastro en un archivo de registro en alguna parte. La forma en que entendemos los tipos de amenazas a las que nos enfrentamos (o hemos afrontado) es mirando los registros.
No se equivoque, mirar manualmente los registros del sistema es un trabajo increíblemente tedioso. Estoy bastante seguro de que ha habido novelas de Dan Brown que son menos tediosas que eso, y eso está diciendo algo. Además, es una tarea que requiere grandes cantidades de precisión y atención al detalle. No es algo que te recomiendo que hagas a mano..
No es solo la seguridad lo que necesitamos vigilar. También es de importancia crucial controlar el rendimiento de un sitio. Wordpress es lento: haga algo al respecto con estos 10 pasos Wordpress es lento: haga algo al respecto con estos 10 pasos Lea más .
Asegurarse de que su sitio sea sensible y confiable es fundamental para garantizar la participación continua de sus lectores. Según el gigante de métricas de sitios web KissMetrics, un retraso de carga de 1 segundo puede resultar en una caída del compromiso del usuario en un siete por ciento, mientras que el 40 por ciento de todos los usuarios de Internet dicen que abandonarían un sitio web si se cargan más de tres segundos. Comprender cómo funciona su sitio web es una herramienta vital para asegurarse de que su sitio sea rápido y receptivo..
Afortunadamente, hay algunos productos que hacen esta tarea mucho más fácil. Y probablemente son mejores en eso que tú. Aquí hay dos de ellos. Y si insiste, le diré cómo puede hacer rodar su propio sistema de monitoreo WordPress..
El auditor
El Auditor ($ 249) es un complemento con licencia GPL que permite a los Administradores de WordPress monitorear la seguridad del sitio, el rendimiento y la productividad del usuario.
Tengo experiencia de primera mano con el uso de este complemento, ya que tuve la suerte de tener la oportunidad de probarlo hace un par de años, cuando salió por primera vez. Mis primeras impresiones fueron muy positivas; Desde entonces, ha dado pasos agigantados..
Los que están detrás de esto son Interconnect / IT, que también realizan mucha consultoría y capacitación de WordPress en el Reino Unido, además de crear algunos complementos y guías de usuario útiles. Tienen un pedigree bastante bueno para hacer cosas interesantes en el mundo del desarrollo de WordPress..
Recoger el dinero para el Auditor no solo le dará una copia del código, sino también una documentación estelar y soporte de por vida. Ah, y es extensible para el usuario, aunque tendrá que ser bastante práctico con el lenguaje de programación PHP.
Pero, ¿qué es lo que realmente hace? Gran pregunta.
En primer lugar, verifica la actividad inusual en su instalación de WordPress. Si ha tenido una cantidad excesiva de inicios de sesión fallidos en un corto período de tiempo, o si un usuario desconocido ha visto sus permisos elevados en la estratosfera, lo sabrá.
En segundo lugar, puede crear alertas personalizadas. Si está desarrollando un nuevo complemento y desea observar cómo se comporta, puede permitir que envíe mensajes a The Auditor. Esto es crucial para los desarrolladores de WordPress que desean ver una imagen más global de cómo funciona su complemento..
Estos registros personalizados son extensibles y pueden ser utilizados por los desarrolladores para registrar lo que deseen. Uno de estos casos de uso es el monitoreo del número de seguidores de Twitter en un equipo de redacción a lo largo del tiempo..
El Auditor está disponible ahora, aunque se avecina una nueva versión del paquete de software, que trae una serie de nuevas mejoras y adiciones, y un esquema de licencias que reduce el costo de adquisición.
Sucuri
Sucuri es uno de los complementos proactivos de seguridad de WordPress, un poco más populares. Obtenga un cambio de imagen de seguridad para su sitio de WordPress con WebsiteDefender Obtenga un cambio de imagen de seguridad para su sitio de WordPress con WebsiteDefender Con la popularidad de Wordpress cada vez mayor, los problemas de seguridad nunca han sido más relevantes, sino más que simples Manteniéndose actualizado, ¿cómo puede un usuario principiante o de nivel medio mantenerse al tanto de las cosas? ¿Incluso ... Leer más en el mercado en este momento. A diferencia del Auditor, que tiene un precio fijo, Sucuri cobra anualmente. El costo aumenta con el número de implementaciones de Sucuri que utiliza.
Vamos a hablar de lo que Sucuri trae a la mesa. Es posible que haya adivinado que viene con algún monitoreo de eventos, que le permite saber cuándo las cosas han salido mal. Además, Securi también puede alertarle sobre posibles problemas a través de SMS, correo electrónico y Twitter. Aunque, idealmente lo primero sería por un mensaje directo. Sería bastante incómodo si anduvieran twitteando la letanía de problemas de seguridad que afectaban a los sitios web..
Además, cualquier malware que se inyecte en su sitio, ya sea a través de una carga de archivos no saneada o con algún JavaScript insertado a través de una vulnerabilidad de secuencias de comandos entre sitios (XSS), se limpia con Sucuri.
Si eso no es suficiente, puede pagar extra para que Sucuri agregue un Servidor de seguridad de aplicación web (WAF) a su sitio web, deteniendo los ataques basados en el navegador en la puerta. Estos funcionan al examinar todas las entradas pasadas a su sitio web y descartar aquellas que son aparentemente maliciosas por naturaleza..
Otro servicio adicional que ofrece Sucuri son las copias de seguridad automáticas fuera del sitio. El tema de la copia de seguridad de WordPress es inmenso, y ha sido cubierto en detalle Cómo hacer una copia de seguridad remota automatizada de su blog de Wordpress Cómo hacer una copia de seguridad remota automatizada de su blog de Wordpress Este fin de semana, mi sitio web fue pirateado por Primera vez en la historia. Pensé que era un evento que iba a suceder con el tiempo, pero todavía me sentí un poco sorprendido. Tuve la suerte de que ... Leer más en el pasado por mis colegas.
Uno de los argumentos más convincentes para permitir que Sucuri maneje sus copias de seguridad fuera del sitio es su bajo precio. Cinco dólares garantiza que su sitio se almacene de forma segura en los servidores de Sucuri. No necesita ser un suscriptor de Sucuri para usar las copias de seguridad de Sucuri, y su plataforma es independiente, ya que el único requisito es un cuadro * nix o una máquina con Windows que ejecute PHP.
No se equivoquen, el énfasis de Sucuri es de seguridad. Realmente no es tan bueno monitorear el rendimiento de su aplicación, y hace solo una tarea. Sin embargo, esta tarea se ejecuta perfectamente y, como resultado, le recomiendo que revise este producto..
Hazlo tu mismo
No se equivoque, si le preocupa la seguridad y el rendimiento de su instalación de WordPress, debe utilizar un producto de terceros. Estos están hechos por personas que realmente saben lo que hacen. Conocen las amenazas que existen, entienden cómo defenderse de ellas y saben qué hace que su sitio funcione más lento que un pensionista cubierto de melaza..
Sin embargo, si está absolutamente decidido a utilizar su propia solución de monitoreo de sistemas, necesitará los siguientes componentes.
La primera es una herramienta para analizar el tráfico, el ruido y los registros. Estos pueden dejarse por una amenaza externa, o por una herramienta que haya instalado para registrar el rendimiento de su sitio. Hay una gran cantidad de productos en el mercado, pero ninguno tiene el brillo que Splunk tiene.
Simplemente no hay debate aquí. Splunk es mejor visualizando y consultando registros que cualquier otro producto en el mercado, y lo recomiendo de todo corazón. La usé por primera vez cuando estaba en un estado beta muy temprano. Desde entonces, ha florecido y es una herramienta poderosa en el arsenal de cualquier administrador de sistemas..
A continuación, deberá comenzar a perfilar su aplicación. Esto significa recopilar grandes cantidades de información para ver cómo se realiza, y solo hay un caballo en particular en esta carrera sobre el que vale la pena hablar. Sabes quién. Nueva reliquia.
Estos muchachos irrumpieron en la escena hace apenas unos años, obtenían una gran cantidad de atención por ser fáciles de implementar y recopilaban enormes cantidades de estadísticas de rendimiento. Ah, y por regalar más camisetas que una mascota en un juego de baloncesto.
Como desarrollador, tengo bastante debilidad por New Relic y los he usado en sitios web que he desarrollado. Me parece que sus estadísticas son precisas, y el complemento utilizado para registrarlas es relativamente ligero y fácil de implementar. Incluso hay documentación específica de WordPress.!
La última herramienta en nuestro arsenal es un WAF. Esto tiene dos propósitos. El primero le permite saber si alguien ha estado tomando pot pot tiros en su sitio web. El segundo (como hemos discutido anteriormente) es mitigar los ataques en su sitio.
Si está ejecutando Apache, solo hay un WAF del que debemos hablar. Se llama Mod Security. Es creado por los chicos de Trustwave Security, y es gratis. Realmente no puedes superar eso.
El hecho de encajonarlos juntos en alguna forma de paquete coherente constituiría un artículo en sí mismo. Realmente es una tarea gigantesca, y una que puede ser más problemática de lo que vale la pena. Especialmente cuando consideras que hay paquetes como Auditor y Sucuri en el mercado. Como resultado, no voy a entrar en demasiados detalles. Solo se sabe que es posible.
Conclusión
En este artículo, analizamos dos productos asesinos para realizar un seguimiento de su instalación de WordPress, así como también cómo puede desarrollar su propia solución. Con cada vez más compañías que utilizan WordPress para administrar su presencia en línea, la importancia de garantizar la seguridad de un sitio web nunca ha sido tan grande. Y con los sitios que claman por los globos oculares, la necesidad de mantener su sitio rápido y seguro nunca ha sido tan importante.
Me interesaría mucho escuchar sus pensamientos sobre este tema. Déjame un comentario abajo.
Obtenga un alojamiento de WordPress seguro y confiable con Bluehost. Regístrese para obtener una cuenta por solo $ 2.95 / mes.
Crédito de la foto: Centro de datos (Bob Mical)
Explore más acerca de: Bluehost, Seguridad en línea, Alojamiento web, Complementos de Wordpress.