
Michael Cain
0
1454
275
Tengo una confesión que hacer. Soy muy vago.
Tengo mi propio blog personal basado en WordPress, pero, a pesar de ser un geek endurecido, no lo autohospedaje. No me molesto en lidiar con la molestia de asegurar constantemente que mi caja no haya sido reventada por un malévolo hacker de Internet. No quiero empantanarme con el tedio de asegurar que mi VPS Aprenda todo sobre servidores privados virtuales en dos minutos Aprenda todo sobre servidores privados virtuales en dos minutos Con tantos servicios de alojamiento web disponibles, es difícil decidir lo correcto Uno para satisfacer sus necesidades. está parcheado hasta el infinito y configurado dentro de una pulgada de su vida para disuadir a cualquier malvado emprendedor.
Pero ese soy yo. Que pasa contigo?
Independientemente de cómo elija administrar su instalación de WordPress, apostaría por su preocupación por la seguridad. Me gusta pensar en enfrentar las amenazas de seguridad en términos de tres etapas..
¿Necesita un alojamiento confiable y asequible para su sitio de WordPress? Regístrese con Bluehost desde $ 2.95 / mes.
Las etapas de seguridad
El primero viene antes de un ataque. Aquí, intenta asegurarse de que cualquier persona que intente comprometer los confines sagrados de su sitio web se encuentre con una fuerte resistencia y una gran cantidad de frustración..
A continuación, tendrá que verificar que su sitio no se haya visto comprometido. Necesitará vigilancia constante, un ojo vigilante y una capacidad de estilo Sherlock para notar anomalías en el funcionamiento de su sitio..
Finalmente, cuando ocurra un desastre, necesitará saber cómo enfrentarlo con decisión y confianza. Hablaremos de eso el próximo mes, pero primero quiero hablar sobre el segundo paso. Vigilancia.
Monitoreo de WordPress
Hollywood ha hecho un trabajo increíble al retratar al pirata informático como un individuo sombrío, causando estragos en las sombras digitales. La realidad no podría estar más lejos de la verdad..
Sí, probablemente estén trabajando desde habitaciones con poca luz en alguna parte, te lo daré. Pero tranquilo? Nah Son ruidosos, hombre.
Cada ataque a cada cuadro y cada sitio web deja un rastro en un archivo de registro en alguna parte. La forma en que entendemos los tipos de amenazas que enfrentamos (o hemos enfrentado) es mirando los registros.
No se equivoque, mirar manualmente los registros del sistema es un trabajo increíblemente tedioso. Estoy bastante seguro de que ha habido novelas de Dan Brown que son menos tediosas que eso, y eso dice algo. Además, es una tarea que requiere una cantidad increíble de precisión y atención al detalle. No es algo que te recomiendo que hagas a mano.
No es solo seguridad lo que debemos vigilar. También es de vital importancia monitorear el rendimiento de un sitio Wordpress es lento: haga algo al respecto con estos 10 pasos Wordpress es lento: haga algo al respecto con estos 10 pasos .
Asegurarse de que su sitio sea receptivo y confiable es fundamental para garantizar el compromiso continuo de sus lectores. Según el gigante de métricas del sitio web KissMetrics, un retraso de carga de 1 segundo puede resultar en una caída de la participación del usuario en un siete por ciento, mientras que el 40 por ciento de todos los usuarios de Internet dicen que abandonarían un sitio web si demora más de tres segundos en cargarse. Comprender cómo funciona su sitio web es una herramienta vital en la batalla para asegurarse de que su sitio sea rápido y receptivo.
Afortunadamente, hay algunos productos que hacen esta tarea mucho más fácil. Y probablemente sean mejores que tú. Aquí hay dos de ellos. Y si insiste, le diré cómo puede rodar su propio sistema de monitoreo de WordPress..
El auditor
The Auditor ($ 249) es un complemento con licencia GPL que permite a los administradores de WordPress monitorear la seguridad del sitio, el rendimiento y la productividad del usuario.
Tengo experiencia de primera mano con el uso de este complemento, ya que tuve la suerte de tener la oportunidad de probarlo hace un par de años, cuando salió por primera vez. Mis primeras impresiones fueron realmente positivas; desde entonces, ha dado pasos agigantados.
Los que están detrás de esto son Interconnect / IT, que también realiza una gran cantidad de consultoría y capacitación de WordPress en el Reino Unido, además de crear algunos complementos y guías de usuario útiles. Tienen bastante pedigrí para hacer cosas interesantes en el mundo del desarrollo de WordPress..
Rebajar el efectivo para The Auditor no solo le dará una copia del código, sino también documentación estelar y soporte de por vida. Ah, y es extensible por el usuario, aunque deberá ser bastante útil con el lenguaje de programación PHP..
Pero, ¿qué hace realmente? Gran pregunta.
En primer lugar, verifica la actividad inusual en su instalación de WordPress. Si ha tenido una cantidad excesiva de inicios de sesión fallidos en un corto período de tiempo, o si un usuario oscuro de repente ha visto sus permisos elevados en la estratosfera, sabrá.
En segundo lugar, puede crear alertas personalizadas. Si está desarrollando un nuevo complemento y desea observar cómo se comporta, puede permitir que envíe mensajes al Auditor. Esto es crucial para los desarrolladores de WordPress que desean ver una imagen más global de cómo funciona su complemento.
Estos registros personalizados son extensibles y los desarrolladores pueden usarlos para registrar lo que deseen. Uno de esos casos de uso para esto es monitorear el número de seguidores de Twitter en un equipo de redacción a lo largo del tiempo.
El Auditor está disponible ahora, aunque se avecina una nueva versión del paquete de software, que trae una serie de nuevas mejoras y adiciones, y un esquema de licencia que reduce el costo de adquisición.
Sucuri
Sucuri es uno de los complementos de seguridad proactivos de WordPress un poco más populares Obtenga un cambio de imagen de seguridad para su sitio de WordPress con WebsiteDefender Obtenga un cambio de imagen de seguridad para su sitio de WordPress con WebsiteDefender Con la popularidad cada vez mayor de Wordpress, los problemas de seguridad nunca han sido más relevantes, pero además manteniéndose actualizado, ¿cómo puede un usuario principiante o de nivel medio mantenerse al tanto de las cosas? ¿Incluso ... en el mercado ahora mismo? A diferencia del Auditor, que tiene un precio fijo, Sucuri cobra anualmente. El costo aumenta con la cantidad de implementaciones de Sucuri que usa.
Hablemos de lo que Sucuri trae a la mesa. Es posible que hayas adivinado que viene con algo de monitoreo de eventos, que te permite saber cuándo las cosas salieron mal. Además de eso, Securi también puede alertarlo sobre posibles problemas a través de SMS, correo electrónico y Twitter. Aunque, idealmente, lo primero sería por mensaje directo. Sería bastante incómodo si tuvieran que tuitear la letanía de problemas de seguridad que afectan a los sitios web.
Además, Sucuri limpia cualquier malware que se inyecta en su sitio, ya sea a través de una carga de archivos no higiénica o con algún JavaScript insertado a través de una vulnerabilidad de secuencias de comandos de sitios cruzados (XSS)..
Si eso no es suficiente, puede pagar más para que Sucuri agregue un firewall de aplicaciones web (WAF) a su sitio web, evitando los ataques basados en el navegador en la puerta. Estos funcionan examinando todas las entradas pasadas a su sitio web y descartando las que son aparentemente de naturaleza maliciosa.
Otro servicio adicional ofrecido por Sucuri son las copias de seguridad automáticas fuera del sitio. El tema de hacer una copia de seguridad de WordPress es enorme, y ha sido cubierto extensamente Cómo hacer una copia de seguridad remota automatizada de su blog de Wordpress Cómo hacer una copia de seguridad remota automatizada de su blog de Wordpress Este fin de semana, mi sitio web fue pirateado por Primera vez en la historia. Pensé que era un evento que iba a suceder eventualmente, pero aún me sentía un poco sorprendido. Tuve la suerte de que yo ... en el pasado por mis colegas.
Uno de los argumentos más convincentes para permitir que Sucuri maneje sus copias de seguridad fuera del sitio es su bajo precio. Cinco dólares aseguran que su sitio esté almacenado de forma segura en los servidores de Sucuri. No necesita ser suscriptor de Sucuri para usar las copias de seguridad de Sucuri, y es independiente de la plataforma con el único requisito de ser una caja * nix o una máquina Windows con PHP.
No se equivoquen, el énfasis de Sucuri es de seguridad. Realmente no es tan bueno monitorear el rendimiento de su aplicación, y solo realiza una tarea. Sin embargo, esta tarea se ejecuta perfectamente y, como resultado, le recomiendo que consulte este producto.
Hazlo tu mismo
No se equivoque, si le preocupa la seguridad y el rendimiento de su instalación de WordPress, realmente debería usar un producto de terceros. Estos están hechos por personas que realmente saben lo que hacen. Conocen las amenazas, entienden cómo defenderse de ellas y saben qué hace que su sitio funcione más lentamente que un pensionista cubierto de melaza..
Sin embargo, si está absolutamente decidido a implementar su propia solución de monitoreo del sistema, necesitará los siguientes componentes.
El primero es una herramienta para analizar el tráfico, el ruido y los registros. Estos pueden dejarse por una amenaza externa o por una herramienta que haya instalado para registrar el rendimiento de su sitio. Hay una gran cantidad de productos en el mercado, pero ninguno tiene el esmalte que Splunk tiene.
Simplemente no hay debate aquí. Splunk es mejor para visualizar y consultar registros que cualquier otro producto en el mercado, y lo recomiendo de todo corazón. Lo usé por primera vez cuando estaba en un estado beta muy temprano. Desde entonces ha florecido y es una herramienta poderosa en el arsenal de cualquier administrador de sistemas..
A continuación, deberá comenzar a perfilar su aplicación. Esto significa reunir grandes cantidades de información para ver cómo se desempeña, y solo hay un caballo en particular en esta carrera del que vale la pena hablar. Sabes quién. Nueva reliquia.
Estos muchachos irrumpieron en la escena hace solo unos años, obteniendo una gran cantidad de atención por ser fáciles de implementar y recolectando grandes cantidades de estadísticas de rendimiento. Ah, y por regalar más camisetas que una mascota en un partido de baloncesto.
Como desarrollador, tengo un punto débil para New Relic y los he usado en sitios web que he desarrollado. Encuentro que sus estadísticas son precisas, y el complemento utilizado para registrarlas es relativamente ligero y fácil de implementar. Incluso hay documentación específica de WordPress!
La última herramienta en nuestro arsenal es un WAF. Esto tiene dos propósitos. El primero le permite saber si alguien ha estado tomando fotos en su sitio web. El segundo (como discutimos anteriormente) es mitigar los ataques en su sitio.
Si está ejecutando Apache, solo hay un WAF del que debemos estar hablando. Se llama Mod Security. Fue creado por los chicos de Trustwave Security, y es gratis. Realmente no puedes vencer eso.
Combinarlos en alguna forma de paquete coherente constituiría un artículo en sí mismo. Realmente es una tarea gigantesca, y una que puede ser más problemática de lo que vale. Especialmente cuando considera que hay paquetes como Auditor y Sucuri en el mercado. Como resultado, no voy a entrar en demasiados detalles. Solo sé que es posible.
Conclusión
En este artículo, analizamos dos productos geniales para realizar un seguimiento de su instalación de WordPress, así como también cómo puede implementar su propia solución. Con cada vez más empresas que usan WordPress para administrar su presencia en línea, la importancia de garantizar la seguridad de un sitio web nunca ha sido tan grande. Y con los sitios que claman por globos oculares, la necesidad de mantener su sitio rápido y seguro nunca ha sido tan importante.
Me interesaría mucho escuchar sus opiniones sobre este tema. Déjame un comentario a continuación.
Obtenga alojamiento seguro y confiable de WordPress con Bluehost. Regístrese para obtener una cuenta a solo $ 2.95 / mes.
Crédito de la foto: Centro de datos (Bob Mical)