Tengo una confesión que hacer. Soy muy vago.
Tengo mi propio blog personal basado en WordPress, pero, a pesar de ser un geek endurecido, no lo autohospedaje. No puedo molestarme en lidiar con la molestia de asegurar constantemente que un pirata informático malicioso de Internet no haya reventado mi casilla. No quiero empantanarme con el tedio de asegurando que mi VPS Aprenda todo sobre los servidores privados virtuales en dos minutosCon tantos servicios de alojamiento web disponibles, es difícil decidir cuál es el adecuado para sus necesidades. Lee mas está parcheado hasta el infinito y configurado dentro de una pulgada de su vida para disuadir a cualquier malvado emprendedor.
Pero ese soy yo. ¿Que pasa contigo?
Independientemente de cómo elijas administrar tu instalación de WordPress, apostaría tu preocupación por la seguridad. Me gusta pensar en enfrentar las amenazas de seguridad en términos de tres etapas.
¿Necesita un alojamiento confiable y asequible para su sitio de WordPress? Regístrese con Bluehost desde $ 2.95 / mes.
Las etapas de seguridad
El primero viene antes de un ataque. Aquí, intenta asegurarse de que cualquier persona que intente comprometer los confines sagrados de su sitio web se encuentre con una fuerte resistencia y una gran cantidad de frustración.
A continuación, tendrá que verificar que su sitio no se haya visto comprometido. Necesitará vigilancia constante, un ojo vigilante y una capacidad de estilo Sherlock para notar anomalías en el funcionamiento de su sitio.
Finalmente, cuando ocurra un desastre, necesitará saber cómo lidiar con él de manera decisiva y con confianza. Hablaremos de eso el próximo mes, pero primero quiero hablar sobre el segundo paso. Supervisión.
Monitoreo de WordPress
Hollywood ha hecho un trabajo increíble al retratar al pirata informático como un individuo sombrío, causando estragos en las sombras digitales. La realidad no podría estar más lejos de la verdad.
Sí, probablemente estén trabajando desde habitaciones con poca luz en alguna parte, te lo daré. Pero tranquilo? Nah Son ruidosos, hombre.
Cada ataque a cada cuadro y cada sitio web deja un rastro en un archivo de registro en alguna parte. La forma en que entendemos los tipos de amenazas que enfrentamos (o hemos enfrentado) es mirando los registros.
No se equivoque, mirar manualmente los registros del sistema es un trabajo increíblemente tedioso. Estoy bastante seguro de que ha habido novelas de Dan Brown que son menos tediosas que eso, y eso dice algo. Además, es una tarea que requiere enormes cantidades de precisión y atención al detalle. No es algo que recomiendo que hagas a mano.
No es solo seguridad lo que debemos vigilar. También es de vital importancia controlar el rendimiento de un sitio Wordpress es lento: haga algo al respecto con estos 10 pasos Lee mas .
Asegurarse de que su sitio sea receptivo y confiable es fundamental para garantizar el compromiso continuo de sus lectores. De acuerdo a gigante de métricas del sitio web KissMetrics, un retraso de carga de 1 segundo puede resultar en una caída de la participación del usuario en un siete por ciento, mientras que el 40 por ciento de todos los usuarios de Internet dicen que abandonarían un sitio web si demora más de tres segundos en cargarse. Comprender cómo funciona su sitio web es una herramienta vital en la batalla para asegurarse de que su sitio sea rápido y receptivo.
Afortunadamente, hay algunos productos que hacen esta tarea mucho más fácil. Y probablemente sean mejores que tú. Aquí hay dos de ellos. Y si insiste, le diré cómo puede hacer funcionar su propio sistema de monitoreo WordPress.
El auditor
El Auditor ($ 249) es un complemento con licencia GPL que permite a los administradores de WordPress monitorear la seguridad del sitio, el rendimiento y la productividad del usuario.
Tengo experiencia de primera mano con el uso de este complemento, ya que tuve la suerte de tener la oportunidad de probarlo hace un par de años, cuando salió por primera vez. Mis primeras impresiones fueron realmente positivas; Desde entonces, ha dado pasos agigantados.
Los chicos detrás de esto son Interconexión / TI, que también realiza una gran cantidad de consultoría y capacitación de WordPress en el Reino Unido, además de crear algunos complementos y guías de usuario útiles. Tienen bastante pedigrí por hacer cosas interesantes en el mundo del desarrollo de WordPress.
Rebajar el dinero para The Auditor no solo le dará una copia del código, sino también documentación estelar y soporte de por vida. Ah, y es extensible por el usuario, aunque deberá ser bastante útil con el lenguaje de programación PHP.
Pero, ¿qué hace realmente? Gran pregunta
En primer lugar, verifica la actividad inusual en su instalación de WordPress. Si ha tenido una cantidad excesiva de inicios de sesión fallidos en un corto período de tiempo, o si un usuario oscuro ha visto repentinamente sus permisos elevados en la estratosfera, lo sabrá.
En segundo lugar, puede crear alertas personalizadas. Si está desarrollando un nuevo complemento y desea observar cómo se comporta, puede permitir que envíe mensajes al Auditor. Esto es crucial para los desarrolladores de WordPress que desean ver una imagen más global de cómo funciona su complemento.
Estos registros personalizados son extensibles y los desarrolladores pueden usarlos para registrar lo que deseen. Uno de estos casos de uso para esto es monitorear el número de seguidores de Twitter en un equipo de redacción a lo largo del tiempo.
El Auditor está disponible ahora, aunque se avecina una nueva versión del paquete de software, que trae una serie de nuevas mejoras y adiciones, y un esquema de licencia que reduce el costo de adquisición.
Sucuri
Sucuri es uno de los proactivos un poco más populares Complementos de seguridad de WordPress Obtenga un cambio de imagen de seguridad para su sitio de WordPress con WebsiteDefenderCon la popularidad de Wordpress cada vez mayor, los problemas de seguridad nunca han sido más relevantes, pero aparte de simplemente mantenerse actualizado, ¿cómo puede un usuario principiante o de nivel promedio mantenerse al tanto de las cosas? ¿Incluso ... Lee mas en el mercado ahora mismo A diferencia del Auditor, que tiene un precio fijo, Sucuri cobra anualmente. El costo aumenta con la cantidad de implementaciones de Sucuri que usa.
Hablemos de lo que Sucuri trae a la mesa. Es posible que hayas adivinado que viene con algo de monitoreo de eventos, que te permite saber cuándo las cosas salieron mal. Además de eso, Securi también puede alertarlo sobre posibles problemas a través de SMS, correo electrónico y Twitter. Aunque, idealmente, lo primero sería por mensaje directo. Sería bastante incómodo si tuvieran que tuitear la letanía de problemas de seguridad que afectan a los sitios web.
Además, cualquier malware que se inyecte en su sitio, ya sea a través de una carga de archivos no higiénica o con algún JavaScript insertado a través de una vulnerabilidad de secuencias de comandos de sitios cruzados (XSS), lo limpia Sucuri
Si eso no es suficiente, puede pagar más para que Sucuri agregue un firewall de aplicaciones web (WAF) a su sitio web, deteniendo los ataques basados en el navegador en la puerta. Estos funcionan examinando todas las entradas pasadas a su sitio web y descartando las que son aparentemente de naturaleza maliciosa.
Otro servicio adicional ofrecido por Sucuri son las copias de seguridad automáticas fuera del sitio. El tema de la copia de seguridad de WordPress es enorme, y ha sido cubierto en longitud Cómo hacer una copia de seguridad remota automatizada de tu blog de WordpressEste fin de semana, mi sitio web fue pirateado por primera vez. Pensé que era un evento que iba a suceder eventualmente, pero aún me sentía un poco sorprendido. Tuve suerte de que yo ... Lee mas en el pasado por mis colegas
Uno de los argumentos más convincentes para permitir que Sucuri maneje sus copias de seguridad fuera del sitio es su bajo precio. Cinco dólares aseguran que su sitio esté almacenado de forma segura en los servidores de Sucuri. No necesita estar suscrito a Sucuri para usar las copias de seguridad de Sucuri, y es una plataforma independiente con el único requisito de ser una caja * nix o una máquina Windows que ejecute PHP.
No se equivoquen, el énfasis de Sucuri es de seguridad. Realmente no es tan bueno monitorear el rendimiento de su aplicación y solo realiza una tarea. Sin embargo, esta tarea se ejecuta perfectamente y, como resultado, le recomiendo que consulte este producto.
Hazlo tu mismo
No se equivoque, si le preocupa la seguridad y el rendimiento de su instalación de WordPress, realmente debería usar un producto de terceros. Estos están hechos por personas que realmente saben lo que hacen. Conocen las amenazas que existen, entienden cómo defenderse de ellas y saben qué hace que su sitio funcione más lentamente que un pensionista cubierto de melaza.
Sin embargo, si está absolutamente decidido a implementar su propia solución de monitoreo del sistema, necesitará los siguientes componentes.
El primero es una herramienta para analizar el tráfico, el ruido y los registros. Esto puede dejarse por una amenaza externa o por una herramienta que haya instalado para registrar el rendimiento de su sitio. Hay una gran cantidad de productos en el mercado, pero ninguno tiene el esmalte que Splunk tiene.
Simplemente no hay debate aquí. Splunk es mejor para visualizar y consultar registros que cualquier otro producto en el mercado, y lo recomiendo de todo corazón. Lo usé por primera vez cuando estaba en un estado beta muy temprano. Desde entonces ha florecido y es una herramienta poderosa en el arsenal de cualquier administrador de sistemas.
A continuación, deberá comenzar a perfilar su aplicación. Esto significa reunir grandes cantidades de información para ver cómo funciona, y solo hay un caballo en particular en esta carrera del que vale la pena hablar. Sabes quién. Nueva reliquia.
Estos muchachos irrumpieron en la escena hace solo unos años, obteniendo una gran cantidad de atención por ser fáciles de implementar y recopilar grandes cantidades de estadísticas de rendimiento. Ah, y por regalar más camisetas que una mascota en un partido de baloncesto.
Como desarrollador, tengo un punto débil para New Relic y los he utilizado en sitios web que he desarrollado. Me parece que sus estadísticas son precisas, y el complemento utilizado para registrarlas es relativamente ligero y fácil de implementar. ¡Incluso hay documentación específica de WordPress!
La última herramienta en nuestro arsenal es un WAF. Esto tiene dos propósitos. El primero le permite saber si alguien ha estado tomando fotos en su sitio web. El segundo (como discutimos anteriormente) es mitigar los ataques en su sitio.
Si está ejecutando Apache, solo debemos hablar de un WAF. Se llama Mod de seguridad. Es creado por los chicos de Trustwave Seguridad, y es gratis. Realmente no puedes superar eso.
Combinarlos en alguna forma de paquete coherente constituiría un artículo en sí mismo. Realmente es una tarea gigantesca, y una que puede ser más problemática de lo que vale. Especialmente cuando considera que hay paquetes como Auditor y Sucuri en el mercado. Como resultado, no voy a entrar en demasiados detalles. Solo sé que es posible.
Conclusión
En este artículo, analizamos dos productos geniales para realizar un seguimiento de su instalación de WordPress, así como también cómo puede implementar su propia solución. Con cada vez más empresas que utilizan WordPress para gestionar su presencia en línea, la importancia de garantizar la seguridad de un sitio web nunca ha sido tan grande. Y con los sitios que claman por globos oculares, la necesidad de mantener su sitio rápido y seguro nunca ha sido tan importante.
Me interesaría mucho escuchar sus opiniones sobre este tema. Déjame un comentario a continuación.
Obtenga alojamiento seguro y confiable de WordPress con Bluehost. Regístrese para obtener una cuenta a solo $ 2.95 / mes.
Autor de la foto: Centro de datos (Bob Mical)
Matthew Hughes es un desarrollador y escritor de software de Liverpool, Inglaterra. Raramente se lo encuentra sin una taza de café negro fuerte en la mano y adora absolutamente su Macbook Pro y su cámara. Puedes leer su blog en http://www.matthewhughes.co.uk y síguelo en Twitter en @matthewhughes.