Ce poste a été rendu possible par Bluehost grâce à une compensation. Le contenu et les opinions réels sont les seules vues de l'auteur, qui conserve l'indépendance éditoriale, même lorsqu'un article est sponsorisé. Pour plus de détails, veuillez lire notre avertissement.

J'ai une confession à faire. Je suis vraiment paresseux.

J'ai mon propre blog basé sur WordPress, mais - en dépit d'être un geek endurci - je ne l'héberge pas lui-même. Je ne peux pas être dérangé par les tracas d’assurer constamment que ma boîte n’a pas été sautée par un pirate Internet malveillant. Je ne veux pas m'enliser avec l'ennui de m'assurer que mon VPS Apprenez tout sur les serveurs privés virtuels en deux minutesAvec autant de services d'hébergement Web disponibles, il est difficile de choisir celui qui convient à vos besoins. Lire la suite est corrigé à l'infini et configuré dans un pouce de sa vie pour dissuader tout mécréant entreprenant.

Mais c'est moi. Et vous?

Quelle que soit la façon dont vous choisissez de gérer votre installation WordPress, je mettrais de l'argent sur votre souci de sécurité. J'aime penser à traiter les menaces à la sécurité en trois étapes.

Besoin d'un hébergement fiable et abordable pour votre site WordPress? Inscrivez-vous avec Bluehost à partir de 2,95 $ / mois.

Les étapes de la sécurité

Le premier précède une attaque. Ici, vous essayez de vous assurer que toute personne qui chercherait à compromettre les confins sacrés de votre site Web rencontre une forte résistance et une immense frustration.

Ensuite, vous devrez vérifier que votre site n'a pas été compromis. Vous allez avoir besoin d'une vigilance constante, d'un œil vigilant et d'une capacité de style Sherlock à remarquer des anomalies dans le fonctionnement de votre site.

Enfin, en cas de catastrophe, vous devrez savoir comment y faire face de manière décisive et en toute confiance. Nous allons en parler le mois prochain, mais je veux d'abord parler de la deuxième étape. Surveillance.

Surveillance de WordPress

Hollywood a fait un travail incroyable en décrivant le pirate informatique comme un individu obscur, faisant des ravages dans les ombres numériques. La réalité ne pouvait pas être plus éloignée de la vérité.

Oui, ils travaillent probablement dans des pièces faiblement éclairées quelque part, je vais vous donner ça. Mais calme? Non. Ils sont bruyants, mec.

Chaque attaque sur chaque boîte et chaque site Web laisse une trace quelque part dans un fichier journal. La façon dont nous comprenons les types de menaces auxquelles nous sommes confrontés (ou avons été confrontés) consiste à consulter les journaux.

Ne vous y trompez pas, regarder manuellement les journaux système est un travail incroyablement fastidieux. Je suis presque sûr qu'il y a eu des romans de Dan Brown moins ennuyeux que ça - et ça veut dire quelque chose. De plus, c'est une tâche qui nécessite des quantités folles de précision et une attention aux détails. Ce n'est pas quelque chose que je vous recommande de faire à la main.

Ce n’est pas seulement la sécurité que nous devons surveiller. Il est également extrêmement important de surveiller la performance d'un site Wordpress est lent - faites quelque chose à ce sujet avec ces 10 étapes Lire la suite .

Veiller à ce que votre site soit réactif et fiable est essentiel pour garantir l'engagement continu de vos lecteurs. Selon métrique du site Web KissMetrics, un délai de chargement d'une seconde peut entraîner une baisse de l'engagement des utilisateurs de sept pour cent, tandis que 40 pour cent de tous les internautes disent qu'ils abandonneraient un site Web si le chargement prenait plus de trois secondes. Comprendre le fonctionnement de votre site Web est un outil essentiel dans la bataille pour vous assurer que votre site est rapide et réactif.

Heureusement, certains produits facilitent grandement cette tâche. Et ils sont probablement meilleurs que vous. En voici deux. Et si vous insistez, je vais vous dire comment vous pouvez lancer votre propre système de surveillance WordPress kick-ass.

Le vérificateur

The Auditor (249 $) est un plugin sous licence GPL qui permet aux administrateurs WordPress de surveiller la sécurité du site, les performances et la productivité des utilisateurs.

J'ai une expérience de première main de l'utilisation de ce plugin, car j'ai eu la chance de pouvoir le tester il y a quelques années, lors de sa première sortie. Mes premières impressions ont été vraiment positives; depuis lors, il a fait des pas de géant.

wordpress-audit

Les gars derrière ça sont Interconnexion / IT, qui fait également beaucoup de conseil et de formation WordPress au Royaume-Uni, ainsi que la création de plugins et de guides d'utilisation utiles. Ils ont tout à fait un pedigree pour faire des choses intéressantes dans le monde du développement WordPress.

Donner de l'argent à The Auditor ne vous procurera pas seulement une copie du code, mais également une documentation exceptionnelle et une assistance à vie. Oh, et il est extensible par l'utilisateur, bien que vous deviez être très à l'aise avec le langage de programmation PHP.

Mais que fait-il réellement? Grande question.

Tout d'abord, il recherche une activité inhabituelle sur votre installation WordPress. Si vous avez eu un nombre excessif de connexions échouées en peu de temps, ou si un utilisateur obscur a soudainement vu ses autorisations élevées dans la stratosphère, vous le saurez.

Deuxièmement, vous pouvez créer des alertes personnalisées. Si vous développez un nouveau plugin et que vous souhaitez observer comment il se comporte, vous pouvez lui permettre d'envoyer des messages à The Auditor. Ceci est crucial pour les développeurs WordPress qui veulent voir une image plus globale du fonctionnement de leur plugin.

Ces journaux personnalisés sont extensibles et peuvent être utilisés par les développeurs pour enregistrer tout ce qu'ils souhaitent. Un tel cas d'utilisation pour cela est de surveiller le nombre d'abonnés Twitter sur une équipe de rédaction au fil du temps.

wordpress-audit-twitter

L'auditeur est maintenant disponible, bien qu'une nouvelle version du progiciel se profile, apportant une multitude de nouvelles améliorations et ajouts, et un système de licence qui réduit le coût d'acquisition.

Sucuri

Sucuri est l'un des proactifs légèrement plus populaires Plugins de sécurité WordPress Obtenez une refonte de la sécurité de votre site WordPress avec WebsiteDefenderAvec la popularité croissante de Wordpress, les problèmes de sécurité n'ont jamais été aussi pertinents - mais à part simplement se tenir à jour, comment un utilisateur débutant ou moyen peut-il rester au courant? Souhaitez-vous même ... Lire la suite sur le marché en ce moment. Contrairement à l'auditeur - dont le prix est forfaitaire - Sucuri facture chaque année. Le coût augmente avec le nombre de déploiements Sucuri que vous utilisez.

Parlons de ce que Sucuri apporte à la table. Vous avez peut-être deviné qu'il est livré avec une surveillance des événements, vous permettant de savoir quand les choses ont mal tourné. En plus de cela, Securi peut également vous alerter sur des problèmes potentiels via SMS, e-mail et Twitter. Bien que, idéalement, le premier serait par un message direct. Ce serait assez gênant s'ils tweetaient la litanie de problèmes de sécurité qui affligent les sites Web.

De plus, tout logiciel malveillant qui est injecté dans votre site - soit par le biais d'un téléchargement de fichier non autorisé ou avec du JavaScript inséré via une vulnérabilité de cross site scripting (XSS) - est nettoyé par Sucuri.

Si cela ne suffit pas, vous pouvez payer un supplément pour que Sucuri ajoute un pare-feu d'application Web (WAF) à votre site Web, arrêtant les attaques basées sur le navigateur à la porte. Ils fonctionnent en examinant toutes les entrées transmises à votre site Web et en éliminant celles qui sont de nature ostensiblement malveillante.

Un autre service complémentaire proposé par Sucuri est la sauvegarde automatique hors site. Le sujet de la sauvegarde de WordPress est gigantesque, et celui qui a été couvert en longueur Comment faire une sauvegarde automatisée à distance de votre blog WordpressCe week-end, mon site Web a été piraté pour la première fois. Je pensais que c'était un événement qui devait finir par arriver, mais je me sentais toujours un peu choqué. J'ai eu la chance que je ... Lire la suite dans le passé par mes collègues.

L'un des arguments les plus convaincants pour laisser Sucuri gérer vos sauvegardes hors site est son prix bas. Cinq dollars garantissent que votre site est stocké en toute sécurité sur les serveurs de Sucuri. Vous n'avez pas besoin d'être abonné à Sucuri pour utiliser les sauvegardes Sucuri, et c'est indépendant de la plate-forme, la seule exigence étant une boîte * nix ou une machine Windows exécutant PHP.

Ne vous y trompez pas, l'accent de Sucuri est une question de sécurité. Ce n'est pas vraiment génial pour surveiller les performances de votre application et ne fait qu'une seule tâche. Bien que cette tâche soit parfaitement exécutée, je vous recommande donc fortement de vérifier ce produit.

Fais le toi-même

Ne vous y trompez pas, si vous êtes préoccupé par la sécurité et les performances de votre installation WordPress, vous devriez vraiment utiliser un produit tiers. Ils sont fabriqués par des gens qui connaissent vraiment leur métier. Ils connaissent les menaces qui pèsent sur eux, ils savent comment se défendre contre eux et ils savent ce qui rend votre site plus lent qu'un retraité couvert de mélasse.

Cependant, si vous êtes absolument déterminé à lancer votre propre solution de surveillance du système, vous aurez besoin des composants suivants.

Le premier est un outil pour analyser le trafic, le bruit et les journaux. Ceux-ci peuvent être laissés par une menace externe ou par un outil que vous avez installé pour enregistrer les performances de votre site. Il y a une énorme quantité de produits sur le marché, mais aucun n'a le poli Splunk a.

wordpress-splunk

Il n'y a tout simplement pas de débat ici. Splunk est meilleur pour visualiser et interroger les journaux que tout autre produit sur le marché, et je le recommande vivement. Je l'ai utilisé pour la première fois dans un état bêta très précoce. Depuis lors, il a prospéré et est un outil puissant dans l'arsenal de tout administrateur système.

Ensuite, vous devrez commencer à profiler votre application. Cela signifie recueillir d'énormes quantités d'informations pour voir comment il fonctionne, et il n'y a qu'un seul cheval en particulier dans cette course qui mérite d'être mentionné. Tu sais qui. Nouvelle relique.

Ces gars-là ont fait irruption sur la scène il y a seulement quelques années, attirant énormément d'attention pour leur simplicité de déploiement et la collecte d'énormes quantités de statistiques de performances. Oh, et pour avoir donné plus de T-shirts qu'une mascotte lors d'un match de basket.

En tant que développeur moi-même, j'ai un faible pour New Relic et je les ai moi-même utilisés dans les sites Web que j'ai développés. Je trouve que leurs statistiques sont précises, et le plugin utilisé pour les enregistrer est relativement léger et facile à déployer. Il y a même une documentation spécifique à WordPress!

Le dernier outil de notre arsenal est un WAF. Cela sert à deux fins. Le premier vous permet de savoir si quelqu'un a pris des photos de pot sur votre site Web. La seconde (comme nous l'avons vu précédemment) est d'atténuer les attaques sur votre site.

Si vous utilisez Apache, il n'y a qu'un seul WAF dont nous devons parler. C'est appelé Mod Security. Il est créé par les gars de Trustwave La sécurité et c'est gratuit. Vous ne pouvez vraiment pas battre ça.

Les regrouper en une forme d'ensemble cohérent constituerait un article en soi. C’est vraiment une tâche gigantesque, et qui peut être plus difficile que cela ne vaut. Surtout quand on considère qu'il existe des packages comme Auditor et Sucuri sur le marché. En conséquence, je ne vais pas entrer dans trop de détails. Sachez simplement que c'est possible.

Conclusion

Dans cet article, nous avons examiné deux produits phares pour garder une trace de votre installation WordPress, ainsi que la façon dont vous pouvez déployer votre propre solution. Avec de plus en plus d'entreprises utilisant WordPress pour gérer leur présence en ligne, l'importance d'assurer la sécurité d'un site Web n'a jamais été aussi grande. Et avec les sites qui réclament des globes oculaires, la nécessité de garder votre site rapide et sécurisé n'a jamais été aussi importante.

Je serais vraiment intéressé d’entendre vos réflexions à ce sujet. Envoyez-moi un commentaire ci-dessous.

Obtenez un hébergement WordPress sécurisé et fiable avec Bluehost. Créez un compte à seulement 2,95 $ / mois.

Crédit photo: Centre de données (Bob Mical)

Matthew Hughes est un développeur de logiciels et écrivain de Liverpool, en Angleterre. Il est rarement trouvé sans une tasse de café noir fort dans sa main et adore absolument son Macbook Pro et son appareil photo. Vous pouvez lire son blog sur http://www.matthewhughes.co.uk et suivez-le sur twitter à @matthewhughes.