La maggior parte del lavoro del mio team riguarda la manutenzione e la sicurezza di WordPress per i siti dei clienti, con un numero di installazioni che varia da diverse decine in qualsiasi momento, e il motivo per cui WP Security Ninja ha avuto successo è che si comporta come uno strumento progettato da persone che hanno effettivamente gestito più di un sito contemporaneamente. Molti plugin di sicurezza sono costruiti sull'assunto che si acceda a un'unica dashboard, si guardi un unico punteggio e si passi oltre. Questo presupposto crolla nel momento in cui si è responsabili di quaranta siti con quaranta accessi e quaranta finestre di manutenzione. WP Security Ninja tratta la realtà multi-sito come il caso predefinito piuttosto che un ripensamento, e questa singola decisione è ciò che gli ha fatto guadagnare un posto nel nostro stack standard. L'integrazione con MainWP è la parte che indicherei per prima. Già utilizziamo MainWP come hub per aggiornamenti e backup su tutta la base clienti, quindi qualsiasi cosa che si integri senza aggiungere attriti vale davvero per noi. Il supporto di Security Ninja per MainWP è integrato direttamente sia nella versione gratuita che in quella premium del plugin, il che significa che non c'è un plugin figlio separato da installare su ogni sito, nessuna parte mobile extra da mantenere aggiornata e nessun ulteriore punto di guasto. Una volta che il plugin è su un sito figlio, appare semplicemente nella dashboard di MainWP. La divisione tra i componenti aggiuntivi gratuiti e premium di MainWP merita di essere precisata, perché decide quale sia effettivamente necessario per un'agenzia: - Il componente aggiuntivo gratuito, disponibile nel repository di WordPress.org, mostra i risultati dei test di sicurezza di ogni sito figlio, segnala eventuali vulnerabilità note e consente di avviare scansioni da remoto. Per molte configurazioni più piccole, questo è davvero sufficiente. - Il componente aggiuntivo premium aggiunge il registro eventi combinato su ogni sito connesso, la ricerca e il filtraggio su quegli eventi e il controllo remoto della modalità white label sulle installazioni Pro. Questo è il livello che si guadagna il suo posto una volta che si gestiscono siti di clienti in volume. Ciò che ci ha spinto verso il componente aggiuntivo premium è stato specificamente il registro eventi combinato. Invece di aprire ogni sito per vedere come appariva la sua attività di firewall e login, estrae un registro sincronizzato da ogni installazione connessa in una vista ricercabile. Quando un cliente invia un'email per chiedere perché è stato bloccato, o quando voglio confermare se un particolare sito ha visto un picco di tentativi di accesso falliti la scorsa settimana, rispondo dalla dashboard di MainWP in circa un minuto. Il registro combinato e il controllo remoto white label riportano solo in modo significativo sui siti che eseguono la versione Pro, poiché il plugin gratuito non registra eventi, ma per il nostro livello di clienti paganti questa è la configurazione che utilizziamo comunque. Le scansioni remote e le azioni in blocco meritano una menzione a parte perché cambiano il ritmo del lavoro di routine. Dalla colonna di MainWP posso avviare i test di sicurezza su un singolo sito o su cento siti con un'unica azione in blocco, poi tornare più tardi e ottenere risultati freschi una volta che i siti si sono sincronizzati. Abbiamo integrato un passaggio di sicurezza mensile nel nostro contratto di manutenzione, e prima di questo significava che una persona cliccava su ogni sito individualmente. Ora è un'azione, una pausa caffè e una revisione di ciò che è tornato giallo o rosso. La colonna di panoramica mostra il punteggio di sicurezza e le eventuali vulnerabilità rilevate per sito a colpo d'occhio, quindi il passo di triage avviene prima che qualcuno apra un singolo sito. Il punteggio di sicurezza per sito è più utile di quanto un singolo numero abbia diritto di essere, ed è diventato silenziosamente la prima cosa che guardo. Riassume i risultati dei test, i risultati delle vulnerabilità e lo stato dei controlli dei file core in un'unica cifra, e su una flotta mi dà un modo rapido per ordinare l'attenzione: i siti che stanno in basso vengono esaminati per primi, quelli che stanno in alto possono aspettare. È anche un numero che un cliente comprende senza alcun background di sicurezza, il che conta più di quanto sembri. Quando spiego perché un particolare sito ha bisogno di lavoro questo mese, indicare un punteggio che è sceso è molto più persuasivo di un paragrafo di gergo che il cliente annuirà e non assorbirà. Tratto il punteggio come un segnale di triage piuttosto che come un vangelo, perché nessuna singola cifra cattura tutto ciò che conta sulla sicurezza di un sito, ma come modo per decidere dove dovrebbe andare la prossima ora di lavoro fa bene il suo lavoro, e lo fa su ogni sito connesso contemporaneamente dalla panoramica di MainWP. Il white label è la caratteristica che giustifica silenziosamente il pacchetto agenzia per noi. Su licenze Pro al livello agenzia puoi sostituire il nome del plugin, la sua descrizione, i dettagli dell'autore, l'icona e gli URL associati con il tuo branding, e opzionalmente nasconderlo completamente dalla schermata standard dei Plugin. Quando un cliente accede al proprio admin di WordPress, non vede un prodotto di terze parti chiamato Security Ninja nella sua lista di plugin. Vede uno strumento di sicurezza che porta il nome della nostra agenzia, che è esattamente l'impressione che siamo pagati per creare. È un piccolo pezzo di rifinitura sulla carta e uno significativo nella pratica, perché un cliente che vede una pila di plugin di terze parti sconosciuti inizia a chiedersi per cosa ci sta pagando. Il modulo white label viene fornito con ogni livello del pacchetto agenzia piuttosto che essere dietro una tariffa separata, e su una configurazione MainWP puoi attivare o disattivare il branding del cliente su tutta la flotta senza visitare ogni sito. Giorno per giorno, il firewall cloud fa il lavoro più pesante, e funziona in alcuni livelli che si combinano bene insieme: - Il database IP blocca il traffico da una lista continuamente aggiornata di indirizzi noti come malevoli, nell'ordine di 600 milioni di voci, aggiornato ogni poche ore, quindi una grande parte degli attacchi automatizzati non ottiene mai una risposta utile. - Il blocco dei paesi, basato sul noto set di regole firewall 8G, ti consente di limitare l'accesso per regione e scegliere se un paese bloccato vede un messaggio personalizzato o viene reindirizzato da qualche parte innocua. Per i siti dei clienti che servono solo una o due regioni, questo riduce enormemente la quantità di sciocchezze automatizzate. - I controlli avanzati del firewall ti permettono di decidere come vengono gestiti i visitatori bloccati piuttosto che forzare un comportamento unico, il che conta quando un cliente ha una configurazione insolita e hai bisogno che il firewall sia assertivo senza essere goffo. Una cosa che conta con qualsiasi firewall così assertivo è cosa succede quando sbaglia qualcosa, e Security Ninja ti dà i controlli per gestirlo senza indebolire l'intero sito. Un firewall che lavora su un database così grande occasionalmente catturerà un visitatore legittimo, specialmente su siti con configurazioni personalizzate o traffico insolito. Puoi consentire indirizzi IP fidati, rivedere esattamente cosa è stato bloccato e regolare il comportamento del firewall piuttosto che vivere con un interruttore tutto-o-niente. Per il lavoro con i clienti quella distinzione è importante, perché la chiamata che meno voglio ricevere è un cliente che mi dice che un vero cliente non può raggiungere il sito. Essere in grado di mettere in whitelist l'indirizzo, confermarlo contro il registro e andare avanti, con la protezione ancora completamente attiva ovunque, è la differenza tra una correzione di due minuti e un pomeriggio imbarazzante. Il 404 Guard è una di quelle caratteristiche di cui non mi aspettavo di preoccuparmi e che ora non spegnerei. I bot malevoli passano la giornata a sondare i siti per file che non esistono, cercando un vecchio backup, una configurazione esposta, un percorso di plugin vulnerabile, e ognuna di quelle richieste costa qualcosa al server. 404 Guard osserva quel modello di sondaggio e taglia fuori l'offensore, quindi il sito smette di spendere risorse per rispondere agli scanner. Su siti di clienti più piccoli con hosting modesto, la riduzione del traffico spazzatura è davvero evidente nei log, e mantiene il firewall e lo scanner malware concentrati sul segnale reale invece che sul rumore di fondo. Lo scanner malware ha chiaramente ricevuto attenzione ed è una delle aree in cui il prodotto è avanzato piuttosto che rimanere fermo. Esegue ispezioni approfondite dei plugin, dei temi, degli upload e di altre directory chiave, controllando i file contro modelli di malware noti e cercando codice che non appartiene. È euristico piuttosto che un controllo di versione puro, quindi guarda a cosa fa effettivamente il codice, non solo se un plugin afferma di essere una particolare versione. Quando segnala qualcosa, puoi rivedere il file in sicurezza, metterlo in whitelist se è un falso positivo o rimuoverlo. La parte della whitelist conta più di quanto sembri, perché su siti di clienti reali incontrerai falsi positivi prima o poi, e uno scanner che ti permette di riconoscerli e ignorarli mantiene la prossima scansione pulita invece di continuare a segnalarti lo stesso file per sempre. La scansione programmata è ciò che fa sì che tutti quei controlli avvengano effettivamente invece di dipendere da qualcuno che si ricorda di eseguirla. Imposti una cadenza, il plugin esegue la scansione malware, il controllo core e i test in background, e invia un'email quando qualcosa è cambiato piuttosto che quando tutto va bene. Questo ultimo dettaglio è quello che lo mantiene utile, perché uno strumento che ti invia un certificato di buona salute ogni singolo giorno diventa rapidamente uno strumento che filtri in una cartella e smetti di leggere. Gli avvisi di Security Ninja arrivano quando c'è un motivo per guardare, quindi mantengono il loro peso. Dal lato dell'agenzia, una scansione programmata che funziona silenziosamente su ogni sito cliente significa che il monitoraggio di base è automatico, e i passaggi manuali che facciamo ancora diventano un passo di conferma piuttosto che l'unica linea di difesa. Due controlli coprono l'integrità dei file, e tra loro rispondono alla maggior parte della domanda se un sito è stato manomesso: - Lo scanner core confronta i file core di WordPress sul sito, ben oltre un migliaio di essi, con le versioni ufficiali da WordPress.org, segnalando qualsiasi cosa modificata, mancante o aggiunta inaspettatamente. Quando un sito ci arriva già con problemi, mi dice entro un paio di minuti se il core stesso è stato alterato, e posso ripristinare i file puliti dalla fonte ufficiale piuttosto che indovinare. - Il controllo dell'integrità dei plugin convalida i plugin provenienti da WordPress.org rispetto alle loro versioni ufficiali rilasciate e ti consente di ispezionare le differenze quando i file non corrispondono. Un file di plugin modificato è uno dei modi più comuni in cui si nasconde un compromesso, perché si trova all'interno di qualcosa di legittimo piuttosto che annunciarsi. Entrambi mi danno qualcosa di specifico su cui agire, un file nominato con una vera differenza, invece di un'intuizione che poi devo passare un pomeriggio a confermare. Lo scanner core è disponibile anche nella versione gratuita, il che lo rende uno strumento di prima risposta ragionevole anche su un sito che non abbiamo ancora completamente integrato. Il monitoraggio delle vulnerabilità è gestito bene, e il fatto che sia una caratteristica gratuita piuttosto che una a pagamento dice qualcosa su come il prodotto è posizionato. Il plugin mantiene un elenco di vulnerabilità note, tratto da fonti pubbliche curate tra cui il National Vulnerability Database, con identificatori CVE e informazioni sulla versione corretta, e confronta quell'elenco con i plugin, i temi e la versione di WordPress effettivamente installati sul sito. Il dettaglio che apprezzo come qualcuno responsabile dei siti di altre persone è che il confronto avviene localmente. L'elenco delle vulnerabilità viene scaricato sul sito e il confronto avviene lì, quindi il plugin non sta inviando un inventario del software di ogni sito a un server di terze parti. Per il lavoro con i clienti, dove preferirei non costruire silenziosamente un database remoto di ciò che ogni cliente esegue, quel design locale-prima è la scelta giusta. Il vantaggio pratico è semplice: quando un plugin da cui dipende un cliente ottiene una vulnerabilità divulgata, il plugin me lo dice, e me lo dice prima che qualcun altro lo scopra nel modo più difficile. I 50 e più test di sicurezza sono la parte del prodotto che ho usato per prima, anni fa, e ancora si guadagnano il loro posto. Il plugin esegue una lunga lista di errori comuni di WordPress e impostazioni rischiose, tra cui: - Permessi di file e cartelle più laschi di quanto dovrebbero essere - Divulgazione della versione che fornisce agli attaccanti una ricognizione gratuita - Configurazione PHP pericolosa, e impostazioni di debug o aggiornamento automatico lasciate nello stato sbagliato - Un prefisso di tabella del database predefinito non sicuro - API esposte e impostazioni di password applicative - Plugin disattivati e software obsoleto lasciati La versione gratuita spiega ogni risultato e ti dice come risolverlo manualmente. La versione Pro aggiunge correzioni con un clic per molti di quei risultati, e crea un backup prima di toccare qualsiasi cosa sensibile. Quel comportamento di backup-prima-della-correzione è il motivo per cui mi sento a mio agio nel lasciare che applichi modifiche su un sito cliente piuttosto che insistere nel fare ogni correzione a mano. Trasforma un audit di sicurezza, il tipo di cosa che una volta significava una lista di controllo manuale lenta o un consulente costoso, in un passaggio che richiede pochi minuti per sito. L'auto-correzione dei problemi di routine merita una menzione a parte, perché copre una lunga lista di passaggi di indurimento che sono noiosi da fare a mano e quasi impossibili da fare in modo coerente su molti siti. Con un backup effettuato prima di ogni modifica sensibile, farà: - Cambiare un prefisso del database non sicuro in qualcosa che gli attaccanti non possono assumere - Disabilitare la navigazione delle directory in modo che la struttura dei file non sia in mostra - Eliminare temi inutilizzati e plugin inattivi che solo ampliano la superficie di attacco - Regolare i permessi dei file a valori più sicuri - Chiudere un certo numero di vettori di attacco noti Su un singolo sito, lavorare attraverso quella lista manualmente è una mezz'ora di lavoro noioso che è facile fare leggermente sbagliato, e un permesso di file leggermente sbagliato può rompere un sito tanto efficacemente quanto farebbe un attaccante. Su una base clienti è il tipo di compito che semplicemente non viene fatto nello stesso modo due volte. Lasciare che il plugin applichi le correzioni di routine, mentre mi mostra esattamente cosa ha cambiato e mantenendo un backup se ho bisogno di tornare indietro, significa che la parte noiosa dell'indurimento viene effettivamente completata. La protezione del login è solida e copre l'area che gli attaccanti martellano più duramente. I pezzi che contano di più nel nostro lavoro quotidiano: - Limitazione della velocità sui login falliti con soglie configurabili, e ban automatico degli indirizzi che continuano a indovinare - Riduzione dell'enumerazione dei nomi utente, quindi i bot non possono facilmente raccogliere nomi utente validi da attaccare - Protezione sul flusso di recupero password, un'altra via che spesso viene ignorata - Autenticazione a due fattori utilizzando un'app di autenticazione o codici email - L'opzione di rinominare l'URL di login lontano dal predefinito, quindi il traffico automatizzato per lo più non trova la porta Per i siti dei clienti dove il cliente insiste su una password debole nonostante i nostri consigli, la combinazione di 2FA e un URL di login rinominato è ciò che mi fa dormire, perché i tentativi di forza bruta per lo più finiscono prima di iniziare. L'onboarding di un nuovo sito cliente è più veloce di quanto mi aspettassi, e questo si riduce a tre cose che lavorano insieme: 1. Il wizard di configurazione guida una nuova installazione attraverso l'esecuzione dei test, l'abilitazione delle correzioni raccomandate e l'attivazione delle protezioni chiave, quindi non stai cercando in ogni schermata di impostazioni su un sito che hai appena preso in carico. 2. L'importazione e l'esportazione delle impostazioni significa che una volta che abbiamo una configurazione di sicurezza che ci piace, applichiamo la stessa politica al sito successivo invece di ricostruirla dalla memoria. 3. Per rollout più grandi, inserire un file license_key.txt nel pacchetto del plugin consente alla licenza di attivarsi da sola all'installazione e poi eliminare il file, quindi la routine di copia-incolla della licenza scompare completamente. Per un'agenzia, la coerenza tra i siti è una proprietà di sicurezza a sé stante, e queste tre cose insieme sono ciò che rende la coerenza economica. Il logger degli eventi è lo strumento a cui mi rivolgo quando qualcosa è già successo e ho bisogno di ricostruirlo. Registra accessi, sia riusciti che falliti, eventi del firewall, attività di scansione, aggiornamenti, azioni sui file e altro, in un registro filtrabile. Quando un cliente chiede chi ha cambiato un'impostazione, o quando sto cercando di capire la sequenza degli eventi intorno a un accesso sospetto, il registro è dove vive la risposta. Filtrato attraverso la vista combinata di MainWP diventa una traccia di audit su tutta la base clienti piuttosto che una curiosità per sito, che è la versione di esso che effettivamente fa risparmiare tempo. Quando vogliamo che gli eventi di sicurezza escano dal plugin e finiscano da qualche parte che il team già monitora, il supporto webhook lo gestisce. Security Ninja può inviare eventi webhook per cose come visitatori bloccati e attività di login, e poiché sono webhook standard si inseriscono direttamente in Zapier o in qualsiasi sistema che accetta un hook in entrata. Inoltriamo certi eventi nel canale che il team già monitora durante il giorno, quindi un accesso notevole o un'ondata improvvisa di traffico bloccato appare dove una persona lo vedrà effettivamente piuttosto che sedersi in un registro in attesa di essere controllato. Non è una caratteristica di cui ogni sito cliente ha bisogno, e sugli account più semplici la lasciamo disattivata, ma per i clienti più esigenti chiude il divario tra il plugin che nota qualcosa e un umano che ne viene a conoscenza. Per i clienti che gestiscono un negozio, la protezione WooCommerce è un pezzo più piccolo ma benvenuto. Aggiunge protezione intorno alle aree che i bot abusano su un negozio, i flussi di login e registrazione, l'attività abusiva di checkout e aggiunta al carrello, e il brute forcing dei coupon. Non è il motivo principale per scegliere il plugin, ma per un'agenzia con un paio di clienti ecommerce significa un plugin specializzato in meno da reperire e mantenere. E poiché vive nello stesso plugin del firewall e dello scanner, la protezione sul negozio e la protezione sul resto del sito sono configurate e monitorate in un unico posto piuttosto che su due strumenti separati. Un'aggiunta più recente è il consulente di sicurezza AI, che condensa i risultati del plugin in un unico rapporto di sicurezza leggibile. Ciò che apprezzo di come è stato costruito è la moderazione intorno ai dati. È progettato come un rapporto attento alla privacy che non invia informazioni personali fuori dal sito, e può funzionare attraverso connettori AI standard o l'opzione del plugin stesso, quindi non sei costretto in un'unica pipeline. Per la comunicazione con i clienti mi dà un riassunto in linguaggio semplice che posso adattare in un aggiornamento di manutenzione, piuttosto che consegnare a un cliente un muro di output di test grezzo che scorreranno e dimenticheranno. È un buon esempio di una caratteristica più recente aggiunta in modo misurato, risolvendo un vero problema di comunicazione. Il ritmo di sviluppo è qualcosa che considero molto quando decido se standardizzare su uno strumento, e WP Security Ninja supera quel test. Il changelog si muove a un ritmo reale, c'è una roadmap pubblica e un portale di feedback dove posso vedere su cosa si sta lavorando e aggiungere richieste, e il plugin è stato mantenuto continuamente per ben oltre un decennio. Il supporto proviene dal piccolo team che effettivamente costruisce il prodotto, quindi quando ho sollevato qualcosa di specifico è stato risposto da qualcuno che comprende il plugin piuttosto che da uno script di prima linea. Più di un elemento sulla roadmap, inclusa un'integrazione più profonda con MainWP e la possibilità di inviare rapporti di sicurezza ai clienti, è mirato direttamente al caso d'uso dell'agenzia. La licenza è costruita per il modo in cui le agenzie effettivamente acquistano. Piuttosto che forzare acquisti per sito, ci sono pacchetti in tre dimensioni: - 25 siti, che si adatta a uno studio più piccolo o a un freelance con una base clienti stabile - 100 siti, il livello su cui la maggior parte delle agenzie consolidate si posizionerà - 500 siti, per operazioni più grandi che gestiscono una flotta seria Ogni livello del pacchetto include il componente aggiuntivo MainWP e il modulo white label piuttosto che addebitare separatamente per essi, e una chiave di licenza copre staging, produzione e migrazioni future, quindi avviare una copia di staging di un cliente non consuma un'assegnazione separata. Per il budget di una pratica di manutenzione, il costo prevedibile per sito in volume è esattamente ciò che voglio, e il prezzo del pacchetto rende facile difendere i conti a chiunque approvi gli strumenti. Un'ultima cosa che vale la pena dire è che nulla di tutto ciò viene avvolto in un'interfaccia che ti combatte. La dashboard mostra lo stato del firewall, gli aggiornamenti in sospeso, il punteggio di sicurezza e i risultati delle vulnerabilità senza farti scavare, e il plugin rimane abbastanza leggero da non essere stato un reclamo sulle prestazioni su nessun sito cliente su cui lo eseguiamo. L'ho consegnato a colleghi meno tecnici e a clienti che gestiscono i propri contenuti, e trovano la loro strada senza una sessione di formazione. Per un prodotto che racchiude così tanti moduli, rimanere accessibile non è un dato di fatto, e Security Ninja ci riesce. La versione gratuita è considerevolmente più di un teaser, e questo modella il nostro lavoro più di quanto mi aspettassi. I test di sicurezza, lo scanner di vulnerabilità e lo scanner core funzionano tutti senza pagare nulla, il che significa che quando un potenziale cliente ci chiede di dare un'occhiata a un sito che non gestiamo ancora, possiamo installare il plugin gratuito, ottenere una valutazione reale in pochi minuti e basare la nostra raccomandazione su prove piuttosto che su un'ipotesi educata. Quando quel sito passa a una licenza Pro sappiamo già con cosa abbiamo a che fare, e abbiamo valutato il lavoro di conseguenza. Un plugin di sicurezza che ti dà una lettura genuina su un sito prima che cambi denaro è insolito, e è diventato silenziosamente una parte legittima di come gestiamo l'accoglienza piuttosto che una demo bloccata di cui dobbiamo parlare.