Плагин Wordfence Security — тотальная защита для вашего сайта на движке WordPress. Помогает скрыть ненужную тех. информацию, защитить форму входа, отбить ддос атаки, блокировать неугодный айпи, отслеживать подозрительных пользователей, блокировать по регионам, и прочее, прочее …
Скачать / установить:
- Через админ панель: Плагины -> Добавить новый: Wordfence Security (установить, активировать);
- Или скачать: С сайта WP — Wordfence Security (переместить и разархивировать в Ваш_сайт/wp-content/plugins).
Актуальность защиты WordPress? Моя история вопроса
Я особо не задумывался о спец. защитных плагинах для Вордпресс, пока однажды не столкнулся с пренеприятнейший картиной.
Как только сайт получил первые ТиЦ и ПР, как только посещаемость превысила за 500 ч/с — попасть на него стало невозможно. В лучшем случае грузился до 3 минут.
Естественно (так поступают все новички), всю вину я свалил на хостинг, о чем их незамедлительно поставил в известность. Служба поддержки же вежливо ответила, что проблема, возможно, возникла в работе некоторых моих плагинах, которые и создают излишнюю нагрузку. И кроме этого, посоветовали установить кеш Вордпресс.
Не помогло …
Также естественно, я самостоятельно пытался понять, в чем проблема и часто заглядывал в ЛОГ файлы (в них отображается техническая часть работы сайта).
Подозрение вызвали строки вида (один и тот же «пользователь» каждые 10 секунд переходил по ссылкам и так в течении часа)*:
xx.xxx.xxx.xx — — [16/Jun/20xx:18:23:03 +0400] «GET /page-1/ HTTP/1.0″ 200 xxxx
xx.xxx.xxx.xx — — [16/Jun/20xx:18:23:13 +0400] «GET /page-2/ HTTP/1.0″ 200 xxxx
xx.xxx.xxx.xx — — [16/Jun/20xx:18:23:23 +0400] «GET /page-3/ HTTP/1.0″ 200 xxxx
… …
xx.xxx.xxx.xx — — [16/Jun/20xx:19:23:03 +0400] «GET /page-360/ HTTP/1.0″ 200 xxxx
Другой вариант (обращение к несуществующим страницам, так же за короткий час, ошибка 404)
xx.xxx.xxx.xx — — [16/Jun/20xx:18:23:33 +0400] «GET /no-page-1/ HTTP/1.0″ 404 xxxx
xx.xxx.xxx.xx — — [16/Jun/20xx:18:23:43 +0400] «GET /no-page-2/ HTTP/1.0″ 404 xxxx
… …
*Строки по памяти изобразил, реальные принтскрины, увы, не сделал, не до этого было, когда сайт 2 месяца был практически недоступен …
Вот, так я познакомился с Ддос атакой на личном опыте!
Кстати, а вот так плагин эмитировал недоступность устройства для указанного айпи (когда писал пост, реальный принтскрин):
Ддос атака — это когда за короткий промежуток времени создается огромное количество запросов к сайту. Например, некий бот гуляет по ссылкам, скачивая весь материал, запуская работу соответствующих плагинов.
В итоге, хостинг не справляется с нагрузкой, и сайт «ложиться». (Представьте себе, что в одно и тоже время ваши домочадцы решили войти в один дверной проем. Толкучка — нет возможности войти ни одному. Вот точная ситуация с ддосом).
Делается это специально.
К некоторым вебмастерам после ддос атак приходит «письмо помощи», где «добрый дяденька» предлагает решить данную проблему не бесплатно, конечно.
Ну, и некоторые парсеры не прочь пошалить. (Парсеры — воруют контент. Но делают это не скромно, тянут все подряд).
Может еще происки конкурентов.
Может ваш сайт «им» и не интересен, но попал под горящую руку, а атака была на хостинг или на соседний сайт, на том же айпи.
Как защитить WordPress — Wordfence Security
Уже не помню, почему именно он. Но решил и решает проблемы с безопасностью на все 100%.
Проблемы возникли с настройками. На русском нет, как его настраивать. Да и на не родном, английском тоже сложно найти. Пришлось самому догадываться, пробовать …
Окончательный вариант я и даю … (через регистрацию, чтоб враги не подсмотрели).
Настройки Wordfence Security
[hidepost=0]Итак, установили и активировали. Настоятельно рекомендую подписаться (по первой активации — выскочит соот. окошко) на рассылку. Часто приходит полезная и актуальная инфа, связанная с безопасностью (на английском, гугл переводчик в помощь). Спама и призыва «купи» — нет.
Версия может быть платной и бесплатной.
В платной более расширенные возможности. Какие? Не дам точную информацию, ибо постоянно меняется (обычно — дополняется функционал). К примеру, раньше в бесплатной нельзя было блокировать юзеров с определенных стран. Сейчас можно и в бесплатной.
Возможности данного плагина — потрясающие. И всех не опишу — уже не уровень новичка сайтостроителя, а уже человека в «в теме».
Для новичков и тех, кто страдает от Ддосов, взломов дальнейшей информации достаточно.
Главные настройки Wordfence -> Options
Повторюсь — настройки все проверенные, рабочие. Но возможно, поправка на хостинг …
Итак, сами настройки Wordfence Security (ищем в админ баре «Wordfence»). Переходим сразу в «Options», и далее, как на скрине:
Где:
Wordfence Live Activity — текущая активность, что он делает (за кем следит);
License — ключ лицензии, для бесплатной версии получается автоматически;
Enable firewall — включает «ворота», их настройки ниже;
Enable login security — контроль входа в админку ВП, настройка ниже;
Enable Live Traffic View — включает наблюдение визуальный мониторинг на спец. странице Wordfence -> Live Traffik (большая нагрузка, если ваши сайты на виртуальном хостинге. Лучше отключить. Хотя полезно отслеживать, кто сейчас «посется» на вашем сайте …);
Enable automatic scheduled scans — включает авто проверку на вирусы. Лучше отключить, ибо опять таки, при работе с остальными плагинами и пиком посещаемости может «положить» сайт.
Where to email alerts: — куда будет приходить оповещения о крит. ошибках, и рекомендации от разработчиков. Лучше заполнить.
Остальные настройки — как есть …
Не забывайте «Save Changes«!
Дальше … опускаемся до Firewall Rules (Alerts, Live Traffic View, Scans to include — гугл переводчик. Комментировать нечего. Можете оставить, как есть, или по изменять. При отключенных выше настройках — это ничего не работает).
Firewall Rules
Именно эти настройки защитят от Ддос атаки. Ставить меньше — не рекомендую, можете блокировать обычного пользователя. Ставить больше — если хостинг позволяет большую нагрузку.
Где:
Immediately block fake Google crawlers: — блокировать, если бот имитирует Гугл бот.
How should we treat Google’s crawlers — разрешение Гуглу боту к доступу (стоит без ограничений). Гугл бот аккуратно бродит по ссылкам. Ему можно доверять.
If anyone’s requests exceed: и If a crawler’s page views exceed: — аналогичные настройки, как с Гуглом, но в отношении других поисковых ботов. (Яндекс не попадет под блок. А вот Маил ру один раз у меня попал. Когда здесь выставил «Unlimited» — любой поисковый бот мог бродить по своим правилам. Им тоже можно доверять — они знают о слабости наших хостеров).
If a crawler’s pages not found (404s) exceed: — если бот будет настойчив в поисках несуществующих страниц. Что подозрительно …
If a human’s page views exceed: и If a human’s pages not found (404s) exceed: и If 404’s for known vulnerable URL’s exceed: — именно эти настройки оградят ваш сайт от Ддос атаки. Следят за хуманом, и если хуман ведет себя не, как человек — блокируют его. Подобраны мной экспериментально.
How long is an IP address blocked when it breaks a rule: — насколько блокировать …
Дальше …
Login Security Options
Контроль входа в админку ВП. Такая иногда закономерность, когда идет ддос атака, в тоже время происходят попытки войти в админку …
Комментировать каждый пункт — проще воспользоваться переводчиком. Все довольно просто. Особенностей никаких. Только смотрите сами не введите неправильный логин или пароль. В данном случае — правила очень строгие.
Где:
Whitelisted IP addresses that bypass all rules: — айпи адрес, которого правила выше не касаются. Полезно поставить свой домашний айпи. Если он, конечно, не динамичный …
Hide WordPress version — скрыть версию Вордпресс;
Остальное до «Enable debugging mode» — включил, но эти настройки не особо актуальны или перекрываются другими. Так, например у меня — всегда ручная модерации комментариев.
С Enable debugging mode и далее — не включать, если вы не профи …
Синие ссылки — отладочная информация, тоже для профи ….
[/hidepost]Еще о панели Wordfence
Wordfence Scan — отчет сканера, его тут же можно запустить вручную или посмотреть, что он там насканировал сам. Аккуратно — нагрузка на ЦП хостинга. Новичкам не рекомендую его использовать. Если увидели много красных крестиков в результатах — не паникуйте … , читайте строку выше.
Life Traffik — в реальном режиме можно отслеживать, кто бродит у вас на сайте. Умеренная нагрузка на хостинг, но лучше вообще его выключить. Полезно бывает, когда вас атакуют, и вам нужно узнать его айпи, чтоб блокировать вручную. Хотя разумней использовать логи на хостинге и произвести ручную блокировку через Штасес файл (.htaccess).
Performance Setup — вкл. кеш, и за счет этого ускоряет сайт. Появилась недавно. Сырая версия. Лучше использовать отдельно WP Super Cache. Не включать!
Blocked IPs — выводит список блокированных айпи. Тут же можно снять блокировку с них.
Cellphone Sign-in — «бесплатная» тех. поддержка для премиум клиентов.
Country Blocking — возможность блокировки целых стран. Не советую использовать. Хотя …
Scan Scheduling — недавно появилось. Можно задать график сканирования файлов.
WHOIS Lookup — по айпи находит информацию о владельце, хостинге, расположении … Полезно для поиска вредных айпи.
Advanced Blocking — возможность заблокировать, как группу адресов, так и отдельных поисковых ботов …. Не рекомендую новичкам этим заниматься.
В недостатках еще напишу: переход на некоторые вкладки по каким-то причинам вызывает жуткую нагрузку на ЦП хостинга. Но такое не на всех сайтах. По логам определил — конфликт данного плагина с другим (отвечающего за вход в админ. часть; отвечающего за визуальное оформление, никакой защиты).
Недостатки / Достоинства Wordfence Security
- Регулируемая нагрузка (при определенных настройках);
- Защита от Ддос и взломов работает отлично (проверено на нескольких сайтов);
- Через подписку приходят сообщения от разработчиков — часто говорят о критических ошибках связанных с безопасностью или самого ВП, или шаблонов, но чаще плагинов;
- Нужно быть очень аккуратным с настройками — можно свой сайт при помощи данного плагина сделать недоступным, как для других, так и для себя.
- При желании воспользоваться некоторыми мониторными возможностями — огромнейшая нагрузка на хостинг.
Хорошая статья. По ней шёл как по шаговой инструкции. Вот хотелось бы больше найти информации о настройках рубрики — Options. У меня этот плагин заблокировал автоматическое обновлнение, но найти не могу.