Защита WordPress — Wordfence Security

Плагин Wordfence Security  — тотальная защита для вашего сайта на движке WordPress. Помогает скрыть ненужную тех. информацию, защитить форму входа, отбить ддос атаки, блокировать неугодный айпи, отслеживать подозрительных пользователей, блокировать по регионам, и прочее, прочее …

Скачать / установить:

• Через админ панель: Плагины -> Добавить новый: Wordfence Security (установить, активировать);
• Или скачать: С сайта WP — Wordfence Security (переместить и разархивировать в Ваш_сайт/wp-content/plugins).

Актуальность защиты  WordPress? Моя история вопроса

Я особо не задумывался о спец. защитных плагинах для Вордпресс, пока однажды не столкнулся с пренеприятнейший картиной.

Как только сайт получил первые ТиЦ и ПР, как только посещаемость превысила за 500 ч/с — попасть на него стало невозможно. В лучшем случае грузился до 3 минут.

Естественно (так поступают все новички), всю вину я свалил на хостинг, о чем их незамедлительно поставил в известность. Служба поддержки же вежливо ответила, что проблема, возможно, возникла в работе некоторых моих плагинах, которые и создают излишнюю нагрузку. И кроме этого, посоветовали установить кеш Вордпресс.

Не помогло …

Также естественно, я самостоятельно пытался понять, в чем проблема и часто заглядывал в ЛОГ файлы (в них отображается техническая часть работы сайта).

Подозрение вызвали строки вида (один и тот же «пользователь» каждые 10 секунд переходил по ссылкам и так в течении часа)*:

Другой вариант (обращение к несуществующим страницам, так же за короткий час, ошибка 404)

*Строки по памяти изобразил, реальные принтскрины, увы, не сделал, не до этого было, когда сайт 2 месяца был практически недоступен …

Вот, так я познакомился с Ддос атакой на личном опыте!

Кстати, а вот так плагин эмитировал недоступность устройства для указанного айпи (когда писал пост, реальный принтскрин):

Ддос атака — это когда за короткий промежуток времени создается огромное количество запросов к сайту. Например,  некий бот гуляет по ссылкам, скачивая весь материал, запуская работу соответствующих плагинов.

В итоге, хостинг не справляется  с нагрузкой, и сайт «ложиться». (Представьте себе, что в одно и тоже время ваши домочадцы решили войти в один дверной проем. Толкучка — нет возможности войти ни одному. Вот точная ситуация с ддосом).

Делается это специально.

К некоторым вебмастерам после ддос атак приходит «письмо помощи», где «добрый дяденька» предлагает решить данную проблему не бесплатно, конечно.

Ну, и некоторые парсеры не прочь пошалить. (Парсеры — воруют контент. Но делают это не скромно, тянут все подряд).

Может еще происки конкурентов.

Может ваш сайт «им» и не интересен, но попал под горящую руку, а атака была на хостинг или на соседний сайт, на том же айпи.

Как защитить WordPress — Wordfence Security

Уже не помню, почему именно он. Но решил и решает проблемы с безопасностью на все 100%.

Проблемы возникли с настройками. На русском нет, как его настраивать. Да и на не родном, английском тоже сложно найти. Пришлось самому догадываться, пробовать …

Окончательный вариант я и даю … (через регистрацию, чтоб враги не подсмотрели).

Настройки Wordfence Security

[hidepost=0]

Итак, установили и активировали. Настоятельно рекомендую подписаться (по первой активации — выскочит соот. окошко) на рассылку. Часто приходит полезная и актуальная инфа, связанная с безопасностью (на английском, гугл переводчик в помощь). Спама и призыва «купи» — нет.

Версия может быть платной и бесплатной.

В платной более расширенные возможности. Какие? Не дам точную информацию, ибо постоянно меняется (обычно — дополняется функционал). К примеру, раньше в бесплатной нельзя было блокировать юзеров с определенных стран. Сейчас можно и в бесплатной.

Возможности данного плагина — потрясающие. И всех не опишу — уже не уровень новичка сайтостроителя, а уже человека в «в теме».

Для новичков и тех, кто страдает от Ддосов, взломов дальнейшей информации достаточно.

Главные настройки Wordfence -> Options

Повторюсь — настройки все проверенные, рабочие. Но возможно, поправка на хостинг …

Итак, сами настройки Wordfence Security (ищем в админ баре «Wordfence»). Переходим сразу в «Options», и далее, как на скрине:

Где:

Wordfence Live Activity — текущая активность, что он делает (за кем следит);

License — ключ лицензии, для бесплатной версии получается автоматически;

Enable firewall — включает «ворота», их настройки ниже;

Enable login security — контроль входа в админку ВП, настройка ниже;

Enable Live Traffic View — включает наблюдение визуальный мониторинг на спец. странице Wordfence -> Live Traffik (большая нагрузка, если ваши сайты на виртуальном хостинге. Лучше отключить. Хотя полезно отслеживать, кто сейчас «посется» на вашем сайте …);

Enable automatic scheduled scans — включает авто проверку на вирусы. Лучше отключить, ибо опять таки, при работе с остальными плагинами и пиком посещаемости может «положить» сайт.

Where to email alerts: — куда будет приходить оповещения о крит. ошибках, и рекомендации от разработчиков. Лучше заполнить.

Остальные настройки — как есть …

Не забывайте «Save Changes«!

Дальше … опускаемся до Firewall Rules (Alerts, Live Traffic View, Scans to include — гугл переводчик. Комментировать нечего. Можете оставить, как есть, или по изменять. При отключенных выше настройках — это ничего не работает).

Firewall Rules

Именно эти настройки защитят от Ддос атаки. Ставить меньше — не рекомендую, можете блокировать обычного пользователя. Ставить больше — если хостинг позволяет большую нагрузку.

Где:

Immediately block fake Google crawlers: — блокировать, если бот имитирует Гугл бот.

How should we treat Google’s crawlers — разрешение Гуглу боту к доступу (стоит без ограничений). Гугл бот аккуратно бродит по ссылкам. Ему можно доверять.

If anyone’s requests exceed: и If a crawler’s page views exceed: — аналогичные настройки, как с Гуглом, но в отношении других поисковых ботов. (Яндекс не попадет под блок. А вот Маил ру один раз у меня попал. Когда здесь выставил «Unlimited» — любой поисковый бот мог бродить по своим правилам. Им тоже можно доверять — они знают о слабости наших хостеров).

If a crawler’s pages not found (404s) exceed: — если бот будет настойчив в поисках несуществующих страниц. Что подозрительно …

If a human’s page views exceed: и If a human’s pages not found (404s) exceed: и If 404’s for known vulnerable URL’s exceed: — именно эти настройки оградят ваш сайт от Ддос атаки. Следят за хуманом, и если хуман ведет себя не, как человек — блокируют его. Подобраны мной экспериментально.

How long is an IP address blocked when it breaks a rule: — насколько блокировать …

Дальше …

Login Security Options

Контроль входа в админку ВП. Такая иногда закономерность, когда идет ддос атака, в тоже время происходят попытки войти в админку …

Комментировать каждый пункт — проще воспользоваться переводчиком. Все довольно просто. Особенностей никаких. Только смотрите сами не введите неправильный логин или пароль. В данном случае — правила очень строгие.

Где:

Whitelisted IP addresses that bypass all rules: — айпи адрес, которого правила выше не касаются. Полезно поставить свой домашний айпи. Если он, конечно, не динамичный …

Hide WordPress version — скрыть версию Вордпресс;

Остальное до «Enable debugging mode» — включил, но эти настройки не особо актуальны или перекрываются другими. Так, например у меня — всегда ручная модерации комментариев.

С Enable debugging mode и далее — не включать, если вы не профи …

Синие ссылки — отладочная информация, тоже для профи ….

[/hidepost]

Еще о панели Wordfence

Wordfence Scan — отчет сканера, его тут же можно запустить вручную или посмотреть, что он там насканировал сам. Аккуратно — нагрузка на ЦП хостинга. Новичкам не рекомендую его использовать. Если увидели много красных крестиков в результатах — не паникуйте … , читайте строку выше.

Life Traffik —  в реальном режиме можно отслеживать, кто бродит у вас на сайте. Умеренная нагрузка на хостинг, но лучше вообще его выключить. Полезно бывает, когда вас атакуют, и вам нужно узнать его айпи, чтоб блокировать вручную. Хотя разумней использовать логи на хостинге и произвести ручную блокировку через Штасес файл (.htaccess).

Performance Setup — вкл. кеш, и за счет этого ускоряет сайт. Появилась недавно. Сырая версия. Лучше использовать отдельно  WP Super Cache. Не включать!

Blocked IPs — выводит список блокированных айпи. Тут же можно снять блокировку с них.

Cellphone Sign-in — «бесплатная» тех. поддержка для премиум клиентов.

Country Blocking — возможность блокировки целых стран. Не советую использовать. Хотя …

Scan Scheduling — недавно появилось. Можно задать график сканирования файлов.

WHOIS Lookup — по айпи находит информацию о владельце, хостинге, расположении … Полезно для поиска вредных айпи.

Advanced Blocking — возможность заблокировать, как группу адресов, так и отдельных поисковых ботов …. Не рекомендую новичкам этим заниматься.

В недостатках еще напишу: переход на некоторые вкладки по каким-то причинам вызывает жуткую нагрузку на ЦП хостинга. Но такое не на всех сайтах. По логам определил — конфликт данного плагина с другим (отвечающего за вход в админ. часть; отвечающего за визуальное оформление, никакой защиты).

Недостатки / Достоинства Wordfence Security

• Регулируемая нагрузка (при определенных настройках);
• Защита от Ддос и взломов работает отлично (проверено на нескольких сайтов);
• Через подписку приходят сообщения от разработчиков — часто говорят о критических ошибках связанных с безопасностью или самого ВП, или шаблонов, но чаще плагинов;

• Нужно быть очень аккуратным с настройками — можно свой сайт при помощи данного плагина сделать недоступным, как для других, так и для себя.
• При желании воспользоваться некоторыми мониторными возможностями — огромнейшая нагрузка на хостинг.