Sucuri security: Complete Website Security, Protection & Monitoring

Sucuri Security — Auditing, Malware Scanner and Security Hardening — Плагин для WordPress

Sucuri Inc. is a globally recognized authority in all matters related to website security, with specialization in WordPress Security.

The Sucuri Security WordPress plugin is free to all WordPress users. It is a security suite meant to complement your existing security posture. Currently the ownership of this plugin was transferred to GoDaddy.
It offers its users a set of security features for their website, each designed to have a positive effect on their security posture:

• Security Activity Auditing
• File Integrity Monitoring
• Remote Malware Scanning
• Blocklist Monitoring
• Effective Security Hardening
• Post-Hack Security Actions
• Security Notifications
• Website Firewall (premium)

Contributors & Maintenance Notice

1.8.30

Daniel is no longer maintaining the Sucuri plugin at GoDaddy. We have transferred it to a dedicated team to maintain and improve it.

• WordPress Integrity Tool — Detects added, modified, and removed files.
• Integrity Diff Utility — Shows differences in the core WordPress files.
• Audit Logs and Malware Scanner — Reports suspicious events and malicious code.
• Sucuri Firewall — Settings visibility, audit logs, IP blocklisting, and cache.
• Website Hardening — Offers multiple options to increase the security of the website.
• Failed Logins — Shows failed login attempts, successful logins and online users.
• Post Hack Tools — Offers multiple tools to react after the suspiciousness of a hack.
• Settings — Offers multiple settings to configure the functionality of the plugin.

The installation of the Sucuri WordPress Security plugin is very simple and straight forward. A detailed breakdown of the process is available here (including images), however, below we outline the bare minimum steps.

To install Sucuri Security and complement your Security posture:

1. Log into your WordPress administration panel,
2. In the sidebar, choose «Plugins» and then «Add New»,
3. Type «sucuri» or «sucuri-scanner» in the search box,
4. Install the option with the «By Sucuri Inc.» at the foot,
5. Once activated, you will find a new icon in the sidebar with the Sucuri logo. Go to the plugin’s dashboard and click the button that says «Generate API Key» to activate the event monitoring, this will generate a unique key to authenticate your website against the remote Sucuri WordPress API service,
6. Feel free to visit the plugin’ settings page to configure other options including the security alerts, hardening options, file system scanner paths and API service communication.

Visit the Support Forum to ask questions, suggest new features, or report bugs. And recommend the plugin to your friends and colleagues if you think it can help them.

More information on the Sucuri Security WordPress plugin can be found in our Knowledge Base.

What is the security activity auditing?

This is perhaps the most underutilized security function. It’s the act of monitoring all security related events within your WordPress install. The challenge is, what makes up a security event. In the eyes of Sucuri, any change that occurs within the application could be categorized as a security event, and as such we try to record it.

This is important because it gives you, the website owner, the ability to keep a good eye on the various changes occurring within your environment. Who is logging in? What changes are being made?

This feature is logging all activity to the Sucuri cloud, for safe keeping. This ensures that an attacker is not able to wipe your forensic data and prevent further security analysis after a compromise. If an attacker is able to bypass your security controls, your security logs will be kept safe within the Sucuri Security Operations Center (SOC).

This feature is particularly important to website / system administrators and security experts looking to understand what is going on with their website and when it’s happening.

What is the file integrity monitoring

Security File Integrity Monitoring has been fundamental to the world of security. It’s the act of comparing a known good with the current state. If the current state differs from the known good, you know you have a problem. This is the basis of a lot of host intrusion detection systems. It’s what we have built into the plugin.

It will create a known good the minute the plugin is installed. This will be of all the directories at the root of the install, this includes plugins, themes and core files.

What is the remote malware scanning?

This feature is powered by our scanning engine, found on our free security scanner — SiteCheck. It’s important to take some time to understand how this scanner works. There are limitations with the way this scanner works, you can find more information in the FAQ section.

What is the blocklist monitoring?

Another very interesting feature of the Security Malware Scanner is that it checks various blocklist engines, including the following:

• Sucuri Labs
• Безопасный браузеринг Google
• Norton
• AVG
• Phish Tank
• ESET
• McAfee SiteAdvisor
• Яндекс
• SpamHaus
• Bitdefender

These are some of the largest blocklisting entities, each having the ability to directly impact your brand’s online reputation. By synchronizing with their environments we’re able to tell you, upon scan, whether any of them are negatively flagging your website with a security related issue. If they do, then via our website security product, we’re able to help you get off of the security blocklist.

What is effective security hardening

It’s easy to get lost in the world of security hardening. At Sucuri we clean hundreds of websites a day, many with the various security hardening configurations you find in various WordPress Security presentations. In this section, we add those that we feel to be most effective, and that complement the entire Sucuri suite of products.

What are the post-hack security actions

Regardless of how good your security posture is, sometimes it’s impossible to prevent the inevitable. When this happens, we’ve included a section to help you walk through the three key things you should do after a compromise.

What are the security notifications

Having all these security features would be useless unless you were notified of the issues. This is why we have made available security alerts. We have also expanded the various security related events, to provide website owners more flexibility in regards to what they want to know about. As a website owner, you have the option to make these security alerts as quiet or noisy as you would like.

What is the website firewall (premium)

This is by far the coolest security feature Sucuri has to offer everyday website owners. It’s an enterprise grade Website Firewall designed to give you the best security protection any website can hope for. It protects your website from a variety of website attacks, including:

• Атаки отказа в обслуживании (DoS/DDoS)
• Exploitation of Software Vulnerabilities
• Zero Day Disclosure Patches
• Brute Force Attacks against your Access Control Mechanisms

В сочетании с рядом функций, таких как:

• Оптимизация производительности
• Advanced Access Control Features
• Отказоустойчивость и избыточность

This is not included as a free

option of the plugin, but is integrated so that if purchased you are able to activate. If you prefer to leverage the Sucuri Firewall product by itself, you have the option to operate the Website Firewall WordPress Security plugin in standalone mode.

The Sucuri WordPress Security plugin is built by the team that is known for their proactive approach to security. It is built using intelligence gathered from thousands upon thousands of remediation cases, millions of unique domain scans and 10’s of millions of website security attack blocks.

What does this plugin do that other security plugins don’t do?

A few other security plugins provide activity monitoring features, but few do them well. The activity monitoring in this plugin is second to none, tying the activity into the Sucuri Security Operations Center (SOC) ensuring its safe keeping.

This security plugin also takes a different approach to security plugins, stripping it of what we categorize as unnecessary features for a basic website end-user. We’ve narrowed the key features we felt were most pertinent to any website owner and integrated them into this plugin.

If I install the Sucuri Security plugin do I get a Sucuri account?

No, this is a free plugin that we offer at no charge. It does not mean you get a free account.

If I have the premium plugin, do I need the free plugin?

The premium plugin was deprecated back in 2014. All the major features were merged into the free plugin. If you are still using the (old) premium plugin please consider deleting it and installing the (new) free plugin from the WordPress plugin market. Notice that you will need to generate a new API key as the new API service does not supports the old one.

Do I still need Sucuri’s products if I have this plugin?

Yes. This plugin compliments your existing security toolsets. It is not designed to replace the Sucuri Website Security or Firewall products.

Where do I get support for this plugin?

The best place is to engage us via the Support Forum. If you are a client, you can submit a ticket here.

Does your plugin conflict with WordFence?

The plugin does not, but there might be issues with our scanners. If you get an “Unable to Properly Scan Your Site” error, it’s likely because the WordFence plugin is blocking our scanner as an invalid crawler. You would have to white list our IP address on the WordFence dashboard.

What are the Remote Malware Scanner limitations?

Because the security malware scanner is remote, it is unable to see things that are on the server but that are not displaying on the browser. If you are interested in this, we encourage you to subscribe to our website security product. This issues includes things like Phishing pages, Backdoors, Mailer Scripts, etc.

Your plugin didn’t detect this malware?

This happens, reference the remote scanner limitations above. This should not be confused with our website security product. If you have malware, and you are a client, submit a ticket so that we can help you get clean.

If you are not a client, and you want to share what you have found please send it to [email protected].

The plugin is not performing application level malware / security scanning so this is not uncommon.

Is it free to enable the Website Firewall option?

No, it is not. To enable you must subscribe to the Website Firewall service.

Will this plugin impact the performance of my website?

We improve the performance of the code with every release. However, due to differences between hosting providers there are cases where the plugin may affect the responsiveness of the website upon installation. Things like HTTP requests, SSL certificate verifications and DNS lookups are among the few things that, depending on how your web server is configured, will slow down your website.

Do the logs get stored to my database?

No, they do not.

Are there any issues installing your plugin with any hosts?

Not that we are aware of.

Do I need this plugin to use the Website Firewall service?

No, it is not required. The Website Firewall runs in the cloud without the need of anything installed. This plugin only helps see and manage the service from the WordPress dashboard.

What information does Sucuri collect?

We take your privacy seriously. For free plugin users without an API key, no information is collected by Sucuri. After activating an API key, Sucuri will store some information, such as logs. Please see our Terms of Service and Privacy Policy. Please email [email protected] if you have other questions about your privacy.

Absolutely rubbish support, couldn’t even help me with a relatively simple set up issue. Don’t even bother downloading this plugin!

This is simply my experience. Their backups are not compatible with Bluehost -trust me we tried for weeks. They deleted all my backups which they stated they could not recover which is a shining example of negligence. In support tickets they tried to sell stuff one either doesn’t need or is already included. I’ve found average response times to be about 20 Hours to reply to my requests apart from the auto-respond email. That’s ok but I need better especially when it comes to security.

i am here to warn you not join sucuri .its all an advertisments of them but in the real world my site got blocked fro, all anti viruses and tons of ssl problems on there system.there support very pooor they only answer when you want to buy somthing but when you have a real problem with there product that its not working and caousing tons of problems they tellign you open a ticket.so i did open a ticket and for few monthes still 0 HELP and 0 solver problems ON SSL that they provide.Be aware.

The free version does not do what is advertised. Didn’t protect my site from malware and multiple sites (using this plugin) have been hacked. There’s much better alternatives to use.

This is a great plugin for securing and monitoring your WordPress website. I have the free version installed on around 20 sites and the Pro Firewall through custom Name Servers on a handful of other sites (Pro costs around $199/year per site at the time of this review). I most often use the default version of the plugin for monitoring and logging with my own custom .htaccess rules and .htaccess firewall for hardening. NOTE: Be careful when setting up functionality and hardening your settings through the plugin. Most of the 1* reviews are from people breaking their sites and getting themselves locked out by not understanding what the plugin settings do/affect and how to properly use the plugin’s settings. When in doubt, don’t enable every single security setting and just use the bare minimum until you back test your own site.

I’m trying to upload a new website for a client of mine and I keep getting blocked by the firewall, even tho’ I’m the administrator of the website. I get it, you want to make the website as secure as possible, but c’mon, blocking the administrator from accessing even the media upload (for SVGs) it is too much.

Посмотреть все 380 отзывов

«Sucuri Security — Auditing, Malware Scanner and Security Hardening» — проект с открытым исходным кодом. В развитие плагина внесли свой вклад следующие участники:

Участники

• Sucuri

«Sucuri Security — Auditing, Malware Scanner and Security Hardening» переведён на 12 языков. Благодарим переводчиков за их работу.

Перевести «Sucuri Security — Auditing, Malware Scanner and Security Hardening» на ваш язык.

Заинтересованы в разработке?

Посмотрите код, проверьте SVN репозиторий, или подпишитесь на журнал разработки по RSS.

Мета

• Версия: 1.8.39
• Обновление: 1 месяц назад
• Активных установок: 900 000+
• Версия WordPress: 3. 6 или выше
• Совместим вплоть до: 6.2.2
• Языки:

  Dutch, English (Australia), English (Canada), English (New Zealand), English (UK), English (US), French (France), Spanish (Argentina), Spanish (Colombia), Spanish (Ecuador), Spanish (Mexico), Spanish (Spain) и Spanish (Venezuela).

  Перевести на ваш язык

• Метки:

  firewallmalwarescansecurityspam

• Дополнительно

Оценки

Посмотреть все

• 5 звёзд 282
• 4 звезды 21
• 3 звезды 9
• 2 звезды 5
• 1 звезда 63

Войдите, чтобы оставить отзыв.

Участники

• Sucuri

Поддержка

Решено проблем за последние 2 месяца:

2 из 18

Перейти в форум поддержки

Пожертвование

Would you like to support the advancement of this plugin?

Пожертвовать на развитие плагина

Подробное описание плагина Sucuri Security

Полная версия плагина / сервиса Sucuri Security определенно является лучшей защитой для Вордпресс сайтов от любых видов угроз из Интернета.

Весь входящий трафик проходит через сервера Сукури, на которых проверяется каждый запрос к сайту. Если в каком-то запросе обнаруживается что-то вредоносное, этот запрос блокируется, а все остальные запросы проходят.

Эта проверка происходит на серверах Сукури, поэтому снижается нагрузка на ваш сервер, в результате он может обслужить большее количество посетителей без изменения тарифа.

Кроме защиты сайта сервис ускоряет сайт и оптимизирует работу сервера. Сукури ускоряет сайт за счет копирования страниц сайта на фирменный CDN Anycast. То есть страницы сайта доставляются посетителю из ближайшего сервера Сукури без обращения к вашему серверу.

Кроме этого, если хакеру все же удастся проникнуть на ваш сайт, Сукури бесплатно найдет место взлома и вылечит сайт.

Это наиболее полное и комплексное решение по защите Вордпресс сайта. Цена этого сервиса начинается со 199$ / год. Стоимость часа работы специалиста по восстановлению сайта может доходить до 250$ в час.

Настройка бесплатной версии плагина Sucuri Security

В бесплатной версии плагина нет файрвола, нет подключения к сети CDN и нет гарантии восстановления сайта, если его взломают.

Но в бесплатной версии есть несколько очень полезных инструментов:

• Плагин с заданной периодичностью сравнивает файлы ядра Вордпресс с оригинальными файлами в репозитарии Вордпресс, и выводит результат в консоли Вордпресс
• Сканер с заданной периодичностью проверяет сайт на наличие вредоносного ПО, и выводит результат в консоли Вордпресс
• Плагин проверяет нахождение сайта в черных списках поисковиков и антивирусов, и выводит результат в консоли Вордпресс
• Плагин ведет логи событий и логи доступа, которые легко читать

Весь остальной функционал для усиления безопасности можно добавить вручную:

• Как настроить мощную защиту сайта с файрволом на уровне сервера на основе бесплатной версии Sucuri Security

В этой статье вы узнаете, как настроить бесплатную версию плагина Sucuri Security. Плагин пока не имеет перевода на русский язык, в этой статье подробное описание каждой функции.

Содержание:

1. Dashboard
2. Firewall (WAF)
3. Last Logins
4. Settings
   • General Settings
     • API Key
     • Data Storage
     • Log Exporter
     • Reverse Proxy
     • IP Address Discoverer
     • Timezone
     • Import & Export Settings
     • Reset Security Logs, Hardening and Settings
   • Scanner
     • Scheduled Tasks
     • WordPress Integrity Diff Utility
     • WordPress Integrity (False Positives)
     • Ignore Files And Folders During The Scans
   • Hardening
     • Hardening Options
     • Whitelist Blocked PHP Files
   • Post-Hack
     • Update Secret Keys
     • Reset User Password
     • Reset Installed Plugins
     • Available Plugin and Theme Updates
   • Alerts
     • Alerts Recipient
     • Trusted IP Addresses
     • Alert Subject
     • Alerts Per Hour
     • Password Guessing Brute Force Attacks
     • Security Alerts
     • Post-Type Alerts
   • API Service Communication
     • API Service Communication
     • API Communication via Proxy
     • Malware Scan Target
     • WordPress Checksums API
   • Website Info
     • Environment Variables
     • Access File Integrity

1.

Dashboard

Плагин устанавливается и активируется как обычно. Настройки плагина находятся в главном меню Вордпресс — Sucuri Security.

Первое, что нужно сделать — создать API ключ для соединения с сервером Sucuri:

Нажмите Generate API KeyПоставьте две галочки, нажмите Submit

API ключ нужен для активации некоторых функций плагина. Ключи бесплатны и вы можете сгененрировать любое количество ключей, при условии что имя домена и е-мейл уникальные. Ключ используется для авторизации HTTP запросов, которые плагин посылает к серверу Sucuri.

WordPress Integrity — Сукури сравнивает файлы ядра Вордпресс в корневой директории и папках wp-admin и wp-includes с файлами Вордпресс в официальном репозитарии Вордпресс. Если найдется какое-то отличие, оно будет показано в этой секции. Любое отличие может означать взлом.

По умолчанию проверка происходит раз в 24 часа, дальше в настройках можно изменить интервал проверки.

Ниже слева на странице Dashboard находятся логи событий, найденные iФреймы, Ссылки и Скрипты. Справа находятся окна результата работы сканера вредоносного кода, статус занесения сайта в списки вредоносных и рекомендации по увеличению безопасности.

Тестовый сайт занесен в списки вредоносных Spamhaus

Нажмите на каждый восклицательный знак в Рекомендациях, вы увидите инструкцию по устранению этой уязвимости. Обычно нужно добавить несколько строк кода в .htaccess.

Security Header: X-XSS-Protection Missing — защита сайта от некоторых типов XSS атак. Добавьте этот код в .htaccess:

Security Header: X-Content-Type-Options nosniff — защита посетителей сайта от загрузки вредоносного кода, добавленного хакерами. Добавьте этот код в .htaccess:

2. Firewall (WAF)

Раздел Firewall работает только в платной версии плагина.

Переходите к следующему разделу.

3. Last Logins

В разделе Last Logins находятся 4 вкладки: All Users, Admins, Logged-in Users и Failed Logins.

На вкладке All Users список всех заходивших пользователей:

На вкладке Admins — список всех зашедших пользователей с привилегиями админа:

На вкладке Logged-in Users вы видите список всех пользователей, залогиненных в данный момент:

На вкладке Failed Logins — список всех неудачных попыток входа:

На этой вкладке показываются все неудачные попытки входа на сайт. Если с одного IP будет сделано более 30 неудачных попыток доступа в течение одного часа, то администратор сайта получит сообщение на е-мейл. Число неудачных попыток можно изменить в настройках плагина. ПРИМЕЧАНИЕ: Некоторые плагины двухфакторной аутентификации не следуют тем же правилам, которые Вордпресс использует для отслеживания неудачных попыток входа в систему, поэтому вы можете не увидеть все попытки в этой панели, если у вас установлен такой плагин.

4. Settings

В этом разделе находятся все настройки плагина.

General Settings

API ключ нужен, чтобы защитить от хакеров логи событий, которые в случае взлома сайта помогут вам выяснить, как именно он был взломан, а также позволяет плагину показывать статистику. Сукури будет собирать анонимные данные о вашем сайте, которые он будет хранить в тайне.

Data Storage

В этой папке Сукури будет хранить логи событий, список вылеченных файлов ядра Вордпресс, кеш сканера вредоносных файлов и метаданные плагинов. Сукури требуется разрешение на запись в эту папку и в файлы в этой папке. Если вы хотите перенести эту папку в другое место, недоступное из интернета (на один уровень выше корневой папки), определите константу «SUCURI_DATA_STORAGE» в файле wp-config.php с абсолютным путем к новой директории.

Log Exporter

Эта функция позволяет экспортировать логи событий в отдельный файл, который может быть открыт специальным софтом (Сукури рекомендует OSSEC). Это даст вам дополнительную надежность сохранения информации. Примечание: Храните файл в недоступном из интернета месте (как минимум на один уровень выше корневой папки).

Reverse Proxy

Монитор событий использует API адрес источника запроса для отслеживания действий. Плагин использует два метода для получения этой информации: основной метод использует глобальную переменную сервера Remote-Addr, доступную на большинстве современных веб-серверов, другой метод использует HTTP заголовки (которые небезопасны по умолчанию).

Пропустите эту опцию, если вы не знаете, что такое обратный прокси. Sucuri Firewall после активации проводит сетевой трафик через свой сервер, чтобы отфильтровать все угрозы, которые могут повлиять на исходный сервер. Побочным эффектом этого является то, что реальный IP-адрес больше недоступен в глобальной серверной переменной Remote-Addr, но становится доступным в HTTP-заголовке с именем, предоставленным службой.

IP Address Discoverer

Определитель IP-адреса будет использовать DNS-запросы для автоматического определения, находится ли веб-сайт за файрволом Sucuri, и в этом случае он изменит глобальную переменную сервера Remote-Addr, чтобы установить настоящий IP-адрес посетителя. Эта проверка запускается каждый раз и может замедлить работу сайта, потому что некоторые хостинг-провайдеры используют медленные DNS-серверы.

Timezone

Эта опция определяет часовой пояс, который будет использоваться во всем плагине. Эта настройка меняет дату и время в журнале событий, который отображается в консоли плагина. Эти события приходят с сервера, который использует Восточное дневное время (EDT).

В Вордпрессе есть настройка даты и времени на странице общих настроек, которая позволяет настроить часовой пояс для всего веб-сайта, однако, если у вас появились проблемы со временем в журнале событий, эта функция поможет их решить.

Import & Export Settings

Скопируйте эти JSON данные и вставьте их на другом сайте. Плагин начнет использовать настройки с этого сайта. Обратите внимание, что некоторые настройки не присутствуют в этой записи, потому что содержат специфичные настройки для этого сайта.

Чтобы вставить настройки с другого сайта на этот сайт, удалите эти данные и вставьте новые. Некоторые данные не будут импортированы, чтобы снизить риск записи случайных данных.

Эта операция не может быть отменена

Reset Security Logs, Hardening and Settings

Это действие начнет процесс деактивации и удаления плагина. Все логи событий и настройки будут удалены. Обратите внимание, что логи событий, хранящиеся на сервере Сукури, не будут удалены. Это сделано для предотвращения вмешательства злоумышленника. Вы можете запросить новый API ключ, если захотите начать сначала и получить хранящиеся на сервере данные.

Эта операция не может быть отменена

Scanner — Scheduled Tasks

Плагин сканирует весь сайт в поисках изменений, которые позже показываются через API на странице журнала событий. По умолчанию сканер работает ежедневно, но вы можете изменить частоту сканирования. Обратите внимание, что слишком частое сканирование файлов может повлиять на производительность сайта. Убедитесь, что у вас достаточно ресурсов сервера, прежде чем менять эту опцию. Ограничение памяти и максимальное время выполнения — это две опции PHP, которые установит ваш сервер, чтобы сайт не потреблял слишком много ресурсов.

Запланированные задачи — это правила, записанные в базу данных Вордпрессом, темами и плагинами; они используются для автоматического выполнения действий через определенный интервал времени. Используйте запланированные задачи для создания резервных копий сайта, сканера безопасности и для удаления неиспользуемых элементов, например, черновиков. Примечание: запланированные задачи могут быть снова автоматически установлены плагинами или темой.

Чтобы изменить частоту запланированной задачи, отметьте галочку напротив нужной задачи, выберите частоту в выпадающем списке внизу и нажмите Submit.

WordPress Integrity Diff Utility

Если ваш сервер позволяет выполнять системные команды, вы можете настроить плагин для использования утилиты Unix Diff для сравнения содержимого файла на сервере, и оригинального файла в репозитарии Вордпресс. Это покажет различия между обоими файлами, и затем вы можете действовать на основе этой информации.

Для включения модуля нажмите Enable

Если плагин найдет новые или измененные файлы на сервере, он предложит удалить файлы или заменить оригинальными из репозитария Вордпресс

WordPress Integrity (False Positives)

Так как сканер не читает файлы во время проверки целостности, можно обнаружить ложные срабатывания. Файлы в этом списке помечены как ложные срабатывания и будут игнорироваться сканером при следующих проверках.

Ignore Files And Folders During The Scans

Используйте этот инструмент для исключения файлов и / или папок, которые слишком тяжелы для обработки сканером. Обычно это папки с изображениями, медиа-файлы, резервные копии и вообще все, что не связано с кодом. Игнорирование этих файлов или папок уменьшит потребление памяти скриптом PHP.

Hardening — Hardening Options

Website Firewall Protection — включает файрвол Сукури. Для работы нужно купить платную подписку.

Verify WordPress Version — Обновляет версию Вордпресс до последней.

Verify PHP Version — Используйте версию PHP не ниже 5.6. Вордпресс рекомендует использовать версию 7.2.

Remove WordPress Version — проверяет, что версия Вордпресс не показывается в мета-тегах страниц. Многие сканеры уязвимостей сайтов используют эти теги, чтобы определить, какая версия ПО используется на сайте. Уязвимости устаревших версий ПО известны и находятся в открытом доступе. Некоторые сканеры уязвимостей могут определить версию ПО, сравнивая контрольные суммы некоторых статичных файлов.

• Почему у вас должна быть последняя версия Вордпресс

Block PHP Files in Uploads Directory — Запретите исполнение PHP файлов в папке uploads. Будьте осторожны когда используете эту функцию, потому что некоторые плагины или темы могут использовать выполнение PHP файлов в этой папке для создания изображений или хранения временных данных. Используйте инструмент Whitelist Blocked PHP Files для добавления этих файлов в исключения.

Block PHP Files in WP-CONTENT Directory — Запретите исполнение PHP файлов в папке wp-content. Будьте осторожны когда используете эту функцию, потому что некоторые плагины или темы могут использовать выполнение PHP файлов в этой папке для создания изображений или хранения временных данных. Используйте инструмент Whitelist Blocked PHP Files для добавления этих файлов в исключения.

Block PHP Files in WP-INCLUDES Directory — Запретите исполнение PHP файлов в папке wp-includes. Будьте осторожны когда используете эту функцию, потому что некоторые плагины или темы могут использовать выполнение PHP файлов в этой папке для создания изображений или хранения временных данных. Используйте инструмент Whitelist Blocked PHP Files для добавления этих файлов в исключения.

Information Leakage — Проверьте, что файл README не присутствует на сервере. Информация в этом файле может быть использована злоумышленниками для выяснения уязвимостей, которые могут быть на вашем сайте. Обратите внимание, что этот файл появляется снова при обновлении Вордпресс.

Default Admin Account — Проверьте, что основной аккаунт не использует имя «admin». Это позволяет злоумышленнику определить, какой аккаунт имеет самые высокие привилегии и атаковать его.

Plugin and Theme Editor — отключает редактор плагинов и темы в админке Ворпресс. Если вы пользуетесь редактором, можно временно оставить выключенным.

Whitelist Blocked PHP Files

После применения защиты в папках uploads, wp-content и wp-include, плагин добавит правило в файл контроля доступа, чтобы запретить доступ к любому файлу PHP, расположенному в этих папках. Это хорошая мера предосторожности на случай, если злоумышленник сможет загрузить какой-то скрипт в эти папки. За некоторыми исключениями, файл «index.php» является единственным, который должен быть общедоступным, однако некоторые разработчики тем и плагинов решают использовать эти папки для обработки некоторых операций. В этом случае отключение выполнения PHP файлов может нарушить их функциональность.

Post-Hack — Update Secret Keys

Секретные ключи или ключи беопасности представляют собой список констант, добавленных на сайт для лучшего шифрования информации, хранящейся в файлах cookies. Секретный ключ усложняет взлом сайта, добавляя в пароль случайные элементы. Вам не нужно запоминать ключи, просто напишите случайную, сложную и длинную строку в файле wp-config.php. Вы можете изменить эти ключи в любой момент времени. Их изменение приведет к аннулированию всех существующих файлов cookie, что заставит всех зарегистрированных пользователей снова авторизоваться на сайте.

Эта операция не может быть отменена. После нажатия кнопки Создать новые ключи ваша текущая сессия будет закрыта, и вам нужно будет снова авторизоваться на сайте.

Reset User Password

Вы можете создать новые пароли для учетных записей пользователей, которые зарегистрированы на сайте. Электронное письмо с новым паролем будет отправлено на адрес электронной почты каждого выбранного пользователя. Если вы решите изменить пароль вашего собственного пользователя, то текущий сеанс истекает немедленно. Вам нужно будет снова войти в админ-панель с новым паролем, который будет отправлен на вашу электронную почту.

Reset Installed Plugins

Если вы подозреваете, что сайт заражен, или после того, как вы избавились от вредоносного кода, рекомендуется переустановить все плагины, установленные на вашем сайте, включая те, которые вы не используете. Обратите внимание, что премиальные плагины не будут автоматически переустанавливаться, чтобы предотвратить проблемы обратной совместимости и проблемы с лицензиями.

Информация, показанная здесь, кэшируется в течение 1.800 секунд. Это необходимо для уменьшения количества HTTP-запросов, отправляемых на серверы WordPress, и пропускной способности вашего сайта. В настоящее время нет возможности воссоздать этот кеш.

ПРЕДУПРЕЖДЕНИЕ! Эта процедура может нарушить работу сайта. Сброс не повлияет на базу данных и настройки каждого плагина, но в зависимости от того, как они были записаны, действие сброса может нарушить их. Сделайте резервную копию папки с плагинами перед запуском этого инструмента.

Available Plugin and Theme Updates

Вордпресс имеет открытый исходный код, что привлекает злоумышленников к поиску уязвимостей в коде, плагинах и темах, разрабатываемых другими компаниями. Обновляйте весь софт, установленный на сайте, чтобы предотвратить атаки, как только выявленные уязвимости будут исправлены.

Alerts — Alerts Recipients

По умолчанию плагин отправляет оповещения по электронной почте основной учетной записи администратора, той же учетной записи, которая была создана при установке Вордпресс. Вы можете добавить больше людей в этот список, они будут получать копии тех же предупреждений безопасности.

Trusted IP Addresses

Если вы работаете в локальной сети (Local Area Network), вы можете включить IP-адреса всех узлов в подсети, это заставит плагин прекратить отправлять оповещения по электронной почте о действиях, выполненных с доверенных IP-адресов. Используйте формат CIDR (бесклассовая междоменная маршрутизация) для указания диапазонов IP-адресов (только 8, 16 и 24).

Alert Subject

Формат темы для уведомлений по электронной почте. По умолчанию плагин будет использовать имя сайта и идентификатор события для использования в теме письма. Вы можете использовать эту панель для включения IP-адреса пользователя, который вызвал событие и некоторую дополнительную информацию об этом событии. Вы можете создавать фильтры в своем почтовом клиенте, используя псевдотеги, показанные ниже:

Alerts Per Hour

Выберите максимальное количество сообщений на е-мейл в час. Если количество событий на сайте превысит допустимое количество сообщений, события будут записываться в лог, но не будут отсылаться на е-мейл. Будьте осторожны, так как вы можете пропустить важную информацию.

Максимальное кол-во сообщений в час: 5 — 10 — 20 — 40 — 80 — 160 и неограниченное

Password Guessing Brute Force Attacks

Подбор пароля методом перебора — один из самых распространенных способов атаки на сайт. Злоумышленник просто подбирает комбинации логина и пароля, пока не найдет тот, который открывает сайт. После того, как он зайдет на сайт, он может добавить вредоносный код, начать рассылать спам, заняться фишингом или сделать что-то еще.

Определить брут-форс атаку после 30 — 60 — 120 — 240 — 480 неудачных попыток доступа в час

Security Alerts

Receive email alerts for changes in the settings of the plugin — получать сообщения после изменений в настройках плагинов.

Receive email alerts in HTML (there may be issues with some mail services) — Получать е-мейл соббщения в формате HTML (могут быть проблемы с некоторыми почтовыми сервисами)

Use WordPress functions to send mails (uncheck to use native PHP functions) — Использовать функции Вордпресс для отправки сообщений (отключите галочку для использования встроенных PHP функций)

Allow redirection after login to report the last-login information — Использовать редирект после авторизации, чтобы сообщать информацию о последних входах в админку. (Зеленая полоска-бар наверху при входе в админку с информацией о последней авторизации)

Receive email alerts for core integrity checks — Получать сообщения на е-мейл после сравнения содержимого файлов на сервере с оригинальными файлами в репозитарии Вордпресс.

Receive email alerts for available updates — Получать сообщения о доступных обновлениях.

Receive email alerts for new user registration — Получать сообщения после регистрации нового пользователя.

Receive email alerts for successful login attempts — Получать сообщения об удачных попытках входа на сайт.

Receive email alerts for failed login attempts (you may receive tons of emails) — Получать сообщения о неудачных попытках доступа на сайт (вы можете получать тонны сообщений).

Receive email alerts for password guessing attacks (summary of failed logins per hour) — Получать сообщения о множественных попытках входа на сайт (часовой отчет о неудачных попытках доступа).

Receive email alerts for changes in the post status (configure from Ignore Posts Changes) — Получать сообщения после изменений в статусе Записей (настройте в разделе Ignore Posts Changes).

Receive email alerts when the WordPress version is updated — Получать сообщения после обновления Вордпресс.

Receive email alerts when your website settings are updated — Получать сообщения после изменений настроек сайта.

Receive email alerts when a file is modified with theme/plugin editor — Получать сообщения после изменения файлов в Редакторе Тем / Плагинов.

Receive email alerts when a plugin is installed — Получать сообщение после установки плагинов.

Receive email alerts when a plugin is activated — Получать сообщения после активации плагинов.

Receive email alerts when a plugin is deactivated — Получать сообщения после деактивации плагинов.

Receive email alerts when a plugin is updated — Получать сообщения после обновления плагинов.

Receive email alerts when a plugin is deleted — Получать сообщения после удаления плагинов.

Receive email alerts when a widget is added to a sidebar — Получать сообщение после добавления виджета в сайдбар.

Receive email alerts when a widget is deleted from a sidebar — Получать сообщения после удаления виджета из сайдбара.

Receive email alerts when a theme is installed — Получать сообщения после установки тем.

Receive email alerts when a theme is activated — Получать сообщения после активации тем.

Receive email alerts when a theme is updated — Получать сообщения после обновления тем.

Receive email alerts when a theme is deleted — Получать сообщения после удаления тем.

Post-Type Alerts

Это список зарегистрированных Типов Записей. Вы получите уведомление по электронной почте, когда будет создана или обновлена Страница или Сообщение, связанная с любым из этих типов. Если вы не хотите получать одно или несколько из этих предупреждений, снимите флажки в таблице ниже. Если вы получаете оповещения о типах записей, которые не перечислены в этой таблице, это может быть связано с тем, что существует надстройка, создающая пользовательский тип записей. Вам придется самостоятельно выяснить уникальный идентификатор этого типа записи и добавить его в форму ниже. Плагин будет игнорировать эти предупреждения, пока этот идентификатор существует.

Нажмите на кнопку, чтобы открыть список всех Типов Записей

API Service Communication

После создания API-ключа плагин будет связываться с удаленным сервером по API, на котором будут храниться журналы событий, которые отслеживает плагин. Если сайт взломают, у злоумышленника не будет доступа к этим журналам, и вы сможете выяснить, что было изменено и / или каким образом злоумышленник смог получить доступ к сайту.

API Communication via Proxy

Все HTTP-запросы, которые используются для связи со службой API, отправляются с использованием встроенных функций WordPress. Это полезно, если вам нужно передать эти запросы через прокси. Согласно официальной документации, вы должны добавить некоторые константы в файл wp-config.php: WP_PROXY_HOST, WP_PROXY_PORT, WP_PROXY_USERNAME, WP_PROXY_PASSWORD.

Malware Scan Target

Удаленный сканер вредоносных программ, предоставляемый плагином, работает на основе Sucuri SiteCheck, службы, которая берет общедоступный URL-адрес и сканирует его на наличие вредоносного кода. Если ваш сайт не виден в Интернете, например, если он размещен в локальной сети или в сети с ограниченным доступом, сканер не сможет работать на нем. Кроме того, если веб-сайт был установлен в нестандартном каталоге, сканер сообщит об ошибке «404 Not Found». Используйте эту опцию, чтобы просканировать нужный URL.

WordPress Checksums API

Инструмент целостности Вордпресс использует удаленную службу API, поддерживаемую Вордпресс, чтобы определить, какие файлы в установке были добавлены, удалены или изменены. API возвращает список файлов с соответствующими контрольными суммами. Эта информация гарантирует, что установка не повреждена. Однако вы можете указать инструмент целостности на репозиторий GitHub в случае, если вы используете версию Вордпресс со своей версией кода.

Website Info — Environment Variables

Техническая информация о вашем сайте.

Access File Integrity

Файл .htaccess является файлом конфигурации сервера. С его помощью сервер Apache может обрабатывать настройки отдельно для каждой папки. Вордпресс использует этот файл для управления тем, как сервер обслуживает файлы из корневой папки и подпапок. По умолчанию этот файл используется для работы с красивыми постоянными ссылками.

Заключение

Платная версия сервиса Sucuri Security является лучшей защитой Вордпресс сайта. В полной версии вы получите безопасный трафик после мощного файрвола Сукури. В качестве побочного эффекта уменьшится использование ресурсов вашего сервера из-за фильтрации вредоносного трафика на сервере Сукури.

Ваш сайт подключится к сети CDN, это ускорит загрузку сайта, потому что страницы сайта будут загружаться с ближайшего к посетителю сервера.

И гарантия бесплатного восстановления сайта в случае, если сайт взломают.

В бесплатной версии нет файрвола, сети CDN и гарантии восстановления сайта, но есть очень удобный инструмент для мониторинга состояния безопасности сайта.

Файлы ядра Вордпресс сравниваются с оригинальными файлами в репозитарии Вордпресс, сканер Сукури проверяет сайт на наличие вредоносного кода и присутствие сайта в черных списках поисковиков и антивирусов.

Эту информацию можно видеть в админке Вордпресс.

Чтобы усилить защиту сайта, можно добавить несколько дополнительных настроек вручную:

• Как настроить мощную защиту сайта с файрволом на уровне сервера на основе бесплатной версии Sucuri Security

Или автоматически с помощью плагина. Приглашаю вас на курс Безопасность Вордпресс за 2 вечера.

Читайте также:

1. Подробное описание Security Ninja Pro
2. Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасности
3. Как подключить Cloudflare к WordPress. Подробное описание

Надеюсь, статья была полезна. Оставляйте комментарии.

Полная безопасность, защита и мониторинг веб-сайтов

Круглосуточная безопасность веб-сайтов без скрытых затрат — создано для малого бизнеса, веб-профессионалов и корпоративных организаций.

Планы платформы безопасности веб-сайтов Брандмауэр с планами CDN

Планы платформы безопасности веб-сайтов

30-дневная гарантия

Независимая от платформы

Круглосуточная служба безопасности

Базовый 90 016
Платформа Pro
Платформа Бизнес
Платформа

Охваченная площадка

Каждый план применяется для 1 площадки. Если вам нужно несколько сайтов, поговорите с нашими чат-агентами или позвоните нам, чтобы получить оптовые скидки.

Удаление вредоносных программ и хакерских атак нашими экспертами по безопасности.

Неограниченное количество ручных очисток включено в каждый план без скрытых платежей.

Соглашение об уровне обслуживания для удаления вредоносных программ

Время ответа на заявку является приблизительным, и время разрешения может варьироваться в зависимости от сложности и объема заявок в нашей очереди.

Брандмауэр веб-приложений (WAF)

Облачный WAF, который активно блокирует вредоносный трафик.

Полная частота сканирования безопасности веб-сайта

Отслеживайте важные вещи: вредоносное ПО, черный список, DNS, время безотказной работы, вредоносные перенаправления и SEO-спам.

Базовый отчет после очистки

Получите общую сводку файлов, которые были очищены, и дальнейшие шаги для обеспечения постоянной защиты

Мониторинг и удаление черного списка головная боль от удаления

Поддержка и мониторинг SSL

Все платформы поддерживают SSL, но только профессиональные и бизнес-планы могут быть предварительно загружены с вашим существующим приобретенным SSL.

Повышение скорости CDN

Наша сеть доставки контента (Anycast) повышает скорость страницы и снижает нагрузку на сервер в среднем на 80%.

Базовая версия
Платформа

Идеально подходит для блоггеров и владельцев небольших сайтов, которым требуется периодическая очистка с постоянным сканированием безопасности.

$ 199,99 /год

Купить сейчас

Без ограничений

30 часов

Каждые 12 часов

$ 199,99 / год

Pro
Платформа

Идеально подходит для предприятий малого и среднего бизнеса, которые хотят свести к минимуму простои благодаря расширенной поддержке быстрого SSL-сертификата. переводы.

$ 299,99 /год

Купить сейчас

Без ограничений

12 часов

Каждые 6 часов s

Расширенный

$ 299,99 /год

Бизнес
Платформа

Самое быстрое время отклика для очистки сайта с частым сканированием, чтобы избежать уязвимостей.

$ 499,99 /год

Купить сейчас

Неограниченно

Каждые 30 мин.

Advanced

$ 90 015 499,99 /год

Многосайтовые и
Индивидуальные планы

Предназначен для веб-профессионалов и агентств ищет функции корпоративного уровня и покрытие для 5+ сайтов.

Цена по запросу. LA

Индивидуальная конфигурация сервера

Выделенная группа поддержки

Chat now

Планы только Firewall и CDN

30-дневная гарантия

Независимая от платформы

Круглосуточная служба безопасности

Basic
Брандмауэр Pro
Брандмауэр

Покрытие сайта

Каждый план применяется для 1 сайта. Если вам нужно несколько сайтов, поговорите с нашими чат-агентами или позвоните нам, чтобы узнать оптовую цену.

Удаление вредоносных программ и хакерских атак нашими экспертами по безопасности.

Неограниченное количество ручных очисток включено в каждый план без скрытых платежей.

Соглашение об уровне обслуживания для удаления вредоносных программ

Время ответа на запрос является приблизительным, и время решения может варьироваться в зависимости от сложности и объема запросов в нашей очереди.

Базовый отчет после очистки

Получите основную сводку файлов, которые были очищены, и дальнейшие шаги для обеспечения постоянной защиты

Частота расширенных проверок безопасности редиректы и SEO-спам.

Брандмауэр веб-приложений (WAF)

Облачный WAF, который активно блокирует вредоносный трафик.

Мониторинг и удаление черного списка

Защитите репутацию своего бренда, узнав, когда ваш сайт попал в черный список, и избавьтесь от головной боли, связанной с его удалением

Поддержка и мониторинг SSL

Все платформы поддерживают SSL, но только профессиональные и бизнес-планы могут быть предварительно загружены с вашим существующим приобретенным SSL.

Повышение скорости CDN

Наша сеть доставки контента (Anycast) повышает скорость страницы и снижает нагрузку на сервер в среднем на 80%.

Basic
Брандмауэр

Идеально подходит для блоггеров и владельцев небольших сайтов, которым требуется периодическая очистка с постоянным сканированием безопасности.

$ 9,99 мес

Купить сейчас

$ 9,99 мес.

Pro
Брандмауэр

Идеально подходит для малых и средних предприятий, которые хотят свести к минимуму сбои благодаря расширенной поддержке быстрой передачи SSL-сертификатов.

$ 19,98 /мес.

Купить

$ 19,98 /мес. s и агентства, которым нужны функции корпоративного уровня и покрытие для 5+ сайтов.

Цена по запросу

3

Простая интеграция конфигурация

Выделенная группа поддержки

Чат сейчас

* Все планы взлома и вредоносного ПО имеют минимальную продолжительность 12 месяцев.

Плагин Sucuri WordPress Security & Scanner

Веб-сайт Sucuri

Платформа безопасности

Платформа включает

• Брандмауэр веб-сайта (WAF)
• Мониторинг и обнаружение
• Реагирование на инцидент
• Повышение производительности
• С чего начать
• Как мы это делаем
• Технический документ

Планы от

^$ 199,99/год

Выбрать план сейчас >>

Несколько сайтов?

См. планы агентства >>

Плагин Sucuri WordPress доступен для бесплатной установки в репозитории WordPress. Наш подключаемый модуль безопасности поставляется с функциями защиты, сканированием на наличие вредоносных программ, проверкой целостности ядра, функциями после взлома и оповещениями по электронной почте, чтобы защитить ваш веб-сайт.

Установить плагин сейчас

Перед установкой

Совместимость плагинов Sucuri WordPress

Имейте в виду, что для установки плагина Sucuri Security требуется WordPress версии 3.6 или выше и права администратора.

Настройка параметров безопасности

У вас есть контроль над настройками плагина Sucuri в соответствии с потребностями вашего веб-сайта. Настройте оповещения по электронной почте, запланируйте сканирование, файлы белого или черного списка и многое другое.

Дополнительная поддержка и ресурсы

Наш плагин безопасности удобен для пользователя, но если вам нужна дополнительная помощь, вы всегда можете прочитать наше Руководство по использованию плагина безопасности WordPress.

SiteCheck & Integrity Scanner

Сканирование Sucuri SiteCheck находит вредоносный код, видимый во внешнем исходном коде вашего сайта, и идентифицирует любые проблемы целостности основного файла.

Возможности плагина Sucuri WordPress

Повышение безопасности WordPress

Параметры усиления безопасности — это превентивные меры для повышения безопасности в тех областях вашего веб-сайта, которые могут стать путями для атак. Это делается путем добавления набора правил в файл .htaccess веб-сайта и проверки безопасных конфигураций.

Оповещения по электронной почте

Оповещения по электронной почте включены по умолчанию. Вы можете настроить электронную почту и получателей для любых предупреждений, генерируемых плагином. Эти оповещения будут держать вас в курсе любой подозрительной активности, наблюдаемой на вашем сайте.

Сканирование вредоносных программ

Наш механизм сканирования быстрый и легкий для любой среды. Удаленные сканеры SiteCheck постоянно обновляются для предотвращения распространения вредоносного контента, занесения в черный список, ошибок веб-сайтов и устаревшего программного обеспечения.

Проверка целостности ядра

Плагин Sucuri для WordPress поставляется с инструментами, которые проверяют целостность основных файлов WordPress — PHP, JavaScript, CSS — и других файлов, поставляемых с исходной версией WordPress.

Post-Hack

В этом разделе подключаемого модуля предлагаются меры на случай взлома вашего сайта. Более подробная информация о том, что нужно предпринять, если ваш сайт был взломан, доступна в нашем бесплатном руководстве «Как очистить взломанный WordPress».

Интеграция с брандмауэром Sucuri

Вы можете подключить брандмауэр Sucuri к плагину WordPress, используя параметр брандмауэра (WAF) плагина Sucuri для дополнительной защиты. Это доступно только для клиентов, у которых есть какой-либо из планов нашей платформы, а не как функция, включенная в плагин Sucuri.

Начало работы с плагином

1

Установка плагина безопасности WordPress

Выполнив несколько простых шагов, вы сможете установить плагин безопасности WordPress. Загрузите плагин Sucuri Security прямо из официального репозитория WordPress, чтобы установить его вручную.

В качестве альтернативы на панели инструментов плагина WordPress найдите Sucuri и выберите Sucuri Security — аудит, сканер вредоносных программ и усиление безопасности . После установки и активации плагина вы можете получить доступ ко всем функциям, щелкнув параметр Sucuri Plugin в меню WordPress.

2

Генерация ключа API

Активация API позволяет вашей учетной записи WordPress подключаться к нашему серверу. Если злоумышленник каким-либо образом скомпрометирует ваш сайт и удалит журналы аудита плагина с вашего сервера, они могут быть восстановлены с нашего сервера для расследования.

Чтобы сгенерировать ключ API, просто откройте плагин Sucuri на панели управления WordPress, нажмите «Создать ключ API » в правом верхнем углу экрана. Не забудьте поставить галочку в поле «Условия обслуживания» и «Политика конфиденциальности», как только вы их прочтете. Электронное письмо будет отправлено на основной адрес электронной почты с подтверждением после того, как вы нажмете Отправить .

3

Связь со службой API

После создания ключа API подключаемый модуль будет связываться с удаленной службой API, которая действует как безопасное хранилище данных для журналов аудита. Если веб-сайт взломан, у злоумышленника не будет доступа к этим журналам. Вы можете просмотреть любые внесенные изменения, а также посмотреть, как злоумышленник получил доступ к веб-сайту.

4

Мультисайт и субдомены

Для многосайтовых установок это другое. Установка WordPress MU заставит каждый сайт совместно использовать основные файлы. Обычно контент находится в каталоге «wp-content» (где хранятся данные плагина). Вся информация, обрабатываемая плагином, кроме настроек, будет доступна всем сайтам в сети.