Защитите свой сайт на WordPress с помощью Wordfence Security
Приветствую, друзья!
Сегодня я бы хотел рассказать вам об очень хорошем плагине безопасности Wordfence. Безопасность, как говорится, превыше всего.
Я вам подробно расскажу что это за плагин, как установить и как оптимально настроить его, чтобы ваш сайт на WordPress находился в полной безопасности и вы бы не переживали за это.
Сотни сайтов WordPress взламываются каждый день. Как вы можете убедиться, что ваш не один из них?
Посмотрим правде в глаза: безопасность WordPress — большая тема. На первый взгляд это может показаться немного пугающим. Существует множество способов проникновения хакеров на сайты. Как вы можете начать защищать свой сайт от всех этих атак?
Ну, вы можете перестать беспокоиться! В этой статье я покажу вам, как установить и настроить плагин WordPress, который значительно повысит безопасность вашего сайта, с минимальными усилиями с вашей стороны. Вся установка занимает около 20 минут.
К тому времени, когда вы закончите, вы сможете расслабиться, зная, что ваш сайт WordPress хорошо защищен от этих надоедливых хакеров!
Но сначала давайте посмотрим, как именно хакеры делают то, что они делают, и почему они это делают.
Почему и как взламывают сайты
Так почему же хакеры все равно хотят взломать ваш старый сайт WordPress? Есть несколько причин:
- Чтобы получить секретную информацию на вашем сайте. Это может включать ваши пароли, данные о ваших пользователях, клиентах или подписчиках и так далее.
- Для установки вредоносного ПО на ваш сайт. Вредоносное ПО — это вредоносное программное обеспечение, скрытое в файлах на вашем сайте. После того, как им удалось установить свои вредоносные программы, хакеры могут делать что угодно, от отправки вирусов на компьютеры ваших посетителей до вставки спам-ссылок на страницы вашего сайта. (Кстати, это действительно повредит вашему СЕО!)
Хакеры взламывают сайты на WordPress различными способами:
- Подбор пароля администратора WordPress. Хакеры запускают программы, которые пытаются зайти на ваш сайт сотни раз в минуту, используя разные имена и пароли администратора (это называется атакой методом перебора). Если они получают правильную комбинацию, они могут войти и получить полный доступ к вашей админке WordPress.
- Использование дыр в безопасности вашего коде. Это может включать в себя сам WordPress (известный как ядро WordPress), а также любые плагины и темы, которые вы установили.
- Использование дыр в безопасности вашего веб-хостинга. Например, может быть ошибка в программном обеспечении веб-сервера, которое работает с вашим сайтом, что позволяет хакерам проникнуть на сайт. Или они могут взломать панель управления хостингом или учетные записи FTP для загрузки вредоносных программ.
Как Wordfence защищает ваш сайт от хакеров
Wordfence — бесплатный плагин WordPress, который защищает ваш сайт WordPress от попыток взлома. Более того, если ваш сайт взломан, и хакеру удается установить вредоносное ПО, Wordfence поможет вам удалить вредоносное ПО с вашего сайта и снова заставить его работать нормально.
Wordfence защищает ваш сайт следующими способами:
- Его брандмауэр веб-приложения анализирует весь трафик посетителей непосредственно перед тем, как он достигнет вашего сайта WordPress. Если он обнаруживает хакера среди трафика, он блокирует их, прежде чем они смогут добраться до вашего сайта и нанести какой-либо ущерб.
- Его сканер вредоносных программ регулярно сканирует файлы на вашем сайте, включая WordPress, плагины и темы, чтобы узнать, могут ли они содержать вредоносные программы. Он также сканирует ваши сообщения и страницы, ища изворотливые URL-адреса и код, которые могли быть добавлены хакерами.
- Его функция восстановления файлов поможет вам удалить вредоносные программы с вашего сайта. Он показывает вам, как файл был изменен хакером, и позволяет заменить взломанный файл оригинальной, чистой версией одним нажатием кнопки.
Wordfence защищает тысячи сайтов в минуту, как показано на карте в реальном времени на их веб-сайте.
Wordfence бесплатный и премиум: какая разница?
Сам плагин Wordfence является бесплатным, но вы можете заплатить $99 в год за премиум-подписку Wordfence с более расширенными функциями.
На домашней странице Wordfence есть подробный список различий между бесплатными и премиум-опциями. Вкратце, вот что вы получите, если зарегистрируетесь на premium:
- Обновления в реальном времени для противодействия последним угрозам по мере их обнаружения. (Бесплатные пользователи должны ждать 30 дней для обновления.)
- Черный список известных вредоносных IP-адресов в режиме реального времени. Это блокирует компьютеры хакеров мгновенно, прежде чем они смогут даже коснуться вашего сайта WordPress.
- «Country blocking» позволяет блокировать целые страны с вашего сайта — полезно, если пользователи в конкретной стране в основном пытаются взломать ваш сайт.
- Проверка спама, чтобы узнать, отправляет ли ваш сервер или сайт спам-сообщения или «spamvertizing» (обслуживание спам-контента на ваших страницах).
- Удаленное сканирование, которое использует серверы Wordfence для удаленного сканирования вашего сервера. Это позволяет Wordfence сканировать ваш сайт более тщательно, чем бесплатная версия плагина.
- Запланируйте сканирование для запуска, когда вам нравится, так часто, как вам нравится. Бесплатные пользователи получают только одно автоматическое сканирование в день, и Wordfence решает, в какое время дня запускать сканирование. (Однако вы можете запускать ручное сканирование, когда захотите, даже в качестве свободного пользователя.)
- Улучшена безопасность входа. Премиум пользователи могут войти на свой сайт, используя свой телефон для повышения безопасности.
- Лучшая фильтрация спама комментариев. Спам в комментариях — это место, где хакеры и спамеры размещают комментарии на вашем блоге, содержащие спам или опасные URL-адреса. Бесплатная версия Wordfence отфильтровывает худшие из них, но премиум-версия делает более тщательную работу.
Так стоит ли покупать премиум-версию? Если вы хотите наилучшую защиту и душевное спокойствие, тогда да. Тем не менее, бесплатная версия по-прежнему предлагает действительно хорошую защиту от хакеров, и это гораздо лучше, чем отсутствие плагина безопасности вообще. Конечно, вы можете начать с бесплатного плагина и перейти на платную подписку в любое время.
Wordfence Premium предлагает несколько дополнительных функций для защиты вашего сайта от попыток взлома.
Как установить Wordfence
Как и в большинстве плагинов WordPress, установка Wordfence очень проста. Просто следуйте этим шагам:
- Войдите в свою админку WordPress.
- В левом меню выберите «Плагины — Добавить новый».
- Введите wordfence в верхнем правом окне «Поиска плагинов».
- Найдите «Wordfence Security — Firewall & Malware Scan» в результатах поиска и нажмите кнопку «Установить сейчас»:
Найдите плагин Wordfence, затем установите его, нажав кнопку «Установить сейчас».
- Подождите несколько секунд, пока WordPress установит плагин. Когда это будет сделано, кнопка «Установить сейчас» изменится на кнопку «Активировать». Нажмите кнопку, чтобы активировать плагин.
- Появится всплывающее окно с запросом вашего адреса электронной почты. Это адрес электронной почты, на который Wordfence будет отправлять предупреждения и обновления статуса. Введите адрес электронной почты, решите, хотите ли вы присоединиться к списку рассылки, затем нажмите кнопку «Continue» (Продолжить):
Введите адрес электронной почты, на который Wordfence должен отправлять вам предупреждения и сообщения о состоянии, затем нажмите «Continue» (Продолжить).
- Наконец, вы увидите другое всплывающее окно с запросом вашего лицензионного ключа для премиум. Если вы приобрели премиум-лицензию, вы можете ввести ключ здесь или нажать «Upgrade To Premium» (Обновить до PREMIUM), чтобы приобрести лицензию. Или, если вы будете использовать бесплатную версию, нажмите на ссылку «Нет, спасибо»:
Введите свой премиум ключ, если он у вас есть, или нажмите на ссылку «Нет, спасибо», чтобы продолжить использовать бесплатную версию Wordfence.
Это оно! Wordfence теперь установлен и защищает ваш сайт.
Настройка параметров Wordfence
После того, как вы установили и активировали Wordfence, перейдите на страницу «Параметры», выбрав «Wordfence — All Options» (Wordfence — Все параметры) в левом меню админки WordPress.
Большинство параметров настроены на довольно хорошие значения по умолчанию, поэтому вам не нужно их трогать. Тем не менее, на этой странице есть несколько параметров, которые вы наверняка захотите проверить:
- «Scan Options — Scan Scheduling — Schedule Wordfence Scans» (Параметры сканирования — Планирование сканирования — Расписание сканирования Wordfence): этот параметр должен быть установлен по умолчанию (с выделенной кнопкой «Enabled» (Включено)). Это заставляет Wordfence сканировать ваш сайт на наличие хаков и вредоносных программ один раз в день:
Убедитесь, что включен график сканирования Wordfence, чтобы ваш сайт сканировался один раз в день.
- «Wordfence Global Options > General Wordfence Options > Update Wordfence automatically when a new version is released?» (Глобальные параметры Wordfence — Общие параметры Wordfence — Обновлять Wordfence автоматически при выпуске новой версии?): Этот параметр автоматически обновляет плагин Wordfence каждый раз, когда становится доступной новая версия. Рекомендуется установить этот флажок, чтобы обеспечить максимальную безопасность вашего сайта. Если это вызывает какие-либо проблемы, снимите флажок снова и не забывайте регулярно обновлять Wordfence!
Установите этот флажок, чтобы Wordfence автоматически обновлялся.
- «Wordfence Global Options > General Wordfence Options > Where to email alerts» (Глобальные параметры Wordfence — Общие параметры Wordfence — Куда отправлять оповещения по электронной почте). Убедитесь, что вы ввели здесь свой адрес электронной почты, чтобы Wordfence мог отправить вам электронное письмо, если обнаружит, что ваш сайт был взломан:
Введите свой адрес электронной почты в этом поле, чтобы Wordfence мог отправлять вам сообщения о статусе и предупреждения.
После того, как вы проверили эти параметры, нажмите кнопку «Save Changes» (Сохранить изменения) вверху страницы, чтобы сохранить настройки:
Когда вы закончите настройку параметров, нажмите кнопку «Сохранить изменения».
Запуск вашего первого сканирования
Следующее, что вам нужно сделать, это запустить сканирование Wordfence, чтобы проверить, не был ли ваш сайт взломан. Сделать это:
- Выберите «Wordfence — Scan» из меню слева в админке WordPress.
При первом посещении страниц «Scan, Firewall, или Dashboard» (Сканирование, Брандмауэр или Панель инструментов) появляется всплывающее окно, предлагающее мини-обзор возможностей и функций этой страницы. Нажмите кнопку «Next» (Следующая) во всплывающем окне, чтобы совершить экскурсию, или нажмите небольшую кнопку закрытия, чтобы закрыть всплывающее окно.
- Нажмите кнопку «Start New Scan» (Начать новое сканирование) в левой части страницы:
Нажмите «Start New Scan», чтобы начать первое сканирование вашего сайта.
В зависимости от размера вашего сайта сканирование может занять от нескольких секунд до нескольких минут. Во время сканирования вы увидите индикатор выполнения, а также сообщение о состоянии, показывающее, что Wordfence сканирует в данный момент:
Индикатор выполнения и сообщения о состоянии показывают, что делает Wordfence во время сканирования вашего сайта.
В конце концов вы увидите текст «Scan Complete» (Сканирование завершено) появляется в строке состояния. Теперь прокрутите страницу вниз, пока не увидите вкладку «Results Found» (Найдено результатов):
Найдите текст «Сканирование завершено» и перейдите на вкладку «Результаты поиска» в Wordfence. Это показывает любые проблемы, которые Wordfence обнаружил во время сканирования.
Здесь перечислены все проблемы, которые обнаружил Wordfence. Надеюсь, эта вкладка пуста, но вы можете увидеть некоторые незначительные проблемы, такие как плагины и темы, которые требуют обновления. Для каждой проблемы вы можете нажать кнопку «Details» (Детали) в правой части проблемы, чтобы получить больше информации о проблеме. Если плагин или тема нуждаются в обновлении, вы можете щелкнуть ссылку «Click here to update now» (Нажмите здесь, чтобы обновить сейчас), чтобы обновить его немедленно:
Нажмите кнопку «Детали», чтобы просмотреть дополнительную информацию по каждой проблеме. Вы можете «Нажать здесь, чтобы обновить сейчас», чтобы обновить каждый плагин или тему.
Вы также можете выбрать «Dashboard — Updates» (Панель инструментов — Обновления) в левом меню админки, чтобы обновить все ваши плагины и темы сразу.
Если вы видите какие-либо критические сообщения (с красной точкой) — в частности, сообщения типа «File appears to be malicious» (Файл является вредоносным) — то ваш сайт может быть взломан уже. Если это так, выполните следующие действия:
- Не паникуйте!
- Взгляните на эту страницу справки Wordfence, которая объясняет, как интерпретировать результаты сканирования, а также как исправить любые проблемы.
- Если он действительно выглядит так, как будто ваш сайт был взломан и содержит вредоносные программы, то следующий шаг — очистить ваш сайт, либо следуя инструкциям на сайте Wordfence, либо наняв команду Wordfence, чтобы сделать это за вас.
Настройка брандмауэра Wordfence
Брандмауэр веб-приложений Wordfence блокирует хакеров, прежде чем они смогут нанести ущерб вашему сайту WordPress. Он включается автоматически при установке Wordfence, но для начала он работает только как плагин WordPress, который не обеспечивает наилучшего уровня защиты. Wordfence называет это базовой защитой WordPress.
Чтобы сделать брандмауэр более безопасным, вы должны настроить его так, чтобы он работал до того, как WordPress или любые другие файлы PHP смогут запустить его. Таким образом, он может блокировать попытки взлома в кратчайшие сроки. Wordfence называет это расширенной защитой.
Чтобы включить расширенную защиту, выполните следующие действия.
- Выберите «Wordfence — Firewall» (Wordfence — Брандмауэр) в левом меню админки WordPress.
- Нажмите кнопку «Manage Firewall» (Управление Брандмауэром) в верхней части страницы:
Нажмите кнопку «Управление брандмауэром» для доступа к странице «Параметры брандмауэра».
- На открывшейся странице «Firewall Options» (Параметры брандмауэра) нажмите кнопку «Optimize The Wordfence Firewall» (Оптимизировать Брандмауэр Wordfence):
Нажмите «Оптимизировать Брандмауэр Wordfence», чтобы начать настройку брандмауэра.
- Появится всплывающее окно «Optimize Wordfence Firewall» (Оптимизировать Брандмауэр Wordfence). Здесь много технического текста, но не беспокойтесь об этом, если на вашем сайте не запущено более одного WordPress или вы не знаете, что конфигурация вашего сервера отличается от показанной. Просто нажмите кнопку «Download .htaccess» (Скачать .htaccess) — это загрузит файл резервной копии, содержащий ваш текущий файл .htaccess конфигурации сервера, на случай, если что-то пойдет не так, когда Wordfence изменит его. Затем нажмите кнопку «Continue» (Продолжить), чтобы оптимизировать брандмауэр:
Нажмите «Скачать .htaccess», затем нажмите «Продолжить», чтобы перейти к предварительно выбранной конфигурации сервера, если вы не знаете, что это неправильно.
Если все идет хорошо, вы должны увидеть предупреждение с сообщением «Nice work! The firewall is now optimized» (Отличная работа! Теперь брандмауэр оптимизирован). Нажмите кнопку «Close» (Закрыть), чтобы продолжить:
Если все идет хорошо, вы должны увидеть это сообщение. Нажмите «Закрыть», чтобы продолжить.
Уровень защиты на странице параметров брандмауэра теперь должен отображать расширенную защиту:
Все сделано! Ваш брандмауэр теперь должен показывать расширенную защиту.
Если вы столкнетесь с проблемами, Wordfence, вероятно, не сможет создать необходимые файлы на ваших серверах из-за прав доступа к файлам. Обратитесь за помощью на страницу устранения неполадок оптимизации межсетевого экрана. Вы также увидите, что брандмауэр запускается в режиме обучения. В этом режиме брандмауэр некоторое время анализирует трафик вашего сайта, чтобы определить разницу между обычным трафиком и попыткой взлома. Через неделю брандмауэр автоматически переключается в режим реального времени и начинает защищать ваш сайт.
Пока брандмауэр находится в режиме обучения, рекомендуется делать все, что вы обычно делаете: публиковать страницы и сообщения, ожобрять или отвечать на комментарии, настраивать темы и плагины и настраивать виджеты. Это дает брандмауэру возможность увидеть, как выглядит «нормальная» активность на вашем сайте.
Хорошая работа! Вот что делать дальше
Теперь, когда вы установили и настроили Wordfence, ваш сайт WordPress имеет гораздо больше шансов удержать хакеров подальше от вашего сайта. Отличная работа!
Важно поддерживать безопасность WordPress. Wordfence будет отправлять вам сообщения по электронной почте всякий раз, когда обнаруживает какие-либо проблемы с вашим сайтом, и вы должны исследовать их и, при необходимости, исправить. Также стоит проверить панель инструментов Wordfence (выберите «Wordfence — Dashboard» (Wordfence — Панель инструментов) в вашей админке WordPress), которая дает вам хорошую сводку текущего состояния безопасности вашего сайта.
Удачи!
У вас есть вопросы по Wordfence или по обеспечению безопасности вашего сайта WordPress? Не стесняйтесь спрашивать в комментариях ниже!
До скорых встреч!
Навигация по записям
Юрич:
Занимаюсь созданием сайтов на WordPress более 6 лет. Ранее работал в нескольких веб-студиях и решил делиться своим опытом на данном сайте. Пишите комментарии, буду рад общению.
Не забудьте подписаться на обновления:
Похожие записи
Оставить свой комментарий
Wordfence Security настройка безопасности WordPress • WP Blog
Плагин Wordfence Security
Плагин Wordfence один из самых популярных плагинов для защиты wordpress. У него более миллиона установок, и более двух тысяч положительных отзывов.
Wordfence имеет ряд уникальных возможностей, которые отличают его от других плагинов безопасности. Одна из его интересных особенностей, сравнение файлов движка, тем и плагинов с оригинальными версиями из репозитория. Таким образом, если файлы изменились, вы получите уведомления.
Другие возможности Wordfence, на которые стоит взглянуть.
- Web Application Firewall — определяет подозрительный трафик и блокирует известные атаки, поддерживает и обновляет базу угроз
- Защита от Bruetforce атак — блокирует пользователей после большого количества неудачных попыток входа, за слишком частую попытку восстановить пароль, или, опционально, использующих неверное имя пользователя. Также предотвращает выдачу информации о зарегистрированных в системе пользователях.
- Продвинутые возможности ручного блокирования — блокирует диапазоны IP адресов, конкретные веб-браузеры, ссылающиеся сайты или комбинации перечисленного
Отличие премиум версии от бесплатной
В двух словах:
- Защита от угроз в реальном времени — база угроз и правила файервола находятся в постоянно обновленном состоянии. В бесплатной версии они приходят где-то через месяц.
- Блокирование по странам — блокирует географические регионы с большим количеством неудачных логинов, ошибок 404 и другой подозрительной активностью
- Двухфакторная аутентификация с помощью мобильного телефона
- Дополнительные настройки для защиты от спама, удаленное сканирование, аудит паролей…
Бесплатная версия является самодостаточной для большинства блогеров и владельцев небольших сайтов.
Wordfence Security настройка безопасности WordPress
Сразу после установки плагина и его активации, вы увидите всплывающее окошко, где вам будет предложено ввести ваш емейл для получения уведомлений безопасности от плагина, а также текущих новостей от разработчиков. Там же есть кнопка «Начать знакомство» (Start Tour)
Замечание: Очень рекомендую вам вписать ваш емейл в это окошко. Потому что иначе, вскоре после установки, вы забудете про этот плагин, и не будете знать, работает ли он вообще. Уведомления на вашу почту дают вам своевременный контроль над происходящим.
Далее, если вы нажали Тур, плагин выдаст вам несколько сообщений о назначении плагина, и предложит выполнить первоначальный скан, после чего сканирование будет проводиться ежедневно раз в сутки. Распорядок (Scan Schedule) можно менять в премиум версии.
Скан занимает примерно 5-10 минут. В моем случае он вернул единственное предупреждение, связанное с обновлением плагина.
Хочу обратить ваше внимание, сканирование файлов тем и плагинов по умолчанию отключено. Рекомендую вам включить эти опции.
Как использовать Wordfence Security
Live Traffic.
Сразу после установки вкладки будут пусты.
Но со временем записи будут добавляться. Начните просматривать вкладку All Hits, на ней вы можете например увидеть, что один IP адрес генерирует много трафика, если он вам кажется подозрительным, вы можете его заблокировать. Возможно, кто-то пытается проводить DoS атаку, или просто пробует ваш сайт на уязвимости.
Если вы не можете четко определить шаблон атаки, загляните на вкладку Top 404s, которая покажет вам IP адреса, генерирующие массовое количество запросов на несуществующие страницы.
Посмотрите вкладку Logins and Logouts, на ней вы можете увидеть неудавшиеся попытки входа. Ну и вкладка Top Consumers покажет вам какие IP адреса чаще всего обращаются к вашему контенту.
Wordfence Perfomance Setup
Здесь мы ничего не трогаем.
Blocked IPs
На этой странице вы можете увидеть заблокированные адреса по конкретным причинам, — нарушение правил входа, которые заданы в настройках, или частое обращение к несуществующим файлам.
Password Audit, Cellphone Sign-in, Country Blocking, Scan Schedule
Доступны в Премиум версии.
Advanced Blocking
Здесь вы можете заблокировать диапазоны IP-адресов, юзер-агенты (браузеры), источники трафика и их комбинации, то есть эта страница дает вам больше контроля, чем Blocked IPs, если это вам действительно необходимо.
Options
Страница настроек дает вам дополнительные опции.
По умолчанию, она пригодна для использования, и нет необходимости в ней что-то менять. Возможно, вы захотите включить сканировать файлы тем и плагинов о чем я писал выше.
Убедитесь также, что вы указали ваш емейл для получения уведомлений безопасности.
Некоторые настройки вы можете захотеть дополнительно тестировать и корректировать в зависимости от вашей конкретной ситуации, например, вы можете снизить количество неудачных попыток входа (‘Lock out after how many login failures’), если ваш сайт подвергается повышенным попыткам взлома. Но базовые настройки подходят для большинства сайтов.
Не полагайтесь на удачу в отношении безопасности вашего сайта.
WordFence Security: отличный плагин, который позволит найти вирус на блоге WordPress за 5 минут
Привет, друзья IdeaFox!
Представьте себе, что Ваш ночной кошмар стал реальностью, и Ваш блог заразили вирусом…. Что делать будете? Куда побежите решать проблему?
Мне довольно часто пишут письма с просьбой помочь почистить блоги от всякой заразы. Вот я и решил написать эту статью, так как проблема есть и очень многие не знают что делать в такой ситуации.
Я настойчиво рекомендую обратить внимание на этот плагин всем блогерам и тем, кто не знает, что делать с уже зараженным сайтом. Плагин в рунете не очень известен, но чрезвычайно популярен у англоязычных блогеров.
Итак, если Ваш блог заражен, то вариантов у вас ровно четыре:
1. Восстановить сайт из резервной копии. Забавно, что многие блогеры бэкапы не делают, а потом рвут волосы на всех частях своего тела :- )
2. Обратиться к хорошим специалистам по безопасности, что само по себе довольно дорогое удовольствие.
3. Разбираться самому. Но придется методично лопатить движок и читать специализированные форумы.
Вот и я столкнулся с тем, что один из моих сайтов на движке WordPress был заражен.
Я давно махнул на него рукой, но в последний момент решил разобраться до конца в этой ситуации. Подумал, что это будет хорошей тренировкой для возможных проблем в будущем. (Тьфу три раза )
Как найти вирус на сайте?
Я решил разобраться самостоятельно, так как тратить деньги на унылый говносайт никак не входило в мои планы. Но и лопатить код вручную до кровавых слез тоже не хотелось : –)
Недолго думая пошел читать зарубежные сайты. Технические сайты я читаю довольно бодро, а где спотыкаюсь, то быстро перевожу при помощи Гуглопереводчика.
Кстати, я уже давно ищу специализированную информацию на зарубежных сайтах, так как Рунет до такой степени забит SEO-сайтами с однотипной информацией, что уже не смешно.
Ну вот серьезно, после прочтения пары десятков ритуальных статей про “список моих плагинов”, я просто очумел. Абсолютно безликие статьи-клоны с заюзанными плагинами, про которые знает даже моя бабушка : –)
Пошел на свой любимый американский форум и сразу же нашел то, что мне нужно.
WordFence Security
Установить его можно стандартным способом или скачать с сайта разработчика http://www.wordfence.com/
Базовая версия является бесплатной, а платная версия за 39 долларов обладает некоторыми интересными функциями, недоступными в Free-версии (например, проверка сайта по расписанию)
Для кого он пригодится?
— В первую очередь для тех, у кого уже есть вирус на блоге ВордПресс :- )
— И очень рекомендую для разработчиков сайтов на WP, которые поддерживают или лечат клиентские сайты.
Какие возможности у WordFence Security?
Самая главная особенность этого плагина заключается в том, что он сравнивает каждый файл Вашего блога с эталонным файлом WordPress из репозитория.
Если не поняли, то поясняю. Предположим, у вас заражен файл плагина или движка. Какой именно файл Вам неизвестно …
WFS берет КАЖДЫЙ файл движка и расширений, и построчно сравнивает его с таким же файлом “чистого” движка WordPress. Все подозрительные файлы он выводит в отчет для дальнейшего разбирательства (см. ниже)
Кроме этого:
1. Проверяет все исходящие ссылки с блога. Например, если ссылка ведет на зараженный сайт из статьи или комментария, то такую ссылку лучше удалить. Я такие ссылки удаляю без малейших размышлений, так как это вредит блогу.
2. Проверяет каждую страницу блога через сервис Google Safe Browsing
3. Можно блокировать по IP целые страны. Вы прекрасно знаете, что взлом часто пытаются осуществить из стран Африки или Южной Азии. Очень удобно, так как IP-адреса постоянно меняются, но все они часто из этих теплых стран. (Доступно в платной версии)
4. Проверка движка антивирусом от WFS. Я бы не стал на него полностью полагаться, но тем не менее, он есть и работает. О том, как проверить блог на вредоносный код я писал в статье “7 способов проверить сайт на вирусы”
5. Просмотр поведения посетителей в прямом эфире. Данная функция позволяет посмотреть кто и что делает на блоге в данный момент. Или, например, показывает кто и с какого IP пытался зайти в админку.
6. Защита от брутфорса админки сайта. Это полный аналог Limit Logins Attempt, о котором писал отдельную заметку.
7. Оповещение по е-майл о любых подозрительных изменениях на сайте.
И еще множество других интересных функций…
После тестирования на двух сайтах могу уверенно рекомендовать его как отличное дополнение к прекрасному плагину безопасности Better WP Security
Если Better WP Security защищает от взлома, то WordFence Security позволяет находить вредоносный код на проблемных сайтах очень быстро.
Как настроить WordFence Security?
У меня есть видеоурок по безопасности, который рекомендую посмотреть, и все станет понятно.
Если лень смотреть видео : ) , то внимательно прочитайте инструкцию ниже.
После установки плагина Вы увидите в админке WP новый значок:
Сначала нужно сделать небольшие настройки плагина. В принципе, можно оставить все настройки по умолчанию, но так как я использую Better WP Security, то пришлось поколдовать с настройками, чтобы не было конфликтов между этими расширениями. Как это выглядит, можно увидеть на скриншоте ниже:
Все остальные настройки оставил без изменений (их там очень много).
Если у Вас не установлен Беттер ВП Секьюрити (или другой плагин безопасности), то можно оставить все настройки по-умолчанию, и не смотреть на мои скриншоты.
Теперь можно запустить сканирование файлов через пункт меню “Scan”.
Сама проверка занимает около 5-15 минут, в зависимости от мощности сервера и количества файлов на хостинге. Но и на виртуальном хостинге WFS отработал без проблем. Кстати, вы можете получить три месяца хостинга в подарок вот здесь :- )
После сканирования, в идеале, должны увидеть вот такое сообщение:
Это сообщение говорит, что никаких проблем на блоге нет. Но на самом деле, я увидел несколько предупреждений о том, что ряд файлов WP были изменены.
Например, я увидел, что один из файлов Akismet был изменен. Я напрягся :- )
Пугаться не нужно, так как скорее всего речь идет о незначительных расхождениях в файлах типа readme.txt, о возможных расхождениях между русской и английской версией.
Для того, чтобы понять, насколько критична проблема, следует нажать на надпись “See how the file has changed” и увидим что именно было изменено в файле. В моем случае файл отличается от оригинального только тем, что был добавлен еще один разработчик. Это, конечно, не вирус и можно проигнорировать эту проблему.
Чтобы этот файл не мозолил глаза при последующих проверках, нужно нажать на надпись “Always ignore this file”
Если же файл заражен, то можно удалить вредоносный код вручную, или восстановить файл из репозитория WordPress нажав на надпись “Restore the original version of this file”. Я предпочел почистить проблемный файл вручную.
Таким образом нужно просмотреть все файлы из списка возможных угроз. Но в большинстве случаев это незначительные расхождения, которые можно смело игнорировать:
- Отличия в переводе. Не забывайте, что сравнение идет с английской версией ВордПресс.
- Отличия в версиях плагинов
- Небольшие расхождения в файлах readme.txt у плагинов.
Если же вы видите, что код явно подозрительный, содержит странные ссылки или зашифрованный код, то стоит напрячься.
Пока писал заметку, то понял, что все-таки нужно иметь довольно хорошие знания, так как явным новичкам придется долго разбираться. Поэтому настойчиво рекомендую делать резервные копии перед любыми изменениями на сайте, чтобы всегда можно было откатить блог в прежнее состояние.
А вот для более-менее опытных блогеров этот плагин просто необходим. Те, кто хоть раз искал заразу на блоге вручную будут петь “алилуйя” :- )
Если есть вопросы, то задавайте в комментах и обязательно проверьте свои ненаглядные блоги :- )
Wordfence Security настройка плагин защита сайта WordPress 100% – INFO-EFFECT
На чтение 8 мин. Опубликовано
Привет! Сегодня я покажу вам самый лучший плагин WordPress для защиты вашего сайта! Чем больше и популярнее становится ваш сайт, тем сильнее он подвержен угрозам из вне. Всё таки при достижении определённого уровня, вы уже обязаны ставить на ваш сайт серьёзную защиту, иначе риск становится большим. Защита должна быть по всем фронтам. Как раз такую защиту предоставляет Супер мощный плагин Wordfence Security! Его основные особенности:
– Тотальная защита с помощью собственного брандмауэра.
– Выявление вредоносного трафика.
– Блокировка нападающих, прежде чем они смогут попасть на ваш сайт.
– Автоматическое обновление.
– Защита от новейших угроз.
– Защита от фальшивых googlebots, вредоносные сканы, хакеры, ботнеты.
– Защита в режиме реального времени.
– Блокировка целых вредоносных сетей.
– Защита входа на сайт от перебора паролей, хаки, DDoS атак.
– Сканирование файлов сайта на наличие угроз.
– Сканирование многих известных бэкдоров:
- C99, R57, RootShell, Crystal Shell, Matamu,
- Cybershell, W4cking, Sniper, Predator,
- Jackal, Phantasma, GFS, Dive, Dx и т.д.
– Сканирует на наличие вредоносных программ и фишинговых URL.
– Сканирование эвристики бэкдоры, трояны, подозрительные код.
– Защита от автоматизированных ботов.
– Монитор безопасности DNS для несанкционированного изменения DNS.
– Сканирует все сообщения и комментарии.
– Поддержка мульти-сайтов.
– Поддержка Woocommerce.
– Совместим с протоколом IPv6.
Установить плагин Wordfence Security вы сможете прямо из админ-панели WordPress. Перейдите на страницу: Плагины – Добавить новый, введите название плагина в форму поиска, установите и активируйте открывшийся плагин.
Далее, после установки и активации плагина, перейдите на страницу: Wordfence – Dashboard. Здесь вы сможете наблюдать за статистикой своего сайта.
– Feature Status, здесь показано какие функции включены на вашем сайте.
– Firewall Summary – Attacks Blocked for, количество отражённых атак за день, неделю и месяц.
– Total Attacks Blocked – Wordfence Network, общее число отражённых атак внутри всей сети.
– Top IPs Blocked, топ заблокированных ip-адресов.
– Login Attempts, попытка входа в систему.
Scan Сканирование сайта.
Здесь вы можете запустить сканирование файлов сайта на наличие угроз безопасности. Нажмите на кнопку START A WORDFENCE SCAN.
Web Application Firewall включение Брандмауэра.
Firewall Status, здесь вам нужно выбрать вариант Enabled and Protecting. В этом режиме Брандмауэр активно блокирует запросы, подпадающие под известные шаблоны атак, и активно защищает ваш сайт от злоумышленников. Сохраните изменения – SAVE.
Rules. Брандмауэр веб-приложений Wordfence имеет ряд правил, которые соответствуют известным атакам, а именно атакам, которые обычно встречаются и используются в дикой природе (интернет). Шаблоны для этих атак специфичны и требуют минимальной обработки при определении соответствия запроса.
WAF также использует ряд общих правил, которые используют сопоставление образцов, чтобы определить, является ли запрос злонамеренным. Они предназначены для предотвращения использования известных типов атак.
Whitelisted URLs. WAF использует сопоставление образцов для идентификации вредоносных запросов, и иногда содержимое запроса может ошибочно соответствовать одному из правил и запускать WAF для блокировки запроса. Это считается ложным положительным. Wordfence предоставляет возможность исключить этот конкретный URL и параметр из правил WAF, чтобы они могли быть включены в белый список.
Они обычно добавляются, когда брандмауэр находится в режиме обучения или администратором в меню администратора брандмауэра веб-приложения или на странице заблокированного ответа.
Blocking Блокировать IP.
Здесь вы можете вручную заблокировать любой ip-адрес. В поле будут отображаться все заблокированные адреса.
– IPs blocked from accessing the site, заблокирован доступ на сайт.
– IPs locked out from login, заблокирован от входа.
– IPs throttled for accessing the site too frequently, подозрительная активность.
На странице Advanced Blocking вы можете блокировать диапазоны адресов и целые сети или подсети.
– IP address range, указать диапазон адресов.
– Hostname, имя хоста.
– User-Agent (browser) that matches, указать агент пользователя, браузер.
– Referer (website visitor arrived from) that matches, реферер, сайт откуда зашёл.
– Enter a reason you’re blocking this visitor pattern, указать причину блокировки.
– Нажмите на кнопку Block Visitors Matching this Pattern для блокировки.
Live Traffic живой трафик.
Здесь вы можете смотреть, что происходит на вашем сайте в режиме реального времени. Это включает в себя множество данных, аналитические пакеты на основе javascript, которые Google analytics, не показывает для вас. Причина, по которой они не могут показать вам эти данные, заключается в том, что Wordfence регистрирует ваш трафик на уровне сервера.
Так, например, вам показывают визиты от Google, сканеров Bing, попыток взлома и других посещений, которые не выполняют javascript. В то время как аналитики Google и другие аналитические пакеты будут показывать вам только посещения веб-браузеров, которые обычно управляются человеком.
– Human зелёный цвет – человек.
– Bot серый – робот, бот.
– Warning жёлтый – угроза.
– Blocked красный – заблокированный.
– Вы сможете просматривать все данные таких пользователей, ip, хост, браузер, реферер, страница захода.
Start a Password Audit аудит паролей.
Здесь можно запустить проверку паролей. Плагин выявит слабые пароли и порекомендует их заменить.
– Select the kind of audit you would like to do, выбрать тип аудита:
- Audit administrator level accounts (extensive audit against a large dictionary of approx. 260 Million passwords), расширенный аудит 260 миллионов паролей.
- Audit user level accounts (less extensive against a dictionary of approximately 50,000 passwords), 50 тысяч паролей.
- Audit all WordPress accounts, аудит только аккаунтов WordPress.
– Notify when ready, здесь можно указать email адрес для получения уведомлений об окончании проверки.
– Нажмите на кнопку Start Password Audit.
Options основные настройки.
Основные параметры.
– Enable Rate Limiting and Advanced Blocking, включить ограничение скорости и блокировку.
– Enable login security, включить защиту входа.
– Enable Live Traffic View, включить живое протоколирование трафика.
– Enable automatic scheduled scans, автоматическое сканирование по расписанию.
– Update Wordfence automatically when a new version is released, авто-обновление плагина.
– Where to email alerts, электронная почта, на которую будет приходить оповещение.
– How does Wordfence get IPs, метод получения ip-адреса. Оставить по умолчанию.
– Сохраните изменения.
Расширенные опции.
– Email me when Wordfence is automatically updated, включить оповещение об обновлении.
– Email me if Wordfence is deactivated, уведомление на email об деактивации плагина.
– Alert on critical problems, присылать сообщение на почту о критических проблемах.
– Alert on warnings, оповещения о предупреждениях.
– Alert when an IP address is blocked, оповещение о блокировки ip-адреса.
– Alert when someone is locked out from login, оповещение о блокировки входа.
– Alert when the “lost password” form is used for a valid user, уведомление о восстановлении пароля.
– Alert me when someone with administrator access signs in, оповещать о новом администраторе.
– Only alert me when that administrator signs in from a new device or location, вход админа с нового устройства.
– Alert me when a non-admin user signs in, оповещать о входе не админа.
– Only alert me when that user signs in from a new device or location, если с нового устройства, вход не админа.
– Alert me when there’s a large increase in attacks detected on my site, оповещение об увеличении атак на сайт.
– Maximum email alerts to send per hour, максимум оповещений в час.
– Сохраните изменения.
Обратите внимание! Все настройки, которые включены на данной странице, их рекомендуется оставить включенными.
Все настройки я не стал разбирать, а то текст будет не читаемым. Для тех кто хочет как-то по своему настроить плагин, просто переведите страницу на Русский язык.
На самом деле настройки очень простые. Вы разберётесь, если читать умеете. На Русском языке сразу всё становится ясно.
Обратите внимание! Даже без настройки данных параметров, плагин по умолчанию будет работать и защищать ваш сайт.
Чтобы узнать какие у вас включены функции, а какие отключены, перейдите на страницу Dashboard. В блоке Feature Status, вы можете смотреть какие функции включены, а какие отключены. Нажмите по названию отключенной функции и вы перейдёте на страницу, где сможете включить данную функцию.
Всё готово! После сохранения настроек ваш сайт будет защищён на 100%!
– Супер плагины WordPress, более 500, смотри Здесь!
Если вам что-то не понятно, обязательно напишите мне или оставьте комментарий к данной записи. Я всем отвечу! Удачи!
Плагин Wordfence Security — Firewall & Malware Scan|Всё гениальное просто
Wordfence Security — плагин, защищающий сайт на WordPress от взлома. Реализуется в бесплатной и платной версиях. У последней гораздо больше возможностей, но и в свободном варианте приложение хорошо оберегает сайт от возможных сетевых угроз.
Возможности Wordfence Security
Защита сайта происходит следующим образом:- Файрвол приложения делает анализ трафика посетителей до попадания его на ресурс. Когда обнаруживается угроза, то блокируется прежде, чем доберётся до сайта.
- Сканер плагина периодически проверяет файлы сайта на предмет заражения вредоносными программами. Также сканируются на наличие хакерских URL и кода страницы веб-ресурса и сообщения исходящие с него.
- Опция восстановления помещает на место взломанного файла оригинальный. Для этого достаточно одного нажатия кнопки.
Если у вас стоят другие плагины безопасности, проверьте Wordfence Security с ними на совместимость.
Настройка
Приложение уже настроено по умолчанию и в таком виде может справляться с защитой сайта. Однако для большего удобства и эффективности правильнее немного изменить настройки.После установки и активации Wordfence Security в админке появится значок и слово «Wordfence», под ним меню плагина. После нажатия на каждую кнопку справа, отображается соответствующая страница. Рассмотрим их.
«Wordfence – Dashboard». На ней видно статистику сайта. Достаточно перевести названия с английского и всё станет ясно. Например, «Total Attacks Blocked – Wordfence Network» это количество атак, отражённых внутри сети. Обратите внимание на блок Feature Status. Увидите, какие функции у вас включены, а какие отключены.
«Scan». Используется для проведения сканирования веб-ресурса. Запустить его можно, нажав кнопку со словом «Start». Установка расписания сканирования доступна только в платной версии, а так WordPress его запускает сам раз в сутки, когда посчитает нужным.
«FireWall». Представляет собой файрвол плагина. Включается автоматически, но должного уровня защиты не создаёт. Для исправления подобного нажмите «Manager FIREWALL». После открытия страницы жмите на кнопку со словом «Optimize». В появившемся окне нажмите на «Download .htaccess». Если всё сделано без ошибок, перед вами появится сообщение со словами «Nice work».
«Blocking». Служит для блокировки нежелательных IP-адресов. Можно блокировать диапазоны адресов, сети и подсети.
«Live Traffic». Позволяет видеть, что происходит на вашем ресурсе в режиме реального времени. Множество данных и аналитических пакетов. Часть из них Google analytics отобразить не в состоянии. Разными цветами отображаются заходы и попытки таковых со стороны людей, роботов, заблокированных пользователей и угроз.
«Tools» и «Options». В этих двух пунктах меню пояснительный английский текст есть ко всему, что можно изменить. Авторы плагина позаботились, чтобы разобрался даже новичок. Можно ничего первоначально не трогать. Работать всё равно будет.
Wordfence Security — антивирус, брандмауэр и сканер вредоносных программ — Плагин для WordPress
Как Wordfence Security защищает сайты от атакующих?
Плагин безопасности WordPress обеспечивает лучшую защиту вашего сайта. Брандмауэр Wordfence, работающий на постоянно обновляемой ленте защиты от угроз, защищает вас от взлома. Wordfence Scan использует тот же проприетарный канал, быстро предупреждая вас о проблемах безопасности или о взломе вашего сайта. Представление Live Traffic дает вам возможность в реальном времени отслеживать трафик и попытки взлома вашего сайта. Глубокий набор дополнительных инструментов завершает наиболее полное решение безопасности WordPress.
Какие функции поддерживает Wordfence Premium?
We offer a Premium API key that gives you real-time updates to the Threat Defense Feed which includes a real-time IP blocklist, firewall rules, and malware signatures. Premium support, country blocking, more frequent scans, and spam and spamvertising checks are also included. Click here to sign-up for Wordfence Premium now or simply install Wordfence free and start protecting your website.
Как защищает веб-сайт WordPress WordPress Firewall?
- Web Application Firewall stops you from getting hacked by identifying malicious traffic, blocking attackers before they can access your website.
- Threat Defense Feed automatically updates firewall rules that protect you from the latest threats. Premium members receive the real-time version.
- Block common WordPress security threats like fake Googlebots, malicious scans from hackers and botnets.
Какие проверки выполняет сканер безопасности Wordfence?
- Сканирует файлы ядра, темы и плагины, сравнивая их с версиями из репозитория WordPress.org, для проверки целостности. Проверяет безопасность исходников.
- Показывает, как изменились файлы. Дополнительно исправляет изменения файлов, связанные с угрозами безопасности.
- Сканирует на сигнатуры более чем 44000 известных зловредов по угрозам безопасности WordPress.
- Scans for many known backdoors that create security holes including C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx and many more.
- Continuously scans for malware and phishing URL’s including all URLs on the Google Safe Browsing List in all your comments, posts and files that are security threats.
- Scans for heuristics of backdoors, trojans, suspicious code and other security issues.
Какие функции мониторинга безопасности включают Wordfence?
- See all your traffic in real-time, including robots, humans, 404 errors, logins and logouts and who is consuming most of your content. Enhances your situational awareness of which security threats your site is facing.
- A real-time view of all traffic including automated bots that often constitute security threats that Javascript analytics packages never show you.
- Real-time traffic includes reverse DNS and city-level geolocation. Know which geographic area security threats originate from.
- Monitors disk space which is related to security because many DDoS attacks attempt to consume all disk space to create denial of service.
Какие функции безопасности входа включены
- See all your traffic in real-time, including robots, humans, 404 errors, logins and logouts and who is consuming most of your content. Enhances your situational awareness of which security threats your site is facing.
- A real-time view of all traffic including automated bots that often constitute security threats that Javascript analytics packages never show you.
- Real-time traffic includes reverse DNS and city-level geolocation. Know which geographic area security threats originate from.
- Monitors disk space which is related to security because many DDoS attacks attempt to consume all disk space to create denial of service.
Как меня предупредят, если у моего сайта проблема с безопасностью?
Wordfence sends security alerts via email. Once you install Wordfence, you will configure a list of email addresses where security alerts will be sent. When you receive a security alert, make sure you deal with it promptly to ensure your site stays secure.
Нужен ли мне плагин типа Wordfence, если я использую облачный брэндмауэр (WAF)?
Wordfence обеспечивает настоящую безопасность конечных точек для вашего сайта WordPress. В отличие от облачных брандмауэров, Wordfence работает в среде WordPress, передавая ему информацию о том, вошел ли пользователь в систему, его личность и уровень доступа. Wordfence использует уровень доступа пользователя более чем в 80% правил брандмауэра, которые он использует для защиты веб-сайтов WordPress. Подробнее о проблеме идентификации Cloud WAF можно узнать здесь. Кроме того, можно обойти облачные брандмауэры, оставив ваш сайт уязвимым для злоумышленников. Поскольку Wordfence является неотъемлемой частью конечной точки (вашего веб-сайта WordPress), его нельзя обойти. Узнайте больше о проблеме обхода Cloud WAF здесь. Чтобы полностью защитить вложения, которые вы вложили в свой веб-сайт, вам необходимо применять комплексную защиту к безопасности. Wordfence использует этот подход.
Какие блокирующие функции включает Wordfence?
- Real-time blocking of known attackers. If another site using Wordfence is attacked and blocks the attacker, your site is automatically protected.
- Block entire malicious networks. Includes advanced IP and Domain WHOIS to report malicious IP’s or networks and block entire networks using the firewall. Report WordPress security threats to network owner.
- Rate limit or block WordPress security threats like aggressive crawlers, scrapers and bots doing security scans for vulnerabilities in your site.
- Choose whether you want to block or throttle users and robots who break your WordPress security rules.
- Premium users can also block countries and schedule scans for specific times and a higher frequency.
Чем Wordfence отличается от других плагинов безопасности WordPress?
- Wordfence Security предоставляет брандмауэр WordPress, разработанный специально для WordPress, и блокирует злоумышленников, ищущих уязвимости на вашем сайте. Брандмауэр работает на нашем канале защиты от угроз, который постоянно обновляется по мере появления новых угроз. Премиум-клиенты получают обновления в режиме реального времени.
- Wordfence проверяет целостность исходного кода вашего веб-сайта по официальному репозиторию WordPress и показывает вам изменения.
- Wordfence scans check all your files, comments and posts for URLs in Google’s Safe Browsing list. We are the only plugin to offer this very important security enhancement.
- Wordfence scans do not consume large amounts of your bandwidth because all security scans happen on your web server which makes them very fast.
- Wordfence fully supports WordPress Multi-Site which means you can security scan every blog in your Multi-Site installation with one click.
- Wordfence includes Two-Factor authentication, the most secure way to stop brute force attackers in their tracks.
- Wordfence fully supports IPv6 including giving you the ability to look up the location of IPv6 addresses, block IPv6 ranges, detect IPv6 country and do a whois lookup on IPv6 addresses and more.
Замедлит ли Wordfence мой сайт?
Нет. Wordfence Security работает очень быстро и использует такие методы, как кэширование собственных данных конфигурации, чтобы избежать поиска в базе данных и блокировать вредоносные атаки, которые могут замедлить работу вашего сайта.
Что, если мой сайт уже взломан?
Wordfence Security может восстанавливать основные файлы, темы и плагины на сайтах, безопасность которых уже нарушена. Вы можете следовать этому руководству по как очистить взломанный веб-сайт используя Wordfence. Однако обратите внимание, что безопасность сайта не может быть гарантирована, если вы не выполните полную переустановку, если ваш сайт был взломан. Мы рекомендуем использовать Wordfence Security только для того, чтобы перевести ваш сайт в рабочее состояние и восстановить данные, необходимые для полной переустановки. Если вам нужна помощь в восстановлении взломанного сайта, мы предлагаем доступную и качественную услугу очистки сайта, которая включает Премиум-ключ на год.
Поддерживает ли Wordfence IPv6?
Yes. We fully support IPv6 with all security functions including country blocking, range blocking, city lookup, whois lookup and all other security functions. If you are not running IPv6, Wordfence will work great on your site too. We are fully compatible with both IPv4 and IPv6 whether you run both or only one addressing scheme.
Does Wordfence Security support Multi-Site installations?
Yes. WordPress Multi-Site is fully supported. Using Wordfence you can scan every blog in your network for malware with one click. If one of your customers posts a page or post with a known malware URL that threatens your whole domain with being blocklisted by Google, we will alert you in the next scan.
Какие варианты поддержки доступны пользователям Wordfence?
Для нас очень важно обеспечить отличное обслуживание клиентов. Мы предлагаем помощь всем нашим клиентам, независимо от того, используете ли вы Премиум или бесплатную версию Wordfence. Если вам нужна помощь с бесплатной версией, вы можете написать на нашем форуме, где у нас есть специальные сотрудники, отвечающие на вопросы. Если вам нужна более быстрая или более подробная помощь, клиенты Premium могут отправить заявку на поддержку в нашу службу поддержки Premium.
Где я могу узнать больше о безопасности WordPress?
Designed for every skill level, The WordPress Security Learning Center is dedicated to deepening users’ understanding of security best practices by providing free access to entry-level articles, in-depth articles, videos, industry survey results, graphics and more.
Где я могу найти Условия использования Wordfence и Политику конфиденциальности?
Они доступны на нашем сайте: условия использования и Конфиденциальность
Популярные плагины безопасности для WordPress — Джино • Журнал
12 июня 2020 г.
Время чтения: 3 минуты
Простой вариант защитить свой сайт на WordPress от атак и взлома — установить специальные плагины. Для многих пользователей будет легче работать именно с плагинами, чем настраивать файлы конфигурации, дополнительно обеспечивать конфиденциальность данных или принимать другие меры по защите. Их легко настроить и при этом максимально повысить уровень безопасности.
Мы расскажем о плагинах, которые используются тысячами пользователей, регулярно обновляются и имеют хороший рейтинг. Не стоит устанавливать все их одновременно, выберите те из них, которые вам подходят больше всего. И будьте готовы к тому, что большинство из них не переведены на русский. Что, впрочем, никак не отражается на их полезных свойствах.
All In One WP Security & Firewall
Посмотреть в каталоге WordPress
Плагин со множеством полезных настроек и с русскоязычным интерфейсом. Особенность, которая отличает его от других — система оценки защищённости сайта в баллах.
Этот плагин сканирует файлы сайта и базу данных, находит уязвимости и даёт рекомендации по их исправлению. Файрвол защищает от внедрения в сайт вредоносных скриптов. Функция сохранения бэкапов файлов .htaccess и wp-config.php сокращает время на резервное копирование. С помощью этого плагина также можно изменить стандартную страницу авторизации, скрыть версию WordPress и поменять префикс базы данных.
Google Authenticator — WordPress Two Factor Authentication
Посмотреть в каталоге WordPress
Предназначен для применения двухфакторной аутентификации при входе в панель администратора. Вместе с плагином можно использовать мобильное приложение, благодаря которому для подтверждения запрашивается QR-код или числовой код из push-уведомления. Также Google Authenticator позволяет добавить контрольный вопрос.
iThemes Security
Посмотреть в каталоге WordPress
Преимущество этого плагина — актуальная база угроз, которая позволяет более эффективно выявлять вредоносное ПО на сайте. Доступна настройка сообщений о подозрительных изменениях в файловой системе и в базе данных. Также iThemes Security способен удалять подобное ПО и предупреждать атаки взломщиков.
Плагин предлагает свой генератор паролей и функцию напоминания о необходимости сменить пароль по прошествии установленного срока. Кроме этого, предлагается возможность использовать reCAPTCHA. Из других полезных свойств — определение ссылок на сайте с ошибкой 404, скрытие логина и адреса панели администратора, а также упрощённая работа с ключами и солями.
Inactive Logout
Посмотреть в каталоге WordPress
Предназначен для исключения ситуаций, при которых администратор сайта отходит на время от компьютера, а посторонний человек подходит к нему и получает несанкционированный доступ. Для этого используется функция прекращения текущей сессии после заданного промежутка времени, если пользователь перестаёт проявлять активность. Также доступна настройка оповещений о том, что сессия скоро завершится.
Sucuri Security
Посмотреть в каталоге WordPress
Плагин сканирует файлы сайта и выявляет вредоносное ПО, а также контролирует целостность файлов. Особенность этого плагина — гибкая настройка уведомлений об угрозах. Лог-файлы также позволяют узнать обо всех подозрительных событиях. А возможность в пару кликов заново переустановить все плагины позволит быстрее восстановить работу сайта после устранения последствий атаки.
Limit Login Attempts Reloaded
Посмотреть в каталоге WordPress
Основная функция плагина — ограничение попыток входа в панель администратора с одного и того же IP-адреса. Позволяет отображать на странице авторизации, сколько попыток осталось и через сколько времени будет доступна следующая. Плагин сохраняет информацию в лог-файлах, а также позволяет подключить уведомления по электронной почте и добавлять IP-адреса в чёрный и белый список.
Wordfence Security
Посмотреть в каталоге WordPress
Эффективное средство для выявления вредоносного ПО, бэкдоров, SEO-спама, редиректов, инъекций кода и брутфорса. Плагин отслеживает изменения в файлах сайта и уведомляет обо всех подозрительных действиях. Функция Live Traffic View позволит увидеть состояние сайта в реальном времени, что поможет быстрее выявлять угрозы. К слову, с помощью этого плагина можно следить за безопасностью сразу несколько сайтов.
Многие из перечисленных плагинов имеют стандартную версию и PRO-версию, в которой доступны все возможности. Рекомендуем устанавливать именно расширенную версию, так как ущерб от недостаточной защиты сайта может в итоге значительно превысить плату за плагин.
Как установить плагин безопасности Wordfence в WordPress
Нужен ли вашему сайту качественный плагин безопасности для защиты от кибератак? Плагин Wordfence Security может быть именно тем, что вы ищете. Плагин Wordfence Security — самый популярный плагин безопасности с более чем 2 миллионами активных установок, и это действительно впечатляет, учитывая, сколько существует отличных плагинов безопасности.
Безопасность веб-сайта должна быть одной из самых больших забот любого веб-сайта. Любой простой на вашем веб-сайте напрямую повлияет на его доход, а продолжительное время простоя может привести к потере посетителей навсегда.Кибератаки можно предотвратить с помощью подключаемого модуля безопасности, который практически не требует времени на его установку. Сегодня я продемонстрирую, как настроить плагин Wordfence Security в WordPress.
Как Wordfence Security может защитить ваш веб-сайт
Есть много способов защитить свой веб-сайт, и все они требуют подключаемого модуля безопасности. Превращение Wordfence Security в самый популярный плагин безопасности не случайно. Этот плагин может защитить ваш сайт от множества кибератак.
В частности, он защищает от хакеров, DDoS и вредоносных программ. Частично это достигается за счет брандмауэра веб-приложений, который может легко отслеживать вредоносный трафик. Его база данных позволяет идентифицировать все распространенные вредоносные программы, вторгающиеся на веб-сайты.
Одной из лучших особенностей является то, что все веб-сайты, на которых работает Wordfence, взаимодействуют друг с другом. Это означает, что если веб-сайт A подвергается атаке хакера Z, то веб-сайт B может автоматически заблокировать хакера Z, прежде чем он попытается что-либо на другом веб-сайте.
По сути, это означает, что чем больше веб-сайтов используют Wordfence, тем лучше для всех. Количество функций и настройки безопасности идеально подходят для любого веб-сайта.
Wordfence Security
Wordfence Security — мощный и популярный плагин, который предоставляет брандмауэр и сканер безопасности. он поставляется с функциями безопасности и включает новейшие правила брандмауэра, сигнатуры вредоносных программ и вредоносные IP-адреса, необходимые для обеспечения безопасности вашего веб-сайта.
Добавьте к этому двухфакторную аутентификацию и набор дополнительных функций, и Wordfence станет одним из наиболее всеобъемлющих решений безопасности WordPress, доступных сегодня. Плагин включает в себя всевозможные инструменты безопасности и защищает ваш сайт по всем направлениям. Он включает:
- Брандмауэр WordPress
- Сканер безопасности для WordPress
- Безопасность входа
- Wordfence Central
- Инструменты безопасности
Брандмауэр Wordfence, работающий на постоянно обновляемой ленте защиты от угроз, защищает вас от взлома.Wordfence Scan использует тот же проприетарный канал, быстро предупреждая вас о проблемах безопасности или о взломе вашего сайта. В общем, вам будет сложно найти лучший плагин безопасности для своего веб-сайта WordPress.
Как настроить Wordfence Security
Сегодня я продемонстрирую, как настроить плагин Wordfence Security в WordPress. Это отличный плагин, который широко используется. Настроить плагин Wordfence Security очень просто, но есть несколько областей, которые вы действительно хотите запустить, например, брандмауэр.
Шаг 1. Установите и активируйте плагин
Давайте начнем с перехода в область плагинов WordPress и нажмите кнопку «Добавить».
Найдите Wordfence Security в доступном поле поиска. Это откроет дополнительные плагины, которые могут оказаться полезными.
Прокрутите вниз, пока не найдете плагин Wordfence Security, нажмите кнопку «Установить сейчас» и активируйте плагин для использования. После активации вам будет предложено отправить электронное письмо для получения уведомлений о безопасности, но это необязательно.Вам также будет предоставлена возможность совершить экскурсию, которая покажет вам все функции, которые предлагает плагин, и где вы можете изменить их настройки.
Шаг 2. Доступ к панели управления плагином
На левой панели администратора щелкните Wordfence и выберите параметр Dashboard. Откроется главная страница настроек плагина. Вся необходимая вам информация находится на этой странице, включая последнее сканирование, заблокированные вредоносные программы, заблокированные IP-адреса и т. Д.
. Теперь вы можете видеть, что эта опция доступна после активации плагина.
Шаг 3. Настройка параметров панели мониторинга
После того, как вы перейдете в область панели мониторинга плагина, вы увидите, что именно здесь вы можете просматривать все виды данных. Вы также можете настроить глобальные параметры для плагина Wordfence. Просто щелкните вкладку «Глобальные параметры», чтобы открыть их.
Как видите, нужно сделать несколько вариантов конфигурации. Продолжайте и заполняйте их так, как считаете нужным.
Давайте подробнее рассмотрим этот плагин.
Шаг 4. Просмотрите параметр брандмауэра
Теперь вы можете щелкнуть параметр «Брандмауэр» и проверить его. Вы увидите вариант ссылки, указанный на главной вкладке «Wordfence» в левой части меню.
Оказавшись на странице, вы можете установить параметры блокировки и управлять всеми IP-адресами, которые вы хотите заблокировать.
Теперь щелкните вкладку «Брандмауэр», чтобы управлять своими настройками в этой области. Это, пожалуй, самый важный аспект плагина. Идите вперед и установите эти параметры так, как вы считаете нужным.
Шаг 5. Оптимизация брандмауэра Wordfence
В разделе «Брандмауэр» вы заметите кнопку «Оптимизировать брандмауэр Wordfence». Это важная часть процесса настройки.
Наиболее важной частью этого плагина безопасности является брандмауэр. Это предотвратит большинство вредоносных действий на вашем сайте. Идите и нажмите эту кнопку сейчас.
Появится всплывающее окно с некоторой информацией в нем. Система запустит тест, чтобы определить лучшие настройки для использования.Вы можете выбрать свой собственный, но я бы порекомендовал следовать рекомендациям Wordfence. Особенно, если вы новичок.
Нажмите кнопку «Продолжить» после загрузки файла .htaccess. На этом процесс будет завершен, и в него будут внесены изменения.
Шаг 6: Настройка двухфакторной аутентификации
Wordfence позволяет настроить двухфакторную аутентификацию для дополнительной безопасности входа. Щелкните ссылку «Безопасность входа». Оказавшись на странице, вы увидите, что есть несколько вариантов, которые вы можете настроить, и при желании включить двухфакторную аутентификацию на месте.
Шаг 7. Выполните сканирование при необходимости
Теперь вы можете нажать на опцию «Сканировать». Отсюда вы можете выполнить сканирование своего сайта в любое время. Просто нажмите кнопку «Начать новое сканирование».
Бесплатная версия поставляется с автоматическим 24-часовым сканированием по умолчанию. После завершения сканирования вы увидите полный список обнаруженных проблем.
Вы также можете установить параметры сканирования и расписание. Бесплатная версия более ограничена в этой области, но допускается некоторое движение.
Шаг 8: Просмотр вкладки «Инструменты»
И последнее, но не менее важное, это ссылка «Инструменты». Плагин предоставляет вам несколько доступных механизмов, которые можно использовать при необходимости. К ним относятся
- Живой трафик
- Поиск Whois
- Импорт / Экспорт
- Диагностика
Не стесняйтесь просматривать их и использовать в любое время.
Примечание: Щелкните вкладку «Все параметры», чтобы получить полный список всех опций, которые мы рассмотрели выше, перечисленных в одном месте.
Поздравляем, вы успешно установили и настроили подключаемый модуль Wordfence Security. Вы можете изменить свои настройки и просканировать свой сайт в любое время. Помните, что есть много функций, которые являются эксклюзивными для премиальной версии Wordfence, и вы можете обновить ее в любое время, но бесплатная версия сможет защитить ваш сайт без каких-либо проблем.
Альтернативные варианты подключаемых модулей безопасности
Безопасность веб-сайтов очень серьезна, и для борьбы с этими хакерами доступны сотни подключаемых модулей безопасности.Вот несколько альтернативных плагинов безопасности, которые я могу порекомендовать попробовать.
BulletProof Security
BulletProof Security — еще один плагин безопасности, который может обеспечить безопасность вашего веб-сайта. Он имеет многие из тех же функций, что и Wordfence, например, поддержка брандмауэра и .htaccess, но также имеет множество дополнительных функций, таких как встроенное резервное копирование. Это значительно упрощает восстановление, если что-то пойдет не так.
All In One WP Security & Firewall
All In One WP Security & Firewall — очень популярный плагин с более чем 900 000 активных установок.В нем есть все необходимые инструменты для защиты вашего сайта от злонамеренных действий. Его оптимизация гарантирует, что он не замедлит работу вашего сайта, обеспечивая защиту от входящих угроз.
SiteGuard WP Plugin
SiteGuard WP Plugin — еще один популярный плагин с более чем 300 000 активных установок. Самое приятное в этом плагине то, что у него нет версии Pro. Это означает, что вы получаете полный пакет при установке этого плагина на свой веб-сайт. К сожалению, у него нет брандмауэра или других функций, которые есть в большинстве плагинов безопасности, но он, безусловно, может защитить ваш сайт от повседневных угроз.
Последние мысли
Безопасность — одна из самых больших проблем, с которой любой разработчик веб-сайтов столкнется в современном мире. Существует избыток хакеров, пытающихся получить ценные данные с вашего веб-сайта, или просто людей, которые любят отключать веб-сайты для развлечения. Эти люди могут вызвать простои вашего веб-сайта, а простой приведет к потере прибыли для вашего бизнеса.
Независимо от того, кто нацелен на ваш веб-сайт, вы должны быть готовы и иметь систему безопасности, чтобы противостоять им.Вы также должны создать резервную копию своего веб-сайта, чтобы восстановить его после любого ущерба, нанесенного хакерами. Если вы серьезно относитесь к безопасности и активно пытаетесь защитить свой веб-сайт, вы сможете избежать любых серьезных ситуаций с безопасностью.
Сколько IP-адресов блокирует Wordfence ежедневно? Сколько проблем с безопасностью было обнаружено сканированием Wordfence Security?
Автор: Майкл Брокбанк
Майкл в той или иной форме работает в сфере высоких технологий с конца 1990-х годов.Он создал множество веб-сайтов с использованием HTML, Joomla и WordPress. Начав свою карьеру внештатного писателя в 2012 году, он выполнил тысячи проектов по всему миру, охватывающих широкий круг тем. Майкл в настоящее время является руководителем группы по контент-маркетингу. Сегодня он руководит командой писателей, которые создают учебные пособия, сообщения в блогах и вспомогательный контент для клиентов. Помимо GreenGeeks, он управляет каналом YouTube, который помогает другим научиться тому, как стать писателями-фрилансерами, блогерами и профессионалами в целом.
Использование страницы настроек — Wordfence
Страница настроек позволяет вам настраивать параметры предупреждений для сайтов, подключенных к Central, и позволяет получать предупреждения по электронной почте, SMS или Slack.Доступ к нему можно получить, щелкнув значок шестеренки вверху страницы, рядом с «Добавить новый сайт».
Результаты сканирования
Этот раздел позволяет вам включить оповещения о проблемах, обнаруженных во время сканирования Wordfence, и позволяет вам выбрать один или несколько типов оповещений для каждой степени серьезности — например, SMS-оповещения могут быть отправлены, если сканирование на подключенном сайте обнаруживает критический проблема, но оповещения по электронной почте можно отправлять для менее серьезных проблем.
Ежедневный дайджест
Ежедневный дайджест запускается каждые 24 часа и дает вам обзор количества и серьезности событий безопасности (включая результаты сканирования), которые были зарегистрированы на всех ваших подключенных сайтах.
Другие события безопасности
Вы можете выбрать получение предупреждений в режиме реального времени при возникновении нескольких других событий, связанных с безопасностью, например, если Wordfence обновлен или деактивирован, если администратор входит в систему или увеличивается количество атак на ваш сайт. Обратите внимание, что в настоящее время для получения предупреждений, когда администратор входит в систему из нового местоположения («Когда этот администратор входит в систему с нового устройства или местоположения.») Для предоставления точной информации, все подключенные сайты должны быть настроены на «Только предупреждение меня, когда этот администратор входит в систему с нового устройства или из нового местоположения ».Если этот параметр не установлен, все логины администратора будут отображаться из нового места.
Конфигурация типа оповещения
В этом разделе можно настроить адреса электронной почты, номера телефонов и веб-перехватчик Slack для получения предупреждений.
Узнайте больше о том, как настроить веб-перехватчик для подключения Wordfence Central к Slack
.Если вы получаете оповещения от Central, вы можете отключить оповещения по электронной почте, отправляемые с отдельных сайтов — вы можете сделать это, установив параметр «Отправлять оповещения с отдельных сайтов?» вариант «Нет».Обратите внимание, что при этом отключаются все оповещения по электронной почте, отправляемые с этих сайтов, даже если они отправляются на несколько адресов электронной почты.
Руководство по установке и оптимальным настройкам WordFence Security
Руководство по установке и оптимальным настройкам WordFence Security
Настройки безопасности WordFence вызывают много путаницы в Интернете, судя по количеству писем, которые мы получаем с просьбой о помощи в настройке! Wordfence — отличный способ повысить безопасность вашего сайта WordPress, но это довольно сложный плагин.Когда вы устанавливаете его, не очевидно, каковы на самом деле оптимальные настройки. Мы надеемся, что это руководство прояснит это для вас и предоставит вам лучшие настройки для вашей установки Wordfence.
Хакеры там!
Пока я пишу эту статью, кто-то где-то взламывает свой сайт! Посмотрите на эту статистику!
Безопасность веб-сайта — горячая тема, и защита вашего сайта WordPress является обязательной, поскольку хакеры постоянно пытаются получить к нему доступ. На самом деле вы, вероятно, наткнулись на эту статью, потому что сами обеспокоены.Вы сели за свой ноутбук и ввели в Google «Wordfence Security» или какой-нибудь другой поисковый запрос.
Прежде чем я начну, давайте взглянем на некоторые статистические данные WordFence, взятые сегодня с этого веб-сайта:
Как видите, только за последние 7 дней на мой сайт было совершено много атак. Было 108 попыток использовать admin в качестве имени пользователя для входа, например:
К счастью для нас, мы используем WordFence на всех наших сайтах, а также на сайтах наших клиентов, поэтому все это отслеживается и сообщается.Простой факт заключается в том, что в день, когда вы запускаете веб-сайт, кто-то где-то попытается взломать его и получить к нему доступ. Игнорировать это или думать, что с вами этого не случится, — значит зарыться головой в песок.
В этой статье я покажу вам, как с помощью плагина Wordfence Security вы можете защитить свой веб-сайт WordPress от хакеров, чтобы вам больше не приходилось беспокоиться об этом. Я собираюсь показать вам, как установить WordFence на ваш сервер, а затем настроить его с оптимальными настройками.От начала до конца вам потребуется около 30 минут, чтобы правильно установить и настроить плагин Wordfence Security.
К тому времени, когда мы закончим, ваш сайт будет защищен, и вы сможете расслабиться, зная, что сделали все возможное, чтобы помешать хакерам получить к нему доступ. Но сначала давайте посмотрим на хакера и на то, что ему нужно.
Почему хакеры хотят взломать мой сайт WordPress?
Хороший вопрос, и есть несколько причин, почему.Это:
- Они хотят хорошо осмотреться и украсть любую скрытую информацию, которая может храниться на сайте. Это могут быть данные клиента, адреса электронной почты, данные для входа на другие сайты.
- Они хотят закрыть ваш сайт и оставить на главной странице неприятный слоган или сообщение, чтобы вас смутить.
- Они хотят установить вирус или вредоносное ПО на ваш сервер, чтобы они могли создавать спам-ссылки или рассылать вирусы вашим посетителям, используя ваши учетные записи электронной почты.
Итак, как они вообще получают доступ?
- Хакеры запускают программы, которые постоянно проверяют веб-сайты.Как только они найдут сайт, программное обеспечение будет продолжать пробовать случайные имена пользователей и пароли для входа, пока они не получат доступ. Как вы можете видеть на изображении ниже, только сегодня у нас было 114 попыток.
Теперь, конечно, имя пользователя для этого сайта не «admin» для начала, но программа хакеров будет пробовать всевозможные комбинации, и они действительно атакуют сайты, которые используют старую классику
admin
пароль
в качестве данных для входа, а затем Et Voila, где они находятся.
- Они находят дыру в вашем коде или одном из плагинов, которые вы используете. Это более сложный путь к вашему серверу или веб-сайту, но его можно сделать, если в вашем коде есть уязвимость. Вот почему важно обновлять окна, а также обновлять ваш веб-сайт и его плагины при выходе новых версий.
- Как и в предыдущем случае, они находят брешь в безопасности на самом вашем веб-сервере или угадывают учетную запись FTP вашего веб-сервера.Опять же, попробовав комбинации администратора, пароля и т. Д. Для имени пользователя для входа.
Я много раз говорил об этом. Мы используем RoboForm для ВСЕХ наших паролей и генерации паролей, а наши имена пользователей всегда непонятны и никогда не «admin».
Wordfence — способ номер один защитить ваш сайт WordPress от хакеров
Wordfence — это БЕСПЛАТНЫЙ плагин (есть премиум-версия), который вы можете установить на свой сайт WordPress, что поможет защитить его от хакеров и их атак.Если хакеру удастся установить вредоносное ПО, например, WordFence поможет вам удалить его.
Wordfence помогает защитить ваш сайт следующими ключевыми способами.
Межсетевой экран конечной точки:
Wordfence использует Endpoint Firewall, который анализирует весь трафик данных ДО того, как он достигнет вашего веб-сайта. Если он обнаруживает хакеров, он блокирует их, прежде чем они смогут добраться до вашего сайта.
Сканер вредоносных программ:
Wordfence имеет встроенный сканер вредоносных программ, который регулярно сканирует ваши файлы, плагины и темы на наличие вредоносных программ.Он также сканирует ваши страницы и сообщения на предмет ссылок, которые хакеры могли вставить в код. Вы, конечно, можете перейти на премиум-версию WordFence и получить еще большую защиту. На момент написания это 99 долларов за один сайт в год. У нас есть премиум-версия на всех наших сайтах, но я временно удалил ее, чтобы написать эту статью, показывающую вам скриншоты бесплатной версии.
Восстановление файла WordFence:
Wordfence имеет встроенную систему восстановления файлов, которая позволяет:
- Найти поврежденные файлы
- Загрузите исходный файл, чтобы сравнить его с измененным и увидеть различия.
- Просмотр и восстановление исходного состояния файла
Wordfence также отслеживает атаки в реальном времени на своем веб-сайте, который вы можете увидеть на этой карте:
Премиум или нет?
Итак, в чем разница между бесплатной версией и премиальной версией, которую мы используем на всех наших сайтах и сайтах клиентов, если на то пошло? Это основные различия, хотя они время от времени меняют это, если добавляют дополнительные функции.
Черный список IP в реальном времени:
Блокирует в реальном времени все известные IP-адреса, которые в данный момент атакуют веб-сайты WordPress.
Обновления межсетевого экрана в реальном времени:
WordFence отслеживает весь трафик в сети и обновляет правила брандмауэра в реальном времени.
Блокировка страны:
Позволяет буквально заблокировать доступ к вашему сайту для всей страны.
Обновлений сигнатур вредоносного ПО:
Брандмауэр и сканерWordFence используют сигнатуры вредоносных программ для выявления вредоносных программ на вашем сайте.В премиум-версии это происходит в режиме реального времени.
Автоматические обновления:
Обновления WordFence по мере необходимости. Бесплатные пользователи ждут этого 30 дней.
Проверок репутации:
Проверяет, внесены ли ваш веб-сайт или IP-адрес в черные списки из-за рассылки спама или злонамеренных действий.
Так стоит ли премиум-версия? На наш взгляд, да, но если честно, то мы запускаем премиум-версии для всех плагинов.
Как установить и настроить Wordfence Security
Теперь, как вы знаете.Одно дело — получить все эти модные плагины, а другое — знать, как их правильно настроить! WordFence здесь ничем не отличается, поскольку он довольно сложен, и некоторые правила вы просто не поймете, какие настройки лучше всего. Итак, в этом разделе я покажу вам, как установить его на новый сайт, используя бесплатную версию, и, что более важно, как его настроить.
Итак, начнем с этого:
- Войдите в админку WordPress
- В меню слева выберите плагины
- Теперь нажмите кнопку «Добавить».
- Затем введите WordFence в поле поиска вверху справа и нажмите Enter.
Теперь вы должны увидеть что-то вроде этого.
Щелкните Установить сейчас в WordFence Security — Firewall & Malware Scan и затем подождите несколько секунд, пока плагин будет установлен. После этого кнопка изменится на Активировать. Нажмите Активировать, когда сможете.
После активации появится этот маленький экран:
Введите свой адрес электронной почты и решите, хотите ли вы получать обновления по электронной почте или нет.Затем установите флажок и нажмите «Продолжить».
Следующий экран позволяет вам перейти на премиум-версию. Здесь вы можете ввести свой премиум-ключ, если он у вас уже есть, или просто нажать Нет, спасибо, если нет, поскольку вы можете обновить его позже, если захотите.
Хорошо, WordFence теперь установлен на вашем сайте WordPress. Теперь наступает момент, с которым все борются. Как правильно настроить!
Правильная настройка безопасности Wordfence
После активации плагина он появится в левом меню следующим образом.
Если вы щелкнете по этой ссылке, вы попадете на свою панель управления, а в текущей версии появится всплывающее окно, которое выглядит следующим образом.
Когда вы открываете каждый новый раздел, вы получаете одно из этих всплывающих окон, в котором рассказывается, что этот раздел может делать. Вы можете нажать «Далее», «Далее» и т. Д., Если хотите их прочитать, или просто закрыть их крестиком в правом верхнем углу поля.
Для наших целей я хочу, чтобы вы щелкнули «Далее» во всех полях, затем прокрутите назад до верхней части страницы и выберите «НАЖМИТЕ ЗДЕСЬ, ЧТОБЫ НАСТРОИТЬ»
Это принесет вам эту маленькую коробку.
Нажмите кнопку загрузки .HTACCESS и сохраните файл в надежном месте. Мы загружаем наш файл .htaccess, потому что WordFence собирается внести изменения в файл на сервере, так что это ваша резервная копия, если здесь что-то пойдет не так.
После загрузки нажмите «Продолжить». На самом деле вы не можете нажать «Продолжить», пока не нажмете СКАЧАТЬ
.Далее вы увидите это маленькое сообщение.
Щелкните ЗАКРЫТЬ в этом сообщении, чтобы вернуться на рабочий стол WordFence.Теперь вы это увидите.
Я хочу, чтобы вы нажали «Да, включить автообновление».
Готово? Хороший. Это сообщение исчезнет, и вы вернетесь на панель управления. Все хорошо.
Посмотрев на панель управления, вы увидите, что брандмауэр находится в режиме обучения. Это нормально. После завершения обучения он автоматически переключится на «Включено» и «Защищено».
Теперь я хочу пройтись по всем остальным параметрам, которые вам нужно настроить.
Настройка дополнительных параметров WordFence
Все еще со мной? Хорошо, давайте продолжим. Итак, теперь я хочу, чтобы вы вернулись в левое меню и нажали «Все параметры». Как это.
Вы попадете на эту страницу. Щелкните Развернуть все на этой странице, чтобы он выглядел так.
Здесь много опций, и я пройдусь по каждому разделу, чтобы вы могли правильно их установить:
Лицензия WordFence:Этого можно оставить как есть.Вы можете изменить это только в том случае, если вы обновились до премиум-класса и хотите добавить сюда свою премиальную лицензию.
Просмотр настройки:Установите настройку вида, подобную этой, с отмеченным пунктом меню «Показать все параметры».
Общие настройки WordFence:Задайте общие настройки WordFence, как у меня на этом слайде.
- Добавьте адрес электронной почты, на который вы хотите отправлять оповещения.
- Установите «Разрешить WordFence использовать наиболее безопасный метод для получения IP-адресов посетителей.
- Приостановить живые обновления, когда окно теряет фокус
- Интервал обновления в секундах установлен на 15
- Удалить таблицы WordFence и данные о деактивации
- Убедитесь, что установлен статус сканирования
Этот вы можете установить как хотите.Это список вещей, о которых вы будете уведомлены по электронной почте, если они произойдут. Вот как мой настроен для наших сайтов, но вы можете поэкспериментировать с ним, если некоторые из них вас раздражают.
Отчет о деятельности:Для этого установите флажок «Включить виджет отчета об активности на панели управления WordPress».
Параметры межсетевого экрана:
Основные параметры межсетевого экрана:Как вы можете видеть на этом слайде, мой сайт находится вне режима обучения и находится в состоянии «Включено и защищено».
Дополнительные параметры брандмауэра:Убедитесь, что этот раздел выглядит как на слайде ниже.
Правила:Обязательно нажмите кнопку «Развернуть все правила», а затем убедитесь, что ВСЕ правила брандмауэра отмечены, как и мои.
Защита от грубой силы:Установить защиту от грубой силы следующим образом:
- Блокировка после того, сколько неудачных попыток входа в систему = 20
- Блокировка после того, сколько попыток забытого пароля = 20
- Подсчитать количество отказов за какой период времени = 4 часа
- Время, в течение которого пользователь заблокирован = 4 часа
- Немедленно заблокировать недействительные имена пользователей = UN Checked
- Предотвратить использование утечек паролей при утечке данных = Проверено
Для дополнительных настроек грубой силы установите их следующим образом:
- Применять надежные пароли = Проверено
- Запретить WordPress выявлять действительных пользователей при ошибках входа = Проверено
- Запретить пользователям регистрировать имя пользователя «admin», если его не существует = Проверено
- Запретить обнаружение имен пользователей с помощью сканирования ‘/? Author = N’, oEmbed API и WordPress REST API = Проверено
- Блокировать IP-адреса, которые отправляют запросы POST с пустым User-Agent и Referer = UN Checked
- Проверить надежность пароля при обновлении профиля = Проверено
- Участвовать в сети безопасности Wordfence в реальном времени = проверено
Для ограничения скорости установите их следующим образом:
- Включить ограничение скорости и расширенную блокировку = включено
- Немедленно заблокировать поддельные сканеры Google = Проверено
- Как мы должны относиться к сканерам Google = Проверенные сканеры Google имеют неограниченный доступ
- Если чьи-то запросы превышают = 240 в минуту, ограничьте его
- Если количество просмотров страницы поисковым роботом превышает = 240 в минуту, ограничьте его
- Если количество страниц поискового робота не найдено (404) превышает = 30 в минуту, заблокируйте его.
- Если количество просмотров страниц превышает 240 в минуту, уменьшите скорость.
- Если количество не найденных человеческих страниц (404) превышает = 15 в минуту, заблокируйте его.
- Как долго блокируется IP-адрес при нарушении правила = 5 минут
Добавить URL-адреса в белый список:
При новой установке ваш белый список URL-адресов будет пуст.Wordfence добавит URL-адреса в этот список, и вы также можете добавить их вручную.
Параметры блокировки
Варианты блокировки по всей стране доступны только в премиум-версии, поэтому при бесплатной установке это будет выглядеть так.
Опции сканирования
Расписание сканирования:Задайте здесь следующие параметры сканирования:
- Запланировать сканирование Wordfence = включено
- Разрешить Wordfence выбирать, когда сканировать мой сайт (рекомендуется) = Проверено
- Выборочное сканирование
Установите следующие параметры сканирования, как показано на слайде ниже.
Параметры производительности:Используйте следующие настройки производительности:
- Использовать сканирование с низким уровнем ресурсов (снижает нагрузку на сервер за счет увеличения продолжительности сканирования) = Проверено
- Ограничить количество проблем, отправляемых в электронном письме с результатами сканирования = 500
- Ограничение времени, в течение которого сканирование может выполняться в секундах = пусто
- Сколько памяти должен запрашивать Wordfence при сканировании = 100
- Максимальное время выполнения для каждого этапа сканирования = 0
Вы можете оставить эти два поля пустыми.
Опции инструмента
Параметры реального трафика:Для параметров живого трафика установите их, как у меня на этом слайде.
Остальные два параметра на этой странице — это параметры импорта и экспорта. Вы можете сохранить все эти настройки и экспортировать их, а затем, если вы настроите новый сайт, просто импортируйте их все. Это то, что мы делаем для клиентов, и это ускоряет весь процесс.
Отличная работа. Теперь вы выполнили все основные настройки WordFence.WordFence теперь будет работать над защитой вашего сайта от всех хакеров. Он отправит вам по электронной почте подробную информацию о сканировании и любых потенциальных угрозах. Как и все плагины WordpRess, обязательно обновляйте его, добавляя новые версии по мере их появления.
Если вам нужна помощь с установкой вашего сайта или плагина, напишите нам здесь:
Как защитить ваш сайт WordPress от хакеров
[Эта статья была обновлена 7 июня 2018 года и охватывает Wordfence 7.1.]
Ежедневно взламывают сотни сайтов WordPress. Как вы можете убедиться, что ваш не один из них?
Посмотрим правде в глаза: безопасность WordPress — большая тема. На первый взгляд это может показаться немного пугающим. Хакеры могут взламывать сайты разными способами. Как вы можете начать защищать свой сайт от всех этих атак?
Ну, можешь не волноваться! В этом руководстве я покажу вам, как установить и настроить плагин WordPress, который значительно повысит безопасность вашего сайта с очень небольшими усилиями с вашей стороны.На настройку всего пакета уходит около 20 минут.
Когда вы закончите, вы сможете расслабиться, зная, что ваш сайт WordPress хорошо защищен от этих надоедливых хакеров!
Но сначала давайте посмотрим, как именно хакеры делают то, что они делают, и почему они это делают.
Почему и как взламывают сайты
Так почему же хакеры все равно хотят взломать ваш маленький старый сайт WordPress? На то есть несколько причин:
- Чтобы получить секретную информацию на своем сайте. Это могут быть ваши пароли, сведения о ваших пользователях, клиентах или подписчиках и т. Д.
- Для установки вредоносного ПО на ваш сайт. Вредоносное ПО — неприятное программное обеспечение, скрытое внутри файлов на вашем сайте. После того, как им удастся установить свое вредоносное ПО, хакеры смогут делать что угодно — от рассылки вирусов на компьютеры посетителей до вставки спам-ссылок на страницы вашего сайта. (Это, кстати, действительно повредит вашему SEO!)
Хакеры взламывают сайты WordPress различными способами:
- Угадайте пароль администратора WordPress. Хакеры запускают программы, которые пытаются войти на ваш сайт сотни раз в минуту, используя разные имена пользователей и пароли администратора (это известно как атака грубой силой ). Если они получат правильную комбинацию, они могут войти в систему и получить полный доступ к вашему администратору WordPress.
- Использование дыры в безопасности в вашем коде. Это может включать сам WordPress (известный как ядро WordPress ), а также любые плагины и темы, которые вы установили.
- Использование дыр в безопасности на вашем веб-хостинге. Например, в программном обеспечении веб-сервера, работающем на вашем сайте, может быть ошибка, которая позволяет хакерам проникнуть на сайт. Или они могут взломать вашу панель управления хостингом или учетные записи FTP для загрузки вредоносного ПО.
Как Wordfence защищает ваш сайт от хакеров
Wordfence — это бесплатный плагин WordPress, который защищает ваш сайт WordPress от попыток взлома. Более того, если ваш сайт действительно был взломан и хакеру удалось установить вредоносное ПО, Wordfence поможет вам удалить вредоносное ПО с вашего сайта и вернуть его в нормальное состояние.
Wordfence защищает ваш сайт следующими способами:
- Его брандмауэр веб-приложений анализирует весь трафик посетителей непосредственно перед тем, как он достигнет вашего сайта WordPress. Если он обнаруживает хакеров среди трафика, он блокирует их, прежде чем они смогут добраться до вашего сайта и нанести какой-либо ущерб.
- Его Сканер вредоносных программ регулярно сканирует файлы на вашем сайте, включая WordPress, плагины и темы, на предмет наличия в них вредоносных программ. Он также сканирует ваши сообщения и страницы в поисках хитрых URL-адресов и кода, которые могли быть добавлены хакерами.
- Его функция File Repair поможет вам удалить вредоносное ПО с вашего сайта. Он показывает вам, как файл был изменен хакером, и позволяет вам заменить взломанный файл исходной чистой версией одним нажатием кнопки.
Wordfence бесплатно или премиум: в чем разница?
Плагин Wordfence сам по себе бесплатный, но вы можете платить 99 долларов в год за премиальную подписку Wordfence с более продвинутыми функциями.
На домашней страницеWordfence есть подробный список различий между бесплатной и премиальной опциями. Вкратце, вот что вы получите, если подпишетесь на премиум-версию:
- Обновления в реальном времени для противодействия последним угрозам по мере их обнаружения. (Бесплатные пользователи должны ждать обновлений 30 дней.)
- Черный список IP-адресов в режиме реального времени с известными вредоносными IP-адресами. Это мгновенно блокирует компьютеры хакеров, прежде чем они смогут даже прикоснуться к вашему сайту WordPress.
- Блокировка страны позволяет вам блокировать доступ к вашему сайту целыми странами — полезно, если пользователи в определенной стране в основном пытаются взломать ваш сайт.
- Проверка на спам , чтобы узнать, рассылает ли ваш сервер или сайт спам-сообщения или «спамертизирует» (обслуживает спам-контент на ваших страницах).
- Удаленное сканирование , которое использует серверы Wordfence для удаленного сканирования вашего сервера. Это позволяет Wordfence сканировать ваш сайт более тщательно, чем это делает бесплатный плагин.
- Запланируйте запуск сканирования, когда захотите, и так часто, как хотите. Бесплатные пользователи получают только одно автоматическое сканирование в день, и Wordfence решает, в какое время дня запускать сканирование. (Однако вы можете запускать сканирование вручную, когда захотите, даже будучи бесплатным пользователем.)
- Повышена безопасность входа в систему. Пользователи Premium могут входить на свой сайт с помощью телефона для повышения безопасности.
- Улучшенная фильтрация спама в комментариях. Спам в комментариях — это место, где хакеры и спамеры размещают в вашем блоге комментарии, содержащие спам или опасные URL-адреса.Бесплатная версия Wordfence отфильтровывает худшие из них, но премиум-версия выполняет более тщательную работу.
Так стоит ли премиум версия? Если вам нужна максимальная защита и душевное спокойствие, тогда да. Однако бесплатная версия по-прежнему предлагает действительно хорошую защиту от хакеров и намного лучше, чем отсутствие плагина безопасности вообще. Конечно, вы можете начать с бесплатного плагина и перейти на платную подписку в любое время.
Wordfence Premium предлагает несколько дополнительных функций для защиты вашего сайта от попыток взлома.Как установить Wordfence
Как и большинство плагинов WordPress, установить Wordfence очень просто. Просто выполните следующие действия:
- Войдите в админку WordPress.
- В левом меню выберите Плагины> Добавить новый .
- Введите wordfence в верхнее правое поле Search Plugins и нажмите Return.
- Найдите Wordfence Security — Firewall & Malware Scan в результатах поиска и нажмите кнопку Установить сейчас :
Найдите плагин Wordfence, затем установите его, нажав кнопку Установить сейчас .
- Подождите несколько секунд, пока WordPress установит плагин. Когда это будет сделано, кнопка Установить сейчас изменится на кнопку Активировать . Нажмите кнопку, чтобы активировать плагин.
- Вы увидите всплывающее окно с запросом вашего адреса электронной почты. Это адрес электронной почты, на который Wordfence будет отправлять предупреждения и обновления статуса. Введите свой адрес электронной почты, решите, хотите ли вы присоединиться к списку рассылки, затем нажмите кнопку ПРОДОЛЖИТЬ :
Введите адрес электронной почты, на который Wordfence должен отправлять вам предупреждения и сообщения о состоянии, затем нажмите ПРОДОЛЖИТЬ .
- Наконец, вы увидите еще одно всплывающее окно с запросом вашего лицензионного ключа премиум-класса. Если вы приобрели премиум-лицензию, вы можете ввести ключ здесь или нажать ОБНОВИТЬ ДО , чтобы приобрести лицензию. Или, если вы сейчас счастливы использовать бесплатную версию, нажмите ссылку Нет, спасибо :
Введите свой премиум-ключ, если он у вас есть, или щелкните ссылку Нет, спасибо , чтобы продолжить использование бесплатной версии Wordfence.
Вот и все! Wordfence установлен и защищает ваш сайт.
Настройка параметров Wordfence
После того, как вы установили и активировали Wordfence, перейдите на страницу параметров, выбрав Wordfence> Все параметры в левом меню администратора WordPress.
Для большинства параметров установлены довольно хорошие значения по умолчанию, поэтому их не нужно трогать. Однако на этой странице есть несколько параметров, которые вы обязательно должны установить:
После проверки этих параметров нажмите кнопку СОХРАНИТЬ ИЗМЕНЕНИЯ вверху страницы, чтобы сохранить настройки:
По завершении настройки параметров нажмите кнопку СОХРАНИТЬ ИЗМЕНЕНИЯ .Запуск первого сканирования
Следующее, что вам нужно сделать, это запустить сканирование Wordfence, чтобы проверить, не взломан ли ваш сайт. Для этого:
- Выберите Wordfence> Сканировать в левом меню в админке WordPress.
При первом посещении страниц сканирования, брандмауэра или панели мониторинга появляется всплывающее окно, предлагающее мини-тур по функциям и функциям этой страницы. Нажмите кнопку ДАЛЕЕ во всплывающем окне, чтобы перейти к обзору, или нажмите маленькую кнопку закрытия, чтобы закрыть всплывающее окно. - Нажмите кнопку НАЧАТЬ НОВУЮ СКАНИРОВАНИЕ в левой части страницы:
Щелкните START NEW SCAN , чтобы начать первое сканирование вашего сайта.
В зависимости от размера вашего сайта сканирование занимает от нескольких секунд до нескольких минут. Во время сканирования вы увидите индикатор выполнения и сообщение о состоянии, показывающее, что Wordfence сканирует в данный момент:
Индикатор выполнения и сообщения о состоянии показывают, что Wordfence делает при сканировании вашего сайта.В конце концов вы увидите текст Сканирование завершено появится в строке состояния. Теперь прокрутите страницу вниз, пока не увидите вкладку Найдено результатов :
Найдите текст Scan Complete , затем прокрутите вниз до вкладки Wordfence Results Found . Это показывает вам любые проблемы, которые Wordfence обнаружил во время сканирования.Здесь перечислены все проблемы, обнаруженные Wordfence. Надеюсь, эта вкладка пуста, но вы можете увидеть некоторые незначительные проблемы, такие как плагины и темы, которые необходимо обновить.Для каждой проблемы вы можете нажать кнопку ДЕТАЛИ справа от проблемы, чтобы получить дополнительную информацию о проблеме. Если плагин или тему необходимо обновить, вы можете щелкнуть ссылку Нажмите здесь, чтобы обновить сейчас , чтобы обновить его немедленно:
Нажмите кнопки ПОДРОБНЕЕ , чтобы просмотреть дополнительную информацию по каждой проблеме. Вы можете щелкнуть ссылку Нажмите здесь, чтобы обновить сейчас , чтобы обновить каждый плагин или тему. Вы также можете выбрать Dashboard> Updates в левом меню администратора, чтобы обновить все свои плагины и темы сразу.Если вы видите какие-либо критические сообщения (с красной точкой), в частности сообщения типа «Файл кажется вредоносным», то ваш сайт , возможно, уже был взломан. В таком случае выполните следующие действия:
.- Не паникуйте!
- Взгляните на эту справочную страницу Wordfence, где объясняется, как интерпретировать результаты сканирования, а также как исправить любые проблемы.
- Если действительно похоже, что ваш сайт был взломан и содержит вредоносное ПО, то следующим шагом будет очистка вашего сайта, следуя инструкциям на сайте Wordfence или наняв команду Wordfence, которая сделает это за вас.
Настройка брандмауэра Wordfence
Брандмауэр веб-приложенийWordfence блокирует хакеров до того, как они нанесут ущерб вашему сайту WordPress. Он включается автоматически при установке Wordfence, но для начала работает только как плагин WordPress, который не обеспечивает наилучшего уровня защиты. Wordfence называет это Basic WordPress Protection .
Чтобы сделать брандмауэр более безопасным, вы хотите настроить его так, чтобы он запускался до того, как у WordPress — или любых других файлов PHP — была возможность запустить.Таким образом, он может заблокировать попытки взлома на самом раннем этапе. Wordfence называет это расширенной защитой .
Чтобы включить расширенную защиту, выполните следующие действия:
- Выберите Wordfence> Брандмауэр в левом меню в админке WordPress.
- Нажмите кнопку УПРАВЛЕНИЕ ФЕЙЕРВАЛОМ вверху страницы:
Нажмите кнопку Управление брандмауэром , чтобы открыть страницу параметров брандмауэра.
- На открывшейся странице параметров брандмауэра нажмите кнопку ОПТИМИЗИРОВАТЬ БРАНДМАУЭР WORDFENCE :
Щелкните OPTIMIZE WORDFENCE FIREWALL , чтобы начать настройку межсетевого экрана.
- Появится всплывающее окно «Оптимизировать брандмауэр Wordfence». Здесь много технического текста, но не беспокойтесь об этом, если на вашем сайте не работает более одного WordPress или вы не знаете, что конфигурация вашего сервера отличается от показанной. Просто нажмите кнопку ЗАГРУЗИТЬ .HTACCESS — это загрузит файл резервной копии, содержащий текущий файл конфигурации сервера
.htaccess
, на случай, если что-то пойдет не так, когда Wordfence изменит его. Затем нажмите кнопку ПРОДОЛЖИТЬ , чтобы оптимизировать брандмауэр:Нажмите ЗАГРУЗИТЬ.HTACCESS , затем нажмите ПРОДОЛЖИТЬ , чтобы сохранить предварительно выбранную конфигурацию сервера, если вы не знаете, что это неправильно.
Если все пойдет хорошо, вы должны увидеть предупреждение с сообщением «Хорошая работа! Теперь брандмауэр оптимизирован ». Нажмите кнопку ЗАКРЫТЬ , чтобы продолжить:
Если все пойдет хорошо, вы должны увидеть это сообщение. Щелкните ЗАКРЫТЬ , чтобы продолжить.Уровень защиты на странице параметров брандмауэра теперь должен отображать Расширенная защита :
Все сделано! Теперь ваш брандмауэр должен показать Расширенная защита . Если у вас возникнут проблемы, то Wordfence, вероятно, не сможет создать необходимые файлы на ваших серверах из-за прав доступа к файлам. Взгляните на эту страницу устранения неполадок оптимизации брандмауэра для получения помощи.
Вы также увидите, что брандмауэр запускается в Learning Mode . В этом режиме брандмауэр некоторое время анализирует трафик вашего сайта, чтобы определить разницу между обычным трафиком и попыткой взлома. Через неделю брандмауэр автоматически переключается на Live Mode и начинает защищать ваш сайт.
Пока брандмауэр находится в режиме обучения, рекомендуется делать все, что вы обычно делаете: публиковать страницы и сообщения; модерировать комментарии; настраивать темы и настройки плагинов; и настроить виджеты. Это дает брандмауэру возможность увидеть, как выглядит «нормальная» активность на вашем сайте.
Для получения дополнительной информации о режиме обучения посетите эту страницу справки Wordfence.Отличная работа! Вот что делать дальше.
Теперь, когда вы установили и настроили Wordfence, ваш сайт WordPress имеет гораздо больше шансов удержать хакеров на расстоянии .Отличная работа!
Важно следить за безопасностью WordPress. Wordfence отправит вам электронное письмо, когда обнаружит какие-либо проблемы с вашим сайтом, и вы должны изучить их и при необходимости исправить. Также стоит проверить панель управления Wordfence (выберите Wordfence> Панель мониторинга в админке WordPress), которая дает вам хорошее представление о текущем состоянии безопасности вашего сайта.
Удачи!
У вас есть вопросы по Wordfence или по обеспечению безопасности вашего сайта WordPress? Не стесняйтесь спрашивать в комментариях ниже!
[Эта статья была первоначально опубликована 25 августа 2016 г.Он был обновлен 15 февраля 2017 года, чтобы охватить новый пользовательский интерфейс в Wordfence 6.3; 20 марта 2017 года для включения новой премиальной функции IP Blacklist; и 7 июня 2018 года, чтобы отразить изменения в Wordfence 7.1. Изображение предоставлено: Компьютер и замок от TheDigitalWay (CC0), обрезано, отредактировано // Забор, jarmoluk (CC0), обрезано, отредактировано ]
Как настроить подключаемый модуль безопасности WordFence
Защита вашего блога от хакеров — ваш приоритет номер 1 по сравнению с контентом. Многие блоги взламывают из-за плохой безопасности.Даже блоги, которые вы отключаете на несколько дней или месяцев, пока вы сосредоточены на другом блоге, могут быть взломаны, даже если он не обновляется. Вот почему вам следует обезопасить свой блог. Я писал о том, как защитить блог, и вкратце упомянул плагин WordFence Security; в этом сообщении блога вы узнаете, как его настроить.
Давайте начнем с и добавим плагин в ваш блог. Найдите его и нажмите установить:
Если вы новичок в WordPress и не знаете, как установить плагин, следуйте инструкциям в этом руководстве ниже:
Если вы получаете следующее уведомление ниже, значит, вы правильно установили плагин.
Имейте в виду, что ваш веб-хостинг может помочь с безопасностью со своей стороны. Защищенный сервер — это бонус к этому плагину. Я перечислил определенные веб-хосты, которые рекомендую всем.
Нажмите кнопку настройки , чтобы настроить плагин для обеспечения максимальной безопасности вашего блога. Вы должны оказаться на следующей странице.
Нажмите кнопку «Продолжить», поскольку плагин просканирует и порекомендует вам лучшую конфигурацию сервера в зависимости от вашего хоста.На следующей странице вы сделаете резервную копию файла, прежде чем вы сможете продолжить настройку. Причина, по которой этот плагин заставляет вас загрузить этот файл, заключается в том, что плагин записывает текст в файл. Если что-то случится, вы можете удалить плагин через. Папка с подключаемыми модулями FTP и загрузите свою копию файла .htacess, который вы сохранили перед редактированием подключаемого модуля. Это безотказно, но у меня никогда не было проблем.
Вам не нужно переходить на премиум-версию. У меня есть лицензия премиум-класса, но я показываю вам бесплатную версию.
Ознакомьтесь с другими опциями, которые я активировал как член Premium.
Параметры WordFence
Перейдите на вкладку настроек параметров, чтобы начать редактирование настроек. Подробности смотрите на изображении ниже.
В этой первой половине страницы настроек опций осталось немного. Нажмите «Сохранить» после внесения следующих изменений, но оставайтесь на этой странице, так как есть еще один набор настроек, которые нужно щелкнуть.
Я включил сводку электронной почты, потому что я специалист по статистике, и это может быть очень полезной информацией для оптимизации трафика в вашем блоге.
Теперь мы переходим к внутренней работе этого плагина и настройкам безопасности, которые являются наиболее важными.
Еще вкусности для включения.
Некоторые разделы я пропускаю, так как настройка по умолчанию — лучшая настройка. Возвращаемся к следующему разделу для включения настроек:
Это последний раздел для редактирования страницы параметров. Убедитесь, что вы нажали сохранить изменения на кнопке на этой странице.
Вкладка Live Traffic
Мне нравится этот раздел, так как вы можете заблокировать IP-адрес или целую сеть. Если IP-адрес посещает мой блог снова и снова, я просто блокирую сеть после проверки IP, чтобы убедиться, что это не бот поисковой системы. Вы даже можете просмотреть, к какой странице или каталогу пытается получить доступ этот IP-адрес. Например, если он пытается просмотреть каталог ваших плагинов или вашу учетную запись администратора, вам следует заблокировать сеть, поскольку это попытка взлома в режиме реального времени.
Противопожарная защита
Важная настройка, которую нужно включить.Выберите Включить и защитить на изображении ниже. Убедитесь, что вы сохранили изменения на этой странице. Это единственный параметр, который нужно включить, остальные вкладки оставьте как настройки по умолчанию.
Это рекомендуемые настройки, которые WPOutcast использует для этого плагина. Обновление до премиум-версии даст вам возможность заблокировать любую страну, которую вы хотите, а также другие хорошие настройки.
Вперед, чтобы прочитать:
Если этот пост в блоге оказался полезным, подумайте о том, чтобы поделиться им в Интернете со своими подписчиками.
Как установить плагин Wordfence Security
В этой статье описывается, как установить плагин Wordfence Security для WordPress.
Установка подключаемого модуля Wordfence для безопасности WordPress
Плагин Wordfence Security предоставляет множество полезных функций для защиты вашего сайта WordPress. Чтобы установить плагин Wordfence Security, выполните следующие действия:
- Войдите на свой сайт WordPress как администратор.
- На левой панели щелкните Плагины , затем Добавить новый .
- Найдите Wordfence Security с правой стороны.
- Нажмите Установить сейчас в Wordfence Security.
- Щелкните Активировать .
Дополнительная информация
О Wordfence
Wordfence — это бесплатный плагин WordPress, который обеспечивает защиту веб-сайтов корпоративного уровня от вредоносных программ и взломов. Wordefence имеет брандмауэр и сканер вредоносных программ, созданный специально Wordfence, чтобы защитить ваш сайт и обеспечить его безопасность.Wordfence имеет канал защиты от угроз, который держит Wordfence в курсе лучших правил брандмауэра, вредоносных IP-адресов и сигнатур вредоносных программ.
Межсетевой экран Wordfence
Wordfence использует так называемый межсетевой экран «конечной точки». Это лучше, чем альтернативы брандмауэру, потому что он работает на уровне сервера. Это значительно затрудняет взлом шифрования, утечку данных и обход. Когда вы выбираете решение для защиты безопасности, вам нужно выбрать такое, которое ориентировано на то, чтобы опережать злоумышленников! Вы получите именно это с Wordfence! Вы получаете брандмауэр в режиме реального времени для защиты от новейших уязвимостей и угроз.
Когда вы используете брандмауэр Wordfence на своем сайте WordPress, он запускается перед любым кодом PHP на сайте. Каждый раз, когда на ваш веб-сайт поступает запрос, брандмауэр Wordfence сначала обрабатывает этот запрос, чтобы убедиться, что он безопасен. Запрос сравнивается с набором правил Wordfence, чтобы определить, действительно ли он безопасен или нет. Если запрос считается небезопасным, он блокируется.
Этот код запускается раньше всего. Это гарантирует, что ни ваш код WordPress, ни база данных фактически не подключены.Это обеспечивает быстрое определение того, безопасен ли запрос. Это означает, что злоумышленник может поразить только брандмауэр вашего сайта, а не все, что связано с вашим реальным сайтом.
Сканирование безопасности Wordfence
Плагин Wordfence сканирует:
- Основные файлы, темы и плагины для вредоносных программ
- Неверные URL-адреса
- Бэкдоры веб-сайтов
- Оптимизированный для поисковых систем (SEO) спам
- Код инъекций
- Перенаправление вредоносных URL-адресов
- Устаревшие или закрытые плагины
Любые файлы, которые считаются поврежденными или опасными, могут быть заменены чистой исходной версией этого файла через Wordfence.
Дополнительные элементы Wordfence
Wordfence загружен дополнительными функциями безопасности, включая:
- Сканирование сайтов в черный список
- Защита грубой силы
- Просмотрите источник попытки атаки, их IP-адрес и время попытки атаки.
- Leaked Password Protection будет блокировать попытки входа в систему любым лицом, пытающимся использовать пароль, который, как известно, уже был взломан.
- Двухфакторная аутентификация означает, что пользователям каждый раз требуется ваш пароль и уникальный код доступа от вашего смарт-устройства для доступа к вашей административной области.Это предотвращает доступ злоумышленника к вашей админке только с вашим паролем.
- Защита от чрезмерно агрессивных ползунков.
- Блокировка трафика из определенных стран, известных своей вредоносной активностью. Это функция, которую можно найти в Wordfence Premium.
Wordfence — за числами
Первая версия Wordfence была написана еще в 2011 году и выпущена в 2012 году. Как зрелый плагин безопасности, вы знаете, что получаете только лучшую защиту для своего сайта! Это понимают и миллионы веб-сайтов! Wordfence было скачано более 20 миллионов раз, что обеспечивает защиту от более 25 миллионов ежедневных атак.
Дополнительная информация о Wordfence
Для получения дополнительной информации о подключаемом модуле Wordfence Security посетите http://wordpress.org/plugins/wordfence.
WordFence Security Plugin Обзор и обзор
Если вы пользователь WordPress, безопасность сайта должна быть на первом месте в вашем списке приоритетов. Как самая популярная CMS на планете, она имеет более чем справедливую долю хакеров, ботов и злоумышленников с веб-сайтами WordPress под прицелом. Вы не хотите, чтобы вредоносное ПО заползало на ваш сайт, и не хотите, чтобы незваные гости проникали за пределы экрана входа в систему.Вы можете выбрать одно из множества различных решений для сохранения периметра вашего сайта заблокированным, но WordFence — один из лучших вариантов, и в этом обзоре WordFence мы хотим показать вам, что он может сделать для вас, чтобы убедиться, что это лучший вариант. правильный вариант безопасности для вашего сайта.
Подпишитесь на наш канал Youtube
Настройка подключаемого модуля безопасности WordFence
Как и большинство решений безопасности WordPress, WordFence доступен как бесплатный плагин для WordPress.org репозиторий плагинов. Вы всегда можете перейти на премиум-версию для получения дополнительных функций и поддержки, но бесплатная версия WordFence является мощной и в основном то, на чем мы сосредоточимся в нашем обзоре.
Установите и активируйте его, как любой другой плагин из Plugins — добавьте новый в свою панель управления WordPress. После завершения этого шага у вас появится новый пункт меню WordFence на левой боковой панели.
WordFence может показаться немного подавляющим для новых пользователей, но они действительно проделали огромную работу, упростив начало работы.На основной панели управления вы увидите много информации. Но это просто и легко усваивается. Мы расскажем, что все это значит, и подготовим к первому сканированию сайта.
Как использовать WordFence
Панель инструментов дает вам хороший обзор текущего состояния вашего сайта на момент последнего сканирования, которое вы выполняли. Верхняя строка содержит поля с текущими процентами защиты (на основе включенных функций WordFence). Мы хотим отметить, что вы очень редко увидите их на 100%.Чтобы получить 100% -ный показатель защиты, вам необходимо иметь премиум-подписку.
Следует помнить, что эти проценты не так значимы, как результаты сканирования в поле Уведомления . Или абсолютные числа, которые вы видите в поле Firewall Summary внизу.
Учитывая все это, WordFence имеет очень настраиваемые параметры. Но мы предлагаем, что первым шагом на самом деле будет сканирование с настройками по умолчанию. Они сильны сразу же, и немедленные результаты помогут вам понять, что может предложить плагин.
Как запустить сканирование с помощью WordFence
Сканировать ваш сайт с помощью WordFence просто. Просто перейдите по ссылке WordFence — Scan (1) в панели администратора WP.
Просто нажмите Star New Scan (2) , чтобы плагин начал выполнять серию (3) проверок, которые он выполняет на вашем сайте. Вы заметите, что некоторые из них заблокированы для премиум-пользователей. Однако большинство из них открыты для бесплатной установки. Когда все будет готово, на вкладке Найдено результатов (4) появится полный список проблем, которые могут возникнуть на сайте.Они имеют приоритет от Низкий до Высокий и используют кодировку зеленый / желтый / красный.
Просмотр результатов сканирования WordFence
Для серьезных угроз, таких как скрытые вредоносные программы или неизвестные файлы, нажмите кнопку Удалить все удаляемые файлы (5) , и вы позаботитесь о них.
Остальное довольно просто, поскольку WordFence описывает, что каждый из них и как это исправить. Обновите плагин или тему, обновите WordPress из-за уязвимостей безопасности и так далее.Вы даже можете игнорировать проблемы, если знаете о них, но вам нужно воздержаться от их решения по той или иной причине.
Расширенные функции безопасности WordFence
Самая известная расширенная функция, которую предлагает WordFence, — это WAF или брандмауэр веб-приложений. Вы можете найти эту функцию, что неудивительно, в пункте меню WordFence — Firewall .
Это часть реальной силы WordFence, особенно для бесплатных пользователей. WAF позволяет вам установить, какая часть ресурсов вашего сайта может использоваться поисковыми роботами и другими роботами и скриптами в Интернете.Это означает защиту от сценариев, которые могут быть установлены до того, как вы сможете сканировать (от вредоносных программ), или даже от некоторых сайтов, которые нацелены на серверы WordPress для атак методом грубой силы.
Вы также можете заблокировать доступ целых диапазонов IP-адресов к вашему сайту. Как вы можете видеть на изображении выше, WordFence также может справиться с этим автоматически. Плагин поймал эти IP-адреса и заблокировал их самостоятельно.
Вы можете копнуть глубже и установить белые списки, черные списки, службы, которые могут сканировать сайт, и самостоятельно установить определенные правила, чтобы ваш сайт был изолирован так, как вам это нужно.
Большинству пользователей не нужно возиться с этими настройками. Это определенно расширенные параметры, которые позволяют полностью оптимизировать ваш сайт. Однако если вы работаете в деликатной сфере или когда-то были целевой аудиторией, это просто невероятно.
Такие же подробные параметры и правила доступны для ограничения скорости и всех других разделов безопасности WordFence. Настраиваемость — главная причина, по которой он так популярен (и эффективен).
Кроме того, WordFence имеет встроенную двухфакторную аутентификацию (2FA) .Это невероятно, потому что 2FA — один из лучших способов обеспечить безопасность вашего сайта.
В разделе WordFence — Безопасность входа вы можете выбрать пользователя, а затем настроить его на получение кода входа через Google Authenticator, FreeOTP, Authy и другие популярные приложения 2FA. Если на вашем сайте WordPress еще не включена двухфакторная аутентификация, стоит установить WordFence только для этого.
Функции безопасности WordFence Premium
ПремиумWordFence предлагает много преимуществ по сравнению с бесплатной версией.Однако типичным пользователям (блогерам, создателям контента, небольшим интернет-магазинам и т. Д.) Они могут не понадобиться. Но для тех, кто это делает, они бесценны. Или, технически, 99 долларов.
Для того, что вы получаете, это капля в море по сравнению с потерянными человеко-часами, доходом, рейтингом страницы и социальным капиталом, которых может стоить вам компромисс безопасности.
Но что вы получаете от WordFence Premium? Прежде всего, вы получаете обновлений в реальном времени . Это означает, что в то время как бесплатные пользователи получают их при обновлении плагина (что по-прежнему часто), подписчики премиум-класса получают их в режиме реального времени, поскольку WordFence может позаботиться о них.По мере проверки и исправления вредоносных программ, ненадежных IP-адресов и других уязвимостей WordFence защищает ваш сайт от них. Немедленно.
Кроме того, WordFence отслеживает репутацию вашего сайта в известных базах данных скомпрометированных и опасных сайтов. А еще они предлагают премиум-пользователям стран с блокировкой. Эта служба запускается, как только обнаруживается вредоносная атака, чтобы ваш сайт был защищен. Они хвастаются тем, что их время отклика составляет 1/300 000 секунды.Это время невероятно быстро.
Premium Support стоит своей цены, если вы спросите нас. Когда вам нужна поддержка из-за проблемы с безопасностью на вашем сайте WordPress, приоритет для вашего билета может спасти сайт.
Что отличает WordFence от других?
WordFence — невероятно хороший выбор специально для бесплатных пользователей из-за его WAF. Плагин отправляет ежедневные оповещения и предлагает мониторинг в реальном времени, правила автоматической блокировки и предложения по повышению безопасности.По цене абсолютно нада .
Многие другие плагины безопасности предлагают аналогичные возможности сканирования сайтов, которые помогают удалять вредоносные программы и укреплять уязвимости системы безопасности. Но WordFence выделяется тем, что предоставляет бесплатный профилактический уход за вашим сайтом. Когда вы добавляете функции обновления премиум-класса, WordFence находится на высшем уровне и следит за тем, чтобы ваш сайт оставался изолированным.
Если ваш сайт новее или никогда раньше не имел проблем с безопасностью, WordFence — хороший выбор, чтобы убедиться, что (вероятно) этого никогда не произойдет.И если это произойдет, у вас будут инструменты, чтобы решить эту проблему всего за несколько щелчков мышью.
Обзор WordFence
В целом, мы думаем, что WordFence определенно заслужил ту популярность, которую приобрело. С одним из немногих полностью бесплатных WAF, сканированием сайта и встроенной двухфакторной аутентификацией, на самом деле нет причин, по которым , а не , устанавливать WordFence (если вы не используете другой плагин или службу безопасности, в этот момент у вас уже есть эти базы прикрыты, во всяком случае). Премиум-пользователи, получающие приоритетную поддержку по своим билетам и обновлениям в режиме реального времени, могут стать причиной взлома вашего сайта в течение часа и взлома в течение месяца.Изучите свои потребности, и тогда вы сможете решить, стоит ли этого премиум-обновления WordFence. И если безопасность вообще вызывает беспокойство (а это должно быть), WordFence — фантастический уровень защиты для любого типа сайта WordPress.
Какой у вас был опыт использования WordFence и как он защищает ваш сайт?
.