Wordfence Security настройка безопасности WordPress
Опубликовано: 07.07.2018
Плагин Wordfence Security
Плагин Wordfence один из самых популярных плагинов для защиты wordpress. На его число более миллиона установок, и более двух тысяч положительных отзывов.
Wordfence имеет ряд уникальных возможностей, которые отличают его от других плагинов безопасности. Одна из его интересных особенностей, сравнение файлов движка, тем и плагинов с оригинальными версиями из репозитория . Таким образом, если файлы изменились, вы получите уведомления.
Другие возможности Wordfence, на которые стоит взглянуть.
Web Application Firewall — определяет подозрительный трафик и блокирует известные атаки, поддерживает и обновляет базу угроз Защита от Bruetforce атак — блокирует пользователей после большого количества неудачных попыток входа, за слишком частую попытку восстановить пароль, или, опционально, использующих неверное имя пользователя. Также предотвращает выдачу информации о зарегистрированных в системе пользователях. Продвинутые возможности ручного блокирования — блокирует диапазоны IP адресов, конкретные веб-браузеры, ссылающиеся сайты или комбинации перечисленногок содержанию ↑
Отличие премиум версии от бесплатной
В двух словах:
Защита от угроз в реальном времени — база угроз и правила файервола находятся в постоянно обновленном состоянии . В бесплатной версии они приходят где-то через месяц. Блокирование по странам — блокирует географические регионы с большим количеством неудачных логинов, ошибок 404 и другой подозрительной активностью Двухфакторная аутентификация с помощью мобильного телефона Дополнительные настройки для защиты от спама, удаленное сканирование, аудит паролей…Бесплатная версия является самодостаточной для большинства блогеров и владельцев небольших сайтов.
к содержанию ↑
Wordfence Security настройка безопасности WordPress
Сразу после установки плагина и его активации, вы увидите всплывающее окошко, где вам будет предложено ввести ваш емайл для получения уведомлений безопасности от плагина, а также текущих новостей от разработчиков. Там же есть кнопка «Начать знакомство» (Start Tour)
Замечание: Очень рекомендую вам вписать ваш емайл в это окошко. Потому что иначе, вскоре после установки, вы забудете про этот плагин, и не будете знать, работает ли он вообще . Уведомления на вашу почту дают вам своевременный контроль над происходящим.
Далее, если вы нажали Тур, плагин выдаст вам несколько сообщений о назначении плагина, и предложит выполнить первоначальный скан, после чего сканирование будет проводиться ежедневно раз в сутки. Распорядок (Scan Schedule) можно менять в премиум версии.
Скан занимает примерно 5-10 минут. В моем случае он вернул единственное предупреждение, связанное с обновлением плагина.
Хочу обратить ваше внимание, сканирование файлов тем и плагинов по умолчанию отключено . Рекомендую вам включить эти опции.
к содержанию ↑
Как использовать Wordfence Security
Live Traffic .
Сразу после установки вкладки будут пусты.
Но со временем записи будут добавляться. Начните просматривать вкладку ‘/All Hits’/, на ней вы можете например увидеть, что один IP адрес генерирует много трафика, если он вам кажется подозрительным, вы можете его заблокировать. Возможно, кто-то пытается проводить DoS атаку, или просто пробует ваш сайт на уязвимости.
Если вы не можете четко определить шаблон атаки, загляните на вкладку ‘ Top 404s ‘, которая покажет вам IP адреса, генерирующие массовое количество запросов на несуществующие страницы.
Посмотрите вкладку ‘ Logins and Logouts ‘, на ней вы можете увидеть неудавшиеся попытки входа. Ну и вкладка ‘ Top Consumers ‘ покажет вам какие IP адреса больше всего обращаются к вашему контенту.
к содержанию ↑
Wordfence Perfomance Setup .
<
div class=»outline-text-3″ id=»text-orgheadline6″>
Здесь мы ничего не трогаем. Помните, что мы пользуемся другими плагинами кэширования, — в частности, я обычно рекомендую установить и настроить плагин кэширования W3 Total Cache .
Blocked IPs
На этой странице вы можете увидеть заблокированные адреса по конкретным причинам, — нарушение правил входа, которые заданы в настройках, или частое обращение к несуществующим файлам.
Password Audit, Cellphone Sign-in, Country Blocking, Scan Schedule
Доступны в Премиум версии, поэтому не рассматриваю.
Здесь вы можете заблокировать диапазоны IP-адресов, юзер-агенты (браузеры), источники трафика и их комбинации, то есть эта страница дает вам больше контроля, чем Blocked IPs , если это вам действительно необходимо.
Options
Страница настроек дает вам дополнительные опции.
По умолчанию, она пригодна для использования, и нет необходимости в ней что-то менять. Возможно, вы захотите включить сканировать файлы тем и плагинов о чем я писал выше.
Убедитесь также, что вы указали ваш емайл адрес для получения уведомлений безопасности.
Некоторые настройки вы можете захотеть дополнительно тестировать и корректировать в зависимости от вашей конкретной ситуации, например, вы можете понизить количество неудачных попыток входа (‘Lock out after how many login failures’), если ваш сайт подвергается повышенным попыткам взлома. Но базовые настройки подходят для большинства сайтов.
к содержанию ↑
Чем отличается плагин Wordfence Security от iThemes Security
Плагин iThemes Security в большей степени является конфигуратором настроек безопасности wordpress. Вот почему я рекомендую иметь его в первую очередь. Я написал статью с подробной настройкой плагина iThemes Security . Также, читайте страницу, полностью посвященную защите WordPress сайта .
Не оставляйте безопасность вашего сайта на удачу.