Techbear
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.
Главная » Безопасность »
Подробное описание плагина Sucuri Security
Полная версия плагина / сервиса Sucuri Security определенно является лучшей защитой для Вордпресс сайтов от любых видов угроз из Интернета.
Весь входящий трафик проходит через сервера Сукури, на которых проверяется каждый запрос к сайту. Если в каком-то запросе обнаруживается что-то вредоносное, этот запрос блокируется, а все остальные запросы проходят.
Эта проверка происходит на серверах Сукури, поэтому снижается нагрузка на ваш сервер, в результате он может обслужить большее количество посетителей без изменения тарифа.
Кроме защиты сайта сервис ускоряет сайт и оптимизирует работу сервера. Сукури ускоряет сайт за счет копирования страниц сайта на фирменный CDN Anycast. То есть страницы сайта доставляются посетителю из ближайшего сервера Сукури без обращения к вашему серверу.
Кроме этого, если хакеру все же удастся проникнуть на ваш сайт, Сукури бесплатно найдет место взлома и вылечит сайт.
Это наиболее полное и комплексное решение по защите Вордпресс сайта. Цена этого сервиса начинается со 199$ / год. Стоимость часа работы специалиста по восстановлению сайта может доходить до 250$ в час.
Настройка бесплатной версии плагина Sucuri Security
В бесплатной версии плагина нет файрвола, нет подключения к сети CDN и нет гарантии восстановления сайта, если его взломают.
Но в бесплатной версии есть несколько очень полезных инструментов:
- Плагин с заданной периодичностью сравнивает файлы ядра Вордпресс с оригинальными файлами в репозитарии Вордпресс, и выводит результат в консоли Вордпресс
- Сканер с заданной периодичностью проверяет сайт на наличие вредоносного ПО, и выводит результат в консоли Вордпресс
- Плагин проверяет нахождение сайта в черных списках поисковиков и антивирусов, и выводит результат в консоли Вордпресс
- Плагин ведет логи событий и логи доступа, которые легко читать
Весь остальной функционал для усиления безопасности можно добавить вручную:
В этой статье вы узнаете, как настроить бесплатную версию плагина Sucuri Security. Плагин пока не имеет перевода на русский язык, в этой статье подробное описание каждой функции.
Содержание:
- Dashboard
- Firewall (WAF)
- Last Logins
- Settings
1. Dashboard
Плагин устанавливается и активируется как обычно. Настройки плагина находятся в главном меню Вордпресс — Sucuri Security.
Первое, что нужно сделать — создать API ключ для соединения с сервером Sucuri:
API ключ нужен для активации некоторых функций плагина. Ключи бесплатны и вы можете сгененрировать любое количество ключей, при условии что имя домена и е-мейл уникальные. Ключ используется для авторизации HTTP запросов, которые плагин посылает к серверу Sucuri.
WordPress Integrity — Сукури сравнивает файлы ядра Вордпресс в корневой директории и папках wp-admin и wp-includes с файлами Вордпресс в официальном репозитарии Вордпресс. Если найдется какое-то отличие, оно будет показано в этой секции. Любое отличие может означать взлом.
По умолчанию проверка происходит раз в 24 часа, дальше в настройках можно изменить интервал проверки.
Ниже слева на странице Dashboard находятся логи событий, найденные айФреймы, Ссылки и Скрипты. Справа находятся окна результата работы сканера вредоносного кода, статус занесения сайта в списки вредоносных и рекомендации по увеличению безопасности.
Нажмите на каждый восклицательный знак в Рекомендациях, вы увидите инструкцию по устранению этой уязвимости. Обычно нужно добавить несколько строк кода в .htaccess.
Security Header: X-XSS-Protection Missing — защита сайта от некоторых типов XSS атак. Добавьте этот код в .htaccess:
Security Header: X-Content-Type-Options nosniff — защита посетителей сайта от загрузки вредоносного кода, добавленного хакерами. Добавьте этот код в .htaccess:
2. Firewall (WAF)
Раздел Firewall работает только в платной версии плагина.
Переходите к следующему разделу.
3. Last Logins
В разделе Last Logins находятся 4 вкладки: All Users, Admins, Logged-in Users и Failed Logins.
На вкладке All Users список всех заходивших пользователей:
На вкладке Admins — список всех зашедших пользователей с привилегиями админа:
На вкладке Logged-in Users вы видите список всех пользователей, залогиненных в данный момент:
На вкладке Failed Logins — список всех неудачных попыток входа:
На этой вкладке показываются все неудачные попытки входа на сайт. Если с одного IP будет сделано более 30 неудачных попыток доступа в течение одного часа, то администратор сайта получит сообщение на е-мейл. Число неудачных попыток можно изменить в настройках плагина.
ПРИМЕЧАНИЕ: Некоторые плагины двухфакторной аутентификации не следуют тем же правилам, которые Вордпресс использует для отслеживания неудачных попыток входа в систему, поэтому вы можете не увидеть все попытки в этой панели, если у вас установлен такой плагин.
4. Settings
В этом разделе находятся все настройки плагина.
General Settings
API ключ нужен, чтобы защитить от хакеров логи событий, которые в случае взлома сайта помогут вам выяснить, как именно он был взломан, а также позволяет плагину показывать статистику. Сукури будет собирать анонимные данные о вашем сайте, которые он будет хранить у себя на сервере без постороннего доступа.
Data Storage
В этой папке Сукури будет хранить логи событий, список вылеченных файлов ядра Вордпресс, кеш сканера вредоносных файлов и метаданные плагинов.
Сукури требуется разрешение на запись в эту папку и в файлы в этой папке. Если вы хотите перенести эту папку в другое место, недоступное из интернета (на один уровень выше корневой папки), определите константу «SUCURI_DATA_STORAGE» в файле wp-config.php с абсолютным путем к новой директории.
Log Exporter
Эта функция позволяет экспортировать логи событий в отдельный файл, который может быть открыт специальным софтом (Сукури рекомендует OSSEC). Это даст вам дополнительную надежность сохранения информации.
Примечание: Храните файл в недоступном из интернета месте (как минимум на один уровень выше корневой папки).
Reverse Proxy
Монитор событий использует API адрес источника запроса для отслеживания действий. Плагин использует два метода для получения этой информации: основной метод использует глобальную переменную сервера Remote-Addr, доступную на большинстве современных веб-серверов, другой метод использует HTTP заголовки (которые небезопасны по умолчанию).
Пропустите эту опцию, если вы не знаете, что такое обратный прокси. Sucuri Firewall после активации проводит сетевой трафик через свой сервер, чтобы отфильтровать все угрозы, которые могут повлиять на исходный сервер.
Побочным эффектом является то, что реальный IP-адрес больше недоступен в глобальной серверной переменной Remote-Addr, но становится доступным в HTTP-заголовке с именем, предоставленным службой.
IP Address Discoverer
Определитель IP-адреса будет использовать DNS-запросы для автоматического определения, находится ли веб-сайт за файрволом Sucuri, и в этом случае он изменит глобальную переменную сервера Remote-Addr, чтобы установить настоящий IP-адрес посетителя.
Эта проверка запускается каждый раз и может замедлить работу сайта, потому что некоторые хостинг-провайдеры используют медленные DNS-серверы.
Timezone
Эта опция определяет часовой пояс, который будет использоваться во всем плагине. Эта настройка меняет дату и время в журнале событий, который отображается в консоли плагина. Эти события приходят с сервера, который использует Восточное дневное время (EDT).
В Вордпрессе есть настройка даты и времени на странице общих настроек, которая позволяет настроить часовой пояс для всего веб-сайта, однако, если у вас появились проблемы со временем в журнале событий, эта функция поможет их решить.
Import & Export Settings
Скопируйте эти JSON данные и вставьте их на другом сайте. Плагин начнет использовать настройки с этого сайта. Обратите внимание, что некоторые настройки не присутствуют в этой записи, потому что содержат специфичные настройки.
Чтобы вставить настройки с другого сайта на этот сайт, удалите эти данные и вставьте новые. Некоторые данные не будут импортированы, чтобы снизить риск записи случайных данных.
Реклама
Калькулятор ОСАГО
Простой способ выгодно купить полис
Reset Security Logs, Hardening and Settings
Это действие начнет процесс деактивации и удаления плагина. Все логи событий и настройки будут удалены.
Обратите внимание, что логи событий, хранящиеся на сервере Сукури, не будут удалены. Это сделано для предотвращения вмешательства злоумышленника.
Вы можете запросить новый API ключ, если захотите начать сначала и получить хранящиеся на сервере данные.
Scanner — Scheduled Tasks
Плагин сканирует весь сайт в поисках изменений, которые позже показываются через API на странице журнала событий. По умолчанию сканер работает ежедневно, но вы можете изменить частоту сканирования.
Обратите внимание, что слишком частое сканирование файлов может повлиять на производительность сайта. Убедитесь, что у вас достаточно ресурсов сервера, прежде чем менять эту опцию. Ограничение памяти и максимальное время выполнения — это две опции PHP, которые установит ваш сервер, чтобы сайт не потреблял слишком много ресурсов.
Запланированные задачи — это правила, записанные в базу данных Вордпрессом, темами и плагинами; они используются для автоматического выполнения действий через определенный интервал времени. Используйте запланированные задачи для создания резервных копий сайта, сканера безопасности и для удаления неиспользуемых элементов, например, черновиков. Примечание: запланированные задачи могут быть снова автоматически установлены плагинами или темой.
Чтобы изменить частоту запланированной задачи, отметьте галочку напротив нужной задачи, выберите частоту в выпадающем списке внизу и нажмите Submit.
WordPress Integrity Diff Utility
Если ваш сервер позволяет выполнять системные команды, вы можете настроить плагин для использования утилиты Unix Diff для сравнения содержимого файла на сервере, и оригинального файла в репозитории Вордпресс. Это покажет различия между обоими файлами, и затем вы можете действовать на основе этой информации.
Если плагин найдет новые или измененные файлы на сервере, он предложит удалить файлы или заменить оригинальными из репозитария Вордпресс
WordPress Integrity (False Positives)
Так как сканер не читает файлы во время проверки целостности, можно обнаружить ложные срабатывания. Файлы в этом списке помечены как ложные срабатывания и будут игнорироваться сканером при следующих проверках.
Ignore Files And Folders During The Scans
Используйте этот инструмент для исключения файлов и / или папок, которые слишком тяжелы для обработки сканером. Обычно это папки с изображениями, медиа-файлы, резервные копии и вообще все, что не связано с кодом. Игнорирование этих файлов или папок уменьшит потребление памяти скриптом PHP.
Hardening — Hardening Options
Website Firewall Protection — включает файрвол Сукури. Для работы нужно купить платную подписку.
Verify WordPress Version — Обновляет версию Вордпресс до последней.
Verify PHP Version — Используйте версию PHP не ниже 5.6. Вордпресс рекомендует использовать версию 7.4.
Remove WordPress Version — проверяет, что версия Вордпресс не показывается в мета-тегах страниц. Многие сканеры уязвимостей сайтов используют эти теги, чтобы определить, какая версия ПО используется на сайте. Уязвимости устаревших версий ПО известны и находятся в открытом доступе. Некоторые сканеры уязвимостей могут определить версию ПО, сравнивая контрольные суммы некоторых статичных файлов.
Block PHP Files in Uploads Directory — Запретите исполнение PHP файлов в папке uploads. Будьте осторожны когда используете эту функцию, потому что некоторые плагины или темы могут использовать выполнение PHP файлов в этой папке для создания изображений или хранения временных данных. Используйте инструмент Whitelist Blocked PHP Files для добавления этих файлов в исключения.
Block PHP Files in WP-CONTENT Directory — Запретите исполнение PHP файлов в папке wp-content. Будьте осторожны когда используете эту функцию, потому что некоторые плагины или темы могут использовать выполнение PHP файлов в этой папке для создания изображений или хранения временных данных. Используйте инструмент Whitelist Blocked PHP Files для добавления этих файлов в исключения.
Block PHP Files in WP-INCLUDES Directory — Запретите исполнение PHP файлов в папке wp-includes. Будьте осторожны когда используете эту функцию, потому что некоторые плагины или темы могут использовать выполнение PHP файлов в этой папке для создания изображений или хранения временных данных. Используйте инструмент Whitelist Blocked PHP Files для добавления этих файлов в исключения.
Information Leakage — Проверьте, что файл README не присутствует на сервере. Информация в этом файле может быть использована злоумышленниками для выяснения уязвимостей, которые могут быть на вашем сайте. Обратите внимание, что этот файл появляется снова при обновлении Вордпресс.
Default Admin Account — Проверьте, что основной аккаунт не использует имя «admin». Это позволяет злоумышленнику определить, какой аккаунт имеет самые высокие привилегии и атаковать его.
Plugin and Theme Editor — отключает редактор плагинов и темы в админке Ворпресс. Если вы пользуетесь редактором, можно временно оставить выключенным.
Whitelist Blocked PHP Files
После применения защиты в папках uploads, wp-content и wp-include, плагин добавит правило в файл контроля доступа, чтобы запретить доступ к любому файлу PHP, расположенному в этих папках. Это хорошая мера предосторожности на случай, если злоумышленник сможет загрузить какой-то скрипт в эти папки. За некоторыми исключениями, файл «index.php» является единственным, который должен быть общедоступным, однако некоторые разработчики тем и плагинов решают использовать эти папки для обработки некоторых операций. В этом случае отключение выполнения PHP файлов может нарушить их функциональность.
Post-Hack — Update Secret Keys
Секретные ключи или ключи беопасности представляют собой список констант, добавленных на сайт для лучшего шифрования информации, хранящейся в файлах cookies. Секретный ключ усложняет взлом сайта, добавляя в пароль случайные элементы. Вам не нужно запоминать ключи, просто напишите случайную, сложную и длинную строку в файле wp-config.php. Вы можете изменить эти ключи в любой момент времени. Их изменение приведет к аннулированию всех существующих файлов cookie, что заставит всех зарегистрированных пользователей снова авторизоваться на сайте.
Reset User Password
Вы можете создать новые пароли для учетных записей пользователей, которые зарегистрированы на сайте. Электронное письмо с новым паролем будет отправлено на адрес электронной почты каждого выбранного пользователя. Если вы решите изменить пароль вашего собственного пользователя, то текущий сеанс истекает немедленно. Вам нужно будет снова войти в админ-панель с новым паролем, который будет отправлен на вашу электронную почту.
Reset Installed Plugins
Если вы подозреваете, что сайт заражен, или после того, как вы избавились от вредоносного кода, рекомендуется переустановить все плагины, установленные на вашем сайте, включая те, которые вы не используете. Обратите внимание, что премиальные плагины не будут автоматически переустанавливаться, чтобы предотвратить проблемы обратной совместимости и проблемы с лицензиями.
Информация, показанная здесь, кэшируется в течение 1.800 секунд. Это необходимо для уменьшения количества HTTP-запросов, отправляемых на серверы WordPress, и пропускной способности вашего сайта. В настоящее время нет возможности воссоздать этот кеш.
ПРЕДУПРЕЖДЕНИЕ! Эта процедура может нарушить работу сайта. Сброс не повлияет на базу данных и настройки каждого плагина, но в зависимости от того, как они были записаны, действие сброса может нарушить их. Сделайте резервную копию папки с плагинами перед запуском этого инструмента.
Available Plugin and Theme Updates
Вордпресс имеет открытый исходный код, что привлекает злоумышленников к поиску уязвимостей в коде, плагинах и темах, разрабатываемых другими компаниями. Обновляйте весь софт, установленный на сайте, чтобы предотвратить атаки, как только выявленные уязвимости будут исправлены.
Alerts — Alerts Recipients
По умолчанию плагин отправляет оповещения по электронной почте основной учетной записи администратора, той же учетной записи, которая была создана при установке Вордпресс. Вы можете добавить больше людей в этот список, они будут получать копии тех же предупреждений безопасности.
Trusted IP Addresses
Если вы работаете в локальной сети (Local Area Network), вы можете включить IP-адреса всех узлов в подсети, это заставит плагин прекратить отправлять оповещения по электронной почте о действиях, выполненных с доверенных IP-адресов. Используйте формат CIDR (бесклассовая междоменная маршрутизация) для указания диапазонов IP-адресов (только 8, 16 и 24).
Alert Subject
Формат темы для уведомлений по электронной почте. По умолчанию плагин будет использовать имя сайта и идентификатор события для использования в теме письма. Вы можете использовать эту панель для включения IP-адреса пользователя, который вызвал событие и некоторую дополнительную информацию об этом событии. Вы можете создавать фильтры в своем почтовом клиенте, используя псевдотеги, показанные ниже:
Alerts Per Hour
Выберите максимальное количество сообщений на е-мейл в час. Если количество событий на сайте превысит допустимое количество сообщений, события будут записываться в лог, но не будут отсылаться на е-мейл. Будьте осторожны, так как вы можете пропустить важную информацию.
Password Guessing Brute Force Attacks
Подбор пароля методом перебора — один из самых распространенных способов атаки на сайт. Злоумышленник просто подбирает комбинации логина и пароля, пока не найдет тот, который открывает сайт. После того, как он зайдет на сайт, он может добавить вредоносный код, начать рассылать спам, заняться фишингом или сделать что-то еще.
Security Alerts
Receive email alerts for changes in the settings of the plugin — получать сообщения после изменений в настройках плагинов.
Receive email alerts in HTML (there may be issues with some mail services) — Получать е-мейл соббщения в формате HTML (могут быть проблемы с некоторыми почтовыми сервисами)
Use WordPress functions to send mails (uncheck to use native PHP functions) — Использовать функции Вордпресс для отправки сообщений (отключите галочку для использования встроенных PHP функций)
Allow redirection after login to report the last-login information — Использовать редирект после авторизации, чтобы сообщать информацию о последних входах в админку. (Зеленая полоска-бар наверху при входе в админку с информацией о последней авторизации)
Receive email alerts for core integrity checks — Получать сообщения на е-мейл после сравнения содержимого файлов на сервере с оригинальными файлами в репозитарии Вордпресс.
Receive email alerts for available updates — Получать сообщения о доступных обновлениях.
Receive email alerts for new user registration — Получать сообщения после регистрации нового пользователя.
Receive email alerts for successful login attempts — Получать сообщения об удачных попытках входа на сайт.
Receive email alerts for failed login attempts (you may receive tons of emails) — Получать сообщения о неудачных попытках доступа на сайт (вы можете получать тонны сообщений).
Receive email alerts for password guessing attacks (summary of failed logins per hour) — Получать сообщения о множественных попытках входа на сайт (часовой отчет о неудачных попытках доступа).
Receive email alerts for changes in the post status (configure from Ignore Posts Changes) — Получать сообщения после изменений в статусе Записей (настройте в разделе Ignore Posts Changes).
Receive email alerts when the WordPress version is updated — Получать сообщения после обновления Вордпресс.
Receive email alerts when your website settings are updated — Получать сообщения после изменений настроек сайта.
Receive email alerts when a file is modified with theme/plugin editor — Получать сообщения после изменения файлов в Редакторе Тем / Плагинов.
Receive email alerts when a plugin is installed — Получать сообщение после установки плагинов.
Receive email alerts when a plugin is activated — Получать сообщения после активации плагинов.
Receive email alerts when a plugin is deactivated — Получать сообщения после деактивации плагинов.
Receive email alerts when a plugin is updated — Получать сообщения после обновления плагинов.
Receive email alerts when a plugin is deleted — Получать сообщения после удаления плагинов.
Receive email alerts when a widget is added to a sidebar — Получать сообщение после добавления виджета в сайдбар.
Receive email alerts when a widget is deleted from a sidebar — Получать сообщения после удаления виджета из сайдбара.
Receive email alerts when a theme is installed — Получать сообщения после установки тем.
Receive email alerts when a theme is activated — Получать сообщения после активации тем.
Receive email alerts when a theme is updated — Получать сообщения после обновления тем.
Receive email alerts when a theme is deleted — Получать сообщения после удаления тем.
Post-Type Alerts
Это список зарегистрированных Типов Записей. Вы получите уведомление по электронной почте, когда будет создана или обновлена Страница или Сообщение, связанная с любым из этих типов.
Если вы не хотите получать одно или несколько из этих предупреждений, снимите флажки в таблице ниже.
Если вы получаете оповещения о типах записей, которые не перечислены в этой таблице, это может быть связано с тем, что существует надстройка, создающая пользовательский тип записей.
Вам придется самостоятельно выяснить уникальный идентификатор этого типа записи и добавить его в форму ниже. Плагин будет игнорировать эти предупреждения, пока этот идентификатор существует.
API Service Communication
После создания API-ключа плагин будет связываться с удаленным сервером по API, на котором будут храниться журналы событий, которые отслеживает плагин. Если сайт взломают, у злоумышленника не будет доступа к этим журналам, и вы сможете выяснить, что было изменено и / или каким образом злоумышленник смог получить доступ к сайту.
API Communication via Proxy
Все HTTP-запросы, которые используются для связи со службой API, отправляются с использованием встроенных функций WordPress. Это полезно, если вам нужно передать эти запросы через прокси. Согласно официальной документации, вы должны добавить некоторые константы в файл wp-config.php: WP_PROXY_HOST, WP_PROXY_PORT, WP_PROXY_USERNAME, WP_PROXY_PASSWORD.
Malware Scan Target
Удаленный сканер вредоносных программ, предоставляемый плагином, работает на основе Sucuri SiteCheck, службы, которая берет общедоступный URL-адрес и сканирует его на наличие вредоносного кода.
Если ваш сайт не виден в Интернете, например, если он размещен в локальной сети или в сети с ограниченным доступом, сканер не сможет работать на нем.
Кроме того, если веб-сайт был установлен в нестандартном каталоге, сканер сообщит об ошибке «404 Not Found». Используйте эту опцию, чтобы просканировать нужный URL.
WordPress Checksums API
Инструмент целостности Вордпресс использует удаленную службу API, поддерживаемую Вордпресс, чтобы определить, какие файлы в установке были добавлены, удалены или изменены. API возвращает список файлов с соответствующими контрольными суммами. Эта информация гарантирует, что установка не повреждена. Однако вы можете указать инструмент целостности на репозиторий GitHub в случае, если вы используете версию Вордпресс со своей версией кода.
Website Info — Environment Variables
Техническая информация о вашем сайте.
Access File Integrity
Файл .htaccess является файлом конфигурации сервера. С его помощью сервер Apache может обрабатывать настройки отдельно для каждой папки.
Вордпресс использует этот файл для управления тем, как сервер обслуживает файлы из корневой папки и подпапок.
По умолчанию этот файл используется для работы с красивыми постоянными ссылками.
Заключение
Платная версия сервиса Sucuri Security является лучшей защитой Вордпресс сайта. В полной версии вы получите безопасный трафик после мощного файрвола Сукури. В качестве побочного эффекта уменьшится использование ресурсов вашего сервера из-за фильтрации вредоносного трафика на сервере Сукури.
Ваш сайт подключится к сети CDN, это ускорит загрузку сайта, потому что страницы сайта будут загружаться с ближайшего к посетителю сервера.
И гарантия бесплатного восстановления сайта в случае, если сайт взломают.
В бесплатной версии нет файрвола, сети CDN и гарантии восстановления сайта, но есть удобный инструмент для мониторинга состояния безопасности сайта.
Файлы ядра Вордпресс сравниваются с оригинальными файлами в репозитории Вордпресс, сканер Сукури проверяет сайт на наличие вредоносного кода и присутствие сайта в черных списках поисковиков и антивирусов.
Эту информацию можно видеть в админке Вордпресс.
Чтобы усилить защиту сайта, можно добавить несколько дополнительных настроек вручную:
Или автоматически с помощью плагина. Приглашаю вас на курс Безопасность Вордпресс за 2 вечера.
Читайте также:
- Подробное описание Security Ninja Pro
- Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасности
- Как подключить Cloudflare к WordPress. Подробное описание
Надеюсь, статья была полезна. Оставляйте комментарии.
Похожие записи
RocketVideo: Монетизация блога с помощью чужих YouTube видео
WordPress не отправляет письма, почта попадает в спам
8 Лучших плагинов защиты Вордпресс
Сравнение Liquid Web и Nexcess
Обзор темы Kadence (FREE и PRO)
Заголовки безопасности X-Security
Как подключить Cloudflare к WordPress. Подробное описание
Правила доступа к контенту в MemberPress
Настройки безопасности в файле wp-config.php
Как перейти на новую версию Google Analytics V4 с помощью MonsterInsights
Как зайти в админку WordPress после взлома сайта
Заголовки безопасности
Как создать нового администратора Вордпресс без доступа к админке и базе данных (2 Способа)
Основные настройки безопасности Вордпресс
