WordPress Website Firewall

WordPress Website Firewall изображение поста

Так как ни один веб-сайт не защищён от хакерских атак, обеспечение безопасности WordPress является одной из первостепенных задач администратора и владельца ресурса. Защита WP-портала может быть как пассивной, так и активной: первая заключается в соблюдении человеком универсальных правил протекции, а вторая — в установки самостоятельных файервол-плагинов.

Общие советы

Увеличить безопасность сайта на WordPress можно благодаря следующим системным настройкам движка:

  • Скрытие файла .htaccess от посторонних пользователей. Так как .htaccess содержит в себе все защитные протоколы, файл должен быть изъят из публичного доступа. Спрятать документ можно благодаря фразе “deny from all”, вставленной после <Files wp-config.php>.
  • Надстройка двухфакторной аутентификации. Двухфакторная защита — метод идентификации человека по двум атрибутам — например, по паролю и высылаемому по SMS дополнительному коду. Реализовать подобную защиту на WP можно с помощью Google Authenticator.
  • Создание сложного пароля. Самостоятельно придумать уникальную и сложную комбинацию символов достаточно трудно, поэтому для генерации качественного пароля рекомендуется использовать сервисы вроде 1Password.
  • Смена стандартного логина. Неуникальный “admin” угадывается с первого раза и позволяет злоумышленникам сосредоточиться лишь на подборе пароля,
  • Лимитирование попыток авторизации. Блокировка пользователя, «завалившего» идентификацию энное количество раз, настраивается с помощью, например, функции LoginLockDown.
  • Использования защитных ключей. Аутентификаторы и Salt-инструменты обеспечивают безопасность cookies и паролей при соединении компьютера с сервером.
  • Обновление ПО. Каждое обновление WordPress содержит в себе не только улучшения ядра, но и новые защитные механизмы, поиск слабых мест которых займёт у злоумышленников дополнительное время.

Для повышения уровня безопасности WordPress также можно подключить сторонние плагины, о некоторых из которых будет рассказано далее.

WordPress Website Firewall

All in One — WP Security Firewall

All in One представляет собой бесплатный плагин для защиты WordPress-сайта. Среди возможностей расширения:

  • пассивная защита учетных записей администратора и пользователей;
  • обеспечение безопасного входа на сайт;
  • протекция баз данных и файловой системы;
  • .htaccess-файервол;
  • защита от brute-force атак (метода полного перебора паролей);
  • блокировка спамеров;
  • предотвращение несанкционированного копирования контента.

Интересно, что данный WordPress Firewall имеет три уровня («базовый», «переходный» и «продвинутый») — подобное разделение позволяет настроить активную защиту в несколько этапов и без нарушений функционирования сайта.

securi плагин защиты

WordFence Security

WordFence — это ещё один плагин класса WP Security, который распространяется по условно бесплатной лицензии — дополнительный VIP-функционал (спам-списки, расписание проверок) предоставляется за 8 долларов в месяц. После установки утилита начнёт автоматическое сканирование сайта на наличие вредоносного ПО, а также предложит пользователю:

  • активировать файервол;
  • запустить защиту от ботов и нарушающих правила сайта посетителей;
  • настроить параметры входа в админку (в том числе двухфакторную аутентификацию);
  • мониторинг трафика;
  • сканирование системы на наличие дыр безопасности.

Стоит отметить, что WordFence также работает с режимом Multisite.

Sucuri Security

Компания Sucuri занимается разработкой защитного программного обеспечения для сайтов, использующих совершенно любой движок, а не только WordPress. В случае с WP фирменный плагин имеет две версии: бесплатную с урезанным функционалом и платную с полным набором возможностей.

https://www.youtube.com/watch?v=aQcvoq0myB8

Стоимость расширенной модификации составляет почти 17 долларов в месяц и объясняется не только брендом разработчика, но и функционалом:

  • мониторинг целостности и расположения системных файлов;
  • проверка текущей безопасности сайта и запись любых потенциально опасных действий в SucuriCloud;
  • защита от DDoS-атак;
  • удалённое сканирование системы на наличие вирусов;
  • оказание помощи администратору после взлома сайта.

Использование бесплатной утилиты предполагает генерацию API-ключа, которая происходит автоматически после одобрения пользовательской заявки компанией.

Итог

Итак, защитить WordPress-сайт можно как с помощью соблюдения общих правил по безопасности, так и подключения сторонних плагинов. Описанные утилиты являются наиболее популярными, но не единственными средствами защиты.

Стоит сказать, что в большинстве случаев пользователю будет достаточно качественной настройки идентификационных алгоритмов и установки лишь бесплатного антивирусного софта.

Комментарии