WordPress Website Firewall

Так как ни один веб-сайт не защищён от хакерских атак, обеспечение безопасности WordPress является одной из первостепенных задач администратора и владельца ресурса. Защита WP-портала может быть как пассивной, так и активной: первая заключается в соблюдении человеком универсальных правил протекции, а вторая — в установки самостоятельных файервол-плагинов.

Общие советы

Увеличить безопасность сайта на WordPress можно благодаря следующим системным настройкам движка:

• Скрытие файла .htaccess от посторонних пользователей. Так как .htaccess содержит в себе все защитные протоколы, файл должен быть изъят из публичного доступа. Спрятать документ можно благодаря фразе “deny from all”, вставленной после <Files wp-config.php>.
• Надстройка двухфакторной аутентификации. Двухфакторная защита — метод идентификации человека по двум атрибутам — например, по паролю и высылаемому по SMS дополнительному коду. Реализовать подобную защиту на WP можно с помощью Google Authenticator.
• Создание сложного пароля. Самостоятельно придумать уникальную и сложную комбинацию символов достаточно трудно, поэтому для генерации качественного пароля рекомендуется использовать сервисы вроде 1Password.
• Смена стандартного логина. Неуникальный “admin” угадывается с первого раза и позволяет злоумышленникам сосредоточиться лишь на подборе пароля,
• Лимитирование попыток авторизации. Блокировка пользователя, «завалившего» идентификацию энное количество раз, настраивается с помощью, например, функции LoginLockDown.
• Использования защитных ключей. Аутентификаторы и Salt-инструменты обеспечивают безопасность cookies и паролей при соединении компьютера с сервером.
• Обновление ПО. Каждое обновление WordPress содержит в себе не только улучшения ядра, но и новые защитные механизмы, поиск слабых мест которых займёт у злоумышленников дополнительное время.

Для повышения уровня безопасности WordPress также можно подключить сторонние плагины, о некоторых из которых будет рассказано далее.

All in One — WP Security Firewall

All in One представляет собой бесплатный плагин для защиты WordPress-сайта. Среди возможностей расширения:

• пассивная защита учетных записей администратора и пользователей;
• обеспечение безопасного входа на сайт;
• протекция баз данных и файловой системы;
• .htaccess-файервол;
• защита от brute-force атак (метода полного перебора паролей);
• блокировка спамеров;
• предотвращение несанкционированного копирования контента.

Интересно, что данный WordPress Firewall имеет три уровня («базовый», «переходный» и «продвинутый») — подобное разделение позволяет настроить активную защиту в несколько этапов и без нарушений функционирования сайта.

WordFence Security

WordFence — это ещё один плагин класса WP Security, который распространяется по условно бесплатной лицензии — дополнительный VIP-функционал (спам-списки, расписание проверок) предоставляется за 8 долларов в месяц. После установки утилита начнёт автоматическое сканирование сайта на наличие вредоносного ПО, а также предложит пользователю:

• активировать файервол;
• запустить защиту от ботов и нарушающих правила сайта посетителей;
• настроить параметры входа в админку (в том числе двухфакторную аутентификацию);
• мониторинг трафика;
• сканирование системы на наличие дыр безопасности.

Стоит отметить, что WordFence также работает с режимом Multisite.

Sucuri Security

Компания Sucuri занимается разработкой защитного программного обеспечения для сайтов, использующих совершенно любой движок, а не только WordPress. В случае с WP фирменный плагин имеет две версии: бесплатную с урезанным функционалом и платную с полным набором возможностей.

https://www.youtube.com/watch?v=aQcvoq0myB8

Стоимость расширенной модификации составляет почти 17 долларов в месяц и объясняется не только брендом разработчика, но и функционалом:

• мониторинг целостности и расположения системных файлов;
• проверка текущей безопасности сайта и запись любых потенциально опасных действий в SucuriCloud;
• защита от DDoS-атак;
• удалённое сканирование системы на наличие вирусов;
• оказание помощи администратору после взлома сайта.

Использование бесплатной утилиты предполагает генерацию API-ключа, которая происходит автоматически после одобрения пользовательской заявки компанией.

Итог

Итак, защитить WordPress-сайт можно как с помощью соблюдения общих правил по безопасности, так и подключения сторонних плагинов. Описанные утилиты являются наиболее популярными, но не единственными средствами защиты.

Стоит сказать, что в большинстве случаев пользователю будет достаточно качественной настройки идентификационных алгоритмов и установки лишь бесплатного антивирусного софта.