Главная страница » Wordfence Security настройка безопасности WordPress

Wordfence Security настройка безопасности WordPress

Плагин Wordfence Security

Плагин Wordfence один из самых популярных плагинов для защиты wordpress. На его число более миллиона установок, и более двух тысяч положительных отзывов.

Dobavit-plagin-Wordfence-wp-best-WordPress.png

Wordfence имеет ряд уникальных возможностей, которые отличают его от других плагинов безопасности. Одна из его интересных особенностей, сравнение файлов движка, тем и плагинов с оригинальными версиями из репозитория. Таким образом, если файлы изменились, вы получите уведомления.

Другие возможности Wordfence, на которые стоит взглянуть.

  • Web Application Firewall — определяет подозрительный трафик и блокирует известные атаки, поддерживает и обновляет базу угроз
  • Защита от Bruetforce атак — блокирует пользователей после большого количества неудачных попыток входа, за слишком частую попытку восстановить пароль, или, опционально, использующих неверное имя пользователя. Также предотвращает выдачу информации о зарегистрированных в системе пользователях.
  • Продвинутые возможности ручного блокирования — блокирует диапазоны IP адресов, конкретные веб-браузеры, ссылающиеся сайты или комбинации перечисленного
к содержанию ↑

Отличие премиум версии от бесплатной

В двух словах:

  • Защита от угроз в реальном времени — база угроз и правила файервола находятся в постоянно обновленном состоянии. В бесплатной версии они приходят где-то через месяц.
  • Блокирование по странам — блокирует географические регионы с большим количеством неудачных логинов, ошибок 404 и другой подозрительной активностью
  • Двухфакторная аутентификация с помощью мобильного телефона
  • Дополнительные настройки для защиты от спама, удаленное сканирование, аудит паролей…

Бесплатная версия является самодостаточной для большинства блогеров и владельцев небольших сайтов.

к содержанию ↑

Wordfence Security настройка безопасности WordPress

Сразу после установки плагина и его активации, вы увидите всплывающее окошко, где вам будет предложено ввести ваш емайл для получения уведомлений безопасности от плагина, а также текущих новостей от разработчиков. Там же есть кнопка «Начать знакомство» (Start Tour)

Start-Tour-wordfence-security-wp-best-WordPress.png

Замечание: Очень рекомендую вам вписать ваш емайл в это окошко. Потому что иначе, вскоре после установки, вы забудете про этот плагин, и не будете знать, работает ли он вообще. Уведомления на вашу почту дают вам своевременный контроль над происходящим.

Далее, если вы нажали Тур, плагин выдаст вам несколько сообщений о назначении плагина, и предложит выполнить первоначальный скан, после чего сканирование будет проводиться ежедневно раз в сутки. Распорядок (Scan Schedule) можно менять в премиум версии.

Scan-wordfence-wp-best-WordPress.png

Скан занимает примерно 5-10 минут. В моем случае он вернул единственное предупреждение, связанное с обновлением плагина.

Хочу обратить ваше внимание, сканирование файлов тем и плагинов по умолчанию отключено. Рекомендую вам включить эти опции.

Options-wordfence-security-wp-best-WordPress.png

к содержанию ↑

Как использовать Wordfence Security

Live Traffic.

Сразу после установки вкладки будут пусты.

Live-Traffic-wordfence-security-wp-best-WordPress.png

Но со временем записи будут добавляться. Начните просматривать вкладку ‘/All Hits’/, на ней вы можете например увидеть, что один IP адрес генерирует много трафика, если он вам кажется подозрительным, вы можете его заблокировать. Возможно, кто-то пытается проводить DoS атаку, или просто пробует ваш сайт на уязвимости.

Если вы не можете четко определить шаблон атаки, загляните на вкладку ‘Top 404s‘, которая покажет вам IP адреса, генерирующие массовое количество запросов на несуществующие страницы.

Посмотрите вкладку ‘Logins and Logouts‘, на ней вы можете увидеть неудавшиеся попытки входа. Ну и вкладка ‘Top Consumers‘ покажет вам какие IP адреса больше всего обращаются к вашему контенту.

к содержанию ↑

Wordfence Perfomance Setup.

Здесь мы ничего не трогаем. Помните, что мы пользуемся другими плагинами кэширования, — в частности, я обычно рекомендую установить и настроить плагин кэширования W3 Total Cache.

Blocked IPs

На этой странице вы можете увидеть заблокированные адреса по конкретным причинам, — нарушение правил входа, которые заданы в настройках, или частое обращение к несуществующим файлам.

Password Audit, Cellphone Sign-in, Country Blocking, Scan Schedule

Доступны в Премиум версии, поэтому не рассматриваю.

Advanced Blocking

Здесь вы можете заблокировать диапазоны IP-адресов, юзер-агенты (браузеры), источники трафика и их комбинации, то есть эта страница дает вам больше контроля, чем Blocked IPs, если это вам действительно необходимо.

Options

Страница настроек дает вам дополнительные опции.

По умолчанию, она пригодна для использования, и нет необходимости в ней что-то менять. Возможно, вы захотите включить сканировать файлы тем и плагинов о чем я писал выше.

Убедитесь также, что вы указали ваш емайл адрес для получения уведомлений безопасности.

Некоторые настройки вы можете захотеть дополнительно тестировать и корректировать в зависимости от вашей конкретной ситуации, например, вы можете понизить количество неудачных попыток входа (‘Lock out after how many login failures’), если ваш сайт подвергается повышенным попыткам взлома. Но базовые настройки подходят для большинства сайтов.

к содержанию ↑

Чем отличается плагин Wordfence Security от iThemes Security

Плагин iThemes Security в большей степени является конфигуратором настроек безопасности wordpress. Вот почему я рекомендую иметь его в первую очередь. Я написал статью с подробной настройкой плагина iThemes Security. Также, читайте страницу, полностью посвященную защите WordPress сайта.

Не оставляйте безопасность вашего сайта на удачу.