WP Cerber — комплексная защита сайта на wordpress

Рассмотрим сегодня очень важную тему — защита сайта на wordpress. Вчера получил от своего хостинга письмо о том, что они в очередной раз защитили нас (своих клиентов) от волны атак, после чего предложили сменить пароли на бд и почту. Я конечно все это сделал, но за безопасность своих сайтов я всегда абсолютно спокоен. За свой немалый опыт работы с wordpress, я перепробовал множество вариантов защиты, как комплексных, так и индивидуальных, под каждую уязвимость.

Но со временем, всё меняется. WordPress выпускает новые версии своей CMS, появляются всё новые плагины, с ними приходят новые уязвимости. Те меры по комплексной защите сайта которые работали 3-4 года назад, сегодня на 50% неактуальны. Да и вообще, каждый новый сайт, для меня был новым квестом по установке и настройке мер по обеспечению безопасности. За всё время что я делаю сайты на заказ, еще ни разу не был взломан ни один из созданных мною сайтов. Всё это благодаря тому, что я следил за трендами как одной стороны (хакеров, взломщиков, переборщиков и т.д.), так и другой стороны (тех кто обеспечивает варианты защиты).

Всё это привело меня к одной мысли — сайтов на wordpress с каждым днем становится все больше и больше, соответственно атаки на них не только не прекратятся, но приобретут более массовый эффект. Таким образом я приступил к поиску «коробочного» варианта обеспечения защиты сайта на wordpress. Это приведет не только к быстрому обеспечению защиты, но и поможет поддерживать защиту сайта в актуальном состоянии, благодаря обновлению.

Перепробовал множество плагинов, среди них были как бесплатные, так и платные варианты. Из претендентов на конечное использование осталось 3 шт. (названий давать не буду). Один из них был очень хорош — но платный, второй не плох — но уже около года не обновлялся. О третьем мы сегодня поговорим подробнее…

Защита WordPress с помощью плагина — Cerber

Именно на этом плагине я остановился. Он бесплатный, постоянно обновляется и улучшается. В базовой комплектации плагина есть все необходимые инструменты для осуществления мер по обеспечению безопасности вашего сайта. Скачать его можно из официального репозитория плагинов

После установки плагина, в меню админки wordpress появится новый пункт «WP Cerber»

Теперь давайте подробно разберемся с каждой вкладкой плагина и рассмотрим базовые настройки защиты.

Кстати, если вас интересует плагин для чата на wordpress, советую quickchat о котором подробно написано на pro-wordpress.ru

Вкладка «Консоль»

В этой вкладке будет отображена последняя подозрительная активность на вашем сайте. Попытки войти с несуществующим логином, попытки подбора пароля и т.д.

Вкладка «Активность»

В этой вкладке вы сможете наблюдать за всей активностью вашего сайта. Отслеживать успешные входы и выходы, попытки подбора пароля, попытки войти с несуществующим логином. Так же виден статус «атакующего».

Вкладка «Блокировки»

В этой вкладке вы будете видеть список IP адресов или целых подсетей которые в данный момент заблокированы, а так же срок истечения блокировки

Вкладка «Главные настройки»

В этой вкладке, как вы уже поняли, находятся основные настройки плагина. Так как всё написано на русском языке, объяснять каждый пункт не буду. Сделаю акцент лишь на некоторых моментах:

• Ограничение числа попыток авторизации установите как у меня на скриншоте — 3 попытки в течении 60 минут, после чего происходит блокировка на 60 минут. После 2 блокировок в течении 12 часов — заблокировать на 24 часа. Это очень действенный метод борьбы с переборщиками паролей;
• Установите галку возле пункт «Всегда блокировать подсеть класса С вместо IP адреса«, это поможет блокировать не определенный адрес IP, а всю подсеть, которая под разными адресами пытается взломать ваш сайт;
• Обязательно установите галку возле пункта «Блокировать IP при попытке авторизации с логином несуществующего пользователя«. Таким образом, любая попытка входа или подбора пароля с несуществующим логином, будет тут же заблокирована;
• Установите галку напротив «Блокировать IP при любом запросе wp-login.php«, это вас обезопасит от «ручного» подбора паролей на странице авторизации;
• После того как вы заблокировали wp-login.php вам нужно указать новый адрес для перехода на страницу авторизации в админку. Для этого ниже в пункте «Адрес страницы авторизации» укажите новый адрес (например — authorization, или adminka). Никому, само собой, этот путь не говорим;
• Устанавливаем галку напротив «Доступ к wp-login.php«, этот тип защиты обезопасит от большинства скриптов автоматического подбора паролей;
• Режим «Цитадель» (полное закрытие доступа на сайт, при достижении определенного количества блокировок, в течении какого-то времени), настраивайте на свое усмотрение. У меня по умолчанию.

Не забываем сохранить настройки и переходим к следующей вкладке

Вкладка «Списки доступа»

В этой вкладке вы можете добавить IP адреса тех рабочих мест которые 100% проверены и должны иметь доступ даже при включении режима «Цитадель». Например ваш домашний и рабочий IP адреса. В черный список добавляются адреса, которые ни при каких обстоятельствах не смогут авторизироваться на вашем сайте (например IP адрес переборщика паролей, который очень активно пытается взломать ваш сайт).

Вкладка «Панцирь»

• Галка «Заблокировать сбор имен«, должна быть установлена обязательно. В противном случае очень легко вычислить логин администратора;
• «Отключить XML-RPC» на ваше усмотрение. Если не пользуетесь обратным оповещением, то лучше установить;
• «Отключить фиды» — если не пользуетесь RSS для рассылки своего контента, смело ставим галку;
• «Отключить REST API» — смело ставим галку.

Вкладка «Пользователи»

В этой вкладке можно указать имена пользователей, с которыми нельзя регистрироваться или входить на сайт. Если ваш логин отличается от admin смело добавляем сюда admin, ибо это имя в первую очередь участвует в подборе паролей.

Длительность сессии пользователя — думаю не нуждается в объяснениях. Если на вашем сайте есть другие пользователи, можно ограничить время пребывания на сайте, по истечении которого им снова нужно будет авторизоваться.

Вкладка «reCAPTCHA»

Та самая защита от «роботов», в которой нужно ставить галочку напротив надписи «Я не робот». Очень советую включить для всех форм на вашем сайте и настроить ключи. О правильной настройке можно прочитать по ссылке «Узнать больше», в этом же блоке.

Вкладка «Инструменты»

Настройки импорта и экспорта настроек плагина Cerber. Например для настройки плагина на другом вашем сайте

Как видите плагин имеет огромный функционал, благодаря которому вы не только обезопасите свой сайт от взлома но и всегда будете в курсе активных атак. И еще! Не забудьте после настройки своего сайта, сменить логин администратора с admin на любой другой, который будет известен только вам!

Выполнение основных правил защиты сайта на wordpress обезопасят вас от неприятных последствий и оставят больше времени для развития бизнеса. В противном случае, вы можете потерять не только время но и очень ценную информацию!