WP Cerber — комплексная защита сайта на wordpress

0

Рассмотрим сегодня очень важную тему — защита сайта на wordpress. Вчера получил от своего хостинга письмо о том, что они в очередной раз защитили нас (своих клиентов) от волны атак, после чего предложили сменить пароли на бд и почту. Я конечно все это сделал, но за безопасность своих сайтов я всегда абсолютно спокоен. За свой немалый опыт работы с wordpress, я перепробовал множество вариантов защиты, как комплексных, так и индивидуальных, под каждую уязвимость.

Защита сайта на WordPress

Но со временем, всё меняется. WordPress выпускает новые версии своей CMS, появляются всё новые плагины, с ними приходят новые уязвимости. Те меры по комплексной защите сайта которые работали 3-4 года назад, сегодня на 50% неактуальны. Да и вообще, каждый новый сайт, для меня был новым квестом по установке и настройке мер по обеспечению безопасности. За всё время что я делаю сайты на заказ, еще ни разу не был взломан ни один из созданных мною сайтов. Всё это благодаря тому, что я следил за трендами как одной стороны (хакеров, взломщиков, переборщиков и т.д.), так и другой стороны (тех кто обеспечивает варианты защиты).

Всё это привело меня к одной мысли — сайтов на wordpress с каждым днем становится все больше и больше, соответственно атаки на них не только не прекратятся, но приобретут более массовый эффект. Таким образом я приступил к поиску «коробочного» варианта обеспечения защиты сайта на wordpress. Это приведет не только к быстрому обеспечению защиты, но и поможет поддерживать защиту сайта в актуальном состоянии, благодаря обновлению.

Перепробовал множество плагинов, среди них были как бесплатные, так и платные варианты. Из претендентов на конечное использование осталось 3 шт. (названий давать не буду). Один из них был очень хорош — но платный, второй не плох — но уже около года не обновлялся. О третьем мы сегодня поговорим подробнее…

Защита WordPress с помощью плагина — Cerber

Именно на этом плагине я остановился. Он бесплатный, постоянно обновляется и улучшается. В базовой комплектации плагина есть все необходимые инструменты для осуществления мер по обеспечению безопасности вашего сайта. Скачать его можно из официального репозитория плагинов

cerber - защита wordpressПосле установки плагина, в меню админки wordpress появится новый пункт «WP Cerber»

cerber в меню админки сайта wordpressТеперь давайте подробно разберемся с каждой вкладкой плагина и рассмотрим базовые настройки защиты.

Кстати, если вас интересует плагин для чата на wordpress, советую quickchat о котором подробно написано на pro-wordpress.ru

Вкладка «Консоль»

консоль плагина cerber

В этой вкладке будет отображена последняя подозрительная активность на вашем сайте. Попытки войти с несуществующим логином, попытки подбора пароля и т.д.

Вкладка «Активность»

В этой вкладке вы сможете наблюдать за всей активностью вашего сайта. Отслеживать успешные входы и выходы, попытки подбора пароля, попытки войти с несуществующим логином. Так же виден статус «атакующего».

Вкладка «Блокировки»

заблокированные IPВ этой вкладке вы будете видеть список IP адресов или целых подсетей которые в данный момент заблокированы, а так же срок истечения блокировки

Вкладка «Главные настройки»

главные настройки плагина cerberВ этой вкладке, как вы уже поняли, находятся основные настройки плагина. Так как всё написано на русском языке, объяснять каждый пункт не буду. Сделаю акцент лишь на некоторых моментах:

  • Ограничение числа попыток авторизации установите как у меня на скриншоте — 3 попытки в течении 60 минут, после чего происходит блокировка на 60 минут. После 2 блокировок в течении 12 часов — заблокировать на 24 часа. Это очень действенный метод борьбы с переборщиками паролей;
  • Установите галку возле пункт «Всегда блокировать подсеть класса С вместо IP адреса«, это поможет блокировать не определенный адрес IP, а всю подсеть, которая под разными адресами пытается взломать ваш сайт;
  • Обязательно установите галку возле пункта «Блокировать IP при попытке авторизации с логином несуществующего пользователя«. Таким образом, любая попытка входа или подбора пароля с несуществующим логином, будет тут же заблокирована;
  • Установите галку напротив «Блокировать IP при любом запросе wp-login.php«, это вас обезопасит от «ручного» подбора паролей на странице авторизации;
  • После того как вы заблокировали wp-login.php вам нужно указать новый адрес для перехода на страницу авторизации в админку. Для этого ниже в пункте «Адрес страницы авторизации» укажите новый адрес (например — authorization, или adminka). Никому, само собой, этот путь не говорим;
  • Устанавливаем галку напротив «Доступ к wp-login.php«, этот тип защиты обезопасит от большинства скриптов автоматического подбора паролей;
  • Режим «Цитадель» (полное закрытие доступа на сайт, при достижении определенного количества блокировок, в течении какого-то времени), настраивайте на свое усмотрение. У меня по умолчанию.

Не забываем сохранить настройки и переходим к следующей вкладке

Вкладка «Списки доступа»

настраиваем список доступовВ этой вкладке вы можете добавить IP адреса тех рабочих мест которые 100% проверены и должны иметь доступ даже при включении режима «Цитадель». Например ваш домашний и рабочий IP адреса. В черный список добавляются адреса, которые ни при каких обстоятельствах не смогут авторизироваться на вашем сайте (например IP адрес переборщика паролей, который очень активно пытается взломать ваш сайт).

Вкладка «Панцирь»

  • Галка «Заблокировать сбор имен«, должна быть установлена обязательно. В противном случае очень легко вычислить логин администратора;
  • «Отключить XML-RPC» на ваше усмотрение. Если не пользуетесь обратным оповещением, то лучше установить;
  • «Отключить фиды» — если не пользуетесь RSS для рассылки своего контента, смело ставим галку;
  • «Отключить REST API» — смело ставим галку.

Вкладка «Пользователи»

настройка запрезенных имен пользователейВ этой вкладке можно указать имена пользователей, с которыми нельзя регистрироваться или входить на сайт. Если ваш логин отличается от admin смело добавляем сюда admin, ибо это имя в первую очередь участвует в подборе паролей.

Длительность сессии пользователя — думаю не нуждается в объяснениях. Если на вашем сайте есть другие пользователи, можно ограничить время пребывания на сайте, по истечении которого им снова нужно будет авторизоваться.

Вкладка «reCAPTCHA»

настройка гугловской рекапчиТа самая защита от «роботов», в которой нужно ставить галочку напротив надписи «Я не робот». Очень советую включить для всех форм на вашем сайте и настроить ключи. О правильной настройке можно прочитать по ссылке «Узнать больше», в этом же блоке.

Вкладка «Инструменты»

Настройки импорта и экспорта настроек плагина Cerber. Например для настройки плагина на другом вашем сайте

Как видите плагин имеет огромный функционал, благодаря которому вы не только обезопасите свой сайт от взлома но и всегда будете в курсе активных атак. И еще! Не забудьте после настройки своего сайта, сменить логин администратора с admin на любой другой, который будет известен только вам!

Выполнение основных правил защиты сайта на wordpress обезопасят вас от неприятных последствий и оставят больше времени для развития бизнеса. В противном случае, вы можете потерять не только время но и очень ценную информацию!

Рекомендую:


Комментарии:


Присоединяйся к нам