Защита сайтов на WordPress — очень важная и щепетильная тема. По умолчанию на движке не предусмотрено каких-либо серьезных средств противодействия внешним угрозам, поэтому проблема безопасности решается при помощи специальных плагинов.
Сейчас мы рассмотрим самый популярный и универсальный инструмент для защиты сайта на WordPress, а именно Wordfence Security (более 4 млн активных установок).
В этом материале мы подробно разберем функционал плагина и его настройки, рассмотрим тарифные планы и в конце выясним, стоит ли использовать Wordfence на своих сайтах в нынешних реалиях. Поехали!
Установка
Для начала качаем и устанавливаем плагин прямо из админки WordPress, затем переходим к настройкам.
Жмем «Продолжить установку» и переходим на официальный сайт плагина:
Первый этап установки
Из перечисленных тарифов выбираем бесплатную версию — Free.
Выбор бесплатного тарифа
Здесь нам снова предлагают купить PRO-версию, поэтому жмем «I’m OK waiting 30 days for protection from new threads».
Выбор бесплатного тарифа (подтверждение)
Далее вводим адрес электронной почты, подтверждаем или отклоняем email-рассылку, соглашаемся с политикой конфиденциальности и жмем Register.
Вводим email-адрес
Заходим на почту, копируем лицензионный ключ из письма. Затем открываем меню плагина и в верхнем правом углу находим кнопку «ПРОДОЛЖИТЬ РЕГИСТРАЦИЮ». В новом всплывающем окне выбираем «Install an existing license»
Снова вводим адрес почты, ключ из письма, соглашаемся с правилами и устанавливаем лицензию.
Лицензионный ключ
Отлично, с установкой мы справились! Теперь перейдем непосредственно к обзору плагина.
Функционал
Для начала давайте выясним, каким типам внешних угроз чаще всего подвержены WordPress-сайты:
Спам: открытые комментарии на страницах WP-сайтов рано или поздно привлекут спам-ботов, которые оставляют после себя множество вредоносных ссылок.
Брут: попытки взлома доступа к сайту посредством подбора паролей, с которым сталкиваются все сайты на WordPress.
DDoS: большое количество внешних запросов создает искусственную нагрузку на сервер, вследствие чего сайт может упасть.
Инъекции SQL и XXS — фрагменты вредоносного кода позволяют получить доступ к базам данных, что приводит к непредсказуемым и печальным последствиям для сайта.
Теперь вкратце выделим три основных инструмента Wordfence и выясним, от каких типов угроз они защищают.
Firewall (или брандмауэр) — главный инструмент, позволяющий защитить сайт от большинства угроз, которые несет входящий трафик. Благодаря базе данных вредоносных IP-адресов также блокируются и спам-боты, которые загрязняют комментарии.
Сканер регулярно проверяет сайт на наличие уже существующих угроз, критических ошибок и неисправностей. Своевременно предупреждает о проблемах и устраняет их.
Двухфакторная аутентификация защищает сайт от множественных попыток несанкционированного доступа.
Теперь перейдем непосредственно к функционалу.
Первое, что мы видим после завершения установки, — это консоль. По сути, это информативное меню быстрого доступа и состоит оно из следующих элементов:
файрвол;
сканирование;
панель уведомлений;
панель быстрого доступа к инструментам и параметрам;
сводка по работе файрвола;
график по заблокированным атакам (глобальный).
Раздел меню «Файрвол»
Стоит отметить, что интерфейс плагина немного запутан и для упрощения навигации мы будем рассматривать функционал по порядку, исходя из основного меню в админке WordPress:
Меню плагина
Файрвол
Для чего вообще нужен файрвол на сайте? Если вкратце — для блокировки вредоносного трафика до того, как он нанесет какой-либо ущерб сайту.
Здесь есть три основных параметра: «Статус файрвола веб-приложений», «Уровень защиты», «Черный список IP-адресов в реальном времени» + меню дополнительных настроек.
Параметры файрвола
Статус файрвола веб-приложений (два режима работы):
Обучение: собирает актуальную информацию о трафике и сайте в целом, затем начинает работу. Рекомендуемый срок обучения — 7 дней (можно изменить по собственному усмотрению).
Включено и защищено: блокировка внешних атак по популярным шаблонам.
Уровень защиты: дополнительная защита при помощи PHP-параметра auto_prepend_file. Благодаря этому параметру брандмауэр получает приоритет в загрузке перед любыми другими файлами, которые могут быть потенциально уязвимы.
Черный список IP-адресов в реальном времени: файрвол использует постоянно обновляющуюся базу данных вредоносных IP-адресов. Обновление БД в реальном времени — только в платных тарифах, в бесплатном тарифе — обновление с задержкой в 30 дней.
Теперь перейдем к дополнительным настройкам.
Расширенные параметры файрвола: здесь можно настроить ACL-правила, black-листы и white-листы IP-адресов, запрет на посещение для конкретных URL и некоторые другие параметры.
Защита от брутфорса: детальные настройки защиты от взлома методом подбора паролей.
Ограничение скорости: устанавливает лимит на количество посещаемых страниц сайта в минуту для поисковых роботов, AI-ботов и других скан-ботов.
Список разрешенных URL: здесь можно составить white-list URL-адресов.
Блокировка
Раздел меню «Блокировка»
В этом разделе можно не только создавать black-листы IP-адресов, но и блокировать входящий трафик по ряду различных параметров (имя хоста, браузер и источник трафика). Платная версия Wordfence активирует функцию блокировки по конкретным странам.
Сканирование
Раздел меню «Сканирование»
Этот инструмент сканирует файлы сайта, плагины и темы на наличие угроз и неполадок. Также выдает важные рекомендации об обновлениях, информацию о производительности и ошибках на сайте. Процесс сканирования запускается автоматически согласно расписанию Wordfence либо по настроенному вручную расписанию (только в платной версии).
Предлагает четыре варианта сканирования:
ограниченное,
стандартное,
высокочувствительное,
выборочная проверка.
За исключением четвертого варианта первые три напрямую зависят от параметров сервера и непосредственно влияют на его производительность. Поэтому при выборе типа сканирования нужно быть очень внимательным.
Также здесь есть ряд дополнительных настроек:
Общие параметры: позволяет составить отдельный список сканируемых файлов, элементов и процессов на сайте.
Параметры производительности: здесь можно ограничить лимит запрашиваемой памяти сервера и времени для сканирования.
Расширенные параметры сканирования: позволяет отключить сканирование файлов с конкретным разрешением для экономии ресурсов (например, файлы изображений: .jpg, .png и другие). Также можно составить белый список файлов, которые будут исключены из проверки. Помимо этого, опытные пользователи, знакомые с сигнатурами вредоносного ПО, могут добавлять скан-подписи в виде регулярных выражений.
Инструменты
Это раздел с дополнительными полезными инструментами для отслеживания входящего трафика, настройки и диагностики системы.
Трафик в реальном времени: постоянно обновляющийся список хостов на сайте. Это могут быть не только обычные посетители, но и различные спам-боты, поисковые роботы и т. д.
Подраздел меню «Трафик в реальном времени»
В конкретном примере все хосты из списка — это боты-взломщики, целью которых является страница входа в админку (wp-login.php или wp-admin.php).
Также можно посмотреть более развернутую информацию о хосте и его действиях.
Подробная информация о хосте
В меню «Параметры трафика в реальном времени» можно создать white-list хостов, а также настроить параметры журнала и хранения данных.
Поиск протокола WHOIS: встроенный сервис Whois для получения информации о владельцах IP-адресов.
Параметры импорта/экспорта: позволяет производить трансфер настроек Wordfence с других, принадлежащих вам сайтов.
Диагностика: полная информация о работе системы, программном обеспечении, неисправностях и т. д.
Безопасность входа
В этом меню мы можем настроить двухфакторную аутентификацию через приложение Google Authenticator как для админа, так и для других участников сайта (авторов, редакторов и т. д.). Функция крайне важная — пресекает попытки несанкционированного доступа к сайту, защищая его от взлома.
Также как дополнительный барьер здесь можно подключить сервис Google reCAPTCHA.
Все параметры
Полный структурированный список всех настроек из предыдущих разделов.
Тарифы
Wordfence предлагает своим пользователям три платных тарифа:
Premium
Стоимость: $119/год.
Включает в себя:
автоматические правила брандмауэра с актуальной базой данных вредоносных динамических IP-адресов (база данных в бесплатной версии — с 30-дневной задержкой обновлений);
сигнатуры вредоносного ПО;
блокировка по странам;
нет ограничений на сканирование;
техподдержка по тикет-системе.
Care
Стоимость: $490/год.
Включает в себя:
все возможности тарифа Premium;
помощь в установке, настройке и оптимизации;
техподдержка по тикет-системе (приоритетная);
ежегодный аудит сайта (плюс очистка от вредоносного ПО).
Response
Стоимость: $950/год.
Включает в себя:
все возможности тарифа «Care»;
ежегодный аудит сайта (плюс один аудит в год по запросу);
персональный саппорт;
круглосуточное решение критических проблем.
Итог
Wordfence Security — это комплексный инструмент для защиты сайта от всех основных видов внешних угроз, которым подвержены сайты на WordPress. В бесплатном тарифе есть все что нужно среднестатистическому владельцу сайта, и это, несомненно, главный плюс плагина.
Основной недостаток — заметная нагрузка на сервер. Но это проблема не конкретно плагина Wordfence. Любой файрвол довольно ресурсозатратный.
Как мы уже говорили ранее, в бесплатной версии база данных вредоносных IP-адресов имеет 30-дневную задержку обновлений. И если вы переживаете, что это может привести к проблемам со спамом в комментариях, можно воспользоваться сторонними плагинами, например Akismet Antispam. Проблем с совместимостью в данном случае не возникнет.
В целом Wordfence — это лучшее решение в своем роде, и его однозначно можно советовать как новичкам, так и опытным владельцам WordPress-проектов. Выбор, как всегда, за вами.
Берегите свои сайты! Удачи!