Плагин безопасности Wordfence выпустил новую версию


Содержание материала:

7 Лучших плагинов защиты Вордпресс

Каждый третий сайт в интернете работает на Вордпрессе, и их количество постоянно растет.

Эта популярность объясняется тем, что Вордпресс — очень хорошая система управления контентом. Но по умолчанию в ней нет никакой защиты от взлома.

Около 80% атак на CMS приходится на Вордпресс. Хакеры считают, что если получить контроль над одним сайтом, то таким же образом можно получить контроль над большим количеством сайтов. Сейчас на Вордпрессе работает около 80 млн. сайтов.

Хакеры используют ботов, которые обходят Вордпресс сайты с готовыми алгоритмами взлома. Если у вас нет защиты от хакеров, то это лишь вопрос времени, когда такой бот придет на ваш сайт и взломает его по списку известных уязвимостей.

Безопасность сайта — важная основа любого сайта. В этой статье обзор 7 лучших плагинов защиты Вордпресс. Выберите один из плагинов и установите на сайт.

Что такое Файрвол

Файрвол / Брандмауэр (WAF — web application firewall) работает как фильтр между сайтом и входящим трафиком. Файрвол наблюдает за трафиком и блокирует вредоносный код до того, как он попадет на сайт.

Существует два типа файрволов:

Файрвол на уровне DNS проводит весь трафик сайта через свой сервер. Плохой трафик фильтруется, хороший трафик проходит на сайт.

Файрвол на уровне приложения проверяет входящий трафик на вашем сервере, но до загрузки большинства скриптов Вордпресс. Такой метод более ресурсозатратен, потому что нагрузка на обработку трафика ложится на ваш сервер.

Лучше использовать брандмауэр на уровне DNS, потому что отдельный специально настроенный сервер занимается фильтрацией трафика.

1. Sucuri

Current Version: 1.8.21

Last Updated: 09.05.2020

Sucuri Security — компания лидер по обеспечению безопасности Вордпресс сайтов. Сервис предлагает файрвол на уровне DNS, защиту от атак и внедрений вредоносного кода и удаление сайта из черных списков.

Весь трафик, идущий на сайт, проходит через их облачные прокси сервера, где проверяется каждый запрос к сайту. Безопасные запросы проходят к сайту, вредоносные запросы блокируются на их сервере.

Сукури увеличивает производительность сайта, уменьшая нагрузку на сервер. Плагин оптимизирует содержимое страниц и кеширует их на собственный CDN Anycast. Защищает сайт от SQL-инъекций, XSS атак, RCE, RFU, троянов, бэкдоров и всех других известных угроз.

Чтобы настроить Сукури надо добавить DNS A-записи на своем домене и направить их на облачный прокси сервер Сукури вместо своего сайта.

Цена: Начинается со 199,99$ / год.

Оценка: Лучший сервис / плагин, 5 из 5.

2. Cloudflare

Author(s): John Wineman, Furkan Yilmaz, Junade Ali (Cloudflare Team)

Current Version: 3.4.1

Last Updated: 30.08.2020

Cloudflare хорошо известен своим бесплатным CDN сервисом, который также включает базовую защиту от DDoS атак. Но их бесплатный тариф не включает файрвол. Чтобы подключить WAF, нужно купить Pro подписку.

Базовую защиту от атак обеспечивает файрвол на уровне DNS, который проверяет весь трафик на своих серверах. Это увеличивает защиту и производительность сайта.

Оптимизация и кеширование страниц на CDN ускоряет загрузку сайта. Распределенная сеть уменьшает вероятность отказа сервера на пиках нагрузки.

Тариф Pro включает защиту от DDoS атак третьего уровня и стоит 20$ в месяц. Для защиты от более продвинутых атак уровня 5 или 7 нужно оплатить подписку на тариф Business.

Недостатки Cloudflare в том, что у него нет сканирования сайта, удаления сайта из черных списков, нет наблюдения за изменением файлов на сайте и оповещения о таких изменениях, нет некоторых других стандартных методик защиты сайта.

Цена: Начинается с 20$ / месяц.

Оценка: Очень хорошо, 4,7 из 5.

3. SiteLock

Current Version: 4.0.5

Last Updated: 20.04.2020

SiteLock еще одна компания, которая предлагает DNS файрвол для защиты сайта от атак, сканирование сайта на вредоносный код и удаление вредоносного кода с сайта.

Для защиты и ускорения загрузки сайта SiteLock предлагает DNS файрвол и свою сеть CDN. Сервис предлагает ежедневное сканирование сайта, наблюдение за изменениями в файлах, оповещение о событиях и удаление вредоносного кода.

Все тарифы включают базовую защиту от DDoS атак, более продвинутая защита от DDoS атак доступна в качестве аддона. На сайте вы можете разместить фирменный банер, на котором написано, что сайт защищен SiteLock.

Цена: Начинается с 20$ / месяц за тариф Pro, и 200$ / месяц за тариф Business.

Оценка: Хорошо, 4,5 из 5.

4. Wordfence Security

Current Version: 7.4.1

Last Updated: 06.11.2020

Wordfence — популярный плагин безопасности Вордпресс со встроенным файрволом, который наблюдает за появлением на сайте вредоносного кода, наблюдает за изменениями в файлах, SQL-инъекциями, защищает сайт от DDoS, брут-форс и других видов атак.

Wordfence — файрвол уровня сайта, то есть вредоносный трафик блокируется когда он приходит на сервер, но до загрузки сайта.

Это не самый эффективный способ борьбы с атаками на сайт, потому что большое количество вредоносных запросов нагружает сервер. Также у Wordfence нет сети CDN.

У плагина есть проверка сайта по запросу и по расписанию, возможность вручную контролировать трафик и блокировать подозрительные IP прямо в панели Вордпресс.

В бесплатной версии файрвол обновляется через 30 дней после занесения угрозы в базу плагина. Для включения онлайн обновлений нужно оформить Премиум подписку.

Цена: Премиум версия начинается с 99$ / год за лицензию на 1 сайт. Хорошие скидки на лицензии для нескольких сайтов.

Оценка: Хорошо, 4,4 из 5.

5. Security Ninja

Current Version: 5.69

Last Updated: 06.11.2020

Очень хороший плагин безопасности, который подключается к базе вредоносных IP. В базе находится более 620 млн. вредоносных адресов.

У плагина много настроек для защиты сайта от разных видов атак, включая брут-форс атаки, атаки на базу данных, на устаревшие версии ПО и так далее.

Есть 2 сканера по расписанию: сравнение файлов ядра с файлами в репозитарии Вордпресс и сканирование файлов на вредоносный код. Также есть логи событий, оповещение на е-мейл и оптимизация базы данных.

Файрвол работает на уровне сайта, поэтому использует ресурсы сервера, на котором установлен сайт. Нет подключения к CDN.

Цена: Премиум версия начинается с 39$ / год за лицензию на 1 сайт. Лицензия на 1 сайт с лайф-тайм обновлениями стоит 89$.

Оценка: Хорошо, 4,3 из 5.

6. All in One WP Security & Firewall

Current Version: 4.4.2

Last Updated: 24.10.2020

Большой бесплатный плагин со множеством настроек, имеет встроенный файрвол на уровне сайта, защищает файлы сайта и базу данных.

Проверяет файлы и базу данных, и сообщает, если были какие-то изменения, меняет стандартную страницу авторизации, скрывает версию Вордпресс, меняет префикс базы данных и еще десятки других функций. Ко всем функциям есть описания.

Плагин скорее предназначен для предупреждения заражений, чем для лечения, поэтому его лучше устанавливать на свежий сайт. На мой взгляд, лучший бесплатный плагин.

В платной версии добавляется сканер сайта на наличие вредоносного ПО, проверка на нахождение сайта в черных списках поисковиков, сообщения на е-мейл о событиях сайта, ап-тайм сайта, очистка от заражений и удаление из черных списков.

Цена: Премиум версия начинается с 49,95$ / год за лицензию на 1 сайт.

Оценка: Бесплатная версия Хорошо, 4,2 из 5.

7. BulletProof Security

Current Version: 3.7

Last Updated: 25.09.2020

Еще один популярный плагин безопасности для Вордпресс, у которого есть файрвол на уровне сайта, защита страницы авторизации, бэкап базы данных, режим техобслуживания сайта и некоторые настройки для увеличения безопасности сайта.

У плагина несколько сложный интерфейс, но в нем есть Мастер установки, который помогает настроить плагин и включает файрвол.

В бесплатной версии плагина нет сканера файлов на заражение вредоносным кодом, в платной версии добавляется функция отслеживания вторжений и вредоносных файлов в папке . /uploads/ .

Цена: Бесплатная базовая версия плагина. Про версия стоит 59,95$ на неограниченное количество сайтов и life-time обновления.

Оценка: Хорошо, 3,8 из 5.

Заключение

Чем лучшую защиту предлагает сервис или плагин, тем дороже он стоит. Самую лучшую защиту и самый лучший сервис предлагает Sucuri: комплексная защита сайта, обработка всех входящих запросов на сервере Сукури, сеть CDN и гарантия бесплатного лечения сайта в случае, если сайт взломают.

Cloudflare больше специализируется на ускорении сайта, но предлагает хороший уровень защиты, который можно усилить каким-нибудь плагином.

Wordfence предлагает очень хорошую защиту, но из минусов — годовая подписка и файрвол на уровне сайта, который будет нагружать сервер.

Очень хороший бесплатный плагин All in One WordPress Security, но в нем нет сканера сайта, нет расписания и оповещений на емейл. Все это находится в платной версии.

У плагина Security Ninja есть 2 сканера c расписанием сканирования, оповещение на емейл, подключение к динамической базе вредоносных IP и много других пассивных настроек.

К этим настройкам можно добавить несколько настроек вручную и усилить плагин до уровня защиты платной версии Wordfence.

После того, как вы выбрали плагин защиты, настройте бэкап сайта.

Читайте также:

Надеюсь, статья была полезна. Оставляйте комментарии.

Wordfence Security настройка безопасности WordPress

Плагин Wordfence Security

Плагин Wordfence один из самых популярных плагинов для защиты wordpress. У него более миллиона установок, и более двух тысяч положительных отзывов.

Wordfence имеет ряд уникальных возможностей, которые отличают его от других плагинов безопасности. Одна из его интересных особенностей, сравнение файлов движка, тем и плагинов с оригинальными версиями из репозитория. Таким образом, если файлы изменились, вы получите уведомления.

Другие возможности Wordfence, на которые стоит взглянуть.

  • Web Application Firewall — определяет подозрительный трафик и блокирует известные атаки, поддерживает и обновляет базу угроз
  • Защита от Bruetforce атак — блокирует пользователей после большого количества неудачных попыток входа, за слишком частую попытку восстановить пароль, или, опционально, использующих неверное имя пользователя. Также предотвращает выдачу информации о зарегистрированных в системе пользователях.
  • Продвинутые возможности ручного блокирования — блокирует диапазоны IP адресов, конкретные веб-браузеры, ссылающиеся сайты или комбинации перечисленного

Отличие премиум версии от бесплатной

  • Защита от угроз в реальном времени — база угроз и правила файервола находятся в постоянно обновленном состоянии. В бесплатной версии они приходят где-то через месяц.
  • Блокирование по странам — блокирует географические регионы с большим количеством неудачных логинов, ошибок 404 и другой подозрительной активностью
  • Двухфакторная аутентификация с помощью мобильного телефона
  • Дополнительные настройки для защиты от спама, удаленное сканирование, аудит паролей…

Бесплатная версия является самодостаточной для большинства блогеров и владельцев небольших сайтов.

Wordfence Security настройка безопасности WordPress

Сразу после установки плагина и его активации, вы увидите всплывающее окошко, где вам будет предложено ввести ваш емейл для получения уведомлений безопасности от плагина, а также текущих новостей от разработчиков. Там же есть кнопка «Начать знакомство» (Start Tour)

Замечание: Очень рекомендую вам вписать ваш емейл в это окошко. Потому что иначе, вскоре после установки, вы забудете про этот плагин, и не будете знать, работает ли он вообще. Уведомления на вашу почту дают вам своевременный контроль над происходящим.

Далее, если вы нажали Тур, плагин выдаст вам несколько сообщений о назначении плагина, и предложит выполнить первоначальный скан, после чего сканирование будет проводиться ежедневно раз в сутки. Распорядок (Scan Schedule) можно менять в премиум версии.

Скан занимает примерно 5-10 минут. В моем случае он вернул единственное предупреждение, связанное с обновлением плагина.

Хочу обратить ваше внимание, сканирование файлов тем и плагинов по умолчанию отключено. Рекомендую вам включить эти опции.

Как использовать Wordfence Security

Live Traffic.

Сразу после установки вкладки будут пусты.

Но со временем записи будут добавляться. Начните просматривать вкладку All Hits, на ней вы можете например увидеть, что один IP адрес генерирует много трафика, если он вам кажется подозрительным, вы можете его заблокировать. Возможно, кто-то пытается проводить DoS атаку, или просто пробует ваш сайт на уязвимости.

Если вы не можете четко определить шаблон атаки, загляните на вкладку Top 404s, которая покажет вам IP адреса, генерирующие массовое количество запросов на несуществующие страницы.

Посмотрите вкладку Logins and Logouts, на ней вы можете увидеть неудавшиеся попытки входа. Ну и вкладка Top Consumers покажет вам какие IP адреса чаще всего обращаются к вашему контенту.

Wordfence Perfomance Setup

Здесь мы ничего не трогаем.

Blocked IPs

На этой странице вы можете увидеть заблокированные адреса по конкретным причинам, — нарушение правил входа, которые заданы в настройках, или частое обращение к несуществующим файлам.

Password Audit, Cellphone Sign-in, Country Blocking, Scan Schedule

Доступны в Премиум версии.

Advanced Blocking

Здесь вы можете заблокировать диапазоны IP-адресов, юзер-агенты (браузеры), источники трафика и их комбинации, то есть эта страница дает вам больше контроля, чем Blocked IPs, если это вам действительно необходимо.

Options

Страница настроек дает вам дополнительные опции.

По умолчанию, она пригодна для использования, и нет необходимости в ней что-то менять. Возможно, вы захотите включить сканировать файлы тем и плагинов о чем я писал выше.

Убедитесь также, что вы указали ваш емейл для получения уведомлений безопасности.

Некоторые настройки вы можете захотеть дополнительно тестировать и корректировать в зависимости от вашей конкретной ситуации, например, вы можете снизить количество неудачных попыток входа (‘Lock out after how many login failures’), если ваш сайт подвергается повышенным попыткам взлома. Но базовые настройки подходят для большинства сайтов.

Не полагайтесь на удачу в отношении безопасности вашего сайта.

Защита сайта WordPress при помощи Wordfence Security

Приветствую вас на сайте Impuls-Web!

В данной статье я расскажу вам про один, очень полезный WordPress плагин, который поможет значительно повысить уровень защиты вашего сайта от заражения вирусами.

В прошлой статье я показывала несколько онлайн-сервисов, которые позволяют проверить ваш сайт на вирусы:

Если, вдруг, вы обнаружите, что ваш сайт заражен, то при помощи данного плагина вы можете быстрее выявить зараженные файлы, выполнить их восстановление и избежать подобных заражений в будущем.

Навигация по статье:

Данный плагин называется Wordfence Security, и помимо защиты от вирусов он имеет в себе множество других полезных функций, связанных с обеспечением безопасности вашего сайта.

Установка и основные особенности плагина Wordfence Security

Установить этот плагин можно из репозитория WordPress. Для этого копируем его название, переходим в административную часть сайта в раздел «Плагины» = > «Добавить новый». Вставляем название плагина в поисковую строку, находим его, а затем устанавливаем и активируем.

Сразу же после установки плагин предложит ввести свой E-mail для уведомлений. Это очень важный шаг, который необходимо сделать сразу же!

После ввода e-mail вас перенаправят на страничку, на которой написано, что вам необходимо подтвердить свою почту. Проверяем свой почтовый ящик, и переходим по ссылке, указанной в письме, для подтверждения подписки.

Далее, мы получаем сообщение о том, что подписка успешно оформлена и здесь же, на этой странице предлагается приобрести премиум-версию плагина. Для начала вам вполне хватит и функционала бесплатной версии.

Теперь, если плагин обнаружит какие-то проблемы на вашем сайте, то на указанный почтовый ящик будут приходить соответствующие уведомления. Поэтому, не забывайте периодически проверять почту, и читать сообщения, которые приходят от Wordfence Security.

Минус этого плагина заключается в том, что он полностью на английском языке, и все уведомления и настройки у него так же будут на английском. Поэтому, если вы не очень хорошо понимаете английский язык, то для перевода отдельных настроек и уведомлений вам придется использовать онлайн-переводчик от Яндекс или Google.

Основное его преимущество и отличие от других аналогичных плагинов заключается в том, что он сравнивает файлы вашего сайта с файлами движка, установленных тем и плагинов из репозитория WordPress. И если вдруг, какой-то из файлов был модифицирован вами, или без вашего ведома, то он выдаст предупреждение, и вы сможете просмотреть этот файл, и выяснить, был ли он заражен вирусом или это вы вносили в него изменения.

На сегодняшний день это, пожалуй, один из наиболее эффективных алгоритмов по выявлению зараженных файлов для CMS WordPress.

Сканирование сайта при помощи Wordfence Security

Для того, что бы начать сканирование вашего сайта переходим в раздел «Scan» в боковом меню WordPress. Здесь мы, прежде всего, переходим на вкладку «Options» и проставляем все, показанные на скриншоте, галочки:


Далее, нажимаем на кнопку «Save options», в самом низу, и переходим на вкладку «Scan».

После чего нажимаем здесь на кнопку «Start a Wordfence Scan».

Такое сканирование обычно занимает продолжительное время. В моём случае сканирование длилось оно около часу.

Анализ результатов сканирования

После завершения сканирования вы получаете отчет о просканированных файлах и на этой странице особое внимание нужно обратить на раздел с предупреждениями.

Здесь отображаются файлы, которые отличаются от тех файлов, которые находятся в репозитории.

Давайте разберём алгоритм наших дальнейших действий на примере файла wp-config-sample.php.
Вы можете открыть этот файл и в ручную просмотреть его код, чтобы убедиться, что он не заражен вирусом или же восстановить его оригинальную версию. Здесь есть такая ссылка «Restore the original version of this file». Если мы ее нажмем, то плагин автоматически восстановит оригинальную версию файла из репозитория WordPress.

Удобно, не правда ли? Вам даже не нужно искать, загружать и заменять нужные файлы, плагин сделает всё за вас!

То же самое касается остальных предупреждений. Здесь вам необходимо внимательно смотреть на пути к файлам. Если вы самостоятельно не вносили изменения в определенные файлы, то вам необходимо эти файлы либо просмотреть, либо заменить их на оригинальные, потому как они могут быть зараженными.

Так же, благодаря ссылке «See how this file has chenged» вы можете открыть определенный файл и увидеть, какие именно изменения и отличия от версии файла, находящегося в репозитории, зафиксировал данный плагин.

Конкретно в данном случае мы можем видать ряд стилей, которые были описаны в данном css-файле и ни какой угрозы они из себя не представляют.

Аналогично вы можете просмотреть любой другой файл.

Так же, вы можете здесь выбрать, чтобы данный плагин игнорировал определенные файлы. К примеру, для файла стилей темы вы можете нажать на ссылку «Always ignore this file».

Если вы просмотрели данный файл и убедились, что с ним все в порядке, вы можете нажать на ссылку «I have fixed this issue», что бы данное предупреждение у вас ушло.

Дополнительные возможности плагина

Помимо сканирования сайта данный плагин может:

  • осуществлять анализ и блокировку подозрительного трафика;
  • задавать ограничения для поиска несуществующих страниц;
  • блокировать доступ к сайту для отдельный IP адресов и даже целых стран;
  • ограничивать количество попыток для ввода пароля и авторизации;
  • блокировать подозрительный ботов;
  • выполнять подтверждение входа на сайт при помощи мобильного телефона и ещё некоторые интересные функции.

Более подробно обо всех этих настройках я расскажу в следующей статье. Подписывайтесь на мою рассылку, чтобы не пропустить ничего интересного.

Видеоинструкция

На этом у меня все. Я надеюсь, что данная статья будет для вас полезным. Если вам понравилась эта статья, не забудьте написать комментарий и политься статьей в социальных сетях.

Успехов вам и вашим проектам! До встречи в следующих статьях!

С уважением Юлия Гусарь

Читайте также:

Подписаться на рассылку

10 комментариев

Конечно, для тех, кто пользуется темами которые легальны, этот плагин поможет. А ведь в большинстве случаев темы ставят самописные от Гудвина и прочих темописателей. И там конечно же они все прошиты. В таких темах, плагин не поможет. Ему не с чем будет ее сравнивать. То же самое и о моих темах, которые я пишу. Мои темы конечно не прошиваются, потому что я пишу их для конкретного заказчика и в лепрозорий не выставляю. А вот бесплатные темы от темописателей прошиты.
Помню как я еще только начинал знакомиться с вордпресс и нашел какую-то тему от Гудвина. Не помню уже. В то время темы я проверял плагином TAC. Он показывает ссылки, редиректы и прочие хитрости бесплатных тем. По неопытности, проверил тему, я увидел, что она заспамлена ссылками. Ну я их удалил. После этого сайт перестал работать. Восстановить не проблема — закинул копию файла footer.php и вуаля — работает. Но проблема в том, что эти ссылки были прошиты в функции темы. Нарушая одну черту кода, отключается функция темы. В некоторых темах удавалось вычислить проблему, а в некоторых нет — настолько сложно было прошитые. Прошитые сайты самособой будут работать на того, кто их написал для раскрутки чего. Соответственно, такой сайт уже во много раз сложней раскрутить, потому что он будет считаться спамером.

Топ-пост этого месяца:  Настройка целей в Google Analytics на события, форму, кнопку...

В итоге я решил писать свои темы, чтобы не пользоваться чужими и не портить сайт клиента и свою репутацию.
Поэтому, в данном случае, такой плагин не обнаружит нарушений в самописной теме.

Разве нужно так усложнять, я купил 1 платную тему с вечным обновлением+ 100% свой настраиваемый дизайн , настаивается все, знаю ее практически наизусть 20-30 последних сайтов только на ней,сайты похожи нет.

А почему половина текста в моем ко менте написана белым шрифтом? Вроде цвет не выставлял

Почему-то первый абзац был обернут в span.

Установил, но вот он почему-то злодей эдакий, не предложил мне подписаться

Думаю, что до выяснения обстоятельств, его лучше отключить, а то и в админку потом не зайдешь

Юлия, так вы объясните, почему подписка является важным шагом?

Вам на почту будут приходить уведомления в случае возникновения проблем с сайтом. Если вам это не нужно, вы можете не делать подписку

Благодарю за ответы.

Интересно как он грузит хостинг своими запросами? Кто может подсказать?

Плагин безопасности Wordfence выпустил новую версию

WordPress является довольно безопасной и хорошо написанной CMS. Однако, так как эта CMS чрезвычайно популярна, множество людей пытаются создать хаки или вирусы для сайтов работающих на WordPress.

Плагин Wordfence — это отличный способ защитить ваш WordPress-сайт. Это бесплатный плагин, который сканирует ваш сайт на наличие вирусов, вредоносных программ, троянов, вредоносных ссылок и пр.

В этом обзоре мы покажем вам, как настроить Wordfence, как найти взломанные файлы и как удалить вирус с сайта.

Шаг 1: Установка

Вы можете скачать плагин Wordfence с http://wordpress.org/extend/plugins/wordfence/ или в админке в меню «Добавить новый плагин» ввести слово Wordfence в поле «Поиск плагинов» и нажать кнопку «Установить«.

Бесплатная версия делает почти все, что необходимо для устранения проблем, но есть и платная премиум-версия, которая дает вам дополнительные функции и дает право на приоритетную техподдержку.

Шаг 2: Описание функциональности

Сразу после активации плагина, вы увидите всплывающее окно с предложением начать обзор возможностей плагина (на англ.). На это стоит потратить время тем, кто еще новичок в вопросах веб-безопасности. После того как вы ознакомились с возможностями, вы можете запустить сканирование сайта.

Шаг 3: Запуск сканирования

  • Выберите в Wordfence-меню пункт Scan.
  • Затем нажмите кнопку Start a Wordfence Scan.
  • Дождитесь его завершения.
  • Вы увидите проблемные зоны отмеченые красным цветом (Problems found). Не паникуйте, это нормально при первом сканировании и это вовсе не говорит о том, что сайт взломан.
  • Там есть две настройки, которые отключены по-умолчанию. Нажмите на ссылку «Visit Options to Enabled«, чтобы включить их.
  • Эти две настройки позволяют проверять файлы плагинов и тем, а именно их чаще всего взламывают. Плагин не будет проверять ваши собственные темы. Он будет только проверять оригинальные темы с репозитория WordPress Theme.
  • Нажав на ссылку вы перейдете на страницу конфигурации.
  • Просмотрите все настройки и убедитесь, что все настроено так, как вы хотите.
  • Имеется полезная функция Настройка оповещений. Wordfence будет высылать вам емэйл всякий раз, когда обнаружит возможную проблему.
  • Сохраните изменения.
  • Вернитесь в Wordfence меню на страницу Scan.
  • Запустите сканирование еще раз.
  • Если были найдены какие-либо проблемы, то в нижней части страницы будет их подробное описание.

Шаг 4: Обзор и исправление ошибок и предупреждений

  • Скорее всего, вы видите эти два предупреждения. Вам не о чем беспокоиться. Это файлы логов. Они не опасны, в них можно просмотреть PHP-предупреждения и различные ошибки.
  • Просмотрите ссылки внизу каждого предупреждения, чтобы увидеть, как можно их исправить.

У вас есть несколько вариантов.

  • Вы можете просмотреть файл, нажав на ссылку «View the file«, если вы подозреваете, что там ошибка, которую необходимо исправить. Я бы не рекомендовал удалять файл, так как он может понадобиться.
  • Вы также можете выбрать вариант Всегда игнорировать этот файл — «Always ignore this file.», если вы не хотите видеть это предупреждение каждый раз, когда вы делаете проверку.

Шаг 5: Работа со взломанным сайтом

  • Если файл ядра был взломан, и вредоносный код вставлен, тогда Wordfence сравнивает код файла с файлами ядра в репозитории WordPress и выдает предупреждение.
  • Это является причиной для беспокойства, но не нужно паниковать.
  • Нажмите на ссылку Посмотреть, как файл был изменен (See how the file has changed).
  • Вы увидите исходный файл рядом с измененной версией.
  • В этом случае, я сделал правку файла, в котором отсутствовал закрывающий тег. Это не серьезная ошибка и не то, что действительно нужно исправлять.
  • Но если вы видите множество закодированных символов или любой код, который вы не понимаете, то это очень плохой знак.

Если это не проблема, то выбирите Игнорировать, до следующего изменения файла (Ignore until the file changes.).
Поскольку это файл index.php, которые часто взламывают, я хочу быть предупрежден, если кто-то изменит файл.

Что делать, если ваш сайт был взломан? Вот шаги которые необходимо предпринять, чтобы очистить ваш сайт от вредоносного кода:

Шаги для очистки вашего сайта после взлома

  1. Обновите ваш сайт до последней версии WordPress.
  2. Обновите все ваши темы и плагины до последних версий.
  3. Измените все пароли на сайт.
  4. Сделайте резервное копирование всех файлов и базы данных.
  5. Перейдите на страницу настроек Wordfence и убедитесь, что параметры для сканирования файлов ядра, тем и плагин выбраны. Затем запустите сканирование Wordfence. Сравните вашу основную тему и файлы плагинов и ядра с оригинальными версиями в репозитории WordPress, это позволит узнать, что именно хакер изменил.
  6. Когда результаты сканирования будут готовы вы можете увидеть очень длинный список зараженных файлов. Потратьте время и внимательно рассмотрите весь список.
  7. Изучите любые подозрительные файлы и удалите их, если они опасны. Помните, что вы не сможете отменить удаление.
  8. Просмотрите любые изменения файлов ядра, темы и плагинов. Используйте возможности Wordfence, чтобы увидеть, что изменилось в исходных файлах. Если изменения выглядят подозрительно, используйте возможности Wordfence, чтобы восстановить файл.
  9. Просмотрите любые неизвестные файлы, которые находятся в основных каталогах и удалите их при необходимости.
  10. Выполните еще одно сканирование и убедитесь, что ваш сайт чист.
  11. Если Вы все еще получаете уведомление от другого сервиса или от Google, который говорит что на вашем сайте есть вирусы, то обратитесь в техподдержку Wordfence или веб-хостинга.

Если у Вас возникли вопросы, то для скорейшего получения ответа рекомендуем воспользоваться нашим форумом

Как установить WordPress Security Wordfence

Divi: самая простая тема WordPress для использования

Divi: Лучшая тема WordPress всех времен!

Более Загрузка 600.000, Divi — самая популярная тема WordPress в мире. Он является полным, простым в использовании и поставляется с более чем бесплатными шаблонами 62. [Рекомендуется]

Вы хотите установить и настроить плагин безопасности Wordfence на вашем сайте?

Wordfence это плагин WordPress Популярный инструмент, который поможет вам повысить безопасность вашего сайта и защитить его от попыток взлома.

В этом уроке мы покажем вам, как легко установить и настроить плагин безопасности Wordfence WordPress.

Но, если вы никогда не устанавливали WordPress, откройте для себя Как установить WordPress блог шаги 7 et Как найти, установить и активировать WordPress тему на своем блоге

Тогда вернемся к тому, почему мы здесь: Как установить Wordfence Security на WordPress.

Что такое Wordfence? И как это защищает ваш сайт WordPress?

Wordfence это плагин WordPress безопасность, которая помогает защитить ваш сайт от угроз безопасности, таких как взлом, вредоносное ПО, DDOS-атаки и атаки методом «грубой силы».

Он поставляется с веб-брандмауэром, который фильтрует весь трафик на ваш сайт и блокирует подозрительные запросы.

Он имеет сканер вредоносных программ, который сканирует все файлы темы, плагины и систему WordPress на наличие подозрительных изменений и кодов. Что поможет вам очистить взломанный сайт WordPress.

Базовый плагин Wordfence является бесплатным, но он также поставляется с премиальной версией, которая позволяет получить доступ к более продвинутым функциям, таким как блокировка страны, обновление правил брандмауэра в режиме реального времени, сканирование запрограммировано и т. д.

Тем не менее, давайте посмотрим, как легко установить и настроить Wordfence для максимальной безопасности.

Как установить и настроить Wordfence в WordPress

Первое, что нужно сделать, это установить и активировать плагин « Wordfence безопасности ». Для более подробной информации, смотрите наше пошаговое руководство о том, как установить плагин WordPress .

После активации плагин добавит новый пункт в меню с пометкой » Wordfence На вашей доске WordPress. Нажав на нее, вы попадете на панель настроек этого плагина.

На этой странице представлен обзор настроек безопасности плагина на вашем сайте. Вы также увидите уведомления о безопасности и статистику, такую ​​как недавние блокировки IP, неудачные попытки входа в систему, общее количество заблокированных атак и т. Д.

Настройки Wordfence разделены на разные разделы. Настройки по умолчанию работают для большинства веб-сайтов, но вам все равно необходимо просмотреть и изменить их при необходимости.

Давайте сначала запустим анализ.

Для сканирования вашего сайта WordPress с помощью Wordfence

Перейдите к » Wordfence> Scan »Затем нажмите на кнопку« НАЧАТЬ НОВЫЙ СКАН .

Wordfence начнет сканирование файлов WordPress.

Анализ будет искать изменения размера файлов в базе официальных файлов WordPress и плагинов.

Вы ищете лучшие темы и плагины WordPress?

Загрузите лучшие плагины и темы WordPress на Envato и легко создайте свой сайт. Уже больше, чем 49.720.000. [ЭКСКЛЮЗИВ]

Он также проверит файлы на наличие подозрительных кодов, бэкдоров, вредоносных URL-адресов и известных схем заражения.

Обычно для такого сканирования требуется много ресурсов с вашего сервера. Wordfence отлично справляется с управлением сканированием настолько эффективно, насколько это возможно. Время, необходимое для завершения сканирования, зависит от того, сколько у вас есть данных и какие ресурсы сервера доступны.

Вы увидите прогресс анализа в желтых полях на странице анализа. Большая часть этой информации будет технической. Однако вам не нужно беспокоиться о технических вещах.

После завершения сканирования Wordfence отобразит результаты.

Он сообщит вам, если обнаружил на вашем сайте подозрительный код, инфекции, вредоносное ПО или поврежденные файлы. Он также порекомендует действия, которые можно предпринять для решения этих проблем.

Бесплатная версия плагина Wordfence автоматически запускает полное сканирование на вашем веб-сайте WordPress один раз каждые часы 24. Премиум-версия плагина позволяет настраивать собственные графики сканирования.

Настройка брандмауэра Wordfence

Wordfence поставляется с брандмауэром для вашего сайта. Это брандмауэр уровня приложения, основанный на PHP.

Брандмауэр Wordfence предлагает два уровня защиты. Базовый уровень, который включен по умолчанию, позволяет брандмауэру работать как плагин WordPress.

Это означает, что брандмауэр будет загружен с остальными вашими плагинами WordPress. Это может защитить вас от множества угроз, но существуют угрозы, которые срабатывают до загрузки тем и плагинов WordPress.

Второй уровень защиты называется расширенной защитой. Это позволяет Wordfence работать до ядра WordPress, плагинов и тем. Это обеспечивает лучшую защиту от более сложных угроз безопасности.

Вот как настроить расширенную защиту.

Визит » Wordfence> Брандмауэр »И нажмите на кнопку« УПРАВЛЯТЬ ПОЖАРОСТРОЕНИЕМ «Тогда на» Оптимизировать WORDFENCE FIREWALL »

Wordfence теперь будет запускать некоторые тесты в фоновом режиме для определения конфигурации вашего сервера. Если вы знаете, что конфигурация вашего сервера отличается от того, что выбрал Wordfence, вы можете выбрать другой.

Нажмите кнопку продолжения.

Затем Wordfence попросит вас загрузить файл .htaccess в качестве резервной копии. Нажмите кнопку «Загрузить .htaccess» и после загрузки файла резервной копии нажмите кнопку «Продолжить».

Wordfence обновит ваш файл .htaccess, что позволит ему работать до WordPress. Вы будете перенаправлены на главную страницу брандмауэра, где теперь вы увидите свой уровень защиты как «Расширенная защита.

Вы также заметите кнопкуРежим обучения ». Когда вы устанавливаете Wordfence в первый раз, он пытается узнать, как вы и ваши пользователи взаимодействуют с сайтом, чтобы убедиться, что он не блокирует законных посетителей. Через неделю он автоматически переключается на Включено и защита .

Мониторинг и блокирование подозрительной активности с помощью Wordfence

Wordfence отображает очень полезный журнал всех запросов, сделанных на вашем сайте. Вы можете просмотреть его, посетив страницу Wordfence> Инструменты> Live Trafic .

Легко создайте свой сайт с Elementor

Elementor позволяет легко создать любой дизайн сайта с профессиональным дизайном. Прекратите платить дорого за то, что вы можете сделать сами. [Free]


Здесь вы увидите список IP-адресов, запрашивающих разные страницы на вашем сайте.

Вы можете заблокировать отдельные IP-адреса и даже целые сети на этой странице.

Вы также можете заблокировать сомнительные IP-адреса вручную, посетив страницу «Wordfence> Все параметры> Блокировка».

Расширенные настройки и инструменты от Wordfence

Wordfence — мощный плагин с множеством полезных опций. Вы можете посетить «Wordfence> Все варианты», чтобы просмотреть их.

Здесь вы можете выборочно включать или отключать функции. Вы также можете включить или отключить уведомления по электронной почте, сканирование и другие дополнительные параметры.

На » Wordfence> Инструменты Вы можете запустить проверку пароля, чтобы убедиться, что все пользователи вашего сайта используют надежные пароли. Ты можешь бежать Whois-поиск Для подозрительных IP-адресов и для отображения диагностической информации, чтобы помочь отладить проблемы с плагином или вашим сайтом WordPress.

Пользователи Премиум-версии также могут настроить двухфакторный вход в систему для повышения безопасности подключения к своим веб-сайтам.

Откройте для себя также несколько премиальных плагинов WordPress

Вы можете использовать другие плагины WordPress, чтобы придать современный вид и оптимизировать управление вашим блогом или веб-сайтом.

Мы предлагаем вам несколько премиальных плагинов WordPress, которые помогут вам сделать это.

1. SimplyChat для BuddyPress

SimplyChat — плагин для обмена мгновенными сообщениями WordPress, который позволяет создавать группы и отправлять личные сообщения. Он предназначен для плагина BuddyPress, и его использование так же просто, как и его установка.

Аккаунты, группы, друзья, фотографии и профили, созданные в WordPress, будут автоматически синхронизированы с BuddyPress. Поэтому, когда вы создаете группу с помощью этого плагина, вы сможете начать отправлять сообщения членам группы. Вы также можете общаться с друзьями и создавать публичные или частные групповые обсуждения.

Особенности включают в себя: мгновенные сообщения, пользовательский фильтр Word Not Allowed, поддержка уведомлений браузера, система резервного копирования и восстановления сообщений, поддержка общего доступа к файлам, многоязычный отзывчивая страница, чат, простая настройка и многое другое.

2. TapTap

TapTap — это плагин WordPress, посвященный меню, дизайн которого ориентирован на использование мобильных телефонов или смартфонов. Его легко настроить и он достаточно универсален, чтобы его можно было использовать на всех сайтах.

Будь то творческий портфель или корпоративный веб-сайт, у вас будет возможность смешивать и подбирать шрифты, играть с размерами шрифтов и значками, наслаждаться управлением межбуквенным интервалом, позицией кнопки и логотипы, манипуляции с фонами, выравниваниями, скоростью анимации, для создания уникального внешнего вида меню.

скачать | Демонстрация | веб-хостинг

3. Блокировать двойные логины

Плагин Double Logins Block WordPress позволяет вашему сайту блокировать соединение через общую учетную запись. Пользователь не сможет подключиться к вашему сайту в двух разных местах.

Легко создайте свой интернет-магазин

Загрузите бесплатные WooCommerce, лучшие плагины для электронной коммерции, чтобы продавать свои физические и цифровые продукты в WordPress. [FREE]

Его функции включают в себя: предотвращение одновременного использования пользователями одной и той же учетной записи WordPress, предотвращение одновременного подключения пользователей к нескольким учетным записям с одного IP-адреса, блокирование пользователей, которые прячутся за прокси, посмотреть, кто находится в онлайн в любое время, посмотрите, кто пытается поделиться своей учетной записью, выберите, какие роли пользователей затрагиваются правилами этого плагина, а какие нет, работает со всеми последними темами WordPress и многое другое.

Другие рекомендуемые ресурсы

Мы также приглашаем вас ознакомиться с указанными ниже ресурсами, чтобы получить дополнительную информацию о вашем веб-сайте и блоге.

  • Как настроить все в одном SEO обновления WordPress
  • Как создать портфолио на вашем сайте WordPress
  • Какие приветствия вы отправить ваши перспективы?
  • Как установить Slider Revolution на WordPress

Вывод

Вот и все! Вот именно для этого урока на WordFence . Если вам понравилась эта статья, не стесняйтесь обращаться поделиться в вашей любимой социальной сети.

Однако вы также сможете ознакомиться с нашими Ressources, если вам нужно больше элементов для реализации ваших проектов создания интернет-сайтов, обратитесь к нашему руководству по Создание блога на WordPress.

Расскажите нам о своем Комментарии и предложения в специальном разделе.

Защита вашего WordPress-сайта с помощью плагина Wordfence Security

Скорее всего, вы решили прочитать эту статью, поскольку вы любите WordPress и вам нравится идея защиты своего сайта, над которым вы продолжаете неустанно работать. Существует много плагинов, которые позволяют выстроить непробиваемую защиту своего сайта, и среди них есть один плагин, который очень часто незаслуженно упускается из внимания.

Обладая длинным списком возможностей по остановке хакеров, этот плагин последовательно обновляется, чтобы справляться с новыми и новыми угрозами.

Имя этому плагину – Wordfence Security.

Несмотря на то что плагин является относительно новым – он был создан в 2011 году, – он уже успел привлечь к себе более 3 млн пользователей. Компания Feedjit, создавшая плагин, с самого начала предлагала услуги сбора аналитики в реальном времени, и лишь потом уже добавила в свой арсенал плагин Wordfence Security, причем произошло это тогда, когда одному из создателей компании взломали WP-сайт.

Хотя проблема была быстро решена, это испытание побудило Марка Маундера раскрыть свой код, чтобы помочь другим защитить свои сайты. Отсюда и появился Wordfence.

Плагин и компания с тех пор заметно выросли, что не является чем-то странным, ведь основатели компании Feedjit обладают 40-летним опытом в программировании, они работали в таких крупных компаниях, как BBC, Coca Cola, Norton Antivirus.

Однако справляется ли их плагин с суровой реальностью технологического мира, в котором мы живем? Я тестировал этот плагин в течение длительного промежутка времени, чтобы ответить на данный вопрос. И ниже я поделюсь своими честными открытиями.

Рейтинг плагина:

Плюсы:

  • Обладает таким невообразимым количеством возможностей, что для их пересчета не хватит пальцев рук и ног
  • Регулярно обновляется, чтобы принести защиту от самых последних угроз
  • Плагин поставляется в платной и бесплатной версии, причем бесплатная версия также имеет массу возможностей.
  • Обе версии плагина включают в себя техническую поддержку.
  • Разработчики плагина очень серьезно относятся к поступающим предложениям касательно новых возможностей; предложенные вами опции могут появиться уже в следующей версии плагина
  • Обе версии плагина предлагают полноценный файрвол, а также блокировку брутфорс-атак, вирусов, бэкдоров и т.д.

Минусы:

  • Техническая поддержка отвечает не очень быстро
  • Плагин очень часто дает ложные срабатывания, которые могут привести к печальным последствиям, если вы не знаете, как использовать плагин
  • Очень много опций и возможностей, что усложняет процесс обучения
  • Неверные конфигурации могут привести к тому, что плагин перестанет работать без каких-либо уведомлений
  • Сканирование сайта обычно требует много памяти
  • В данный момент плагин не включает в себя защиту от поддельных регистраций, хотя эта возможность находится на рассмотрении и, возможно, появится в будущих версиях

Вывод

Если вы серьезно относитесь к защите своего WordPress-сайта от всех видов атак, вы готовы к длительному изучению его опций и не возражаете против массивного использования памяти, то в таком случае вы можете рассмотреть этот плагин. Учитывая список его возможностей, удивительно, что он вообще не перегружает сервер.

Если вы ищете простое решение, которое работает из коробки, то проходите мимо; этот плагин вам не подойдет. По крайней мере, его платная версия.

В нем есть много платных опций конфигурации, которые могут показаться непомерными, хотя плагин будет прекрасно работать даже с небольшим объемом настроек.

Опции прекрасно разъяснены на страницах параметров, поэтому вы сможете разобраться в них, просто изучив компактные подсказки. Да, это действительно «страницы» параметров, их там несколько. Если вы хотите получить серьезную защиту, я рекомендую вам плагин Wordfence.

Защита WordPress-сайта с помощью Wordfence Security

Сколько стоит плагин?

Плагин обладает бесплатной версией, которая работает постоянно, у нее нет испытательного периода. Если вам требуются расширенные функции, вы можете воспользоваться премиальной версией плагина, которая стоит 39 долларов в год за API-ключ.

Если вы будете заказывать несколько API-ключей для разных сайтов, то в таком случае вы можете получить скидку. К примеру, для пяти сайтов Wordfence обойдется вам в $23.80 за сайт, т.е. скидка составит 39%. Скидка растет с каждым последующим приобретенным API-ключом.

Еще один привлекательный аспект плагина – работа API-ключей. Время будет отсчитываться с того момента, когда вы начнете использовать их, т.е. вы можете отложить API-ключи для работы в будущем. Я рекомендую вам сделать именно так, поскольку люди, стоящие за Wordfence, вряд ли смогут долгое время предлагать такие крупные скидки, ведь их плагин стремительно улучшается.

Если вы хотите посмотреть, какую скидку вы получите для себя, вы можете воспользоваться встроенным калькулятором, который расположен на странице с ценами.

Что вы получаете?

Вы не приобретаете весь плагин, вы приобретаете только API-ключ. Один API-ключ работает только для одного веб-сайта, причем работает он то время, которое указано на странице с тарифами. Год – минимальный период времени, на который вы можете купить ключ.

Каждый API-ключ обладает массой возможностей, включая защиту от спама в комментариях, рекламного спама, вирусов, бэкдоров, поддельных Google-ботов, брутфорс атак, а также несанкционированных изменений в DNS и файлах. API-ключ также позволяет запускать частые сканирования, восстанавливать файлы, блокировать IP-адреса или сети, создавать защищенные пароли, отслеживать дисковое пространство, применять двухфакторную верификацию с помощью телефона. Вы также получите быструю поддержку для решения любых проблем, с которыми вы столкнетесь в процессе работы.

Это далеко не весь список возможностей. Это лишь самое основное. Вы можете посмотреть полный список возможностей на главной странице вебсайта WordFence.

Как это работает?

После того как вы войдете в свой аккаунт Wordfence, вы увидите API-ключи, которые вы приобрели при помощи кнопки «Get API Keys» в консоли. Здесь вам нужно будет выбрать один из ваших ключей.

Далее вам нужно будет перейти к своему сайту и скачать плагин Wordfence. В новом меню Wordfence, которое появится в вашей консоли, выберите пункт Options.

Здесь вы увидите панель с вашим бесплатным API-ключом, который будет уже там стоять. Удалите его и введите ваш новый ключ. Не забудьте прокрутить в самый низ раздела и щелкнуть по кнопке Save.

Последний шаг – выбор нужных опций. Вы можете включать фильтрацию комментариев, почтовые уведомления, задавать то, какие файлы сканировать, какие хаки искать и т.д.

Топ-пост этого месяца:  Как показать программные и исходные коды в статьях WordPress

После того, как вы сохраните ваши предпочтения, вы сможете получить доступ к другим опциям, перечисленным во вкладке Wordfence в консоли. Вы можете блокировать IP-адреса и даже целые страны, задавать расписание сканирования, двухфакторную верификацию и т.д.

Как только вы настроите уведомления на вашу почту, вы будете получать информацию о том, происходили ли критические проблемы, были ли затронуты жизненно важные файлы и т.д.

Оценки плагина

Простота обучения/легкость использования

Плагин включает в себя такую гору опций, позволяющих защитить веб-сайт, что вы легко можете запутаться в них. Если вы неправильно зададите, к примеру, URL вашего сайта, плагин не будет работать, и он не выдаст никаких предупреждений. Я научился этому на своем горьком опыте.

Если вы случайно включите высокочувствительное сканирование, вы рискуете столкнуться с ложными срабатываниями. Если вы зададите слишком малое количество повторных попыток ввода пароля, то в итоге вы можете получить массу писем от раздраженных пользователей.

Однако стоит отметить, что все опции компактно разъяснены, поэтому, если вы не тотальный новичок, вы сможете всегда понять, как работает опция, и избежать проблем. Самая значительная ошибка – это человеческая ошибка, ваша ошибка.

Возможности

Хакеры будут бояться! Учитывая, что плагин предлагает более 30 возможностей, ваш сайт будет надежно защищен от разных атак. Удивительно, что в плагине есть опции, которые даже не перечислены на сайте разработчиков. Некоторые из таких неописанных опций включают в себя:

  • Возможность скрыть версию WordPress
  • Выбор того, сколько памяти может использовать Wordfence
  • Возможность участия в Wordfence Security Network
  • Сканирование на известные вирусы и уязвимости, такие как, к примеру, HeartBleed
  • Сканирование файлов вне вашей сборки WordPress
  • Сканирование изображений, словно они исполнимые программы
  • Автоматические обновления до новых версий в течение суток после их выхода

Возможности этого плагина поистине безграничны. Вот список опций сканирования:

  • Сканирование публичной стороны сайта на уязвимости
  • Сканирование на уязвимость HeartBleed
  • Сканирование файлов ядра на изменения по сравнению с версиями репозитория
  • Сканирование файлов темы на изменения
  • Сканирование файлов плагина на изменения
  • Сканирование на наличие сигнатуры известных вредоносных файлов
  • Сканирование контента файлов на наличие бэкдоров, троянов и подозрительного кода
  • Сканирование записей на известные опасные URL и подозрительный контент
  • Сканирование комментариев на известные опасные URL и подозрительный контент
  • Сканирование на наличие старых тем, плагинов и версий WordPress
  • Проверка сложности паролей
  • Сканирование таблицы опций
  • Отслеживание дискового пространства
  • Сканирование на наличие несанкционированных DNS изменений
  • Сканирование файлов вне сборки WordPress
  • Сканирование изображений, словно они являются исполнимыми файлами
  • Включение высокочувствительного сканирования
  • Исключение файлов из сканирования на базе определенных паттернов

Возможно, самая лучшая особенность плагина – это регулярные обновления, которые добавляют все новые и новые функции, а также позволяют защитить вас от уязвимостей, которые могут возникнуть в будущем.

Работа из коробки

Плагин Wordfence прекрасно работает из коробки, и включает в себя большинство функций, которые вам могут понадобиться. Его очень просто установить, если вы, конечно, сможете избежать ошибок.

Соотношение цены и качества

Плагин Wordfence, определенно, устанавливает новый стандарт цены. Вы получаете очень много возможностей как в бесплатной, так и в платной версии.

Он полностью оправдывает свою текущую цену. Я использовал премиум-версию в течение года, и я не столкнулся с какими-либо взломами, утвержденными спам-комментариями, вредоносными файлами или уязвимостями.

Некоторые из этих проблем усложняли раньше мою жизнь, и я часто сталкивался со спамом в моих записях, страницах, и даже в метаданных. Именно это и подтолкнуло меня установить Wordfence.

Теперь, когда я защищен от всех этих проблем, я могу спокойно спать, ни о чем не беспокоясь. Оценка в 5 звезд от более чем 1700 людей подтверждает это.

Вряд ли вам понадобится еще какой-либо плагин для защиты, ведь Wordfence уже несет в себе все необходимое. Единственное, что он пока не может – это определять поддельные входы в систему. Однако команда Wordfence работает над этим.

Поддержка

Единственное слабое место плагина, которое я обнаружил – это его поддержка. Пользователи бесплатной версии могут все еще получить поддержку через форум WordPress.org, однако им понадобится прождать несколько дней, чтобы получить ответ.

Если уж говорить честно, то многие плагины вообще не предлагают поддержки своих бесплатных версий, поэтому, скорее всего, это здоровый компромисс. Премиум пользователи, естественно, имеют лучшую поддержку.

Пользователи платной версии имеют доступ к системе поддержки после входа на сайт Wordfence. Ответы на тикеты происходят быстрее, однако вам все равно приходится ждать письма на почту.

Также не слишком удобно то, что вам нужно постоянно смотреть в своем аккаунте, пришел ли вам ответ, особенно учитывая то, что докопаться до корня проблемы порой тяжело, и для этого приходится отправить несколько писем.

Сам процесс может оказаться долгим, но это все равно быстрее по сравнению с форумом, где, кажется, один человек отвечает на все вопросы. Полученные по тикетам ответы обычно оказываются полезными.

Однако если вы столкнетесь с массивным хаком, то в таком случае ваш сайт будет открыт для атак довольно долгое время, ведь ответы на тикеты порой тоже затягиваются на несколько дней.

Заключение

Несмотря на довольно долгие ответы поддержки, этот плагин под завязку набит функциями – их так много, что он выглядит переполненным. Это очень сильный, эффективный плагин, который идет по приемлемой цене. Вы защищены практически от всего, причем защита регулярно обновляется.

Вам нужно лишь правильно задать конфигурационные настройки и прочесть все инструкции. В таком случае ваш сайт будет надежно защищен.

Wordfence – плагин безопасности, который ставит надежную защиту.

Как установить и настроить Wordfence Security в WordPress ( 1 часть )

Вы хотите установить и настроить плагин безопасности Wordfence Security на своем веб-сайте? Wordfence Security — популярный плагин WordPress, который помогает вам закрепить безопасность вашего сайта WordPress и защищает его от попыток взлома. В этой статье мы покажем вам, как легко установить и установить плагин безопасности Wordfence в WordPress.

Настройка Wordfence Security — антивируса для Вордпресс

Плагин wordfence security — антивирус для WordPress

Плагин Wordfence это плагин безопасности WordPress ( антивирус для WordPress ), который помогает защитить ваш сайт от угроз безопасности, таких как взлом, вредоносное ПО, DDOS и другие атаки.

Данный антивирус для wordpress поставляется с брандмауэром который фильтрует весь трафик на ваш сайт и блокирует подозрительные запросы.

Wordfence security имеет сканер вредоносных программ, который сканирует все ваши основные файлы WordPress, темы, плагины на наличие подозрительного кода. Это поможет вам очистить взломанный сайт WordPress ,

Основной плагин Wordfence является бесплатным, но он также имеет премиальную версию, которая дает вам доступ к более расширенным функциям, таким как блокирование страны, правила брандмауэра, обновляемые в режиме реального времени, плановое сканирование и т. Д.

Как настроить Wordfence security в WordPress

Первое, что вам нужно сделать, это установить и активировать Wordfence.

После активации плагин добавит новый пункт меню, обозначенный Wordfence, в панель администратора WordPress. Нажав на нее, вы попадете на панель инструментов настроек плагина.

На этой странице показан обзор настроек безопасности плагина wordfence security на вашем веб-сайте. Вы также увидите уведомления и статистику безопасности, такие как недавняя блокировка IP-адресов, неудачные попытки входа в систему, блокировка общих атак и т. Д.

Настройки антивируса для вордпресс Wordfence security делятся на разные разделы. Настройки по умолчанию будут работать для большинства веб-сайтов, но вам по-прежнему необходимо просмотреть и изменить их, если это необходимо.

Сначала начнем сканирование.

Сканирование вашего сайта WordPress с помощью плагина Wordfence security

Перейдем к Wordfence »Сканирование и нажмите кнопку «Начать поиск Wordfence».

Антивирус для сайта wordpress Wordfence security теперь начнет сканирование ваших файлов WordPress.

Сканирование будет искать изменения в размерах файлов в официальном ядре WordPress и файлах плагинов.

Антивирус для wordpress Wordfence security также заглянет внутрь файлов, чтобы проверить наличие подозрительного кода, бэкдоров, злонамеренных URL-адресов и известных паттернов заражения.

Обычно для этих сканирований требуется много ресурсов сервера для запуска. Wordfence делает отличную работу по проверке сканирования как можно более эффективно. Время, необходимое для завершения сканирования, будет зависеть от того, сколько данных у вас есть и доступных ресурсов сервера.

Вы сможете увидеть ход сканирования на странице сканирования. Большая часть этой информации будет технической. Однако вам не нужно беспокоиться о технических вещах.

После завершения сканирования Wordfence покажет вам результаты.

Он уведомит вас об обнаружении подозрительного кода, заражений, вредоносных программ или поврежденных файлов на вашем веб-сайте. Он также будет рекомендовать действия, которые вы можете предпринять, чтобы исправить эти проблемы.

Бесплатный плагин Wordfence автоматически выполняет полное сканирование на вашем сайте WordPress один раз каждые 24 часа. Премиум-версия плагина позволяет настроить собственные графики сканирования.

Защита WordPress — Wordfence Security

Плагин Wordfence Security — тотальная защита для вашего сайта на движке WordPress. Помогает скрыть ненужную тех. информацию, защитить форму входа, отбить ддос атаки, блокировать неугодный айпи, отслеживать подозрительных пользователей, блокировать по регионам, и прочее, прочее …

Скачать / установить:

  • Через админ панель: Плагины -> Добавить новый: Wordfence Security (установить, активировать);
  • Или скачать: С сайта WP — Wordfence Security (переместить и разархивировать в Ваш_сайт/wp-content/plugins).

Актуальность защиты WordPress? Моя история вопроса

Я особо не задумывался о спец. защитных плагинах для Вордпресс, пока однажды не столкнулся с пренеприятнейший картиной.

Как только сайт получил первые ТиЦ и ПР, как только посещаемость превысила за 500 ч/с — попасть на него стало невозможно. В лучшем случае грузился до 3 минут.

Естественно (так поступают все новички), всю вину я свалил на хостинг, о чем их незамедлительно поставил в известность. Служба поддержки же вежливо ответила, что проблема, возможно, возникла в работе некоторых моих плагинах, которые и создают излишнюю нагрузку. И кроме этого, посоветовали установить кеш Вордпресс.


Также естественно, я самостоятельно пытался понять, в чем проблема и часто заглядывал в ЛОГ файлы (в них отображается техническая часть работы сайта).

Подозрение вызвали строки вида (один и тот же «пользователь» каждые 10 секунд переходил по ссылкам и так в течении часа)*:

xx.xxx.xxx.xx — — [16/Jun/20xx:18:23: 03 +0400] «GET / page -1/ HTTP/1.0″ 200 xxxx

xx.xxx.xxx.xx — — [16/Jun/20xx:18:23: 13 +0400] «GET / page -2/ HTTP/1.0″ 200 xxxx

xx.xxx.xxx.xx — — [16/Jun/20xx:18:23: 23 +0400] «GET / page -3/ HTTP/1.0″ 200 xxxx

xx.xxx.xxx.xx — — [16/Jun/20xx:19:23: 03 +0400] «GET / page -360/ HTTP/1.0″ 200 xxxx

Другой вариант (обращение к несуществующим страницам, так же за короткий час, ошибка 404)

xx.xxx.xxx.xx — — [16/Jun/20xx:18:23:33 +0400] «GET /no- page -1/ HTTP/1.0″ 404 xxxx

xx.xxx.xxx.xx — — [16/Jun/20xx:18:23:43 +0400] «GET /no- page -2/ HTTP/1.0″ 404 xxxx

*Строки по памяти изобразил, реальные принтскрины, увы, не сделал, не до этого было, когда сайт 2 месяца был практически недоступен …

Вот, так я познакомился с Ддос атакой на личном опыте!

Кстати, а вот так плагин эмитировал недоступность устройства для указанного айпи (когда писал пост, реальный принтскрин):

Ддос атака — это когда за короткий промежуток времени создается огромное количество запросов к сайту. Например, некий бот гуляет по ссылкам, скачивая весь материал, запуская работу соответствующих плагинов.

В итоге, хостинг не справляется с нагрузкой, и сайт «ложиться». (Представьте себе, что в одно и тоже время ваши домочадцы решили войти в один дверной проем. Толкучка — нет возможности войти ни одному. Вот точная ситуация с ддосом).

Делается это специально.

К некоторым вебмастерам после ддос атак приходит «письмо помощи», где «добрый дяденька» предлагает решить данную проблему не бесплатно, конечно.

Ну, и некоторые парсеры не прочь пошалить. (Парсеры — воруют контент. Но делают это не скромно, тянут все подряд).

Может еще происки конкурентов.

Может ваш сайт «им» и не интересен, но попал под горящую руку, а атака была на хостинг или на соседний сайт, на том же айпи.

Как защитить WordPress — Wordfence Security

Уже не помню, почему именно он. Но решил и решает проблемы с безопасностью на все 100%.

Проблемы возникли с настройками. На русском нет, как его настраивать. Да и на не родном, английском тоже сложно найти. Пришлось самому догадываться, пробовать …

Окончательный вариант я и даю … (через регистрацию, чтоб враги не подсмотрели).

Настройки Wordfence Security

Версия может быть платной и бесплатной.

В платной более расширенные возможности. Какие? Не дам точную информацию, ибо постоянно меняется (обычно — дополняется функционал). К примеру, раньше в бесплатной нельзя было блокировать юзеров с определенных стран. Сейчас можно и в бесплатной.

Возможности данного плагина — потрясающие. И всех не опишу — уже не уровень новичка сайтостроителя, а уже человека в «в теме».

Для новичков и тех, кто страдает от Ддосов, взломов дальнейшей информации достаточно.

Главные настройки Wordfence -> Options

Повторюсь — настройки все проверенные, рабочие. Но возможно, поправка на хостинг …

Итак, сами настройки Wordfence Security (ищем в админ баре «Wordfence»). Переходим сразу в «Options», и далее, как на скрине:

Wordfence Live Activity — текущая активность, что он делает (за кем следит);

License — ключ лицензии, для бесплатной версии получается автоматически;

Enable firewall — включает «ворота», их настройки ниже;

Enable login security — контроль входа в админку ВП, настройка ниже;

Enable Live Traffic View — включает наблюдение визуальный мониторинг на спец. странице Wordfence -> Live Traffik (большая нагрузка, если ваши сайты на виртуальном хостинге. Лучше отключить. Хотя полезно отслеживать, кто сейчас «посется» на вашем сайте …);

Enable automatic scheduled scans — включает авто проверку на вирусы. Лучше отключить, ибо опять таки, при работе с остальными плагинами и пиком посещаемости может «положить» сайт.

Where to email alerts: — куда будет приходить оповещения о крит. ошибках, и рекомендации от разработчиков. Лучше заполнить.

Остальные настройки — как есть …

Не забывайте «Save Changes«!

Дальше … опускаемся до Firewall Rules (Alerts, Live Traffic View, Scans to include — гугл переводчик. Комментировать нечего. Можете оставить, как есть, или по изменять. При отключенных выше настройках — это ничего не работает).

Firewall Rules

Именно эти настройки защитят от Ддос атаки. Ставить меньше — не рекомендую, можете блокировать обычного пользователя. Ставить больше — если хостинг позволяет большую нагрузку.

Immediately block fake Google crawlers: — блокировать, если бот имитирует Гугл бот.

How should we treat Google’s crawlers — разрешение Гуглу боту к доступу (стоит без ограничений). Гугл бот аккуратно бродит по ссылкам. Ему можно доверять.

If anyone’s requests exceed: и If a crawler’s page views exceed: — аналогичные настройки, как с Гуглом, но в отношении других поисковых ботов. (Яндекс не попадет под блок. А вот Маил ру один раз у меня попал. Когда здесь выставил «Unlimited» — любой поисковый бот мог бродить по своим правилам. Им тоже можно доверять — они знают о слабости наших хостеров).

If a crawler’s pages not found (404s) exceed: — если бот будет настойчив в поисках несуществующих страниц. Что подозрительно …

If a human’s page views exceed: и If a human’s pages not found (404s) exceed: и If 404’s for known vulnerable URL’s exceed: — именно эти настройки оградят ваш сайт от Ддос атаки. Следят за хуманом, и если хуман ведет себя не, как человек — блокируют его. Подобраны мной экспериментально.

How long is an IP address blocked when it breaks a rule: — насколько блокировать …

Login Security Options

Контроль входа в админку ВП. Такая иногда закономерность, когда идет ддос атака, в тоже время происходят попытки войти в админку …

Комментировать каждый пункт — проще воспользоваться переводчиком. Все довольно просто. Особенностей никаких. Только смотрите сами не введите неправильный логин или пароль. В данном случае — правила очень строгие.

Whitelisted IP addresses that bypass all rules: — айпи адрес, которого правила выше не касаются. Полезно поставить свой домашний айпи. Если он, конечно, не динамичный …

Hide WordPress version — скрыть версию Вордпресс;

Остальное до «Enable debugging mode» — включил, но эти настройки не особо актуальны или перекрываются другими. Так, например у меня — всегда ручная модерации комментариев.

С Enable debugging mode и далее — не включать, если вы не профи …

Синие ссылки — отладочная информация, тоже для профи ….

[/h >Wordfence Scan — отчет сканера, его тут же можно запустить вручную или посмотреть, что он там насканировал сам. Аккуратно — нагрузка на ЦП хостинга. Новичкам не рекомендую его использовать. Если увидели много красных крестиков в результатах — не паникуйте … , читайте строку выше.

Life Traffik — в реальном режиме можно отслеживать, кто бродит у вас на сайте. Умеренная нагрузка на хостинг, но лучше вообще его выключить. Полезно бывает, когда вас атакуют, и вам нужно узнать его айпи, чтоб блокировать вручную. Хотя разумней использовать логи на хостинге и произвести ручную блокировку через Штасес файл (.htaccess).

Performance Setup — вкл. кеш, и за счет этого ускоряет сайт. Появилась недавно. Сырая версия. Лучше использовать отдельно WP Super Cache. Не включать!

Blocked IPs — выводит список блокированных айпи. Тут же можно снять блокировку с них.

Cellphone Sign-in — «бесплатная» тех. поддержка для премиум клиентов.

Country Blocking — возможность блокировки целых стран. Не советую использовать. Хотя …

Scan Scheduling — недавно появилось. Можно задать график сканирования файлов.

WHOIS Lookup — по айпи находит информацию о владельце, хостинге, расположении … Полезно для поиска вредных айпи.

Advanced Blocking — возможность заблокировать, как группу адресов, так и отдельных поисковых ботов …. Не рекомендую новичкам этим заниматься.

В недостатках еще напишу: переход на некоторые вкладки по каким-то причинам вызывает жуткую нагрузку на ЦП хостинга. Но такое не на всех сайтах. По логам определил — конфликт данного плагина с другим (отвечающего за вход в админ. часть; отвечающего за визуальное оформление, никакой защиты).

WordPress.org

Русский

Wordfence Security — Firewall & Malware Scan

Описание

THE MOST POPULAR WORDPRESS FIREWALL & SECURITY SCANNER

Wordfence includes an endpoint firewall and malware scanner that were built from the ground up to protect WordPress. Our Threat Defense Feed arms Wordfence with the newest firewall rules, malware signatures and malicious IP addresses it needs to keep your website safe. Rounded out by 2FA and a suite of additional features, Wordfence is the most comprehensive WordPress security solution available.

WORDPRESS FIREWALL

  • Web Application Firewall identifies and blocks malicious traffic. Built and maintained by a large team focused 100% on WordPress security.
  • [Premium] Real-time firewall rule and malware signature updates via the Threat Defense Feed (free version is delayed by 30 days).
  • [Premium] Real-time IP Blacklist blocks all requests from the most malicious IPs, protecting your site while reducing load.
  • Protects your site at the endpoint, enabling deep integration with WordPress. Unlike cloud alternatives does not break encryption, cannot be bypassed and cannot leak data.
  • Integrated malware scanner blocks requests that include malicious code or content.
  • Protection from brute force attacks by limiting login attempts.

WORDPRESS SECURITY SCANNER

  • Malware scanner checks core files, themes and plugins for malware, bad URLs, backdoors, SEO spam, malicious redirects and code injections.
  • [Premium] Real-time malware signature updates via the Threat Defense Feed (free version is delayed by 30 days).
  • Compares your core files, themes and plugins with what is in the WordPress.org repository, checking their integrity and reporting any changes to you.
  • Repair files that have changed by overwriting them with a pristine, original version. Delete any files that don’t belong easily within the Wordfence interface.
  • Checks your site for known security vulnerabilities and alerts you to any issues. Also alerts you to potential security issues when a plugin has been closed or abandoned.
  • Checks your content safety by scanning file contents, posts and comments for dangerous URLs and suspicious content.
  • [Premium] Checks to see if your site or IP have been blacklisted for malicious activity, generating spam or other security issue.

LOGIN SECURITY

  • Two-factor authentication (2FA), one of the most secure forms of remote system authentication available via any TOTP-based authenticator app or service.
  • Login Page CAPTCHA stops bots from logging in.
  • Disable or add 2FA to XML-RPC.
  • Block logins for administrators using known compromised passwords.

WORDFENCE CENTRAL

  • Wordfence Central is a powerful and efficient way to manage the security for multiple sites in one place.
  • Efficiently assess the security status of all your websites in one view. View detailed security findings without leaving Wordfence Central.
  • Powerful templates make configuring Wordfence a breeze.
  • Highly configurable alerts can be delivered via email, SMS or Slack. Improve the signal to noise ratio by leveraging severity level options and a daily digest option.
  • Track and alert on important security events including administrator logins, breached password usage and surges in attack activity.
  • Free to use for unlimited sites.

SECURITY TOOLS

  • With Live Traffic, monitor visits and hack attempts not shown in other analytics packages in real time; including origin, their IP address, the time of day and time spent on your site.
  • Block attackers by IP or build advanced rules based on IP Range, Hostname, User Agent and Referrer.
  • Country blocking available with Wordfence Premium.

Скриншоты

  • The dashboard gives you an overview of your site’s security including notifications, attack statistics and Wordfence feature status.
  • The firewall protects your site from common types of attacks and known security vulnerabilities.
  • The Wordfence Security Scanner lets you know if your site has been compromised and alerts you to other security issues that need to be addressed.
  • Wordfence is highly configurable, with a deep set of options available for each feature. High level scan options are shown above.
  • Brute Force Protection features protect you from password guessing attacks.
  • Block attackers by IP, Country, IP range, Hostname, Browser or Referrer.
  • The Wordfence Live Traffic view shows you real-time activity on your site including bot traffic and exploit attempts.
  • Take login security to the next level with Two-Factor Authentication.
  • Logging in is easy with Wordfence 2FA.
Топ-пост этого месяца:  Создание и настройка объявлений в Яндекс Директе, подбор ключевых слов, типы их соответствия и

Установка

Secure your website using the following steps to install Wordfence:

  1. Install Wordfence automatically or by uploading the ZIP file.
  2. Activate the Wordfence through the ‘Plugins’ menu in WordPress. Wordfence is now activated.
  3. Go to the scan menu and start your first scan. Scheduled scanning will also be enabled.
  4. Once your first scan has completed, a list of threats will appear. Go through them one by one to secure your site.
  5. Visit the Wordfence options page to enter your email address so that you can receive email security alerts.
  6. Optionally, change your security level or adjust the advanced options to set individual scanning and protection options for your site.
  7. Click the «Live Traffic» menu option to watch your site activity in real-time. Situational awareness is an important part of website security.

To install Wordfence on WordPress Multi-Site installations:

  1. Install Wordfence via the plugin directory or by uploading the ZIP file.
  2. Network Activate Wordfence. This step is important because until you network activate it, your sites will see the plugin option on their plugins menu. Once activated that option disappears.
  3. Now that Wordfence is network activated it will appear on your Network Admin menu. Wordfence will not appear on any individual site’s menu.
  4. Go to the «Scan» menu and start your first scan.
  5. Wordfence will do a scan of all files in your WordPress installation including those in the blogs.dir directory of your individual sites.
  6. Live Traffic will appear for ALL sites in your network. If you have a heavily trafficked system you may want to disable live traffic which will stop logging to the DB.
  7. Firewall rules and login rules apply to the WHOLE system. So if you fail a login on site1.example.com and site2.example.com it counts as 2 failures. Crawler traffic is counted between blogs, so if you hit three sites in the network, all the hits are totalled and that counts as the rate you’re accessing the system.

Часто задаваемые вопросы

How does Wordfence Security protect sites from attackers?

The WordPress security plugin provides the best protection available for your website. Powered by the constantly updated Threat Defense Feed, Wordfence Firewall stops you from getting hacked. Wordfence Scan leverages the same proprietary feed, alerting you quickly about security issues or if your site is compromised. The Live Traffic view gives you real-time visibility into traffic and hack attempts on your website. A deep set of additional tools round out the most comprehensive WordPress security solution available.

What features does Wordfence Premium enable?

We offer a Premium API key that gives you real-time updates to the Threat Defense Feed which includes a real-time IP blacklist, firewall rules, and malware signatures. Premium support, country blocking, more frequent scans, and spam and spamvertising checks are also included. Click here to sign-up for Wordfence Premium now or simply install Wordfence free and start protecting your website.

How does the Wordfence WordPress Firewall protect websites?

  • Web Application Firewall stops you from getting hacked by identifying malicious traffic, blocking attackers before they can access your website.
  • Threat Defense Feed automatically updates firewall rules that protect you from the latest threats. Premium members receive the real-time version.
  • Block common WordPress security threats like fake Googlebots, malicious scans from hackers and botnets.

What checks does the Wordfence Security Scanner perform?

  • Scans core files, themes and plugins against WordPress.org repository versions to check their integrity. Verify security of your source.
  • See how files have changed. Optionally repair changed files that are security threats.
  • Scans for signatures of over 44,000 known malware variants that are known WordPress security threats.
  • Scans for many known backdoors that create security holes including C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx and many more.
  • Continuously scans for malware and phishing URL’s including all URLs on the Google Safe Browsing List in all your comments, posts and files that are security threats.
  • Scans for heuristics of backdoors, trojans, suspicious code and other security issues.

What security monitoring features does Wordfence include?

  • See all your traffic in real-time, including robots, humans, 404 errors, logins and logouts and who is consuming most of your content. Enhances your situational awareness of which security threats your site is facing.
  • A real-time view of all traffic including automated bots that often constitute security threats that Javascript analytics packages never show you.
  • Real-time traffic includes reverse DNS and city-level geolocation. Know which geographic area security threats originate from.
  • Monitors disk space which is related to security because many DDoS attacks attempt to consume all disk space to create denial of service.

What login security features are included

  • See all your traffic in real-time, including robots, humans, 404 errors, logins and logouts and who is consuming most of your content. Enhances your situational awareness of which security threats your site is facing.
  • A real-time view of all traffic including automated bots that often constitute security threats that Javascript analytics packages never show you.
  • Real-time traffic includes reverse DNS and city-level geolocation. Know which geographic area security threats originate from.
  • Monitors disk space which is related to security because many DDoS attacks attempt to consume all disk space to create denial of service.

How will I be alerted if my site has a security problem?

Wordfence sends security alerts via email. Once you install Wordfence, you will configure a list of email addresses where security alerts will be sent. When you receive a security alert, make sure you deal with it promptly to ensure your site stays secure.

Do I need a security plugin like Wordfence if I’m using a cloud based firewall (WAF)?

Wordfence provides true endpoint security for your WordPress website. Unlike cloud based firewalls, Wordfence executes within the WordPress environment, giving it knowledge like whether the user is signed in, their identity and what access level they have. Wordfence uses the user’s access level in more than 80% of the firewall rules it uses to protect WordPress websites. Learn more about the Cloud WAF identity problem here. Additionally, cloud based firewalls can be bypassed, leaving your site exposed to attackers. Because Wordfence is an integral part of the endpoint (your WordPress website), it can’t be bypassed. Learn more about the Cloud WAF bypass problem here. To fully protect the investment you’ve made in your website you need to employ a defense in depth approach to security. Wordfence takes this approach.

What blocking features does Wordfence include?

  • Real-time blocking of known attackers. If another site using Wordfence is attacked and blocks the attacker, your site is automatically protected.
  • Block entire malicious networks. Includes advanced IP and Domain WHOIS to report malicious IP’s or networks and block entire networks using the firewall. Report WordPress security threats to network owner.
  • Rate limit or block WordPress security threats like aggressive crawlers, scrapers and bots doing security scans for vulnerabilities in your site.
  • Choose whether you want to block or throttle users and robots who break your WordPress security rules.
  • Premium users can also block countries and schedule scans for specific times and a higher frequency.

What differentiates Wordfence from other WordPress Security plugins?

  • Wordfence Security provides a WordPress Firewall developed specifically for WordPress and blocks attackers looking for vulnerabilities on your site. The Firewall is powered by our Threat Defense Feed which is continually updated as new threats emerge. Premium customers receive updates in real-time.
  • Wordfence verifies your website source code integrity against the official WordPress repository and shows you the changes.
  • Wordfence scans check all your files, comments and posts for URLs in Google’s Safe Browsing list. We are the only plugin to offer this very important security enhancement.
  • Wordfence scans do not consume large amounts of your bandwidth because all security scans happen on your web server which makes them very fast.
  • Wordfence fully supports WordPress Multi-Site which means you can security scan every blog in your Multi-Site installation with one click.
  • Wordfence includes Two-Factor authentication, the most secure way to stop brute force attackers in their tracks.
  • Wordfence fully supports IPv6 including giving you the ability to look up the location of IPv6 addresses, block IPv6 ranges, detect IPv6 country and do a whois lookup on IPv6 addresses and more.

Will Wordfence slow down my website?

No. Wordfence Security is extremely fast and uses techniques like caching its own configuration data to avoid database lookups and blocking malicious attacks that would slow down your site.

What if my site has already been hacked?

Wordfence Security is able to repair core files, themes and plugins on sites where security is already compromised. You can follow this guide on how to clean a hacked website using Wordfence. However, please note that site security cannot be assured unless you do a full reinstall if your site has been hacked. We recommend you only use Wordfence Security to get your site into a running state in order to recover the data you need to do a full reinstall. If you need help repairing a hacked site, we offer an affordable, high-quality site cleaning service that includes a Premium key for a year.

Does Wordfence Security support IPv6?

Yes. We fully support IPv6 with all security functions including country blocking, range blocking, city lookup, whois lookup and all other security functions. If you are not running IPv6, Wordfence will work great on your site too. We are fully compatible with both IPv4 and IPv6 whether you run both or only one addressing scheme.

Does Wordfence Security support Multi-Site installations?

Yes. WordPress Multi-Site is fully supported. Using Wordfence you can scan every blog in your network for malware with one click. If one of your customers posts a page or post with a known malware URL that threatens your whole domain with being blacklisted by Google, we will alert you in the next scan.

What support options are available for Wordfence users?

Providing excellent customer service is very important to us. We offer help to all our customers whether you are using the Premium or free version of Wordfence. For help with the free version, you can post in our forum where we have dedicated staff responding to questions. If you need faster or more in-depth help, Premium customers can submit a support ticket to our Premium support team.

Where can I learn more about WordPress security?

Designed for every skill level, The WordPress Security Learning Center is dedicated to deepening users’ understanding of security best practices by providing free access to entry-level articles, in-depth articles, videos, industry survey results, graphics and more.

Where can I find the Wordfence Terms of Use and Privacy Policy?

These are available on our website: Terms of Use and Privacy Policy

Wordfence и iThemes Security сравнение плагинов

Автор: @DDR5.RU · Опубликовано 30/04/2020 · Обновлено 30/06/2020

Приветствую всех! Сегодня хотелось бы поделится наблюдениями по поводу двух самых популярных плагинов для защиты сайта на CMS WordPress — это Wordfence security и iThemes security. В свое время, когда я пытался что то полезное для сравнения, мне так и не удалось найти хоть какую-то полезную сравнительную статью. Сейчас же мне хотелось заполнить этот пробел, чтобы другим соискателям было немного проще.

Сразу хочу заметить, что я не стану описывать полную настройку плагинов, а коснусь именно сравнения в плане особенностей настройки, некоторые плюсы и минусы со стороны пользователя. Техническую сторону мне не хотелось бы сильно затрагивать, так как оба представителя и Wordfence security и iThemes security — это очень мощные инструменты для защиты вашего сайта, блога или же магазина на WordPress. И даже при использовании бесплатного тарифа — это вас защитит от огромного количества посягательств на ваш ресурс. Итак, приступим…

Интерфейс

И в данном случае мы имеем на рассмотрение два полностью различающихся интерфейса. Которые с одной стороны отпугивают, а с другой делают настройку удобнее и прозрачнее.

Набор инструментов iThemes security

iThemes security представляется для пользователей, как более открытый и прозрачный в плане его защиты плагин. Как вы можете заметить, огромное количество отдельных подпунктов, в каждом из которых кроются различные настройки с подробным описанием, которые позволяют пользователю самому решать, а нужна ли определенная функция на его сайте и не будет ли она мешать определенным задачам, которые выполняются дополнительными скриптами.

И как не крути, но данный плагин предоставляет для пользователя намного больше возможностей, чем конкурент. Здесь и включение HTTPS, резервное копирование базы данных по графику, блокировка полного доступа в определенные дни и часы, скрытие страницы входа, изменение префикса базы данных и многое другое, что может значительно помочь веб мастеру. И именно поэтому, я считаю, что iThemes security подходит намного лучше, в нем все намного прозрачнее и понятнее, чем в Wordfence security. Я не стану далее рассматривать абсолютно всего не достающего инструментария, но вы должны знать, что он есть. Будете ли вы его полностью весь использовать или только его часть — это дело ваше, главное то, что разработчики Вам предоставили этот выбор и продумали все самое необходимое заранее.

Набор инструментов Wordfence security

Wordfence security предоставляет пользователю намного меньше пунктов для настройки, но при этом выполняет абсолютно те же действия, что и конкурент. С одной стороны — это довольно удобно и если вы даже новичок, вам не нужно задумываться какую галочку стоит ставить, а какую нужно пропустить. А вот с другой — это не совсем удобно, так как мы не совсем полностью понимаем, что именно скрыто от наших глаз.

Можно предположить, что в последствии в плагин будут добавлять и дополнительные настройки и инструменты, так как на данный момент он по функционалу немного уступает своему главному конкуренту.

Возьмем для примера один пункт iThemes security:

Открывая данный подпункт и проставляя галочки на каждой настройке, мы уже прекрасно понимаем, что именно мы включаем. Мы уже уверены, что никто не зайдет и не будет просматривать различные папки, что никто не изменит важные системные файлы и прочее.

В Wordfence security подобного пункта нет, но при этом он по умолчанию выполняет все это. А может не все?

Рассмотрим пункт — Отсеивать подозрительные запросы в УРЛ. Данный пункт иногда очень полезен, но так же он может мешать работе некоторых плагинов или скриптов. И в плагине от iThemes нам предоставляют выбор, что позволяет его отключить, при возникновении конфликтов.

Wordfence же нам такого выбора не дает и это не совсем правильно. Те кто пользовался этим плагином могли не раз замечать, что плагин самовольно блокирует работу определенных скриптов, могут не отображать некоторые рекламные блоки вставленные с помощью стороннего плагина даже не смотря на то, что вы вносите данный скрипт в белый список Wordfence. То есть плагин решает за вас, нужен ли этот скрипт на сайте или нет, что не всегда удобно.

И таких пунктов можно рассмотреть много, но наша задача общего сравнения, а не разбор попунктовой настройки.

Включение HTTPS

И этот пункт вгоняет меня просто в ступор. Все мы прекрасно знаем, что Google на протяжении многих лет призывает всех вебмастеров использовать защищенное SSL соединение. На данный момент уже более 70% всех вебресурсов используют SSL шифрование для передачи данных на своем сайте.

Но Wordfence почему то проигнорировал этот факт и не предоставляет пользователям возможности включить HTTPS с его помощью. Для включения защищенного протокола вам понадобится сторонний плагин. Что добавляет дополнительное неудобство и риск, так как некоторые плагины предоставляют шифрование не для всех файлов в бесплатной версии, а некоторые работают, но уже давно не обновлялись, что не добавляет вам защищенности. И этот недочет, я считаю огромным минусом плагина.

В плагине iThemes security переадресация на https протокол включается буквально несколькими кликами.

Доступность языковых пакетов

И тут для меня тоже загадка, почему такой популярный плагин, как Wordfence, до сих пор не обзавелся качественными языковыми локализациями. В плагине часть интерфейса на русском, а часть на английском. Как я писал выше, плагин вроде как призван упростить процесс настройки даже для новичка, но в этом пункте происходит расхождение и переводить большую часть интерфейса вам прийдется с помощью гугл переводчика, который далеко не всегда переводит дословно(корректно).

В iThemes security с этим полный порядок и придраться не к чему.

Информационность

Тут стоит отдать должное преимущество нашему англоязычному конкуренту, так как информативность стоит на высоте. Конечно, есть и сторонние плагины позволяющие смотреть посетителей и роботов в онлайне, но отмечать в нем угрозы и заблокированные никто не станет.

И часть пользователей, думаю, подкупает именно это. Приятно зайти в админку и наглядно увидеть от скольких угроз нас защитили.

В iThemes security тоже есть такая информация, но она записана в логах.

Дизайн и информативность не совсем можно сравнить, но это в очередной раз нам доказывает, что плагин iThemes security не гонится за показухой, а просто работает, защищает нас от угроз не требуя нашего дополнительного внимания.

Скрытие страницы входа

iThemes security позволяет нам скрыть станицу входа в считанные клики, что не может не радовать. Данная функция очень полезна на информационных ресурсах, где не предусмотрена регистрация пользователей. А атаки на страницы wp-login.php и wp-admin — это самое распространенное в инете, потому что каждый школьник надеется вас взломать таким образом. И скрытие просто отсеивает большую часть возможных атак на ваш сайт, чаще всего которые выполняются не людьми, а ботами.

К сожалению, Wordfence опять не продумал этот момент и вам прийдется решать этот момент сторонними плагинами, которые могут служить дополнительной угрозой.

Фаервол

Многие из вас начнут мне возражать и напомнят, что в Wordfence есть фаервол, который способен защитить вас еще до начала атаки. Возможно, вы будете правы, так как в iThemes security данная услуга только в платной версии.

Но стоит так же учитывать, что под громким словом Фаервол скрыта не совсем то значение, которые мы привыкли понимать и работает он совсем не в полную силу в бесплатной версии.

И если мы посмотрим на отчет Фаервола, то сможем заметить, что подобный пункт есть и у конкурента.

Но имеет немного другое название «Network Brute Force Protection».

Да это не совсем то, что нам обещает конкурент, но и за время тестирования, я так же не заметил ни одного отчета о защите от комплексной угрозы.

Сканер Wordfence

Сканер же от Wordfence может и является для кого-то полезным. Но чаще всего он находит не обновляемые плагины или замененные вами файлы в той же те оформления. И если вы поставите их замену и отключение в целях безопасности в автоматическом, то это может вызвать не всегда хорошие последствия.

Как известно, многое обнаруженное можно заменить и есть ничем не уступающие аналоги. Но не редко такие замены могут послужить нам и не добрую службу. Чего очень не хотелось бы на уже отлично настроенном и рабочем ресурсе.

Делать это конечно надо, но это не самое критичное.

Подведем итоги

В реальности мы имеем два действительно очень мощных инструмента для защиты сайта на WordPress. Очень популярные среди веб мастеров, так Wordfence имеет более миллиона установок, а iThemes security более 900 000. Но сразу стоило бы заметить, что данное количество не совсем верное, так как iThemes Security ранее назывался Better WP Security и имел на тот момент так же большое количество скачиваний.

В общем же счете два представленных плагина отлично выполняют свое предназначение даже в бесплатном применении. Обладают очень схожим, если не написать, одним и тем же инструментарием, но с разными названиями.

Что же касается удобства, то здесь я предпочтение отдаю iThemes, так как он более прозрачен в настройках и позволяет обойтись в самых важных моментах, таких как https или скрытие админки и др., обойтись внутренними силами, без прибегания к сторонним разработчикам. Большее же количество настроек позволяет нам самим сделать выбор в нужности каждого из них и отказаться от определенного в случае несовместимости с некоторым функционалом сайта. Но так же интерфейс плагина скрывает от пользователя настройки, которые могут быть ему не понятны, такие как правила блокировки ботов, IP и подобные, неверное изменение которых может отразится негативно на работе и ранжировании сайтов.

Бесспорно очень приятное оформление и онлайн отображение посетителей и ботов могут принести некую пользу, а так же и удовлетворение. Но стоит не забывать, что главное их предназначение — это защищать наш ресурс и при этом максимально автоматизировано. Требование постоянного нашего вмешательства не приемлемо в данном процессе, а особенно для веб мастеров, которые еще не совсем понимают последствия применения некоторых из настроек. (Именно такую попытку вмешательства мы сейчас можем наблюдать на наглядном примере Telegram и Роскомнадзора).

И все же не стоит забывать, какими бы ни были мощными данные плагины, что безопасность сайта обеспечивается только комплексными мерами. Так не забывайте выставлять рекомендуемые права на файлы и директории(обязательно учитывайте и рекомендации Хостинга), не пренебрегайте установкой капчи и плагинов для борьбы со спамом.Только их комплексная работа сможет защитить ваш ресурс!

Выбор конечно за вами, от себя же добавлю, что это действительно равноправные конкуренты и поэтому на каком бы из них вы не остановились, вы всегда сделаете правильный выбор!

Добавить комментарий