Sucuri: Wtyczka bezpieczeństwa, którą należy pilnie zainstalować?

Opublikowany: 2022-12-07

Szeroko otwarte usta. Ostre kły gotowe złamać biedne zwierzątko. Niekończące się ciało, które musi mieć blisko 30 stóp długości.

Wpisz „sucuri” w Google, a znajdziesz się twarzą w twarz z obrazami niektórych przerażających węży . Ale właściwie dlaczego? Cóż, po prostu dlatego, że słowo, które wpisałeś w wyszukiwarce, jest portugalskim tłumaczeniem anakondy.

Wąż próbuje kogoś zahipnotyzować.
Uważaj, aby nie dać się zahipnotyzować…

Powinieneś zdawać sobie sprawę, że na początku szukałem tylko więcej informacji o Sucuri, wtyczce bezpieczeństwa dla WordPress .

Na szczęście nie ma w tym nic złego. I nie pożre cię po aktywacji. Uff, możesz wziąć głęboki oddech!

Zamiast tego ta wtyczka ma pomóc w wyeliminowaniu innych drapieżników: paskudnych hakerów i innych plików oraz złośliwego oprogramowania, które mogą zainfekować Twoją witrynę.

Pod koniec tego artykułu dowiesz się, jak działa Sucuri (wtyczka, a nie wąż), a co ważniejsze, jak to skonfigurować krok po kroku. Gotowi na bezpieczny spacer? Sssss, postępuj zgodnie z instrukcją.

Przegląd

  1. Co to jest Sucuri?
    1. Dlaczego zabezpieczenie witryny WordPress jest ważne?
      1. Jak zainstalować Sucuri
        1. Jak skonfigurować i używać Sucuri Security
          1. Ile kosztuje Sucuri Security?
            1. Nasza ostateczna opinia na temat wtyczki bezpieczeństwa Sucuri

              Twoje najlepsze projekty WordPress potrzebują najlepszego hosta!

              WPMarmite poleca Bluehost: świetna wydajność, świetne wsparcie. Wszystko, czego potrzebujesz na dobry start.

              Wypróbuj BlueHost
              CTA Bluehost WPMarmite

              Co to jest Sucuri?

              Wtyczka Sucuri Security dla WordPress.

              Sucuri Security to wtyczka bezpieczeństwa WordPress, która oferuje zestaw narzędzi, które pomogą Ci chronić Twoją witrynę: audyt podstawowych plików WordPress (PHP, CSS, JavaScript), analiza złośliwego oprogramowania i programów, egzekwowanie bezpieczeństwa, alerty e-mail, działania zabezpieczające po włamaniu, itp.

              Założona w 2012 roku przez Daniela Cida firma Sucuri została przejęta w 2017 roku przez amerykańskiego giganta hostingowego GoDaddy , który od tamtej pory ją utrzymuje i rozwija.

              Po oferowaniu wtyczki premium do 2014 roku, wtyczka jest teraz całkowicie bezpłatna.

              Z ponad 800 000 aktywnych instalacji Sucuri jest jedną z najpopularniejszych wtyczek bezpieczeństwa WordPress w oficjalnym katalogu, obok konkurentów, takich jak Wordfence (ponad 4 miliony aktywnych instalacji), iThemes Security (ponad milion aktywnych instalacji) i All-in-One Security (ponad milion aktywnych instalacji) .

              Sucuri, bezpłatna wtyczka wspierana przez usługi premium

              Chociaż ma wtyczkę bezpieczeństwa dedykowaną CMS WordPress, firma Sucuri oferuje kilka usług premium opartych na chmurze w celu ochrony Twojej witryny, niezależnie od CMS ( system zarządzania treścią ), na którym działa: WordPress, Joomla, Magento, Drupal, Shopify itp.

              Wśród tych usług są:

              • Zapora sieciowa aplikacji (WAF) , która chroni Twój serwer WWW przed różnymi atakami: atakami DDOS (odmowa usługi), atakami siłowymi, złośliwym oprogramowaniem, phishingiem, oprogramowaniem ransomware itp. Ta zapora jest wyposażona w CDN (Content Delivery Network), aby zwiększyć szybkość ładowania Twojej strony.
                WAF może być używany samodzielnie lub jako dodatek do wtyczki Sucuri.
              • Platforma bezpieczeństwa Sucuri (Sucuri Website Security). Oprócz zapory ogniowej i CDN, Sucuri oferuje kilka usług do monitorowania bezpieczeństwa Twojej witryny i może zapewnić Ci dedykowany zespół do czyszczenia WordPressa w przypadku włamania.

              Chociaż te usługi są oddzielne i mogą być używane niezależnie od siebie, Sucuri stwierdza w oficjalnym katalogu, że jego wtyczka „uzupełnia twoje istniejące narzędzia bezpieczeństwa . Nie jest przeznaczony do zastąpienia produktów Sucuri Website Security lub Firewall”.

              Innymi słowy, jeśli chcesz jak najlepiej chronić swoją witrynę WordPress, samo użycie wtyczki nie wystarczy.

              Dlaczego zabezpieczenie witryny WordPress jest ważne?

              Zanim przeanalizujemy funkcje i inne ustawienia oferowane przez Sucuri, zatrzymajmy się na chwilę, aby rozważyć znaczenie bezpieczeństwa w instalacji WordPress.

              Korzystanie z dedykowanej wtyczki do ochrony to minimum, wiedząc, że żadna witryna WordPress nie jest nieomylna. Jako najczęściej używany CMS (system zarządzania treścią) na świecie, WordPress jest w naturalny sposób codziennie celem licznych ataków.

              Mówi się, że 2800 ataków na sekundę dotyczy instalacji WordPressa na całym świecie!

              Mężczyzna jest w szoku.

              Jednak nie panikuj. WordPress to bezpieczny CMS. W swoim raporcie bezpieczeństwa ekosystemu WordPress, ekspert bezpieczeństwa Patchstack wyjaśnia, że ​​96% luk w zabezpieczeniach pochodzi z kodu stron trzecich (wtyczek i motywów stron trzecich), w porównaniu z 4% w WordPress Core.

              Dlatego tak ważne jest, aby chronić swoją witrynę. Konsekwencje włamania mogą być katastrofalne i skutkować:

              • Utrata i kradzież wielu danych , mniej lub bardziej wrażliwych, zwłaszcza Twoich klientów.
              • Strata czasu , ponieważ będziesz musiał wyczyścić zhakowaną witrynę i zaktualizować wszystko.
              • Nieplanowane wydatki finansowe , zwłaszcza jeśli wezwiesz eksperta ds. bezpieczeństwa.
              • Degradacja wizerunku Twojej marki i możliwa utrata zaufania obecnych użytkowników i/lub przyszłych klientów.

              Rozumiesz: nie zaniedbuj aspektu bezpieczeństwa swojej witryny. Przejdźmy do szczegółowej prezentacji Sucuri.

              Jak zainstalować Sucuri

              Krok 1: Aktywuj wtyczkę Sucuri w WordPress

              Aby rozpocząć, zainstaluj wtyczkę z interfejsu administracyjnego poprzez menu Wtyczki > Dodaj nowe . Kliknij „Zainstaluj teraz”:

              Sucuri można zainstalować z pulpitu nawigacyjnego WordPress.

              Pamiętaj, aby aktywować wtyczkę. Następnie znajdziesz nowe menu o nazwie „Sucuri Security” na lewym pasku bocznym zaplecza WordPress:

              Menu wtyczki Sucuri Security.

              Krok 2: Wygeneruj klucz API

              Aby aktywować niektóre dodatkowe narzędzia oferowane przez wtyczkę, Sucuri zaleca wygenerowanie klucza API.

              API oznacza interfejs programowania aplikacji. Jak wyjaśniono bardzo jasno w tym artykule, „interfejsy API to mechanizmy, które umożliwiają dwóm składnikom oprogramowania komunikację ze sobą przy użyciu zestawu definicji i protokołów”.

              Aby to zrobić, kliknij przycisk „Generuj klucz API” u góry pulpitu nawigacyjnego:

              Generowanie klucza API za pomocą Sucuri.

              W oknie, które pojawi się na ekranie, wybierz adres e-mail powiązany z kontem, a następnie zaakceptuj warunki korzystania z usługi (jeśli wyrażasz na to zgodę). Kliknij „Prześlij”, gdy będziesz gotowy.

              Możesz wybrać konto administratora powiązane z kluczem API.

              I masz to! Sucuri jest gotowy do pracy. Jak mówi ci po wygenerowaniu klucza API, nie jest to szybkie rozwiązanie dla twoich potrzeb bezpieczeństwa ; nie zastępuje Sucuri Website Security ani Firewall, ale pozwoli ci być bardziej świadomym bezpieczeństwa i zająć lepsze stanowisko w celu zmniejszenia ryzyka”.

              Teraz dowiedzmy się, jak skonfigurować wtyczkę, przeglądając menu po menu.

              Dołącz do subskrybentów WPMarmite

              Zdobądź ostatnie posty WPMarmite (a także ekskluzywne zasoby).

              ZAPISZ SIĘ TERAZ
              Biuletyn WPMarmite w języku angielskim

              Jak skonfigurować i używać Sucuri Security

              Omówienie pulpitu nawigacyjnego Sucuri

              Pierwszym menu głównym oferowanym przez Sucuri Security jest Dashboard. Tutaj znajdziesz wyniki audytu przeprowadzonego przez wtyczkę na Twojej stronie.

              Mówiąc konkretnie, Sucuri sprawdza twoją instalację WordPressa pod kątem wszelkich zmian w podstawowych plikach WordPressa (tych, które znajdziesz za każdym razem, gdy pobierasz CMS).

              Sucuri automatycznie skanuje pliki w katalogach root, wp-admin i wp-includes, a następnie porównuje je z plikami dystrybuowanymi z główną wersją WordPressa zainstalowaną na Twojej stronie (w moim przypadku 6.1.1).

              Gdy tylko Sucuri wykryje plik z niespójnościami, wyświetli go na pulpicie nawigacyjnym.

              Jeśli występuje problem, pojawia się czerwony „X”, któremu towarzyszy niezbyt uspokajający komunikat tego samego koloru: „ Podstawowe pliki WordPress zostały zmodyfikowane ”.

              Sucuri może poinformować Cię, czy Twoje podstawowe pliki WordPress zostały edytowane.

              Pliki mogły zostać zhakowane. W moim przypadku Sucuri zgłasza dwie rzekome anomalie w pliku .txt i pliku error.log.

              Ten ostatni zawiera dzienniki błędów, które wystąpiły w Twojej witrynie (w szczególności błędy PHP). Następnie mam kilka opcji rozwiązania problemów:

              • Oznacz plik jako fałszywy alarm , jeśli na przykład jest to plik, który sam dodałem. Sucuri zignoruje to podczas przyszłych skanów.
              • Usuń plik , jeśli uważasz, że jest złośliwy.
              • Przywróć pierwotną wersję pliku .
              Istnieje kilka możliwości rozwiązania problemów znalezionych przez Sucuri.

              To skanowanie jest wygodne, ale jest jeden główny problem: początkującemu nadal trudno jest stwierdzić, czy rzekomo nieprawidłowy plik powoduje prawdziwy problem z bezpieczeństwem w Twojej witrynie, czy nie.

              W rezultacie tak naprawdę nie wiemy, co robić . Zostawić plik bez zmian? Przywrócić pierwotną wersję? Usunąć go, nawet jeśli oznacza to podjęcie ryzyka usunięcia ważnych danych? Niełatwo to rozgryźć.

              Pod wkładką poświęconą analizie rdzenia WordPress, oprócz dzienników audytu, znajdziesz kilka zakładek wskazujących na zmiany, które zaszły na:

              • Elementy iframe (tagi HTML)
              • Spinki do mankietów
              • Skrypty

              Na koniec Sucuri podaje również kilka zaleceń, aby wzmocnić bezpieczeństwo mojej instalacji, sugerując na przykład usunięcie nieużywanych wtyczek lub wyłączenie edytora plików w administracji:

              Sucuri podaje również zalecenia dotyczące bezpieczeństwa.

              Zapora aplikacji: Firewall (WAF)

              Drugie podmenu Sucuri dotyczy zapory sieciowej Sucuri. Aby z tego skorzystać, musisz wybrać jeden z planów premium oferowanych przez Sucuri .

              Jeśli chcesz wykonać ten krok, wystarczy dodać swój klucz API w odpowiednim polu.

              Gdy ta zapora jest aktywna, Sucuri zapewnia, że ​​Twoja witryna będzie chroniona przed atakami i zapobiegnie infekcjom złośliwym oprogramowaniem oraz ponownym infekcjom.

              Ponadto zapora „ zablokuje próby wstrzyknięcia kodu SQL, ataki typu brute force, XSS (skrypty site-to-site), RFI (osadzenie zdalnego pliku na serwerze), backdoory (zdalny dostęp do Twojej witryny) i wiele innych zagrożeń do Twojej witryny”.

              Za pomocą zakładek ustawień możesz także:

              • Zablokuj określone adresy IP , wprowadzając je ręcznie, aby uniemożliwić im dostęp do Twojej witryny.
              • Włącz buforowanie , co poprawi wydajność Twojej witryny WordPress.
              Ustawienia zapory sieciowej Sucuri.

              Menu związane z logowaniami: Ostatnie logowania

              Przejdźmy do trzeciego menu wtyczki Sucuri: „Ostatnie logowanie”. Dostępne są cztery zakładki:

              • Wszyscy użytkownicy” pokazuje wszystkich użytkowników, którzy pomyślnie zalogowali się do administratora WordPress
              • Administratorzy” pokazuje wszystkie osoby, które mają konto „admin” w Twojej witrynie
              • Zalogowani użytkownicy” wyszczególniają wszystkich aktualnie zalogowanych użytkowników
              • Nieudane logowanie” pokazuje nieudane próby zalogowania się na stronę logowania. Pomoże ci to bardzo szybko zobaczyć, na przykład, czy jesteś ofiarą ataków siłowych.
              Karta „Nieudane logowanie” w Sucuri.
              Uff, jeszcze nikt nie atakował mojej strony!

              Menu ustawień Sucuri

              I wreszcie ostatnie menu i to najobfitsze. Tutaj znajdziesz kilka głównych funkcji Sucuri, które szczegółowo omówimy, karta po karcie.

              Karta Ustawienia ogólne

              Karta Ustawienia ogólne zawiera kilka wstawek. Obejmują one niektóre z następujących elementów, które można modyfikować:

              • Katalog ze wszystkimi dziennikami bezpieczeństwa („Przechowywanie danych”)
              • Eksporter dziennika
              • Odwrotne proxy, które możesz aktywować
              • Moduł do importowania i eksportowania ustawień Sucuri do innej witryny WordPress
              Eksporter kłód na Sucuri.

              Karta Skaner

              Zakładka „Skaner” zawiera bezpłatne narzędzie oferowane przez Sucuri o nazwie SiteCheck. To narzędzie przeskanuje Twoją witrynę pod kątem:

              • Złośliwe oprogramowanie
              • Błędy na Twojej stronie WordPress
              • Przestarzałe oprogramowanie
              • Anomalie bezpieczeństwa

              W szczególności Sucuri pokazuje:

              • Zadania zaplanowane podczas skanowania („zaplanowane zadania”). Domyślnie skanowanie odbywa się raz dziennie.
              • Narzędzie „WordPress Integrity Diff”, które porównuje pliki na Twoim serwerze z oryginalnymi plikami Twojej witryny (katalogi główne, motywy, wtyczki i podstawowe pliki WP).
              • Wykryto fałszywe alarmy .
              • Opcja wykluczenia niektórych plików i folderów podczas skanowania , zwłaszcza jeśli są one zbyt duże.
              Sucuri pozwala wykluczyć określone pliki ze skanowania.

              Zakładka utwardzanie

              Zakładka „Zaostrzanie” zawiera listę dziesięciu środków bezpieczeństwa, które można zastosować, aby zapobiec możliwym atakom. Wzmocnią bezpieczeństwo Twojej instalacji WordPressa.

              Na przykład jednym kliknięciem możesz:

              • Zablokuj wykonywanie niektórych plików PHP w katalogach wp-content i wp-includes
              • Wyłącz edytor plików w swoim interfejsie administracyjnym, aby uniemożliwić hakerom modyfikowanie twoich plików
              • Usuń wyświetlanie swojej wersji WordPress
              • Sprawdź, czy Twoja wersja WordPress jest aktualna
              Sucuri oferuje zakładkę z sugestiami dotyczącymi poprawy bezpieczeństwa Twojej witryny.

              Na dole strony można również ręcznie wykluczyć niektóre pliki PHP, których działanie zostało zablokowane.

              Jako środek ostrożności wykonaj kopię zapasową witryny (pliki + baza danych), aby zastosować jeden z tych środków. Możesz użyć wtyczki do tworzenia kopii zapasowych, takiej jak UpdraftPlus. A jeśli to możliwe, kontynuuj w środowisku testowym, a nie produkcyjnym .

              Zakładka po włamaniu

              Jak sama nazwa wskazuje, zakładka „Po włamaniu” oferuje kilka środków, które należy zastosować natychmiast po zhakowaniu witryny. Więc mam nadzieję, że nigdy nie będziesz musiał z niego korzystać! ^^

              Oto, co możesz zrobić:

              • Wygeneruj nowe klucze bezpieczeństwa . Znajdują się one w pliku wp-config.php i pozwalają na lepsze szyfrowanie niektórych informacji, zwłaszcza cookies użytkownika, który łączy się z administracją Twojej strony. Jeśli haker jest w posiadaniu tych plików cookie, będzie mógł połączyć się z Twoją witryną nawet po zresetowaniu hasła — chyba że zmienisz klucze bezpieczeństwa!
              • Zaktualizuj hasła użytkowników
              • Ponownie zainstaluj wtyczki swojej witryny
              • Zaktualizuj motywy i wtyczki
              Sucuri umożliwia aktualizację tajnych kluczy.

              Zakładka Alerty Sucuri

              W zakładce Alerty możesz skonfigurować ustawienia związane z alertami bezpieczeństwa, które Sucuri wyśle ​​Ci e-mailem.

              Domyślnie wtyczka wysyła powiadomienia bezpieczeństwa do głównego administratora strony (tego utworzonego podczas jej instalacji). Możesz jednak określić inne adresy e-mail, na które chcesz otrzymywać te powiadomienia.

              Możesz także zarządzać typami otrzymywanych alertów i autoryzować zaufane adresy IP, aby nie generowały alertów.

              Na przykład możesz określić:

              • Maksymalna liczba alertów do odebrania na godzinę (od pięciu godzin do nieograniczonej)
              • Liczba nieudanych prób połączenia na godzinę (ataków siłowych) przed wysłaniem alertu e-mail
              • Zdarzenia, które wywołają alert bezpieczeństwa (np. zmiany w ustawieniach wtyczek, utworzenie nowego loginu, dezaktywacja motywu lub wtyczki itp.)
              Sucuri wysyła alerty bezpieczeństwa pocztą elektroniczną.

              Aby być całkowicie kompleksowym, Sucuri oferuje dwie inne zakładki ustawień: „Komunikacja usługi API” i „Informacje o witrynie”. Te dwie zakładki nie regulują konkretnych ustawień: dostarczają informacji o Twoim interfejsie API i Twojej witrynie WordPress.

              Po tym szerokim omówieniu proponuję przejść do końcowej części artykułu. Najpierw porozmawiamy o cenie Sucuri, a następnie przedstawię swoją opinię na temat tej wtyczki zabezpieczającej.

              Ile kosztuje Sucuri Security?

              Sucuri jest przedstawiane jako darmowa wtyczka, co jest prawdą… ale z ograniczeniami.

              Rzeczywiście, jeśli chcesz korzystać z zapory aplikacji oferowanej przez Sucuri, musisz zapłacić. A jeśli chodzi o bezpieczeństwo, wysoce zalecane jest użycie zapory ogniowej.

              Ta opcja, która obejmuje również dostęp do CDN, jest oferowana od 9,99 USD miesięcznie za korzystanie z jednej witryny.

              Ceny firewalla Sucuri.

              Z drugiej strony Sucuri oferuje znacznie bardziej kompleksowy pakiet bezpieczeństwa o nazwie Website Security Platform. Ceny zaczynają się od 199,99 USD rocznie za korzystanie z jednej witryny.

              Ten plan cenowy obejmuje oczywiście zaporę ogniową Sucuri, CDN, a także usuwanie złośliwego oprogramowania i pirackich plików przez wewnętrznych ekspertów :

              Ceny platformy bezpieczeństwa witryn Sucuri.

              Dowiedz się, jak zainstalować i skonfigurować wtyczkę bezpieczeństwa #WordPress #Sucuri, a także jej niezbędne funkcje.

              Kliknij, aby tweetować

              Nasza ostateczna opinia na temat wtyczki bezpieczeństwa Sucuri

              Podsumowując, co powinieneś sądzić o Sucuri? Aby odpowiedzieć na to pytanie, omówię dwa kluczowe aspekty przy wyborze wtyczki: łatwość użycia i wydajność.

              Przede wszystkim o obsłudze. Niekoniecznie jest to skomplikowane, ponieważ Sucuri zdecydowało się zaoferować jasne opcje, dobrze rozmieszczone w różnych zakładkach.
              Menu nie jest zbyt przeładowane, a wykonanie czynności jest bardzo łatwe (w większości przypadków wystarczy jedno kliknięcie).

              Z drugiej strony dziedzina bezpieczeństwa pełna jest terminów technicznych — Sucuri nie ma z tym nic wspólnego — a początkujący użytkownik nie zawsze będzie w stanie zrozumieć, co mu się zaleca lub co powinien zrobić. Jest to pierwsze ograniczenie, na które należy zwrócić uwagę.

              Przejdźmy do wydajności wtyczki. Sucuri to przede wszystkim narzędzie do monitorowania zaprojektowane w celu ostrzegania o problemach z bezpieczeństwem w WordPress . Skanuje twoje strony w poszukiwaniu anomalii, wysyła alerty w przypadku problemów itp.

              Ale wtyczka tak naprawdę nie pozwala na rozwiązywanie problemów z bezpieczeństwem (z wyjątkiem kilku drobnych aspektów), chyba że po włamaniu (ale wtedy będzie już za późno).

              Jedną z głównych tarcz bezpieczeństwa jest zastosowanie zapory ogniowej. Sucuri oferuje jeden, ale tylko w swojej ofercie płatnej.

              Pobierz wtyczkę Sucuri:

              Ściągnij

              Podsumowując, nie polecam darmowej wtyczki, jeśli chcesz skutecznie chronić swoją witrynę WordPress .

              Czy podzielasz moją opinię i czy używasz Sucuri? Daj mi swoją opinię, publikując komentarz.