Jak zabezpieczyć WordPressa za pomocą Wordfence Security

Zarządzanie witryną WordPress oznacza przechodzenie przez różne emocje. Czasami pojawia się radość, na przykład gdy widzisz, że Twoje treści powoli zajmują pozycje w Google.

Czasami pojawia się złość, gdy witryna ulega awarii po aktualizacji. A czasami nawet czujesz strach . Właśnie wtedy Twoja witryna została zaatakowana przez hakerów, co jest niedogodnością, która nie dotyczy tylko innych osób.

Aby uniknąć zimnych potów w przyszłości i chronić swoją witrynę, użyj wtyczki bezpieczeństwa.

Najbardziej znany w oficjalnym katalogu nazywa się Wordfence Security . Ponieważ trudno go zignorować, przetestowaliśmy go, aby dowiedzieć się, co ma w zanadrzu.

Pod koniec tego artykułu dowiesz się, jak go skonfigurować i używać.

Twoje najlepsze projekty WordPress potrzebują najlepszego hosta!

WPMarmite poleca Bluehost: świetna wydajność, świetne wsparcie. Wszystko, czego potrzebujesz na dobry start.

Wypróbuj BlueHost

Co to jest bezpieczeństwo Wordfence?

Wordfence Security to wtyczka zwiększająca bezpieczeństwo Twojej witryny WordPress. Oferuje kilka funkcji do ochrony instalacji, w tym zaporę sieciową aplikacji, skaner złośliwego oprogramowania, uwierzytelnianie dwuskładnikowe i ochronę przed atakami siłowymi.

Z ponad 4 milionami aktywnych instalacji jest najpopularniejszą wtyczką bezpieczeństwa w oficjalnym katalogu wtyczek, wyprzedzając iThemes Security (ponad milion aktywnych instalacji), All in One Security (ponad milion aktywnych instalacji) i Sucuri 800K+ aktywnych instalacji ) .

Wtyczka Wordfence Security, zwana także „Wordfence Free”, jest bezpłatna. Jednak Wordfence oferuje również kilka płatnych opcji:

• Wordfence Premium : jeszcze bardziej kompletna wersja niż darmowa wtyczka, z włączoną obsługą.
• Wordfence Care : zespół narzędzi bezpieczeństwa instaluje Wordfence, konfiguruje go, optymalizuje i monitoruje Twoją witrynę. W przypadku problemów związanych z bezpieczeństwem interweniuje dedykowany zespół.
• Wordfence Response , usługa dedykowana witrynom WordPress, w których przestój ma wpływ finansowy. Usługa ta przeznaczona jest głównie dla dużych serwisów o dużym ruchu oraz dla sklepów e-commerce.
• Wordfence Intelligence : przeznaczony głównie dla hostów internetowych, którzy chcą zbierać ogólne dane dotyczące bezpieczeństwa.

Pamiętaj, że zespół WordFence oferuje również dwie inne bezpłatne wtyczki w oficjalnym katalogu. Wordfence Assistant to wtyczka, która przyda się, jeśli Wordfence jest aktywny na Twojej stronie, ale nie masz już dostępu do pulpitu nawigacyjnego. Wordfence Login Security zawiera niektóre funkcje zawarte już w darmowej wtyczce: uwierzytelnianie dwuskładnikowe, ochronę XML-RPC i CAPTCHA na stronie logowania. Nie ma potrzeby aktywowania go, jeśli już korzystasz z Wordfence Security.

Jakie są główne cechy zabezpieczeń Wordfence?

Wordfence Security to kompleksowe rozwiązanie zabezpieczające, które działa na kilku poziomach. Aby z niego skorzystać, użytkownik korzysta z kilku kluczowych opcji:

• Zapora sieciowa aplikacji (WAF) , która identyfikuje i blokuje złośliwy ruch z twojego serwera WWW (a nie w chmurze, jak oferuje na przykład jej konkurent Sucuri)
• Skaner złośliwego oprogramowania , który blokuje żądania zawierające złośliwy kod lub zawartość
• Ochrona przed atakami brute-force poprzez ograniczenie liczby prób połączenia do Twojej strony logowania administratora
• Uwierzytelnianie dwuskładnikowe , aby dodać dodatkową warstwę bezpieczeństwa podczas logowania do witryny WordPress
• reCAPTCHA na stronach logowania, aby zapobiec logowaniu się botów i ograniczyć spam
• Powiadomienia e-mail w przypadku wykrycia problemu z bezpieczeństwem
• Platforma o nazwie Wordfence Central do zarządzania bezpieczeństwem wielu witryn w jednym miejscu. Działa na tej samej zasadzie co ManageWP, który pozwala na utrzymanie stron WordPress.

Dlaczego warto używać wtyczki zabezpieczającej, takiej jak WordFence?

Jak być może już wiesz, WordPress jest najczęściej używanym CMS (systemem zarządzania treścią) na świecie, z 63,7% udziałem w rynku.

Poza tym obsługuje prawie jedną na dwie witryny na całym świecie (spośród miliona witryn generujących największy ruch).

Ta dominująca pozycja zaostrza apetyt ludzkich hakerów, a zwłaszcza złośliwych botów, które działają automatycznie, takich jak:

• Boty spamujące
• Roboty, które zgarniają (wyodrębniają) Twoje treści
• Boty przeprowadzające ataki typu „odmowa usługi” (DoS) lub rozproszona odmowa usługi (DDoS).

W sumie 90% ataków na CMS dotyczy WordPressa. A 2800 ataków na sekundę dotyczy w szczególności instalacji WordPress na całym świecie!

Zapewniamy: na szczęście WordPress nie jest sitem. Według raportu opublikowanego w 2021 roku przez eksperta ds. bezpieczeństwa Patchstack, tylko 0,58% luk w zabezpieczeniach pochodzi z WordPress Core .

Głównym winowajcą są wtyczki, które same odpowiadają za 92,81% luk w zabezpieczeniach (w porównaniu do 6,61% w przypadku motywów).

Niektóre z wyników badania Patchstack mówią same za siebie i wzywają do bardzo poważnego potraktowania kwestii bezpieczeństwa:

• Średnio 42% witryn WordPress ma zainstalowany co najmniej jeden wrażliwy komponent (wtyczka lub motyw).
• Luki w zabezpieczeniach wzrosły o 150% w latach 2020-2021
• 29% wtyczek WordPress zawierających krytyczne luki nie zostało załatanych

Więc rozumiesz, co mam na myśli: konieczne jest, aby Twoja witryna WordPress była chroniona w celu wzmocnienia jej bezpieczeństwa.

W tym celu wtyczka taka jak Wordfence może wykonać zadanie. Poniżej pokażę, jak go zainstalować.

Jak zainstalować Wordfence w trzech krokach

Krok 1: Aktywuj wtyczkę na pulpicie nawigacyjnym WordPress

Pierwszym krokiem jest zainstalowanie wtyczki z interfejsu administratora WordPress.

Przejdź do menu Wtyczki > Dodaj nowy i wpisz „Wordfence” w pasku wyszukiwania:

Kliknij przycisk „Zainstaluj teraz” obok „Wordfence Security – Firewall & Malware Scan”, a następnie aktywuj wtyczkę.

Krok 2: Uzyskaj klucz licencyjny Wordfence

Po aktywacji wtyczki pojawi się okno z prośbą o uzyskanie licencji Wordfence. Jest to warunek konieczny do skorzystania ze wszystkich opcji darmowej wtyczki .

Kliknij przycisk „Uzyskaj licencję Wordfence”:

Nastąpi przekierowanie do strony cenowej Wordfence na oficjalnej stronie internetowej. Kliknij przycisk „Uzyskaj bezpłatną licencję”, aby otrzymać klucz do bezpłatnej wersji wtyczki:

Na ekranie otworzy się nowe okno. Wordfence pyta, czy na pewno chcesz korzystać z jego bezpłatnej wersji, i wyjaśnia główną zaletę wersji premium: gdy tylko zespół wtyczki wdroży środek ochrony na zaporze lub skanerze złośliwego oprogramowania, jest on aktualizowany w czasie rzeczywistym na wersja premium (w porównaniu do 30 dni później w wersji darmowej).

Ponieważ chcę tylko skorzystać z darmowej wtyczki, kliknąłem „Nie mam nic przeciwko, czekam 30 dni na ochronę przed nowymi zagrożeniami”:

W następnym oknie wpisz swój adres e-mail, zaznacz pola i kliknij „Zarejestruj się”:

Krok 3: Zainstaluj licencję na WordPress

Teraz przejdź do swojej skrzynki e-mail. Powinieneś otrzymać wiadomość e-mail od Wordfence.

Wewnątrz znajdziesz swój klucz licencyjny, dzięki czemu możesz go aktywować ręcznie. Aby poruszać się jeszcze szybciej, Wordfence oferuje również automatyczną aktywację . Aby to zrobić, kliknij przycisk „Zainstaluj moją licencję automatycznie”:

Zostaniesz przekierowany do pulpitu nawigacyjnego WordPress, z już wypełnionymi polami „E-mail” i „Klucz licencyjny”. Zakończ, klikając „Zainstaluj licencję”:

Dobra robota: wtyczka jest już uruchomiona. Na lewym pasku bocznym, w interfejsie administracyjnym, masz teraz nowe menu o nazwie „Wordfence”, zawierające wszystkie ustawienia oferowane przez wtyczkę:

Przyjrzyjmy się im teraz, aby zobaczyć, co kryje się pod maską wtyczki.

Jak skonfigurować wtyczkę Wordfence Security

Jak działa pulpit bezpieczeństwa Wordfence?

Rdzeniem wtyczki jest jej pulpit nawigacyjny.

Oferuje szybkie skróty umożliwiające dostęp do różnych opcji oferowanych przez wtyczkę , które można również znaleźć w menu znajdującym się na lewym pasku bocznym.

Jednym kliknięciem możesz skorzystać z:

• Zapora aplikacji
• Skaner złośliwego oprogramowania
• Centrala Wordfence. Aby skorzystać z tej usługi, która umożliwia aktualizowanie zabezpieczeń witryn z tego samego pulpitu nawigacyjnego, należy utworzyć bezpłatne konto. Może to być przydatne, jeśli chcesz zarządzać bezpieczeństwem kilku witryn jednocześnie. Do użytku indywidualnego, pomiń to.
• Ogólne opcje konfiguracji alertów e-mail, zapory sieciowej i ustawień skanera
• Dostęp do dokumentacji wtyczki
• Dziennik powiadomień
• Podsumowanie zablokowanych ataków na Twoją witrynę WordPress
• Wykres przedstawiający całkowitą liczbę ataków zablokowanych w całej sieci Wordfence

Deska rozdzielcza jest przejrzysta i zrozumiała; łatwo jest znaleźć drogę wśród różnych opcji.

Jak korzystać z zapory aplikacji

Ochrona przed wielokrotnymi atakami

Jedną z głównych cech Wordfence jest zapora aplikacji.

Może identyfikować złośliwy ruch i blokować hakerów i inne złośliwe boty, zanim uzyskają dostęp do Twojej witryny.

Zapora jest dostępna przez Wordfence > Zapora sieciowa . Chroni Twoją witrynę przed następującymi atakami:

• SQL injection , czyli ataki na Twoją bazę danych
• Cross-site scripting (XSS): złośliwy kod jest wstrzykiwany do treści twoich stron
• Złośliwe pobieranie plików
• Ataki polegające na przeglądaniu katalogów
• Luki w zabezpieczeniach Local File Inclusion (LFI), w których zdalne pliki są dodawane do twojego serwera WWW

Domyślnie zapora jest w trybie uczenia się przez tydzień, począwszy od momentu zainstalowania wtyczki.

„Dzięki temu Wordfence może poznać Twoją witrynę, aby zrozumieć, jak ją chronić i jak przepuszczać zwykłych gości przez zaporę” — mówi Wordfence. „ Zalecamy pozostawienie Wordfence w trybie nauki przez tydzień przed aktywacją zapory.”

Jeśli chcesz zastąpić te zalecenia, kliknij „Włączone i chronione” w rozwijanym menu poniżej:

Jak wspomniano wcześniej, tylko wersja premium wtyczki otrzymuje aktualizację zapory sieciowej w czasie rzeczywistym, gdy zespół Wordfence wykryje nowe zagrożenie (globalnie, niekoniecznie atak skierowany na Twoją witrynę). Darmowa wersja zapory jest aktualizowana po 30 dniach od wykrycia zagrożenia.

Dołącz do subskrybentów WPMarmite

Zdobądź ostatnie posty WPMarmite (a także ekskluzywne zasoby).

ZAPISZ SIĘ TERAZ

Jak działa zapora sieciowa Wordfence Security

Domyślnie wtyczka skonfigurowała podstawowe ustawienia w celu wzmocnienia bezpieczeństwa Twojej witryny. Ale nadal możesz dostosować nieco bardziej techniczne ustawienia, korzystając z dodatkowych opcji:

Wśród nich są:

• Dodawanie niektórych adresów IP do białej listy
• Wprowadzanie adresów IP, które mają być ignorowane przez zaporę
• Konfigurowanie ochrony przed atakami siłowymi . Na przykład możesz określić, ile nieudanych prób logowania jest wymaganych, aby uniemożliwić dostęp do Twojej strony logowania (i na jak długo).
  Oszczędza to korzystania z dodatkowej wtyczki, takiej jak Ogranicz próby ponownego załadowania logowania.
  

Gdy zapora działa prawidłowo, kółka pokazują poziom ochrony (w procentach). Gdy kółko jest szare, zapora jest w trybie uczenia się.

Celem jest osiągnięcie wyniku 100% (kolor zielony). Możesz to osiągnąć, postępując zgodnie z podanymi zaleceniami, umieszczając kursor myszy nad każdym okręgiem:

Jednak wynik 100% nie zawsze będzie możliwy do osiągnięcia dzięki darmowej wersji wtyczki.

Aby to osiągnąć, będziesz musiał skorzystać z opcji premium, takich jak blokowanie adresów IP w czasie rzeczywistym.

Zakładka Blokowanie zapory aplikacji

Oprócz reguł zapory, które chronią przed różnymi atakami, Wordfence ma również niestandardowe funkcje dodatkowego blokowania. Dostęp do nich można uzyskać za pomocą zakładki „Blokowanie”:

Możesz tworzyć reguły blokowania na podstawie:

• adres IP
• Obszar geograficzny
• Zestaw kryteriów (Custom Pattern), takich jak sieć adresów IP lub przeglądarki internetowe

Aby uzyskać więcej informacji na ten temat, obejrzyj ten film:

Jak korzystać ze skanera złośliwego oprogramowania

Przejdźmy do skanera oferowanego przez wtyczkę, dostępnego przez Wordfence > Skanuj .

Narzędzie do skanowania skanuje Twoją witrynę (podstawowe pliki, motywy i wtyczki) w poszukiwaniu: złośliwego oprogramowania, złych adresów URL, backdoorów, zdalnego dostępu do Twojej witryny, spamu SEO, złośliwych przekierowań i innych wstrzyknięć kodu.

Podczas skanowania wtyczka „porównuje twoje podstawowe pliki, motywy i wtyczki z tym, co znajduje się w katalogu WordPress.org”, szczegóły bezpieczeństwa Wordfence. „Sprawdza ich integralność i powiadamia o wszelkich zmianach”.

Początkowo skanowanie skupia się na sprawdzaniu spamu i adresów IP znajdujących się na czarnej liście (tylko dla wersji premium). Następnie przechodzi do skanowania plików witryny i dostarczania wyników.

W moim przypadku wtyczka ostrzega mnie, że używam zbyt niepewnego loginu administratora („admin”). Mogę wtedy rozwiązać ten problem, klikając „Edytuj” lub po prostu go zignorować:

Jeśli chodzi o zaporę ogniową, kółka pokazują mi elementy, które należy zoptymalizować, aby osiągnąć wynik 100%.

Klikając „Opcje i harmonogramy skanowania”, można również edytować bardziej szczegółowe ustawienia.

Aby zoptymalizować wydajność, możesz na przykład:

• Wybierz uruchamianie skanera w ograniczonym zakresie, aby zaoszczędzić przepustowość (pamiętaj, że Wordfence działa na twoim serwerze internetowym, więc zużywa zasoby)
• Ręcznie ogranicz liczbę elementów do skanowania

Jak włączyć uwierzytelnianie dwuskładnikowe

Po zaporze i skanerze witryn WordFence Security sugeruje swoim użytkownikom włączenie uwierzytelniania dwuskładnikowego (Wordfence 2FA).

Uwierzytelnianie dwuskładnikowe dodaje dodatkowy środek bezpieczeństwa do logowania się do witryny WordPress .

Po wprowadzeniu nazwy użytkownika i hasła zostaniesz poproszony o skorzystanie z urządzenia, często smartfona lub tabletu, w celu zweryfikowania procesu logowania.

Jest to metoda stosowana już przez instytucje bankowe przy dokonywaniu płatności online. Jest bardzo skuteczny w ochronie przed atakami brute force.

Aby z niego skorzystać, przejdź do menu Wordfence > Bezpieczeństwo logowania . Podsumowując, musisz:

• Zainstaluj na swoim smartfonie aplikację do uwierzytelniania , taką jak Google Authenticator, Sophos Mobile Security lub FreeOTP Authenticator.
• Zeskanuj kod QR oferowany przez Wordfence w wybranej aplikacji uwierzytelniającej (1).
• Wprowadź 6-cyfrowy kod wyświetlony po zeskanowaniu kodu QR, aby autoryzować połączenie między Twoją witryną WordPress a aplikacją (2).

Jeśli chcesz zobaczyć ten proces aktywacji wizualnie, sprawdź ten zasób:

Uwierzytelnianie dwuskładnikowe można skonfigurować dla wszystkich ról użytkowników, od administratora do subskrybenta, na karcie Ustawienia:

Nadal w zakładce „Ustawienia” w menu „Bezpieczeństwo logowania” możesz również włączyć Google reCAPTCHA w wersji 3, aby chronić przed spamem na stronie logowania administratora. Do działania ta usługa wymaga bezpłatnego klucza licencyjnego od Google.

Inne narzędzia oferowane przez Wordfence Security

Wycieczka właściciela WordFence Security jest bardzo zaawansowana. Na koniec przejdźmy do dwóch ostatnich menu oferowanych przez wtyczkę bezpieczeństwa WordPress.

Menu Narzędzia

Menu Narzędzia składa się z czterech zakładek:

• „Ruch na żywo” pokazuje, co dzieje się w Twojej witrynie w czasie rzeczywistym, w tym logowania użytkowników, próby włamań i żądania, które zostały zablokowane przez zaporę Wordfence. Kolorowy kod (zielony, szary, żółty i czerwony) informuje o tym, kto próbuje uzyskać dostęp do Twojej witryny (ludzie lub boty) oraz o statusie (ostrzeżenie lub blokada):

• „Wyszukiwanie Whois” , aby dowiedzieć się, kto jest właścicielem adresu IP lub nazwy domeny, która odwiedza Twoją witrynę lub angażuje się w złośliwe działania na Twoich stronach
• „Opcje importu/eksportu” , aby wyeksportować lub zaimportować opcje Wordfence do innej witryny WordPress
• „Diagnostyka” dostarcza informacji, które można wykorzystać do rozwiązywania konfliktów, problemów z konfiguracją lub kompatybilnością z innymi wtyczkami, motywami lub środowiskiem serwera.

Menu Wszystkie opcje

Menu „Wszystkie opcje” zawiera wszystkie opcje, które są rozproszone w innych menu (takich jak zapora ogniowa, skaner lub opcje połączeń) na tej samej stronie.

Zaletą jest to, że można znaleźć wszystko w tym samym miejscu . Nie będę omawiał wszystkich opcji, ponieważ główne już widziałeś.

Warto jednak zauważyć, że tutaj możesz ustawić preferencje powiadomień e-mail. Masz tuzin pól wyboru, które pozwalają na przykład być ostrzeganym (lub nie):

• Kiedy adres IP jest zablokowany
• Kiedy ktoś zostaje zbanowany na twojej stronie logowania
• Gdy wykryta zostanie znaczna liczba ataków na Twoją witrynę WordPress

To wszystko w tej pełnej prezentacji funkcji Wordfence Security. Przyjrzyjmy się teraz bliżej cenom tego narzędzia.

Ile kosztuje Wordfence?

Wordfence Security jest początkowo dostępny bezpłatnie w oficjalnym katalogu WordPress. Oczywiście, jak każda darmowa wersja, nie zawiera ona wszystkich opcji oferowanych w płatnej wersji wtyczki.

Wordfence Premium kosztuje 119 USD rocznie. Poza priorytetowym wsparciem główną różnicą w stosunku do darmowej oferty jest częstotliwość aktualizacji narzędzi oferowanych przez Wordfence .

Dzięki premium, gdy tylko serwery Wordfence wykryją zagrożenia w czasie rzeczywistym, błyskawicznie zaktualizują reguły zapory, wykrywanie złośliwego oprogramowania i listę blokowanych adresów IP.

Dzięki bezpłatnej wtyczce musisz poczekać 30 dni po uruchomieniu, aby skorzystać z aktualizacji.

Poza tym Wordfence oferuje również dwie licencje, w których dedykowany zespół zainstaluje, skonfiguruje i będzie zarządzał Wordfence za Ciebie:

• Opieka Wordfence : 490 USD rocznie
• Odpowiedź Wordfence: 950 USD rocznie. Ta licencja zapewnia dostęp do tych samych opcji, co Wordfence Care, ale masz również gwarantowany czas odpowiedzi wynoszący maksymalnie jedną godzinę, a odpowiedzi są dostępne siedem dni w tygodniu.

Te dwie ostatnie oferty są głównie dla dużych serwisów i osób, które nie mają czasu na dbanie o bezpieczeństwo swojego serwisu (a dysponują budżetem na delegowanie tego zadania).

W przypadku Twojej osobistej strony internetowej lub bloga wystarczy bezpłatna lub premium wtyczka Wordfence.

Nasza ostateczna opinia na temat wtyczki Wordfence

Podsumowując, podsumujmy to, co widzieliśmy od początku tego artykułu, z podsumowaniem mocnych i słabych stron tej wtyczki zabezpieczającej.

Zalety wtyczki Wordfence Security

• Przyjemny i przejrzysty interfejs, który ułatwia naukę
• Automatycznie stosuje podstawowe ustawienia zabezpieczeń
• Wiele funkcji oferowanych w darmowej wersji, w tym zapora aplikacji
• Uwierzytelnianie dwuskładnikowe
• Skaner bezpieczeństwa
• Powiadomienia e-mail informujące o wystąpieniu problemu

Wady wtyczki

• Niektóre ustawienia są zbyt skomplikowane dla początkującego, ale dotyczy to również innych wtyczek bezpieczeństwa
• Fakt, że najnowsze aktualizacje wykrytych zagrożeń są stosowane dopiero po 30 dniach od ich udostępnienia
• Używanie Wordfence może powodować spowolnienie na twoich stronach, ponieważ zużywa dużo zasobów serwera. Jeśli Twój dostawca usług hostingowych nie nadrobi zaległości, może to mieć wpływ na wydajność Twojej witryny.

Czy powinieneś go użyć?

Ogólnie rzecz biorąc, Wordfence jest bardzo dobrą wtyczką zabezpieczającą . Ponieważ większość jego opcji działa automatycznie, jest odpowiedni dla początkujących.

Bardziej zaawansowani użytkownicy docenią możliwość edycji bardziej technicznych i zaawansowanych ustawień.

Dzięki darmowej wtyczce będziesz mieć cenną tarczę do blokowania większości złośliwych ataków, zwłaszcza poprzez zaporę aplikacji. Ten ostatni będzie już skuteczny w zapewnianiu pierwszego poziomu bezpieczeństwa Twojej witryny.

Warto to zauważyć, ponieważ inne konkurencyjne wtyczki (np. Sucuri) nie oferują zapory ogniowej w swojej darmowej wersji. Jest to jednak podstawowa ochrona dla każdej witryny.

A jeśli chcesz również chronić się przed najnowszymi zagrożeniami wykrytymi przez zespół Wordfence (zawsze tak jest lepiej), przełącz się na pakiet premium, jeśli pozwala na to Twój budżet.

Na koniec nie zapominaj, że używanie wtyczki zabezpieczającej to nie wszystko. Po pierwsze dlatego, że żadna strona nie jest nieomylna. Po drugie dlatego, że dobre praktyki trzeba stosować na co dzień. Na przykład pamiętaj, aby regularnie aktualizować i tworzyć kopie zapasowe witryny.

Co sądzisz o Wordfence? Daj mi swoją opinię w komentarzach.