Sucuri: Un plugin de securitate pe care ar trebui să-l instalezi urgent?

O gură larg deschisă. Colți ascuțiți gata să spargă un biet animal mic. Un corp nesfârșit care trebuie să aibă o lungime de aproape 30 de picioare.

Tastați „sucuri” pe Google și vă veți găsi față în față cu imagini cu niște șerpi destul de înspăimântători . Dar de ce, de fapt? Ei bine, pur și simplu pentru că cuvântul pe care l-ai introdus în motorul de căutare este traducerea portugheză a anacondei.

Ar trebui să vă dați seama că la început, doar căutam mai multe informații despre Sucuri, un plugin de securitate pentru WordPress .

Din fericire, nu este nimic cu adevărat rău în asta. Și nu te va mânca după ce îl activezi. Puff, poți respira adânc!

În schimb, acest plugin este conceput pentru a vă ajuta să eradicați alți prădători: hackeri urâți și alte fișiere și programe malware care vă pot infecta site-ul.

Până la sfârșitul acestui articol, vei ști cum funcționează Sucuri (plugin-ul, nu șarpele) și, mai important, cum să-l configurezi pas cu pas. Ești gata pentru o plimbare în siguranță? Sssss, urmați ghidul.

Cele mai bune proiecte WordPress au nevoie de cea mai bună gazdă!

WPMarmite recomandă Bluehost: performanță excelentă, suport excelent. Tot ce ai nevoie pentru un început excelent.

Încercați Bluehost

Ce este Sucuri?

Sucuri Security este un plugin de securitate WordPress care oferă o suită de instrumente pentru a vă ajuta să vă protejați site-ul web: auditarea fișierelor de bază WordPress (PHP, CSS, JavaScript), analiza programelor și programelor malware, aplicarea securității, alerte prin e-mail, acțiuni de securitate post-hacking, etc.

Înființată în 2012 de Daniel Cid, Sucuri a fost achiziționată în 2017 de gigantul american de hosting GoDaddy , care de atunci îl întreține și îl dezvoltă.

După ce a oferit un plugin premium până în 2014, pluginul este acum complet gratuit.

Cu peste 800.000 de instalări active, Sucuri este unul dintre cele mai populare pluginuri de securitate WordPress din directorul oficial, alături de concurenți precum Wordfence ( +4 milioane de instalări active), iThemes Security ( +1 milion de instalări active) și All-in-One Security ( +1 milion de instalări active) .

Sucuri, un plugin gratuit susținut de servicii premium

Deși are un plugin de securitate dedicat CMS-ului WordPress, compania Sucuri oferă mai multe servicii premium bazate în cloud pentru a vă proteja site-ul, indiferent de CMS-ul ( Content Management System ) pe care rulează: WordPress, Joomla, Magento, Drupal, Shopify, etc.

Printre aceste servicii se numara:

• Un firewall de aplicații web (WAF) care vă protejează serverul web împotriva diferitelor atacuri: atacuri DDOS (denial of service), atacuri de forță brută, malware, phishing, ransomware etc. Acest firewall vine cu un CDN (Content Delivery Network), pentru a stimula viteza de încărcare a paginii dvs.
  WAF-ul poate fi folosit singur sau în plus față de plugin-ul Sucuri.
  
• Platforma de securitate Sucuri (Sucuri Website Security). Pe lângă firewall și CDN, Sucuri oferă mai multe servicii de monitorizare a securității site-ului dvs. și vă poate pune la dispoziție o echipă dedicată pentru a vă curăța WordPress în cazul unui hack.

Deși aceste servicii sunt separate și pot fi utilizate independent unele de altele, Sucuri precizează pe directorul oficial că pluginul său „completează instrumentele de securitate existente . Nu este conceput pentru a înlocui produsele Sucuri Website Security sau Firewall.”

Cu alte cuvinte, dacă doriți să vă protejați cât mai bine site-ul WordPress, folosirea pluginului în sine nu este suficientă.

De ce este importantă securizarea site-ului dvs. WordPress?

Înainte de a examina funcțiile și alte setări oferite de Sucuri, să ne oprim pentru un moment să luăm în considerare importanța securității pe o instalare WordPress.

Utilizarea unui plugin dedicat pentru a vă proteja este un minim, știind că niciun site WordPress nu este infailibil. Fiind cel mai utilizat CMS (Content Management System) de pe planetă, WordPress este în mod natural ținta a numeroase atacuri în fiecare zi.

Se spune că 2.800 de atacuri pe secundă vizează instalațiile WordPress din întreaga lume!

Cu toate acestea, nu intrați în panică. WordPress este un CMS securizat. În raportul său de securitate al ecosistemului WordPress, expertul în securitate Patchstack explică că 96% dintre vulnerabilitățile de securitate provin din coduri terțe (plugin-uri și teme de la terți), comparativ cu 4% din WordPress Core.

De aceea este esențial să vă protejați site-ul. Consecințele unui hack pot fi dezastruoase și pot duce la:

• Pierderea și furtul a numeroase date , mai mult sau mai puțin sensibile, în special ale clienților dvs.
• O pierdere de timp , pentru că va trebui să curățați site-ul piratat și să actualizați totul.
• Cheltuieli financiare neplanificate , mai ales dacă apelați la un expert în securitate.
• O degradare a imaginii mărcii dvs. și o posibilă pierdere a încrederii din partea utilizatorilor actuali și/sau a viitorilor clienți.

Înțelegeți ideea: nu neglijați aspectul de securitate al site-ului dvs. Să trecem la o prezentare detaliată a lui Sucuri.

Cum se instalează Sucuri

Pasul 1: Activați pluginul Sucuri pe WordPress

Pentru a începe, instalați pluginul din interfața de administrare prin meniul Plugins > Add New . Faceți clic pe „Instalare acum”:

Nu uitați să activați pluginul. Veți găsi apoi un nou meniu numit „Sucuri Security”, în bara laterală din stânga a back-office-ului dvs. WordPress:

Pasul 2: generați o cheie API

Pentru a activa unele dintre instrumentele suplimentare oferite de plugin, Sucuri vă recomandă să generați o cheie API.

API înseamnă Application Programming Interface. După cum se explică foarte clar în acest articol, „API-urile sunt mecanisme care permit două componente software să comunice între ele folosind un set de definiții și protocoale.”

Pentru a face acest lucru, faceți clic pe butonul „Generați cheia API” din partea de sus a tabloului de bord:

În fereastra care apare luminos pe ecran, alegeți adresa de e-mail asociată contului dvs., apoi acceptați termenii și condițiile (dacă sunteți de acord). Faceți clic pe „Trimiteți” când sunteți gata.

Și iată-l! Sucuri este gata de muncă. După cum vă spune după generarea unei chei API, „ aceasta nu este o soluție rapidă pentru nevoile dvs. de securitate ; nu este un înlocuitor pentru Sucuri Website Security sau Firewall, dar vă va permite să fiți mai conștienți de securitate și să luați o poziție mai bună, cu scopul de a reduce riscul.”

Acum să aflăm cum să configurați pluginul, cu o scufundare meniu cu meniu.

Alăturați-vă abonaților WPMarmite

Obțineți ultimele postări WPMarmite (și, de asemenea, resurse exclusive).

ABONEAZĂ-TE ACUM

Cum să configurați și să utilizați Sucuri Security

Prezentare generală a tabloului de bord Sucuri

Primul meniu principal oferit de Sucuri Security este Tabloul de bord. Aici veți găsi rezultatele auditului efectuat de plugin pe site-ul dvs.

Concret, Sucuri verifică instalația dvs. WordPress pentru orice modificări ale fișierelor WordPress de bază (cele pe care le găsiți de fiecare dată când descărcați CMS-ul).

Sucuri scanează automat fișierele din directoarele rădăcină, wp-admin și wp-includes, apoi le compară cu fișierele distribuite cu versiunea majoră de WordPress instalată pe site-ul tău (6.1.1, în cazul meu).

De îndată ce Sucuri detectează un fișier cu inconsecvențe, îl afișează pe tabloul de bord.

Dacă există o problemă, apare un „X” roșu, însoțit de un mesaj nu foarte liniștitor de aceeași culoare: „ Fișierele de bază WordPress au fost modificate ”.

Este posibil ca fișierele să fi fost piratate. În cazul meu, Sucuri raportează două presupuse anomalii într-un fișier .txt și un fișier error.log.

Acesta din urmă listează jurnalele de erori care au apărut pe site-ul dvs. (erori PHP, în special). Apoi am mai multe opțiuni pentru a rezolva problemele:

• Marcați fișierul ca fals pozitiv , de exemplu, dacă este un fișier pe care l-am adăugat eu. Sucuri îl va ignora în timpul scanărilor viitoare.
• Ștergeți fișierul , dacă credeți că este rău intenționat.
• Restaurați versiunea originală a fișierului .

Această scanare este convenabilă, dar există o problemă principală: pentru un începător, este încă destul de dificil să știi dacă fișierul presupus anormal cauzează sau nu o problemă reală de securitate pe site-ul tău.

Drept urmare, nu prea știm ce să facem . Lăsați fișierul așa cum este? Restabiliți versiunea originală? Ștergeți-l chiar dacă înseamnă să vă asumați riscul de a șterge date importante? Nu este ușor să-ți dai seama.

Sub insertul dedicat analizei nucleului WordPress, pe lângă jurnalele de audit, veți găsi mai multe file care indică modificările care au avut loc pe:

• Iframe (etichete HTML)
• Legături
• Scripturi

În cele din urmă, Sucuri face și câteva recomandări pentru a întări securitatea instalării mele, sugerând, de exemplu, să elimin pluginurile neutilizate sau să dezactivez editorul de fișiere din administrare:

Firewall-ul aplicației: Firewall (WAF)

Al doilea submeniu al Sucuri este pentru firewall-ul Sucuri. Pentru a beneficia de aceasta, trebuie să optezi pentru unul dintre planurile premium oferite de Sucuri .

Dacă doriți să faceți acest pas, trebuie doar să adăugați cheia dvs. API în caseta furnizată.

Cu acest firewall activ, Sucuri se asigură că site-ul tău va fi protejat de atacuri și va preveni infecțiile și reinfecțiile malware.

În plus, firewall-ul „ va bloca încercările de injectare SQL, atacurile de forță brută, XSS (scriptare site-to-site), RFI (încorporarea unui fișier la distanță pe serverul dvs.), ușile din spate (accesul de la distanță la site-ul dvs.) și multe alte amenințări. pe site-ul tău.”

Prin intermediul filelor de setări, puteți, de asemenea:

• Blocați anumite adrese IP introducându-le manual, astfel încât acestea să nu poată accesa site-ul dvs.
• Activați stocarea în cache , ceea ce va îmbunătăți performanța site-ului dvs. WordPress.

Meniul legat de autentificare: Ultimele autentificări

Să trecem la al treilea meniu al pluginului Sucuri: „Ultimele autentificări”. Sunt disponibile patru file:

• „ Toți utilizatorii” arată toți utilizatorii care s-au conectat cu succes la administratorul WordPress
• „ Administratori” arată toate persoanele care au un cont de „administrator” pe site-ul dvs
• „ Utilizatori autentificati” detaliază toți utilizatorii care sunt conectați în prezent
• „ Conectări eșuate” arată că ați eșuat încercările de conectare la pagina dvs. de conectare. Acest lucru vă va ajuta să vedeți foarte repede dacă sunteți victima unor atacuri cu forță brută, de exemplu.

Meniul Setări Sucuri

Și în sfârșit, ultimul meniu și cel mai copios. Aici veți găsi câteva caracteristici majore ale Sucuri, pe care le vom detalia, filă cu filă.

fila Setări generale

Fila Setări generale are mai multe inserții. Acestea includ câteva dintre următoarele elemente, pe care le puteți modifica:

• Un director cu toate jurnalele de securitate („Stocare de date”)
• Un exportator de bușteni
• Un proxy invers, pe care îl puteți activa
• Un modul pentru a importa și a exporta setările Sucuri către un alt site WordPress

Fila Scanner

Fila „Scaner” include un instrument gratuit oferit de Sucuri numit SiteCheck. Acest instrument va scana site-ul dvs. pentru următoarele:

• Programe malware
• Erori pe site-ul dvs. WordPress
• Software învechit
• Anomalii de securitate

În special, Sucuri vă arată:

• Sarcini programate în timpul scanării sale („sarcini programate”). În mod implicit, scanarea are loc o dată pe zi.
• Utilitarul „WordPress Integrity Diff” care compară fișierele de pe serverul dvs. cu fișierele originale ale site-ului dvs. (directoare rădăcină, teme, pluginuri și fișiere de bază WP).
• Au fost detectate false pozitive .
• O opțiune pentru a exclude anumite fișiere și foldere în timpul scanării , mai ales dacă sunt prea mari.

Filă de întărire

Fila „Întărire” enumeră zece măsuri de securitate pe care le puteți aplica pentru a preveni eventualele atacuri. Acestea vor consolida securitatea instalării dvs. WordPress.

De exemplu, cu un singur clic puteți:

• Blocați execuția anumitor fișiere PHP în directoarele wp-content și wp-includes
• Dezactivați editorul de fișiere din interfața dvs. de administrare, pentru a împiedica un hacker să vă modifice fișierele
• Eliminați afișarea versiunii dvs. WordPress
• Verificați dacă versiunea dvs. WordPress este actualizată

În partea de jos a paginii, este, de asemenea, posibil să excludeți manual anumite fișiere PHP care au fost blocate.

Ca măsură de precauție, faceți o copie de rezervă a site-ului dvs. (fișiere + bază de date) pentru a aplica una dintre aceste măsuri. Puteți utiliza un plugin de rezervă, cum ar fi UpdraftPlus. Și dacă este posibil, procedați într-un mediu de testare, nu în producție .

Fila Post-Hack

După cum sugerează și numele, fila „Post-Hack” oferă mai multe măsuri care trebuie aplicate imediat după ce site-ul dvs. a fost piratat. Așa că sper că nu trebuie să-l folosești niciodată! ^^

Iată ce poți face:

• Generați chei de securitate noi . Sunt prezente in fisierul wp-config.php, si permit o mai buna criptare a unor informatii, in special cookie-urile unui utilizator care se conecteaza la administrarea site-ului dumneavoastra. Dacă un hacker deține aceste cookie-uri, el se va putea conecta la site-ul dvs. chiar dacă vă resetați parola - cu excepția cazului în care vă schimbați cheile de securitate!
• Actualizați parolele utilizatorului
• Reinstalați pluginurile site-ului dvs
• Actualizați -vă temele și pluginurile

Fila Alerte Sucuri

În fila Alerte, puteți configura setări legate de alertele de securitate pe care Sucuri vi le va trimite prin e-mail.

Implicit, pluginul trimite notificări de securitate administratorului principal al site-ului (cel creat în timpul instalării acestuia). Cu toate acestea, puteți specifica alte adrese de e-mail pentru a primi aceste notificări.

De asemenea, puteți gestiona tipurile de alerte pe care le veți primi și să autorizați adrese IP de încredere, astfel încât acestea să nu genereze alerte.

De exemplu, puteți specifica:

• Un număr maxim de alerte de primit pe oră (de la cinci ore la nelimitat)
• Numărul de încercări eșuate de conectare pe oră (atacuri cu forță brută) înainte de trimiterea unei alerte prin e-mail
• Evenimentele care vor declanșa o alertă de securitate (de exemplu, modificări ale setărilor pluginului, crearea unei noi date de conectare, dezactivarea unei teme sau a unui plugin etc.)

Pentru a fi complet complet, Sucuri oferă alte două file de setări: „API Service Communication” și „Website Info”. Aceste două file nu guvernează setări specifice: ele oferă informații despre API-ul tău și site-ul tău WordPress.

După această prezentare generală, vă propun să trecem la partea finală a acestui articol. Mai întâi, vom vorbi despre prețul Sucuri, apoi vă voi da părerea mea despre acest plugin de securitate.

Cât costă Sucuri Security?

Sucuri este prezentat ca un plugin gratuit, ceea ce este adevărat... dar cu limite.

Intr-adevar, trebuie sa platesti daca vrei sa folosesti aplicatia firewall oferita de Sucuri. Și când vine vorba de securitate, utilizarea unui firewall este foarte recomandată.

Această opțiune, care include și accesul la un CDN, este oferită de la 9,99 USD/lună pentru o utilizare pe un site.

Pe de altă parte, Sucuri oferă un pachet de securitate mult mai cuprinzător numit Website Security Platform. Prețurile încep de la 199,99 USD/an pentru utilizarea pe un singur site.

Acest plan de prețuri include, desigur, firewall-ul Sucuri, CDN și, de asemenea, malware și curățarea fișierelor piratate de către experții interni :

Opinia noastră finală despre pluginul de securitate Sucuri

În concluzie, ce ar trebui să crezi despre Sucuri? Pentru a răspunde la această întrebare, voi discuta două aspecte cruciale atunci când aleg un plugin: ușurința în utilizare și eficiența acestuia.

În primul rând, despre manipulare. Nu este neapărat complex, deoarece Sucuri a ales să ofere opțiuni clare, bine distribuite în diferite file.
Meniurile nu sunt prea supraîncărcate și este foarte ușor să efectuați o acțiune (un clic este suficient de cele mai multe ori).

Pe de altă parte, domeniul de securitate este plin de termeni tehnici — Sucuri nu are nimic de-a face cu asta — și utilizatorul începător nu va putea întotdeauna să înțeleagă ce i se recomandă să facă sau ce ar trebui să facă. Aceasta este o primă limitare care trebuie subliniată.

Să trecem la eficiența pluginului. Sucuri este în primul rând un instrument de monitorizare conceput pentru a vă alerta cu privire la problemele de securitate ale WordPress . Îți scanează paginile pentru anomalii, îți trimite alerte în caz de probleme etc.

Dar pluginul nu prea vă permite să rezolvați probleme de securitate (cu excepția unor mici aspecte), decât după hacking (dar va fi prea târziu până atunci).

Unul dintre principalele scuturi de securitate este utilizarea unui firewall. Sucuri oferă unul, dar numai în oferta plătită.

Descărcați pluginul Sucuri:

În concluzie, nu aș recomanda pluginul gratuit dacă doriți să vă protejați eficient site-ul WordPress .

Îmi împărtășești părerea și folosești Sucuri? Da-mi parerea ta postand un comentariu.