Cum să securizați WordPress cu Wordfence Security

Gestionarea unui site WordPress înseamnă a trece prin diferite emoții. Uneori, există bucurie, ca atunci când vezi conținutul tău clasându-se încet pe Google.

Uneori există furie, când site-ul tău se blochează după o actualizare. Și uneori, chiar simți frică . Atunci site-ul tău a fost piratat, un inconvenient care nu se întâmplă doar altor persoane.

Pentru a evita transpirațiile reci în viitor și pentru a vă proteja site-ul, utilizați un plugin de securitate.

Cel mai faimos din directorul oficial se numește Wordfence Security . Deoarece este greu de ignorat, l-am testat pentru a afla ce are în mânecă.

Până la sfârșitul acestui articol, veți ști cum să îl configurați și să îl utilizați.

Cele mai bune proiecte WordPress au nevoie de cea mai bună gazdă!

WPMarmite recomandă Bluehost: performanță excelentă, suport excelent. Tot ce ai nevoie pentru un început excelent.

Încercați Bluehost

Ce este Wordfence Security?

Wordfence Security este un plugin pentru a consolida securitatea site-ului dvs. WordPress. Oferă mai multe funcții pentru a vă proteja instalația, inclusiv un firewall de aplicație, un scanner de malware, autentificare cu doi factori și protecție împotriva atacurilor cu forță brută.

Cu peste 4M de instalări active, este cel mai popular plugin de securitate din directorul oficial de pluginuri, înaintea iThemes Security ( 1M+ instalări active), All in One Security ( 1M+ instalări active) și Sucuri 800K + instalări active).

Pluginul Wordfence Security, numit și „Wordfence Free”, este gratuit. Cu toate acestea, Wordfence oferă și câteva opțiuni plătite:

• Wordfence Premium : o versiune chiar mai completă decât pluginul gratuit, cu suport inclus.
• Wordfence Care : echipa instrumentului de securitate instalează Wordfence, îl configurează, îl optimizează și vă monitorizează site-ul. În cazul unor probleme legate de securitate intervine o echipă dedicată.
• Wordfence Response , un serviciu dedicat site-urilor WordPress unde timpul de nefuncționare are un impact financiar. Acest serviciu este destinat în principal site-urilor mari cu mult trafic și magazinelor de comerț electronic.
• Wordfence Intelligence : dedicat în principal gazdelor web care doresc să colecteze date despre securitate în general.

Rețineți că echipa WordFence oferă și alte două plugin-uri gratuite în directorul oficial. Wordfence Assistant este un plugin care va fi util dacă Wordfence este activ pe site-ul dvs., dar nu vă mai puteți accesa tabloul de bord. Wordfence Login Security conține câteva caracteristici deja incluse în pluginul gratuit: autentificare cu doi factori, protecție XML-RPC și CAPTCHA pe pagina de conectare. Nu este nevoie să-l activați dacă utilizați deja Wordfence Security.

Care sunt principalele caracteristici ale Wordfence Security?

Wordfence Security este o soluție de securitate completă care funcționează pe mai multe niveluri. Pentru a profita de el, utilizatorul beneficiază de mai multe opțiuni cheie:

• Un firewall de aplicație web (WAF) care identifică și blochează traficul rău intenționat de pe serverul dvs. web (și nu în cloud, așa cum este oferit de concurentul său Sucuri, de exemplu)
• Un scanner de programe malware care blochează solicitările care includ cod sau conținut rău intenționat
• Protecție împotriva atacurilor de forță brută prin limitarea numărului de încercări de conectare la pagina dvs. de autentificare administrativă
• Autentificare cu doi factori , pentru a adăuga un nivel suplimentar de securitate pentru autentificarea la site-ul dvs. WordPress
• reCAPTCHA pe paginile dvs. de conectare pentru a preveni conectarea roboților și pentru a limita spamul
• Alerte prin e-mail când este detectată o problemă de securitate
• O platformă numită Wordfence Central pentru a gestiona securitatea mai multor site-uri într-un singur loc. Funcționează pe același principiu ca ManageWP, care vă permite să vă întrețineți site-urile WordPress.

De ce ar trebui să utilizați un plugin de securitate precum WordFence?

După cum probabil știți deja, WordPress este cel mai utilizat CMS (Content Management System) de pe planetă, cu 63,7% din cota de piață.

Dincolo de asta, alimentează aproape unul din două site-uri din întreaga lume (printre milioanele de site-uri care primesc cel mai mare trafic).

Această poziție dominantă stârnește apetitul hackerilor umani, și mai ales al roboților rău intenționați care funcționează automat, cum ar fi:

• Boti de spam
• Roboți care răzuiesc (extrag) conținutul dvs
• Boți care lansează atacuri de tip denial of service (DoS) sau distribuite denial of service (DDoS).

În total, 90% dintre atacurile comise împotriva unui CMS afectează WordPress. Și 2.800 de atacuri pe secundă vizează în mod specific instalațiile WordPress, în întreaga lume!

Fii sigur: din fericire, WordPress nu este o sită. Potrivit unui raport publicat în 2021 de expertul în securitate Patchstack, doar 0,58% dintre defecte de securitate provin din WordPress Core .

Principalul vinovat sunt pluginurile dvs., care singure reprezintă 92,81% dintre vulnerabilități (comparativ cu 6,61% pentru teme).

Unele dintre concluziile studiului lui Patchstack vorbesc multe și solicită să luăm problema de securitate foarte în serios:

• În medie, 42% dintre site-urile WordPress au cel puțin o componentă vulnerabilă (plugin sau temă) instalată
• Vulnerabilitățile au crescut cu 150% între 2020 și 2021
• 29% dintre pluginurile WordPress care conțin vulnerabilități critice nu au fost corectate

Deci, înțelegi ce vreau să spun: este imperativ ca site-ul tău WordPress să fie protejat pentru a-i consolida securitatea.

Pentru aceasta, un plugin precum Wordfence poate face treaba. Vă voi arăta mai jos cum să-l instalați.

Cum se instalează Wordfence în trei pași

Pasul 1: Activați pluginul pe tabloul de bord WordPress

Primul pas este să instalați pluginul din interfața dvs. de administrare WordPress.

Accesați meniul Plugin-uri > Adăugați nou și tastați „Wordfence” în bara de căutare:

Faceți clic pe butonul „Instalare acum” de lângă „Securitate Wordfence – Scanare firewall și malware”, apoi activați pluginul.

Pasul 2: Obțineți o cheie de licență Wordfence

Odată ce pluginul este activat, va apărea o fereastră care vă va cere să obțineți o licență Wordfence. Aceasta este o condiție prealabilă necesară pentru a profita de toate opțiunile pluginului gratuit .

Faceți clic pe butonul „Obțineți licența Wordfence”:

Veți fi redirecționat către pagina de prețuri Wordfence de pe site-ul oficial. Faceți clic pe butonul „Obțineți o licență gratuită” pentru a obține o cheie pentru versiunea gratuită a pluginului:

Se deschide o nouă fereastră pe ecran. Wordfence vă întreabă dacă sunteți sigur că doriți să utilizați versiunea sa gratuită și vă explică principalul avantaj al versiunii sale premium: de îndată ce echipa pluginului implementează o măsură de protecție pe firewall-ul sau scanerul de malware, acesta este actualizat în timp real pe versiune premium (comparativ cu 30 de zile mai târziu în versiunea gratuită).

Deoarece vreau doar să folosesc pluginul gratuit, am făcut clic pe „Sunt OK, aștept 30 de zile pentru protecție împotriva noilor amenințări”:

În fereastra următoare, introduceți adresa dvs. de e-mail, bifați casetele și faceți clic pe „Înregistrare”:

Pasul 3: Instalați-vă licența pe WordPress

Acum accesați căsuța de e-mail. Ar fi trebuit să primești un e-mail de la Wordfence.

În interior, veți găsi cheia de licență, astfel încât să o puteți activa manual. Pentru a vă deplasa și mai rapid, Wordfence vă oferă și activarea automată pentru dvs. Pentru a face acest lucru, faceți clic pe butonul „Instalați automat licența mea”:

Veți fi redirecționat către tabloul de bord WordPress, cu câmpurile „E-mail” și „Cheie de licență” deja completate. Terminați făcând clic pe „Instalare licență”:

Bravo: pluginul este acum în funcțiune. În bara laterală din stânga, pe interfața de administrare, aveți acum un nou meniu numit „Wordfence”, care conține toate setările oferite de plugin:

Să aruncăm o privire la ele chiar acum, doar pentru a vedea ce se află sub capota pluginului.

Cum să configurați pluginul Wordfence Security

Cum funcționează tabloul de bord Wordfence Security?

Nucleul pluginului este tabloul de bord.

Oferă comenzi rapide rapide pentru a accesa diferitele opțiuni oferite de plugin , pe care le puteți găsi și în meniul situat în bara laterală din stânga.

Cu un singur clic, puteți profita de:

• Firewall-ul aplicației
• Scanerul de malware
• Wordfence Central. Pentru a profita de acest serviciu, care vă permite să actualizați securitatea site-urilor dvs. din același tablou de bord, trebuie să vă creați un cont gratuit. Acest lucru poate fi util dacă trebuie să gestionați securitatea mai multor site-uri în același timp. Pentru utilizare individuală, omiteți-l.
• Opțiuni generale pentru a vă configura alertele prin e-mail, paravanul de protecție și setările scanerului
• Acces la documentația pluginului
• Un jurnal de notificare
• Un rezumat al atacurilor blocate pe site-ul dvs. WordPress
• Un grafic care arată numărul total de atacuri blocate pe întreaga rețea Wordfence

Tabloul de bord este clar și ușor de înțeles; este ușor să-ți găsești drumul prin diferitele opțiuni.

Cum se utilizează firewall-ul aplicației

Protecție împotriva atacurilor multiple

Una dintre principalele caracteristici ale Wordfence este firewall-ul aplicației sale.

Poate identifica traficul rău intenționat și poate bloca hackerii și alți roboți rău intenționați înainte ca aceștia să vă poată accesa site-ul.

Firewall-ul este accesibil prin Wordfence > Firewall . Îți protejează site-ul împotriva următoarelor atacuri:

• Injecții SQL , adică atacuri asupra bazei de date
• Cross-site scripting (XSS): cod rău intenționat este injectat în conținutul paginilor dvs
• Descărcări de fișiere rău intenționate
• Atacurile de traversare a directoarelor
• Vulnerabilități locale de includere a fișierelor (LFI), în care fișierele de la distanță sunt adăugate la serverul dvs. web

În mod implicit, firewall-ul este în Modul de învățare timp de o săptămână, începând din momentul în care instalați pluginul.

„Acest lucru permite Wordfence să cunoască site-ul dvs. pentru a înțelege cum să îl protejați și cum să permită vizitatorilor normali să treacă prin firewall”, spune Wordfence. „ Vă recomandăm să lăsați Wordfence în modul de învățare timp de o săptămână înainte de a activa firewall-ul.”

Dacă doriți să înlocuiți aceste recomandări, faceți clic pe „Activat și protejat” în meniul derulant de mai jos:

După cum am menționat mai devreme, doar versiunea premium a pluginului primește o actualizare a firewall-ului în timp real ori de câte ori o nouă amenințare este detectată de echipa Wordfence (la nivel global, nu neapărat un atac care vizează site-ul dvs.). Versiunea gratuită a firewall-ului este actualizată la 30 de zile după detectarea amenințării.

Alăturați-vă abonaților WPMarmite

Obțineți ultimele postări WPMarmite (și, de asemenea, resurse exclusive).

ABONEAZĂ-TE ACUM

Cum funcționează paravanul de protecție Wordfence Security

În mod implicit, pluginul a configurat setări de bază pentru a consolida securitatea site-ului dvs. Dar puteți personaliza în continuare setări puțin mai tehnice, profitând de opțiuni suplimentare:

Printre acestea se numără:

• Lista albă a anumitor adrese IP
• Introducerea adreselor IP pentru a fi ignorate de firewall
• Configurarea protecției împotriva atacurilor de forță brută . De exemplu, puteți specifica câte încercări eșuate de conectare sunt necesare pentru a preveni accesul la pagina dvs. de autentificare (și pentru cât timp).
  Acest lucru vă scutește de utilizarea unui plugin suplimentar, cum ar fi Limitarea încercărilor de conectare reîncărcate.
  

Când firewall-ul este în stare de funcționare, cercurile vă arată nivelul dvs. de protecție (în procente). Când cercul este gri, firewall-ul este în modul de învățare.

Scopul este de a ajunge la un scor de 100% (culoare verde). Puteți realiza acest lucru urmând recomandările oferite, trecând mouse-ul peste fiecare cerc:

Cu toate acestea, un scor de 100% nu va fi întotdeauna atins cu versiunea gratuită a pluginului.

Pentru a realiza acest lucru, va trebui să utilizați opțiuni premium, cum ar fi blocarea în timp real a adreselor IP.

Fila Blocare aplicație Firewall

Pe lângă regulile de firewall care protejează împotriva diferitelor atacuri, Wordfence are și funcții personalizate pentru blocare suplimentară. Acestea pot fi accesate prin fila „Blocare”:

Puteți crea reguli de blocare pe baza:

• adresa IP
• O zonă geografică
• Un set de criterii (Custom Pattern) cum ar fi o rețea de adrese IP sau browsere web

Pentru mai multe informații despre asta, urmăriți acest videoclip:

Cum să utilizați scanerul malware

Să trecem la scanerul oferit de plugin, accesibil prin Wordfence > Scan .

Instrumentul de scanare scanează site-ul dvs. (fișiere de bază, teme și pluginuri) pentru următoarele: programe malware, adrese URL greșite, uși din spate, acces la distanță la site-ul dvs., spam SEO, redirecționări rău intenționate și alte injecții de cod.

În timpul scanării, pluginul „compară fișierele, temele și pluginurile tale de bază cu ceea ce se află în directorul WordPress.org”, detaliază Wordfence Security. „Verifică integritatea acestora și vă anunță orice modificări.”

Inițial, scanarea se concentrează pe verificări pentru spam și adrese IP incluse pe lista neagră (doar pentru versiunea premium). Apoi trece la scanarea fișierelor site-ului dvs. și la furnizarea de rezultate.

În cazul meu, pluginul mă avertizează că folosesc o autentificare de administrator prea nesigură („admin”). Apoi pot rezolva această problemă făcând clic pe „Editare” sau pur și simplu ignorând-o:

În ceea ce privește firewall-ul, cercurile îmi arată elementele de optimizat pentru a ajunge la un scor de 100%.

Făcând clic pe „Opțiuni de scanare și programare”, este, de asemenea, posibil să editați setări mai specifice.

Pentru a optimiza performanța, puteți, de exemplu:

• Alegeți să rulați scanerul pe o bază limitată, pentru a economisi lățime de bandă (rețineți că Wordfence rulează pe serverul dvs. web, deci folosește resurse)
• Limitați manual numărul de articole de scanat

Cum să activați autentificarea cu doi factori

După firewall și scanerul site-ului, WordFence Security sugerează utilizatorilor săi să activeze autentificarea cu doi factori (Wordfence 2FA).

Autentificarea cu doi factori adaugă o măsură suplimentară de securitate pentru autentificarea la site-ul dvs. WordPress .

După introducerea numelui de utilizator și a parolei, vi se va cere să utilizați un dispozitiv, adesea smartphone-ul sau tableta, pentru a valida procesul de conectare.

Aceasta este o metodă deja folosită de instituțiile bancare atunci când efectuați plăți online. Este foarte eficient pentru a vă proteja împotriva atacurilor de forță brută.

Pentru a-l folosi, accesați meniul Wordfence > Login Security . Pe scurt, trebuie să:

• Instalați o aplicație pe smartphone pentru a vă autentifica , cum ar fi Google Authenticator, Sophos Mobile Security sau FreeOTP Authenticator.
• Scanați codul QR oferit de Wordfence în aplicația de autentificare aleasă (1).
• Introdu codul din 6 cifre afișat după scanarea codului QR pentru a autoriza conexiunea dintre site-ul tău WordPress și aplicație (2).

Dacă doriți să vedeți vizual acest proces de activare, consultați această resursă:

Autentificarea cu doi factori poate fi configurată pentru toate rolurile de utilizator, de la administrator la abonat, prin fila Setări:

Încă în fila „Setări” din meniul „Securitate autentificare”, puteți activa și Google reCAPTCHA versiunea 3, pentru a vă proteja împotriva spam-ului pe pagina de conectare a administratorului. Pentru a funcționa, acest serviciu necesită o cheie de licență gratuită de la Google.

Alte instrumente oferite de Wordfence Security

Turul proprietarului WordFence Security este mult avansat. Pentru a termina, haideți să ne aruncăm în ultimele două meniuri oferite de pluginul de securitate WordPress.

Meniul Instrumente

Meniul Instrumente este format din patru file:

• „Trafic în direct” vă arată ce se întâmplă pe site-ul dvs. în timp real, inclusiv autentificarea utilizatorilor, încercările de hacking și solicitările care au fost blocate de paravanul de protecție Wordfence. Un cod de culoare (verde, gri, galben și roșu) vă spune cine încearcă să vă acceseze site-ul (oameni sau roboți) și starea (avertisment sau blocare):

• „Căutare Whois” pentru a afla cine deține o adresă IP sau un nume de domeniu care vă vizitează site-ul sau se implică în activități rău intenționate pe paginile dvs.
• „Import/Export Options” pentru a exporta sau a importa opțiunile Wordfence pe alt site WordPress
• „Diagnosticare” furnizează informații care pot fi folosite pentru a rezolva conflicte, probleme de configurare sau compatibilitate cu alte plugin-uri, teme sau mediul serverului.

Meniul Toate opțiunile

Meniul „Toate opțiunile” conține toate opțiunile care sunt împrăștiate în alte meniuri (cum ar fi firewall, scaner sau opțiuni de conectare) pe aceeași pagină.

Avantajul este că poți găsi totul în același loc . Nu voi intra în toate opțiunile, deoarece pe cele principale le-ați văzut deja.

Cu toate acestea, este interesant de remarcat că aici vă puteți seta preferințele de alertă prin e-mail. Aveți o duzină de casete de selectare care vă permit, de exemplu, să fiți alertat (sau nu):

• Când o adresă IP este blocată
• Când o persoană este interzisă de pe pagina ta de conectare
• Când un număr semnificativ de atacuri este detectat pe site-ul dvs. WordPress

Asta este tot pentru acest tur complet al funcțiilor de securitate Wordfence. Acum să aruncăm o privire mai atentă la prețul acestui instrument.

Cât costă Wordfence?

Wordfence Security este disponibil inițial gratuit în directorul oficial WordPress. Desigur, ca orice versiune gratuită, nu include toate opțiunile oferite în versiunea plătită a pluginului.

Wordfence Premium are un preț de 119 USD/an. Pe lângă suportul prioritar, principala diferență cu oferta gratuită este frecvența actualizărilor instrumentelor oferite de Wordfence .

Cu premium, de îndată ce serverele Wordfence detectează amenințările în timp real, îți vor actualiza într-o clipită regulile firewall-ului, detectarea malware-ului și lista de blocare IP.

Cu pluginul gratuit, trebuie să așteptați 30 de zile după lansarea live pentru a beneficia de actualizări.

În plus, Wordfence oferă și două licențe în care o echipă dedicată va instala, configura și gestiona Wordfence pentru tine:

• Wordfence Care : 490 USD/an
• Răspuns Wordfence: 950 USD/an. Această licență vă oferă acces la aceleași opțiuni ca și Wordfence Care, dar aveți și un timp de răspuns garantat de maximum o oră, iar răspunsurile sunt disponibile șapte zile pe săptămână.

Aceste ultime două oferte sunt în principal pentru site-uri mari și pentru persoane care nu au timp să se ocupe de securitatea site-ului lor (și care au bugetul pentru a delega această sarcină).

Pentru site-ul sau blogul dvs. personal, pluginul Wordfence gratuit sau premium va fi suficient.

Opinia noastră finală despre pluginul Wordfence

Pentru a încheia, să recapitulăm ceea ce am văzut de la începutul acestui articol, cu un rezumat al punctelor forte și punctelor slabe ale acestui plugin de securitate.

Avantajele pluginului Wordfence Security

• Interfața plăcută și clară, care îl face ușor de învățat
• Acesta aplică automat setările de securitate de bază pentru dvs
• Multe caracteristici oferite în versiunea gratuită, inclusiv un firewall de aplicație
• Autentificare cu doi factori
• Scanerul de securitate
• Alerte prin e-mail pentru a vă anunța când există o problemă

Dezavantajele pluginului

• Unele setări sunt prea complexe pentru un începător, dar acesta este și cazul altor plugin-uri de securitate
• Faptul că cele mai recente actualizări ale amenințărilor detectate sunt aplicate doar la 30 de zile după ce au fost lansate
• Utilizarea Wordfence poate provoca încetiniri în paginile dvs. deoarece consumă o mulțime de resurse de server. Dacă gazda dvs. web nu ajunge din urmă, performanța site-ului dvs. ar putea fi afectată.

Ar trebui să-l folosești?

În general, Wordfence este un plugin de securitate foarte bun . Deoarece majoritatea opțiunilor sale funcționează automat, este potrivit pentru începători.

Utilizatorii mai avansați vor aprecia posibilitatea de a edita setări mai tehnice și avansate.

Datorită pluginului gratuit, vei avea un scut valoros pentru a bloca majoritatea atacurilor rău intenționate, în special prin firewall-ul aplicației sale. Acesta din urmă va fi deja eficient în furnizarea unui prim nivel de securitate pentru site-ul dvs.

Acest lucru este de remarcat deoarece alte plugin-uri concurente (de exemplu Sucuri) nu oferă un firewall în versiunea lor gratuită. Este totuși o protecție de bază pentru orice site.

Și dacă vrei să te protejezi și de cele mai recente amenințări detectate de echipa Wordfence (intotdeauna este mai bine), treci la pachetul premium dacă bugetul îți permite.

În cele din urmă, nu uitați că utilizarea unui plugin de securitate nu este totul. În primul rând, pentru că niciun site nu este infailibil. În al doilea rând, pentru că trebuie să aplicați zilnic bune practici. De exemplu, nu uitați să actualizați și să faceți backup site-ului în mod regulat.

Deci, ce părere aveți despre Wordfence? Da-mi parerea ta in comentarii.