Sucuri: Плагин безопасности, который нужно срочно установить?

Широко открытый рот. Острые клыки, готовые сломать бедное маленькое животное. Бесконечное тело длиной около 30 футов.

Введите «sucuri» в Google, и вы окажетесь лицом к лицу с изображениями довольно устрашающих змей . Но почему, собственно? Ну, просто потому, что слово, которое вы набрали в поисковой системе, является португальским переводом слова анаконда.

Вы должны понимать, что сначала я просто искал дополнительную информацию о Sucuri, плагине безопасности для WordPress .

К счастью, в этом нет ничего особенно плохого. И он не съест вас после того, как вы его активируете. Фу, можно глубоко вдохнуть!

Вместо этого этот плагин предназначен для того, чтобы помочь вам уничтожить других хищников: неприятных хакеров и другие файлы и вредоносные программы, которые могут заразить ваш сайт.

К концу этой статьи вы узнаете, как работает Sucuri (плагин, а не змейка), и, что более важно, как его настроить шаг за шагом. Готовы к безопасной прогулке? Sssss, следуйте инструкциям.

Вашим лучшим проектам WordPress нужен лучший хостинг!

WPMarmite рекомендует Bluehost: отличная производительность, отличная поддержка. Все, что нужно для отличного старта.

Попробуйте Блюхост

Что такое Сукури?

Sucuri Security — это подключаемый модуль безопасности WordPress, который предлагает набор инструментов, которые помогут вам защитить ваш веб-сайт: аудит основных файлов WordPress (PHP, CSS, JavaScript), анализ вредоносных программ и программ, обеспечение безопасности, оповещения по электронной почте, действия по обеспечению безопасности после взлома, и т.п.

Компания Sucuri, основанная в 2012 году Дэниелом Сидом, была приобретена в 2017 году американским гигантом хостинга GoDaddy , который с тех пор поддерживает и развивает ее.

После предложения премиального плагина до 2014 года плагин теперь полностью бесплатен.

С более чем 800 тыс. активных установок Sucuri является одним из самых популярных плагинов безопасности WordPress в официальном каталоге, наряду с такими конкурентами, как Wordfence (более 4 млн активных установок), iThemes Security (более 1 млн активных установок) и All-in-One Security (более 1 млн активных установок). .

Sucuri, бесплатный плагин, поддерживаемый премиальными сервисами

Несмотря на наличие подключаемого модуля безопасности, предназначенного для WordPress CMS, компания Sucuri предлагает несколько премиальных облачных сервисов для защиты вашего веб-сайта, независимо от CMS ( системы управления контентом ), на которой он работает: WordPress, Joomla, Magento, Drupal, Shopify и т.д.

Среди этих услуг выделяют:

• Брандмауэр веб-приложений (WAF) , который защищает ваш веб-сервер от различных атак: DDOS-атак (отказ в обслуживании), атак методом перебора, вредоносных программ, фишинга, программ-вымогателей и т. д. Этот брандмауэр поставляется с CDN (сеть доставки контента), чтобы повысить скорость загрузки вашей страницы.
  WAF можно использовать отдельно или в дополнение к плагину Sucuri.
  
• Платформа безопасности Sucuri (Sucuri Website Security). Помимо брандмауэра и CDN, Sucuri предлагает несколько сервисов для мониторинга безопасности вашего сайта и может предоставить вам специальную команду для очистки вашего WordPress в случае взлома.

Хотя эти сервисы являются отдельными и могут использоваться независимо друг от друга, Sucuri заявляет в официальном каталоге, что его плагин «дополняет ваши существующие инструменты безопасности . Он не предназначен для замены продуктов Sucuri Website Security или Firewall».

Другими словами, если вы хотите максимально защитить свой сайт WordPress, одного плагина недостаточно.

Почему важна безопасность вашего сайта WordPress?

Прежде чем изучать функции и другие настройки, предлагаемые Sucuri, давайте на мгновение остановимся и рассмотрим важность безопасности при установке WordPress.

Использование специального плагина для защиты — это минимум, зная, что ни один сайт WordPress не является безупречным. Как наиболее широко используемая CMS (система управления контентом) на планете, WordPress, естественно, ежедневно подвергается многочисленным атакам.

Говорят, что 2800 атак в секунду нацелены на установки WordPress по всему миру!

Однако не паникуйте. WordPress — это безопасная CMS. В своем отчете о безопасности экосистемы WordPress эксперт по безопасности Patchstack объясняет, что 96% уязвимостей в системе безопасности исходят из стороннего кода (плагины и сторонние темы) по сравнению с 4% в ядре WordPress.

Вот почему так важно защитить свой сайт. Последствия взлома могут быть катастрофическими и вылиться в:

• Потеря и кража многочисленных данных , более или менее конфиденциальных, особенно данных ваших клиентов.
• Потеря времени , потому что вам придется чистить взломанный сайт и все обновлять.
• Незапланированные финансовые расходы , особенно если вызвать специалиста по безопасности.
• Ухудшение имиджа вашего бренда и возможная потеря доверия со стороны ваших нынешних пользователей и/или будущих клиентов.

Вы поняли: не пренебрегайте аспектом безопасности вашего сайта. Перейдем к подробному изложению Sucuri.

Как установить Сукури

Шаг 1. Активируйте плагин Sucuri в WordPress.

Для начала установите плагин из интерфейса администрирования через меню « Плагины» > «Добавить новый» . Нажмите «Установить сейчас»:

Не забудьте активировать плагин. Затем вы найдете новое меню под названием «Безопасность Sucuri» на левой боковой панели вашего бэк-офиса WordPress:

Шаг 2. Создайте ключ API.

Чтобы активировать некоторые дополнительные инструменты, предлагаемые плагином, Sucuri рекомендует сгенерировать ключ API.

API означает интерфейс прикладного программирования. Как очень ясно объяснено в этой статье, «API — это механизмы, которые позволяют двум программным компонентам взаимодействовать друг с другом, используя набор определений и протоколов».

Для этого нажмите кнопку «Создать ключ API» в верхней части панели инструментов:

В окне, которое ярко всплывает на вашем экране, выберите адрес электронной почты, связанный с вашей учетной записью, затем примите условия обслуживания (если вы согласны). Нажмите «Отправить», когда будете готовы.

И вот оно! Сукури готов к работе. Как сообщается после создания ключа API, « это не быстрое решение для ваших потребностей в безопасности ; это не замена Sucuri Website Security или брандмауэру, но он позволит вам больше заботиться о безопасности и занять лучшую позицию с целью снижения риска».

Теперь давайте выясним, как настроить плагин, переходя от меню к меню.

Присоединяйтесь к подписчикам WPMarmite

Получите последние сообщения WPMarmite (а также эксклюзивные ресурсы).

ПОДПИШИТЕСЬ СЕЙЧАС

Как настроить и использовать Sucuri Security

Обзор приборной панели Sucuri

Первое главное меню, предлагаемое Sucuri Security, — это Dashboard. Здесь вы найдете результаты аудита, проведенного плагином на вашем сайте.

Говоря более конкретно, Sucuri проверяет вашу установку WordPress на предмет любых изменений в основных файлах WordPress (тех, которые вы находите каждый раз при загрузке CMS).

Sucuri автоматически сканирует файлы в корневом каталоге, каталогах wp-admin и wp-includes, а затем сравнивает их с файлами, распространяемыми с основной версией WordPress, установленной на вашем сайте (в моем случае 6.1.1).

Как только Sucuri обнаруживает файл с несоответствиями, он отображает его на панели инструментов.

При наличии проблемы появляется красный «X», сопровождаемый не очень обнадеживающим сообщением того же цвета: « Основные файлы WordPress были изменены ».

Возможно, файл(ы) был взломан. В моем случае Sucuri сообщает о двух предполагаемых аномалиях в файле .txt и файле error.log.

В последнем перечислены журналы ошибок, которые произошли на вашем сайте (в частности, ошибки PHP). Затем у меня есть несколько вариантов решения проблем:

• Пометить файл как ложное срабатывание , например, если это файл, который я добавил сам. Sucuri проигнорирует его во время будущих сканирований.
• Удалите файл , если считаете его вредоносным.
• Восстановите исходную версию файла .

Это сканирование удобно, но есть одна главная проблема: новичку все еще довольно сложно понять, вызывает ли якобы аномальный файл реальную проблему безопасности на вашем сайте или нет.

В результате мы действительно не знаем, что делать . Оставить файл как есть? Восстановить первоначальную версию? Удалить его, даже если это означает риск удаления важных данных? Это не легко понять.

Под вставкой, посвященной анализу ядра WordPress, помимо журналов аудита, вы найдете несколько вкладок с указанием изменений, произошедших в:

• фреймы (HTML-теги)
• Ссылки
• Скрипты

Наконец, Sucuri также дает несколько рекомендаций по усилению безопасности моей установки, предлагая, например, удалить неиспользуемые плагины или отключить редактор файлов в администрировании:

Брандмауэр приложения: Брандмауэр (WAF)

Второе подменю Sucuri предназначено для брандмауэра Sucuri. Чтобы воспользоваться этим, вы должны выбрать один из премиальных планов, предлагаемых Sucuri .

Если вы хотите сделать этот шаг, вам просто нужно добавить свой ключ API в предоставленное поле.

Активировав этот брандмауэр, Sucuri гарантирует, что ваш сайт будет защищен от атак и предотвратит заражение вредоносным ПО и повторное заражение.

Кроме того, брандмауэр « заблокирует попытки SQL-инъекций, атаки грубой силы, XSS (скрипты между сайтами), RFI (встраивание удаленного файла на ваш сервер), бэкдоры (удаленный доступ к вашему сайту) и многие другие угрозы». на ваш сайт».

На вкладках настроек вы также можете:

• Заблокируйте определенные IP-адреса , введя их вручную, чтобы они не могли получить доступ к вашему сайту.
• Включите кэширование , что повысит производительность вашего сайта WordPress.

Меню, связанное с входами в систему: Последние входы

Перейдем к третьему меню плагина Sucuri: «Последние входы». Доступны четыре вкладки:

• « Все пользователи» показывает всех пользователей, которые успешно вошли в вашу админку WordPress.
• « Администраторы» показывает всех людей, у которых есть учетная запись «администратор» на вашем сайте.
• « Вошедшие в систему пользователи » содержит информацию обо всех пользователях, которые в данный момент вошли в систему.
• « Неудачные входы» показывает неудачные попытки входа на вашу страницу входа. Это поможет вам очень быстро увидеть, например, если вы стали жертвой атак грубой силы.

Меню настроек Sucuri

И, наконец, последнее меню, самое обильное. Здесь вы найдете несколько основных функций Sucuri, которые мы подробно разберем, вкладка за вкладкой.

Вкладка «Общие настройки»

Вкладка «Общие настройки» имеет несколько вставок. Они включают в себя некоторые из следующих элементов, которые вы можете изменить:

• Каталог со всеми вашими журналами безопасности («Хранилище данных»)
• Экспортер журналов
• Обратный прокси, который вы можете активировать
• Модуль для импорта и экспорта ваших настроек Sucuri на другой сайт WordPress.

Вкладка "Сканер"

Вкладка «Сканер» содержит бесплатный инструмент SiteCheck, предлагаемый Sucuri. Этот инструмент просканирует ваш сайт на предмет следующего:

• Вредоносное ПО
• Ошибки на вашем сайте WordPress
• Устаревшее программное обеспечение
• Аномалии безопасности

В частности, Sucuri показывает вам:

• Задачи, запланированные во время его проверки («запланированные задачи»). По умолчанию сканирование происходит один раз в день.
• Утилита «WordPress Integrity Diff» , которая сравнивает файлы на вашем сервере с исходными файлами вашего сайта (корневые каталоги, темы, плагины и основные файлы WP).
• Обнаружены ложные срабатывания .
• Возможность исключить из проверки определенные файлы и папки , особенно если они слишком большие.

Вкладка «Закалка»

На вкладке «Защита» перечислены десять мер безопасности, которые вы можете применить для предотвращения возможных атак. Они усилят безопасность вашей установки WordPress.

Например, одним щелчком мыши вы можете:

• Блокировать выполнение определенных файлов PHP в каталогах wp-content и wp-includes.
• Отключите редактор файлов в интерфейсе администрирования, чтобы хакер не смог изменить ваши файлы.
• Удалить отображение вашей версии WordPress
• Проверьте, актуальна ли ваша версия WordPress.

В нижней части страницы также можно вручную исключить определенные файлы PHP, запуск которых был заблокирован.

В качестве меры предосторожности создайте резервную копию своего сайта (файлы + база данных), чтобы применить одну из этих мер. Вы можете использовать плагин резервного копирования, такой как UpdraftPlus. И, если возможно, продолжайте в тестовой среде, а не в рабочей среде .

Вкладка «Пост-взлом»

Как следует из названия, вкладка «Пост-взлом» предлагает несколько мер, которые необходимо применить сразу после взлома вашего сайта. Так что я надеюсь, что вам никогда не придется использовать его! ^^

Вот что вы можете сделать:

• Создайте новые ключи безопасности . Они присутствуют в файле wp-config.php и позволяют лучше шифровать некоторую информацию, особенно куки пользователя, который подключается к администрации вашего сайта. Если хакер владеет этими файлами cookie, он сможет подключиться к вашему сайту, даже если вы сбросите свой пароль — если вы не измените свои ключи безопасности!
• Обновите пароли пользователей
• Переустановите плагины вашего сайта
• Обновите свои темы и плагины

Вкладка «Предупреждения Sucuri»

На вкладке «Предупреждения» вы можете настроить параметры, связанные с предупреждениями системы безопасности, которые Sucuri будет отправлять вам по электронной почте.

По умолчанию плагин отправляет уведомления безопасности главному администратору сайта (тому, который был создан при его установке). Однако вы можете указать другие адреса электронной почты для получения этих уведомлений.

Вы также можете управлять типами получаемых оповещений и авторизовать доверенные IP-адреса, чтобы они не генерировали оповещения.

Например, вы можете указать:

• Максимальное количество оповещений в час (от пяти часов до неограниченного)
• Количество неудачных попыток подключения в час (атаки полным перебором) перед отправкой оповещения по электронной почте.
• События, которые вызовут предупреждение системы безопасности (например, изменения в настройках плагина, создание нового логина, деактивация темы или плагина и т. д.)

Чтобы быть полностью исчерпывающим, Sucuri предлагает две другие вкладки настроек: «Связь со службой API» и «Информация о веб-сайте». Эти две вкладки не управляют конкретными настройками: они предоставляют информацию о вашем API и вашем сайте WordPress.

После такого широкого обзора предлагаю перейти к заключительной части этой статьи. Сначала мы поговорим о цене Sucuri, а затем я выскажу свое мнение об этом плагине безопасности.

Сколько стоит Sucuri Security?

Sucuri представлен как бесплатный плагин, что правда… но с ограничениями.

Действительно, вам придется заплатить, если вы хотите использовать брандмауэр приложений, предлагаемый Sucuri. А когда дело доходит до безопасности, настоятельно рекомендуется использовать брандмауэр.

Этот вариант, который также включает доступ к CDN, предлагается от 9,99 долларов США в месяц за использование на одном сайте.

С другой стороны, Sucuri предлагает гораздо более полный пакет безопасности под названием Website Security Platform. Цены начинаются от 199,99 долларов США в год для использования на одном сайте.

Этот тарифный план включает в себя, конечно же, брандмауэр Sucuri, CDN, а также очистку от вредоносных программ и пиратских файлов штатными экспертами :

Наше окончательное мнение о плагине безопасности Sucuri

В заключение, что вы должны думать о Sucuri? Чтобы ответить на этот вопрос, я собираюсь обсудить два важных аспекта при выборе плагина: простоту использования и эффективность.

В первую очередь об управляемости. Это не обязательно сложно, потому что Sucuri предлагает четкие варианты, хорошо распределенные по разным вкладкам.
Меню не слишком перегружены и выполнить действие очень просто (в большинстве случаев достаточно одного клика).

С другой стороны, поле безопасности переполнено техническими терминами — Sucuri тут ни при чем — и начинающий пользователь не всегда сможет понять, что ему рекомендуют делать или что он должен делать. Это первое ограничение, на которое следует обратить внимание.

Перейдем к эффективности плагина. Sucuri — это прежде всего инструмент мониторинга, предназначенный для предупреждения вас о проблемах безопасности в вашем WordPress . Он сканирует ваши страницы на наличие аномалий, отправляет вам оповещения в случае проблем и т. д.

Но плагин толком не позволяет решать проблемы с безопасностью (за исключением некоторых мелких аспектов), разве что после взлома (но к тому времени будет уже поздно).

Одним из основных средств защиты является использование брандмауэра. Sucuri предлагает один, но только в платном предложении.

Загрузите плагин Sucuri:

В заключение, я бы не рекомендовал бесплатный плагин, если вы хотите эффективно защитить свой сайт WordPress .

Вы разделяете мое мнение и пользуетесь ли вы Sucuri? Дайте мне свое мнение, опубликовав комментарий.