Как защитить WordPress с помощью Wordfence Security

Управление сайтом WordPress означает переживание разных эмоций. Иногда это приносит радость, например, когда вы видите, что ваш контент медленно ранжируется в Google.

Иногда возникает гнев, когда ваш сайт вылетает после обновления. А иногда ты даже чувствуешь страх . Это когда ваш сайт был взломан, неудобство, которое не просто случается с другими людьми.

Чтобы избежать холодного пота в будущем и защитить свой сайт, используйте плагин безопасности.

Самая известная в официальном каталоге называется Wordfence Security . Поскольку его трудно игнорировать, мы протестировали его, чтобы вы узнали, что у него в рукаве.

К концу этой статьи вы будете знать, как его настроить и использовать.

Вашим лучшим проектам WordPress нужен лучший хостинг!

WPMarmite рекомендует Bluehost: отличная производительность, отличная поддержка. Все, что нужно для отличного старта.

Попробуйте Блюхост

Что такое безопасность Wordfence?

Wordfence Security — это плагин для повышения безопасности вашего сайта WordPress. Он предлагает несколько функций для защиты вашей установки, включая брандмауэр приложений, сканер вредоносных программ, двухфакторную аутентификацию и защиту от атак грубой силы.

С более чем 4 миллионами активных установок это самый популярный плагин безопасности в официальном каталоге плагинов, опережая iThemes Security ( 1 миллион активных установок), All in One Security ( 1 миллион активных установок) и Sucuri 800 000+ активных установок).

Плагин Wordfence Security, также называемый «Wordfence Free», предоставляется бесплатно. Однако Wordfence также предлагает несколько платных опций:

• Wordfence Premium : еще более полная версия, чем бесплатный плагин, с включенной поддержкой.
• Wordfence Care : группа инструментов безопасности устанавливает Wordfence, настраивает его, оптимизирует и отслеживает ваш сайт для вас. В случае проблем, связанных с безопасностью, вмешивается специальная команда.
• Wordfence Response — служба, предназначенная для сайтов WordPress, где простои имеют финансовые последствия. Этот сервис в основном предназначен для крупных сайтов с большой посещаемостью и для интернет-магазинов.
• Wordfence Intelligence : в основном предназначен для веб-хостов, которые хотят собирать данные о безопасности в целом.

Обратите внимание, что команда WordFence также предлагает два других бесплатных плагина в официальном каталоге. Wordfence Assistant — это плагин, который будет полезен, если Wordfence активен на вашем сайте, но вы больше не можете получить доступ к своей панели инструментов. Wordfence Login Security содержит некоторые функции, уже включенные в бесплатный плагин: двухфакторную аутентификацию, защиту XML-RPC и CAPTCHA на странице входа. Нет необходимости активировать его, если вы уже используете Wordfence Security.

Каковы основные функции Wordfence Security?

Wordfence Security — это комплексное решение для обеспечения безопасности, работающее на нескольких уровнях. Чтобы воспользоваться этим, пользователь может воспользоваться несколькими ключевыми опциями:

• Брандмауэр веб-приложений (WAF) , который идентифицирует и блокирует вредоносный трафик с вашего веб-сервера (а не в облаке, как это предлагает, например, его конкурент Sucuri)
• Сканер вредоносных программ , который блокирует запросы, содержащие вредоносный код или контент.
• Защита от атак грубой силы путем ограничения количества попыток подключения к странице входа в администрацию
• Двухфакторная аутентификация , чтобы добавить дополнительный уровень безопасности для входа на ваш сайт WordPress.
• reCAPTCHA на ваших страницах входа, чтобы предотвратить вход ботов и ограничить спам
• Оповещения по электронной почте при обнаружении проблемы безопасности
• Платформа под названием Wordfence Central для управления безопасностью нескольких сайтов из одного места. Он работает по тому же принципу, что и ManageWP, что позволяет вам поддерживать свои сайты WordPress.

Почему вы должны использовать плагин безопасности, такой как WordFence?

Как вы, возможно, уже знаете, WordPress является наиболее широко используемой CMS (системой управления контентом) на планете с долей рынка 63,7% .

Кроме того, он поддерживает почти каждый второй сайт в мире (из миллиона сайтов, получающих наибольшее количество трафика).

Это доминирующее положение разжигает аппетит хакеров-людей и особенно вредоносных ботов, которые работают автоматически, таких как:

• Спам-боты
• Роботы, которые очищают (извлекают) ваш контент
• Боты, запускающие атаки типа «отказ в обслуживании» (DoS) или «распределенный отказ в обслуживании» (DDoS).

В общей сложности 90% атак , совершенных против CMS, затрагивают WordPress. И 2800 атак в секунду нацелены конкретно на установки WordPress по всему миру!

Будьте уверены: к счастью, WordPress — не решето. Согласно отчету, опубликованному в 2021 году экспертом по безопасности Patchstack, только 0,58% недостатков безопасности исходят из ядра WordPress .

Главный виновник — ваши плагины, на которые приходится 92,81% уязвимостей (по сравнению с 6,61% для тем).

Некоторые результаты исследования Patchstack говорят о многом и призывают очень серьезно отнестись к вопросу безопасности:

• В среднем на 42% сайтов WordPress установлен хотя бы один уязвимый компонент (плагин или тема).
• Уязвимости увеличились на 150% в период с 2020 по 2021 год.
• 29% плагинов WordPress, содержащих критические уязвимости, не были исправлены.

Итак, вы понимаете, что я имею в виду: крайне важно, чтобы ваш сайт WordPress был защищен, чтобы усилить его безопасность.

Для этого подойдет плагин, такой как Wordfence. Я покажу вам, как установить его ниже.

Как установить Wordfence в три шага

Шаг 1: Активируйте плагин на панели инструментов WordPress.

Первый шаг — установить плагин из интерфейса администратора WordPress.

Перейдите в меню « Плагины» > «Добавить новый » и введите «Wordfence» в строке поиска:

Нажмите кнопку «Установить сейчас» рядом с «Безопасность Wordfence — Брандмауэр и сканирование вредоносных программ», затем активируйте плагин.

Шаг 2. Получите лицензионный ключ Wordfence

После активации плагина появится окно с просьбой получить лицензию Wordfence. Это необходимое условие для того, чтобы воспользоваться всеми возможностями бесплатного плагина .

Нажмите на кнопку «Получить лицензию Wordfence»:

Вы будете перенаправлены на страницу с ценами Wordfence на официальном сайте. Нажмите на кнопку «Получить бесплатную лицензию», чтобы получить ключ для бесплатной версии плагина:

На вашем экране откроется новое окно. Wordfence спросит вас, уверены ли вы, что хотите использовать его бесплатную версию, и объяснит главное преимущество его премиум-версии: как только команда плагина развертывает меры защиты на своем брандмауэре или сканере вредоносных программ, он обновляется в режиме реального времени на премиум-версия (по сравнению с бесплатной версией на 30 дней позже).

Поскольку я просто хочу использовать бесплатный плагин, я нажал «Я в порядке, жду 30 дней для защиты от новых угроз»:

В следующем окне введите свой адрес электронной почты, поставьте галочки и нажмите «Зарегистрироваться»:

Шаг 3: Установите лицензию на WordPress

Теперь перейдите в свой почтовый ящик. Вы должны были получить электронное письмо от Wordfence.

Внутри вы найдете свой лицензионный ключ, чтобы активировать его вручную. Чтобы двигаться еще быстрее, Wordfence также предлагает активировать его автоматически . Для этого нажмите на кнопку «Установить мою лицензию автоматически»:

Вы будете перенаправлены на панель инструментов WordPress с уже заполненными полями «Электронная почта» и «Лицензионный ключ». Завершите, нажав «Установить лицензию»:

Отлично: плагин запущен и работает. На левой боковой панели в интерфейсе администрирования у вас теперь есть новое меню под названием «Wordfence», содержащее все настройки, предлагаемые плагином:

Давайте посмотрим на них прямо сейчас, просто чтобы увидеть, что находится под капотом плагина.

Как настроить плагин Wordfence Security

Как работает панель управления Wordfence Security?

Ядром плагина является его панель инструментов.

Он предлагает быстрые ярлыки для доступа к различным параметрам, предлагаемым плагином , которые вы также можете найти в меню, расположенном на левой боковой панели.

Одним щелчком мыши вы можете воспользоваться:

• Брандмауэр приложений
• Сканер вредоносных программ
• Центр Вордфенс. Чтобы воспользоваться этой услугой, которая позволяет вам обновлять безопасность ваших сайтов с той же панели инструментов, вы должны создать бесплатную учетную запись. Это может быть удобно, если вам нужно управлять безопасностью нескольких сайтов одновременно. Для индивидуального использования пропустите его.
• Общие параметры настройки оповещений по электронной почте, параметров брандмауэра и сканера
• Доступ к документации плагина
• Журнал уведомлений
• Сводка заблокированных атак на ваш сайт WordPress
• График, показывающий общее количество атак, заблокированных во всей сети Wordfence.

Приборная панель четкая и понятная; легко найти свой путь через различные варианты.

Как использовать брандмауэр приложения

Защита от множественных атак

Одной из основных особенностей Wordfence является брандмауэр приложений.

Он может выявлять вредоносный трафик и блокировать хакеров и других вредоносных ботов, прежде чем они смогут получить доступ к вашему сайту.

Брандмауэр доступен через Wordfence > Брандмауэр . Он защищает ваш сайт от следующих атак:

• SQL-инъекции , т.е. атаки на вашу базу данных
• Межсайтовый скриптинг (XSS): вредоносный код внедряется в содержимое ваших страниц.
• Загрузка вредоносных файлов
• Атаки с обходом каталога
• Уязвимости включения локальных файлов (LFI), при которых удаленные файлы добавляются на ваш веб-сервер.

По умолчанию брандмауэр находится в режиме обучения в течение одной недели, начиная с момента установки плагина.

«Это позволяет Wordfence узнать ваш сайт, чтобы понять, как его защитить и как разрешить обычным посетителям проходить через брандмауэр», — говорит Wordfence. « Мы рекомендуем вам оставить Wordfence в режиме обучения на неделю, прежде чем активировать брандмауэр».

Если вы хотите переопределить эти рекомендации, нажмите «Включено и защищено» в раскрывающемся меню ниже:

Как упоминалось ранее, только премиум-версия плагина получает обновление брандмауэра в режиме реального времени всякий раз, когда команда Wordfence обнаруживает новую угрозу (глобально, не обязательно атака, направленная на ваш сайт). Бесплатная версия брандмауэра обновляется через 30 дней после обнаружения угрозы.

Присоединяйтесь к подписчикам WPMarmite

Получите последние сообщения WPMarmite (а также эксклюзивные ресурсы).

ПОДПИШИТЕСЬ СЕЙЧАС

Как работает брандмауэр Wordfence Security

По умолчанию в плагине настроены основные параметры для усиления безопасности вашего сайта. Но вы все равно можете настроить немного больше технических параметров, воспользовавшись дополнительными опциями:

Среди них:

• Внесение определенных IP-адресов в белый список
• Ввод IP-адресов, которые будут игнорироваться брандмауэром
• Настройка защиты от атак методом перебора . Например, вы можете указать, сколько неудачных попыток входа требуется для предотвращения доступа к вашей странице входа (и как долго).
  Это избавляет вас от использования дополнительного плагина, такого как Limit Login Attempts Reloaded.
  

Когда брандмауэр находится в рабочем состоянии, круги показывают ваш уровень защиты (в процентах). Когда круг серый, брандмауэр находится в режиме обучения.

Цель состоит в том, чтобы набрать 100% очков (зеленый цвет). Вы можете добиться этого, следуя предоставленным рекомендациям, наведя указатель мыши на каждый кружок:

Тем не менее, 100% не всегда можно получить с помощью бесплатной версии плагина.

Для этого вам придется использовать премиум-опции, такие как блокировка IP-адресов в режиме реального времени.

Вкладка «Блокировка брандмауэра приложений»

В дополнение к правилам брандмауэра, защищающим от различных атак, Wordfence также имеет настраиваемые функции для дополнительной блокировки. Доступ к ним можно получить через вкладку «Блокировка»:

Вы можете создавать правила блокировки на основе:

• айпи адрес
• Географический район
• Набор критериев (Пользовательский шаблон), таких как сеть IP-адресов или веб-браузеров.

Чтобы узнать больше об этом, посмотрите это видео:

Как использовать сканер вредоносных программ

Давайте перейдем к сканеру, предлагаемому плагином, доступному через Wordfence > Scan .

Инструмент сканирования сканирует ваш сайт (основные файлы, темы и плагины) на наличие следующего: вредоносных программ, неверных URL-адресов, бэкдоров, удаленного доступа к вашему сайту, SEO-спама, вредоносных перенаправлений и других внедрений кода.

Во время сканирования плагин «сравнивает ваши основные файлы, темы и плагины с тем, что находится в каталоге WordPress.org», — сообщает Wordfence Security. «Он проверяет их целостность и уведомляет вас о любых изменениях».

Первоначально сканирование сосредоточено на проверке спама и IP-адресов из черного списка (только для премиум-версии). Затем он переходит к сканированию файлов вашего сайта и предоставлению результатов.

В моем случае плагин предупреждает меня, что я использую слишком небезопасный логин администратора («admin»). Затем я могу решить эту проблему, нажав «Изменить» или просто проигнорировав ее:

Что касается брандмауэра, круги показывают мне элементы, которые нужно оптимизировать, чтобы получить 100%.

Нажав «Параметры сканирования и планирование», также можно изменить более конкретные настройки.

Чтобы оптимизировать производительность, вы можете, например:

• Выберите запуск сканера на ограниченной основе, чтобы сэкономить трафик (помните, что Wordfence работает на вашем веб-сервере, поэтому использует ресурсы)
• Вручную ограничить количество элементов для сканирования

Как включить двухфакторную аутентификацию

После брандмауэра и сканера сайта WordFence Security предлагает пользователям включить двухфакторную аутентификацию (Wordfence 2FA).

Двухфакторная аутентификация добавляет дополнительную меру безопасности для входа на ваш сайт WordPress .

После ввода имени пользователя и пароля вам будет предложено использовать устройство, часто ваш смартфон или планшет, для подтверждения процесса входа в систему.

Этот метод уже используется банковскими учреждениями при совершении онлайн-платежей. Он очень эффективно защищает вас от атак грубой силы.

Чтобы использовать его, перейдите в меню Wordfence > Безопасность входа . Подводя итог, вам необходимо:

• Установите на свой смартфон приложение для аутентификации , например Google Authenticator, Sophos Mobile Security или FreeOTP Authenticator.
• Отсканируйте QR-код, предлагаемый Wordfence, в выбранном приложении аутентификации (1).
• Введите 6-значный код , отображаемый после сканирования QR-кода, чтобы авторизовать соединение между вашим сайтом WordPress и приложением (2).

Если вы хотите увидеть этот процесс активации визуально, ознакомьтесь с этим ресурсом:

Двухфакторную аутентификацию можно настроить для всех ролей пользователей, от администратора до абонента, через вкладку «Настройки»:

На вкладке «Настройки» меню «Безопасность входа» вы также можете включить Google reCAPTCHA версии 3 для защиты от спама на странице входа администратора. Для работы этого сервиса требуется бесплатный лицензионный ключ от Google.

Другие инструменты, предлагаемые Wordfence Security

Экскурсия владельца WordFence Security хорошо продвинулась. Чтобы закончить, давайте погрузимся в последние два меню, предлагаемые плагином безопасности WordPress.

Меню инструментов

Меню Инструменты состоит из четырех вкладок:

• «Живой трафик» показывает вам, что происходит на вашем сайте в режиме реального времени, включая входы пользователей в систему, попытки взлома и запросы, которые были заблокированы брандмауэром Wordfence. Цветовой код (зеленый, серый, желтый и красный) сообщает вам, кто пытается получить доступ к вашему сайту (люди или боты), и статус (предупреждение или блокировка):

• «Поиск Whois» , чтобы узнать, кому принадлежит IP-адрес или доменное имя, которое посещает ваш сайт или совершает злонамеренные действия на ваших страницах.
• «Параметры импорта/экспорта» для экспорта или импорта параметров Wordfence на другой сайт WordPress.
• «Диагностика» предоставляет информацию, которую можно использовать для разрешения конфликтов, проблем с конфигурацией или совместимостью с другими плагинами, темами или серверной средой.

Меню «Все параметры»

Меню «Все параметры» содержит все параметры, которые разбросаны по другим меню (таким как брандмауэр, сканер или параметры подключения) на той же странице.

Преимущество в том, что вы можете найти все в одном месте . Я не буду вдаваться во все варианты, так как основные вы уже видели.

Однако интересно отметить, что именно здесь вы можете установить настройки уведомлений по электронной почте. У вас есть дюжина флажков, которые позволяют вам, например, быть предупреждены (или нет):

• Когда IP-адрес заблокирован
• Когда человек заблокирован на вашей странице входа
• Когда на вашем сайте WordPress обнаружено значительное количество атак

Вот и все для этого полного обзора функций Wordfence Security. Теперь давайте подробнее рассмотрим стоимость этого инструмента.

Сколько стоит Вордфенс?

Wordfence Security изначально доступен бесплатно в официальном каталоге WordPress. Конечно, как и любая бесплатная версия, она не включает в себя все опции, предлагаемые в платной версии плагина.

Wordfence Premium стоит 119 долларов в год. Помимо приоритетной поддержки, основным отличием от бесплатного предложения является частота обновлений инструментов, предлагаемых Wordfence .

С премией, как только серверы Wordfence обнаружат угрозы в режиме реального времени, они мгновенно обновят правила вашего брандмауэра, обнаружение вредоносных программ и список заблокированных IP-адресов.

С бесплатным плагином вам придется подождать 30 дней после запуска, чтобы воспользоваться обновлениями.

Кроме того, Wordfence также предлагает две лицензии, по которым специальная команда установит, настроит и будет управлять Wordfence для вас:

• Уход за Wordfence : 490 долларов в год.
• Ответ Wordfence: 950 долларов в год. Эта лицензия дает вам доступ к тем же возможностям, что и Wordfence Care, но вы также имеете гарантированное время ответа максимум в один час, и ответы доступны семь дней в неделю.

Последние два предложения в основном предназначены для крупных сайтов и людей, у которых нет времени заботиться о безопасности своего сайта (и у которых есть бюджет, чтобы делегировать эту задачу).

Для вашего личного веб-сайта или блога будет достаточно бесплатного или премиального плагина Wordfence.

Наше окончательное мнение о плагине Wordfence

В заключение давайте подытожим то, что мы видели с начала этой статьи, с кратким изложением сильных и слабых сторон этого подключаемого модуля безопасности.

Преимущества плагина Wordfence Security

• Приятный и понятный интерфейс, облегчающий освоение
• Он автоматически применяет основные настройки безопасности для вас
• Многие функции, предлагаемые в бесплатной версии, включая брандмауэр приложений
• Двухфакторная аутентификация
• Сканер безопасности
• Оповещения по электронной почте, чтобы сообщить вам, когда есть проблема

Недостатки плагина

• Некоторые настройки слишком сложны для новичка, но это касается и других плагинов безопасности.
• Тот факт, что последние обновления обнаруженных угроз применяются только через 30 дней после их выпуска
• Использование Wordfence может привести к замедлению работы ваших страниц, поскольку потребляет много ресурсов сервера. Если ваш веб-хост не догоняет производительность вашего сайта, это может повлиять.

Стоит ли использовать его?

В целом, Wordfence — очень хороший плагин безопасности . Поскольку большинство его опций работают автоматически, он подходит для начинающих.

Более продвинутые пользователи оценят возможность редактировать дополнительные технические и расширенные настройки.

Благодаря бесплатному плагину у вас будет ценный щит для блокировки большинства вредоносных атак, особенно через брандмауэр приложений. Последние уже будут эффективны для обеспечения первого уровня безопасности вашего сайта.

Это стоит отметить, потому что другие конкурирующие плагины (например, Sucuri) не предлагают брандмауэр в своей бесплатной версии. Однако это базовая защита для любого сайта.

И если вы также хотите защитить себя от последних угроз, обнаруженных командой Wordfence (это всегда лучше), переключитесь на премиум-пакет, если это позволяет ваш бюджет.

Наконец, не забывайте, что использование плагина безопасности — это еще не все. Во-первых, потому что ни один сайт не является безупречным. Во-вторых, потому что вам нужно ежедневно применять передовой опыт. Например, не забывайте регулярно обновлять и создавать резервные копии своего сайта.

Итак, что вы думаете о Wordfence? Дайте мне свое мнение в комментариях.