Самое читаемое:

Руководство по Wordfence: как защитить свой сайт WordPress от хакеров

Приветствую, друзья!

Сегодня я бы хотел рассказать вам об очень хорошем плагине безопасности Wordfence. Безопасность, как говорится, превыше всего.

Я вам подробно расскажу что это за плагин, как установить и как оптимально настроить его, чтобы ваш сайт на WordPress находился в полной безопасности и вы бы не переживали за это.

Руководство по Wordfence

Сотни сайтов WordPress взламываются каждый день. Как вы можете убедиться, что ваш не один из них?

Ко мне часто поступают вопросы про хостинг, которым я пользуюсь и поэтому решил указать хостинг в статье https://sprinthost.ru. Вы можете попробовать попользоваться хостингом 30 дней бесплатно. Чтобы понять, как будет работать Ваш сайт на этом хостинге просто перенести свой сайт (в этом поможет поддержка хостинга бесплатно) и и таким образом сможете понять подходит хостинг Вам или нет. На этом хостинге находятся сайты с 20 000 тысяч посещаемость и сайты чувствуют себя отлично. Рекомендую! Да, если делать оплату на 1 год то получаете скидку 25%. И что мне нравится - тех. поддержка всегда помогает в технических вопросах, за что им спасибо. Как Вы понимаете не всегда проходит всё гладко и нет желания, чтобы сайт не был доступен тем самым страдал трафик и доход.

Посмотрим правде в глаза: безопасность WordPress — большая тема. На первый взгляд это может показаться немного пугающим. Существует множество способов проникновения хакеров на сайты. Как вы можете начать защищать свой сайт от всех этих атак?

Ну, вы можете перестать беспокоиться! В этой статье я покажу вам, как установить и настроить плагин WordPress, который значительно повысит безопасность вашего сайта, с минимальными усилиями с вашей стороны. Вся установка занимает около 20 минут.

К тому времени, когда вы закончите, вы сможете расслабиться, зная, что ваш сайт WordPress хорошо защищен от этих надоедливых хакеров!

Но сначала давайте посмотрим, как именно хакеры делают то, что они делают, и почему они это делают.

Почему и как взламывают сайты

Почему и как взламывают сайты

Так почему же хакеры все равно хотят взломать ваш старый сайт WordPress? Есть несколько причин:

  • Чтобы получить секретную информацию на вашем сайте. Это может включать ваши пароли, данные о ваших пользователях, клиентах или подписчиках и так далее.
  • Для установки вредоносного ПО на ваш сайт. Вредоносное ПО — это вредоносное программное обеспечение, скрытое в файлах на вашем сайте. После того, как им удалось установить свои вредоносные программы, хакеры могут делать что угодно, от отправки вирусов на компьютеры ваших посетителей до вставки спам-ссылок на страницы вашего сайта. (Кстати, это действительно повредит вашему СЕО!)

Хакеры взламывают сайты на WordPress различными способами:

  • Подбор пароля администратора WordPress. Хакеры запускают программы, которые пытаются зайти на ваш сайт сотни раз в минуту, используя разные имена и пароли администратора (это называется атакой методом перебора). Если они получают правильную комбинацию, они могут войти и получить полный доступ к вашей админке WordPress.
  • Использование дыр в безопасности вашего коде. Это может включать в себя сам WordPress (известный как ядро WordPress), а также любые плагины и темы, которые вы установили.
  • Использование дыр в безопасности вашего веб-хостинга. Например, может быть ошибка в программном обеспечении веб-сервера, которое работает с вашим сайтом, что позволяет хакерам проникнуть на сайт. Или они могут взломать панель управления хостингом или учетные записи FTP для загрузки вредоносных программ.

Как Wordfence защищает ваш сайт от хакеров

Wordfence — бесплатный плагин WordPress, который защищает ваш сайт WordPress от попыток взлома. Более того, если ваш сайт взломан, и хакеру удается установить вредоносное ПО, Wordfence поможет вам удалить вредоносное ПО с вашего сайта и снова заставить его работать нормально.

Wordfence защищает ваш сайт следующими способами:

  • Его брандмауэр веб-приложения анализирует весь трафик посетителей непосредственно перед тем, как он достигнет вашего сайта WordPress. Если он обнаруживает хакера среди трафика, он блокирует их, прежде чем они смогут добраться до вашего сайта и нанести какой-либо ущерб.
  • Его сканер вредоносных программ регулярно сканирует файлы на вашем сайте, включая WordPress, плагины и темы, чтобы узнать, могут ли они содержать вредоносные программы. Он также сканирует ваши сообщения и страницы, ища изворотливые URL-адреса и код, которые могли быть добавлены хакерами.
  • Его функция восстановления файлов поможет вам удалить вредоносные программы с вашего сайта. Он показывает вам, как файл был изменен хакером, и позволяет заменить взломанный файл оригинальной, чистой версией одним нажатием кнопки.

Wordfence защищает тысячи сайтов в минуту

Wordfence защищает тысячи сайтов в минуту, как показано на карте в реальном времени на их веб-сайте.

Wordfence бесплатный и премиум: какая разница?

Сам плагин Wordfence является бесплатным, но вы можете заплатить $99 в год за премиум-подписку Wordfence с более расширенными функциями.

На домашней странице Wordfence есть подробный список различий между бесплатными и премиум-опциями. Вкратце, вот что вы получите, если зарегистрируетесь на premium:

  • Обновления в реальном времени для противодействия последним угрозам по мере их обнаружения. (Бесплатные пользователи должны ждать 30 дней для обновления.)
  • Черный список известных вредоносных IP-адресов в режиме реального времени. Это блокирует компьютеры хакеров мгновенно, прежде чем они смогут даже коснуться вашего сайта WordPress.
  • «Country blocking» позволяет блокировать целые страны с вашего сайта — полезно, если пользователи в конкретной стране в основном пытаются взломать ваш сайт.
  • Проверка спама, чтобы узнать, отправляет ли ваш сервер или сайт спам-сообщения или «spamvertizing» (обслуживание спам-контента на ваших страницах).
  • Удаленное сканирование, которое использует серверы Wordfence для удаленного сканирования вашего сервера. Это позволяет Wordfence сканировать ваш сайт более тщательно, чем бесплатная версия плагина.
  • Запланируйте сканирование для запуска, когда вам нравится, так часто, как вам нравится. Бесплатные пользователи получают только одно автоматическое сканирование в день, и Wordfence решает, в какое время дня запускать сканирование. (Однако вы можете запускать ручное сканирование, когда захотите, даже в качестве свободного пользователя.)
  • Улучшена безопасность входа. Премиум пользователи могут войти на свой сайт, используя свой телефон для повышения безопасности.
  • Лучшая фильтрация спама комментариев. Спам в комментариях — это место, где хакеры и спамеры размещают комментарии на вашем блоге, содержащие спам или опасные URL-адреса. Бесплатная версия Wordfence отфильтровывает худшие из них, но премиум-версия делает более тщательную работу.

Так стоит ли покупать премиум-версию? Если вы хотите наилучшую защиту и душевное спокойствие, тогда да. Тем не менее, бесплатная версия по-прежнему предлагает действительно хорошую защиту от хакеров, и это гораздо лучше, чем отсутствие плагина безопасности вообще. Конечно, вы можете начать с бесплатного плагина и перейти на платную подписку в любое время.

Wordfence бесплатный и премиум

Wordfence Premium предлагает несколько дополнительных функций для защиты вашего сайта от попыток взлома.

Как установить Wordfence

Как и в большинстве плагинов WordPress, установка Wordfence очень проста. Просто следуйте этим шагам:

  1. Войдите в свою админку WordPress.
  2. В левом меню выберите «Плагины — Добавить новый».
  3. Введите wordfence в верхнем правом окне «Поиска плагинов».
  4. Найдите «Wordfence Security — Firewall & Malware Scan» в результатах поиска и нажмите кнопку «Установить сейчас»:

Установить сейчас

Найдите плагин Wordfence, затем установите его, нажав кнопку «Установить сейчас».
  1. Подождите несколько секунд, пока WordPress установит плагин. Когда это будет сделано, кнопка «Установить сейчас» изменится на кнопку «Активировать». Нажмите кнопку, чтобы активировать плагин.
  2. Появится всплывающее окно с запросом вашего адреса электронной почты. Это адрес электронной почты, на который Wordfence будет отправлять предупреждения и обновления статуса. Введите адрес электронной почты, решите, хотите ли вы присоединиться к списку рассылки, затем нажмите кнопку «Continue» (Продолжить):

адрес электронной почты

Введите адрес электронной почты, на который Wordfence должен отправлять вам предупреждения и сообщения о состоянии, затем нажмите «Continue» (Продолжить).
  1. Наконец, вы увидите другое всплывающее окно с запросом вашего лицензионного ключа для премиум. Если вы приобрели премиум-лицензию, вы можете ввести ключ здесь или нажать «Upgrade To Premium» (Обновить до PREMIUM), чтобы приобрести лицензию. Или, если вы будете использовать бесплатную версию, нажмите на ссылку «Нет, спасибо»:

Нет, спасибо

Введите свой премиум ключ, если он у вас есть, или нажмите на ссылку «Нет, спасибо», чтобы продолжить использовать бесплатную версию Wordfence.

Это оно! Wordfence теперь установлен и защищает ваш сайт.

Настройка параметров Wordfence

После того, как вы установили и активировали Wordfence, перейдите на страницу «Параметры», выбрав «Wordfence — All Options» (Wordfence — Все параметры) в левом меню админки WordPress.

Большинство параметров настроены на довольно хорошие значения по умолчанию, поэтому вам не нужно их трогать. Тем не менее, на этой странице есть несколько параметров, которые вы наверняка захотите проверить:

  • «Scan Options — Scan Scheduling — Schedule Wordfence Scans» (Параметры сканирования — Планирование сканирования — Расписание сканирования Wordfence): этот параметр должен быть установлен по умолчанию (с выделенной кнопкой «Enabled» (Включено)). Это заставляет Wordfence сканировать ваш сайт на наличие хаков и вредоносных программ один раз в день:

Scan Options

Убедитесь, что включен график сканирования Wordfence, чтобы ваш сайт сканировался один раз в день.
  • «Wordfence Global Options > General Wordfence Options > Update Wordfence automatically when a new version is released?» (Глобальные параметры Wordfence — Общие параметры Wordfence — Обновлять Wordfence автоматически при выпуске новой версии?): Этот параметр автоматически обновляет плагин Wordfence каждый раз, когда становится доступной новая версия. Рекомендуется установить этот флажок, чтобы обеспечить максимальную безопасность вашего сайта. Если это вызывает какие-либо проблемы, снимите флажок снова и не забывайте регулярно обновлять Wordfence!

Wordfence Global Options

Установите этот флажок, чтобы Wordfence автоматически обновлялся.
  • «Wordfence Global Options > General Wordfence Options > Where to email alerts» (Глобальные параметры Wordfence — Общие параметры Wordfence — Куда отправлять оповещения по электронной почте). Убедитесь, что вы ввели здесь свой адрес электронной почты, чтобы Wordfence мог отправить вам электронное письмо, если обнаружит, что ваш сайт был взломан:

Where to email alerts

Введите свой адрес электронной почты в этом поле, чтобы Wordfence мог отправлять вам сообщения о статусе и предупреждения.

После того, как вы проверили эти параметры, нажмите кнопку «Save Changes» (Сохранить изменения) вверху страницы, чтобы сохранить настройки:

Сохранить изменения

Когда вы закончите настройку параметров, нажмите кнопку «Сохранить изменения».

Запуск вашего первого сканирования

Следующее, что вам нужно сделать, это запустить сканирование Wordfence, чтобы проверить, не был ли ваш сайт взломан. Сделать это:

  1. Выберите «Wordfence — Scan» из меню слева в админке WordPress.

При первом посещении страниц «Scan, Firewall, или Dashboard» (Сканирование, Брандмауэр или Панель инструментов) появляется всплывающее окно, предлагающее мини-обзор возможностей и функций этой страницы. Нажмите кнопку «Next» (Следующая) во всплывающем окне, чтобы совершить экскурсию, или нажмите небольшую кнопку закрытия, чтобы закрыть всплывающее окно.

  1. Нажмите кнопку «Start New Scan» (Начать новое сканирование) в левой части страницы:

Start New Scan

Нажмите «Start New Scan», чтобы начать первое сканирование вашего сайта.

В зависимости от размера вашего сайта сканирование может занять от нескольких секунд до нескольких минут. Во время сканирования вы увидите индикатор выполнения, а также сообщение о состоянии, показывающее, что Wordfence сканирует в данный момент:

Scan Complete

Индикатор выполнения и сообщения о состоянии показывают, что делает Wordfence во время сканирования вашего сайта.

В конце концов вы увидите текст «Scan Complete» (Сканирование завершено) появляется в строке состояния. Теперь прокрутите страницу вниз, пока не увидите вкладку «Results Found» (Найдено результатов):

Найдено результатов

Найдите текст «Сканирование завершено» и перейдите на вкладку «Результаты поиска» в Wordfence. Это показывает любые проблемы, которые Wordfence обнаружил во время сканирования.

Здесь перечислены все проблемы, которые обнаружил Wordfence. Надеюсь, эта вкладка пуста, но вы можете увидеть некоторые незначительные проблемы, такие как плагины и темы, которые требуют обновления. Для каждой проблемы вы можете нажать кнопку «Details» (Детали) в правой части проблемы, чтобы получить больше информации о проблеме. Если плагин или тема нуждаются в обновлении, вы можете щелкнуть ссылку «Click here to update now» (Нажмите здесь, чтобы обновить сейчас), чтобы обновить его немедленно:

обновить его немедленно

Нажмите кнопку «Детали», чтобы просмотреть дополнительную информацию по каждой проблеме. Вы можете «Нажать здесь, чтобы обновить сейчас», чтобы обновить каждый плагин или тему.

Вы также можете выбрать «Dashboard — Updates» (Панель инструментов — Обновления) в левом меню админки, чтобы обновить все ваши плагины и темы сразу.

Если вы видите какие-либо критические сообщения (с красной точкой) — в частности, сообщения типа «File appears to be malicious» (Файл является вредоносным) — то ваш сайт может быть взломан уже. Если это так, выполните следующие действия:

  1. Не паникуйте!
  2. Взгляните на эту страницу справки Wordfence, которая объясняет, как интерпретировать результаты сканирования, а также как исправить любые проблемы.
  3. Если он действительно выглядит так, как будто ваш сайт был взломан и содержит вредоносные программы, то следующий шаг — очистить ваш сайт, либо следуя инструкциям на сайте Wordfence, либо наняв команду Wordfence, чтобы сделать это за вас.

Настройка брандмауэра Wordfence

Брандмауэр веб-приложений Wordfence блокирует хакеров, прежде чем они смогут нанести ущерб вашему сайту WordPress. Он включается автоматически при установке Wordfence, но для начала он работает только как плагин WordPress, который не обеспечивает наилучшего уровня защиты. Wordfence называет это базовой защитой WordPress.

Чтобы сделать брандмауэр более безопасным, вы должны настроить его так, чтобы он работал до того, как WordPress или любые другие файлы PHP смогут запустить его. Таким образом, он может блокировать попытки взлома в кратчайшие сроки. Wordfence называет это расширенной защитой.

Чтобы включить расширенную защиту, выполните следующие действия.

  1. Выберите «Wordfence — Firewall» (Wordfence — Брандмауэр) в левом меню админки WordPress.
  2. Нажмите кнопку «Manage Firewall» (Управление Брандмауэром) в верхней части страницы:

Управление Брандмауэром

Нажмите кнопку «Управление брандмауэром» для доступа к странице «Параметры брандмауэра».
  1. На открывшейся странице «Firewall Options» (Параметры брандмауэра) нажмите кнопку «Optimize The Wordfence Firewall» (Оптимизировать Брандмауэр Wordfence):

Параметры брандмауэра

Нажмите «Оптимизировать Брандмауэр Wordfence», чтобы начать настройку брандмауэра.
  1. Появится всплывающее окно «Optimize Wordfence Firewall» (Оптимизировать Брандмауэр Wordfence). Здесь много технического текста, но не беспокойтесь об этом, если на вашем сайте не запущено более одного WordPress или вы не знаете, что конфигурация вашего сервера отличается от показанной. Просто нажмите кнопку «Download .htaccess» (Скачать .htaccess) — это загрузит файл резервной копии, содержащий ваш текущий файл .htaccess конфигурации сервера, на случай, если что-то пойдет не так, когда Wordfence изменит его. Затем нажмите кнопку «Continue» (Продолжить), чтобы оптимизировать брандмауэр:

оптимизировать брандмауэр

Нажмите «Скачать .htaccess», затем нажмите «Продолжить», чтобы перейти к предварительно выбранной конфигурации сервера, если вы не знаете, что это неправильно.

Если все идет хорошо, вы должны увидеть предупреждение с сообщением «Nice work! The firewall is now optimized» (Отличная работа! Теперь брандмауэр оптимизирован). Нажмите кнопку «Close» (Закрыть), чтобы продолжить:

Отличная работа

Если все идет хорошо, вы должны увидеть это сообщение. Нажмите «Закрыть», чтобы продолжить.

Уровень защиты на странице параметров брандмауэра теперь должен отображать расширенную защиту:

расширенную защиту

Все сделано! Ваш брандмауэр теперь должен показывать расширенную защиту.

Если вы столкнетесь с проблемами, Wordfence, вероятно, не сможет создать необходимые файлы на ваших серверах из-за прав доступа к файлам. Обратитесь за помощью на страницу устранения неполадок оптимизации межсетевого экрана. Вы также увидите, что брандмауэр запускается в режиме обучения. В этом режиме брандмауэр некоторое время анализирует трафик вашего сайта, чтобы определить разницу между обычным трафиком и попыткой взлома. Через неделю брандмауэр автоматически переключается в режим реального времени и начинает защищать ваш сайт.

Пока брандмауэр находится в режиме обучения, рекомендуется делать все, что вы обычно делаете: публиковать страницы и сообщения, ожобрять или отвечать на комментарии, настраивать темы и плагины и настраивать виджеты. Это дает брандмауэру возможность увидеть, как выглядит «нормальная» активность на вашем сайте.

Хорошая работа! Вот что делать дальше

Теперь, когда вы установили и настроили Wordfence, ваш сайт WordPress имеет гораздо больше шансов удержать хакеров подальше от вашего сайта. Отличная работа!

Важно поддерживать безопасность WordPress. Wordfence будет отправлять вам сообщения по электронной почте всякий раз, когда обнаруживает какие-либо проблемы с вашим сайтом, и вы должны исследовать их и, при необходимости, исправить. Также стоит проверить панель инструментов Wordfence (выберите «Wordfence — Dashboard» (Wordfence — Панель инструментов) в вашей админке WordPress), которая дает вам хорошую сводку текущего состояния безопасности вашего сайта.

Удачи!

У вас есть вопросы по Wordfence или по обеспечению безопасности вашего сайта WordPress? Не стесняйтесь спрашивать в комментариях ниже!

До скорых встреч!


Обо мне
Юрич:
Занимаюсь созданием сайтов на WordPress более 6 лет. Ранее работал в нескольких веб-студиях и решил делиться своим опытом на данном сайте. Пишите комментарии, буду рад общению.
One Comment к статье "Руководство по Wordfence: как защитить свой сайт WordPress от хакеров"
  1. Sinitsa: 15.09.2019 в 23:34

    Плагин хорош, но хотелось бы еще и о других узнать по защите сайта т.к. на начальных этапах хочется выбрать для себя оптимальный вариант

Заказать сайт