Введение
После того, как вредоносное ПО удалено с веб-сайта и сайт “ожил”, становится актуальным вопрос о том, как избежать следующих хакерских атак. Эти атаки, если уже были начаты, наверняка продолжатся. Много специализированных сервисов предлагают свои услуги на платной основе. Если на них “подсесть”, то это “на всю жизнь”. Я попробовал найти хороший, бесплатный сервис. Найти непросто. Но я обнаружил бесплатный WordPress плагин – WP Cerber Security, Anti-spam, Malware Scan, авторы которого утверждают, что это то, что надо. Судя по количеству загрузок плагина – более 200 000 и отзывам пользователей – более 500 и практически все положительные, плагин хорошо выполняет функции, для которых он предназначен.
Именно об этом плагине, его особенностях, настройке и использовании с целью защиты сайта от хакерских атак и пойдёт речь на странице.
Что может WP Cerber Security, Anti-spam, Malware Scan плагин
Как указано в описании плагина, он предназначен для:
– защиты WordPress веб-сайта от хакерских атак, спама, троянов и вирусов;
– сканирования с целью выявления вредоносных программ (Malware);
– проверки целостности (integrity checker);
– укрепления WordPress сайта с помощью набора комплексных алгоритмов безопасности;
– защиты от спама с помощью сложного механизма обнаружения ботов и reCAPTCHA;
– отслеживания активности пользователей и злоумышленников, с помощью мощных уведомлений по электронной почте, на мобильных устройствах и на рабочем столе.
С чего начать после установки и активирования плагина
После установки и активирования плагина, на сайт загружается набор основных настроек, которые позволяют плагину WP Cerber эффективно защищать веб-сайт. Но чтобы получить максимальную отдачу от возможностей плагина WP Cerber и наиболее эффективную защиту WordPress сайта, необходимо тщательно настроить плагин. Рассмотрим, какие шаги нужно выполнить, чтобы выполнить более тщательную настройку плагина.
Шаг 1. Убедиться в правильности определения плагином IP-адреса
1. Открыть страницу What is my IP address (Какой у меня IP-адрес) во вкладке (Tab) браузера и страницу Access Lists (Списки доступа) админ панели веб-сайте в другой вкладке (Tab) браузера.
2. Нужно сравнить IP-адрес на странице What is my IP address (Какой у меня IP-адрес) с IP-адресом под меткой Your IP (Ваш IP-адрес) на странице Access Lists (Список доступа) админ панели сайта.
3. Должны увидеть два одинаковых IP-адреса. В моём случае:
Your IP address is 72.89.20.67 (на странице https://wpcerber.com/what-is-my-ip/) и 72.89.20.67 в строке My IP address страницы Access Lists админ панели сайта. Адреса совпали!
3.1. Если же два IP-адреса не совпадают, то нужно проверить (установить?) переключатель My site is behind a reverse proxy (Мой сайт находится за обратным прокси-сервером), в основных настройках плагина (Main Settings) и повторить шаги, описанные выше.
4. Если вы по-прежнему видите два разных IP-адреса, а веб-сайт не находится за прокси-сервером, следуйте этой инструкции: Solving problem with incorrect IP address detection (Решение проблемы с неправильным определением IP-адреса).
5. One more step if your WordPress is under Cloudflare (Еще один шаг, если WordPress сайт находится в Cloudflare proxy service).
Шаг 2. Включите загрузку плагина в стандартном режиме
Перейдите в Основные настройки (Main Settings) и установите для параметра Load security engine (Загрузить модуль безопасности) значение Standard mode (Стандартный режим).
Примечание: Имеется ещё режим Legacy mode (Устаревший режим).
Шаг 3. Как получать уведомления по электронной почте
В момент активирования плагина, он отправляет приветственное письмо на адрес электронной почты администратора веб-сайта. Если вы не получили приветственное письмо, убедитесь, что адрес электронной почты, который вы видите на вкладке Notifications (Уведомления), правильный, а электронные письма от плагина не попадают в папку для спама. Если вы не получили приветственное письмо, скорее всего, вы не получите других важных уведомлений. Вы можете ввести альтернативные адреса электронной почты в текстовое поле Email Address (Адрес электронной почты). Чтобы проверить доставку, щелкните ссылку [Click to send test] (Щелкните для отправки).
Подробнее: How to set up mobile notifications on your smartphone (Как настроить мобильные уведомления на смартфоне).
To start receiving notifications in your desktop browser, you need to install free browser extension available for Chrome, Firefox, and Opera. Find out more on the Pushbullet website: https://www.pushbullet.com/apps
Не отправляет уведомления:
Unable to send email to olegtrf@hotmail.com
Плагин установил для сайтов:
http://rustashkent.com/
http://www.kinodoma.info/blog
http://lowermantle.com
http://redlightfacialtreatment.com (http://almanac-z.com/ )
http://uzstock.com/
http://uppermantledirectory.com
http://earthhotspot.info/wp/
http://earthmantle.info/
http://virtualuppermantle.info/news/
http://uzbekintour.com/dir
http://pravoslavie.us/news/
http://supruga.us/
Для следующих веб-сайтов уведомления на olegtrf@hotmail.com приходят:
– http://earthhotspot.info
– http://uzstock.com
– http://supruga.us/
Почему от других сайтов уведомления НЕ приходят на электронную почту olegtrf@hotmail.com – нужно понять.
Шаг 4. Включите пользовательскую страницу входа и регистрации
Чтобы скрыть страницу по умолчанию wp-login.php для входа в WordPress, от автоматических атак и регистрации спама, укажите свой собственный URL-адрес для входа (страница входа) (Custom login URL (login page)) и отключите wp-login.php. Примечание. Если вы используете плагин кэширования (например, W3 Total Cache или WP Super Cache), вам необходимо добавить свой собственный URL-адрес для входа в список страниц, которые не следует кэшировать.
Подробнее: Как настроить пользовательский URL-адрес для входа в WordPress можно почитать на странице: How to set up Custom login URL for WordPress.
Пока не создал
Шаг 5. Добавьте свой домашний или офисный IP-адрес в White IP Access list – Белый список IP-доступа
Если вы работаете дома или в офисе на компьютере со статическим IP-адресом, имеет смысл добавить этот статический IP-адрес (или всю сеть компании) в Белый список доступа IP (White IP Access List). Это позволит достичь двух целей:
1. Предотвратить случайную блокировку вашего веб-сайта.
2. Позволит ограничить доступ к XML-RPC, REST API и другим важным частям WordPress.
Подробнее: Как использовать списки доступа для WordPress (How to use Access Lists for WordPress).
У меня НЕТ статического IP-адреса.
Шаг 6. Включить защиту от спама
Механизм защиты от спама (The Cerber’s anti-spam engine) совместим с большинством конструкторов форм (WordPress form builders) и способен защитить практически любую форму. Что для этого нужно сделать:
На странице администратора Anti-Spam Engine (в левом меню пункт Anti-spam) включите все необходимые функции в разделе Cerber anti-spam engine.
– Включив защиту от спама, убедитесь, что формы на вашем сайте работают нормально.
– Если некоторые функции на веб-сайте перестали работать, включите Use less restrictive policies (allow AJAX) (Использовать менее строгие политики (разрешить AJAX)).
– Наконец, позвольте плагину убрать беспорядок со спам-комментариями. Для этого, в выпадающем списке If a spam comment detected нужно выбрать Deny it completely (полностью запретить спам-комментарии) или mark it as spam (пометить их только как спам). Включите Trash spam comments (автоматическое перемещение спама в корзину) Move spam comments to trash after__days.
Полезные инструкции:
– Как остановить спамерские регистрации пользователей на вашем WordPress (How to stop spam user registrations on your WordPress).
– Как остановить отправку спам-форм на вашем WordPress (How to stop spam form submissions on your WordPress).
– Как настроить reCAPTCHA для WordPress (How to set up reCAPTCHA for WordPress).
Шаг 7. Ограничьте доступ к REST API и XML-RPC
XML-RPC is a Remote Procedure Call method that uses XML passed via HTTP as a transport. With it, a client can call methods with parameters on a remote server (the server is named by a URI) and get back structured data. xmlrpc is a package that collects server and client modules implementing XML-RPC.
REST or RESTful API design (Representational State Transfer) is designed to take advantage of existing protocols. … This means that developers do not need to install libraries or additional software in order to take advantage of a REST API design.
1. Перейдите на страницу администрирования Hardening.
2. Установите флажок Disable REST API (Отключить REST API). При необходимости, укажите исключения пространства имен (namespace exceptions) для REST API. Например, если вы используете контактную форму 7, пространство имен будет: contact-form-7, а для Jetpack – это jetpack.
3. Установите флажок Allow REST API for logged in users (Разрешить REST API для авторизованных пользователей), если вы хотите разрешить использование REST API для любого авторизованного пользователя WordPress без ограничений.
oEmbed is a format for allowing an embedded representation of a URL on third party sites. The simple API allows a website to display embedded content (such as photos or videos) when a user posts a link to that resource, without having to parse the resource directly.
4. Установите флажок Disable XML-RPC (Отключить XML-RPC), если вы не используете плагин Jetpack. Если вы используете XML-RPC только с определенных хостов, добавьте их IP-адреса в Белый список доступа IP ( White IP Access List).
Подробнее: Ограничьте доступ к WordPress REST API (Restrict access to WordPress REST API).
Шаг 8. Укажите список запрещенных логинов.
Перейдите на страницу Users администрирования плагина и, если ваш список все еще пуст, рекомендуется добавить в этот список следующие имена пользователей: admin, administrator, manager, editor, user, demo, test.
Узнать больше о запрещенных именах пользователей (Read more about prohibited usernames).
Источники
1. Getting Started with WP Cerber Security
Related Posts:
