WordPress является самой популярной CMS для создания сайтов. Сайтов на ней огромное количество, и именно поэтому злоумышленники чаще всего обращают свое внимание именно на эту систему управления контентом. Рано или поздно, но каждый разработчик сайта или его владелец столкнется с таким неприятным событием, как взлом сайта, если не обеспечит меры по его защите.
В этой статье я расскажу, как защитить сайт WordPress при помощи плагина Fordfence. Для тех же, кто лучше воспринимает визуальный контент, ниже даю ссылку на видео.
Что делает этот плагин. Он устанавливает Firewall для защиты от вредоносного трафика. У него есть встроенный сканер, который блокирует запросы, содержащие вредоносный код или контент. Также у него есть сканер, который проверяет основные файлы, темы и плагины на наличие вредоносных программ, неверных URL-адресов, бэкдоров, SEO-спама, вредоносных перенаправлений и инъекций кода.
Wordfence защищает ваш сайт от атак по подбору пароля, блокируя злоумышленников и помогая вам избежать слабых паролей. Плагин обеспечивает защиты входа в админ-панель при помощи двухфакторной аутентификации.
После установки плагина в основном меню админ-панели WordPress появится раздел Wordfence, в котором и происходит управление и настройка безопасности сайта. В нем самом есть еще несколько подразделов, которые помогают ориентироваться в работе плагина.
Firewall
Во вкладке Firewall отображается работа брандмауэра. Сразу после установки плагина брандмауэр работает в режиме обучения, где он изучает работу сайта для настройки оптимальной защиты. По умолчанию режим обучения длится неделю, после чего включается брандмауэр. В настройках можно этот срок изменить самостоятельно.
Scan
В разделе Scan располагается монитор сканирования сайта. Здесь также можно выбрать один из трех уровней сканирования и настроить основные опции, что сканировать, а что нет.
Tools
На вкладке Tools отображается о том, что происходит с сайтом в реальном времени, включая логины пользователей, попытки взлома и запросы, которые были заблокированы брандмауэром Wordfence. Можно регистрировать только трафик, связанный с безопасностью, или весь трафик. Трафик регистрируется непосредственно на сервере, это означает, что он включает посещения без выполнения JavaScript. Поэтому, в отличии от аналитических сервисов, таких, как Google Analytics, Wordfence регистрирует не только живых посетителей, а также ботов и роботов. В закладке Whois Lookup можно проверить домен или IP адрес при помощи сервиса Whois.
Login Security
Login Security – это та функция, из-за которой я и решил написать эту статью. Плагин Wordfence позволяет создать двухфакторную аутентификацию при авторизации в админ-панель. Он работает с основными популярными приложениями для аутентификации, такими как Google Authenticator, FreeOTP, Microsoft Authenticatorи другими. Полный список можно посмотреть, перейдя по ссылке в самом разделе на закладке Two-Factor Authentification.
Для того, чтобы настроить двухфакторную аутентификацию, необходимо скачать приложение из списка поддерживаемых плагином на свой смартфон. Далее нужно сканировать QR-код, указанный в пункте 1 плагина. После этих действий приложение определит ваш сайт и сгенерирует цифровой шестизначный код, который нужно ввести в пункте 2 и нажать кнопку Activate. На этом настройка двухфакторной аутентификации закончена. Плагин также предлагает опционально скачать 5 кодов восстановления. Они пригодятся на случай, если у вас нет доступа к смартфону.
Теперь после ввода логина и пароля от своей учетной записи WordPress будет появляться такое окно с полем для ввода кода. Этот код генерируется в соответствующем приложении в смартфоне для каждого сайта.
Закладка Settings отвечает за настройки двухфакторной аутентификации. Также в ней можно установить reCaptcha на страницу регистрации.
В этой статье я рассказал, как с помощью одного плагина Wordfence можно существенно защитить свой сайт. Плагин защищает как файловую систему, так и авторизацию в админ-панель. Таким образом, вы будете защищены с двух сторон. Успехов вам в создании отличных сайтов.
