Подробное описание плагина Sucuri Security

Подробное описание Sucuri Security
Полная версия плагина / сервиса Sucuri Security определенно будет лучшей защитой для WordPress веб-сайтов от любых видов угроз из Интернета.

Весь входящий трафик проходит через сервера Сукури, на которых проверяется каждый запрос к веб-сайту. Если в каком-то запросе обнаруживается что-то вредоносное, этот запрос блокируется, а все остальные запросы проходят.

Эта проверка происходит на серверах Сукури, так что снижается нагрузка на сервер, в результате он может обслужить большее число пользователей без изменения тарифа.

Кроме защиты веб-сайта сервис ускоряет веб-сайт и оптимизирует работу сервера. Сукури ускоряет веб-сайт за счет копирования страниц веб-сайта на фирменный CDN Anycast. То есть страницы веб-сайта доставляются пользователю из ближайшего сервера Сукури без обращения к серверу.

Кроме этого, если хакеру все же удастся проникнуть на веб-сайт, Сукури бесплатно найдет место взлома и вылечит веб-сайт.

Это наиболее полное и комплексное решение по защите WordPress веб-сайта. Цена этого сервиса начинается со 199$ / год. Стоимость часа работы специалиста по восстановлению веб-сайта может доходить до 250$ в час.

Параметр бесплатной версии плагина Sucuri Security

В бесплатной версии плагина нет файрвола, нет подключения к сети CDN и нет гарантии восстановления веб-сайта, если его взломают.

Но в бесплатной версии есть пару полезных инструментов:

  • Плагин с заданной периодичностью сравнивает файлы ядра WordPress с оригинальными файлами в репозитарии WordPress, и отображает результат в консоли WordPress
  • Сканер с заданной периодичностью проверяет веб-сайт на наличие вредоносного ПО, и отображает результат в консоли WordPress
  • Плагин проверяет нахождение веб-сайта в черных списках поисковиков и антивирусов, и отображает результат в консоли WordPress
  • Плагин ведет логи событий и логи доступа, которые запросто читать

Весь остальной функционал для усиления безопасности можно добавить вручную:

  • Как изменить мощную защиту веб-сайта с файрволом на уровне сервера на основе бесплатной версии Sucuri Security

В данной статье вы узнаете, как изменить бесплатную версию плагина Sucuri Security. Плагин пока не имеет в себя перевода на русский язык, в данной статье подробное описание каждой возможности.

В данной статье мы рассмотрим:

  1. Dashboard
  2. Firewall(WAF)
  3. Last Logins
  4. Settings
    • General Settings
      • API Key
      • Data Storage
      • Log Exporter
      • Reverse Proxy
      • IP Address Discoverer
      • Timezone
      • Import & Export Settings
      • Reset Security Logs, Hardening and Settings
    • Scanner
      • Scheduled Tasks
      • WordPress Integrity Diff Utility
      • WordPress Integrity(False Positives)
      • Ignore Files And Folders During The Scans
    • Hardening
      • Hardening Options
      • Whitelist Blocked PHP Files
    • Post-Hack
      • Update Secret Keys
      • Reset User Password
      • Reset Installed Plugins
      • Available Plugin and Theme Updates
    • Alerts
      • Alerts Recipient
      • Trusted IP Addresses
      • Alert Subject
      • Alerts Per Hour
      • Password Guessing Brute Force Attacks
      • Security Alerts
      • Post-Type Alerts
    • API Service Communication
      • API Service Communication
      • API Communication via Proxy
      • Malware Scan Target
      • WordPress Checksums API
    • Website Info
      • Environment Variables
      • Access File Integrity

1. Dashboard

Плагин устанавливается и активируется как обычно. Параметра плагина находятся в главном меню WordPress — Sucuri Security.

Первое, что необходимо сделать — создать API ключ для соединения с сервером Sucuri:

Подробное описание плагина Sucuri Security
Нажмите Generate API Key
Подробное описание плагина Sucuri Security
Поставьте две галочки, нажмите Submit

API ключ нужен для активации некоторых возможностей плагина. Ключи бесплатны и вы можете сгененрировать любое число ключей, при условии что имя домена и е-мейл уникальные. Ключ используется для авторизации HTTP запросов, которые плагин посылает к серверу Sucuri.

WordPress Integrity — Сукури сравнивает файлы ядра WordPress в корневой директории и папках wp-admin и wp-includes с файлами WordPress в официальном репозитарии WordPress. Если найдется какое-то отличие, оно будет показано в данной секции. Любое отличие может означать взлом.

По умолчанию проверка происходит раз в 24 часа, дальше в параметрах можно без труда настроить интервал проверки.

Ниже слева на странице Dashboard находятся логи событий, найденные iФреймы, Ссылки и Скрипты. Справа находятся окна результата работы сканера вредоносного кода, статус занесения веб-сайта в списки вредоносных и рекомендации по увеличению безопасности.

Подробное описание плагина Sucuri Security
Тестовый веб-сайт занесен в списки вредоносных Spamhaus

Нажмите на каждый восклицательный знак в Рекомендациях, вы увидите инструкцию по устранению данной уязвимости. Обычно необходимо добавить пару строк кода в .htaccess.

Security Header: X-XSS-Protection Missing — защита веб-сайта от некоторых типов XSS атак. Добавьте этот код в .htaccess:

Security Header: X-Content-Type-Options nosniff — защита пользователей веб-сайта от загрузки вредоносного кода, добавленного хакерами. Добавьте этот код в .htaccess:

2. Firewall(WAF)

Раздел Firewall работает только в платной версии плагина.

Подробное описание плагина Sucuri Security

Переходите к следующему разделу.

3. Last Logins

В разделе Last Logins находятся 4 вкладки: All Users, Admins, Logged-in Users и Failed Logins.

На вкладке All Users список всех заходивших посетителей:

Подробное описание плагина Sucuri Security

На вкладке Admins — список всех зашедших посетителей с привилегиями админа:

Подробное описание плагина Sucuri Security

На вкладке Logged-in Users вы видите список всех посетителей, залогиненных в данный момент:

Подробное описание плагина Sucuri Security

На вкладке Failed Logins — список всех неудачных попыток входа:

Подробное описание плагина Sucuri Security

На данной вкладке показываются все неудачные попытки входа на веб-сайт. Если с одного IP будет сделано более 30 неудачных попыток доступа в течение одного часа, то администратор веб-сайта получит сообщение на е-мейл. Число неудачных попыток можно настроить в параметрах плагина. ПРИМЕЧАНИЕ: Некоторые плагины двухфакторной аутентификации не следуют тем же правилам, которые WordPress использует для отслеживания неудачных попыток входа в систему, так что вы можете легко не увидеть все попытки в данной панели, если у вас установлен такой плагин.

4. Settings

В этом разделе находятся все параметра плагина.

General Settings

Подробное описание плагина Sucuri Security

API ключ нужен, чтобы защитить от хакеров логи событий, которые в случае взлома веб-сайта помогут вам выяснить, как он был взломан, а также может плагину показывать статистику. Сукури будет собирать анонимные данные о веб-сайте, которые он будет хранить в тайне.

Data Storage

В данной папке Сукури будет хранить логи событий, список вылеченных файлов ядра WordPress, кеш сканера вредоносных файлов и метаданные плагинов. Сукури требуется разрешение на запись в эту папку и в файлы в данной папке. Если вы хотели бы перенести эту папку в иное место, недоступное из интернета(на один уровень выше корневой папки), определите константу «SUCURI_DATA_STORAGE» в файле wp-config.php с абсолютным путем к новой директории.

Подробное описание плагина Sucuri Security

Log Exporter

Эта функцию может экспортировать логи событий в отдельный файл, который может быть открыт специальным софтом(Сукури рекомендует OSSEC). Это даст вам дополнительную надежность сохранения информации. Примечание: Храните файл в недоступном из интернета месте(как минимум на один уровень выше корневой папки).

Подробное описание плагина Sucuri Security

Reverse Proxy

Монитор событий использует API адрес источника запроса для отслеживания действий. Плагин использует два способа для получения данной информации: основной способ использует глобальную переменную сервера Remote-Addr, доступную на большинстве современных веб-серверов, другой способ использует HTTP заголовки(которые небезопасны по умолчанию).

Пропустите эту опцию, если вы не знаете, что такое обратный прокси. Sucuri Firewall после активации проводит сетевой трафик через сервер, чтобы отфильтровать все угрозы, которые могут повлиять на исходный сервер. Побочным эффектом этого будет то, что реальный IP-адрес больше недоступен в глобальной серверной переменной Remote-Addr, но становится доступным в HTTP-заголовке с именем, предоставленным службой.

Подробное описание плагина Sucuri Security

IP Address Discoverer

Определитель IP-адреса будет использовать DNS-запросы для автоматического определения, находится ли сайт за файрволом Sucuri, и в этом случае он изменит глобальную переменную сервера Remote-Addr, чтобы установить настоящий IP-адрес пользователя. Эта проверка запускается каждый раз и может замедлить работу веб-сайта, так как некоторые хостинг-провайдеры используют медленные DNS-серверы.

Подробное описание плагина Sucuri Security

Timezone

Эта опция определяет часовой пояс, который будет использоваться во всем плагине. Эта параметр меняет дату и время в журнале событий, который выводится в консоли плагина. Данные события приходят с сервера, который использует Восточное дневное время(EDT).

В Вордпрессе есть параметр даты и времени на странице общих параметров, которая может изменить часовой пояс для всего сайта, однако, если у вас появились проблемы со временем в журнале событий, эта функцию поможет их решить.

Подробное описание плагина Sucuri Security

Import & Export Settings

Скопируйте данные JSON данные и вставьте их на ином веб-сайте. Плагин начнет использовать параметра с этого веб-сайта. Обратите внимание, что некоторые параметра не присутствуют в данной записи, так как содержат специфичные параметра для этого веб-сайта.

Чтобы вставить параметра с иного веб-сайта на этот веб-сайт, удалите данные данные и вставьте новые. Некоторые данные не будут импортированы, чтобы снизить риск записи случайных данных.

Подробное описание плагина Sucuri Security
Эта операция не может быть отменена

Reset Security Logs, Hardening and Settings

Это действие начнет процесс деактивации и удаления плагина. Все логи событий и параметра будут удалены. Обратите внимание, что логи событий, хранящиеся на сервере Сукури, не будут удалены. Это сделано для предотвращения вмешательства злоумышленника. Вы можете запросить новый API ключ, если захотите начать сначала и приобрести хранящиеся на сервере данные.

Подробное описание плагина Sucuri Security
Эта операция не может быть отменена

Scanner — Scheduled Tasks

Плагин сканирует весь веб-сайт в поисках изменений, которые позже показываются через API на странице журнала событий. По умолчанию сканер работает ежедневно, но вы можете настроить частоту сканирования. Обратите внимание, что слишком частое сканирование файлов может повлиять на производительность веб-сайта. Убедитесь, что у вас достаточно ресурсов сервера, прежде чем менять эту опцию. Ограничение памяти и максимальное время выполнения — это две опции PHP, которые установит сервер, чтобы веб-сайт не потреблял слишком много ресурсов.

Запланированные задачи — это правила, записанные в базу данных Вордпрессом, темами и плагинами; они используются для автоматического выполнения действий через определенный интервал времени. Используйте запланированные задачи для создания резервных копий веб-сайта, сканера безопасности и для удаления неиспользуемых элементов, например, черновиков. Примечание: запланированные задачи могут быть снова автоматически установлены плагинами или темой.

Подробное описание плагина Sucuri Security

Чтобы настроить частоту запланированной задачи, отметьте галочку напротив нужной задачи, выберите частоту в выпадающем списке внизу и нажмите Submit.

WordPress Integrity Diff Utility

Если сервер может выполнять системные команды, вы можете без труда изменить плагин для использования утилиты Unix Diff для сравнения содержимого файла на сервере, и оригинального файла в репозитарии WordPress. Это покажет различия между обоими файлами, и далее вы можете легко действовать на основе данной информации.

Подробное описание плагина Sucuri Security
Для включения модуля нажмите Enable

Если плагин найдет новые или измененные файлы на сервере, он предложит удалить файлы или заменить оригинальными из репозитария WordPress

WordPress Integrity(False Positives)

Поскольку сканер не читает файлы во время проверки целостности, можно обнаружить ложные срабатывания. Файлы в этом списке помечены как ложные срабатывания и будут игнорироваться сканером при следующих проверках.

Подробное описание плагина Sucuri Security

Ignore Files And Folders During The Scans

Используйте этот инструмент для исключения файлов и / или папок, которые слишком тяжелы для обработки сканером. Обычно это папки с картинками, медиа-файлы, резервные копии и вообще все, что не связано с кодом. Игнорирование данных файлов или папок уменьшит потребление памяти скриптом PHP.

Подробное описание плагина Sucuri Security

Hardening — Hardening Options

Подробное описание плагина Sucuri Security

Website Firewall Protection — имеет файрвол Сукури. Для работы необходимо купить платную подписку.

Verify WordPress Version — Обновляет версию WordPress до последней.

Verify PHP Version — Используйте версию PHP не ниже 5.6. WordPress рекомендует использовать версию 7.2.

Remove WordPress Version — проверяет, что версия WordPress не показывается в мета-тегах страниц. Многие сканеры уязвимостей веб-сайтов используют данные теги, чтобы определить, какая версия ПО используется на веб-сайте. Уязвимости устаревших версий ПО известны и находятся в открытом доступе. Некоторые сканеры уязвимостей могут определить версию ПО, сравнивая контрольные суммы некоторых статичных файлов.

  • Почему у вас должна быть последняя версия WordPress

Block PHP Files in Uploads Directory — Запретите исполнение PHP файлов в папке uploads. Будьте осторожны когда используете эту возможность, так как некоторые плагины или темы могут использовать выполнение PHP файлов в данной папке для создания картинок или хранения временных данных. Используйте инструмент Whitelist Blocked PHP Files для добавления данных файлов в исключения.

Block PHP Files in WP-CONTENT Directory — Запретите исполнение PHP файлов в папке wp-content. Будьте осторожны когда используете эту возможность, так как некоторые плагины или темы могут использовать выполнение PHP файлов в данной папке для создания картинок или хранения временных данных. Используйте инструмент Whitelist Blocked PHP Files для добавления данных файлов в исключения.

Block PHP Files in WP-INCLUDES Directory — Запретите исполнение PHP файлов в папке wp-includes. Будьте осторожны когда используете эту возможность, так как некоторые плагины или темы могут использовать выполнение PHP файлов в данной папке для создания картинок или хранения временных данных. Используйте инструмент Whitelist Blocked PHP Files для добавления данных файлов в исключения.

Information Leakage — Проверьте, что файл README не присутствует на сервере. Информация в этом файле может быть использована злоумышленниками для выяснения уязвимостей, которые могут быть на веб-сайте. Обратите внимание, что этот файл появляется снова при обновлении WordPress.

Default Admin Account — Проверьте, что основной аккаунт не использует имя «admin». Это может злоумышленнику определить, какой аккаунт имеет в себя самые высокие привилегии и атаковать его.

Plugin and Theme Editor — отключает редактор плагинов и темы в админке Ворпресс. Если вы пользуетесь редактором, можно временно оставить выключенным.

Whitelist Blocked PHP Files

После применения защиты в папках uploads, wp-content и wp-include, плагин добавит правило в файл контроля доступа, чтобы запретить доступ к любому файлу PHP, расположенному в данных папках. Это хорошая мера предосторожности на случай, если злоумышленник сможет загрузить какой-то скрипт в данные папки. За некоторыми исключениями, файл « index.php » будет единственным, который должен быть общедоступным, однако некоторые разработчики тем и плагинов решают использовать данные папки для обработки некоторых операций. В этом случае отключение выполнения PHP файлов может нарушить их функциональность.

Подробное описание плагина Sucuri Security

Post-Hack — Update Secret Keys

Секретные ключи или ключи беопасности представляют собой список констант, добавленных на веб-сайт для лучшего шифрования информации, хранящейся в файлах cookies. Секретный ключ усложняет взлом веб-сайта, добавляя в пароль случайные элементы. Вам не необходимо запоминать ключи, просто напишите случайную, сложную и длинную строку в файле wp-config.php. Вы можете без проблем настроить данные ключи в любой момент времени. Их изменение приведет к аннулированию всех существующих файлов cookie, что заставит всех зарегистрированных посетителей снова авторизоваться на веб-сайте.

Подробное описание плагина Sucuri Security
Эта операция не может быть отменена. После нажатия кнопки Создать новые ключи текущая сессия будет закрыта, и вам необходимо будет снова авторизоваться на веб-сайте.

Reset User Password

Вы можете без проблем создать новые пароли для учетных записей посетителей, которые зарегистрированы на веб-сайте. Электронное письмо с новым паролем будет отправлено на адрес электронной почты каждого выбранного посетителя. Если вы решите настроить пароль собственного посетителя, то текущий сеанс истекает немедленно. Вам необходимо будет снова войти в админ-панель с новым паролем, который будет отправлен на электронную почту.

Подробное описание плагина Sucuri Security

Reset Installed Plugins

Если вы подозреваете, что веб-сайт заражен, или после того, как вы избавились от вредоносного кода, рекомендуется переустановить все плагины, установленные на веб-сайте, включая те, которые вы не используете. Обратите внимание, что премиальные плагины не будут автоматом переустанавливаться, чтобы предотвратить проблемы обратной совместимости и проблемы с лицензиями.

Информация, показанная здесь, кэшируется в течение 1.800 секунд. Это надо для уменьшения числа HTTP-запросов, отправляемых на серверы WordPress, и пропускной способности веб-сайта. В настоящее время нет функции воссоздать этот кеш.

ПРЕДУПРЕЖДЕНИЕ! Эта процедура может нарушить работу веб-сайта. Сброс не повлияет на базу данных и параметра каждого плагина, но в зависимости от того, как они были записаны, действие сброса может нарушить их. Сделайте резервную копию папки с плагинами перед запуском этого инструмента.

Подробное описание плагина Sucuri Security

Available Plugin and Theme Updates

WordPress имеет в себя открытый исходный код, что привлекает злоумышленников к поиску уязвимостей в коде, плагинах и темах, разрабатываемых иными компаниями. Обновляйте весь софт, установленный на веб-сайте, чтобы предотвратить атаки, как только выявленные уязвимости будут исправлены.

Подробное описание плагина Sucuri Security

Alerts — Alerts Recipients

По умолчанию плагин отправляет оповещения по электронной почте основной учетной записи администратора, той же учетной записи, которая была создана при установке WordPress. Вы можете без труда добавить больше людей в этот список, они будут приобретать копии тех же предупреждений безопасности.

Подробное описание плагина Sucuri Security

Trusted IP Addresses

Если вы работаете в локальной сети(Local Area Network), вы можете включить IP-адреса всех узлов в подсети, это заставит плагин прекратить отправлять оповещения по электронной почте о действиях, выполненных с доверенных IP-адресов. Используйте формат CIDR(бесклассовая междоменная маршрутизация) для указания диапазонов IP-адресов (только 8, 16 и 24).

Подробное описание плагина Sucuri Security

Alert Subject

Формат темы для уведомлений по электронной почте. По умолчанию плагин будет использовать имя веб-сайта и идентификатор события для использования в теме письма. Вы можете использовать эту панель для включения IP-адреса посетителя, который вызвал событие и некоторую дополнительную информацию об этом событии. Вы можете создавать фильтры в почтовом покупателе, используя псевдотеги, показанные ниже:

Подробное описание плагина Sucuri Security

Alerts Per Hour

Выберите максимальное число сообщений на е-мейл в час. Если число событий на веб-сайте превысит допустимое число сообщений, события будут записываться в лог, но не будут отсылаться на е-мейл. Будьте осторожны, поскольку вы можете пропустить важную информацию.

Подробное описание плагина Sucuri Security
Максимальное кол-во сообщений в час: 5 — 10 — 20 — 40 — 80 — 160 и неограниченное

Password Guessing Brute Force Attacks

Подбор пароля способом перебора — один из самых распространенных методов атаки на веб-сайт. Злоумышленник просто подбирает комбинации логина и пароля, пока не найдет тот, который открывает веб-сайт. После того, как он зайдет на веб-сайт, он может добавить вредоносный код, начать рассылать спам, заняться фишингом или сделать что-то ещё.

Подробное описание плагина Sucuri Security
Определить брут-форс атаку после 30 — 60 — 120 — 240 — 480 неудачных попыток доступа в час

Security Alerts

Подробное описание плагина Sucuri Security

Receive email alerts for changes in the settings of the plugin — приобретать сообщения после изменений в параметрах плагинов.

Receive email alerts in HTML (there may be issues with some mail services) — Приобретать е-мейл соббщения в формате HTML (могут быть проблемы с некоторыми почтовыми сервисами)

Use WordPress functions to send mails (uncheck to use native PHP functions) — Использовать возможности WordPress для отправки сообщений (отключите галочку для использования встроенных PHP возможностей)

Allow redirection after login to report the last-login information — Использовать редирект после авторизации, чтобы сообщать информацию о последних входах в админку. (Зеленая полоска-бар наверху при входе в админку с информацией о последней авторизации)

Receive email alerts for core integrity checks — Приобретать сообщения на е-мейл после сравнения содержимого файлов на сервере с оригинальными файлами в репозитарии WordPress.

Receive email alerts for available updates — Приобретать сообщения о доступных обновлениях.

Receive email alerts for new user registration — Приобретать сообщения после регистрации нового посетителя.

Receive email alerts for successful login attempts — Приобретать сообщения об удачных попытках входа на веб-сайт.

Receive email alerts for failed login attempts (you may receive tons of emails) — Приобретать сообщения о неудачных попытках доступа на веб-сайт (вы можете без труда приобретать тонны сообщений).

Receive email alerts for password guessing attacks (summary of failed logins per hour) — Приобретать сообщения о множественных попытках входа на веб-сайт (часовой отчет о неудачных попытках доступа).

Receive email alerts for changes in the post status (configure from Ignore Posts Changes) — Приобретать сообщения после изменений в статусе Записей (настройте в разделе Ignore Posts Changes ).

Receive email alerts when the WordPress version is updated — Приобретать сообщения после обновления WordPress.

Receive email alerts when your website settings are updated — Приобретать сообщения после изменений параметров веб-сайта.

Receive email alerts when a file is modified with theme/plugin editor — Приобретать сообщения после изменения файлов в Редакторе Тем / Плагинов.

Receive email alerts when a plugin is installed — Приобретать сообщение после установки плагинов.

Receive email alerts when a plugin is activated — Приобретать сообщения после активации плагинов.

Receive email alerts when a plugin is deactivated — Приобретать сообщения после деактивации плагинов.

Receive email alerts when a plugin is updated — Приобретать сообщения после обновления плагинов.

Receive email alerts when a plugin is deleted — Приобретать сообщения после удаления плагинов.

Receive email alerts when a widget is added to a sidebar — Приобретать сообщение после добавления виджета в сайдбар.

Receive email alerts when a widget is deleted from a sidebar — Приобретать сообщения после удаления виджета из сайдбара.

Receive email alerts when a theme is installed — Приобретать сообщения после установки тем.

Receive email alerts when a theme is activated — Приобретать сообщения после активации тем.

Receive email alerts when a theme is updated — Приобретать сообщения после обновления тем.

Receive email alerts when a theme is deleted — Приобретать сообщения после удаления тем.

Post-Type Alerts

Это список зарегистрированных Типов Записей . Вы получите уведомление по электронной почте, когда будет создана или обновлена Страница или Сообщение, связанная с любым из данных типов. Если вы не хотели бы приобретать одно или пару из данных предупреждений, снимите флажки в таблице ниже. Если вы приобретаете оповещения о типах записей, которые не перечислены в данной таблице, это может быть связано с тем, что существует надстройка, создающая пользовательский тип записей. Вам придется самостоятельно выяснить уникальный идентификатор этого типа записи и добавить его в форму ниже. Плагин будет игнорировать данные предупреждения, пока этот идентификатор существует.

Подробное описание плагина Sucuri Security
Нажмите на кнопку, чтобы открыть список всех Типов Записей

API Service Communication

После создания API-ключа плагин будет связываться с удаленным сервером по API, на котором будут храниться журналы событий, которые отслеживает плагин. Если веб-сайт взломают, у злоумышленника не будет доступа к данным журналам, и вы сможете без проблем выяснить, что было изменено и / или каким образом злоумышленник смог приобрести доступ к веб-сайту.

Подробное описание плагина Sucuri Security

API Communication via Proxy

Все HTTP-запросы, которые используются для связи со службой API, отправляются с использованием встроенных возможностей WordPress. Это полезно, если вам необходимо передать данные запросы через прокси. Согласно официальной документации, вы должны добавить некоторые константы в файл wp-config.php : WP_PROXY_HOST, WP_PROXY_PORT, WP_PROXY_USERNAME, WP_PROXY_PASSWORD.

Подробное описание плагина Sucuri Security

Malware Scan Target

Удаленный сканер вредоносных программ, предоставляемый плагином, работает на основе Sucuri SiteCheck , службы, которая берет общедоступный URL-адрес и сканирует его на наличие вредоносного кода. Если веб-сайт не виден в Интернете, к примеру, если он размещен в локальной сети или в сети с ограниченным доступом, сканер не сможет работать на нем. Кроме того, если сайт был установлен в нестандартном каталоге, сканер сообщит об ошибке «404 Not Found». Используйте эту опцию, чтобы просканировать нужный URL.

Подробное описание плагина Sucuri Security

WordPress Checksums API

Инструмент целостности WordPress использует удаленную службу API, поддерживаемую WordPress, чтобы определить, какие файлы в установке были добавлены, удалены или изменены. API возвращает список файлов с соответствующими контрольными суммами. Эта информация гарантирует, что установка не повреждена. Однако вы можете указать инструмент целостности на репозиторий GitHub в случае, если вы используете версию WordPress со вашей версией кода.

Подробное описание плагина Sucuri Security

Website Info — Environment Variables

Техническая информация о веб-сайте.

Подробное описание плагина Sucuri Security

Access File Integrity

Файл .htaccess будет файлом конфигурации сервера. С его помощью сервер Apache может обрабатывать параметра отдельно для каждой папки. WordPress использует этот файл для управления тем, как сервер обслуживает файлы из корневой папки и подпапок. По умолчанию этот файл используется для работы с красивыми постоянными ссылками.

Подробное описание плагина Sucuri Security

Заключение

Платная версия сервиса Sucuri Security будет лучшей защитой WordPress веб-сайта. В полной версии вы получите безопасный трафик после мощного файрвола Сукури. В виде побочного эффекта уменьшится использование ресурсов сервера из-за фильтрации вредоносного трафика на сервере Сукури.

Ваш веб-сайт подключится к сети CDN, это ускорит загрузку веб-сайта, так как страницы веб-сайта будут загружаться с ближайшего к пользователю сервера.

И гарантия бесплатного восстановления веб-сайта в случае, если веб-сайт взломают.

В бесплатной версии нет файрвола, сети CDN и гарантии восстановления веб-сайта, но есть удобный инструмент для мониторинга состояния безопасности веб-сайта.

Файлы ядра WordPress сравниваются с оригинальными файлами в репозитарии WordPress, сканер Сукури проверяет веб-сайт на наличие вредоносного кода и присутствие веб-сайта в черных списках поисковиков и антивирусов.

Эту информацию можно без проблем видеть в админке WordPress.

Чтобы усилить защиту веб-сайта, можно без труда добавить пару дополнительных параметров вручную:

  • Как изменить мощную защиту веб-сайта с файрволом на уровне сервера на основе бесплатной версии Sucuri Security

Или автоматически при помощи плагина. Приглашаю вас на курс Безопасность WordPress за 2 вечера .

Читайте также :

  1. Подробное описание Security Ninja Pro
  2. Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасности
  3. Как подключить Cloudflare к WordPress. Подробное описание

Надеюсь, статья была полезна. Оставляйте комментарии.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *