Плагин безопасности Wordfence выпустил новую версию «Wordfence 7.0.1»

Вступление

24 января 2018 года, компания Delaware представила и выпустила для обновления новую версию известного плагина безопасности Wordfence 7-ой версии. Это отличный повод познакомится с этим плагином подробнее.

О плагине Wordfence

Я использую плагин безопасности Wordfence практически на всех своих сайтах. Он неоднократно спасал сайты от атак и попыток несанкционированного входа.

Существует плагин Wordfence в двух версиях, бесплатной и платной. Полная (платная) версия плагина обойдется вам для одного сайта в 99$ в год. Ограниченная (бесплатная) версия плагина, достаточно функциональна, чтобы остановиться на ней, даже для коммерческого сайта.

Wordfence 7, что нового

Отличие Wordfence 7 от Wordfence 6, не коснулись функционала плагина. Изменения затронули интерфейс и настройки плагина. Скажу больше, интерфейс плагина полностью переделан под текущие модели UI/UX и тенденции адаптивных шаблонов.

Если вы посмотрите на два интерфейса в сравнении, то увидите эту разницу.

Wordfence 6
Wordfence 6 версия
Wordfence 7
Wordfence 7 версия

Изменения затронули и настройки плагина. Более того авторы просто убрали из консоли единую кнопку «Параметры (Options)», добавив настройку параметров для каждой функции плагина. Были добавлены индикаторы состояния (ползунки вкл/выкл) для основных функций, добавлена ​​страница справок (Help) со ссылками на документацию и варианты поддержки.

Где взять, как установить?

Официальная страница плагина в архиве WordPress.org тут: https://ru.wordpress.org/plugins/wordfence/

Установить плагин безопасности Wordfence можно, как всегда,  двумя способам, из консоли вкладка Плагины>>>Добавить новый или загрузить каталог плагина на сайт по FTP. Не знаете или забыли, как это сделать, читать статью тут.

обновить Wordfence 6
обновить Wordfence 6

После установки, плагин активируется и меню плагина появляется  в панели инструментов сайта, отдельным блоком.

Dashboard Wordfence

Настройка плагин безопасности Wordfence

Первая установка плагина идет с настройками по умолчанию. В принципе плагин сразу готов к работе и для начала несения службы, вам нужно запустить сканирование сайта.

Делается это на вкладке, нажатием кнопки. Время сканирования сайта зависит от его объема. При сканировании плагин обходит все каталоги сайта и проверяет их на наличие «чужих» кодов.

начать сканирование сайта
плагин безопасности Wordfence сканирование и результат

Потенциальные опасности будут выводиться отдельным списком под кнопкой «Results Found» с красной полосой при сильной опасности, например в папке «patch/…» обнаружен чужой код или желтым цветом, при предупреждении, например, плагин «такой то» устарел или плагин «такой то», нуждается в обновлении. Всё очень информативно и визуально понятно.

Найденные опасности и предупреждения вы может просмотреть подробно (значок «глаз»), потом либо исправить, либо игнорировать. Во втором случае, они (предупреждения) будут записаны в отдельный журнал (кнопка «Ignored»).

Настройки, на которые нужно обратить внимание

Покажу, несколько настроек, которые, на мой взгляд, заслуживают внимания. Русского языка у плагина нет, так что смотрим в англ. версии.

–Прежде всего, зайдите на вкладку Tools>>>Diagnostics. На этой странице отображается информация, которая может использоваться для устранения конфликтов, проблем с конфигурацией или совместимости с другими плагинами, темами или средой хоста. Здесь всё должно быть в зеленой зоне.

Diagnostics

— Далее идем на вкладку Dashboard, ищем блок Global Options и открываем его для основных настроек. Здесь:

Global Options

В General Wordfence Options пишем email для связи. Плагин будет отсылать вам сообщения о возможных опасностях, проблемах, отчеты сканирования и т.д. если вы выделите соответствующую настройку в пункте Alert Preferences (чуть ниже) и настройте периодичность общей отчетности в пункте Activity Report.

Зайдите на вкладку Firewall, найдите блок «All Firewall Options». Откройте его для настроек и в пункте «Brute Force Protection», посмотрите и если нужно исправьте, количество попыток входа в систему (стоит 20), количество попыток восстановления пароля (стоит 20), время блокирования пользователя (стоит 30 минут) и время и время блокирования пользователя, которые совершают подозрительные попытки входа (я ставлю 2 месяца).

Brute Force Protection

В пункте «Rate Limiting» я ничего не меняю, хотя можно ограничить заход пользователей на специальные страницы сайта.

Как начать сканирование

Повторюсь. После всех нужных вам настроек или сразу после активации плагина запустите сканирование. Для этого:

— Зайдите на вкладку Tools>>>Diagnostics и проверьте отсутствие ошибок;

Tools>>>Diagnostics

— Зайдите на вкладку Firewall и проверьте отсутствие ошибок.

FirewallЕсли ошибки есть:

  • Удалите плагин на вкладке Плагины>>>Установленные, кнопки «Деактивировать>>>Удалить»;
  • Проверьте по FTP удаление каталогов плагина в папке: wp-content/plugins, удаление каталога wflogs в корне сайта;
  • Очистите кэш сайта, если используете кэш-плагин;
  • Очистите базу данных (рекомендую плагин «Optimize Database after Deleting Revisions»);
  • Установите плагин заново.

— После устранения ошибок, если они были, обновите существующие плагины (чтобы не мешали);

— Зайдите на вкладку Wordfence>>>Scan и нажмите большую кнопку «Start New Scan»;

Wordfence>>>Scan

работает сканирование сайта

— Подождите окончания сканирования и посмотрите его результаты на этой же вкладке.

Вывод

Не скажу, что плагин безопасности Wordfence 7 стал удобнее для меня. Привычка к старому интерфейсу, требует адаптации. Для новичков, это не должно быть проблемой. Проблема может быть в большом количестве тонких настроек, которые можно изучать постепенно, помня, что базовых настроек достаточно для безопасной работы в рабочем режиме.

В случае атак, о которых вам сообщит плагин, уменьшайте количество вводов и напоминаний паролей до минимума (2-3), а время блокировки ставьте 2+ месяца. Покажу, что плагин считает атакой:

что плагин считает атакой©www.wordpress-abc.ru

Еще статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.