Простая защита WordPress, которая устранит 98% атак

Простая защита WordPress, которая устранит 98% атак

Сегодня я написал краткое руководство для клиента о том, как легко защитить страницу в WordPress, и вот как эта статья была создана, которую я предоставляю всем читателям, так как в последние месяцы польские стороны занимались массированными атаками, а обеспечение безопасности сайта является приоритетом для каждого из нас. Я представляю мини-руководство по защите основной страницы на WordPress, которое останавливает большинство атак, прежде чем они достигнут целевой страницы. Разумеется, существует много способов защиты WordPress, но они являются основой для начала, а также для более качественных исходных страниц.

Плагин WordPress Firewall

Плагин от seoegghead — Скачать

Существует также новая версия WordPress Firewall 2 от Мэтью Павкова, но я не тестировал ее на установках WordPress — Скачать

Почему этот плагин? На рынке программного обеспечения мы находим множество плагинов, гораздо более сложных. WordPress Firewall предлагает базовый механизм фильтрации запросов (он имеет только базовые параметры конфигурации), но в то же время наименьшая загрузка на сервер из всех плагинов безопасности WordPress. При необходимости вы можете воспользоваться более широкими альтернативами, такими как Wordfence Security или BulletProof Security (BulletProof — самый ресурсоемкий плагин для всех, но предлагает самые мощные функции для защиты WordPress).

Защита wp-login.php с использованием метода htaccess для UserAgent

Правило для добавления в файл .htaccess

<FilesMatch ^((wp-login|admin)\.php$)$>

SetEnvIfNoCase user-Agent ^mojtajnykod [NC] my_bot

Order Deny,Allow

Deny from all

Allow from env=my_bot

</FilesMatch>

Добавив код в .htaccess, только пользователи, имеющие конкретную строку UserAgent (mojtajnykod), смогут войти на веб-сайт WordPress. Пользовательский агент обычно изменяется путем настройки браузера на строку «mojtajnykod». Мы также можем использовать специальные плагины для Google Chrome — Switcher User-Agent для Chrome, для Firefox, Waterfox, Pale Moon — User Agent Switcher для Firefox. На устройствах Android вы можете использовать браузер Dolphin, где вы можете легко заменить User Agent.

Если вы используете неправильный агент пользователя при доступе к странице входа или панели администратора, вы получите ошибку, как показано ниже …

Конечно, этот метод довольно громоздкий, и не каждый клиент захочет его применить, тем не менее он очень эффективен против DDOS-атак на странице входа в wp-login, что значительно снижает риск взлома, а также минимизирует нагрузку на сервер с массивными атаками (и те, которые совсем недавно много). Вы также должны помнить об изменении агента пользователя по умолчанию, прежде чем обращаться к другим сайтам (используйте только для входа на управляемый сайт). Разумеется, пароль стоит менять каждые несколько месяцев, не забывая изменять конфигурацию UserAgent в браузерах, используемых для ведения журнала.

Ограничить доступ к пробным плагинам

Старый, но весенний, как говорится Чтобы блокировать DDOS-атаки на wp-login, если кто-то даже догадывается о пароле от User Agent, ему еще предстоит преодолеть этот брандмауэр. В зависимости от нашей конфигурации в 3 или 4 раза неправильная попытка входа в систему приведет к запрету IP-адреса в течение 24 часов, с последующими попытками IP-адрес может быть запрещен на всю жизнь.

Предельные попытки входа в систему можно загрузить из официального репозитория плагинов — Загрузить. Конечно, на его месте вы можете установить еще один плагин, который предлагает аналогичную функциональность, но у меня есть привязанность к нему, поэтому я рекомендую его

Блокировка IP-адресов или подсетей

Блокирование оскорбительных IP-адресов и / или целых подсетей, атакующих установки HydroPress. Некоторое время назад из-за массовых атак я поделился этим типом файла. Более подробную информацию можно найти на подстранице: https://techformator.pl/plik-htaccess-z-lista-abusywnych-podsieci/

Добавьте его содержимое в существующий файл .htaccess. Вопреки сложившимся мнениям, добавление строки кода из 1000 адресов подсети не приводит к значительному снижению производительности сервера, однако IP-адреса и / или подсети могут быть более эффективно заблокированы путем добавления правил в файл конфигурации сервера или непосредственно на брандмауэре. В сети есть сценарии для обмена правилами запрета htaccess для IPtables, и вы всегда можете написать один и тот же скрипт в bash.

мониторинг

Блокировка — это только одна сторона монеты. Не менее важно следить за действиями пользователей / ботов. На веб-сайтах мы можем установить специальные плагины для идентификации действий пользователей (например, Wordfence Security имеет эту функцию), также стоит время от времени проверять журналы сервера. Для упрощения просмотра вы можете использовать коммерческое приложение Apache Logs Viewer. Если обнаружено подозрительное действие, вы можете заблокировать IP-адрес или всю подсеть, заблокировать строки оскорбительных запросов. Существуют также системы, которые собирают данные об атаках и отправляют нам почту. В случае, если у нас установлено много резервных копий, вы можете извлечь много ценной информации таким образом, что повысит безопасность не только для клиентов, но и для бэк-блогов.

Как будет время, я попытаюсь написать более подробное руководство по обеспечению безопасности системы WordPress CMS.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *