Защита WordPress сайта

Май 28, 2021

Защита WordPress сайта

Поднимите безопасность вашего сайта на новый уровень

WP Cerber Security решительно защищает WordPress от хакерских атак, спама и вредоносных программ. Невероятно быстрый и надежный по конструкции.

Блокируйте вредоносную активность до того, как она нанесет вред вашим данным

Стек сложных алгоритмов проверки проверяет входящие запросы на наличие шаблонов вредоносного кода и аномалий трафика. Механизм обнаружения ботов выявляет и предотвращает автоматические атаки.

  • Снижает вероятность атак методом перебора и внедрения кода.
  • Ограничивает доступ правилами страны GEO
  • Предотвращает перечисления как REST API, так и обычных пользователей
  • Ограничивает доступ к REST API и XML-RPC
  • Использует глобальный список IP-адресов, известных как злонамеренные.

Самое сложное решение для защиты от спама для WordPress

Обнаруживает ботов с помощью эвристических и контентных алгоритмов. Проверяет IP-адрес по базе данных IP-адресов в режиме реального времени, которые известны распространением спама, фишинговых атак и других форм вредоносной активности.

  • Антиспам для всех форм на сайте
  • Защищает формы WooCommerce и страницу оформления заказа
  • Защищает регистрацию, потерянный пароль и формы входа в систему
  • Правила страны ограничивают отправку форм набором правил GEO
  • Автоматически удаляет спам-комментарии

Сканер вредоносных программ и средство проверки целостности предупреждают вас о любых изменениях

Тщательно сканирует каждый файл и папку на вашем веб-сайте на наличие вредоносных программ, троянов и вирусов. Автоматически удаляет вредоносные программы и вирусы. Отслеживает новые, измененные и подозрительные файлы.

  • Автоматическое удаление вирусов, троянов и вредоносных программ
  • Автоматическое восстановление файлов WordPress
  • Плановое сканирование на ежечасной и ежедневной основе
  • Сканирует все файлы, темы и плагины WordPress
  • Проверяет все папки на наличие новых и измененных файлов
  • Уведомления и отчеты по электронной почте, когда это необходимо

Надежная безопасность входа в систему с WP Cerber

Ни для кого не секрет, что злоумышленники могут взломать только что установленный WordPress в течение нескольких минут, организовав атаку методом перебора. Это возможно, потому что WordPress не имеет встроенных механизмов защиты от атак, URL-адрес для входа по умолчанию хорошо известен, а имя пользователя администратора веб-сайта может быть легко обнаружено. WP Cerber предоставляет все необходимые инструменты для предотвращения атак методом перебора и защиты учетных записей пользователей.

Настройка параметров безопасности входа в WP Cerber

Настройки безопасности входа находятся на вкладке «Основные настройки». Здесь вы можете настроить ограничения на попытки входа в систему, ограничить доступ к wp-login.php и настроить сообщения об ошибках, чтобы предотвратить обнаружение имен пользователей и адресов электронной почты при использовании несуществующих имен пользователей и адресов электронной почты.

Ограничение попыток входа в систему для смягчения атак методом перебора

Стандартные и рекомендуемые настройки для ограничения попыток входа в систему показаны как вариант №1 на снимке экрана. Эти настройки устанавливаются при активации WP Cerber. Если у вас много клиентов на веб-сайте, например, вы управляете магазином WooCommerce, имеет смысл увеличить лимит на попытки входа в систему.

Обработка запросов аутентификации wp-login.php

См. изображение # 2. По умолчанию WordPress использует wp-login.php в качестве страницы входа на веб-сайт, которая обрабатывает все входы пользователей, а также предоставляет форму регистрации и форму сброса пароля. Если вы настроили настраиваемый URL-адрес для входа , рекомендуется отключить wp-login.php. У вас есть два варианта. Вы можете полностью заблокировать доступ к wp-login.php и сделать файл недоступным для всех, или вы можете отключить аутентификацию пользователя через wp-login.php, не блокируя доступ к файлу. Вы можете выбрать любой из них — оба останавливают аутентификацию пользователя через wp-login.php.

Когда первый параметр включен, WP Cerber отображает и возвращает страницу с ошибкой «Страница 404 не найдена», как будто такого файла на веб-сайте нет. Таким образом, плохим актерам не на что нападать.

Когда второй параметр включен, WP Cerber предотвращает любую аутентификацию пользователя даже с правильными именами пользователей и паролями. Это означает, что никто не может войти в систему с помощью wp-login.php. После попытки входа через wp-login.php WP Cerber показывает сообщение об ошибке неверного пароля по умолчанию, имитирующее стандартный процесс аутентификации WordPress. Использование этого подхода помогает WP Cerber обнаруживать медленные атаки методом перебора, используя wp-login.php в качестве ловушки для обнаружения. В журналах WP Cerber все попытки входа через wp-login.php регистрируются, как показано на скриншоте ниже.

Не позволяйте злоумышленникам обнаруживать действительные имена пользователей и адреса электронной почты

По умолчанию сообщения об ошибках для входа в систему и сброса пароля в WordPress довольно подробны и помогают хакерам различать действительные и несуществующие имена пользователей и адреса электронной почты и, таким образом, обнаруживать действительные для проведения атак методом перебора или социальной инженерии.

Отключить сообщение об ошибке входа по умолчанию

Если этот параметр включен, сообщения об ошибках входа в систему не указывают на недопустимые имена пользователей и адреса электронной почты при попытке входа в систему с несуществующими аккаунтами. Вместо этого WP Cerber отображает сообщение об ошибке WordPress по умолчанию, используемое, когда пользователь вводит неверный пароль. Это помогает предотвратить угадывание злоумышленниками действительных имен пользователей и адресов электронной почты. Этот подход также известен как отключение подсказок для входа в систему.

Отключить сообщение об ошибке сброса пароля по умолчанию

Если этот параметр включен, сообщения об ошибках сброса пароля не указывают на недопустимые имена пользователей и адреса электронной почты при попытке сбросить пароль для несуществующего имени пользователя или несуществующего адреса электронной почты. Вместо этого WP Cerber имитирует процесс сброса паролей по умолчанию и отображает следующее сообщение всякий раз, когда пользователи вводят действительные или несуществующие имена пользователей и адреса электронной почты.

Такой подход помогает предотвратить угадывание злоумышленниками действительных имен пользователей и известен как отключение подсказок для сброса пароля.
Обратите внимание, что все функции, описанные выше, не применяются к IP-адресам в белом списке доступа IP.

Подробную информацию о плагине найдёте здесь

Поделиться