Простые и надежные решения firewall на WordPress сайте

В рамках организации безопасности WordPress сайта администратор обязан продумать защиту от вредоносного трафика. Точнее админ WordPress должен выбрать и установить firewall WordPress  на сайте.

Что такое firewall Wordpress

Брандмауэр или firewall на WordPress защищает сайт от распространённых атак на ядро системы, темы и плагины в начале инициализации.

Примечание: Инициализация WordPress — это  внешняя подготовка к работе системы, настройка её параметров для работы плагинов и тем.

Firewall на WordPress позволит фильтровать любые атаки до того, как плагины или темы смогут запустить потенциально уязвимый код. Брандмауэр WordPress должен защищать сайт от:

  • SQL-инъекций:  код SQL, который может поставить под угрозу базы данных сайта.
  • Межсайтовый скриптинг (XSS): код HTML или JavaScript, используемый для перехвата сеанса браузера пользователя или администратора и выполнения действий от имени пользователя.
  • Загрузка вредоносного файла: файлы с вредоносным кодом, который может быть загружен и запущен сервером.
  • Обход каталога: имена путей, которые можно использовать, чтобы обмануть сервер и заставить его обслуживать файлы, содержащие учётные данные или другую конфиденциальную информацию на сайте.
  • Включение локального файла:  пути/имена файлов, которые могут использоваться для выполнения потенциально вредоносного кода, доступного в файловой системе сервера.
  • Расширение внешнего объекта (XXE): «Функция» XML, которую можно использовать для того, чтобы заставить веб сервер обслуживать файлы, содержащие учётные данные или другую конфиденциальную информацию.

Как работает firewall на WordPress

Firewall на WordPress работает на основе правил. По правилам создаются фильтры, которые отсекают часто встречающиеся, известные, шаблонные атаки на сайт.

Фильтр брандмауэра определяет совпадение шаблона вредоносного запроса с образцом и отсекает его.

Как реализовать firewall на WordPress

Для реализации firewall на WordPress сайте, вам, как администратору (владельцу) сайта, нужно выбрать, установить и настроить плагин брандмауэра или мощный плагин безопасности с функционалом брандмауэра. Рекомендую рассмотреть следующие плагины:

Читать:  Как работать с кириллическим доменом администратору WordPress

Wordfence

Функционал брандмауэра входит в бесплатную и платную версию этого плагина. Сразу после установки плагина Wordfence на свой сайт, брандмауэр плагина активируется. Он работает внутри вашей установки WordPress и изначально защитит вас только от эксплойтов.

Настройки Firewall Wordfence

Чтобы сделать брандмауэр более эффективным, вам нужно настроить брандмауэр. Для этого:

  • Войдите на вкладку Firewall плагина Wordfence;
  • На странице Firewall Options выставите Protection Level  Extended Protection (расширенные) настройки Basic Firewall Options в бесплатном варианте или Real-Time IP Blocklist в платном варианте плагина.
  • После этого ниже выставить, если нужно, тонкие настройки Advanced Firewall Options.

Настройки Firewall Wordfence

Отключение брандмауэра Wordfence

Откройте страницу Firewall > Firewall Options, установите для параметра «Web Application Firewall Status» значение «Desabled» и нажмите кнопку «Save Changes» (в правом верхнем углу).

Плагин All In One WP Security & Firewall

Это плагин комплексной защиты сайта, где firewall WordPress один из его функционалов.

Через настройки брандмауэра вы можете добавить нужные правила защиты брандмауэра через файл htaccess. Файл htaccess обрабатывается вашим веб-сервером раньше любого другого кода на вашем сайте. Это значит, что  эти правила брандмауэра остановят вредоносный код до того, как он доберётся до ядра WordPress на вашем сайте.

Плагин отлично переведён на русский язык и снабжён понятными информационными блоками прямо в настройках.

Примечание: Для сравнения, Wordfence доступен только на английском языке, а для информации о настройках этого плагина нужно переходить по ссылке «знак вопроса» на сайт плагина.

Сразу после установки плагина All In One WP Security & Firewall, брандмауэр плагина активируется, но 7 вкладок настроек Фаэрволл не заполнены. Поэтому, для настроек firewall Wordpress этого плагина перейдите на вкладку «Фаэрволл» и выставите нужные вам настройки.

Читать:  Почему не нужно использовать редактор тем WordPress

плагина All In One WP Security & Firewall

Как отключить фаэрволл All In One WP Security

Зайдите на вкладку «Настройки» и в блоке «Отключить все функции фаэрволла»  отключите все правила, которые были активны в данном плагине. Эта кнопка также удалит эти правила из файла .htaccess (после удаления проверьте!)

Отключают фаэрволл, когда его правила создают проблемы на сайте.

Другие плагины firewall WordPress

SiteGround Security

Полностью бесплатный плагин комплексной защиты с некоторыми функциями фаэрволла, например:

  • Блокировка и защита системных папок;
  • Отключение XML-RPC;
  • Включение расширенной защиты от XSS.

Shield Security

Полное название Shield Security — Scanners, Security Hardening, Brute Force Protection & Firewall.

Этот плагин, в отличии первых двух, — брандмауэр прикладного уровня, а не брандмауэр безопасности сервера/сети. Он предназначен для блокировки попыток обойти защиту и получить несанкционированный доступ. Брандмауэр же сетевой безопасности предназначен для ограничения доступа к вашему серверу на основе определённых типов сетевого трафика.

Плагин Shield Security предназначен для ограничения доступа к вашему сайту на основе определённых типов веб-вызовов. Отдельной вкладки Firewall в настройках плагина SiteGround Security, нет.

NinjaFirewall на WordPress

Полное название NinjaFirewall (WP Edition) — Advanced Security Plugin and Firewall.

Плагин комплексной защиты, где функционал Firewall в приоритете. Работает как автономный брандмауэр сетевого уровня, стоящий перед WordPress. В премиум-версии есть геоблоком с фильтром (блокировкой) по регионам.

Defender Security

Полное название Defender Security — Malware Scanner, Login Security & Firewall.

Плагин комплексной защиты с функциональным блоком «Брандмауэр». Начнёт автоматически предлагать способы повышения безопасности вашего сайта, как только вы его активируете.

Брандмауэр Defender позволяет легко блокировать и быстро разблокировать определённые IP по местоположению благодаря расширенному брандмауэру (WAF), но только в платной версии.

Читать:  Доступ к корневому каталогу сайта WordPress администратора

Anti-Malware Security and Brute-Force Firewall на WordPress

Лучший плагин для очистки от вредоносных программ, с бесплатным брандмауэром, но только для защиты от «грубой силы». Расширенные возможности firewall WordPress только в платной версии.

BBQ Firewall на WordPress

Это не плагин комплексной защиты.  Это отдельный firewall WordPress. В бесплатной версии функционал ограничен и есть реклама.

BulletProof Security

Последний плагин комплексной защиты данного обзора с firewall защитой  Wordpress от грубой силы через файл htaccess.

Заключение

Обязательно установите firewall на WordPress сайте. Рекомендую на выбор два первых плагина обзора. Если нужен только настраиваемый брандмауер, то рекомендую платную версию BBQ Firewall. Не ставьте два плагина схожего функционала на своём сайте.

©wpkupi.ru

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.