Или как да настроим Wordfence.
[1] General Wordfence Options
Тези настройки се задават по подразбиране и нямат нужда от корекции. Единствено може да се промени мейла за известията на Wordfence при желание на клиента.
Менюто предлага следните опции:
- ъпдейт на плъгина
- email за известия
- начина на засичане на IP адресите от плъгина
- търсене на IP местоположенията на посетителите чрез Wordfence сървъри
- скриване на версията на WordPress
- деактивиране на изпълнението на код в /uploads
[2] Basic Firewall Options
В секцията Firewall Options ще разгледаме начините за защита на сайта.
При първоначална инсталация, Web Application Firewall Status ще бъде в Learning Mode. Това позволява на Wordfence да научи повече за сайта, за да може да разбере как да го защити и как да пропусне нормалните посетители през защитната стена. Обикновенно този процес отнема една седмица, след което преминава в статус на Enabled and Protecting.
[3] Advanced Firewall Options
В тази секция може да правим финни настройки за достъп до сайта.
Allowlisted IP addresses that bypass all rules – позволява да зададем IP адрес, който да бъде пропуснат от firewall руловете. Може да се ползва за whitelist на адресите на администратор.
Allowlisted services – За да избегне неволното блокиране на някои външни услуги, като Facebook, Wordfence позволява достъп до тези услуги.
Защитната стена на Wordfence има множество правила, които съответстват на известни атаки, често срещани и експлоатирани в реални условия.
Тези правила се използват за конфигуриране на защитната стена и определяне на мерките за сигурност на сайта.
[4] Brute Force Protection
Вртоятно една от най-важните функционалности на Wordfence е Brute Force Protection.
Това е функция за защита, която предотвратява опити за неоторизиран достъп до уебсайт чрез систематично познаване на пароли. Тази защита ограничава броя на неуспешните опити за вход и може да блокира потребителите или IP адресите, които се опитват да познаят паролата многократно.
Важно е да се уверим, че тази опция е активирана. Тези настройки до голяма степен зависят от типа на сайта, който имаме.
В случай в който имаме сайт с множество потребители (магазин, сайт за обучение итн.) тези настройки НЕ трябва да бъдат твърде стриктни. Това може да доведе до блокиране на реален потребител докато борави със сайта.
Lock out after how many login failures – Ще блокира IP адрес за определено време, ако този посетител генерира определен брой неуспешни опити за вход.
Lock out after how many forgot password attempts – Ограничава броя на пъти, когато формата „Forgot password?“ на WordPress може да бъде използвана.
Count failures over what time period – Определя времевия интервал, в рамките на който броим неуспешните опити.
Amount of time a user is locked out – Определя колко дълго IP адресът ще бъде блокиран, когато защитата на Wordfence срещу Brute Force атаки го блокира.
Immediately lock out invalid usernames – Опцията ще блокира незабавно някого, който се опитва да влезе с невалидно потребителско име. Не е препоръчително да се използва в сайтове с множество потребители.
Prevent the use of passwords leaked in data breaches – Предотвратява потребителите да влизат с парола, която се намира в списък с пароли, разкрити при изтичания на данни.
Additional Options
Enforce strong passwords – Oпцията има за цел да предодврати използването на слаби пароли. Препоръчително е да се използва Force all members to use strong passwords.
Don’t let WordPress reveal valid users in login errors – По подразбиране, когато въведете валидно потребителско име с неправилна парола, WordPress ще ви каже, че потребителското име е правилно, но паролата е грешна. Ако въведете невалидно потребителско име и парола, WordPress ще каже, че потребителското име не съществува. Това е проблем за сигурността, защото позволява на потребителите лесно да открият кои потребители съществуват на вашия WordPress сайт и да ги атакуват.
Prevent users registering ‘admin’ username if it doesn’t exist – Както е описано и в самата опция, не се позволява регистрирането на потребител с име admin.
Prevent discovery of usernames through ‘/?author=N’ scans, the oEmbed API, the WordPress REST API, and WordPress XML Sitemaps – Активирането на тази опция предотвратява хакерите от откриването на потребителски имена чрез тези методи.
Disable WordPress application passwords – Това са пароли за вашия WordPress сайт, които могат да се използват от приложения, а не от хора. Те ви позволяват да се удостоверите с услуга, без да използвате собствените си данни.
Check password strength on profile update – Ще изпрати имейл на администатора на сайта, за да го информира, че потребител е посочил слаба парола при актуализиране на профила си. Това просто ви информира кои потребители използват слаби пароли, за да можете да се свържете с тях и да им препоръчате да подобрят силата на паролата си.
Participate in the Real-Time Wordfence Security Network – Активирането на тази функция позволява сайтът ви анонимно да споделя данни с Wordfence за опити за хакване.
[5] Rate Limiting
Тази опция ви позволява да включите или изключите функциите за ограничаване на честотата на заявките и разширено блокиране.
How should we treat Google’s crawlers – Начинът по който третираме ботовете на Google. Добра практика е да НЕ лимитираме Google, тъй като може засегне SEO-то на сайта.
If anyone’s requests exceed – Глобално ограничение за всички заявки. Подобно на предходната опция, тук също не е препоръчително да се сетват лимити.
If a crawler’s page views exceed – Много полезно за ограничаване на количеството трафик, което генерират ботовете.
If a crawler’s pages not found (404s) exceed – Ако бот генерира много грешки “Not Found” (404), обикновено не е приятелски настроен бот.
If a human’s page views exceed – Това ограничение ще се прилага, ако установим, че посетителят е човек. Не е добра практика да ограничаваме потребители и начина по който те взаимодействат със сайта.
If a human’s pages not found (404s) exceed – Ще ограничи потребителите, които генерират множество заявки с грешка 404. Ако сайтът е добре изработен и няма липсващи ресурси като изображения, не е препоръчително да се прилагат такива ограничения.
How long is an IP address blocked when it breaks a rule – Времето за което даден адрес ще бъде блокиран, ако наруши някое от горепосочените правила.
[6] Scan Scheduling
Scan Scheduling предоставя опцията да настроим кога Wordfence да сканира. Безплатна версия на плъгина предлага само Wordfence да избира кога да сканира сайта. Това не винаги е подходящо, тъй като сканирането на сайта отнема значителни ресурси и може да причини проблеми с производителността.
Basic Scan Type Options
По подразбиране е избрана Custom Scan опцията. Това е когато имаме допълнителна конфигурация на настройките за сканиране.
General Options
В General Options можем да разберем за какво точно ще сканира Wordfence. Препоръчително е всички опции да са избрани за максимално прецизност.
[7] Performance Options
Сканирането с ниска ресурсна натовареност разпределя процеса на сканиране през по-дълъг период, за да намали риска от висока консумация на ресурси.
Limit the number of issues sent in the scan results email – Когато резултатите от сканирането се изпращат по имейл след приключване на сканирането, тази опция ограничава общия брой проблеми, които ще бъдат изпратени.
Time limit that a scan can run in seconds – Можете да зададете лимит за продължителността на сканиранията от Wordfence. Някои опции, в комбинация с голям брой файлове, могат да удължат времето за сканиране, особено на по-бавни сървъри.
How much memory should Wordfence request when scanning – Паметта която Wordfence ще използва при сканиране. Повечето WordPress сайтове разполагат с фиксирано количество памет, определено от доставчика, което се използва за изпълнение на функциите на WordPress, темата и плъгините.
Maximum execution time for each scan stage – След изтичане на времето, зададено в настройката, Wordfence ще спре сканирането, ще запази текущите данни и ще накара уеб сървъра да изпрати нова уеб заявка, за да възобнови процеса на сканиране.
[8] Live Traffic Options
Използва се за логване на трафика. Опцията ни предлгада избор межу това да логваме целият тряфик или само трафика, свързан със сигурността. Препоръчително е да се логва ‘Security Only’, който включва успешни входове, опити за вход и различни видове блокирани заявки. Той изисква по-малко ресурси и ще намали натоварването на уеб сървъра.
[9] Настройки за импортване
Насртойки подходящи за статични сайтове с малко или без потребители.
e3206063e776e4760dd67f38e3e2dfd1d3ac3357f5bf3c90e253a6fab854cd4ee7d8af261dc13c279f340ea92bce56b47582371c2c8dc18884b69e7ad2077186
Насртойки подходящи за woocommerce или membership сайтове.
d2c75fc1cf1ddd5b69bd54f47dee0b2daac4d613690741889296acceeb35aa6335be30fb1b5f94c92bca584e40ec9da0ad07c62d2d4a1e83cfb148eb9fa4ed3d