Здравствуйте, это наверно лучший плагин безопасности, который есть для wordpress. Он легкий, информативный, и дает хороший уровень безопасности. Так же у него есть бесплатное расширение, интеграции с Clouflare.
Установка
Тут все просто, выбираете добавить плагин слева на панели, пишите название в поиске, нажимаете установить, а после активировать.
Обзор
Рассмотрим вкладки, и что на них отображается, когда плагин действует.
Вкладка Консоль, отображает все события, заблокированные адреса, спам, активность пользователей, вся общая активность. Вкладка активность, дает возможность отфильтровать эти события, и посмотреть более детально. Очень хорошая функциональность, здесь можно увидеть, кто и когда заходил, какой бот и когда стучался, ошибки кода, 404, а так же соотнести эти запросы с графиком нагрузки на ваш хостинг. Заблокировать IP адреса, если конечно вы не подключены через прокси например CloudFlare. Если же у вас подключен прокси сервер, то блокировка IP в принудительном порядке может вызывать проблемы у пользователей, блокируя доступ, это рассмотрим дальше в настройках. Вкладка сессии, эта вкладка показывает кто, имеет сессию у вас на сайте, необязательно онлайн, вы увидите дату входа, и дату авто-выхода. Так же зеленый квадратик, как на скриншоте показывает что IP в белом списке. Если у вас не статический IP адрес через который вы выходите в интернет, удалите IP во вкладке Списки доступа. Вкладка Блокировки, на ней вы увидите какой IP адрес, или пользователь в данный момент заблокирован, и когда закончится блокировка. Так же вы можете снять блокировку, в случае необходимости, нажав разблокировать.
Основные настройки
Режим инициализации. Производитель рекомендует использовать стандартный режим(как я понял старый используется в режиме не совместимости, но я не сталкивался с таким). Безопасность входа. Настраивается ограничение числа попыток авторизации, и их длительность. Так же если вам нужно создание бело списка IP, которые ни при каких обстоятельствах не блокируются, включите использовать белый список.
Смена URL страницы авторизации. Когда вы меняете страницу входа, а сделать это нужно обязательно, для того чтобы стандартная страница входа часто атакуемая ботами, не была взломана. Здесь вы придумываете любое слово, фразу, на латинице, с цифрами, только необходимо его запомнить). Иначе попасть на сайт вы не сможете, а точнее сможете, через отключение плагина через панель управления вашим хостингом, и переименования паки плагина, для деактивации. Так кстати вы можете делать, при любых проблемах в плагинах, просто переименовываете папку с плагином, и он деактивируется. Плагины лежат в папке public_html/wp-content/plugins/(если вы не меняли директории как то при установке.
Установка постоянных ссылок. Как видите, чтобы применить смену URL страницы авторизации, нужно установить постоянные ссылки в настройках WP, смотрите скрин как это сделать.
Отложенный рендеринг. Полезно чтобы страница авторизации загружалась с запозданием, некоторые боты не получив страницу авторизации, уходят. Не сказал чтоб стало меньше атак, но процентов на 30 поутихло). Проактивные правила безопасности. Отключить перенаправление с консоли. Отключить автоматическую переадресацию при запросе /wp-admin/ неавторизованным пользователем. Используйте только после того как поменяли адрес входа страницы. Несуществующие пользователи. Как только кт то попробует войти с именем пользователя который не зарегистрирован, он тут же будет заблокирован. Есть и минус, при подключении к CloudFlare, это лучше не использовать, так как плагин будет блокировать проксированые адреса. Для этого у WP Cerber Security, есть дополнение https://wpcerber.com/cloudflare-add-on-wp-cerber/. Почитайте, там есть подробная инструкция. Вот как раз это дополнение дает возможность блокировать не проксированые адреса. Мне дополнение не зашло, но оно на стадии бета, возможно поправят, люди начали не попадать в свою учетную запись, по причине блокировки.
Запрос wp-login.php. Блокировать IP при любом запросе wp-login.php , если вы используете приложение вордпресс которое использует XML-RPC, не включайте эту функцию, она блокирует соединение с приложением. Блокировка подсети. Всегда блокировать подсеть класса С вместо IP адреса, т.е. блокирует не один IP адрес например 192.168.1.1 или 192.168.1.2, а всю сеть 192.168…… целиком. Полезная вещь, так как атаки идут часто с перебором IP, но так же есть риск не возможности зайти пользователям. Если кроме вас ни кто не заходит в админку, и сайт не проксирован, как я писал выше, можно использовать.
Специфические настройки сайта.
Если вы используете CDN или прокси, включите эту функцию. Префикс для куки плагинов, укажите слово(так будут называться ваши куки, от плагина, например security). Показывать страницу 404, можете использовать простую страницу, или страницу активной темы.
Режим Цитадель. В режиме Цитадель никто не может войти кроме как с IP в белом списке. Активные сессии пользователей не будут затронуты. Так написано в плагине, но какую практическую роль это играет в настройках, в последнем скриншоте, я так и не понял. Активность. По простому там указывается время хранение журнала, если вы оставите по умолчанию 30 дней, то ваша база данных вырастет ну прям в разы. Так как записей будет десятки тысяч, лучше если поставить 3-5 дней, и иногда заглядывать в админку. Включить наблюдение над журналом авторизации, при превышении запросов придет письмо, весьма удобная функция, для определения атак. Подключение Cerber Lab. Вы соглашаетесь передавать данные об заблокированных адресах и атаках, в единую базу. В платной версии, эта база пресекает эти атаки на лету. Протокол Cerber Lab, передача данных, рекомендуется выставить HTTPS. Использовать файл, вы можете использовать записывать в файл, а не в базу данных.
Персональные настройки
Показать данные WHOIS для IP. Получать данные WHOIS для IP при просмотре журнала, т.е. из общей базы данных фаервола плагина. Сдвиг меню администратора, сдвинуть наверх меню администратора WP Cerber при просмотре административных страниц плагина. Панель будет всегда вверху, попробуйте, по мне так это не удобно, но дело привычки). Мой адрес IP, Не добавлять мой IP адрес в белый список при активации плагина. Это для того чтобы при деактивации, и новой активации плагина ваш динамический IP , не попадал в белый список, и не возникала эта уязвимость. Сохраните изменения.
Списки доступа
Здесь показаны списки доступа, вы можете добавлять белый и черный списки, по формату указанному ниже на скриншоте.
Панцирь. Усиление защиты WordPress
Очень полезная вкладка, чтобы защитить ваш сайт о вмешательства из вне.
Заблокировать сбор имен. Закрыть доступ к страницам авторов наподобие /?author=n, блокировка возможности отслеживать ваших авторов постов.
Защита от обнаружения имен пользователей. Защищать от обнаружения имена пользователей в oEmbed, уязвимость встроенного контента, такого как Ютуб, Vimeo и других
Защита от обнаружения имен пользователей. Защищать от обнаружения имена пользователей в XML-картах сайта, имена пользователей в карте сайта. Если посмотрите карту сайта, а именно XML файлы, все поймете.
Защита скриптов администратора. Блокировка неавторизованного доступа к load-scripts.php и load-styles.php, очень полезно, так как в фронт энде это не нужно, или только для тестировки.
Отключить PHP в папке загрузок. Отключить исполнение PHP скриптов в папке медиафайлов WordPress, такого не встречал, чтобы была необходимость.
Отключить отображение ошибок PHP. Не показывать ошибки PHP на сайте, для того чтобы кто-то не видел ваших ошибок при разных запросах к скриптам.
Отключить XML-RPC. Закрыть доступ к функциям XML-RPC, включая уведомления и обратные ссылки, вот тут надо подумать используете ли вы XML. Я использую приложение WordPress, удобно управлять сайтами, если и вы тоже отключать не надо, и как я писал выше блокировку wp-login тоже нужно снять, иначе приложение не сконнектится.
Отключить ленты. Закрыть доступ к RSS, Atom и RDF лентам, лучше оставить если вы используете RSS
Доступ к WordPress REST API
Эта функция используется для отключения, либо ограничения доступа к REST API. Весьма полезно, так как в нем находили уязвимости. Вы можете внести исключения, и более подробно можете почитать на сайте плагина, перейдя по ссылкам (Ограничение или полная блокировка WP REST-API. Узнать больше)
Уведомления
Очень удобно, приходит сводка еженедельно, а так при блокировке более 3 раз(можно настроить). Push уведомления, получайте немедленные уведомления на мобильные и стационарные устройства. Узнать больше, нужен Pushbullet.
Инспектор трафика
Журналирование трафика
Укажите умная выборка, для более детальных отображений в журнале. Так же можно указать весь трафик, но как я уже говорил, ваша база данных будет расти как на дрожжах. Далее вы можете настроить такие возможности как, сохранять запросы, сохранять заголовки ответов, сохранять куки запроса, сохранять куки ответов, сохранять $_SERVER, сохранять ошибки ПО, порог времени генерации страницы. Включите каждую из этих фикций, и посмотрите нужна ли вам эта информация в журнале, поэкспериментируйте. Сохранять записи журнала для неавторизованных или авторизированных пользователей, по умолчанию стоит 30 дней, я ставлю 5, опять же, чтобы сохранить объемы базы данных, и быстродействие сайта.
Политики пользователей
Это вообще шедевр, такого вы не найдете в любом другом плагине безопасности. Позволяет по ролям ограничить доступ к панели управления сайтом, создать тестовую регистрацию, с последующим удалением данных, или к примеру демо доступ к сайту, для тестирования его функций. Предусмотрена так же двухфакторной аутентификации, но только в Про версии.
Вкладка Основано на ролях
Заблокировать доступ в консоль WordPress, тут я думаю все понятно. Спрятать панель инструментов при просмотре сайта, пользователь не сможет ни чего изменить. Перенаправить пользователя после входа, перенаправить пользователя после выхода, например на поддомен, где вы сделали тестовый сайт. Время до истечения сессии пользователя, например 30 минут, думаю для того чтобы ваш хостинг выдержал нагрузку пользователей, к примеру тестового сайта. Двухфакторная авторизация доступно в Про версии.
Глобальная
Регистрация пользователей, можно ограничить по Email, например корпоративный сайт. Авторизованный доступ, разрешить доступ к сайту только после входа в качестве авторизованного пользователя. Узнать больше . Как я понял регистрация будет отключена.
Разные настройки, Запрещённые имена пользователей, Имена пользователей из этого списка не разрешены для входа или регистрации. Любой IP адрес пытающийся использовать эти имена будет автоматически заблокирован. Используйте запятую как разделитель. Для использования регулярных выражений оберните их в два прямых слеша. Время до истечения сессии пользователя, настройте любое.
Персональные данные, удобно можно удалить полностью, или экспортировать.
Установка Вход , Выход, Регистрация в меню
Таким образом вы можете добавить возможности регистрации, входа и выхода в меню сайта. Плагин создаст ссылки автоматически.
Целостность сайта
В бесплатной версии вы можете только просканировать, что довольно удобно, чтобы потом ручками в файловом менеджере хостинга, удалить лишнее, или посмотреть строки в коде. В принципе это простой инструмент, сравнивающий исходный код файла, и показывающий где он изменен. Часто он находит остатки от удаленных плагинов, можно удалить самостоятельно, и очистить место на диске. Так же после сканирования, ваша база данных прибавив пару десятков мегабайт, очистите ее вручную на хостинге. В настойках вы можете проверить исполняемые файлы или все, остальное все просто и понятно. От себя скажу как то я использовал авто удаление угроз, не понимая что он там нашел, и получил проблемы. Так как он удалил файлы PHP которые я изменил, и добавил нужный мне код. А так как он сравнивает, в итоге выдал угрозу, измененный файл. Возможно в Про версии есть помощь и поддержка, которая поможет отделить нужный код.
Антиспам
Если установлено защищать форму комментариев, у меня ни когда не было спама. Форма регистрации, защитит ваши страницы входа. Если же установить Защитить все формы на сайте через определение ботов, то все формы будут защищаться, но от себя скажу что с этим возникают проблемы, и вы можете часто получать страницу 403 или 404, возможно разработчики поправили. Но зачем? Если и первые 2 пункта держат сайт в безопасности. Так же если у вас есть woocommerce, он так же будет защищен первыми 2 мя пунктами, практически на 100%(бывают раз в год спам приходит). Настроить антиспам-движок, использовать менее жесткую политику (разрешить AJAX) рекомендую, так как на сайтах коммерции, это важно, при добавлении в корзину. Остальные настройки по умолчанию, если хотите вручную разбирать спам, в последнем пункте поменяйте (с полностью запретить, на пометить как спам).
ReCapcha
На вкладке введите ключ, и ключ безопасности гугл рекапча. Смотрите внимательно, есть старая версия рекапчи, есть новая. Новая просто в фоне, до тех пор пока она что то не заподозрит), и только после этого попросит ввести. Имейте в виду, что загрузка рекапча замедляет ваш сайт, а какой-то необходимости я в этом не нашел, так как Антиспам защита и так прекрасно функционирует.
Cerber Hub
Вы можете управлять всеми сайтами плагина, с одного сайта, что весьма удобно. Сделать это не составит труда, просто жмите кнопки, там все интуитивно понятно. Либо можете сделать этот сайт зависимым, и управлять им с основного.
Инструменты
Просмотр всей информации о сервере, таблицах, а самое главное здесь вы можете очистить во вкладке Диагностика таблицы такие как cerber_log, cerber_traffic, которые порой увеличивают базу данных весьма не плохо. Так же вы можете провести Ремонт таблиц, если есть необходимость и проверить Статус облака Cerber Security, если конечно вы поставили галочку в настройке получать и отправлять туда информацию.
Заключение
Отличный плагин, минусов я в нем не нашел, используя уже много лет. Единственно что он не умеет это переименовывать таблицы с wp-, на любую другую. Так может All In One WP Security & Firewall, но в нем есть заморочки которые я лично не победил. На это все, всего наилучшего.
