Mniej więcej miesiąc temu zaczęliśmy zauważać ogromną liczbę nieudanych prób dostępu do strony logowania WPBeginner i strony wp-admin. Staliśmy się niezwykle ostrożni. Od zabezpieczenia katalogu wp-admin hasłem po dodanie procesu weryfikacji dwuetapowej, próbowaliśmy zrobić wszystko sami. Szybko jednak zdaliśmy sobie sprawę, że nasze umiejętności i wiedza są dość ograniczone. Mamy już kompletne rozwiązanie do tworzenia kopii zapasowych z VaultPress, więc potrzebowaliśmy kogoś, kto będzie stale monitorował naszą stronę pod kątem wszelkich nietypowych zachowań. Kogoś, kto wie, co robi. Kogoś, kto ma świetną reputację. Po przeprowadzeniu badań, tylko jedna nazwa się wyróżniała. Było to Sucuri. Po wejściu na stronę zdaliśmy sobie sprawę, że jest to ta sama strona, która oferuje darmowy skaner stron internetowych, którego użyliśmy podczas usuwania złośliwego oprogramowania z jednej z witryn naszych klientów. Postanowiliśmy założyć konto dla naszych stron internetowych. Podczas jego konfiguracji jedyne, co przychodziło nam do głowy, to „WOW”. To powinno być narzędzie „MUSISZ MIEĆ” dla każdego. W tym artykule pokażemy Ci, dlaczego używamy Sucuri i jak naprawdę poprawia to nasze bezpieczeństwo WordPress.
1. Monitorowanie integralności strony internetowej
W przeciwieństwie do ich darmowego skanera, który musisz uruchamiać ręcznie, funkcja sprawdzania witryn pod kątem złośliwego oprogramowania i ostrzeżeń o czarnej liście sprawdza witrynę co 3 godziny, aby upewnić się, że Twoja witryna jest wolna od złośliwego oprogramowania, złośliwych skryptów JavaScript, złośliwych elementów iframe, podejrzanych przekierowań, wstrzykiwania spamu itp. Zapewniają również, że Twoja witryna nie znajduje się na czarnej liście żadnej z popularnych usług, takich jak Google, Norton, AVG, Phishtank, Opera i inne. Jakie są korzyści? Cóż, utrzymuje to Twoją reputację nienaruszoną, dzięki czemu Twoi użytkownicy nie widzą komunikatów typu „Ostrzeżenie, coś jest nie tak”.
2. Skanowanie po stronie serwera
Monitorowanie witryny sprawdza Twoją witrynę tylko po stronie front-endu. Ale co, jeśli masz do czynienia z inteligentnym hakerem, któremu nie zależy na zarażaniu użytkowników złośliwym oprogramowaniem. Po prostu dodaje reklamy banerowe do Twoich starszych postów, o czym nie wiesz. Co jeśli już uzyskał dostęp przez tylne drzwi, którego może użyć do zamiany Twoich linków partnerskich na swoje i kradzieży Twoich dochodów. Ten rodzaj hacka nie może zostać wykryty przez ich darmowy skaner witryn. Jednak dla płacących klientów istnieje opcja Skanowanie po stronie serwera, która właśnie to robi. Skanuje Twój serwer, aby upewnić się, że na Twoim serwerze nie ma żadnych podejrzanych plików. Audytuje również zdarzenia, takie jak zmiany plików i tym podobne, aby informować Cię na bieżąco.
Pomyślałbyś, że będziesz musiał zainstalować jakieś rozbudowane oprogramowanie na swoim serwerze, aby przeprowadzić te skanowania. Wszystko, co musisz zrobić, to przesłać jeden prosty plik php i to wszystko.
3. Wtyczka dziennika audytu WordPress
Ponieważ jest stworzona przez ludzi, którzy kochają WordPress tak samo jak my, mają specjalną wtyczkę dla użytkowników WordPress. Ta wtyczka jest klejnotem zarówno dla początkujących, jak i zaawansowanych użytkowników. Audytuje wszystkie zdarzenia, które mają miejsce na Twojej stronie WordPress. Zmiany plików, dodawanie nowych postów itp.
Często hakerzy próbują ukryć swoje zhakowane pliki dostępu do tylnych drzwi pod nazwami plików WordPress. Może to być plik znajdujący się w folderze wp-includes o nazwie wp-user.old.php lub coś, co przeciętny użytkownik nie podejrzewałby o bycie złośliwym plikiem. Wtyczka Sucuri WordPress zapewnia integralność wszystkich plików rdzenia. Więc jeśli wśród nich znajdzie się podejrzany plik, od razu Cię o tym powiadomi. Często hakerzy próbują ukryć złośliwe oprogramowanie w pliku wp-config.php. Który jest plikiem rdzenia. Ta wtyczka sprawdza wszystko.
Utwardzanie jednym kliknięciem
Jeśli jesteś nowym użytkownikiem, widzisz różne posty dotyczące bezpieczeństwa na różnych blogach. Starasz się zapamiętać wszystkie z nich na swojej następnej stronie i kolejnej itd. O niektórych sztuczkach utwardzania nawet się nie mówi. Cóż, Sucuri daje Ci możliwość poprawy bezpieczeństwa poprzez utwardzenie Twojej instalacji WordPress. Jednym kliknięciem możesz zabezpieczyć swój katalog przesłanych plików. Hakerzy często lubią ukrywać swoje złośliwe pliki w folderze przesłanych plików. Ponieważ folder przesłanych plików jest zorganizowany według roku i miesiąca, jest to łatwe miejsce dla hakerów do ukrywania rzeczy. Większość ludzi nigdy nie sprawdza swoich folderów przesłanych plików. Jednym prostym kliknięciem ten wtyczka sprawi, że Twój katalog przesłanych plików będzie nieprzeglądany i uniemożliwi wykonanie PHP. Robi to samo dla katalogu wp-content i katalogu wp-includes. Jednym kliknięciem możesz również przenieść swój plik wp-config o jeden katalog wyżej. Jednym kliknięciem pozbywa się pliku readme.html i innych.
Obecnie nie ma sposobu, aby zmienić domyślny prefiks bazy danych jednym kliknięciem, ale mówi się, że będzie on dostępny w przyszłych wersjach. W międzyczasie możesz skorzystać z naszego poradnika Jak zmienić prefiks bazy danych WordPress.
Na koniec, ale nie mniej ważne, ta wtyczka dodaje zaporę sieciową, która blokuje spamerów i umieszcza ich adresy IP na czarnej liście. Sprawdziliśmy wiele adresów IP, które próbowały uzyskać dostęp do obszarów, do których nie powinny mieć dostępu, i są to znane adresy IP z czarnej listy. Dla użytkowników WordPressa ta wtyczka jest najlepszą rzeczą, jaka kiedykolwiek powstała.
4. Alerty
Najważniejszą częścią monitorowania są alerty. Sucuri pozwala na konfigurowanie alertów e-mail, alertów na Twitterze, alertów IM, alertów SMS i alertów RSS. To świetne, ponieważ jeśli kiedykolwiek dojdzie do włamania, będziesz pierwszym, który się o tym dowie.
Oprócz monitorowania złośliwego oprogramowania i czarnych list, mają również monitorowanie zmian DNS, zmian whois itp. Ostatnio wiele popularnych domen zostało skradzionych ich webmasterom, a tego typu monitorowanie może Cię powiadomić.
5. Usługa usuwania złośliwego oprogramowania
Chociaż wszystkie powyższe powody dobrze uzasadniają koszt, oferują również usługę usuwania złośliwego oprogramowania bez limitu stron wraz z usuwaniem z czarnych list. Nie musieliśmy jeszcze korzystać z tej części usługi, ale czy możesz sobie wyobrazić, że eksperci ds. bezpieczeństwa czyszczą Twoją witrynę. Zazwyczaj niektórzy z tych ludzi pobierają 250 USD/godzinę za konsultacje. Powiedzmy, że jeśli Twoja witryna zostanie zhakowana i masz ich monitoring, oni zajmą się czyszczeniem. Jest szansa, że zostanie to wykryte, zanim Google i inne usługi umieszczą Cię na czarnej liście. Ale jeśli zostaniesz umieszczony na czarnej liście, oni pomogą Ci w usunięciu z czarnej listy.
Mamy plan Power, który kosztuje 189,99 USD / rok i obejmuje 5 stron internetowych. Miesięczny koszt wynosi około 3 USD za stronę internetową. Zdecydowanie wolelibyśmy zapłacić 3 USD za stronę internetową i utrzymać ją bezpieczną, niż zostać zhakowanym i zapłacić komuś $$$$ za jej naprawę.
Podsumowanie
Internet to naprawdę przerażające miejsce. Dzień po dniu słyszymy historie o ludziach i stronach internetowych, które są hakowane. Po pomocy wielu ludziom w oczyszczeniu ich stron internetowych ze złośliwego oprogramowania, możemy szczerze powiedzieć, że Sucuri jest bezsprzecznie najlepszą i najbardziej opłacalną usługą bezpieczeństwa w branży WordPress. Znacznie lepiej dowiedzieć się, że Twoja witryna została zhakowana od usługi monitorującej, niż dowiedzieć się od użytkowników, a jeszcze lepiej od Google, gdy umieszczą Twoją witrynę na czarnej liście.
Korzystamy z Sucuri i jeśli zależy Ci na bezpieczeństwie Twojej witryny, powinieneś również. Jest powód, dla którego główne publikacje, takie jak CNN, USAToday, PC World, TechCrunch, TheNextWeb i inne, polecają tych ludzi. Po osobistej rozmowie z jednym z ich współzałożycieli, Dre Armeda, wiemy, że jesteśmy w dobrych rękach.
jesse
Miałem ciągłe przestoje z zaporą sieciową Sucuri… miałem 48 godzin przestoju z 2 awarii. Ich wsparcie techniczne jest naprawdę niekompetentne. NIE polecam ich usługi.
Vinny
Ile Sucuri ci zapłaciło, żeby umieścić ich na swojej liście? Nie mówię, że są źli, ale raczej wybrałbym Wordfence albo nawet iThemes Security, z których oba mają 6 razy więcej aktywnych użytkowników niż Sucuri.
Personel redakcyjny
Sucuri nie zapłaciło nam ani grosza. W momencie pisania tego tekstu iThemes Security miało inną nazwę, a WordFence był jedynym głównym konkurentem. Usługa czyszczenia złośliwego oprogramowania i aktywne monitorowanie Sucuri dały im przewagę. Obecnie przechodzimy na ich nowe WAF, po czym napiszemy aktualizację.
WAF Sucuri jest znacznie lepszy od innych wtyczek, które wymieniłeś, ponieważ jest to aktywna, oparta na chmurze zapora DNS, a nie hostowana dla Twojej witryny WP. Ponadto 6x więcej aktywnych użytkowników wynika głównie z tego, że inne są darmowe.
Administrator
butterkitten
Podoba mi się rekomendacja, ale w tej chwili nie stać mnie na Sucuri. Czy możesz polecić jakieś inne wtyczki, które są przystępne cenowo?
Chris Bunting
Chociaż obecnie istnieje wiele wtyczek zabezpieczających, nadal preferuję Securi! Prowadzę stronę, na której ruch nie jest tak dużym problemem, jak ludzie, którzy ją odwiedzają.. Próby włamań to u nas codzienność.. Ale Securi ma najlepsze powiadomienia i konfigurację, jaką znalazłem!
Prawdziwe zabezpieczenie Twojej strony wykracza daleko poza zwykłą wtyczkę.. Nie daj się zwieść szumowi! Jeśli korzystasz z dedykowanego serwera / VPS, musisz zacząć od systemu operacyjnego.. Jeśli korzystasz z hostingu współdzielonego ze skryptami auto-instalatora, powinieneś przeprowadzić badania nad zabezpieczeniem swojej strony, zanim zaczniesz myśleć o zabezpieczeniu WordPressa..
Thomas Zickell
Sucuri CloudProxy jest już dostępny i używam go od momentu jego wydania. Muszę powiedzieć, że jest to jedno z najlepszych narzędzi, jakich kiedykolwiek używałem. Szybkość strony jest większa, masz prawdziwą ochronę przed wszystkimi atakami brute force, nawet ochronę DDos 7 wbudowaną w ich podstawową ofertę z pełnym DDos 3,4 &7 w ich profesjonalnej ofercie. To naprawdę wybitne narzędzie dla każdego, kto nie korzysta z zarządzanego hostingu WordPress (używam zarówno zarządzanego WordPressa, jak i Terremark, FireHost, Linode & digital ocean), jest to świetny dodatek, szczególnie dla każdego, kto szuka bardzo szybkiego, niezawodnego i bezpiecznego serwera w połączeniu z digital ocean, a otrzymasz coś niesamowitego.
Sean
Dobra recenzja, właśnie mamy zamiar się u nich zarejestrować. Kiedy ucierpiałeś z rąk hakerów i tak wiele osób poleca tych ludzi, wiesz, że to właściwa decyzja.
Thomas Zickell
Naprawdę podobają mi się nowe kopie zapasowe Sucuri. Kosztują 5 USD miesięcznie i masz nieograniczoną przestrzeń. Zgadzam się, że VaultPress jest doskonałą usługą, jednak po porównaniu VaultPress za 15 USD miesięcznie z Sucuri & Codeguard wybrałem Sucuri. Potrzebujesz tylko sftp/ftp/mySQL, co jest preferowane w stosunku do metody opartej wyłącznie na wtyczce.
Szczególnie ze względu na obsługę, którą otrzymujesz od Sucuri, pomogą Ci nawet przywrócić stronę, a tak, musisz użyć czatu, który jest dostępny 24/7.
Możesz wysyłać swojemu Klientowi e-mail codziennie, co tydzień lub co miesiąc z linkiem do kopii zapasowej do pobrania.
Kiedy zajmujesz się optymalizacją dla wyszukiwarek, tworzeniem stron internetowych i tworzeniem treści, tak jak ja.
Klienci muszą mieć sposób, aby wiedzieć, że jesteś uczciwą osobą, więc jeśli znikniesz, otrzymają swoją stronę, nawet jeśli znajduje się ona na Twojej platformie hostingowej.
Z tego powodu, o którym wiem, że jest dziwny do poruszenia, ale jest ważny, ponieważ nie chcesz, aby Twój klient, który może nie być tak biegły w sieci jak Ty, bawił się wtyczkami ani niczym innym, jeśli jesteś webmasterem.
Sucuri naprawdę się postarało, używam ich od lat i są fantastyczną firmą.
Powiem, że CodeGuard jest w porządku
Wolę wydać pieniądze na backup Sucuri i nigdy nie martwić się o miejsce
Phil Alcock
Kiedy przeprowadziłem kontrolę Sucuri na naszym domenie, okazała się czysta, ale w sekcji wersji aplikacji internetowej pojawił się trójkąt ostrzegawczy dla
Wewnętrzna ścieżka WordPress: /home/dibdench/public_html/wp-content/themes/atahualpa3712/index.php
Bez wskazania, co to oznacza. Jakieś pomysły?
oj wickliffe
Cześć,
Spotkałem się już z tą stroną i rzeczywiście pomogła odkryć kilka złośliwych programów.
Właściwie mam problem, z którym potrzebuję jakiejś rekomendacji. Moja strona wydaje się być zhakowana, ponieważ jest tam folder, którego nie zrobiłem. Ale za każdym razem, gdy go usuwam, wraca z mojego menedżera plików cPanel.
Co mogę zrobić.
Dzięki.
Wsparcie WPBeginner
Folder niekoniecznie oznacza, że jest to spowodowane jakimś złośliwym oprogramowaniem lub trojanem na Twojej stronie. Wiele wtyczek WordPress tworzy również foldery do przechowywania danych. Aby upewnić się, że to nie wtyczka tworzy ten folder, najpierw dezaktywuj wszystkie swoje wtyczki, a następnie usuń folder. Zobacz, czy folder wraca. Jeśli tak, to prawdopodobnie jest to spowodowane złośliwym skryptem lub złośliwym oprogramowaniem. Jeśli nie wróci, oznacza to, że jedna z wtyczek na Twojej stronie potrzebuje tego folderu do prawidłowego działania.
Administrator
TOrben Heikel Vinther
Świetna recenzja! Dziś używam darmowej wtyczki Better WP Security na moich stronach, ale kiedy czytam o Sucuri, brzmi to tak, jakby była jeszcze lepsza! Jeśli kupię wtyczkę Sucuri, czy otrzymam taką samą ochronę (lub większą) niż z Better WP Security?
Czy polecasz inne wtyczki bezpieczeństwa do współpracy z Sucuri, np. Wordfence, czy nie byłoby to zbyt duże pokrycie?
Personel redakcyjny
Sucuri to dość kompleksowe rozwiązanie, więc nie powinieneś jej łączyć z Wordfence itp. Jedną z wyraźnych zalet Sucuri jest gwarancja, że naprawią Twoją stronę, jeśli coś pójdzie nie tak. Każdy, kto zna ból związany z czyszczeniem zhakowanej strony, kupi subskrypcję w mgnieniu oka. Zatrudnienie dobrego konsultanta ds. bezpieczeństwa kosztuje setki dolarów za godzinę. Sucuri ma również skanowanie po stronie serwera, które daje ostrzeżenia. Monitoruje zmiany w plikach itp.
Administrator
Frithjof
Dzięki za świetną recenzję! Zanim przejdę do rejestracji, mam jedno „bonusowe” pytanie: czy skanowanie po stronie serwera zastępuje potrzebę monitorowania dostępności?
Personel redakcyjny
Mają opcję otrzymywania alertów o dostępności.
Administrator
Maggie
Założyłem bloga w zeszłym miesiącu i jest to wciąż bardzo mała strona, którą codziennie odwiedza nie więcej niż 10 osób.
Czy to oznacza, że jest mniejsza szansa, że ktoś zhakuje moją stronę?
Czy powinienem poczekać, aż moja strona stanie się bardziej ruchliwa?
Traktuję mojego bloga bardzo poważnie, ale nie jestem pewien, czy warto w niego dużo inwestować na początku.
Mary
Cześć,
Chciałem tylko odpowiedzieć, ponieważ moje strony internetowe są atakowane siłą, a wszystkie są nowe i mają bardzo mały ruch.
„Login in security” to darmowa wtyczka, która dostarcza mi tych informacji i była omawiana na tej stronie.
Aktualizacje i silne hasło są również ważne.
Ale rozglądam się za Sucuri i kupię przez link na tej stronie, ponieważ ci goście są świetni.
Powodzenia!
Maggie
Dziękuję za odpowiedź, Mary. Brzmi to przerażająco!
Właśnie zainstalowałem „Limit Login Attempts” i zastanowię się ponownie nad Sucuri.
Mary
Witam, Dziękuję za ten artykuł
Nie rozumiem wszystkich szczegółów napisanych tutaj ani w komentarzach
Więc zastanawiałem się nad tym. Jeśli dostanę sucuri, CZY
1) muszę zdecydować, czego potrzebuję z tego, co oferują (nie wiedziałbym)
2) czy jest trudny w instalacji dla kogoś, kto się na tym NIE ZNA” tak jak ja
3) czy jest jakiś kod? Zepsułem już kiedyś swoją stronę, dodając kod
4) i czy będą potrzebne jakieś inne środki bezpieczeństwa?
Dziękuję za Twoją stronę! Mary
Personel redakcyjny
Witaj Mary,
1. Nie, po prostu kupujesz plan (jest wszystko w cenie).
2. Dość łatwy w instalacji. Ich zespół pomoże, jeśli będziesz potrzebować.
3. Nie. Nie ma w tym żadnego kodu.
4. Używanie silnego hasła jest zawsze konieczne
Administrator
Keith Davis
Cześć Syed
Chciałem tylko dać Ci znać, że Sucuri ma teraz funkcję zmiany prefiksu bazy danych – świetnie!
Personel redakcyjny
Świetnie… Nie wiedziałem, że to dodali.
Administrator
Keith Davis
Serio rozważam Sucuri dla 5 do 8 stron.
Jakieś kody rabatowe?
Ahmed
Cóż, chyba dam tym ludziom szansę!
Brad Dalton
Moja strona została dziś zhakowana, a skan Sucuri był czysty, zanim ją naprawiłem.
Wordfence wykrył to, kiedy zeskanowałem za pomocą tego wtyczki.
Personel redakcyjny
Brad, czy używałeś ich darmowego skanera, czy płatnego skanowania serwera? Ich darmowy skaner nie sprawdza plików na twoim serwerze. On jedynie sprawdza publicznie wyświetlane złośliwe kody.
Administrator
Jason H
Pozytywna recenzja kończy się tym zdaniem:
„Nie ma powodu, dla którego główne publikacje, takie jak CNN, USAToday, PC World, TechCrunch, TheNextWeb i inne, polecają tych ludzi.”
Personel redakcyjny
Wow, całkowite przeoczenie z naszej strony. Miało być „jest powód”. Dziękujemy za zwrócenie uwagi.
Administrator