защита сайта

Защита wordpress от взлома: WP-Sentinel

53 комментария

Плагин WP-Sentinel – это защита wordpress сайта от взлома. Проверяет каждый HTTP запрос по заданному набору правил для фильтрации вредоносных запросов.

WP-Sentinel — это плагин для платформы WordPress, предназначенный для повышения безопасности Вашего сайта от атак крэкеров, ламеров и прочих взломщиков. Плагин будет загружен WordPress до любого другого  установленного плагина и будет выполнять проверку безопасности входящих HTTP запросов. При наличии опасных запросов, они будут заблокированы, WP-Sentinel покажет предупреждающее сообщение пользователю и отправит уведомления по электронной почте администратору ( хозяину) сайта со всеми подробностями нападения. Кроме того WP-Sentinel свяжется с централизованным сервером для сбора сведений о нападавших и  для формирования черного списока IP-адресов. В черный список будут включены IP-адреса, через которые осуществлялось нападение.

Этот плагин может блокировать следующие виды атак:

  • Cross Site Scriptings
  • HTML инъекции
  • Local File Inclusion
  • Remote File Inclusions
  • Remote Command Executions
  • SQL инъекции
  • Целочисленное и строковое переполнения
  • Подделка межсайтовых запросов (CSRF)
  • Bruteforcing
  • Flooding

Видим, что в отличие от Limit Login Attempts, который защищает только от брутфорсинга,WP-Sentinel  не только ограничивает число неправильных входов в админку, но и дает защиту от многих видов атак.

После установки  и активации плагина, пройдя Панель инструментов?Настройки?WP-Sentinel, откроем вкладку настроек плагина:

В   строке EMail Notification активируем Enabled, чтобы оповешения об атаке отправлялись на электронную почту администратора. Для сохранения изменений внизу нажимаем . Новичкам остальные настройки можно оставить по-умолчанию.

Flood Delay — Задержка, в секундах, ниже которой нападения рассмотриваются как  flooding и не будут зарегистрированы, эта задержка, используется в качестве анти- bruteforcing задержки также.

Autoban Threshold — число атак после которых блокируется IP.

Autoban Time — время блокировки IP в часах.

Max Login Attempts — число максимальных попыток залогиниться в админке, после которых пользователь будет неспособен  логиниться в течение ‘секунд’ задержки, выставленной в Flood Delay.

На вкладке Dayly Logs можно посмотреть сведения о зафиксированных атаках.

Нажимая на соответствующие значки, есть возможность просматривать детали атаки или заблокировать подозрительный IP на нужное число часов.

Не стоит беспокоиться по поводу большого количества атак. Поступление спама, например, плагин рассматривает как атаку.

Related posts:

  1. Limit login Attempts: защита сайта от взлома
  2. Защита WordPress: скрываем вход в админку
  3. Защита WordPress: смена логина
  4. Резервное копирование и восстановление сайтов на WP
  5. Обновление WordPress.Подводные камни.

Защита wordpress от взлома: WP-Sentinel: 53 комментария

  1. У меня стоит Limit Login Attempts. Если я поставлю WP-Sentinel,то ведь нет необходимости держать активированным предыдущий плагин?

  3. Искандер, а этот плагин вместе с wordpress устанавливается? Если так, то у меня её нет!

  4. Так, у Вас сайт на каком движке? По всем признакам на WordPress. Т.е можете смело ставить плагин

  5. Доходчиво написано о защите wordpress. Спасибо Искандер

  6. Спасибо, Искандер, хотела установить себе на сайт этот плагин, не получилось. У меня выдает ошибку, может дело в том, что версия WordPress 3.3.0, а нужна версия 3.3.1? Хотела обновиться до новой версии, тоже ошибка. Писала в техподдержку Твой Старт,спустя 3 дня ответили, что если все работает, то ничего не обновлять. Круто, да?

  7. По поводу версий на вскидку не могу сказать. Это Вы сами аккуратно проверьте.А вот в тех поддержке не правы. Они должны в таких случаях помогать. Проявите настойчивость. По поводу ошибки при обновлении можно еще обратиться на форум ru.wordpress.org. Так же еще существует плагин, устраняющий уязвимости в старых версиях WP.
    Буду писать еще о других подобных плагинах. Может быть с ними повезет больше. Заходите.

  9. Пока не установлен. Буду устанавливать.
    Спасибо.

  10. Безопасность ПК это очень важно, только обычно о ней задумываешься слишком поздно.

  11. Спасибо, Искандер, за ценную информацию. Приступаю к действию:-)

  12. Спасибо! А Akismet нужен будет? Или можно отключить. Очень полезный сайт! Удачи!

  13. Искандер, спасибо за информацию. О защите сайта думаю давно, попробую установить этот плагин.

  14. Спасибо , попробую использовать Ваши советы по защите WP.

  15. Полезный плагин, попробую поставить, поглядеть

  16. Я у себя оставил. Каждый решает сам, исходя из собственного опыта

  17. Тоже задумываюсь последнее время о безопасности сайта, а у Вас тут, оказывается, куча статьей на эту тему.

  18. Очень много нужной информации по защите,попробую воспользоваться рекомендациями!Удачи !

  19. Здравствуйте, Искандер! Вы скоро лишате производителей вирусов и разработчиков антивирусных программ работы и они займутся серьёзной деятельностью на благо общества

  20. Спасибо за статью. Уже поставил плагин все работает. Еще раз спасибо.

  21. До сих пор нигде не настроила нормальную защиту. Пока петух не клюнет…

  22. Благодарю Вас за интересную и содержательную статью! Спасибо за плагин. Нужно к нему присмотреться и при необходимости поставить.

  24. Спасибо за информацию о действительно нужном и полезном плагине. Вы очень заботливы. С радостью буду пользоваться этим плагином для защиты от взлома. Удачи и жду в гости.

  25. Спасибо за ценный советы по защите блога, они очень важны для начинающих, попробую установить.

  27. подписалась на обновления сайта. заранее спасибо за статьи

  28. Спасибо, уже установила по Вашим инструкциям плагин

  29. Очень подробно и доходчиво описано. К сожалению не знаю какой плагин стоит на нашем сайте, т.к. изначально им занимался мой муж Руслан. Обязательно уточню это. Спасибо.

  30. Спасибо большое, Искандер!
    Установила себе плагин, посмотрю, что получиться.
    Когда установила WordPress File Monitor Plus, он начал присылать мне изменения файлов, а я не знаю, что с этим делать.
    Изменения есть, даже тогда, когда я на сайте ничего не делала. Что это значит? Нужно ли что-то предпринимать?

  31. Некоторые файлы сайта меняются без Вашего прямого участия. Например, Вы опубликовали статью. Тогда плагин просигнализирует Вам, что изменились файлы карт сайта для поисковиков и для пользователей. Также будут изменения в файле лога плагина Smart Apdate Pinger. Если статья была с картинками, то будут показаны файлы картинок, которые Вами были добавлены на сайт. Если же Вы обнаружите файлы, измененные без Вашего прямого или косвенного участия( в чем нужно быть уверенным), то тогда нужно сравнивать их с копиями из бэкапа или дистрибутива, чтобы убедиться, что изменения были внесены злоумышленником.

  32. Любопытное расширение, разошлю в соц закладки

  33. спасибо очень интересный защитный плагин

  35. Многофункциональный плагин. Хотелось бы поподробнее

  36. word press защищать просто необходимо

  37. Спасибо ! Очень важная и своевременная инфотрмация.

  38. Данный плагин реально поможет мне защитить сайт, спасибо автору.

  42. Нужный плагин для защиты блога

  43. Скажите, пожалуйста, этот плагин совместим с Login LockDown? То есть перед установкой WP-Sentinel нужно удалять плагин Login LockDown?

  44. По поводу совместимости с Login LockDown личного опыта нет, но с аналогичным плагином он работал нормально.
    Единственно, данный плагин страдает излишней параноидальностью и устанавливать его рекомендую только в случае крайней необходимости. Как альтернативу лучше поставить Firewall 2

  45. Искандер, спасибо большое за ответ. Не знал о таких особенностях плагина. Тогда лучше поставлю Firewall 2.
    Кстати, тогда если можно еще вопросик… У меня кроме Login-Lockdown уже установлен плагин AntiVirus и WP-Ban. Можете что-то сказать по поводу совместимости этих плагинов c Firewall 2? Не будет повторяющихся функций?

  46. Сергей, с антивирусом конфликтов не будет, с WP-Ban не пробовал но по функциям пересечений не увидел, а по совместимости нужно просто пробовать

  47. Искандер, большое спасибо) Буду пробовать.
    С нетерпением ждал Вашего ответа. Ранее подписался на комментарии по этой теме. Еще раз спасибо)

  48. У меня плагин WP-Sentinel меня блокирует…Как это возможно? Уже второй раз за 5 месяцев развития сайта не могла зайти на сайт. Как это предотвратить?

  49. Плагин интересный, но недоработанный. Временами глючит, поэтому удалите этот плагин. Вместо него поставьте Firewall 2 и Limit Login Attempts

  50. Интересный плагин WP-Sentinel,много возможностей для сохранения безопасности сайта.Спасибо за информацию.

  51. Очень параноидальный, пришлось отказаться.

  52. Плагин хороший, но есть два существенных недостатка. После добавления записи в блог, плагин блокирует доступ к сайту автора блога на некоторое время. Второй недостаток тоже связан с блокировкой, но блокировка происходит если блог подвергается массовой атаке. В этом случае доступ закрывается на 24 часа для всех. Если атака продолжается несколько дней, то соответственно несколько дней доступа к сайту у автора блога не будет. Здесь уже нужно решать, что важнее безопасность или беспрепятственный доступ к блогу.

  53. Да, замечал за этим плагином не всегда адекватное поведение.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *