Обзор Sucuri — стоит ли использовать этот плагин безопасности WordPress?

Доброго здравия, друзья!

Я уже как то сравнивал два самых популярных плагина безопасности WordPress в этой статье.

А сегодня я решил сделать небольшой обзор плагина Sucuri и стоит ли использовать этот плагин безопасности WordPress?

Пора уже и начинать)

Что такое Sucuri?

Sucuri — это инструмент безопасности веб-сайтов.

Он основан на облаке и помогает защитить веб-сайт от вредоносных кодов и хакеров.

Плагин фильтрует весь трафик, прежде чем он достигнет сервера, на котором размещен ваш сайт.

А также он предлагает некоторые интересные функции, такие как усиление безопасности, мониторинг целостности и обнаружение вредоносных программ.

Все сканирования, которые выполняет Sucuri, происходят удаленно.

Глубокое сканирование на уровне сервера не выполняется. Это позволяет снизить нагрузку на сервер.

Для премиум-пользователей сервис предлагает неограниченную поддержку при нарушениях безопасности.

В целом, он предлагает улучшения производительности для веб-сайтов, а также обещает защитить их от всех угроз.

Безопасность WordPress — некоторые статистические данные

WordPress, безусловно, самая известная в мире система управления контентом (CMS).

Вы можете оценить его популярность по тому факту, что он поддерживает 35% всех веб-сайтов в мире.

Проблема такой огромной популярности в том, что она также влечет за собой массу неприятностей.

Если вам нужно представление о степени угрозы, с которой сталкиваются пользователи WordPress, вот набор данных, который вас удивит:

• Согласно исследованию команды Sucuri и GoDaddy Security, 90% всех взломанных в 2018-2020 годах веб-сайтов на основе CMS были созданы на базе WordPress.
• По данным CNN, в среднем Google ежедневно вносит в черный список 10 000 веб-сайтов. Именно на этих веб-сайтах размещаются и распространяются вредоносные программы.
• По данным Uptime.com, сайты, занесенные в черный список, могут терять до 95% своего органического трафика.
• Согласно WPTemplate, 41% всех взломанных веб-сайтов на WordPress становятся жертвами хакеров, потому что их хостинговые платформы имеют уязвимости.
• По данным INC.com, 60% малых предприятий, ставших жертвами кибератак, закрывают свои предприятия всего за 60 дней!

Проблема в том, что большинство этих кибератак или хакерских атак на самом деле происходит как на малых, так и на средних предприятиях.

Встревожены? Подождите! Есть еще кое-что, что подарит вам бессонные ночи!

Исследование Wordfence обнаружило кое-что интересное в векторах атаки (то есть в среде, через которую происходят атаки).

Вот краткое графическое представление исследования:

Смотри на изображение снова и снова.

Оно показывает, что уязвимости в плагинах являются основными виновниками большинства взломов веб-сайтов WordPress.

Около 55,9% всех взломов вызваны неисправными или устаревшими плагинами.

Следующим по величине вектором является атака методом перебора паролей, которая позволяет злоумышленникам угадывать слабые пароли.

Да, пароль, который вы установили для своего веб-сайта, может сыграть решающую роль.

На атаки методом перебора паролей приходится 16,1% попыток взлома.

По словам Sucuri, 36,7% всех взломанных сайтов WP были скомпрометированы, потому что они использовали старую, устаревшую и уязвимую версию основного программного обеспечения WordPress.

Другие векторы также включают темы, которые вы используете, попытки фишинга, взломы FTP, инсайдерскую работу, взлом рабочих станций и многое другое.

Итак, будет разумно обновлять свои плагины и темы.

Никогда не ждите, особенно когда разработчики выпускают исправления безопасности!

Идите вперед и обновите свою тему или плагины.

Хорошо, теперь, когда вы знаете о масштабах угрозы, с которой сталкиваетесь, вы должны знать или узнать, как защитить свой веб-сайт WordPress.

Основные принципы безопасности веб-сайтов

Независимо от того, используете ли вы веб-сайт WordPress или любой другой веб-сайт, основанный на программном обеспечении, вы должны понимать, что вам необходимо активно препятствовать попыткам взлома.

Восстановление вашего сайта после взлома — не что иное, как лекарство.

Всегда лучше принять меры профилактики, чем лечиться!

Вот три столпа безопасности любого веб-сайта:

1. Этап первый: предотвращение,
2. Этап второй: обнаружение,
3. Этап третий: реагирование и восстановление.

Что это значит? Давайте узнаем!

Предотвращение

Профилактика — это первый и самый логичный шаг.

Почему вы хотите ждать, пока ваш сайт взломают?

Итак, первая линия защиты — всегда держать вредоносные коды подальше от вашего сайта WordPress.

Некоторые из методов, которые вы можете использовать, включают WAF или брандмауэр веб-приложений, антивирус, защиту от DDoS-атак, фильтры электронной почты, обнаружение и предотвращение плохих ботов и т. д.

Вы должны понимать, что, хотя сам WordPress очень безопасен, проблема связана с плагинами и темами.

Таким образом, хотя использование WordPress является бесплатным, вам необходимо инвестировать в аспект безопасности, который в большинстве случаев часто является последним приоритетом для многих владельцев веб-сайтов.

Не будь одним из них.

Обнаружение

Вторая фаза наступает только тогда, когда профилактика не дает результатов.

Фаза обнаружения начинается с полной осведомленности о любом инциденте безопасности, как только он происходит, чтобы вы могли немедленно принять меры, чтобы вы могли остановить значительный ущерб.

Чтобы обнаружить инцидент, вам необходимо использовать различные инструменты, такие как мониторинг целостности, сканирование сети и системы обнаружения вторжений.

Очень важно, чтобы у вашего хостинг-провайдера были системы обнаружения на уровне сервера.

Вы также можете воспользоваться преимуществами различных плагинов безопасности, разработанных для WordPress, таких как Wordfence, Sucuri и т. д.

Реагирование и восстановление

Это последний этап, на котором нужно надеяться на лучшее, применяя быстрые и эффективные меры противодействия.

Однако, когда вы начинаете с мер по восстановлению, вы должны быть готовы к худшему исходу.

Правильное решение для восстановления требует отчуждения проблем и очистки всех вредоносных кодов.

Очистка — не окончательное решение.

Также должна быть проведена судебно-медицинская экспертиза, чтобы определить первопричину, которая в первую очередь привела к инциденту.

Судебно-медицинское исследование поможет вам разработать стратегию, которая предотвратит подобные проблемы в будущем.

Вам также необходимо разработать план резервного копирования, чтобы в случае подобных инцидентов в будущем у вас была полная резервная копия вашего веб-сайта на случай, если восстановление не удастся.

Большой вопрос и выход

Теперь, когда вы знаете, как все это работает, следующий большой вопрос, который беспокоит всех (включая меня) — как подойти ко всему аспекту безопасности, если вы не являетесь экспертом в этой области?

Правда! Не каждый может быть экспертом. Итак, есть решения, которые вам нужно найти.

Базовое решение, которое я использую, состоит из трех основных моментов:

• Усиление безопасности со своей стороны,
• Платите службе безопасности, чтобы она продолжала охранять ваши веб-сайты,
• Когда происходит инцидент, попросите службу безопасности провести очистку и криминалистическую экспертизу.

Вот где нам на помощь приходит Sucuri.

Одна из основных причин, по которой я полагаюсь на Sucuri, заключается в том, что он основан на облаке.

Wordfence или аналогичные варианты есть, но использование какой-либо локальной (серверной) системы — это не то, что я предпочитаю.

Если вы не знаете, такие локальные системы сканирования оказывают сильное давление на сервер, тем самым значительно снижая скорость веб-сайта.

Как я всегда говорю, предпочитаю быстрые сайты. Так что мои сайты тоже должны быть быстрыми. Именно здесь облачные сервисы играют важную роль.

Вам нужно очень четко понять одну вещь. Безопасность веб-сайта — это не та цель, которую вы в конечном итоге достигнете.

Это бесконечное путешествие.

Итак, ваша задача — сделать ваше путешествие плавнее с каждым шагом.

Выбранный вами путь определит, насколько плавным будет ваше путешествие.

Ладно, это из области философии! В этой анонсе я расскажу вам все о Sucuri.

Так что наберитесь терпения и оставайтесь до самого конца.

Это будет важно для будущего вашего сайта.

Обзор Sucuri в таблице

Итак, что предлагает людям сервис Sucuri?

Вот краткая таблица, которая даст вам краткий обзор:

Хорошо, теперь, когда у вас есть краткое представление о функциях, которые предлагает Sucuri, позвольте мне познакомить вас с плагином WordPress.

В процессе я дам вам знать, как это работает.

Звучит неплохо? Давайте начнем!

Как работает Sucuri?

Позвольте мне прояснить это вначале.

Sucuri — отличный сервис, но это не последнее слово в безопасности веб-сайтов.

Вы должны как можно больше усилить безопасность своего веб-сайта.

Sucuri — это надстройка — дополнительный уровень безопасности, который пытается обезопасить ваш сайт.

Помните, что усиление защиты сервера — это работа компании, предоставляющей веб-хостинг (если вы не ищете выделенные серверы).

Так что выбирайте с умом.

Теперь, возвращаясь к Sucuri, в службе есть три элемента. Вот они:

Sucuri Security: это плагин WordPress, предназначенный для усиления стандартных функций WordPress.

Это не даст вам доступа к WAF. Если вам нужен доступ к WAF, вам необходимо обновить его.

WAF (Sucuri Firewall): это услуга премиум-класса.

Однако вы можете легко интегрировать его с плагином Sucuri Security с помощью API.

Вы можете использовать Sucuri Security и Sucuri Firewall как отдельные функции.

Это означает, что вам не нужен плагин Sucuri Security для запуска Sucuri Firewall на вашем веб-сайте.

Sucuri Firewall предоставит вам WAF или брандмауэр веб-приложений, защиту от DDoS, IDS или систему обнаружения вторжений, балансировку нагрузки для обеспечения высокой доступности и различные другие функции.

Платформа Sucuri: включает полный набор облачных инструментов и функций безопасности.

Платформа Sucuri предоставит вам доступ к брандмауэру Sucuri и множеству других инструментов, включая обнаружение, мониторинг, реагирование на инциденты и т. д.

Если вы зарегистрируетесь на платформе Sucuri, они будут делать все, от удаления вредоносных программ до управления репутацией бренда (включая мониторинг черного списка).

Платформа Sucuri дорогая, а минимальная цена, которую вы должны платить, составляет 199 долларов в год.

Sucuri работает просто и эффективно. Вот три шага, которые объясняют, как работает Sucuri:

1. Шаг 1: На ваш сайт приходит трафик. Этот трафик включает в себя все: от спама, хакеров, атак методом перебора паролей, SQL-инъекций, DDoS-атак, плохих ботов и хорошего трафика.
2. Шаг 2: Sucuri Cloud профилирует весь трафик, проверяет сигнатуры и эвристику, а также механизм корреляции.
3. Шаг 3: Sucuri отфильтрует весь плохой трафик и отправит на ваш сайт только подлинный трафик.

Это самое простое объяснение, которое я могу вам дать.

Однако вам нужно знать, что Sucuri также будет отслеживать каждое изменение, происходящее на вашем веб-сайте, и вести его журнал.

Журналы находятся на облачных серверах Sucuri.

Вы всегда можете проверить эти журналы, чтобы узнать, что и когда изменилось.

Это скажет вам, что пошло не так (если вообще что-то пошло не так).

Эта информация поможет вам быстро решить проблему.

Что предлагает Sucuri для WordPress?

Для WordPress у Sucuri есть два основных предложения:

1. Бесплатный плагин Sucuri Security,
2. Облачный брандмауэр Sucuri.

Рассмотрим каждый из них отдельно.

Плагин Sucuri для WordPress

Плагин Sucuri — это бесплатное предложение от Sucuri.

Вы не можете получить WAF с этой опцией. Однако вы можете приобрести подписку WAF отдельно и легко ее интегрировать.

Базовая цена плана начинается с 9,99 долларов в месяц. Однако это не очень эффективно в том смысле, что не поддерживает SSL-сертификат.

Лучше выбрать версию Pro, которая будет стоить вам 19,98 долларов в месяц.

После установки плагина Sucuri вас встретит панель управления, которая предоставит вам некоторые интересные сведения о целостности WordPress, журналах аудита, iFrames, ссылках, скриптах и т. д.

Вот как это выглядит:

На панели управления вы можете увидеть вкладки для журналов аудита, фреймов, ссылок и скриптов.

Здесь вы увидите все экземпляры скриптов, ссылок, фреймов и т. д., запущенных на вашем веб-сайте.

Вкладка «Audit Logs» покажет вам все изменения, которые произошли за последнее время.

Она также покажет вам список неудачных попыток входа в систему и многое другое.

Вот быстрый взгляд:

Вы также можете увидеть, чист ли ваш сайт или нет, и находится ли он в черном списке или нет.

Вот более подробный скрин:

Для Sucuri нет ничего необычного в том, чтобы показывать ложные срабатывания на приборной панели.

Он сообщит вам, что существует набор файлов, которые были изменены и что они могут указывать на взлом или поврежденный файл.

Вот на что вы посмотрите:

Вы все равно должны проверить все из них, и если они действительно ложноположительные, вы можете игнорировать их или пометить их как исправленные.

Как только вы отметите их как исправленные, предупреждение исчезнет. Вот что вы увидите:

В следующий раз, когда Sucuri запустит сканирование, он запомнит настройки файлов и не выдаст для них ложных срабатываний.

Перейдя в сегмент «Settings», вы найдете несколько вкладок, которые позволят вам точно настроить Sucuri для вашего веб-сайта.

Вот как выглядит панель настроек:

Обратите внимание, что здесь нет ключа API.

Вам необходимо получить этот ключ API для получения веб-сервисов.

Вам не нужно платить за этот ключ API.

Все, что вам нужно сделать, это нажать кнопку «Создать ключ API» на вкладке, и вы получите ключ API прямо на свое электронное письмо.

Введите ключ с помощью кнопки активации вручную. Как только вы это сделаете, вы увидите следующее:

Ключ API не позволит хакерам удалить все журналы аудита (в случае, если они получат доступ к вашему сайту WordPress).

Это потому, что все журналы будут храниться на серверах Sucuri. Вы можете получить к ним доступ в любое время.

На этой вкладке «General Settings» вы также можете экспортировать журналы аудита в локальное хранилище (на жесткий диск вашего компьютера).

Существуют и другие параметры, такие как обратный прокси, обнаружение IP-адресов, переопределение часового пояса и параметры импорта и экспорта настроек Sucuri.

Если вы не знаете, что означает обратный прокси и как он работает, лучше оставить его включенным (это настройка по умолчанию).

Это более полезно, когда включен брандмауэр Sucuri.

Лучше ничего не менять на этой вкладке.

Sucuri определяет, что лучше всего подходит для вашего сайта, и по умолчанию предлагает необходимые настройки.

Перейдя на вкладку «Scanner», вы можете увидеть набор запланированных задач сканирования.

Вот как выглядит вкладка и запланированное сканирование:

Вы можете определить, как часто вы хотите запускать сканирование.

На вкладке «Scanner» вы также можете увидеть опцию утилиты WordPress «Integrity Diff Utility».

Вы должны включить ее.

Она позволяет сравнивать две версии файлов WordPress на случай, если в определенные файлы были внесены некоторые изменения.

Это также предоставит вам список ложных срабатываний, которые вы отметили как решенные.

На этой вкладке вы также можете установить файлы и папки, которые вы хотите исключить из сканирования Sucuri.

Теперь, перейдя на вкладку «Hardening», вы увидите набор параметров, которые можно включить или отключить. Вот как это выглядит:

Первый вариант останется красным, если вы не укажете ключ API брандмауэра. Вам необходимо приобрести эту опцию.

Остальные настройки включены в бесплатную опцию.

Я предлагаю вам применить усиление ко всем вариантам, которые вы видите.

Однако, когда вы применяете усиление ко всем функциям, могут быть случаи, когда ваш сайт ломается.

Это происходит потому, что усиление защиты предотвратит доступ к различным папкам и каталогам, которые используют различные плагины и темы.

Если ваш сайт сломается, вы можете создать исключения и внести в белый список некоторые файлы PHP, которые требуются плагинам и темам, чтобы сохранить функциональность вашего сайта в неизменном виде.

Вот как выглядит сегмент:

Я не могу сказать вам, какой из них добавить в белый список, а какой нет, потому что это будет зависеть от плагинов и тем, которые вы используете. Вы должны понять это сами.

Следующая вкладка — «Post-Hack». Это удобно.

Если ваш сайт был взломан, и вам удалось его восстановить, это вкладка, на которой вы можете обновить весь секретный ключ, изменить пароли пользователей, сбросить плагины, обновить темы и плагины и т. д.

Вот так выглядит вкладка после взлома:

Перейдя на следующую вкладку (Alerts), вы сможете указать, кто будет получать оповещения, с каким интервалом и частотой.

Вы также можете добавить доверенный IP-адрес и указать, как получать оповещения каждый час.

Выбирайте мудро.

Проблема здесь в том, что если вы увеличите частоту, ваш почтовый ящик будет заполнен сотнями писем Sucuri.

Это может быть действительно неприятно.

Так выглядит вкладка:

Здесь особо нечего объяснять. Не торопитесь, чтобы настроить параметры на этой вкладке.

Перейдем к следующей вкладке, у нас есть «API Service Communication». Так выглядит вкладка:

Эта вкладка предназначена в первую очередь для разработчиков.

Так что лучше не вносить здесь никаких изменений.

Эта вкладка позволяет разработчикам получить доступ к удаленной службе API Sucuri.

Последняя вкладка называется «Website Info».

Здесь вы получите всю техническую информацию о своем веб-сайте, включая такие вещи, как версия плагина Sucuri, операционная система сервера, тип сервера, версия PHP и т. д.

Здесь нам нечего делать.

Так выглядит вкладка:

Это все о плагине Sucuri Security.

Облачный брандмауэр Sucuri

Теперь, двигаясь вперед, для WordPress доступен сервис Sucuri Firewall.

Вы можете пойти дальше и приобрести план, если хотите его использовать.

Премиум-сервис отлично защищает ваш сайт от DDoS-атак и дает плохую защиту от ботов. Он также фильтрует весь нежелательный трафик.

Если вы выберете Sucuri Firewall, вам даже не понадобится плагин Sucuri WordPress (и это то, что я рекомендую — снизить нагрузку на сервер).

Все, что вам нужно, это указать свой DNS на серверы имен Sucuri! Это все!

Чтобы направить ваш веб-сайт на их серверы имен, вам необходимо указать в записи A вашего веб-сайта IP-адрес, предоставленный Sucuri.

Вы можете сделать это, изменив файлы зоны хоста домена на панели управления регистратора домена.

Панель управления отличается от регистратора к регистратору.

Помните, что распространение DNS может занять до 48 часов (иногда 72 часа). Так что наберитесь терпения.

После завершения распространения вы можете войти в свою панель управления Sucuri и установить правила безопасности на вкладке «Security».

Вот как это будет выглядеть:

Будьте осторожны при включении аварийной защиты от DDoS-атак.

Вы должны включать ее только в том случае, если считаете, что ваш сайт подвергся DDoS-атаке.

Защита Sucuri от HTTP-флуда не позволит любому человеку использовать браузер с отключенным Javascript для доступа к вашему веб-сайту (за исключением основных поисковых систем).

Как только вы увидите, что все нормализовалось, отключите эту функцию, потому что ее сохранение создаст дополнительный HTTP-запрос, который добавится к начальной загрузке документа, а это не очень хорошо, потому что это увеличит время загрузки вашей страницы.

Затем вы можете перейти на вкладку «Performance», чтобы включить кеширование.

Если у вас нет сайта электронной коммерции, я скажу, чтобы вы использовали рекомендуемый параметр кеширования.

Если вы защищаете сайт электронной коммерции с помощью Sucuri, используйте опцию кэширования сайта.

Также не забудьте включить сжатие.

Это гарантирует, что количество байтов, отправляемых через интернет, будет уменьшено, тем самым улучшив общую производительность вашего веб-сайта.

Вот где вы это делаете:

Еще одна замечательная функция — это опция геоблокировки, которую вы можете получить с премиальной подпиской.

Вы можете полностью заблокировать доступ людей из выбранной страны к вашему веб-сайту или разрешить им читать ваш веб-сайт в режиме только для чтения.

Люди из этих стран не могут комментировать, подписываться или выполнять другие подобные задачи.

Вы получаете эту функцию на вкладке «Access Control».

Вот как это выглядит:

На этой вкладке вы можете сделать больше. Я скажу, что вы используйте опции с умом, особенно когда вы пытаетесь что-то заблокировать.

Насколько легко использовать Sucuri?

Плагин WordPress Sucuri Security прост в использовании.

Он разработан как плагин «plug-and-play». Здесь всего несколько конфигураций и все, что вам нужно.

Если есть какие-то настройки, которые рекомендует Sucuri, все, что вам нужно сделать, это включить их одним щелчком мыши.

Вам не о чем больше беспокоиться. Настройте его один раз и забудьте. Вот как легко им пользоваться.

Когда дело доходит до Sucuri Firewall, история остаётся той же самой с общим интерфейсом.

Единственное, что вам нужно сделать, это указать домен на их серверы.

С этого момента Sucuri сам обо всем позаботится.

Да, вы можете настроить несколько параметров — однако большинство параметров по умолчанию достаточно хороши.

Вы можете еще больше повысить безопасность, активировав другие параметры.

Команда Sucuri берет на себя всю тяжелую работу по настройке серверной части, и вам вообще не нужно об этом беспокоиться!

Насколько хорошо работает плагин WordPress от Sucuri?

Если вы думаете, что Sucuri WordPress предоставит вам защиту от DDoS-атак или атак методом перебора, вы сильно ошибаетесь. Он не сделает этого за вас.

Однако это поможет вам укрепить базовую безопасность WordPress.

Он действительно хорош для улавливания мельчайших изменений, происходящих в ваших основных файлах WordPress.

Эти данные могут быть очень полезны при выяснении того, что происходит с вашим сайтом.

Итак, если вы ищете решение безопасности, которое защитит вас от хакеров и инъекций вредоносного кода, вам нужно выбрать брандмауэр Sucuri, но он платный.

Что хорошего в плагине Sucuri, так это то, что журналы остаются на сервере Sucuri.

Это означает, что если вы заблокированы хакером и не можете получить доступ к своему веб-сайту, вы можете проверить журналы с серверов Sucuri и узнать, что вы можете сделать, чтобы вернуть контроль над своим сайтом.

Когда дело доходит до удаления вредоносных программ и восстановления веб-сайтов, единственный способ получить это от Sucuri — это получить премиальную подписку Sucuri.

Что мне не понравилось в Sucuri?

Что мне не нравится в Sucuri, так это то, что плагин WordPress сообщит вам только то, что не так.

Он не скажет вам, что делать, чтобы исправить эти проблемы.

Для новичков это не всегда жизнеспособный вариант.

Кроме того, премиальные планы Sucuri довольно дороги, даже для лицензии на один сайт.

Это может помешать многим малым и новым предприятиям пользоваться их услугами.

Хотя использование только WAF обходится дешевле, использование только этого вместо полного набора оставляет желать лучшего.

В худшем случае, если ваш веб-сайт будет взломан, вам придется подписаться на полный пакет, чтобы вернуть полный контроль и чистый веб-сайт.

Многие люди утверждают, что высокие цены оправданы в долгосрочной перспективе, я считаю, что оправдание приходит только тогда, когда решены фактические задачи по удалению вредоносных программ и управлению репутацией бренда.

Для простого мониторинга и защиты более значимой была бы более низкая цена.

Sucuri могла бы взимать отдельную плату за эти вещи, сохраняя при этом все остальные услуги в более низком ценовом диапазоне.

Заключение: стоит ли использовать Sucuri? Я рекомендую это?

Да! Я рекомендую это, и вы должны это использовать. На данный момент вы можете начать с подписки на WAF.

Часто этого достаточно, чтобы ваш сайт оставался в безопасности.

В худшем случае, если ваш сайт будет взломан или заражен вредоносным ПО, вы можете перейти на более высокий тарифный план, чтобы вернуть свой сайт обратно.

В целом, Sucuri имеет современную систему безопасности, которая может помочь защитить ваш сайт — маленький или большой.

Если у вас есть правильный бюджет, Sucuri — то, что вам нужно.

Однако я никогда не скажу, что это единственный инструмент.

Фактически, вы можете получить более дешевую и столь же хорошую альтернативу, как «MalCare».

Также есть и другие альтернативы, которые вы всегда можете проверить.

И это все на сегодня в плане безопасности.

До скорых встреч и берегите себя!