Насколько эффективны плагины безопасности для Wordpress?

Question

[Георгий]

Для каждого сайта, сначала устанавливаю плагин безопасности и включаю все рекомендованные настройки.

Это действительно необходимо? Неужели сам Wordpress (всегда обновляемый) будет настолько уязвим?

И второй вопрос сразу: В одном из проектов по причинам несовместимости шаблона с новыми версиями Wordpress, приходится использовать 3.8.13. Это последняя версия из ветки 3.8.x, в этом случае насколько актуально использование подобных плагинов?

Answer 1

[kstyle]

не повредит - скрытие версии wordpress, защита от брутфорса админки (бан по ip, секретный ключ, количество попыток), скрытие админки, отслеживание изменений в файлах, проверка всех файлов (включая тему) на скрытый php-код. и это минимум, которого нет в базовом wp.

Answer 2

[Yakov Vylegzhanin]

Эти плагины, по-моему, бесполезны.
Большинство из них просто меняет путь входа в админку на кастомный, защищая от брут-форса.

А большинство WP сайтов взламываются по схеме:
1) получения данных от БД;
2) поиск phpMyAdmin / соединение с БД через любой mysql-менеджер;
3) добавление нового админа sql-запросом;
4) попытка авторизоваться через /wp-login.php;
5) если 404 или 403, то отключение всех плагинов безопасности в поле active_plugins в таблице wp_options;
6) удачная попытка авторизации через /wp-login.php;

Эффективнее этих плагинов будет запрет всех ip (точных или диапазонов) в htaccess ко всему ненужному обычному юзеру (/wp-admin, /wp-login.php и т.д.).

Comments

[Георгий]

Получается, нужно закрыть доступ к wp-config.php, другим способом разве можно получить данные о БД? Насчёт запрета всех ip в .htaccess мысль хорошая, спасибо.

Order deny,allow
Deny from All
Allow from хх.хх.хх.хх

[Георгий]

Может быть Вы знаете, Wordpress 3.8.13 это безопасный релиз? Насколько я понимаю, 3.9 не содержит заплатки, а лишь несёт новшества в функционале. Или это не так?

[Георгий]

Судя по описанию версии 3.9 https://codex.wordpress.org/Version_3.9 там нет ничего касаемо улучшения безопасности. Если конечно не считать возможные уязвимости в старых версиях внешних библиотек.

[Yakov Vylegzhanin]

georgypoplavsky: в 3.8.1 уязвимостей не мало - https://www.cvedetails.com/vulnerability-list/vend...

Часть пофиксили в 3.8.х, часть в более старших версиях 4.0-4.1

[Георгий]

Остаётся вопрос, защитит ли плагин от них?

Answer 3

[Mr Crabbz]

Посмотрите в сторону: https://wordpress.org/plugins/all-in-one-wp-securi... - умеет лочить важные файлы (.htaccess, wp-config и пр.) Плюс всякие "фаервольные" штуки типа защиты от брутфорса и ботов. При этом, по личным наблюдениям, он гораздо менее прожорлив в отличии от всяких Wordfence и т.д.

Ставить - обязательно. Ибо внутренняя защита вордпресса - дело одно. Но вы же не можете на 10)% расчитывать на сознательность админов сервера клиента. У меня тут в 50% случаев приходилось перенастраивать chmod на директории ибо везде всё свободно было. Да и ПО очень часто дырявое и старое стоит у людей. А винить то потом будут кого во взломе сайта? Конечно же вас!

Ну и конечно же нужен регулярный автоматический бекап. Я сейчас настраиваю на хостинге обычно регулярный бекап файлов (если есть такая функция) средствами самого хостинга плюс ставлю плагин UpdraftPlus - он умеет каждые несколько часов бекапить базу данных и файлы в Дропбокс или Гугл-драйв клиента.

Comments

[Георгий]

Спасибо, посмотрю