Wordfence konfiguracja i zabezpieczanie WordPress

10-12-2023

WordFrence jest jednym z najpopularniejszych pluginów do zabezpieczania WordPress. W poniższym tekście pokażę jak wygląda konfiguracja WordFence z mojej perspektywy.

Instalacja

Zanim zaczniemy jakiekolwiek prace, należy założyć darmowe konto. Na podany adres email dostaniesz klucz, który będzie niezbędny do aktywacji tego pluginu.

Skanowanie strony

Jedną z podstawowych funkcjonalności WordFence jest skanowanie strony pod kątem ewentualnych wirusów. Plugin potrafi też wskazać nieaktualne wersje wtyczek, motywów, a także pokazać, czy zainstalowane wersje posiadają znane luki bezpieczeństwa. Co ważne – WordFence potrafi naprawić zainfekowany plik, albo usunąć go.

Nawet standardowe ustawienia skanowania działają całkiem dobre, ale warto zobaczyć, czy domyślna konfiguracja WordFence na pewno jest optymalna w naszym przypadku.

Wybieramy kolejno WordFence > Skanuj > Zarządzaj Skanowaniem. U góry widzisz domyślne presety. Standardowo plugin używa presetu Skanowanie standardowe.

Zastanówmy się jednak, czy możemy coś poprawić. Zobaczmy jakie opcje są domyślnie odznaczone

Skanuj pliki motywów pod kątem wersji repozytorium pod kątem zmian – Wordfence sprawdza, czy nasz obecny motyw jest zgodny z motywem w repozytorium, tzn. czy nie był w jakiś sposób modyfikowany. Ta opcja będzie będzie odpowiednia, jeśli korzystasz ze standardowych motywów, ale nie zda się na nic, jeśli korzystasz z motywów komercyjnych, albo customowych. Wykryje też wszystkie zmiany, które wprowadzisz w głównym motywie – pomijając już fakt, że zmiany powinno się wprowadzać w motywach potomnych. Można zaznaczyć tę opcję, jeśli korzystasz ze standardowych motywów, ale nie jest to aż takie konieczne. Warto jednak podkreślić, że w przypadku zainfekowania plików motywu, Wordfence radzi sobie całkiem nieźle, nawet bez zaznaczenia tej opcji. Opiera się wtedy jednak na analizie znanych sobie zagrożeń, a nie na porównywaniu plików motywu z tymi, które są dostępne w reporyzytorium.

Skanuj pliki wtyczek w poszukiwaniu zmian w wersjach repozytorium j.w. tylko w odniesieniu do pluginów.

Skanuj pliki poza instalacją WordPress – jak sama nazwa wskazuje, skanuje pliki także spoza WordPressa. Możesz z tego skorzystać, jeśli na jednej domenie masz kilka aplikacji, albo jeśli wirus wbije się tak mocno w WordPressa, że w zasadzie nie możesz nawet wejść do panelu admina, ani zrobić cokolwiek innego. Wtedy możesz spróbować przeskanować swoją stronę z poziomu innego WordPressa.

Skanuj obrazy, pliki binarne i inne pliki tak, jakby były plikami wykonywalnymi  teoretycznie może się zdarzyć, że malware udaje, np. jakąś grafikę. Są to jednak bardzo rzadkie przypadki, więc tej opcji z reguły nie zaznaczam.

Poniżej mamy oczywiście jeszcze dodatkowe opcje konfiguracji skanera Wordfence, które dotyczą, np. wydajności, ale na ten moment nie są one dla nas zbyt istotne.

Teraz możemy przystąpić do skanowania naszej strony

Przechodzimy jeszcze raz do zakładki Skanuj i klikamy na Rozpocznij nowe skanowanie.

Jak widać, nasza testowa witryna co prawda nie ma żadnego wirusa, ale ma problem z nieaktualizowanymi wtyczkami + jedna z wtyczek prawdopodobnie została porzucona. W przypadku infekcji, Wordfence wskazuje konkretne pliki, które są niebezpieczne i proponuje usunięcie ich, albo naprawienie. Czasami jednak zdarza się, że wirus dopisze się, chociażby do pliku wp-config. Wtedy wskazuje plik, ale usunąć wirusa musimy już ręcznie. Poniższy screen pokazuje jak wygląda zawirusowana strona

Planowanie skanowania strony

Domyślne ustawienia WordFence uprawniają wtyczkę do automatycznego wybierania odpowiedniego czasu na automatyczne skanowanie strony. Teoretycznie te ustawienia są w porządku dla małych stron, ale jeśli chcesz mieć kontrolę nad tym kiedy strona jest skanowana, możesz wyłączyć automatyczne skanowanie. W tym celu należy wejść w Wszystkie opcje > Opcje skanowania, i możemy wyłączyć dostępną tam opcję.

Można także ustawić harmonogram skanowania, ale tylko w wersji płatnej.

Zabezpieczanie logowania

Uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuskładnikowe, tzn. 2FA jest często wykorzystywane jako dodatkowe zabezpieczanie przy logowaniu. Wordfence oczywiście daje możliwość dodania 2FA do naszej strony. Musimy na swoim telefonie zainstalować aplikację uwierzytelniającą, np. Google Authenticator. Następnie wchodzimy w Zabezpieczanie logowania i skanujemy wyświetlony kod QR w naszej aplikacji. Kod, który nam się pojawi należy wprowadzić w Wordfence.

Po kliknięciu na włącz, mamy ustawione uwierzytelnianie dwuskładnikowe. Od tej pory przy próbie zalogowania zobaczymy takie okno i będziemy musieli podać kod z naszej aplikacji.

W zakładce Ustawienia możemy skonfigurować dodatkowe opcje, dotyczące 2FA, np. kto musi korzystać z uwierzytelniania dwuskładnikowego. My sobie to jednak pominiemy.

Jeśli nie korzystamy z XML-RPC, warto tę opcję całkowicie wyłączyć, zaznaczając poniższą opcję:

Oczywiście do wyłączenia tej opcji nie jest nam potrzebny Wordfence. Całą procedurę opisałem w poradniku o zabezpieczaniu WordPress, jednak jeśli korzystamy już w tej wtyczki, to możemy to zrobić także tutaj.

Używanie reCAPTCHA

Możesz też użyć reCAPTCHA do zabezpieczenia logowania. W tym celu musisz skonfigurować reCAPTCHA dla swojej domeny, a klucz prywatny i publiczny możesz wprowadzić w poniższe pola, które znajdziesz w zakładce Ustawienia.

Przeglądanie ruchu

Wchodząc w zakładkę Narzędzia, możemy zobaczyć użytkowników przeglądających naszą stronę:

Wordfence pokazuje Armenię, ponieważ korzystam z VPN’a. Klikając na użytkownika możemy podejrzeć sporo informacji na jego temat, albo np. zablokować dany adres IP.

Wyłączanie niepotrzebnych funkcji WordPress

Wchodząc w Wszystkie opcje, możemy ustawić wiele zaawansowanych opcji. My zajmiemy się tymi najbardziej podstawowymi. Proponuję wyłączyć widoczność wersji WordPress, oraz wykonywanie plików PHP, w katalogu Uploads (o tym jak to zrobić bez użycia wtyczki także mówiłem w poprzednim wpisie).

Konfigurowanie Firewalla

Domyślna konfiguracja Wordfence zapewnia już przyzwoity poziom ochrony. Niedawno przeprowadzałem test na domyślnej konfiguracji pluginu, i WPScan w ogóle nie widział, że strona stoi na WP. Zawsze jednak poziom bezpieczeństwa możemy nieco poprawić.

Optymalizacja Firewalla

Na pewno warto zoptymalizować działanie zapory. Jest to bardzo proste. Wystarczy wejść w zakładkę Zapora i kliknąć na Zoptymalizuj zaporę Wordfence. W nowym oknie zostawiamy ustawienia domyślne, pobieramy wskazane pliki na dysk i klikamy kontynuuj.

Po lewej stronie możemy wybrać tryb naszej zapory. Domyślnie włączony jest tryb uczenia się. Producent zaleca, żeby ten tryb był włączony przez tydzień, a później możemy zmienić tryb na normalną ochronę. Ogólnie uważam, że takie podejście jest jak najbardziej w porządku, o ile faktycznie masz jakiś ruch na stronie i Wordfence ma się z czego uczyć. Jeżeli ruch jest bardzo mały, to wydłużyłbym okres nauki.

Ochrona przed brute force

Metoda brute force, zwana też metodą siłową polega na próbie złamania hasła poprzez wpisywanie po kolei różnych kombinacji znaków. Domyślna konfiguracja zapewnia już pewne zabezpieczenia.

W zakładce Zapora > Ochrona Brute Force możemy wyznaczyć reguły po ilu nieudanych próbach logowania blokować dostęp do konta, i na jak długo. Przykładowa konfiguracja mogłaby wyglądać następująco:

Warto zapoznać się jednak też z innymi regułami. Domyślna konfiguracja jest całkiem niezła, ale zawsze można coś jeszcze skonfigurować pod siebie.

Podsumowanie

Wordfence nie bez powodu jest jedną z najpopularniejszych wtyczek, do ochrony naszego WordPressa. Koncentruje się głównie na ochronie strony przed malwerami, ale zapewnia też sporo funkcji do prewencji, albo zabezpieczania logowania. Do tego oferuje całkiem sporo już w domyślnej konfiguracji. Nie uważam, ze jest niezbędny na każdej stronie WWW, ale jeśli jesteś osobą początkującą i nie potrafisz manualnie odpowiednio zabezpieczyć swojego WordPressa, albo z jakiegoś powodu Twoja strona jest szczególnie narażona na ataki, to taka wtyczka może być bardzo użyteczna.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Archiwum

Ostatnie wpisy

Potrzebujesz strony? Dobrze trafiłeś!

  • W pierwszym kroku staram się rozpoznać potrzeby klienta i jego cele biznesowe - budowanie społeczności, rozpoznawalności marki, a może zwiększenie konwersji?
  • Przygotowanie projektu graficznego strony WWW. Strony powinny nie tylko być eleganckie i odzwierciedlać charakter Twojej działalności, ale przede wszystkim powinny spełniać założenia biznesowe.
  • Po akceptacji projektu graficznego mogę przystąpić do stworzenia strony. Tworzę je głównie w WordPressie, ale możliwe jest tworzenie dedykowanych rozwiązań.
  • Zoptymalizuję Twoją stronę pod kątem SEO.
  • Podłączę narzędzia do śledzenia konwersji i zainstaluję niezbędne wtyczki. Piszę także autorskie rozwiązania na potrzeby moich klientów.

Napisz do mnie

Aby wypełnić ten formularz, włącz obsługę JavaScript w przeglądarce.