Налаштування плагіна Sucuri для безпеки WordPress

Наша компанія займається розробкою, підтримкою та обслуговуванням сайтів будь-якої складності. Від простих односторінкових сайтів до масштабних кластерних систем, побудованих на мікро сервісах. Досвід розробників підтверджено сертифікатами від вендорів.
8+Років на ринку900+Реалізованих проектів100+Розробників у штаті19+Партнерів

Розробка та обслуговування будь-яких видів сайтів:

Інформаційні сайти або веб-програми
Сайти візитки, landing page, корпоративні сайти, онлайн каталоги, квіз, промо-сайти, блоги, ресурси новин, інформаційні портали, форуми, агрегатори
Сайти або веб-програми електронної комерції
Інтернет-магазини, B2B-портали, маркетплейси, онлайн-обмінники, кешбек-сайти, біржі, дропшиппінг-платформи, парсери товарів
Веб-програми для управління бізнес-процесами
CRM-системи, ERP-системи, корпоративні портали, системи управління виробництвом, парсери інформації
Сайти або веб-програми електронних послуг
Дошки оголошень, онлайн-школи, онлайн-кінотеатри, конструктори сайтів, портали надання електронних послуг, відеохостинги, тематичні портали

Це лише деякі з технічних типів сайтів, з якими ми працюємо, і кожен із них може мати свої специфічні особливості та функціональність, а також бути адаптованим під конкретні потреби та цілі клієнта.

Пропоновані послуги
Показано 1 з 1 послугУсі 2065 послуг
Налаштування плагіна Sucuri для безпеки WordPress
Проста
~1 робочий день
Часті питання

Наші компетенції:

Етапи розробки

Останні роботи

  • image_website-b2b-advance_0.png
    Розробка сайту компанії B2B ADVANCE
    1262
  • image_web-applications_feedme_466_0.webp
    Розробка веб-додатків для компанії FEEDME
    1171
  • image_websites_belfingroup_462_0.webp
    Розробка веб-сайту для компанії БЕЛФІНГРУП
    874
  • image_ecommerce_furnoro_435_0.webp
    Розробка інтернет магазину для компанії FURNORO
    1094
  • image_crm_enviok_479_0.webp
    Розробка веб-додатків для компанії Enviok
    831
  • image_bitrix-bitrix-24-1c_fixper_448_0.png
    Розробка веб-сайту для компанії ФІКСПЕР
    851
Показати більше робіт

Налаштування плагіна Sucuri для безпеки WordPress

Sucuri пропонує два продукти: безплатний плагін Sucuri Security (аудит, сканування, посилення безпеки) та платний Sucuri Firewall / CDN ($9.99/місяць) — WAF на рівні DNS. Плагін без Sucuri Firewall — інструмент моніторингу, а не захисту в реальному часі.

Безплатний плагін: можливості

Security Activity Auditing — логує всі адміністративні дії: входи, зміни плагінів, оновлення. Зберігає логи в таблиці БД та опційно надсилає до Sucuri API (захист від видалення при компрометації).

File Integrity Monitoring — порівнює файли ядра з офіційними хешами. Виявляє змінені та додані файли.

Remote Malware Scanning — зовнішнє сканування через SiteCheck API: перевіряє домашню сторінку на наявність шкідливого коду, статус у чорних списках Google, Bing, Norton.

Security Hardening — набір однокліксних заходів безпеки.

Security Hardening

Sucuri → Settings → Hardening. Застосувати:

  • ✓ Verify WordPress Version (нагадує оновитися)
  • ✓ Remove WordPress Version (видаляє версію з head та RSS)
  • ✓ Block PHP files in the uploads directory
  • ✓ Block PHP files in the wp-content directory
  • ✓ Block PHP files in the wp-includes directory
  • ✓ Information Leakage (видаляє readme.html, license.txt)

Блокування PHP в uploads створює .htaccess:

<Files "*.php">
Order Allow,Deny
Deny from all
</Files>

На Nginx аналог потрібно додати вручну:

location ~* /(?:uploads|files)/.*\.php$ {
    deny all;
}

Налаштування сповіщень

Sucuri → Settings → Alerts:

  • Email для алертів: не використовуйте [email protected] — при компрометації пошти домену ви втратите сповіщення. Використовуйте зовнішню пошту.
  • Alert on new user registration: ✓
  • Alert on WordPress admin login: ✓ (тільки для малих сайтів)
  • Alert on failed login attempt: ні (забагато листів)
  • Alert on plugin activated/deactivated: ✓

Post-Hack Actions

При виявленні взлому: Sucuri → Post-Hack. Розділ містить:

  1. Update Secret Keys — згенерувати нові ключі в wp-config.php, скинути всі сесії
  2. Reset User Password — скинути паролі всіх користувачів
  3. Reset Installed Plugins — перевстановити всі плагіни (тільки з репозиторію WP)
  4. Available Free WordPress Transfers — аварійне перенесення сайту

Sucuri WAF (платний)

Платний WAF працює по-іншому: DNS вашого домену вказує на сервери Sucuri, весь трафік йде через них. Sucuri фільтрує шкідливий трафік до досягнення вашого сервера. Плагін у цьому випадку служить для налаштування та моніторингу.

Для підключення: Sucuri → Firewall WAF → Add Site. Змінюємо NS/A-запис домену. Sucuri проксирує трафік на origin-сервер за IP (не за доменом — whitelist тільки IP Sucuri).

Порівняння з Wordfence

Sucuri WAF (платний) — захист на рівні мережі, знімає навантаження з сервера. Wordfence WAF — захист на рівні PHP, сервер усе одно отримує запити. Для високо навантажених сайтів Sucuri WAF ефективніше. Для бюджетних — безплатний Wordfence достатній.

Терміни

Встановлення та налаштування безплатного плагіна Sucuri з посиленням безпеки — 1–2 години. Підключення Sucuri WAF зі змінами DNS — 2–3 години (плюс до 24 годин на розповсюдження DNS).