Закрываем доступ на сайт вордпресс пользователям из России : Повышаем безопасность сайта с Wordfence Security

Позорное военно вторжение войск России в Украину принесло не только смерти и разрушения. Война идет не только на фронте, но и в интернете. Активировалось большое количество парсеров, которые копируют контент с информационных рессурсов, также активировалось огромное количество российских ботов совершают постоянные попытки взлома интернет сайтов и автоматическим спам постингом в комментариях.

В этой статье я расскажу очень простой способ настройки безопасности для сайтов на CMS WordPress, а так же как закрыть доступ для всех пользователей из РФ, включая ботов.

Для достижения нашей цели достаточно установить один бесплатный плагин -Wordfence Security, который даже с дефолтными настройками после установки уже неплохо справляется с безопасностью вашего ресурса, но все же очень желательно немного настройки докрутить для большей уверенности.

1. Установка и активация плагина Wordfence

Плагин доступен в репозитории WordPress, копируете название, жмете добавить новый плагин и вставляете название в поисковую строку. Устанавливаем "Wordfence Security — антивирус, файрвол и сканер вредоносных программ" и активируем его.

screenshot 2022 03 19 at 07 40 13 dobavit plaginy ‹ ddr5.com .ua — wordpress

Важно, если у вас был установлен другой плагин безопасности, то для корректной работы после настройки его нужно будет деактивировать или удалить, чтобы плагины не конфликтовали.

При первом заходе в настройки файервола плагина очень важно отключить тестовый режим и активировать защиту "Enable and Protection".

screenshot 2022 03 19 at 07 44 15 all options ‹ all options ‹ ddr5.com .ua — wordpress

На вкладке Brute Force Protection уменьшаем количество допустимых неправильных вводов логина и пароля. Если указанное количество раз будет превышено, то IP будет блокироваться. Данная функция будет защищать ваш сайт от взлома ресурса с помощью перебора логинов и паролей.

screenshot 2022 03 19 at 07 48 40 all options ‹ all options ‹ ddr5.com .ua — wordpress
Активируйте функцию Immediately lock out invalid usernames - данная функция позволяет немедленно блокировать IP, с которого пытаются войти с определенным логином. Например, любимы логины новичков: Admin, Administrator и подобные. В свою очередь вы можете добавить и свои собственные логины, которые будут немедленно блокироваться, при попытке входа на сайт.

Блокируемые логины нужно вводить в поле "Immediately block the IP of users who try to sign in as these usernames" нажимая Enter после каждого ввода. Количество немедленно блокируемых логинов не ограничено.

screenshot 2022 03 19 at 07 51 57 all options ‹ all options ‹ ddr5.com .ua — wordpress

Идем далее. Проверяем, чтоб во вкладке Additional Options все функции были включены.

screenshot 2022 03 19 at 08 01 36 all options ‹ all options ‹ ddr5.com .ua — wordpress

На вкладке Rate Limiting можно выставить минимальное значение обращений, чтобы отсеивать и замедлять ботов, которые засыпают ваш сайт многочисленными запросами, замедляя ресурс и создавая дополнительную нагрузку на сервер. Замечу, это не обязательное, даже значения по умолчанию неплохо работают, но если вы замечаете повышенную нагрузку на сервер, то не поленитесь изменить допустимое количество запросов к серверу на те, которые в скриншоте. Не блокируйте ботов, выбирайте замедление.

screenshot 2022 03 19 at 08 03 55 all options ‹ all options ‹ ddr5.com .ua — wordpress

По сути этих настроек будет вполне достаточно для защиты вашего сайта. Даже с такими настройками на сайт к вам никто не пролезет и ничего левого не загрузит, ну разве что он из банды "anonymous". Но что я хотел бы добавить.

Обязательно уточните требуемые атрибуты для папок на вашем хостинге. Например, на некоторых хостингах, в целях безопасности, требуют устанавливать права на папки "700". Обязательно уточните этот вопрос у поддержки хостинга и если у какой-то папки права не совпадают, то измените на требуемые.

Установите на все файлы и изображения сайта права "644".  На .htaccess и  wp-config.php можете поставить "444", но будьте внимательны иногда для настроки и установки дополнительных плагинов может понадобиться вернуть значения на "644", так как атрибуты доступа "444" не позволяют некоторым новым плагинам делать требуемые для работы записи в этих файлах.

Плагин Wordfence по умолчанию будет блокировать SQL инъекции,  просмотр каталогов, а так же доступ ко всем важным файлам сайта и без смены прав доступа к файлам и папкам. Но очень рекомендую не пренебрегать этим и поставить требуемые разработчиками атрибуты!

Блокировка пользователей из недружественных стран

Блокировку стран я приведу на примере РФ. Так как Россия отличилась не только военным маразмом, но огромным количеством парсеров и спам ботов. С ее территории накручиваются "Прямые заходы" на сайт для понижения позиций, заходят программы парсеры, которые скачивают и копируют ваш контент, оставляют неадекватные комментарии, парсеры контента для проверок нарушения закона, неадекватной конкуренции и многое-многое другое. Если ваша основная масса посетителей находится вне РФ, то не стоит и раздумывать, вычисляя и блокируя по IP или сетям - блокируйте Россию целиком, это сэкономит и нервы и время.

Заходим в пункт меню Wordfence Blocking . Переходим на вкладку Country и в поле ввода начинаем вводить Russia

snimok ekrana 29 e1647668381721

Выбираем из списка Russian Federation и жмем Enter.

screenshot 2022 03 19 at 08 40 09 blocking ‹ firewall ‹ ddr5.com .ua — wordpress

Жмем "Block the selected countries" - Все. После этого создается правило, которое будет блокировать абсолютно все заходы их Российской федерации, за исключением основных поисковых ботов. Все остальные посетители будут видеть окно о том, что сайт не доступен в их стане.

Для тех же кто желает повозиться и блокировать точечно IP и сети, то рекомендую ознакомиться со статьями:

Прямые заходы на сайт

Как защитить свой сайт от накрутки и скликивания рекламы

Вас могут заинтересовать: