Настройка плагина Sucuri для безопасности WordPress

Наша компания занимается разработкой, поддержкой и обслуживанием сайтов любой сложности. От простых одностраничных сайтов до масштабных кластерных систем построенных на микро сервисах. Опыт разработчиков подтвержден сертификатами от вендоров.
8+Лет на рынке900+Реализованных проектов100+Разработчиков в штате19+Партнеров
Разработка и обслуживание любых видов сайтов:
Информационные сайты или веб-приложения
Сайты визитки, landing page, корпоративные сайты, онлайн каталоги, квиз, промо-сайты, блоги, новостные ресурсы, информационные порталы, форумы, агрегаторы
Сайты или веб-приложения электронной коммерции
Интернет-магазины, B2B-порталы, маркетплейсы, онлайн-обменники, кэшбэк-сайты, биржи, дропшиппинг-платформы, парсеры товаров
Веб-приложения для управления бизнес-процессами
CRM-системы, ERP-системы, корпоративные порталы, системы управления производством, парсеры информации
Сайты или веб-приложения электронных услуг
Доски объявлений, онлайн-школы, онлайн-кинотеатры, конструкторы сайтов, порталы предоставления электронных услуг, видеохостинги, тематические порталы

Это лишь некоторые из технических типов сайтов, с которыми мы работаем, и каждый из них может иметь свои специфические особенности и функциональность, а также быть адаптированным под конкретные потребности и цели клиента

Предлагаемые услуги
Показано 1 из 1 услугВсе 2065 услуг
Настройка плагина Sucuri для безопасности WordPress
Простая
~1 рабочий день
Часто задаваемые вопросы
Наши компетенции:
Этапы разработки
Последние работы
  • image_website-b2b-advance_0.png
    Разработка сайта компании B2B ADVANCE
    1214
  • image_web-applications_feedme_466_0.webp
    Разработка веб-приложения для компании FEEDME
    1161
  • image_websites_belfingroup_462_0.webp
    Разработка веб-сайта для компании БЕЛФИНГРУПП
    852
  • image_ecommerce_furnoro_435_0.webp
    Разработка интернет магазина для компании FURNORO
    1041
  • image_crm_enviok_479_0.webp
    Разработка веб-приложения для компании Enviok
    823
  • image_bitrix-bitrix-24-1c_fixper_448_0.png
    Разработка веб-сайта для компании ФИКСПЕР
    815
Показать больше работ

Настройка плагина Sucuri для безопасности WordPress

Sucuri предлагает два продукта: бесплатный плагин Sucuri Security (аудит, сканирование, hardening) и платный Sucuri Firewall / CDN ($9.99/месяц) — WAF на уровне DNS. Плагин без Sucuri Firewall — инструмент мониторинга, не защиты в реальном времени.

Бесплатный плагин: что умеет

Security Activity Auditing — логирует все административные действия: входы, изменения плагинов, обновления. Хранит лог в таблице БД и опционально отправляет в Sucuri API (защита от удаления при компрометации).

File Integrity Monitoring — сравнивает файлы ядра с официальными хэшами. Обнаруживает изменённые и добавленные файлы.

Remote Malware Scanning — внешнее сканирование через SiteCheck API: проверяет главную страницу на наличие вредоносного кода, blacklist-статус у Google, Bing, Norton.

Security Hardening — набор одноклик-мер безопасности.

Security Hardening

Sucuri → Settings → Hardening. Применить:

  • ✓ Verify WordPress Version (напомнит обновиться)
  • ✓ Remove WordPress Version (убирает версию из head и RSS)
  • ✓ Block PHP files in the uploads directory
  • ✓ Block PHP files in the wp-content directory
  • ✓ Block PHP files in the wp-includes directory
  • ✓ Information Leakage (убирает readme.html, license.txt)

Блокировка PHP в uploads — создаёт .htaccess:

<Files "*.php">
Order Allow,Deny
Deny from all
</Files>

На Nginx аналог нужно добавить вручную:

location ~* /(?:uploads|files)/.*\.php$ {
    deny all;
}

Настройка уведомлений

Sucuri → Settings → Alerts:

  • Email для алертов: не используйте [email protected] — при компрометации почты домена вы потеряете уведомления. Используйте внешнюю почту.
  • Alert on new user registration: ✓
  • Alert on WordPress admin login: ✓ (только для небольших сайтов)
  • Alert on failed login attempt: нет (слишком много писем)
  • Alert on plugin activated/deactivated: ✓

Post-hack Actions

При обнаружении взлома: Sucuri → Post-Hack. Раздел содержит:

  1. Update Secret Keys — сгенерировать новые ключи в wp-config.php, сбросить все сессии
  2. Reset User Password — сбросить пароли всех пользователей
  3. Reset Installed Plugins — переустановить все плагины (только из репозитория WP)
  4. Available Free WordPress Transfers — аварийный перенос сайта

Sucuri WAF (платный)

Платный WAF работает иначе: DNS вашего домена указывает на серверы Sucuri, весь трафик идёт через них. Sucuri фильтрует вредоносный трафик до достижения вашего сервера. Плагин в этом случае служит для настройки и мониторинга.

Для подключения: Sucuri → Firewall WAF → Add Site. Меняем NS/A-запись домена. Sucuri проксирует трафик на origin-сервер по IP (не по домену — whitelist только IP Sucuri).

Сравнение с Wordfence

Sucuri WAF (платный) — защита на уровне сети, снимает нагрузку с сервера. Wordfence WAF — защита на уровне PHP, сервер всё равно получает запросы. Для высоконагруженных сайтов Sucuri WAF эффективнее. Для бюджетных — Wordfence бесплатный достаточен.

Сроки

Установка и настройка бесплатного плагина Sucuri с hardening — 1–2 часа. Подключение Sucuri WAF с изменением DNS — 2–3 часа (плюс до 24 часов на распространение DNS).