Защита WordPress

Почему WordPress нуждается в защите?

WordPress — самая популярная CMS (43% всех сайтов). Это делает его главной целью для атак.

Типичные угрозы для WordPress:

TrafficVeil защищает WordPress от:

Совместимость:

Проблема:

wp-login.php — главная цель брутфорс атак. Боты пытаются подобрать пароль.

Решение TrafficVeil:

1. Rate Limiting для /wp-login.php:

Ограничение попыток входа:

Настройка:

1. Безопасность → Rate Limiting

2. Добавить правило для /wp-login.php

3. Лимит: 5 req/min

4. Действие: Block

2. JavaScript Challenge:

Перед показом формы входа — проверка браузера:

3. CAPTCHA для подозрительных:

Если Bot Score < 50, показываем CAPTCHA.

4. Двухфакторная аутентификация:

Рекомендуем дополнительно использовать 2FA плагин для WordPress.

Что такое xmlrpc.php?

XML-RPC — протокол для удалённого управления WordPress. Используется:

Угрозы xmlrpc.php:

Решения:

Вариант 1: Полная блокировка (рекомендуется)

Если не используете мобильное приложение WordPress:

1. Безопасность → WAF → Правила

2. Добавить правило: Block /xmlrpc.php

Вариант 2: Частичная защита

Если нужен xmlrpc.php:

1. Блокировать pingback методы

2. Rate Limit: 10 req/min

3. Whitelist IP вашего приложения

Вариант 3: Через TrafficVeil Page Rules

```

URL: /xmlrpc.php

Действие: Block

Исключение: Ваши IP

```

Проверка:

После блокировки xmlrpc.php:

```bash

curl -X POST https://yoursite.com/xmlrpc.php

# Должен вернуть 403

```

Защита админ-панели:

1. Ограничение по IP:

Разрешить доступ к /wp-admin/ только с ваших IP:

1. Page Rules → Добавить

2. URL: /wp-admin/*

3. Действие: Require IP Whitelist

4. Добавьте ваши IP

2. Ограничение по стране:

1. GeoIP → Настроить для /wp-admin/

2. Whitelist: Россия (или ваша страна)

3. JavaScript Challenge:

Для всех запросов к /wp-admin/:

1. Page Rules → /wp-admin/*

2. Security Level: High

3. Browser Check: On

4. Rate Limiting:

Ограничение запросов к админке:

5. Исключения для AJAX:

/wp-admin/admin-ajax.php используется фронтендом:

Рекомендуемый .htaccess (дополнительно):

```apache

<Files wp-login.php>

Order Deny,Allow

Deny from all

Allow from YOUR_IP

</Files>

```

Файлы, которые нужно защитить:

wp-config.php:

Содержит пароли к базе данных. TrafficVeil автоматически блокирует доступ.

Папка /wp-includes/:

Системные файлы WordPress. Прямой доступ не нужен.

Папка /wp-content/uploads/:

Разрешить только изображения и документы. Блокировать .php файлы.

Файлы readme.html, license.txt:

Раскрывают версию WordPress. Рекомендуется блокировать.

Файл debug.log:

Содержит ошибки и пути. Обязательно блокировать!

Настройка в TrafficVeil:

WAF правила (автоматически):

Page Rules (дополнительно):

```

URL: /wp-content/debug.log

Действие: Block

URL: /readme.html

Действие: Block

URL: /.git/*

Действие: Block

```

Проверка безопасности:

TrafficVeil автоматически сканирует и блокирует попытки доступа к чувствительным файлам.

Особенности защиты интернет-магазина:

Страница оплаты (/checkout/):

API WooCommerce (/wp-json/wc/):

Корзина (/cart/):

Страницы товаров:

Настройка:

1. Page Rules для /checkout/*:

- Cache: Bypass

- Security: High

- Bot Protection: Aggressive

2. Rate Limit для /wp-json/wc/*:

- 60 req/min

- Исключение для ваших интеграций

Исключения для платёжных систем:

Добавьте в Whitelist IP:

Кэширование для WordPress:

Статические файлы:

Динамические страницы:

Исключения из кэша:

Совместимость с плагинами кэширования:

TrafficVeil совместим с:

Рекомендация:

Используйте плагин кэширования для HTML и TrafficVeil для статики и защиты.

Очистка кэша:

При обновлении контента очищайте кэш:

1. В плагине кэширования WordPress

2. В TrafficVeil (если кэшируете HTML)

Чек-лист защиты WordPress:

В TrafficVeil:

В WordPress:

На сервере:

Дополнительно: