Недостатки онлайн сканеров для wordpress сайта

wf

На главной страницы wordfence.com создатели плагина пишут, что Wordfence отражает более 2 тысяч атак в минуту на всех сайтах, а на графике представлена лишь 20% информации.

Согласно документации под атакой подразумевается заблокированный ip адрес злоумышленника. Данный ip адрес блокируется и информация передаётся на другие сайты.

Ниже отрывок текста, взятый из документации wordfence.com/docs/enhancing-wordpress-security

Wordfence knows that themes and plugins may contain vulnerabilities so it monitors how remote humans and automated bots access your website. If it detects that someone is scanning for a hole in one of your themes or plugins, it automatically blocks that IP address from accessing your site. This paragraph describes only one of the kinds of continuous monitoring that Wordfence does to secure your WordPress site. Here are a few more:
Wordfence blocks fake Google crawlers. These are often robots that are either stealing your content or scanning your site for security holes.
Wordfence blocks anyone that accesses your site too quickly. Very fast scanning is a common heuristic that attack bots share.
We block anyone who is generating page not found errors too quickly. If someone scans your site for security holes, they almost always generate a large number of page not found errors in rapid succession.

Перевод:

Wordfence известно, что темы и плагины могут содержать уязвимости, по этой причине он контролирует доступ ботов или посетителя сайта. Если он обнаруживает, что кто-то сканирует уязвимости в одном из ваших тем или плагинов, он автоматически блокирует IP адрес. Этот пункт описывает только один из видов непрерывного мониторинга, который Wordfence делает для обеспечения вашего сайта WordPress. Вот еще несколько:
Wordfence блокирует поддельные боты Google. Которые либо воруют ваш контент, либо сканируют уязвимости сайта.
Wordfence блокирует любого, кто заходит на ваш сайт слишком быстро.
Мы блокируем любого, кто слишком быстро генерирует не существующие страницы. Если кто-то сканирует ваш сайт на уязвимости, они почти всегда будет генерировать большое количество страниц 404 – страница не найдена.

Безопасность wordpress сайта по умолчанию.

Сразу же обратим внимание на первый пункт – блокировка по ip адресу. При атаке на все мои сайты я видел следующее:

В случае когда стандартная ссылка на вход в админку сайта была оставлена по умолчанию. В журнале логов был виден брут паролей таких пользователей, как admin, administrator, root и тд. Все попытки были сделаны не с постоянного ip адреса, а меняющимся ip адресом, примерно, каждые 40 секунд.
В журнале ошибок 404 была подобная ситуация.
Получается интересная картина: злоумышленник вводил не существующие страницы в строке браузера с разного ip адреса, далее wordfence блокировал ip адрес и отправлял данные другим сайтам, но через пару секунд у злоумышленника уже был другой ip, а потом опять другой, и он дальше атаковал ваш сайт.

Вопрос, а какая нагрузка идёт на сервер?
Могу сказать однозначно: после удаления данного плагина со всех сайтов нагрузка CPU на хостинге уменьшилась в 2-3 раза. Для пользователя с ограниченным бюджетом низкая нагрузка на хостинг – актуальная тема, тк у большинство хостинг-компаний имеется правило, согласно которому при значительном превышение нагрузки на сервер ваш аккаунт будет заблокирован.

Самый лучший вариант, если вы хотите обезопасить ваш сайт – это использования капчи и доступ к админке по постоянному ip. Остальные же навороты: такие, как лимиты на ошибку 404, лимиты на авторизацию в случае, если стандартная ссылка в личный кабинет wordpress сайта не скрыта, по большому счёту излишне, но нужны в том случае, если ваш сайт подвержен высоким рискам хакерских атак. Подробнее уже писал в этой статье Защита сайтов на wordpress