U ovom članku objasniću kako podesiti WordFence plagin tako da WordPress sajt bude bezbedan (koliko god WordFence može tome doprineti), ali da sam WordFence ne uzima više resursa nego što je neophodno i da ne usporava rad sajta, tj. da ne opterećuje previše server.
Sve informacije date u ovom članku (kao i na mojim sajtovima) treba shvatiti kao: “najbolje što ja znam”. Na osnovu mog sadašnjeg znanja i dosadašnjeg iskustva. Kao i uvek: sve dopune i ispravke su više nego dobrodošle – pomozite da ovo bude korisnije za sve. Konstruktivna kritika pomaže više od tapšanja po ramenu.
Sadržaj:
- Uvod
- Koliko WordFence usporava sajt?
- Koliko WordFence pomaže zaštiti sajta?
- Konfigurisanje WordFence plagina
4.1. WordFence Global Options
4.2. Firewall Options
4.3. Blocking Options
4.4. Scan Options
4.5. Tool Options - Zaključak
1. Uvod
Puno puta do sada sam čuo kako “WordFence nije potreban za zaštitu sajta”, kao i da “previše opterećuje server” – tj. “usporava sajtove”. Ovo pričaju mnogi hosting provajderi i developeri. Moje iskustvo je drugačije: WordFence pomaže zaštiti sajta i ne usporava ih osetno – ali mora se podesiti ispravno. Ipak, nemojte mi verovati na reč. Pročitajte ovaj članak, pogledajte rezultate testova, uradite svoje testiranje, pa odlučite za sebe.
Naravno, WordFence sam po sebi nije dovoljan kako bi jedan WordPress sajt bio zaštićen, pa u tom smislu preporučujem čitanje članka: kako obezbediti WordPress sajt.
Opcije za podešavanje WordFence plagina su složene na sledeći način:
Ulazak u opcije za podešavanje (2)
Glavna grupa opcija – ima ih više, ali je samo jedna prikazana na ovoj slici (3)
Podgrupe opcija (4)
Pojedinačne opcije (5)
Slika 1
2. Koliko WordFence usporava sajt?
Volim reći da je jedno dobro merenje bolje od hiljadu stručnih mišljenja. Zato sam uradio testove opterećenja. Sajt na kojem sam testirao je sa dve stranice na kojima je u potpunosti isključeno keširanje, kako bi se bolje videle sirove performanse servera, tj. kako bi se isti pristojno opteretio. Ostale stranice su keširane – kako bi trebalo da budu na svakom dobro optimizovanom WordPress sajtu. Sajt je hostovan sa resursima običnog shared hosting naloga. Test je simulirao 50 posetilaca koji istovremeno pregledaju sajt. Ovde možete videti rezultate testova (u PDF-u):
Ukratko: usporenje (i pojava grešaka usled preopterećenja) javlja se jedino na stranicama koje nisu keširane (booking-sr i booking-en). Napomena: 50 istovremenih poseta je ekvivalent od preko 50.000 poseta dnevno (preko 1,5 miliona poseta mesečno) na običnom shared hosting nalogu.
Šta je sa opterećenjem servera? Evo statistika:
Slika 2
Moj zaključak (vi možete izvući svoj nakon pregleda gore linkovanih rezultata testiranja) je: da WordFence definitivno usporava i opterećuje server u izvesnoj meri, mada ne drastično. Da li je to dovoljno da opravda zaštitu koju nudi? Odlučite sami nakon čitanja narednog poglavlja.
Napisao sam seriju članaka koji objašnjavaju kako optimizovati WordPress sajt. Link vodi ka prvom u seriji, a preporučujem da pročitate i ostale. Navešće vas na pravi put ako ste relativno novi, a ako ste ekspert, čitanje i nuđenje dopuna, ili ispravki, će pomoći da članci budu još bolji i pomognu svima koji se bave WordPress-om. Drugim rečima: voleo bih da sam imao ovakav sajt za pomoć kada sam počinjao, 2015. godine.
3. Koliko WordFence pomaže zaštiti sajta?
Eksperti za zaštitu sajtova obično imaju porodicu, hobi, prijatelje. Vikendom ćete ih češće zateći negde na planini, biciklu, ili dečijem rođendanu, nego za računarom. Oni koji pokušavaju da vam hakuju sajt obično provode dane u sobi, sa bradom do pola grudi, žensko uživo nisu videli godinama i glavna radost u životu im je da nekom virtuelno uteraju, da se tako izrazim. Odnos posvećenosti, znanja i požrtvovanja drugih, u odnosu na prve, je nemerljiv. Povrh toga – stoji i činjenica da treba puno manje znanja i truda da se nešto rasturi (da ne kažem neku srpsku reč), nego da se napravi, sačuva i unapredi.
Drugim rečima: ne bih očekivao da mi bilo koji ekspert (još manje ja sam, ili bilo koji plagin) učini sajt sigurnim. Svaki sajt će biti hakovan, pre ili kasnije. Najviše čemu se čovek može nadati je da barem skonta kada je hakovan i, u najboljem slučaju – način na koji je hakovan, kako bi se sprečilo novo hakovanje, čim se vrati najsvežiji čist bekap.
Ovo ne znači da treba posao učiniti lakim za hakere. Naprotiv. Uradite sve što je do vas da sajt bude koliko god je moguće bezbedan. Mada ću odmah protivurečiti sebi vezano za ovo “koliko god je moguće bezbedan”. Svaki vid zaštite uvodi određeni stepen nepraktičnosti upotrebe i dodatno komplikuje (poskupljuje) stvari. Tako da neki manje poznat blog neće tražiti (ni opravdati) isti nivo zaštite kao poznata e-prodavnica… osim ako se neko sa dovoljno znanja i vremena baš zainati – kada se vraćamo na početak ovog poglavlja.
Objašnjenje zašto je 100% bezbedan sistem neupotrebljiv – po definiciji.
Sad, nakon duže digresije (nadam se da ne zamerate), da se vratimo na temu. Koliko WordFence pomaže u zaštiti sajta?
Na prvom mestu, javiće vam u slučaju da dođe do promene bilo kojeg fajla, ili/i logovanja admin. korisnika. To spada u onaj važan deo: “skontati kada si hakovan/a”. Poučna diskusija (na engleskom) na LowEndTalk forumu – kako skontati kada ti je sajt hakovan.
Ovo se može postići i na druge načine, ali raspoloživi alati za to sa shared/reseller hosting nalogom su prilično ograničeni.
Sledeće što WordFence omogućava je blokiranje mnogih brute-force napada. Možete ga podesiti da automatski blokira IP adresu posetioca koji se pokuša logovati sa korisničkim imenom koje ste predefinisali (na primer, blokiraj sve koji pokušavaju da se uloguju sa “admin”, “administrator” itd. korisničkim imenom). Kao i blokiranje IP adrese nakon predefinisanog broja neuspešnih pokušaja logovanja.
Dalje – WordFence može sprečiti listanje postojećih korisnika (čime se teže može “provaliti” username naloga). Tako da uz poteškoće oko pogađanja lozinke, hakeri će morati da se pomuče i skontaju koji username da koriste.
Na kraju, naravno, WordFence će skenirati sajt za viruse i blokirati “šablon” pristupa koji liči na pokušaj hakovanja.
Ovo bi bile neke, najvažnije stvari koje plagin nudi i da, sve se to može podesiti na nivou hosting servera – nije neophodan plagin. Ipak, to traži vreme, znanje i VPS, ili Pravi Managed WordPress hosting™ (pa da to sve uradi hosting provajder).
Drugim rečima: isto kao što i sajt možete praviti pomoću statičkog HTML-a, ali koristite WordPress jer to čini puno bržim, lakšim i jednostavnijim – tako možete podesiti svu zaštitu bez plagina, ili se odlučiti za plagin radi jednostavnosti. U oba slučaja, “hard-core” pristup je puno boljih performansi, manje opterećuje server i bezbedniji je – samo je pitanje koliko vremena želite posvetiti i koliko ćete morati još da učite (što opet traži vreme), ili platite nekom da to uradi (uz opet vraćanje na početak ovog poglavlja)?
Ne postoji “najbolje rešenje”, samo “optimalno rešenje”, tj. vaganje svih prednosti i mana na osnovu vaših prioriteta, znanja, budžeta itd.
Zato u ovom članku nigde neću reći: koristite, ili nemojte koristiti WordFence – to mora svako odlučiti za sebe. Ono što mogu reći je da za mene WordFence radi posao i nisam izmerio nikakvo drastično usporenje sajtova zbog njega, niti neko preterano dodatno opterećenje servera. Pri tome, mislim da je pošteno da kažem da su razlozi iz kojih ne koristim managed WordPress hosting sledeći:
- Volim naučiti sam kako i zašto sve treba uraditi, ne da to drugi rade za mene. Barem ne dok sve ne skontam – inače sam skroz za podelu poslova i outsourcing. cPanel / DirectAdmin shared (i reseller) hosting nudi lepu sredinu između previše brige oko menadžmenta (kao što traži VPS) i premalih prava pristupa (kao kod managed WP hostinga).
- Reseller/shared hosting je jeftiniji od managed WordPress hostinga. Ne volim plaćati za stvari koje mi nisu neophodne.
Ne mislim da je ovo najbolji, ili najprofitabilniji način da se radi – ali takav sam. Iz sličnih razloga ne koristim ni VPS – u drugom članku sam pisao o prednostima i manama VPS-a.
4. Konfigurisanje WordFence plagina
Ako se zahvaljujući, ili uprkos, gore napisanom odlučite za WordFence, ovde možete videti koje podešavanje se meni pokazalo optimalnim. Trudiću se da pišem što sažetije, uz minimum objašnjavanja – za sva dodatna pitanja i dopune koristite sekciju za komentare na ovoj stranici. Neću objasniti baš svaku pojedinačnu opciju, ali neću preskočiti ni jednu koju smatram važnom za bezbednost, ili/i brzinu. Ponavljam: ovo je setap koji se meni dobro pokazao – ništa više, ni manje od toga.
Kliknite na WordFence u backend-u, pa na “All Options” (slika 1) i krenimo redom, od vrha.
4.1. WordFence Global Options
View Customization
Čekirajte samo Display “All Options” menu item.
General WordFence Options
Update Wordfence automatically when a new version is released? – dečekirati, uvek testiram update pre puštanja.
Where to email alerts – unesite svoj mejl.
How does Wordfence get IPs – izaberite prvu opciju “Let Wordfence use the most secure method to get visitor IP addresses”. Čak i ako koristite Cloudflare.
Disable Code Execution for Uploads directory – čekirati.
Pause live updates when window loses focus – čekirati.
Update interval in seconds – staviti vrednost “100” (bez navodnika).
Dashboard Notification Options
Dečekirati sve u ovoj grupi opcija – obaveštenja se uvek mogu videti klikom na “Dashboard”.
Email Alert Preferences
Što manje mejlova, to bolje. Ipak, sledeće opcije bi trebalo svakako uključiti (čekirati):
Email me if Wordfence is deactivated
Email me if the Wordfence Web Application Firewall is turned off
Alert me with scan results of this severity level or greater: Medium
Alert me when someone with administrator access signs in
Only alert me when that administrator signs in from a new device or location
Alert me when there’s a large increase in attacks detected on my site
Maximum email alerts to send per hour – 10
Activity Report
Čekirati samo
Enable email summary – ako želite da dobijate statistike na mejl.
4.2. Firewall Options
Basic Firewall Options
Web Application Firewall Status – Prvobitno će stajati “Learning mode”, a nakon nedelju-dve bi trebalo prebaciti na “Enabled and Protecting” – ako se automatski ne prebaci.
Advanced Firewall Options
Čekirati sve osim:
Delay IP and Country blocking until after WordPress and plugins have loaded (only process firewall rules early)
Uptime robot – osim ako ga koristite – ja volim HetrixTools (affiliate link).
StatusCake – osim ako ga koristite
ManageWP – osim ako ga koristite
Brute Force Protection
Ovde u suštini treba čekirati (omogućiti) sve opcije. Uz par objašnjenja:
Enable brute force protection – ON, podesite broj pokušaja i vreme po svom nahođenju. Defaultne vrednosti su dobre za početak.
Immediately lock out invalid usernames – čekirajte i upišite korisnička imena koja vidite da se često (zlo)upotrebljavaju u WordFence izveštaju (“admin” i “administrator” su dobar početak).
Rate Limiting
Immediately block fake Google crawlers – dečekirati.
Ostale opcije se mogu ostaviti na defaultu, pa fino podesiti kasnije.
Whitelist URLs
Čekirajte opcije pod
Monitor background requests from an administrator’s web browser for false positives
Tada će vas WordFence pitati da li da dozvoli neku akciju kada radite ulogovani kao administrator u frontend-u, ili backend-u. Nakon što sve podesite i napravite na sajtu, ovo se može de-čekirati, dok se whitelist-ovane akcije takođe mogu isključiti (ako se više ne koriste) – proveriti samo da li tada sajt radi kako treba (zavisi od akcija).
4.3. Blocking Options
Besplatna verzija ne nudi ovde nikakva podešavanja. Ako želite cenzurisati Internet, tj. zabraniti ljudima iz određene zemlje da priđu vašem sajtu, ovo ćete koristiti (hakeri će pomoću VPN-a, ili zaraženih računara svakako naći način).
4.4. Scan Options
Scan Scheduling
Schedule Wordfence Scans – ENABLED*
– besplatna verzija omogućava jedino izbor opcije
Let Wordfence choose when to scan my site (recommended)
* Ako vaš hosting server ima Imunify360 (ili sličan kvalitetan anti-malware softver), možete isključiti WordFence skeniranje.
General Options
Čekirati (omogućiti) sve, osim:
Check the strength of passwords – svakako birajte jake lozinke za svoje naloge.
Scan images, binary, and other files as if they were executable
Performance Options
Use low resource scanning (reduces server load by lengthening the scan duration) – čekirati
Limit the number of issues sent in the scan results email – 100
Time limit that a scan can run in seconds – 0
How much memory should Wordfence request when scanning – 256
Maximum execution time for each scan stage – 0
4.5. Tool Options
Live Traffic Options
Traffic logging mode – SECURITY ONLY
Don’t log signed-in users with publishing access – čekirati
Amount of Live Traffic data to store (number of rows) – 10
Maximum days to keep Live Traffic data (minimum: 1) – 1
Ovo bi bio neki “grub” vodič za koji mislim da je OK barem kao početno WordFence podešavanje.
5. Zaključak
Šta bi se moglo izvući pametno iz sveg ovog pisanija? Pod jedan, za bezbednost, kao i za mnoge druge stvari u životu, ne postoji “najbolja opcija”, već samo optimalna – u zavisnosti od prioriteta, preferencija, stepena rizika, budžeta itd.
WordFence nije jedini bezbednosni plagin – drugi najpoznatiji je Sucuri, uz mnoštvo ostalih bezbednosnih plaginova. Svi služe istoj svrsi: da vam olakšaju (pojednostave) zaštitu sajta. Takođe, kao i svi drugi plagini, nose sa sobom usporenje sajta (u manjoj, ili većoj meri, u zavisnosti od konkretnog plagina), potencijalni bezbednosni backdoor (da, čak i kod bezbednosnih plagina) i dodatni trošak ako se koriste plaćene verzije plaginova.
Dodao bih još da Sucuri, u plaćenoj verziji, nudi i firewall (WAF) postavljen između hosting servera i posetilaca, ali cena (u dolarima) za ovo se može videti na Sucuri sajtu.
Pored ovog, plaćenog rešenja, Cloudflare isto, čak i u besplatnoj varijanti, nudi neku osnovnu firewall i DoS zaštitu. Ja ga rado koristim.
Lično koristim WordFence i mislim da od svih besplatnih bezbednosnih plaginova nudi najbolju zaštitu, bez da koči i pravi probleme u radu sajta. Različiti ljudi imaju različita iskustva, pa samim tim i mišljenja, ali ovo je moje, uz sve ograde sa početka ovog članka: ne tvrdim da sam ekspert za bezbednost.