WPMU Defender Pro
Publicados: 2019-03-19A segurança é (ou deveria ser) uma das principais prioridades de qualquer proprietário de site, não existe isso de ser muito seguro . Hoje vou rever um plugin particularmente interessante que lida com segurança, é feito pela WPMU e se chama Defender Pro. Este plugin oferece toneladas de ferramentas intuitivas e fáceis de usar e recursos realmente úteis e faz parte do pacote que o WPMU oferece como um modelo baseado em assinatura.
Preço do defensor
Depois desse ponto, tudo fica muito mais fácil. Depois que o WPMU Dev Dashboard estiver instalado, adicionar qualquer plug-in é tão fácil quanto clicar nele na lista e pronto.
Recursos do Defensor
O Defender pode ser instalado a partir da lista de plugins oferecida pelo modelo de assinatura. Antes de instalar, você pode dar uma olhada nos recursos que ele tem a oferecer.
Além de fazer segurança básica, como analisar seu site e oferecer ajustes, o Defender Pro também oferece recursos avançados como autenticação de dois fatores (2fa), uma ferramenta de bloqueio de IP e monitoramento de lista negra do Google, entre outros: O plug-in não está apenas olhando internamente para as alterações que você pode fazer em seu site para torná-lo mais seguro, também está olhando para as ameaças do mundo real e ajudando você a gerenciá-las. Este é um plugin muito bem empacotado.
Desempenho Antes e Depois
Antes de nos aprofundarmos nos recursos, vamos dar uma olhada no desempenho do site, sem cache e sem o Defender Pro ativado.
Antes
Depois
E agora, este é o desempenho depois que o Defender Pro é ativado. Você pode ver que o plugin não adiciona nenhuma solicitação extra ao site e o desempenho é exatamente o mesmo que se o plugin não estivesse presente. Como este não é um plugin de aumento de velocidade, não estamos procurando resultados melhores, apenas não queremos resultados piores. Bom trabalho até agora.
Configuração
Agora, para a tela de boas-vindas. O Defender Pro permite que você ative tudo por meio de uma configuração rápida ou pode simplesmente pular esta tela de boas-vindas e fazer tudo sozinho. Para pessoas experientes, eu recomendo o último.
Os principais recursos do plugin são divididos em: Verificações Automáticas de Arquivos, Registro de Auditoria, Bloqueio de IP e Monitor de Lista Negra. Você verá que há ainda mais recursos a serem ativados que não fazem parte desta configuração rápida.
O Painel
Assim que o plug-in estiver ativado e pronto, você será recebido com o seguinte Painel.
WPMU sabe como fazer Dashboards, com certeza. É limpo e claro onde tudo está, então, mesmo que esta seja a primeira vez que você veja a interface do usuário de um plug-in de segurança, você provavelmente será capaz de contornar o problema. O plug-in notificará quaisquer irregularidades exibindo avisos amarelos e vermelhos. A verificação de arquivos detectou 26 arquivos suspeitos no meu site e também recomendou vários ajustes de segurança. Os arquivos eram instalações antigas deixadas por outros plugins e foram removidos com facilidade. As recomendações também foram úteis e fáceis de executar, pois o plugin permite executá-las sem ter que recorrer a métodos de terceiros, como FTP etc. O scanner de arquivos pode detectar vulnerabilidades em seu site e também pode controlar os arquivos do WordPress Core a partir ficando alterado.
Ajustes de segurança
O Defender Pro recomendou que eu desative o Editor de Arquivos dentro do WordPress, gere novamente minhas chaves de segurança e também bloqueie certas pastas perigosas aplicando regras. Como o Apache é o único capaz de executar regras sem alterar sua própria configuração, as regras do NGINX relacionadas ao meu serviço tiveram que ser copiadas e coladas no servidor, isso não é uma limitação do plugin, é apenas como as coisas são feitas no NGINX. O plugin facilita isso exibindo o código que precisa ser carregado na configuração do NGINX, muito bom.
Depois que todos os recursos de segurança foram implementados, o plug-in mostrou uma lista de verificação verde. Ganhando.
Mais recursos
O recurso Blacklist Monitor mostra o status atual do seu site em relação à lista negra do Google. Este recurso verificará seu site a cada 6 horas e informará por e-mail se algo estiver errado.
Ferramentas avançadas
No menu Ferramentas Avançadas, você encontrará alguns dos recursos mais interessantes deste plugin até agora.
Autenticação de dois fatores
O plug-in adiciona a autenticação de dois fatores ao seu site e à área de login da máscara.
A autenticação de 2 fatores pode ser ativada usando o aplicativo Google Authenticator em seu telefone. Isso significa essencialmente que qualquer pessoa que tente usar seus detalhes de login também precisaria do seu telefone na frente deles. É uma ótima maneira de garantir que apenas você possa fazer login como você, e o mesmo para cada usuário em seu site.
Você também pode personalizar o e-mail enviado ao usuário e ativar uma proteção contra falhas caso o usuário perca o telefone, dando a opção de uma senha de uso único.
Área de login da máscara
A segunda opção nas Ferramentas Avançadas é a Área de Login de Máscara. Esse recurso útil permite renomear o link direto para fazer login no seu painel. Substituindo o /wp-login e /wp-admin pela palavra que você deseja. Embora a segurança através da obscuridade seja um tópico muito debatido no WordPress e em comunidades de software mais amplas, fiquei feliz em saber que o Defender me deu a opção.
melhor ainda, você pode até habilitar a opção de redirecionar qualquer tráfego que tente fazer login em seu site redirecionando todo o tráfego /wp-admin e /wp-login para qualquer URL que desejar. Legal né?
No meu caso, o login do URL precisará de um pequeno ajuste na minha configuração do NGINX para pular o cache, assim como o /wp-admin , caso contrário, não funcionará. Isso não é necessário no Apache.
O recurso de bloqueio de IP
Este é um dos recursos mais interessantes e úteis do Defender Pro, então vou dar uma olhada mais de perto. Ele ainda tem seu próprio Dashboard.
A primeira parte do recurso é a mais importante, pois a Proteção de Login limitará as tentativas de login em seu site com um limite definido por tentativas e prazo. A duração do bloqueio permite limitar a quantidade de segundos que você dá ao referido IP até que seja permitido tentar o login novamente.
A detecção 404 permitirá que você configure bloqueios para qualquer visita que faça uso de tentativas 404 excessivas. Isso pode ou não ser útil, pois provavelmente há usuários genuínos tentando acessar links em seu site que não estão mais disponíveis.
A ferramenta IP Banning controla como você lida com os endereços IP que estavam anteriormente bloqueados, ela inclui as opções Whitelist e Blacklist , como é de se esperar. É uma boa ideia ir em frente e colocar seu próprio endereço IP na lista de permissões.
As notificações permitem que você controle como você vai receber as notificações em seu e-mail. Você pode adicionar destinatários extras aqui e também controlar quantos e-mails você recebe.
Por fim, este é um exemplo típico de como você receberá esses e-mails sempre que surgirem problemas em seu site. Você sempre pode controlar e ajustar o processo ao seu gosto, o que é uma grande vantagem do plugin.
Empacotando
Ter um scanner de arquivos ativo, um recurso de bloqueio de IP com proteção de login e, além disso, um monitor de lista negra do Google, uma máscara para a área de login e autenticação de dois fatores, tudo em um plug-in, com o bônus adicional de registro de auditoria ativo faz um excelente e pacote muito completo. Lembre-se ao comparar preços com outras opções, você não está pagando pelo Defender, está pagando por tudo o que o WPMU tem a oferecer e isso é muito. Sem dúvida, este é um dos melhores plugins de segurança que encontrei e que recomendo totalmente se a segurança for uma prioridade em seu blog ou site. Mais uma vez, o WPMU provou ser excelente no que faz, fornecendo plugins úteis cheios de opções fáceis de navegar e usar. Seja qual for o seu conjunto de habilidades, este plugin é um guardião sólido que se sente estável, bem codificado e repleto de recursos.