这款插件经过我的使用测试验证,发现它推出的产品亮点是审计和恶意软件扫描和加固,由此可以看出此款产品主要侧重于事后安全问题修复和事前安全问题防御,至于事中安全防护,也有,就是它们的WAF产品,不过不像是此款插件主要推荐的功能。
Sucuri Security插件对应的官方网站提供的产品和解决方案如下:
- Web应用防火墙
- 网站安全平台
- 网站备份
- DDoS攻击防护
- 恶意软件检测
- 恶意软件清除
- 恶意软件防护
- 黑名单清除
- SEO Spam清除
所以总结下来说,此款插件免费功能侧重于事前和事后安全问题的解决和防御,至于事中防护就要花钱购买了,当然WAF只是它们其中的一个功能,Sucuri Security是提供一个安全平台,然后这个安全平台具备一个全方位的安全解决方案,插件的免费功能是开源的,开源代码地址:
详情可参考官方网站:
仪表盘(Dashboard)
这个功能就不用太多解释了,作用就是给大家展示当前Sucuri Security插件有哪些安全日志,供大家查看和审计。
此处仪表盘重点给大家展示一个东西,从安全角度来说给大家展示当前网站是否被恶意攻击成功了,因为一旦发送安全事件,网站被攻击成功了,那么势必网站目录下的核心文件或者登录日志就会被篡改或者异常显示。
WordPress完整性
检查WordPress完整性是专业的说法,直白点讲就是当前网站对应的核心文件是否被人篡改,如果被篡改了,那么有发生的安全风险概率就更大。
日志审计记录
主要显示了最近登录WordPress网站的登录记录,除了这个记录之外还展示了Links,Script和iFrames这些条目。
安全建议&安全扫描
给出了基础的安全建议,例如:推荐使用有效的Security Header,包括X-Frame-Options,X-Content-Type-Options nosniff和Strict-Transport-Security。
除了上述的基础安全建议,还免费提供了站点扫描和黑名单检测,具体内容如下:
- 站点扫描
- 恶意JavaScript
- 恶意iFrames
- 可疑的重定向
- Blockhat SEO spam
- 异常行为检测
- 被拉入黑名单的厂商
- Google Safe Browsing
- McAfee
- Sucuri Labs
- ESET
- PhishTank
- URLHaus
- Yandex
- Opera
被拉入黑名单的厂商意思就是当你网站被存在恶意攻击,被恶意挂马等行为,上面的厂商检测出来了,此时你的网站就会被拉入黑名单,网站一旦被拉入黑名单,那么在SEO方面会受到非常大的影响。
防火墙(Firewall(WAF))
这是个收费功能,需要购买之后,获取API KEY才可正常使用,所以只能给大家展示下当前界面。
最近登录日志(Last Logins)
这个功能非常直观的展现了当前网站是否有恶意用户登录成功或失败。
所有用户(All Users)
- 用于展示当前网站所有已经登录成功的用户信息。
管理员(Admins)
- 专门针对管理员用户登录成功的记录。
已经登录的用户(Logged-in Users)
- 已经登录成功的用户,且当前时间段是在线状态。
登录失败的用户(Failed Logins)
- 登录失败的用户相关信息。
设置(Settings)
这里的设置才是Sucuri Security插件的免费功能,使用这个插件免费功能都在这里。
常规设置
- 数据存储
- 用来展示当前插件所处的目录位置,并给出此插件对应作用的php文件。
- 日志输出
- 这个日志导出的目的是为了审计安全日志,防止被恶意攻击成功之后删除了本地日志信息。
- 反向代理
- 这个功能插件就给了一个启用和禁用的功能选项,如果启用了,那么来源IP地址就会从HTTP请求头中获取,否则是通过Remote -Addr获取来源IP地址。
- IP地址发现
- 此功能跟上述反向代理功能是相辅相成的,反省代理启用了,此处就会以HTTP请求头获取来源IP地址,例如:此处是HTTP_X_REAL_IP,否则就是REMOTE_ADDR
禁用反向代理:
启用反向代理:
- 时区覆盖
- 用于设置时区的相关操作。
- 导入和导出设置
- 用于导出已经设置好的配置,方便使用相同的设置用于其他主机。
- 重置安全加固设置和安全日志
- 这个设置选项的目的是为了防止上述功能设置错误,或者其他异常情况,所以就有了这个重置选项。
扫描设置(Scanner)
此处的扫描设置目的是基于WordPress文件的完整性来进行配置,通过计划认为进行周期性的扫描,然后做文件完整性的校验,如果发现存在误报的情况下,可以添加到误报选项,在配置的过程中可以排除具体需要被扫描的文件。
安全加固(Hardening)
Sucuri Security插件的安全加固功能,是目前我认为其免费功能中最有价值的选项。
具体关于WordPress的安全加固项,我已经在之前WordPress安全防护系列文章中详细介绍过了,所以此处便不再过多的介绍。
安全加固选项:
- 开启Web防火墙(收费)。
- 验证WordPress版本
- 清除WordPress版本
- 拦截Uploads目录下的php文件执行
- 拦截WP-CONTENT目录下的php文件执行
- 拦截WP-INCLUDES目录下的php文件执行
- 避免信息泄露
- 验证默认的账户
- 禁用插件和主题编辑功能
- 激活自动Secret Keys更新
网站被黑后应急响应(Post-Hack)
当网站已经被恶意攻击成功或者是正在被攻击的期间,此时需要快速恢复网站为正常状态并且要立即切断恶意攻击源,此时站在Sucuri Security插件可以提供如下几个方面的操作:
- 立即生成新的Secret Keys替换并更新现有的Secret Keys (执行完成了此操作之后当前所有在登录的会话将被强制退出)
- 重置用户密码。
- 重新安装所有已经安装的插件(包括在启用和未启用的所有插件)。
- 及时更新WordPress插件和主题。
告警信息(Alerts)
配置设置Sucuri Security插件告警相关日志事件。
- 告警接收的邮箱和信任的IP地址
- 告警主题&告警频率和暴力破解事件
- 安全告警参数配置
- 文章类型告警
缓存控制头设置(Headers)
这个功能需要先开启防火墙之后才能正常使用,所以此处看看功能界面。
API服务通信(API Service Communication)
需要使用到Sucuri Security插件API相关的配置,目前API服务通信和通过代理使用API基本用不到。
- 倒是恶意软件和WordPress完整性有点用,具体如下图所示:
网站信息(Website Info)
- 环境变量信息:
- .htaccess的完整性
总结
整体来说,Sucuri Security插件提供的免费功能只是一些基础的WordPress安全加固和安全监控,从安全的角度来说,这款产品或者说从这个公司的角度来说,设计的非常好,因为它把必要的基础安全功能免费提供了,然后这些功能目标一旦发生安全问题,这些审计的日志可以供Sucuri Security快速Support并为用户解决问题,从而有一定的概率引导免费用户转化为收费用户。
