WebTotem Wordpress security plugin - Мониторинг и защита Wordpress сайтов
История
Пару месяцев я размещал в трибуне про запуск нашего сервиса
и анонсировал запуск нашего плагина для Wordpress. И наконец-то для нас, это совершилось ).
Мы решили создавать экосреду на базе нашего продукта и API и для начала занялись разработкой плагина под самую популярную CMS. В планах разработка подобных плагинов и под остальные платформы. Если вы владелец собственной CMS, то мы могли бы сотрудничать.
Продукт
Плагин позволяет мониторить веб-сайт на различные угрозы, а также при разрешении пользователя устанавливает Wordpress Web Application Firewall и Wordpress Antivirus. В дополнении, можно скачать мобильное приложение и мониторить также работу сайта через него.
Модули мониторинга:
- Мониторинг доступности в течении суток/недели/месяца;
- Проверка установленного SSL-сертификата на валидность и срок действия;
- Сбор информации о платформе, на которой сайт работает (CMS, версия ОС сервера и т.д.);
- Проверка наличия дефейса на сайте;
- Проверка сайта по репутационным базам (VirusTotal, Spamhaus, etc)
- Сбор информации о домене и сроке истечения его регистрации;
- Сканер открытых портов;
Модули защиты:
- Wordpress Antivirus - Поиск хакерских шеллов и бэкдоров на сайте
- Wordpress Web Application Firewall - модуль, предназначенный для выявления и блокирования атак на веб-приложения
Установить можно непосредственно через админпанель Wordpress
Либо с маркетплейса:
или c нашего веб-ресурса: https://wtotem.com
Монетизация
Монетизируется данный плагин пока на дополнительный услугах (помощь с вирусами и взломами, нагрузочные тестирования итд) и на днях запустим на поток услугу по быстрому и доступному аудиту веб-ресурсов на базе WordPress и сопровождению вашего сайта по информационной безопасности. Если вам уже сейчас это интересно, можете обратиться ко мне в личку =)
Планы
1) В планах сделать платную улучшенную версию плагина
2) Сотрудничество с хостингами, особенно кто базируется на предоставление хостинга для WordPress ресурсов. Мы можем организовать вам единый Dashboard, где вы сможете мониторить всех своих клиентов и с помощью нас помогать им в устранение проблем на сайте.
3) Сотрудничество с веб-студиями. Мы можем забрать на себя вопросы безопасности и мониторинга ваших клиентов, чтобы вы сфокусировались только на разработке и продажах
Опубликовали наш плагин только недавно, будем очень рады критике и предложениям. Плагин полностью бесплатный, платная версия в процессе разработки.
Я для себя лично не увидел пользы в перечисленном функционале. Вот мои комментарии:
Мониторинг доступности в течении суток/недели/месяца;
- зачем? Я.вебмастер и я.метрика, которые и так устанавливаются мною на все сайты, делает то же самое. Если с сайтом работают менеджеры или кто-то принимает звонки, то они проблемы с сайтом находят быстрее, чем какие-либо сервисы мониторинга. Короче, в 99.99% это не нужно.
Проверка установленного SSL-сертификата на валидность и срок действия;
- зачем? SSL покупается один раз на год и перед его окончанием хостинг пришлет уведомление. Нахрена это проверять на сайте, да еще путем установки лишнего плагина - непонятно.
Сбор информации о платформе, на которой сайт работает (CMS, версия ОС сервера и т.д.);
- зачем? CMS и так известна - WordPress, версию ОС сервера ты и так знаешь, потому что когда выбирал хостинг и устанавливал сайт, то узнал её. Эта информация узнается один раз и нагружать сайт установкой плагина ради этого - это верх тупизны.
Проверка наличия дефейса на сайте;
- Ну такого рода проблемы сразу заметны и без лишних плагинов )) Опять же, проблема настолько редкая, что этим можно пренебречь.
Проверка сайта по репутационным базам (VirusTotal, Spamhaus, etc)
- зачем? Если возникли проблемы с сайтом, то можно проверять конечно, но это делается точечно и вручную. Я за 20 лет продвижения сайтов ни разу не сталкивался с необходимостью такой проверки, например.
Сбор информации о домене и сроке истечения его регистрации;
- зачем? Установить плагин чтобы узнать срок истечения домена? Это как гланды через жопу удалять. Есть же whois. Один раз узнал и всё.
Сканер открытых портов;
- вы говорили что плагин для неэкспертных пользователей, я считаю себя более продинутым - сам делаю сайты, программирую по-немного. Но эта функция какая-то люто экспертная, для продвинутых сисадминов.
Спасибо за коммент. Модули мониторинга как дополнительные, основной функционал WAF и Антивирус для вордпресс сайта.
Сбор информации о платформе - это в основной платформе. Под вордпресс плагин и конечно не имеет смысла собирать в этом случае.
Вопросы
1) А сколько дополнительных дыр принесет ваше расширение в дыру под названием wordpress?🤔
2) Какова нагрузка на сервер, плагин на php небось?
3) Есть результаты каких нибудь тестов и попыток отбить атаку?
В веб-сервере Apache есть mod evasive, mod security, mod rewrite. Это проверенные временем инструмент которые могут действительно защитить.
Я не хочу сказать что вы делаете ненужное-ненужно, но делайте что-то достойное, а пока в списке мониторинга бред какой-то, защита...🤔 а есть ли она?
Спасибо за вопросы
1) mod security действительно хорошая вещь, но какой процент владельцев вордпресс сайтов сможет его поставить? Плагин расчитан в основном на не технарей. Процесс установки очень легок через административную панель ворпдресса. Пользователю не нужно разбираться и понимать.
2) Нагрузка на сервер совсем не существенная. Плагин на php. У нас есть и возможность защиты через облако, но это пока в тестовом режиме и для корпоративных клиентов.
3) По результатам тестов - все время занимаемся обновлением сигнатур и улучшением. Ни один security продукт не гарантирует защиту, но больше 95 процентов атак система отбивает и банит злоумышленников.
Дайте рекомендации по достойному продукту для вордпресса в области защиты, мы обязательно добавим в следующий релиз. Идеи еще много: защита от брутфорса, проверка прочих плагинов на вредоносные участки кода итд.
Комментарий недоступен
Антивирус ищет на сайте хакерские шеллы и бекдоры. Помогает при расследовании инцидентов и уведомляет владельца сайта о взломе.