Инспектор дорожного движения в двух словах
Traffic Inspector — это сложный контекстно-зависимый брандмауэр веб-приложений (WAF), который защищает WordPress, анализируя и блокируя вредоносные HTTP-запросы.
English version: Traffic Inspector in a nutshell
Traffic Inspector анализирует входящие HTTP-запросы, распознает подозрительные и блокирует их до того, как они смогут нанести вред вашему веб-сайту. Этот алгоритм безопасности включен по умолчанию и в подавляющем большинстве случаев не требует настройки.
При включении Traffic Inspector брандмауэр анализирует и блокирует вредоносные и потенциально опасные запросы. К ним относятся отправка форм, запросы с параметрами GET и POST, запросы к PHP-скриптам.
Если брандмауэр обнаруживает вредоносный или потенциально вредоносный запрос, WP Cerber блокирует IP-адрес, обработка запроса прерывается и генерируется ответ 403 Access Forbidden. Такие события регистрируются в журнале активности, а если включено ведение журнала трафика , сведения о запросе регистрируются в журнале трафика в реальном времени.
Незначительные или нулевые накладные расходы на производительность
WP Cerber разработан с учетом производительности и безопасности. Брандмауэр WP Cerber не замедляет производительность WordPress и не влияет на SEO-рейтинг вашего сайта, а также на индексацию поисковыми системами, поскольку брандмауэр не проверяет и не блокирует обычные запросы к обычным страницам WordPress, как это делают браузеры посетителей или поисковые роботы.
Какие запросы не проверяются и не блокируются
- Запросы, поступающие с IP-адресов из Белого списка доступа , если использование Белого списка доступа включено
- Запросы, которые внесены в белый список в поле «Настройка белого списка запросов»
- Запросы к обычным страницам WordPress, постам, категориям и тегам
Как исключить определенные запросы из проверки?
Иногда, особенно если у вас настроенная среда WordPress или у вас есть плагин, который использует определенный API, вам может потребоваться разрешить доступ к определенному PHP-скрипту без проверки брандмауэром. В этом случае, если плагин распознает и помечает легитимный запрос как «Проверка на наличие уязвимого кода», вам нужно настроить исключение.
Подробнее: Я получаю сообщение «Проверка на наличие уязвимого кода» .
Кроме того, вы можете разрешить все запросы с определенного IP-адреса:
- Добавьте IP-адрес, которому вы доверяете, в белый список доступа IP-адресов.
- Перейдите на страницу настроек Traffic Inspector и включите опцию «Использовать белый список доступа IP».
Как…
Как отключить Traffic Inspector
Чтобы полностью отключить проверку, перейдите на страницу настроек Traffic Inspector и отключите Enable traffic inspection . Примечание: это не рекомендуется, так как вы отключаете важный уровень защиты для вашего WordPress. Если вы столкнулись с проблемой со скриптом php, используйте настройку Request whitelist , как описано выше.
Ознакомьтесь с другими рекомендациями по безопасности WordPress.
WP Cerber Security 1.4
Рекомендуемые настройки безопасности для WP Cerber
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
How to whitelist users? I.e. I have the situation that wpcerber is blocking ajax calls from Thrive Themes editors. This would be ok for every public request, but I should not be blocked when I am logged in.
The plugin doesn’t block standard AJAX requests. So it means Thrive Themes editor generates its own non-standard AJAX requests. You should ask the Thrive Themes editor developer for assistance. If the developer is not capable to help you, drop me a screenshot of the Activity log with those blocked AJAX requests on the support forum: https://wordpress.org/support/plugin/wp-cerber