Экранирование веб-приложений 

Web application FireWall это дополнительная функция сервиса Безопасности CleanTalk для WordPress, которая защищает веб-приложение от неавторизованного доступа, даже при использовании критических уязвимостей. WAF позволяет защитить Веб приложение от известных и неизвестных атак. Защита прозрачна для всех посетителей и обеспечивает точную фильтрацию. Поддерживаются оба метода GET и POST, запросы к динамическим ресурсам. WAF проверяет все запросы к вашему сайту и предотвращает возможные атаки, такие как Xros Site Scripting (XSS), SQL-инъекции, загрузка файлов от неавторизованных пользователей, наличие вредоносного кода в загруженных файлах. CleanTalk Web Application FireWall для WordPress является проактивной защитой от возможных атак в режиме реального времени. 

Эта опция находится на вкладке Основные Настройки плагина (Панель Администратора WordPress —> Настройки —> Security by CleanTalk —> вкладка "Основные Настройки"):

Security FireWall - Позволяет фильтровать ботов до того, как они попали на сайт. Также уменьшает нагрузку на процессор у сервера хостинга и ускоряет загрузку страниц.

Фаервол вэб-приложений - включает/выключает WAF

Проверка на XSS - включает/выключает защиту от атак Cross-site scripting

Проверка на SQL-инъекции - включает/выключает защиту от SQL-инъекций

Проверять на эксплойты – включает/выключает проверку трафика на наличие известных эксплойтов

WAF-блокировщик – включает/выключает блокировку посетителя на 24 часа после нескольких попыток перебора WAF.

Run the Upload Checker module for uploaded files – включает/выключает проверку всех загруженных файлов в медиатеку WordPress на наличие вредоносного кода. Если обнаружено вредоносное ПО, загрузка прекратится.

Check plugins and themes archives before install – включает/выключает проверку плагинов и тем, загруженных через встроенный интерфейс WordPress, с эвристическим и сигнатурным анализом.

Контроль трафика – включает/выключает анализ количества запросов к сайту с любого IP-адреса за определенный период времени.

Все атаки сохраняются в журнале (Панель Администратора WordPress—> настройки —> Security by CleanTalk —> вкладка "Firewall"):

Вы можете протестировать, работает ли защита от XSS-атак.

Добавьте "/?spbct_test=MD5-OF-YOUR-ACCESS-KEY&spbct_test_waf=spbct_signature_test__xss" к адресу Вашего сайта. В эту строку нужно подставить Ваши данные.

Пример:

1. Ваш ключ 1234.
2. Вычислите хэш MD5 для Вашего ключа здесь: https://www.tools4noobs.com/online_php_functions/md5/
3. Это будет 81dc9bdb52d04dc20036dbd8313ed055 для ключа "1234".
4. Теперь подставьте значение в строку, чтобы вызвать экран блокировки. Итоговая строка будет такая:
5. МойСайт.com/?spbct_test=81dc9bdb52d04dc20036dbd8313ed055&spbct_test_waf=spbct_signature_test__xss

Вы увидите экран блокировки:

То же самое верно и для проверки защиты на SQL-инъекции. Используйте эту строку:

/?spbct_test=MD5-OF-YOUR-ACCESS-KEY&spbct_test_waf=spbct_signature_test__sql

Вы увидите экран блокировки:

 При попытке загрузить зараженный файл вы получите ошибку:

Если у вас есть вопросы о CleanTalk, то, пожалуйста, создайте приватное обращение здесь:

https://cleantalk.org/my/support/open