Вебмастер 

Лучший плагин для защиты WordPress. Установка и настройка плагина «All In One WP Security Защита от спама


На просторах интернета можно найти любую полезную информацию, но к сожалению, это ещё и благоприятная среда для деятельности злоумышленников. Разработанное ими вредоносное программное обеспечение используется как для кражи ценной информации, так и для губительного контроля над различными интернет сайтами и компьютерами.

Есть нападение, но есть и защита. К такому универсальному защитнику WordPress относится плагин "All In One WP Security"
Плагин имеет заслуженную, хорошую репутацию у многих пользователей. К тому же его достоинство в том, что прекрасно переведен на русский язык, а значит мы имеем полную информацию и понимание всех функций настроек.

Эта программа решает несколько направлений безопасности. Смена имени пользователя тот же вредоносный "admin". Имеются инструменты повышения защиты пароля, блокировки доступа к сайту, защиты кода от копирования, защиты от спама, сканер безопасности и её оценка.

Имеются опции безопасности базы данных и файловой системы. Возможно резервное копирование директивного файла ".htaccess" и важнейшего файла конфигурации " wp-config.php"

Помимо этого есть возможность изменять файл ".htaccess " - несколько кликов настройки, что обеспечит глубокую защиту. Автоматическое обновление и многое другое, ниже в настройках плагина более конкретно.

Итак начнем с установки Плагина "All In One WP Security" на наш сайт.

Нажмите на рис.

Заходим в панель управления WordPress

1) . Клавиша "Плагины"

"Добавить новый"

2). В поле "Поиск плагинов " вписываем название - All In One WP Security

и на клавиатуре компьютера нажимаем на Ввод (Enter)

Нажмите на рис.

Несколько секунд поиска

Плагин найден.

Нажимаем на текст надпись "Установить "

Следующий шаг - Плагин установлен. Нажимаем на "Активировать "

Нажмите на рис.

Плагин очень важный, поэтому он достойно занимает место в
колонке меню Панели управления WordPress

Клавиша "WP Security "

При наведении мышки на эту клавишу всплывает подменю всех настроек.

Их много, разберёмся со всеми в процессе настройки безопасности сайта.

______________________________________________________________________________________

(Первое) - Открываем "Панель управления" плагина

Нажмите на рис.

В данной панели управления для нас важны показания визуального информера. Зеленый сектор это уже хорошая защищённость сайта. Стремиться к максимальным показателям не рекомендую. В любом деле есть две стороны. В чем то выгадываешь в чем то проигрываешь. Можно так закрыться, что и сайт никто не увидит. И все же самую нужную защиту пусть в ущерб некоторых показателей сайта делать нужно.

Ниже информера.

Состояние статуса главных функций защиты.

На рисунке представлен начальный статус и какой в обязательном порядке мы должны получить после всех необходимых настроек. При этом показания визуального информера конечно же будут значительно выше.

Спешить и щелкать по кнопкам активации статуса не будем. В ходе настроек мы получим необходимый статус!

____________________________________________________________

(Второе) Открываем "Настройки"

Нажмите на рис.

Данный плагин внесет некоторые изменения в основные файлы WordPress.

Опытный пользователь,

В обязательном порядке прежде чем что либо изменять, вначале сделает резервное копирование в изменяемой программе или файле.
Так же и здесь исполняем:
1). Резервное копирование. Базы данных , а также файлов .htaccess и wp-config

Копирование можно проводить непосредственно с главной
страницы настроек - нажимаем на "Кнопки текст ",

Так и при использовании отдельных вкладок
(верхнее меню панели "Настройки" ) .htaccess и wp-config pxp

2). Во вкладке WP - Мета информация

Нажмите на рис.

Устанавливаем галочку напротив пункта "Удаление метаданных WP Generator". Таким образом из кода сайта будет удалена информация, что он создан на базе WordPress и будет обеспечена защита от сканирования версии сайта. Далее обязательно нажимаем на кнопку

3). Вкладка "Импорт/Экспорт" . Вкладка будущего/прошлого.
Общепринятая процедура экспорта/ импорта своих настроек,
К примеру создаете новый сайт на котором можете не тратить время на процедуру настроек, а импортируете экспортные настройки безопасности вашего предыдущего сайта.

4). 5). Пункты Отключение функций "Безопасности" и "Файерволла" (По необходимости).

Возможны различные жизненные обстоятельства отключения на некоторое время данных функций, но другие будут работать. Что то зависло, что то надо переустановить.

(Пример мы все сталкивались,когда была необходимость на несколько минут отключить наш антивирус, что бы загрузить какую то левую программу на компьютер).

Вывод: Панель "Настройки" Обеспечивает резервное копирование основных файлов до работ по активации инструментов защиты нашего сайта.

Обеспечивает импорт/экспорт готовых настроек.

Прекращает работу "WP Generator" мета данных версии сайта.

А так же решается вопрос отключения по необходимости функций безопасности и файерволла.

_______________________________________________________

(Третье) Открываем раздел подменю "Администраторы"

Здесь решается вопрос замены пароля и логина.

Действия совершенно одинаковые смотри

Если логин известен - "admin" остается только подобрать пароль. Современные программы взломают в момент.

Логин и пароль меняем в обязательном порядке.

Во вкладке "Пароль" предоставляется очень интересная информацию о выбранном нами пароле. А именно за какой промежуток времени можно подобрать и взломать эту комбинацию пароля. Результат от нескольких секунд до тысячелетий.

В пароле желательно иметь заглавные, строчные буквы и не менее 1 цифры;

Пароль не должен состоять только из цифр;

Спецсимвол приветствуется;

Длина пароля должна быть не менее 12 знаков.

Смотри рисунок. В результате вы получите максимальную степень безопасности вашего пароля.

_______________________________________________

(Четвёртое) Авторизация

Нажмите на рис.


Опции 3, 5, 60 стоят по умолчанию. Это оптимальный вариант. Так и оставляем.

"Сразу заблокировать неверные пользовательские имена". Ставим галочку.

Пример, после смены логина "admin" на свой персональный, то при вводе любого другого логина Ip адрес будет заблокирован. Раза два я по инерции вводил старый логин и ждал по часу не мог войти в админку, потому что был заблокирован. Поэтому с этим пунктом будьте внимательны или рискуйте не ставте галочку.

"Уведомлять по email" - На усмотрение каждого. Я, не стал ставить.

Нажимаем на кнопку "Сохранить настройки"

Нажмите на рис.

2).

На данной вкладке ставим галочку "Включить авторазлогинивание"

Рабочий интервал работы устанавливаем 600 минут.

Остальные - Вкладки информационного характера:
"Ошибочные попытки авторизации" "Журнал активности аккаунта"
"Активных сессий" помогут для решения вопросов безопасности.

_________________________________________________________________

(Пятое)

Нажмите на рис.

Данный раздел актуален, если на сайте активирован процесс регистрации пользователей.

На вкладке "Подтверждение вручную" Ставим галочку для пункта "Активировать ручное одобрение новых регистраций"

На вкладке "CAPTCHA при регистрации" по необходимости данного атрибута ставим галочку на пункте "Активировать CAPTCHA на странице регистрации" Нажимаем на кнопку

_____________________________________________________________________

(Шестое) Защита базы данных

Нажмите на рис.

Одновременно с установкой WordPress создается база данных движка. Это различные таблицы в которых записывается вся информация о сайте (настройки, контент, комментарии, ссылки, информация о пользователях итд). Это основа работы движка.

Название каждой таблицы по умолчанию начинается с префикса "wp_" И вот эта известная однообразность небезопасна. Задача № 1 изменить префикс (сгенерировать с помощью утилиты или создать и прописать самому).

Но прежде чем что либо менять всегда и везде необходимо создавать резервную копию. В случае проблемы можно сделать откат.

Поэтому в панели защиты базы данных открываем вкладку "Резервное копирование БД" Заполняем все поля как на рисунке. Нажимаем на кнопку"Создать бекап базы данных сейчас" и после создания бекапа внизу нажимаем на кнопку "Сохранить настройки"

Переходим на первую вкладку "Префикс таблиц БД"

Нажмите на рис.

Выбираем:

«Сгенерировать новый префикс таблиц БД» Ставим галочку.

Нажимаем "Изменить префикс таблиц"

Плагин сам сгенерирует и пропишет во все названия таблиц созданный им префикс что-то вроде « latil_».

Появится информация в каких файлах этот префикс прописан.

Если выйти из настроек Защиты базы данных и снова войти, вы увидите напротив строки "Сгенерировать новый префикс таблиц БД" реально действующий ваш префикс. Но уже точно не "wp_"

______________________________________________________________________________

(Седьмое)

Нажмите на рис.

На первой вкладке "Доступ к файлам" нам необходимо установить соответствующий уровень прав доступа. При установке WordPress, как правило такой уровень занижен.

Плагин после своей активации, сразу же производит мониторинг соответствия этого уровня, о чем нас информирует данная вкладка.

Если какой то файл с заниженным уровнем доступа то в крайней колонке текст кнопка нас оповещает что необходимо установить рекомендуемые разрешения. Соглашаемся и нажимаем на эту кнопку

Реально изначально такое действие необходимо для всех файлов. Наша задача в результате увидеть Рекомендуемое действие - что действие не требуется .

Нажмите на рис.

Следующая вкладка "Редактирование файлов PHP"

Во первых править файлы PHP через панель управления WordPress себе дороже. Что то сделали не так обратного возврата нет (CTRL+Z) не работает. Такими делами пусть занимаются профессионалы. А вот безопасность занижена, если есть такая возможность правки.

Ставим галочку "Отключить возможность редактирования файлов PHP"

Аналогично для следующей вкладки "Доступ к файлам WP"

Ставим галочку "Запретить доступ к информационным файлам, создаваемых по умолчанию при установке WordPress.:"

Вкладка "Системные журналы " ничего не трогаем.

________________________________________________________________________________

(Восьмое) WHOIS - поиск

WHOIS (от англ. Кто это?) На этой вкладке настроек - Настроек нет. Здесь информационно аналитическая страница. Можно посмотреть кто вас забрасывает ненужными, неприглядными сообщениями. Впрочем при использовании самого обычного анонимайзера, разобраться чей это IP адрес практически не возможно. И все же получить информацию о добропорядочных сайтах и их владельцах, данный поиск вполне обеспечит.

___________________________________________________________________________________

(Девятое) Черный список

Черный список он и есть черный список.
При желании кого либо забанить вводите его IP адрес и он начнет к вам приходить с другого адреса.

_____________________________________________________________________________________

(Десятое) Файрволл

Firewall или Брандмауэр (стена безопасности) – программное средство плагина по защите сайта
Используется метод добавления в Ваш файл .htaccess некоторых специальных директив.

Каждая опция настройки файрволла имеет подробное описание всех функций данной опции. Нажимаете на + Подробнее. правый край

Итак открываем в настройках "Файрволл"

Вкладка Базовые правила файрволла

Везде ставим галочки. Нажимаем на "Сохранить основные настройки брандмауэра"

Вкладка Дополнительные правила файрволла

Везде ставим галочки (последний пункт проанализируйте многие Web мастера советуют галочку не ставить - могут быть проблемы с комментариями на вашем сайте). И нажимаем на "Сохранить дополнительные настройки брандмауэра "

Вкладка Настройки 5G файрволл

Галочку ставим и нажимаем на "Сохранить настройки 5G файрволл"

Вкладка Интернет - боты

Пропускаем. Галочку для этой опции не ставим. Могут и поисковые роботы не попасть на наши страницы и будут проблемы с индексацией сайта.

Вкладка Предотвратить хотлинки

Ставим галочку, защищаем от нагрузок сервер от использования на других сайтах наших картинок

Вкладки "Детектирование 404 " и "Custom Rules "

Не трогаем

___________________________________________________________________________________________

(Одиннадцатое)

Нажмите на рис.


Брутфорс-атака - это атака программных роботов, с задачей простого перебора всех вариантов и комбинаций паролей на сайте.

1). Вкладка защиты от брутфорс-атак предлагает "Переименовать страницу логина"

Пример стандартного входа в панель управления WordPress

http://agrig.ru/ wp-admin на данной вкладке рекомендуется переименовать на свое усмотрение.

Ставим галочку "Включить опцию переименования страницы логина:"

Ниже строка Адрес (URL) страницы логина:

активируем поле (http://agrig.ru/поле )

и в это поле записываем - к примеру dz-wp

В результате получим адрес входа в панель управления

http://agrig.ru/ dz-wp
Зловредный робот уже не найдет такого адреса!

2). Вкладка
"Защита от брутфорс-атак с помощью куки"

Данную защиту обязательно надо применять, тем кто пользуется только одним браузером.

Я, данной защитой не пользуюсь. Работаю с нескольких браузеров, часто чищу куки.

3). Вкладка CAPTCHA на логин.

Данную защиту так же не использую.

Получается для себя же дополнительно ввожу проверку, а не робот ли я?. Хотя ситуации могут быть разные.

4). Вкладка «Белый список для логина»

Функция белого списка All In One WP Security дает возможность открыть доступ на страницу логина WordPress только с определенных адресов или диапазонов IP.
Эта функция запретит доступ на логин для всех адресов IP, которых нет в белом списке ниже.
Для этого плагин запишет соответствующие правила в файл.htaccess.
Пропуская / блокируя разные IP-адреса с помощью директив файла.htaccess, Вы используете первую линию обороны, т.к. доступ к странице логина будет открыт только IP-адресам из белого списка. Все остальные адреса будут заблокированы, как только пытаются открыть страницу логина.

Это цитата из информации разработчиков плагина. Действительно если использовать данную защиту, то реально можно забыть вообще, что такое брутфорс-атака.

Я, пока не пользуюсь, приходится часто заходить с разных IP адресов. Но воспользуюсь немедленно, когда стационарно определюсь и конечно же если, последует хотя бы одна атака.

5). Вкладка "Бочка с медом (Honeepot)"

А вот здесь обязательно ставим галочку для опции "Активировать медовый боченок (honey pot) на странице логина:"
Нажимаем "Сохранить настройки"

Роботы которые пытаются залогиниться методом перебора парольных комбинаций - допускаются к заполнению формы входа. Но в результате прописывают в форме свой адрес прописки. И с почестями перенаправляются к себе домой. "Вляпался студент"

_______________________________________________________________________________________

(Двенадцатое ) Защита от SPAM

Нажмите на рис.

Со спамом, я столкнулся буквально с первых дней создания сайта. Первыми о его существовании прознали боты. Стали появляться комментарии (абракадабра) к различным записям. С этим нужно было что то делать. По рекомендации установил плагин "Akismet" Проблема была решена.

Плагин "All In One WP Security" так же в своем арсенале имеет хорошие инструменты борьбы с этой напастью.

На вкладке "Спам в комментариях" Предлагается Активировать CAPTCHA в формах для комментариев:

Мое мнение излишне лепить, накручивать и дополнять форму комментариев на своем сайте, но каждый решение принимает сам\. ставить или не ставить галочку.

А вот следующий инструмент "Блокировать спам-ботов от комментирования:" Галочку ставим обязательно и нажимаем на "Сохранить настройки"

Вкладка "Отслеживание IP - адресов по спаму в комментариях" Информационно аналитическая вкладка.
Можно посмотреть откуда особо рьяные боты и принять решение.

Вкладка "BuddyPress"

BuddyPress - это плагин расширения и дополнительных возможностей работы в социальных сетях У кого этот плагин установлен и активирован тогда и в плагине "All In One WP Security" будет активирована данная вкладка.

______________________________________________________________________

(Тринадцатое) Сканер

Нажмите на рис.


Вкладка "Отслеживание изменений в файлах"

Здесь предоставляется информация о различных изменениях в системных файлах сайта.

Если учесть, что данные файлы изменяются очень редко и как правило под личным контролем. То любое изменение или дополнение файла без вашего ведома, незамедлительно до вас будет доведено, с конкретными указаниями где и что добавлено или изменено.

Совершенно не означает, что подобные проблемы прийдется решать еженедельно, ежемесячно. Но процесс сканирования должен работать.

Ставим галочку на "Активировать автоматическое сканирование изменений файлов:"

В полях игнорирования, можно отметить файлы, которые будут часто изменяться.

Помечаем галочкой "Отправить Email когда найдено изменение:" Уточнить соответствие почты, или заносим другой свой Email.

Вкладка "Сканирование от вредоносных (malware) программ" Данный инструмент платный (7-9 долларов в месяц). Приобретаем по желанию. Но если неожиданно ваш сайт в поисковых системах попадает в черный список - без такой программы не обойтись. Будем бдительны, Своевременно будем реагировать на подозрительные явления. До черного списка сайт не доведем.

Примечание: Устан авливаем все еще один плагин. Название плагина AntiVirus .

Плагин "AntiVirus"

Установка стандартная. После активации - Клавиша "Настройки" В выпадающем меню нажимаем на "AntiVirus"

Настраиваем автоматическое сканирование.

Enable the daily antivirus scan - Ставим галочку включить автоматическое сканирование.
Alternate e-mail address for notifications - Указываем свой альтернативный Email.
Malware and phishing detection by Google - Ставим галочку Обнаружение вредоносных программ и фишинга в Google.

_________________________________________________________________________

(Четырнадцатое)

Нажмите на рис.


Полезная утилита. Можно на время закрыть сайт для посетителей и провести необходимые работы на сайте.

Сменить шаблон сайта или просто дизайн рабочего шаблона. Проверить или исправить работу плагина. Провести серьезные изменения в записях или на страницах сайта.

Для этого на странице

ставим галочку "Включить режим обслуживания:"

В поле визуального редактора пишем что должны видеть посетители вашего сайта (Пример на рисунке)

Нажимаем

После окончания работ - Снимаем галочку и нажимаем "Save Site Lockout Settings"

____________________________________________________________________________

(Пятнадцатое) Разное

Данные инструменты во всех трех Вкладках На безопасность сайта никакого влияния не оказывают. От копирования страницу не скрыть. Так дополнительные трудности и чуть побольше надо времени, что бы такую страницу скопировать. Я нигде ничего не активировал. Посмотрите может быть для вас что нибудь окажется нужным.

Открываем "Панель управления" WP Security

ИТОГ НАСТРОЕК

Нажмите на рис.

Вот такая картинка говорит о хорошем обеспечении безопасности сайта.

Гнаться до максимальных показаний "Измерителя уровня безопасности" Не стоит. Ведь везде и всюду закон одинаков
"В чем то выигрываешь, в чем то проигрываешь"
Можно так закрыться от всего, что и самому ничего не видно будет. Или посетителям устраивать бег с барьерами по лабиринту.

Обратите еще внимание на Текущий Статус Самых Важных Функций - ВСЕ ВКЛЮЧЕНО . Если чего то нет не стесняемся - Добираем.

Возможно на просторах интернета есть что то и получше в обеспечении безопасности, мне пока не попадалось. Если кто то знает делитесь.

Главное: Сайт создан. Безопасность обеспечена. Теперь в спокойной обстановке можно решать следующие свои задачи.

УСПЕХОВ!

Привет, ребята! Когда твой сайт становится немного раскрученным, появляются постоянные читатели, получаешь огромное удовольствие. Вроде бы все круто. Растет и поток денег, и отклик получаешь от аудитории, увеличивается узнаваемость. Но существует и обратная сторона медали. Это завистники, это внимание со стороны недоброжелателей.

Чтобы вы представляли, о чем идет речь: мой блог только за прошлую неделю взламывали 2 раза. Постоянные посетители, думали, заметили. Ребята, я настоятельно рекомендую ознакомиться с данным уроком, потратить время на внедрение советов, о которых говорю, чтобы больше обезопасить свой сайт и сэкономить время, деньги и нервы.

All In One WP Security - это самый необходимый плагин для увеличения безопасности в WordPress. Ставить его нужно всем, кто владеет сайтом на Вордпресс. Всем без исключения.

Если мой любимый - это комбайн в сфере SEO для WordPress, то плагин WP Security - аналог в сфере безопасности. То есть, если благодаря Yoast SEO я перестал нуждаться в нескольких SEO плагинах, то здесь точно также, благодаря All In One WP Security можно избавиться от других плагинов, которые лишь частично выполняют функции данного. Например, как:

  • Login Lockdown;
  • WordPress Database Backup;
  • Anti-XSS attack;
  • и другие подобные.

Огромные плюсы плагина All In One WP Security:

  • бесплатный;
  • настраивается очень просто;
  • практически все переведено на русский язык, поэтому понятно о чем идет речь.

Настройка плагина All In One WP Security

Обязательно сделайте бэкап (резервную копию) перед началом работы (на всякий случай) следующих файлов:

  • база данных;
  • файл wp-config;
  • файл htaccess.

Кстати, резервные копии этих трех файлов можно сделать прямо в данном же плагине, просто в админке перейдите в WP Security - Настройки:

Панель управления

Тут есть очень крутой информер, который показывает уровень защищенности вашего сайта:

Этот показатель поможет держать руку на пульсе и понимать, что еще нужно сделать для улучшения безопасности. Не рекомендую делать все, ради достижения максимальных баллов. Могут быть плохие последствия, ваш сайт может упасть, ошибочно функционировать.

Текущий статус самых важных функций. В этом блоке можно активировать самый необходимый функционал по безопасности вашего сайта (можете пока не трогать их, в ходе настроек по уроку, данные параметры активизируются итак):

Остальные параметры в Панели управления малоинтересны, Вы можете ради любопытства ознакомиться с ними (Информация о системе, Заблокированные IP адреса, AIOWPS.

Настройки

Общие настройки. Тут можно создать резервные копии файлов, о которых я говорил выше. Также отключить функции безопасности и файерволла, если что-то перестало работать.

WP мета-информация. Нажимаем на галочку напротив "Удаление метаданных WP Generator", чтобы не отображать версию WordPress:

Вкладка "Импорт/Экспорт". Здесь можно экспортировать свои настройки, чтобы потом на другом сайте не тратить время на настройки и импортировать в 2 клика все необходимые "галочки".

Администраторы

Пользовательское имя WP. Обязательно (!) смените имя администратора, если оно у вас "admin". Вы не представляете как много и часто подбираются пароли с логином admin. Если еще к тому же пароль очень легкий, ваш сайт легко может быть взломан.

Отображаемое имя. Если на вашем сайте есть аккаунты, у которых имя пользователя и отображаемое имя совпадает, то рекомендуется изменить отображаемое имя (никнейм).

Пароль. Очень интересная вкладка. Тут можно узнать, за какой промежуток времени можно подобрать в автоматическом режиме ваш пароль. Введите свой пароль и сильно удивитесь, насколько быстро его можно взломать. Обязательные условия для усиления безопасности:

  • в вашем пароле должны быть как заглавные, так и строчные буквы;
  • обязательно наличие хотя бы 1-ой цифры, но никак пароль не должен состоять только из цифр;
  • желательно еще наличие какого-либо спецсимвола;
  • длина пароля должна быть более 10 символов.

В итоге у вас должен быть максимальный степень безопасности вашего пароля, что-то в этом роде (пароль ниже домашний компьютер взломал бы за 57 337 лет (!)):

Авторизация

Обязательно включите эту функцию. Если пароль в течении 5-ти минут (по умолчанию) введется 3 раза неправильно, то IP блокируется на 60 минут (тоже по умолчанию). Я не рекомендую ставить блокировку больше по времени, а то можно столкнуться с тем, что сами администраторы вводят логин 3 раза неправильно, ставят блокировку на 10 лет и не знают что делать. Оставляем по умолчанию 60 минут и не паримся.

Также я рекомендую поставить галочку напротив "Сразу заблокировать неверные пользовательские имена". К примеру, вы поменяли логин с admin на krutysh, то при вводе логина admin в поле для авторизации, сразу же заблокируется IP адрес. "Уведомлять по email" - тут по мере необходимости. Я не люблю лишний спам, поэтому здесь галочку не ставлю.

Итоговые настройки данной вкладки у меня выглядят так:

Если вам любопытно, можете глянуть список заблокированных IP, ссылка на раздел приводится в данной же вкладке ниже.

Ошибочные попытки авторизации. Вот здесь как раз видны те логины, которые подбираются. Чаще всего у меня сверкают логины admin, root, font. Также видны время "попыток". Обратите внимание, как часто пытаются войти в админку:

Автоматическое разлогинивание пользователей. Рекомендую тоже включить данный чекбокс. Позволяет через определенное количество минут завершить сессию и разлогинить пользователя. Я ставлю 600 минут:

Вкладки "Журнал активности аккаунта" и "Активных сессий" носят информационный характер.

Регистрация пользователей

Ставим галочку напротив "Активировать ручное одобрение новых регистраций":

Да и можно поставить галочку CAPTCHA при регистрации:

Конечно, если нельзя зарегистрироваться другим людям на вашем сайте, верхние 2 пункта просто бесполезны, от них не станет ни лучше, ни хуже. Но, если вы сомневаетесь, лучше поставьте галочки в этих пунктах.

Защита базы данных

Здесь будьте аккуратны во вкладке "Префикс таблиц БД". Прежде чем поставить галочку, обязательно сделайте резервную копию своей базы данных (там же увидите ссылку на создание бэкапа своей БД). Если боитесь, сомневаетесь, лучше оставьте без галочки:

Резервное копирование БД. Здесь уже ставим галочку, выбираем частоту создания бэкапов и их количество. У меня. к примеру, такие цифры:

Защита файловой системы

Доступ к файлам. Здесь в правой части у вас будут кнопки, вам нужно будет изменить права доступа к файлам, нажав на эти кнопки. В результате все строчки у вас должны стать зелеными:

Редактирование файлов PHP. Если вы не правите свои PHP файлы через админку, ставим галочку. Править файлы через админку я не рекомендую хотя бы потому, что у вас нет возможности нажать CTRL+Z в случае чего и вы не сможете вернуть файл в исходное положение:

Доступ к файлам WP. Ставим галочку:

Системные журналы. Оставляем по умолчанию.

WHOIS-поиск

Можете вбить IP адрес, либо домен для получения WHOIS какого-либо домена. А так по сути тут нечего трогать.

Черный список

Если у вас нет недоброжелателей, можете не включать данный пункт. Если какой-то IP адрес постоянно сверкает в комментариях, к примеру, можете включить чекбокс и внести данный IP в черный список.

Файрволл

Базовые правила файрволла. Если вы не делали до этого момента резервную копию htaccess, то обязательно делаем его. И ставим галочки напротив всех пунктов:

Дополнительные правила файерволла. Тут тоже включаем все галочки:

UPDATE: ниже во вкладке "Дополнительная фильтрация символов" я убрал галочку, потому что некоторые комментарии не проходили, отдавали 403 ошибку. Наверное, все-таки, вам тоже я посоветовал бы убрать эту галочку , чтобы не было у пользователей проблем с комментированием.

Настройки 5G файрволл. Тоже включаем:

Интернет-боты. Здесь могут возникнуть проблемы с индексацией, поэтому я рекомендую не включать данный пункт.

Предотвратить хотлинки. Тоже включаем.

Custom Rules. Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.

Защита от брутфорс-атак

Переименовать страницу логина. Включаем. Меняем адрес логина на свой:

Защита от брутфорс-атак с помощью куки. Я не включаю данную функцию, чтобы не было проблем со входом с разных устройств.

CAPTCHA на логин. Можете включить CAPTCHA при авторизации, я же не включаю:

Белый список для логина. Так как я часто захожу на сайт с разных мест, IP у меня разный, поэтому данную опцию я не включаю:

Бочка с медом. Создается дополнительное поле, которое видят только роботы. Поэтому, при заполнении данного поля, робот будет перенаправлен на свой адрес. Включаем:

Защита от SPAM

CAPTCHA в форме комментариев. Я не включаю, так как не люблю усложнять комментирование, а вот функцию "Блокировка спам-ботом от комментирования" рекомендую включить:

Отслеживание IP-адресов по спаму в комментариях. Тут можно глянуть на "частосверкающие" IP по спаму в комментах и занести их в черный список.

BuddyPress. Добавляет CAPTCHA в форме регистрации BuddyPress. Я не использую ее.

Отслеживание изменений в файлах. Рекомендую включить, так как часто при взломе сайтов не совсем понятно, какой файл изменили, где искать вредоносный код. А с помощью этой функции сможете отследить изменения в файлах вашего сайта и быстро найти тот файл, который изменялся в последнее время.

Сканирование от вредоносных программ. Функция платная, стоит от 7$ в месяц.

Режим обслуживания

Позволяет "закрыть" сайт на время, чтобы сделать какие-то правки. То есть посетителям сайта будет предложена "заглушка", что ведутся работы на сайте. Полезно при смене дизайна, проверке работоспособности плагинов.

Разное

Защита от копирования текста и прочее. Здесь я нигде в трех вкладках не ставлю галочки. Тоже рекомендую не ставить.

Итоги

После завершения всех этих настроек, вы можете перейти в "Панель управления" и глянуть показатель уровня безопасности, у вас должно получится что-то вроде этого:

Повторюсь, не нужно необдуманно делать все, чтобы достигнуть максимально возможного балла. Не занимайтесь ненужным вредом для своего сайта, его работоспособности и удобства.

Если возникнут вопросы - пишите. Спасибо отдельное за ретвиты и репосты, за то, что помогаете людям донести эту важную информацию.

Сергей Арсентьев

Безопасность WordPress в 2 клика с помощью All In One WP Security

Безопасности в WordPress уделяется немало внимания, и все равно бывают случаи взломов сайта. Однако можно воспользоваться специальным плагином и значительно увеличить защиту вашего сайта, тем более что сделать это можно буквально в 2 клика.

Зачем вообще нужно повышать безопасность WordPress?
Конечно, чтобы избежать взломов и несанкционированного использования пространства сайта.

Но неужели это так плохо? Ну и пусть ломают - у меня все равно брать нечего!

Дело не в самом взломе, а в его последствиях. Хакеры ломают сайты не просто так, они начинают рассылать от вашего имени спам, расставляют ссылки на другие сомнительные сайты, становятся рассадниками вирусов и прочей заразы. Поисковые системы довольно быстро это распознают и реагируют с помощью уведомлений, предостерегая посетителей, переходящих на сайт примерно такой вот формой:


Редкий смельчак отважится все-таки перейти на заразный сайт, поэтому трафик из поисковых систем взломанных сайтов падает в разы. А вместе с посещаемостью доходы владельцев сайтов также стремительно снижаются.

Поэтому, несмотря на то, что взломать можно любой сайт, но я рекомендую максимально усложнить злоумышленникам эту задачу: в результате, возможно, отпадет желание связываться именно с вашим сайтом, когда вокруг множество менее защищенных и простых для взлома сайтов.

Я устанавливал на сайты разные плагины для повышения безопасности WordPress (они еще часто называются firewall), но порекомендую вам тот, который лично я считаю самым лучшим по большинству параметров, это - All In One WP Security .

Его основные преимущества:

  • бесплатный
  • удобный русскоязычный интерфейс
  • множество вариантов защиты
  • частое обновление
  • мгновенный импорт и экспорт настроек

Инсталлируется он как обычный плагин Вордпресс (если не знаете как это сделать, то читайте " "). Так что с установкой у вас проблем возникнуть не должно.

Но затем еще нужно будет настроить All In One WP Security, то есть выбрать и активировать параметры защиты. Их много, включать стоит далеко не все, иначе сайт может просто оказаться неработоспособным. Так какие параметры нужно выбрать обязательно, а какими стоит пренебречь?

Ниже в статье я дам ссылку на файл импорта лично моих настроек, которые я использую для повышения безопасности на большинстве сайтов - вы сможете их импортировать и, таким образом, не разбираться с настройками программы, которых очень много. Поэтому если все эти описания настроек вам неинтересны, мотайте вниз до социального замка и получайте ссылку на готовый файл с настройками . Там же будет краткая инструкция по добавлению в свой плагин All In One WP Security.

А я пока в двух словах опишу настройки плагина.

Основные настройки All In One WP Security

Настроек плагина довольно много, они все собраны в панели управления, в пункте WP Security:

Начнем по порядку.

Панель управления

Здесь удобно собрана основная информация по системе: текущий уровень защиты, задействованные основные настройки, версия php сервера, логи заходов пользователей в админку и так далее. То есть на этой вкладке менять нечего - она играет информативную роль.

Стремиться к тому, чтобы у вас было задействовано максимум очков защиты - не стоит. Ведь в этом случае некоторые другие плагины могут быть заблокированными, и сайт может не функционировать должным образом. Важно в целом устранить наиболее уязвимые и очевидные "дыры" не в ущерб удобству и функционалу сайта.

Настройки

Здесь вы можете создать бекапы основных файлов WordPress, в которых плагин меняет параметры безопасности: .htaccess и wp-config. Если, конечно, не сделали еще это через FTP (читайте " "). Обязательно сделайте это перед внесением изменений в настройки плагина.

Важный пункт это "WP мета информация" .
Установите галочку, это уберет из кода сайта информацию, что он создан на базе WordPress, это повысит безопасность от массового сканирования хакерскими роботами версий сайтов.

И последний пункт - это "Импорт и экспорт" .
Именно здесь можно быстро экспортировать и импортировать настройки плагина с сайта на сайт.

Администраторы

В данном пункте речь пойдет про аккаунты зарегистрированных администраторов в панели управления.

Общеизвестно, что нельзя использовать стандартные имена администраторов, например, "admin" в WordPress или "administrator" в Joomla. Это крайне негативно влияет на безопасность, ведь когда логин известен, хакеру остается только подобрать пароль.

Так что если у вас в качестве имени администратора используется стандартное "admin", то мысленно выругайтесь в сторону разработчика и быстренько смените его на что-то более сложное. Чтобы это сделать в Вордпрессе нужно завести новый аккаунт пользователя. Старый удалите, все записи свяжите с новым аккаунтом.

Также важно, чтобы имя пользователя совпадало с логином.
И проверьте сложность пароля. Плохим является пароль вроде "serega", нормальным - "serega1212", идеальным - "dfw&uuhsU2%".

Авторизация

Что делать если кто-то несколько раз ввел неверный пароль при попытке входа в админку? По умолчанию система не делает ничего. А если "Включить опции блокировки попыток авторизации ", то система будет блокировать такие подключения после какого-то количества неудачных попыток в течение определенного времени. Количество попыток, время и другие параметры, вы сами задаете в пунктах ниже.

Остальные вкладки в основном информационные.

Регистрация пользователя

Каптча при регистрации актуальна только если у вас на сайте или блоге есть возможность регистрации новых пользователей.

База данных

Обязательно смените префикс таблиц в базе данных. По умолчанию таблицы в базе данных WordPress начинаются с "wp_" - это плохо для безопасности. Выберите "Сгенерировать новый префикс таблиц БД " и установите флажок, чтобы плагин сам сгенерировал что-то вроде "hwy1e2_".

Хоть я менял префикс на многих сайтах WordPress - все было ок, но осторожность лишней не будет: обязательно сделайте бекап базы данных, можно, кстати, прямо на соседней вкладе это сделать.

Файловая система

На основной вкладке "Доступ к файлам " все пункты должны быть отмечены зеленым цветом. Если это не так - просто кликните на соответствующий пункт.

Отметьте флажки и на следующих вкладка "Редактирование файлов PHP " и "WP доступ к файлам ". Вам вовсе необязательно оставлять возможность вносить любые программные изменения через панель управления - лучше это делать через FTP-доступ, который взломать гораздо сложнее, ведь там безопасностью занимаются профессиональные программисты вашего хостера. Плюс не стоит "светить" важные информационные файлы системы.

Whois-поиск

Тут настроек нет, но если к вам кто-то ломится или какой-то неадекватный пользователь оставляет дурацкие сообщения, то можно попробовать узнать о его провайдере и пожаловаться на неадеквата или просто пригрозить ему в личку.

Конечно, если хакер пользуется IP-анонимайзером, толком вы ничего не узнаете, но все равно функция может оказаться полезной, так как в целом можно быстро получать информацию о владельцах сайтов и их контактах.

Черный список

Допустим, вы "пробили" через whois, что на вашем блоге активно в комментариях распространяется спам с ip-адреса частное лицо. Вы можете добавить его в черный список и он не получит доступ к станицам сайта.

Также можно массово банить "левых" роботов, которые могут прочесывать интернет в поисках уязвимостей.

В основном эта функция имеет смысл, если вам активно кто-то пытается взломать. В большинстве случаев эти поля останутся пустыми.

Файрволл

Ну вот и добрались до основной функции плагина - брандмауера. Эти функции рассредоточены по нескольким вкладкам.

Во вкладке "Базовые правила " рекомендую включить оба флажка: "Основные функции брандмауэра " и "Защита от Пингбэк-уязвимостей ". По каждому пункту там подробно расписываются все функции, которые будут задействованы. Это базовые правила - они, как правило, не влияют на работоспособность сайта.

В "Дополнительных правилах " лично я задействую:

  • Просмотр содержимого директорий
  • HTTP-трассировка

Остальные пункты:

  • Комментарии через Прокси-серверы
  • Нежелательные строки в запросах
  • Дополнительная фильтрация символов

на тех или иных сайтах вызывали нестабильности в работе, поэтому я не могу однозначно рекомендовать их к применению.

Если же вы захотите их задействовать, то сделайте бекап htaccess, включите и тщательно протестируйте сайт на прежнюю работоспособность. Попробуйте оставить комментарий, скачать файл, зарегистрироваться, выполнить поиск по сайту, отправить форму обратной связи и т.п. Если все в порядке, то ок, вам повезло

Далее во вкладке "5G-файрволл " можно включить комплексную защиту от хакерских атак через URL сайта. Это полезная функция, однако на моем блоге она вызвала ошибку при скачивании файлов пользователями, поэтому я ее отключил и отключаю на всех других сайтах, так как предпочитаю задействовать только те параметры, которые никогда не вызывают нареканий в работе.

Во вкладке "Интернет-роботы " я не включал флажок, так как все же есть опасения как-то помешать основному роботу Google делать свое дело. Если кто-то сможет развеять мои опасения в комментариях, буду признателен.

"Предотвратить хотлинки " я также оставляю отключенным, так как сам загружаю картинки блога с других сайтов. И отмечал что многие мои клиенты также это делают, например, загружают со своего сайта картинки на разные доски объявлений, форумы и так далее. Но если вы уверены, что нигде не задействуете картинки с сайта, то в целях снижения излишней нагрузки на хостинг, конечно, можете поставить флажок.

"Детектирование ошибок 404 " нужно задействовать только если в логах у вас много подозрительных ошибок ненайденных страниц. У меня на всех сайтах все ок, поэтому и нечего вносить в список IP-адресов, которые нужно банить.

Защита от брутфорс-атак

Что такое "брутфорс"? Это грубая атака, которая заключается в простом переборе всех возможных паролей на сайте. То есть робот заходит на страницу со входом в админку и начинает пробовать то один, то другой пароль.

Назовите страницу входа на свое усмотрение, например, /lg-wp и в вашу админку робот для перебора паролей попасть уже не сможет - он ее просто не найдет!

"Защиту на основе куки " я не применяю - так как часто выхожу в сеть с разных браузеров, плюс периодически чищу куки и поэтому процедура залогинивания с этим параметром была бы довольно утомительной. По этой же причине не использую "Каптчу на логин ". Мне и так хватает всяких каптч в интернете, и поэтому на своем сайте стараюсь свести их к минимуму.

"Белый список для логина " - это почти 100% защита от брутфорс-роботов, так как логин и пароль может вводиться только с конкретного IP-адреса. Но я и мои клиенты часто заходят на свои сайты с разных IP-адресов, например, из офиса, с мобильного телефона, из гостей и так далее. В этом случае защита будет избыточной, так как не пустит на сайт самого владельца. Однако если вы работаете на своем сайте стационарно с одним IP-адресом, то можно задействовать данную функцию.

Защита от спама

Эту защиту я не включал, так как у меня прекрасно работает специализированный плагин Antispam Bee (читать " ").

Сканер

Если вдруг какой-то гад все-таки пробрался через все ваши системы защиты и вставил свой вредоносный код или левые ссылки в файлах сайта, то система вас об этом уведомит. И вы сможете более внимательно и пристально взглянуть на эти изменения: вдруг вас и правда, взломали?

Я сканирую сайты раз в 7 дней, игнорирую картинки, личные файлы, бекапы и т.п. Все это есть в настройках, которые вы сможете скачать в конце статьи.

Остальные вкладки вам вряд ли понадобятся.

Режим обслуживания

Это просто утилита, но довольно полезная. Позволяет временно отключить сайт для всех, кроме админов, если на нем ведутся какие-то работы.

Разное

"Защиту от копирования " я не включаю, так как в современных реалиях проверки уникальности текстов она довольно бессмысленна, а жизнь некоторым пользователям затрудняет. А вот включить флажок "Активировать фрейм-защиту " не помешает, так как она не позволит открывать ваш сайт во фрейме какого-то другого сайта.

WordPress - пожалуй, самая популярная и вместе с тем одна из самых часто взламываемых платформ. Почему-то существует мнение, что если ваш сайт особо никому не интересен, то и взламывать его не будут - зачем? На самом деле угроза взлома есть буквально у каждого сайта (и не только на WordPress), поэтому важно заботиться о защите своей странички. Что можно предпринять - а точнее, какие плагины установить - об этом я и расскажу в этой статье.

Эти советы будут полезны не только в работе с WordPress, но и с любой другой CMS. Они базовые, но, как показывает практика, все равно есть люди, которые о них не знают. Зачем это все делать? Чтобы усложнить жизнь злоумышленнику. Используя данные, которые устанавливаются по умолчанию, хакер может относительно легко взломать ваш сайт, а также вашу базу данных. Поэтому нужно сделать следующее.

1. Измените имя пользователя с admin на другое.

Чтобы это сделать, вам нужно сначала создать нового пользователя в качестве администратора. Сделать это можно вот тут:

После создания пользователя зайдите под его аккаунтом и в списке «Все пользователи» удалите аккаунт “admin”. При этом новый логин постарайтесь сделать каким-нибудь относительно сложным, ну хотя бы состоящим из нескольких слов: vasyapupkin99. Можете свой никнейм использовать, например.

Про пароль писать не буду - лучше воспользоваться тем, который сгенерирует вам Wordpress на стадии создания аккаунта, а не придумывать какой-то свой (который, скорее всего, будет легче).

2. Изменить префикс базы данных с wp на другой.

Существует два пути сделать это: либо самостоятельно правя таблицы в phpMyAdmin (или даже просто в файловом менеджере), либо через плагин. Кратко расскажу об обоих вариантах.

Изменение через phpMyAdmin

Сразу скажу, что это действие требует внимания к деталям и некоторого опыта работы в phpMyAdmin.

Первым делом создайте бэкап базы данных - он поможет вам восстановить информацию, если что-то пошло не так (или вы где-то что-то не то отредактировали).

Теперь зайдите в файловый менеджер и найдите файл wp-config.php, в нем строку $ table_prefix = "wp_";

“wp” надо изменить на что-то другое, менее связанное с WordPress и базами данных. Можно менять даже на произвольный набор букв и цифр (но вам его нужно запомнить или записать).

Внимание. Лучше всего производить это изменение на только что установленном WordPress. На уже запущенных сайтах информации больше - больше данных придется менять.

После этого зайдите в phpMyAdmin (на хостинге Timeweb это можно сделать прямо через панель управления) и найдите базу данных для нужного сайта. Все таблицы этой базы данных нужно переименовать, вместо “wp_” подставляя то, что вы уже написали выше.

Как переименовать: выбираете таблицу в левом столбце, нажимаете вкладку «Операции», далее смотрите блок «Параметры таблицы» и строку «Переименовать таблицу в». После внесения изменений не забудьте нажать «Вперед».

После этого ищите в списке таблицу “…_options”. Выбрав ее, нажмите «Обзор» - в содержимом примерно на второй странице в столбце “meta_key” вы увидите wp_user_roles - измените префикс “wp” на тот, который вы сейчас собираетесь использовать. Сохраните изменение.

Следующая таблица для изменения - “…_usermeta” - аналогичным образом посмотрите ее содержимое и измените все старые префиксы на новые.

Если после редактирования у вас что-то стало работать не так или вообще перестало работать, проверяйте, все ли изменения вы внесли. В крайнем случае используйте бэкап.

Изменение через плагин

Этот плагин не нуждается в представлении, поэтому сразу перейду к тому, что необходимо сделать.

После того, как вы установили и активировали плагин, зайдите в раздел «Защита Базы данных». Там вы увидите строку «Сгенерировать новый префикс таблиц БД» - напишите тот префикс, который хотите поставить (или поставьте галочку около «Отметьте, чтобы плагин сам сгенерировал префикс длиной в 6 случайных символов»), и нажмите «Изменить префикс таблиц». После этого ниже вы увидите отчет от ходе изменения префикса. Чтобы убедиться в том, что ожидаемый результат достигнут, зайдите в phpMyAdmin.

Еще раз напомню, что делать это нужно на новом сайте без статей, так как если на сайте уже есть много информации, плагин может сработать некорректно.

All In One WP Security & Firewall

Раз уж мы уже перешли к использованию этого плагина, то расскажу о других вещах, благодаря которым можно повысить защиту вашего сайта.

В разделе «Настройки» плагина перейдите во вкладку “WP version info” и поставьте галочку рядом с «Удаление мета-данных WP Generator». Так как хакеры зачастую основываются на информации, которую содержат мета-данные, то будет нелишним убрать эту информацию из кода страницы.

Кстати, если вы все еще не поменяли имя администратора (следуя совету выше), то сделать это можно и через этот плагин - во вкладке «Администраторы». Просто напишите новое имя пользователя и еще раз авторизуйтесь в панели (пароль остается прежним).

Здесь же вы можете видеть вкладку «CAPTCHA при регистрации» - тоже активируйте этот пункт.

Теперь переходим в раздел «Файрволл» - здесь ставим галочку в блоках «Основные функции брандмауэра». Остальное можете включить/оставить выключенным по своему желанию.

Раздел «Защита от брутфорс-атак»: вам нужно включить опцию переименования страницы логина и написать желаемый адрес в графе ниже. Тут важно понять - этот адрес будет использоваться для входа в админку, жизненно важно его запомнить !

С этим плагином мы закончили, переходим к следующему.

AntiVirus

Этот плагин сканирует файлы сайта на предмет вредоносного кода. Пользоваться им достаточно просто - после установки зайдите в его настройки и нажмите “Scan the theme templates now”, после этого все файлы вашей темы будут проверены.

Тут же вы можете настроить и ежедневную проверку с отчетом на email.

Во время проверки плагин подсвечивает код, который показался ему подозрительным. При этом все замечания вам лучше проверять внимательно - не всегда речь идет именно о вирусе. Если вы не обладаете навыками в программировании, то можете просто сравнить найденную строчку кода со строчкой в коде этой же темы сайта на вашем компьютере или у разработчика. Если запись присутствует изначально, то опасаться ее не нужно.

Как и другие активные плагины, AntiVirus нагружает сервер (а значит, ваш сайт работает медленнее), поэтому лучше пользоваться им время от времени, чем постоянно держать в активном состоянии.

Wordfence Security

Этот плагин по функционалу схож с предыдущим, ими можно пользоваться параллельно, хуже не будет. Точно так же установите, активируйте, перейдите во вкладку “Scan” и нажмите на большую синюю кнопку “Start a Wordfence Scan”. Кое-какие возможности доступны только для оплаченных (премиум) аккаунтов, но базовый функционал тоже неплох. Если с вашим сайтом все хорошо, то вы увидите зеленую надпись “Congratulations! No security problems were detected by Wordfence”.

Расскажу еще о других плагинах, которые тоже можно использовать для защиты сайта.

Sucuri Security

Вообще Sucuri - это компания, которая специализируется на защите веб-сайтов, поэтому они предоставляют защиту для любого сайта (не только на WordPress). Плагин от этой серьезной компании с внушительной репутацией обладает широким функционалом, представляющим полный цикл защиты сайта, включая предупреждение взлома и атаки на ваш сайт. Можно пользоваться бесплатной версией, а можно купить платную за 16,66$ в месяц - сумма немаленькая, но за такой диапазон защитных инструментов вполне обоснованная.

Для того, чтобы пользоваться бесплатной версией, после установки вам будет необходимо сгенерировать бесплатный ключ (в синем блоке сверху нужно будет нажать кнопку “Generate API Key”, проверить, что введенные данные корректны, и отослать заявку.

iThemes Security

Если Sucuri Security можно назвать лучшим платным плагином защиты, то iThemes Security часто называют лучшим бесплатным плагином, который стоит установить для безопасности вашего сайта. Тем более что сейчас у него более 800 тысяч установок!

Про функционал много писать не буду - как и все другие плагины, iThemes Security направлен на защиту вашего сайта от большинства вещей, которые могут ему угрожать, и в то же время на проверку существующего состояния сайта. Кстати, раньше плагин назывался Better WP Security - возможно, кто-то помнит его по этому названию.

Если в целом говорить об его функциях, то можно выделить следующие стороны этого плагина:

  • скрытие и удаление потенциально уязвимых элементов (об этом было написано в начале статьи - смена логина администратора, префикса базы данных и так далее);
  • защита сайта от атак (сканирование на наличие уязвимостей, защита от брутфорса, шифрование админки и так далее);
  • мониторинг сайта (на наличие внезапных изменений, блокировок и так далее);
  • восстановление (резервное копирование на случай непредвиденной ситуации).

Теперь перейдем к самому использованию этого плагина.

Настройка iThemes Security

Начну с того, что у него есть и PRO (то есть более расширенная) платная версия, поэтому в бесплатной версии доступны не все возможности этого плагина (но их все равно много).

После установки активируйте плагин и переходите в раздел «Настройки». В синем блоке сверху вы сможете включить защиту от взлома методом полного перебора (Network Brute Force Protection) - для этого нужно запросить API ключ, который автоматически будет добавлен в настройки (но также отправлен вам на почту).

Нажмите “Security Check ” (самый верхний левый блок или в меню под «Настройки») и нажмите “Secure site”. После этого вы увидите список включенных модулей.

Следующий блок - «Основные настройки » (справа от “Security Check”). Так как плагин почти полностью переведен, каждый пункт имеет свою расшифровку - советую пробежаться по ним всем и посмотреть, что из этого наиболее актуально для вас (даже если не будете пользоваться, будете хотя бы знать, где что находится).

В режиме «Нет на мест е» вы можете установить время, когда административная панель будет недоступна. На постоянной основе этим можно не пользоваться, но вы можете использовать это для подстраховки, когда находитесь далеко от компьютера. При этом настроить можно как на постоянной основе (например, каждую ночь), так и один раз в определенный день и период времени.

Блок «Заблокированные пользователи » - тут все понятно, помещайте сюда всех, кого нужно заблокировать.

Local Brute Force Protection ” - это блок защищает от взлома путем перебора паролей. У вас он уже включен, настройки можно оставить по умолчанию.

«Резервные копии базы данных » - настройка резервного копирования, в бесплатной версии речь идет только про базы данных.

«Обнаружение изменений файлов » - крайне полезная функция, которая будет следить за всеми изменениями в файлах сайта; можно быстрее отследить внезапно появившуюся на сайте активность. Обязательно включите.

File Permissions ” - блок показывает права доступа к файлам.

Network Brute Force Protection ” - сетевая защита от брутфорса заключается в том, что если хакер пытался взломать чей-то другой сайт, доступ к вашему сайту у него будет также заблокирован, даже если он еще не начал атаку на ваш сайт.

SSL ” - вы можете настроить использование SSL в этом плагине, то если у вас сайт на хостинге Timeweb, я советую использовать настройки в панели управления сайтом.

Strong Password Enforcement ” - если ваш сайт предполагает регистрацию других пользователей (форум, блог…), тогда это настройка будет полезной, пользователям придется выбирать только сложные пароли для своих аккаунтов. В остальных случаях ее можно не использовать.

«Тонкая подстройка системы » и «Подстройка WordPress » - эти дополнительные настройки нужны для того, чтобы еще больше усилить защиту вашего сайта. Но есть один нюанс - включение некоторых настроек может повлиять на работу плагинов. Поэтому не стоит выбирать все сразу - включайте по одному пункту и проверяйте работоспособность вашего сайта.

Наконец, «WordPress Соли » - настройка позволяет добавить к паролю секретный ключ, подобрать который будет намного сложнее, чем пароль отдельно. Обычно это случайный набор символов, который добавляется при хэшировании. Периодически пользуйтесь этой настройкой («Изменить WordPress Соли») для того, чтобы сменить соль.

О разделах все. В платной версии их больше, но и этих вполне хватает для того, чтобы защитить сайт от многих популярных видов взлома.

Заключение

Плагины - это существенный элемент безопасности вашего сайта, но хочу напомнить, что он не единственный. Не забывайте следить за обновлениями WordPress и плагинов, регулярно меняйте пароли и делайте бэкапы.

Статьи в этой же категории

А сегодня, друзья мои, будем защищаться.

Да. Именно так. От кого? От тех товарищей-подонков, которые будут покушаться на наше «блогосостояние». Кто эти люди я не могу сказать, но они есть и не могу взять в толк, почему под их ногами не горит земля. Почему на их головы не идет каменный дождь и они не захлебываются слюной своего злорадства.

А коли такие люди существуют, то от них нужно адекватно защищаться. И мы сегодня поставим вам супер-клевый плагин для защиты вашего блога.

Будьте уверены, не одна сука не проникнет в ваш блог и не напакостит вам, после того как вы его поставите.

А плагин этот All In One WP Security.

Я раньше пользовался конечно плагинами защиты и как-то особо не беспокоился о безопасности, логин естественно ADMIN, пароль из пяти букв, и естественно это было до поры до времени. В плагины и не заглядывал никогда, ну стоит, да стоит, значит охраняет. Короче в темную все.

А когда хакерская атака прорвала эту защиту и начала перегружать хост, то тут я задумался… И совершенно случайно надкнулся на плагинчик, который мне показался очень милым и доброжелательным. И в то же время очень серьезным охранником, послушав которого и выполнив его указания вы будете под надежной защитой.

Конечно, пока вы будете молодой блогер и пока ваш путь будет в стадии развития, беспечность прокатит. Но когда вы наберете вес и станете локтями расталкивать конкурентов, освобождая место под солнцем, у вас появятся завистники и недоброжелатели. Поэтому с самого начала возьмите в привычку хорошо защищаться.

Так чем же хорош этот плагин All In One WP Security?

  • Надежный;
  • Бесплатный;
  • Русcифицированный;
  • Простой.

Установить его на WordPress нужно по стандартной схеме: Плагины-Добавить новый, в поиск вбиваем All In One WP Security, Enter, первый, и это не случайно, будет он родимый…

Перейдем к настройке плагина All In One WP Security

Советую перед установкой сделать копию с вашей Базы данных. 1. Сама База данных. 2. Файл файл wp-config. 3. файл.htaccess.

И все это, как все-таки удобно, можно сделать в настройках самого плагина.

Панель управления

В меню админки находим WP Security, подменю плагина Панель управления.

Первое что бросается в глаза, это этакий манометр нашей защищенности и диаграмма проделанной работы плагина. Это вообще круто.

Что хочу сказать. ВАЖНО! Не увлекайтесь защитой до максимума. Не доводите давление защиты до критического. Чревато последствиями сбоем в работе сайта. Так говорят, сам не испытывал никаких проблем, наверное просто потому что просто держу чуть больше половины положенного.

Здесь в панели управления больше ничего не делаем и переходим в настройки.

Настройки

Вот именно здесь мы делаем копии нашего сайта и Базы данных. Здесь же мы будем, при необходимости отключать Файервол, если понадобится.

Во вкладке WP мета информации поставьте галочку

Во вкладке «Импорт/Экспорт» делаются действия по экспорту ваших настроек в какой-то другой сайт, если у вас есть, чтобы не ставить все галочки, которые мы сейчас будем проставлять. В два клика все будет сделано.

Администраторы

Пользовательское имя WP.

Здесь меняйте имя администратора и это сделать НАДО. По умолчанию admin или wp-admin. Измените на другое, к примеру myblog-admin, или Ja-Vasja-Ivanov. И вообще забудьте слово admin раз и на всегда.

Отображаемое имя .

Придумайте любое имя, кроме admin. И еще советую если у вас сайте несколько аккаунтов, делайте отображаемые имена разными.

Пароль.

Самая интересная вкладочка. С нашим монометром, на котором в секунду можно определить степень взламываемости вашего пароля. Просто вписывайте предпологаемый пароль в строку прибора, он сразу же будет выдавать вам время, за которое он может быть взломан. В нашем случае 9 лет 6 месяцев.

Авторизация

Блокировка авторизаций.

Включите так, как скриншоте. Разумно ставить значения, которые сообразны со здравым смыслом. Например если за 5 минут неправильный пароль был набран 3 раза, то ваш IP заблокируется на час. Так стоит по умолчанию. Я соглашаюсь с таким раскладом. Вы можете изменить, только в разумных пределах.

Заблокированные IP можно посмотреть ниже.

Ошибочные попытки авторизации.

Вот здесь видно тварей. Отслеживайте кто часто лезет и принимайте меры. У меня пока один, это потому что недавно очистил список.

Автоматическое разлогинивание пользователей.

Включаем и ставим время 600 минут, через которые пользователь будет отключен.

Журнал активности аккаунта » и Активных сессий информативные.

Регистрация пользователей

В Подтверждении вручную и CAPTCHA при регистрации ставьте галочки в чекбоксы.

Префикс таблиц БД .

Я не стал ставить здесь ставить галку, но если вы захотите поставить, то сделайте сначала резервную копию своей Базы данных. На всякяий случай.

Резервное копирование.

Ставим галку и назначаем частоту их создания. Так же назначаем количество этих бэкапов, которые будут храниться в специальной директории плагина.

Защита Файловой системы

Доступе к файлам.

Редактирование файлов PHP.

Это для тех, кто правит файлы черезадминку. Ставьте, если не правите, не ставьте, если правите. Но вообще не рекомендуют править файлы в админке. Хотя дело каждого. Хотя если что накосячите, у вас не будет возможности все быстро вернуть клавишами CTRL Z.

Доступ к файлам WP.

Ставим Галю, тем самым запрещаем доступ к информ-файлам WordPress

Системные журналы.

Как есть, так и оставляем

WHOIS-поиск

Я ничего не делал. Не нужно мне узнавать какую-либо информацию о том или ином IP.

Черный список

Это для тех, кто часто светится на вашем сайте с подозрительными намерениями, вы их можете увидеть в (Авторизация — блокировка авторизаций — заблокированные IP). Если такие есть, то ставьте галку и прописывайте эти IP.

Файрволл

Базовые правила файрволла .

В первую очередь делайте ко пию файла.htaccess если вы еще не сделали ее и ставьте галочку.


Дополнительные правила файрвола.

А в Дополнительной фильтрации символов не ставим галку. Могут проходить не все комментарии, выдавая ошибку 403, что тоже не очень хорошо.

Настройки 5G

Включаем

Интернет-боты.

Не включайте чекбокс

Предотвратить хотлинки.

Включаем

Детектирование 404.

Включаем и ставим время 5 минут

Защита от брутфорс-атак

Защита от брутфорс-атак с помощью куки.

Не включать, если не хотите испытывать проблемы с разного рода устройствами.

CAPTCHA на логин.

Не знаю как вы, если хотите капчу включить, включайте. Я этого не сделал.

Белый список для логина.

Не включайте. Наверняка будете входить на свой блог с разных устройств, мест и IP.

Бочка с медом.

Включаем

Защита от SPAM

Спам в комментариях.

CAPTCHA в форме комментариев — Не ставим. Блокировка комментариев от спам-ботов — Ставим

BuddyPress.

Добавляет CAPTCHA в форме BuddyPress. Нет надобности использовать.

Сканер

Я так понимаю процесс порчи при взломе. Хакеры меняют какие-то файлы в системе, не найдя которые попытки восстановить сайт не увенчаются успехом. Так вот при помощи этой функции можно отследить что именно изменялось в ближнем времени. Я просто восхищаюсь… Включаем автоматическое сканирование файлов.

Сканирование от вредоносных программ.

За это нужно платить.

Режим обслуживания

Прошу обратить внимание на смысл этого сервиса. Включить режим обслуживания означает выключить ваш сайт вообще. Он не будет виден никому, в том числе и роботам, соответственно и не будет индексироваться. Поэтому имейте это ввиду и не ставьте без острой необходимости эту галку.

Ваш покорный слуга отключил сайт на 2 дня, пока не заметил падения посещаемости и поиск причины.

В текстовом поле напишите что будут видеть посетители на время отключения сайта.

Разное

Здесь я понимаю только защиту от копирования. Галку не ставлю, пусть копируют все, это же так приятно)))

Результат

Плагин мы настроили. Зайдем в панель управления и посмотрим новый уровень безопасности. Уверен, он стал намного выше, чем был. Теперь вы можете быть спокойным за безопасность вашего сайта.

А еще, что характерно, будете сюда заглядывать регулярно, чего не делали раньше с подобного рода плагинами.

Пользуйтесь, живите и работайте спокойно и продуктивно.

До встречи в сети!