Wp security плагин. Лучший плагин для защиты WordPress

Доброго дня всем читателям, обсудим сегодня еще раз вопрос безопасности сайта на WordPress. Но не абстрактно, а на примере настройки отличного плагина All In One WP Security & Firewall который я вполне успешно использую на ряде своих сайтов и могу смело порекомендовать вам.

All In One WP Security & Firewall относится к числу универсальных защитников WordPress о которых вы можете почитать . Этакий «гвардеец на все руки» и в принципе, осуществляет комплексную защиту по очень многим параметрам. У плагина хороший рейтинг пользователей и он совершенно бесплатен.

Одно из важных достоинств в том, что All In One WP Security & Firewall прекрасно переведен на русский язык и освоение всех его особенностей не представляет труда для тех кто не слишком хорошо изучал иностранные языки в школе. Перевод полный — то есть не только основных функций, но почти всех подсказок к ним. Именно они дадут вам полное представление и понимание необходимости и важности тех или иных настроек.

Структурно плагин состоит из нескольких десятков опций, которые вы вольны задействовать или оставить выключенными. Включение тех или иных опций отображается в специальных флажках. Там же виден приоритет данной опции.

Целью данной статьи я ставлю не столько перечисление настроек (их вы и так сможете легко увидеть, изучить и понять), а своё видение того, что стоит включать, а чем можно по тем или иным причинам, пренебречь. Приступим.

Настройка All In One WP Security & Firewall

Панель управления

• Информационные виджеты с наглядным индикатором защиты, диаграмма всех очков защиты, показ активных сессий и заблокированных IP. Особое внимание стоит уделить виджету — Текущий статус самых важных функций. Тут вы можете сразу, не углубляясь в настройки включить самые важные элементы защиты.
• Информация о системе. Выводится инфо о сайте, версии PHP и всех установленных плагинах. Таб — Заблокированные IP адреса и таб с логами плагина. В начале в этих табах у вас разумеется всё будет пусто.
• Табы — Заблокированные IP и логи. Тут ничего настраивать не надо.

Настройки

• Табы с общими настройками. Ничего не настраивается, но зато можно сразу сделать резервные копии.htaccess, базы данных и wp-config.php. Тут же можно одним махом вырубить все настройки если что-то пошло не так и появились проблемы.
• WP мета информация. Включаем.

Администраторы

• Пользовательское имя WP. Если ваш логин не Admin, то все в порядке. В противном случае — надо обязательно его поменять. Это реально важная «фишка». Если в дальнейшем вы укажите, что бы вам на почту приходили уведомления о временно заблокированных пользователях которые пытались войти с логином Admin — будете неприятно удивлены. У меня это как минимум по 2-5 писем в сутки (см. Блокировка авторизаций).
• Отображаемое имя. Показывает всех зарегистрированных пользователей у кого логин совпадает с именем (ником). Если у вас нет никого кроме вас — список будет пустой. Если есть пользователи, можете заняться исправлением ников. Не слишком важная функция — можно не трогать.
• Пароль. Занятный инструмент который визуально покажет вам надежность любого пароля. Судя по нему имеет смысл задавать сложные пароли длинной не менее 10 знаков.

Авторизация

• Блокировка авторизаций. Полезная функция от подбора паролей. Обязательно включите и настройте на свой вкус параметры или оставьте как есть по умолчанию. Рекомендую, по крайней мере на время, включить уведомления о сработавших блокировках на емейл. Просто, что бы понять, насколько важна эта функция.
• Ошибочные авторизации. Тут статистика. Ничего не надо настраивать.
• Автоматическое разлогинивание пользователей. Не удобная для ваших пользователей штука и при этом дает мало очков безопасности. Можно не включать.
• Журнал активности и Активные сессии — информация и логи.

Регистрация пользователей

• Подтверждение вручную. В общем, вполне полезная функция если у вас на сайте не особо частые регистрации и если они вообще разрешены. Можно включить.
• Капча при регистрации. Устанавливает простую, цифровую капчу на форму регистрации. Мне, честно говоря, не понравилось как она работает. Я использую отдельную — Math Captcha . Вроде бы во всем похожа, но в отличии от встроенной, работает на порядок лучше. Решайте сами, что выбрать.

База данных

• Изменение префикса таблиц вашей базы данных. Стоит включить, но всё таки, советую обязательно сделать заранее бекап БД.
• Резервное копирование БД. Рекомендую включить. Обычно БД не занимают много места и лишним это не будет даже если вы используете еще какой то бекап для сайта.

Файловая система

• Доступ к файловой системе. Установите нужное значение для доступа к папкам в колонке Рекомендуемое действие так, что бы весь список стал зеленым.
• Редактирование фалов PHP. Можно включить запрет на редактирование из админки, если конечно, вы сами не правите файлы таким образом.
• WP доступ к файлам. Запрет доступа к readme.html, license.txt и wp-config-sample.php. Включаем.
• Системный журнал. Настройка формирование лога. Ничего не трогаем.

WHOIS поиск

• Ручная проверка IP адресов. Ничего не настраивается, да и работает почему-то не всегда.

Чёрный список

• Забанить пользователей. Включаем. Как вы понимаете, актуально только в случае если вы сами введете туда какие то IP адреса. Бывает полезно когда нужно быстро забанить очередного идиота хулиганящего в комментах.

Файерволл

• Базовые правила. Почитайте подсказки и включите обе галочки. Стоит перед этим сделать бекап своего файла.htaccess
• Дополнительные правила. Стоит включить все. Однако авторы плагина предупреждают о возможной несовместимости с некоторыми плагинами.
• Настройка 5G. Насколько я понял, включает некий дополнительный брандмаузер. Включайте. Проблем после включения данной опции я не замечал.
• Интернет роботы. По идее, блокирует ложных гугло роботов. Во избежании проблем с полезными роботами, я этот чекбокс на всякий случай, не включал.
• Предотвратить хотлинки. Что это такое — читайте в подсказке. Включаем.
• Отслеживание ошибок 404. Стоит включить, но время блокировки сделайте небольшим. Например, минут 5-10.

Защита от брутфорс атак

• Переименовать страницу логина. Опция полезная, но имейте ввиду, что может возникнуть проблема в том случае если вы разрешили регистрацию на сайте. Например, когда пользователь захочет восстановить потерянный пароль. В целом, стоит хорошенько потестировать после включения. К тому же, некоторые хостинг провайдеры используют эту защиту по умолчанию. Решайте по обстоятельствам.
• Защита от брутфорс-атак, основанная на использовании куки. Как и с предыдущим пунктом, настройка строго индивидуальна. Внимательно читайте подсказки и решайте сами.
• Капча на логин. Если все-таки используете встроенную капчу, то всё лучше всё включить.
• Белый список. Запретит доступ у логину всем кроме тех кто будет указан в списке. Для истинных маньяков, можно не включать.
• Бочка с мёдом. Читайте детально описание этой интересной функции в подсказке. Как мне кажется — можно смело включать.

Защита от СПАМА

• Спам в комментах. Капча в комментариях — включите если используете встроенную капчу. Блокировка спам роботов — помогите своему Акисмету бороться со спам роботами — включайте.
• Отслеживание IP. Можете тут вычислить самых активных спамеров и занести их в черный список.
• BuddyPress. Актуально если у вас стоит этот плагин социальной сети.

Сканнер

• Отслеживание любых изменений в файлах. Как мене кажется, больше предназначено для особо озабоченных, так как изменения в файлах непременно будут иногда происходить. Если хотите всё это постоянно отслеживать и контролировать — включайте.
• Сканирование от вредоносных программ. Платная функция — от 5$ в месяц.

Режим обслуживания

• Тут можно включить «режим обслуживания» для сайта и настроить внешний вид страницы с предупреждением для читателей. Дополнительно читайте .

Разное

• Защита контента от копирования и вставки внутри фрейма. Включение этих никак прямо не влияет на защиту сайта.

Выводы

All In One WP Security мне в целом, вполне понравился и я его использую на некоторых сайтах. По моему, если не лучший, то уж точно — один из лучших подобных плагинов. Справедливости ради отмечу, что ни в коей мере не являюсь экспертом в вопросах безопасности. Всё вышеописанное только результат моего опыта использования и личного мнения. Так что, если у опытных читателей есть свои мысли по настройкам данного плагина или лучшие варианты альтернатив ему, прошу высказываться. На вкус цвет, как говорится…

Статьи в этой же категории

А сегодня, друзья мои, будем защищаться.

Да. Именно так. От кого? От тех товарищей-подонков, которые будут покушаться на наше «блогосостояние». Кто эти люди я не могу сказать, но они есть и не могу взять в толк, почему под их ногами не горит земля. Почему на их головы не идет каменный дождь и они не захлебываются слюной своего злорадства.

А коли такие люди существуют, то от них нужно адекватно защищаться. И мы сегодня поставим вам супер-клевый плагин для защиты вашего блога.

Будьте уверены, не одна сука не проникнет в ваш блог и не напакостит вам, после того как вы его поставите.

А плагин этот All In One WP Security.

Я раньше пользовался конечно плагинами защиты и как-то особо не беспокоился о безопасности, логин естественно ADMIN, пароль из пяти букв, и естественно это было до поры до времени. В плагины и не заглядывал никогда, ну стоит, да стоит, значит охраняет. Короче в темную все.

А когда хакерская атака прорвала эту защиту и начала перегружать хост, то тут я задумался… И совершенно случайно надкнулся на плагинчик, который мне показался очень милым и доброжелательным. И в то же время очень серьезным охранником, послушав которого и выполнив его указания вы будете под надежной защитой.

Конечно, пока вы будете молодой блогер и пока ваш путь будет в стадии развития, беспечность прокатит. Но когда вы наберете вес и станете локтями расталкивать конкурентов, освобождая место под солнцем, у вас появятся завистники и недоброжелатели. Поэтому с самого начала возьмите в привычку хорошо защищаться.

Так чем же хорош этот плагин All In One WP Security?

• Надежный;
• Бесплатный;
• Русcифицированный;
• Простой.

Установить его на WordPress нужно по стандартной схеме: Плагины-Добавить новый, в поиск вбиваем All In One WP Security, Enter, первый, и это не случайно, будет он родимый…

Перейдем к настройке плагина All In One WP Security

Советую перед установкой сделать копию с вашей Базы данных. 1. Сама База данных. 2. Файл файл wp-config. 3. файл.htaccess.

И все это, как все-таки удобно, можно сделать в настройках самого плагина.

Панель управления

В меню админки находим WP Security, подменю плагина Панель управления.

Первое что бросается в глаза, это этакий манометр нашей защищенности и диаграмма проделанной работы плагина. Это вообще круто.

Что хочу сказать. ВАЖНО! Не увлекайтесь защитой до максимума. Не доводите давление защиты до критического. Чревато последствиями сбоем в работе сайта. Так говорят, сам не испытывал никаких проблем, наверное просто потому что просто держу чуть больше половины положенного.

Здесь в панели управления больше ничего не делаем и переходим в настройки.

Настройки

Вот именно здесь мы делаем копии нашего сайта и Базы данных. Здесь же мы будем, при необходимости отключать Файервол, если понадобится.

Во вкладке WP мета информации поставьте галочку

Во вкладке «Импорт/Экспорт» делаются действия по экспорту ваших настроек в какой-то другой сайт, если у вас есть, чтобы не ставить все галочки, которые мы сейчас будем проставлять. В два клика все будет сделано.

Администраторы

Пользовательское имя WP.

Здесь меняйте имя администратора и это сделать НАДО. По умолчанию admin или wp-admin. Измените на другое, к примеру myblog-admin, или Ja-Vasja-Ivanov. И вообще забудьте слово admin раз и на всегда.

Отображаемое имя .

Придумайте любое имя, кроме admin. И еще советую если у вас сайте несколько аккаунтов, делайте отображаемые имена разными.

Пароль.

Самая интересная вкладочка. С нашим монометром, на котором в секунду можно определить степень взламываемости вашего пароля. Просто вписывайте предпологаемый пароль в строку прибора, он сразу же будет выдавать вам время, за которое он может быть взломан. В нашем случае 9 лет 6 месяцев.

Авторизация

Блокировка авторизаций.

Включите так, как скриншоте. Разумно ставить значения, которые сообразны со здравым смыслом. Например если за 5 минут неправильный пароль был набран 3 раза, то ваш IP заблокируется на час. Так стоит по умолчанию. Я соглашаюсь с таким раскладом. Вы можете изменить, только в разумных пределах.

Заблокированные IP можно посмотреть ниже.

Ошибочные попытки авторизации.

Вот здесь видно тварей. Отслеживайте кто часто лезет и принимайте меры. У меня пока один, это потому что недавно очистил список.

Автоматическое разлогинивание пользователей.

Включаем и ставим время 600 минут, через которые пользователь будет отключен.

Журнал активности аккаунта » и Активных сессий информативные.

Регистрация пользователей

В Подтверждении вручную и CAPTCHA при регистрации ставьте галочки в чекбоксы.

Префикс таблиц БД .

Я не стал ставить здесь ставить галку, но если вы захотите поставить, то сделайте сначала резервную копию своей Базы данных. На всякяий случай.

Резервное копирование.

Ставим галку и назначаем частоту их создания. Так же назначаем количество этих бэкапов, которые будут храниться в специальной директории плагина.

Защита Файловой системы

Доступе к файлам.

Редактирование файлов PHP.

Это для тех, кто правит файлы черезадминку. Ставьте, если не правите, не ставьте, если правите. Но вообще не рекомендуют править файлы в админке. Хотя дело каждого. Хотя если что накосячите, у вас не будет возможности все быстро вернуть клавишами CTRL Z.

Доступ к файлам WP.

Ставим Галю, тем самым запрещаем доступ к информ-файлам WordPress

Системные журналы.

Как есть, так и оставляем

WHOIS-поиск

Я ничего не делал. Не нужно мне узнавать какую-либо информацию о том или ином IP.

Черный список

Это для тех, кто часто светится на вашем сайте с подозрительными намерениями, вы их можете увидеть в (Авторизация — блокировка авторизаций — заблокированные IP). Если такие есть, то ставьте галку и прописывайте эти IP.

Файрволл

Базовые правила файрволла .

В первую очередь делайте ко пию файла.htaccess если вы еще не сделали ее и ставьте галочку.

Дополнительные правила файрвола.

А в Дополнительной фильтрации символов не ставим галку. Могут проходить не все комментарии, выдавая ошибку 403, что тоже не очень хорошо.

Настройки 5G

Включаем

Интернет-боты.

Не включайте чекбокс

Предотвратить хотлинки.

Включаем

Детектирование 404.

Включаем и ставим время 5 минут

Защита от брутфорс-атак

Защита от брутфорс-атак с помощью куки.

Не включать, если не хотите испытывать проблемы с разного рода устройствами.

CAPTCHA на логин.

Не знаю как вы, если хотите капчу включить, включайте. Я этого не сделал.

Белый список для логина.

Не включайте. Наверняка будете входить на свой блог с разных устройств, мест и IP.

Бочка с медом.

Включаем

Защита от SPAM

Спам в комментариях.

CAPTCHA в форме комментариев — Не ставим. Блокировка комментариев от спам-ботов — Ставим

BuddyPress.

Добавляет CAPTCHA в форме BuddyPress. Нет надобности использовать.

Сканер

Я так понимаю процесс порчи при взломе. Хакеры меняют какие-то файлы в системе, не найдя которые попытки восстановить сайт не увенчаются успехом. Так вот при помощи этой функции можно отследить что именно изменялось в ближнем времени. Я просто восхищаюсь… Включаем автоматическое сканирование файлов.

Сканирование от вредоносных программ.

За это нужно платить.

Режим обслуживания

Прошу обратить внимание на смысл этого сервиса. Включить режим обслуживания означает выключить ваш сайт вообще. Он не будет виден никому, в том числе и роботам, соответственно и не будет индексироваться. Поэтому имейте это ввиду и не ставьте без острой необходимости эту галку.

Ваш покорный слуга отключил сайт на 2 дня, пока не заметил падения посещаемости и поиск причины.

В текстовом поле напишите что будут видеть посетители на время отключения сайта.

Разное

Здесь я понимаю только защиту от копирования. Галку не ставлю, пусть копируют все, это же так приятно)))

Результат

Плагин мы настроили. Зайдем в панель управления и посмотрим новый уровень безопасности. Уверен, он стал намного выше, чем был. Теперь вы можете быть спокойным за безопасность вашего сайта.

А еще, что характерно, будете сюда заглядывать регулярно, чего не делали раньше с подобного рода плагинами.

Пользуйтесь, живите и работайте спокойно и продуктивно.

До встречи в сети!

Всем привет! Сегодня поговорим про безопасность WordPress. Недавно я опубликовал статью, в которой рассказал про . Сегодня от слов к действию. . А в данной статье я расскажу про плагин All In One WP Security & Firewall. Этот плагин обеспечивает большинство пунктов безопасности сайта. Что сводит практически всю настройку безопасности блога к настройке одного плагина. А еще он практически весь русифицирован, что немаловажно для многих пользователей.

Первое что нужно сделать – создать полную резервную копию сайта. Данный плагин достаточно большой и серьезный. Установите плагин обычным способом. Зайдите в админ-панель блога, перейдите в плагины, кликните по кнопке «Добавить новый». В строке поиска введите «WP Security». Установите нужный плагин. Затем активируйте его (Рис 1).

Рис. 1. Установка плагина All In One WP Security & Firewall.

Панель управления

После установки плагин появляется в меню админки под названием «WP Security». Первое подменю — «Панель управления». Здесь собрана сводная информация по безопасности сайта (Рис 2).

Рис. 2. Панель управления плагина All In One WP Security & Firewall.

Давайте разберемся более детально. На данной странице есть несколько закладок.
Панель управления. Первая закладка, одноименная с подменю. Здесь приводится сводная статистика. Уровень безопасности сайта измеряется в баллах («Измеритель уровня безопасности»). За каждый правильно настроенный сегмент присваиваются баллы. Суммарно можно набрать 480 баллов. Это значит, что Вы сделали всё, что только можно. Это не всегда требуется. Например, в этом плагине есть возможность настроить резервное копирование базы данных. Если Вы настроили специальный плагин для резервного копирования, то здесь Вам дополнительно этого делать не нужно. Мой блог из примера с хорошим пользователем (логин не admin, отображаемое имя отличное от ника), и при установке движка я изменил префикс таблиц. Вот за это сразу имею 30 баллов из 480.
Следующий инструмент «Диаграмма безопасности Вашего сайта». Все набранные баллы представлены в виде диаграммы. Можно видеть какой процент от общего количества баллов составляет та или иная настройка.
Следующие два блока бесполезны: «Расскажите друзьям» и «Get to known the developers», что переводится как – получите больше информации о разработчиках.
«Последние 5 авторизаций». В этом окошке будет список пяти последних входов на блог с информацией о том, кто входил и когда.
«Активных сессий». Это окошко отображает, кто сейчас находится на сайте (в админке) с правами больше, чем обычный посетитель.
«Текущий статус самых важных функций». Окошко отображает функции, которые должны быть включены.
«Режим обслуживания». В данном окне есть выключатель, чтобы выключить сайт. Посетители будут видеть информационный текст вместо сайта. Эта функция нужна, если Вы проводите какие-нибудь технические работы на сайте.
«Заблокированные IP-адреса». Когда Вы настроите блокировку IP адресов, здесь будут отображаться заблокированные IP.
Информация о системе. Здесь представлена информация о сайте, о системе, на которой работает движок, а так же список активных плагинов.
Заблокированные IP-адреса. Детально расписаны заблокированные IP-адреса и информация о них.
Permanent Block List. Список временно заблокированных IP-адресов. Например, можно заблокировать IP на час за 3 неудачные попытки ввода пароля входа в админку, чтобы избежать подбора пароля.

Настройки

Рис. 3. Настройки плагина All In One WP Security & Firewall.

В этом подменю несколько закладок.
Общие настройки. В самом начале нам предложены несколько ссылочек, которые создают резервные копии базы данных и некоторых файлов. А дальше 2 кнопки отключения функций безопасности и фаервола. Этими кнопками удаляются все настройки плагина, сделанные на блоге, для повышения безопасности. По сути — это откат в исходное состояние, до настроек плагина на сайте.
.htaccess Файл. В этой закладке всё просто. Создание резервной копии файла.htaccess и восстановление.
wp-config.php Файл. Так же, как и в предыдущем пункте. Создание резервной копии файла и восстановление из нее.
WP Version Info. С этого момента начинается настоящая настройка безопасности блога. Если помните, в статье про безопасность WordPress я рассказывал, что движок выводит информацию о версии в мета-тег блога. Если поставите галочку «Удаление мета-данных WP Generator», то информация о версии движка не будет выводиться на страницах блога. И получите +5 баллов к безопасности.
Импорт/Экспорт. Настройки плагина можно сохранить отдельно и восстановить в случае необходимости или для переноса на другой блог.

Администраторы

Пользовательское имя WP. я рекомендовал не использовать стандартные логины. Плагин рекомендует то же. Если у Вас логин admin, создайте нового администратора, а admin удалите.
Отображаемое имя. В настройках учетной записи нужно настроить так, чтобы отображаемое имя не совпадало с логином.
Пароль. Интересный калькулятор. Можете ввести свой пароль и узнаете, сколько времени потребуется домашнему компьютеру для его подбора. Но учтите, что обычно используются серверы, а иногда группа серверов (кластеры), что значительно ускоряет процесс подбора пароля.

Авторизация

Блокировка авторизаций. А вот моя самая любимая закладка. Поставьте галочку «Включить опции блокировки попыток авторизации», чтобы блокировать неудачные попытки входа – подбор паролей. Все настройки интуитивно понятные. Настраивается, сколько неверных попыток за промежуток времени считается попыткой взлома. И санкции на это. Можете сразу заблокировать пользователя с неверным логином (я так и делаю). Обычно начинается именно с подбора логина. И укажите свою почту. При неудачных попытках входа будет приходить письмо. Также настраиваются белые списки для логина и IP, если Вы заходите с постоянного IP, можете настроить.

Вот на этом этапе рекомендую остановиться и понаблюдать несколько дней за ситуацией. Если Вам интересно, насколько Ваш блог интересен для взлома, и ведется ли подбор пароля к Вашему блогу, то не настраивайте остальные настройки некоторое время. Лично я был удивлен, когда к моему новому сайту был очень сильный интерес.

Ошибочные попытки авторизации. Закладка, на которой представлена информация об ошибочных авторизациях. Лог ошибок входа.
Автоматическое разлогинивание пользователей. Здесь можно настроить время, через которое будет разлогинивание. Немного неудобно, но зато если из Вашего браузера своруют куки (достаточно распространенный тип взлома), то с авторазлогиниванием куками не смогут воспользоваться, так как они будут устаревшими, а сессии входа по ним закрыты. Кто не понял, ничего страшного, просто поверьте, что так безопаснее.
Журнал активности аккаунта. Очень полезная закладка. Заглядывайте сюда время от времени. Кто, когда, откуда залогинивался на блог.
Активных сессий. А эта закладка отображает, авторизованных пользователей, которые сейчас на сайте.

Регистрация пользователей

Подтверждение вручную. Если на сайте есть возможность зарегистрироваться (Вы, кстати, можете об этом не знать), можно сделать ручное одобрение регистраций.
CAPTCHA при регистрации. Поставьте галочку для использования каптчи при регистрации.
Registration Honeypot. Некая закладка на странице регистрации, на которую отреагирует только бот. Человек оставит без внимания.

Защита Базы данных

Префикс таблиц БД. Если во время установки WordPress Вы не изменили префикс таблиц, то плагин поможет Вам это сделать. Только сделайте резервную копию перед преобразованием.
Резервное копирование БД. Плагин предлагает создавать резервные копии базы данных по расписанию. Считаю большим недостатком плагина то, что он может бэкапить только базу. Поэтому предпочитаю другими средствами создавать полные резервные копии. Но данный плагин исправно делает бэкапы базы данных и шлет их на почту.

Защита Файловой системы

Доступ к файлам. На данной закладке нужно настроить права доступа к файлам, чтобы из под скриптов нельзя было изменить важные файлы.
Редактирование файлов PHP. На Ваше усмотрение. Лично я отключаю возможность редактирования PHP из админ-панели. Предпочитаю .
Доступ к файлам WP. В данной закладке запрещается доступ к файлам readme.html, license.txt и wp-config-sample.php. Файлы readme.html, license.txt лучше вообще удалить.
Системные журналы. На этой закладке можно не заходя на хостинг, а прямо из админ-панели просматривать системные журналы. Нужно только уточнить у хостера, где они лежат и как называются.

WHOIS-поиск

Смысл такой. У плагина есть база геолокации. При анализе угроз сайту, у нас есть информация с какого IP-адреса происходило действие (атака). На данной закладке можно посмотреть подробную информацию о IP.

Черный список

Забанить пользователей. Будьте осторожны с данной опцией. Очень много пользователей выходят в интернет под динамическими адресами. И то, что с какого-либо IP происходит атака, совершенно не означает, что через неделю этот IP не будет назначен другому пользователю, который не сможет попасть к Вам на сайт. У меня такое было. Я не мог зарегистрироваться на сайте, потому что мой IP был в черном списке. Пришлось через поддержку сайта решать. А мой IP выдается мне провайдером, и периодически изменяется.

Файрволл

Базовые правила файрволла. На данной странице активируются основные функции файерволла, а так же отключается удаленный вызов процедур XMLRPC. Это технология в основном нужна для взаимодействия мобильных приложений и блога. Если Вы ей не пользуетесь, смело отключайте.
Дополнительные правила файрволла. На этой закладке я не все включаю. Например, зачем запрещать комментарии через прокси. Вполне нормальная ситуация, что у посетителя интернет через прокси. Остальные же настройки нужны. Запрет ввода в строке адреса запрещенных символов — это нужная опция. Обычным пользователям не нужно вводить не стандартные запросы.
6G Blacklist Firewall Rules. Набор стандартных правил защиты блога. Я не хочу вдаваться в подробности, что это, зачем это. Если Вы не понимаете что это значит, просто активируйте стандартные правила файрволла.
Интернет-боты. Некоторые сканеры выдают себя за google ботов, которым разрешено сканирование сайта. Файрволл в большинстве случаев может это отследить.
Предотвратить хотлинки. Очень полезная опция. Иногда в статье делается ссылка на изображение, которое лежит на Вашем сайте. Пользователь кликает по картинке, а фактически трафик идет с Вашего блога, а не с того, где был клик по картинке. Нужно избавить себя от такой лишней нагрузки.
Детектирование 404. Когда начинается анализ сайта и подбор параметров, часто злоумышленник попадает на страницу 404. Это связано с тем, что подбираются некие параметры уязвимости в скриптах. И как правило, это целая последовательность попаданий на несуществующую страницу, можно даже сказать шквал. Такое поведение отслеживается и блокируется.
Custom Rules. Можно вручную прописать правило.

Защита от брутфорс-атак

Переименовать страницу логина. Некоторые хостинг-провайдеры сами переименовывают страницу входа в админ-панель. Это очень важный пункт. Рекомендую переименовать:

Адрес (URL) страницы логина: http://Ваш_сайт.ru/secretpage

Теперь, чтобы попасть в админку вместо:
http://Ваш_сайт.ru/wp-admin

Используйте
http://Ваш_сайт.ru/secretpage

Защита от брутфорс-атак с помощью куки. Плагин использует куки для отслеживания большого количества ошибочных авторизаций. Можно заблокировать такие попытки.
CAPTCHA на логин. Можно использовать каптчу на различных страницах. Я не пользуюсь данной опцией плагина, использую отдельный плагин каптчи. Мне не очень понравилась каптча плагина – слишком примитивная.
Белый список для логина. Если у Вас статический IP-адрес (имеется ввиду адрес компьютера, с которого Вы заходите в админку), то можете прописать свой IP в белый список и к нему не будут применяться никакие санкции плагина.
Бочка с медом (Honeypot). Некий скрытый объект (поле), на которое отреагирует только бот, от человека это поле скрыто.

Защита от SPAM

Спам в комментариях. Можно использовать каптчу в комментариях. А так же есть интересная и полезная функция блокирования спам-ботов. Спам-боты — это обычно скрипты, которые выполняются где-то не на Вашем сайте. А пользователь заполняет форму комментария на Вашем сайте. Это очень легко отследить и отсечь.
Отслеживание IP-адресов по спаму в комментариях. Плагин может самостоятельно принимать решение, что комментарий – спам и блокировать IP-адрес. Сложно сказать, на сколько это правильно. Если небольшое количество комментариев, то можно и вручную отсеять.
BuddyPress. Интеграция с плагином BuddyPress.

Сканнер

Отслеживание изменений в файлах. Классная функция. Мне она очень нравится. Любое изменение любого файла при сканировании будет обнаружено и отправлено на почту в виде отчета. Просмотрев изменения можно понять, что произошло.

Режим обслуживания

Блокирование доступа посетителей к сайту. Можно прекратить доступ к сайту, и вывести какой-нибудь текст. Например, при технических работах.

Разное

Защита от копирования. Интересная функция. Если хотите, можете заблокировать правую кнопку мыши на сайте.
Фреймы. При попытке отобразить сайт, как часть другого сайта в фрейме – плагин заблокирует такое действие. Обратите внимание, что данная настройка влияет на работу вебвизора Яндекс.Метрики.
Users Enumeration. Можно узнать пользователя через запрос вида:
http://Ваш_домен.ru?author=1
Данная опция ограничивает такие запросы.

Немного юмора
Жена звонит мужу на работу, чтобы поболтать.
Муж: - Извини, дорогая, но у меня сегодня дел по горло.
Жена: - Но, милый, у меня есть для тебя новости: хорошая и плохая.
Муж: - Ладно, у меня нет времени сейчас, скажи мне только хорошую новость.
Жена: - Нуу… в общем… подушка безопасности работает.

Удачного освоения материала.

Совсем недавно состоялись ребрендинг и крупное обновление одного из самых успешных и мощных плагинов для защиты WordPress-сайтов. И, несмотря на предупреждения разработчиков, данный апдейт прошел без сучка и задоринки (по крайней мере, у большинства пользователей) . Даже не потребовалось проводить ручную реактивацию плагина, о необходимости которой нас предупреждали ранее.

Подробно о смене названия и о том, чего нам ожидать от iThemes Security в будущем, я уже писал в . Сейчас же я хочу представить вам инструкцию по детальной его настройке. Особенно полезно данное руководство будет тем пользователям, кто не очень хорошо понимает технический английский (плагин пока еще не переведен на русский язык даже частично, как это было ранее) и некоторые специфические технологии.

Как всегда в своих статьях, прежде чем перейти к процедуре "нажми туда, нажми сюда" , предлагаю ознакомиться с теоретической частью. А точнее с тем, что умеет делать и какие новые функции приобрел iThemes Security. Те, кто уже знаком с данным плагином давно, или те, кому все это не интересно, могут сразу перейти ко второй части инструкции.

Возможности плагина iThemes Security (ex-Better WP Security)

Все знают, что главная задача iThemes Security – это защита блогов на WordPress от всевозможных атак. И защита эта, надо сказать, очень качественная и мощная. На данный момент плагин имеет в своем арсенале более 30 способов обеспечения безопасности. А его разработчики не стесняясь называют свое детище "№ 1" среди подобных плагинов.

Да, сразу же хочу указать на одну важную деталь – безопасность чего бы то ни был, никогда не достигается каким-то одним инструментом. Безопасность – это всегда целый комплекс мер. Следует понимать, что только лишь установка iThemes Security (или любого другого схожего плагина) не может гарантировать вам стопроцентную защиту сайта. Поэтому нужно всегда помнить о базовых принципах защиты – соблюдение интернет-гигиены, содержание в чистоте и превентивная защита компьютера от вредоносного ПО и т.д. и т.п. Также не стоит забывать и о человеческом факторе.

Основной функционал iThemes Security можно поделить на несколько блоков.

Скрытие и удаление (obscure) всего того, что может нести в себе потенциальную опасность

• Смена URL страницы входа в админку - очень полезная функция, и в чем-то даже уникальная (вообще в iThemes Security, как и в раннем Better WP Security, очень много уникальных функций).
• Away Mode – полная блокировка админки в заданное время.
• Удаление заголовков Windows Live Write и RSD.
• Запрет уведомлений об обновлении WP, тем и плагинов.
• Смена логина "admin", если он используется.
• Смена дефолтного ID (1) администратора и префикса (wp_) таблиц БД
• Смена директории wp-content.
• Скрытие вывода ошибок при неверном вводе логина/пароля.
• Отображение для не-админов случайных версий плагинов, тем, ядра.

Защита (protect) WordPress сайта

Сокрытие некоторых частей сайта является очень полезным функционалом, но оно не может предотвратить все атаки. Поэтому среди возможностей iThemes Security имеются, конечно же, и методы защиты - блокировка "плохих" пользователей, повышение безопасности паролей и проч.:

• Сканирование сайта и мгновенное уведомление о слабых местах, имеющих уязвимости, и такое же быстрое их устранение.
• Блокировка проблемных User Agent, ботов и т.п.
• Защита от перебора паролей (brute force) путем блокировки пользователей и хостов, после множественных неудачных попыток входа в админку.
• Общее повышение безопасности веб-сервера.
• Принудительное обеспечение пользователей надежными паролями.
• Шифрование (SSL) админки и любых других страниц и записей (нужен сертификат SSL и поддержка сервером).
• Запрет на редактирование файлов движка, тем и плагинов из адинки.
• Обнаружение и блокировка различных атак на файловую систему и БД сайта.

Обнаружение (detect)

• Мониторинг файловой системы от несанкционированных изменений.
• Обнаружение различных "пауков" и "ботов", которые сканируют сайт в поиске уязвимостей.
• Уведомления по e-mail о случаях блокировки пользователей и хостов.

Восстановление (recovery)

iThemes Security делает регулярные резервные копии базы данных WordPress (по расписанию), что позволяет быстро вернуть исходное состояние сайта в случае его компрометации. К сожалению, базовая версия плагина не поддерживает полный файловый бэкап. Но эта функция имеется в платном сервисе компании iThemes – BackupBuddy.

Другие преимущества

• Возможность создать простую для запоминания страницу входа в админку (можно задать любой адрес, который будет легок для запоминания именно вам).
• Обнаружение ошибок 404, что является важным не только в плане безопасности, но и в плане SEO (битые ссылки на картинки, несуществующие страницы внутри сайта и т.п.)
• Удаление текущей используемой версии jQuery и замена ее на актуальную и безопасную (которая поставляется по умолчанию с WordPress).

Новые функции iThemes Security

• Запрет на выполнение PHP в папке загрузок (uploads).
• Предотвращение создания идентичного логину имени пользователя (отображаемого имени на сайте).
• Скрытие архивов авторов, у которых нет ни единой записи.
• Расширенные возможности по отправке уведомлений
• и др.

Что ж, вот такой вот функционал на данный момент имеется у плагина iThemes Security. Вряд ли у него найдутся серьезные конкуренты. Единственный, на мой взгляд, ближайший конкурент – это . Только он более "капризный" к конфигурации веб-сервера, и предназначен, скорее, для продвинутых пользователей.

Итак, с возможностями плагина разобрались, теперь пора приступить к его настройке.

Советую принять во внимание другую мою статью - , с обзором новых опций, которые не освещены в данной инструкции. Кроме того, относительно недавно я узнал, что замечательная девушка по имени Жанна Лира уже достаточно давно сделала перевод плагина и делится им совершенно безвозмездно с читателями своего блога. Если вам нужна русская локализация, можете взять ее

Установка и настройка плагина iThemes Security (ex-Better WP Security)

Установка для новых пользователей происходит в обычном режиме. Кому как удобней (о различных способах установки плагинов WP можете прочитать ). Страница плагина в репозитории WordPress.org пока что осталась прежней - https://wordpress.org/plugins/better-wp-security/ . Не знаю, изменится ли она в будущем.

При поиске из админки, плагин доступен по названию iThemes Security (formerly Better WP Security) , так что на данный момент его можно найти и по новому имени, и по старому. Как долго будет этот вариант названия, я тоже не знаю.

Итак, находим его, устанавливаем, активируем. И первым делом видим такую картину:

Нас интересует кнопка " Secure Your Site Now " (обезопасьте свой сайт сейчас) . Жмем на нее, и нас встречает окно первичных настроек "I mportant First Steps " (важные первые шаги) :

Все эти базовые настройки можно пропустить, и произвести их позже вручную. Для этого в нижнем правом углу есть ссылка "Dismiss" (отклонить) . Но я рекомендую произвести их именно сейчас, в автоматическом режиме.

Итак, мы видим 4 кнопки:

1. Back up your site – сделайте резервную копию БД сайта. Рекомендуется сделать это еще раз (хотя перед установкой плагина вы уже должны были сделать бэкап самостоятельно). Данная копия будет создана и отправлена на ваш административный e-mail средствами самого плагина.
2. Allow File Updates – разрешить обновление файлов. Речь идет о редактировании файлов wp-config.php и.htaccess, которое требуется для корректной работы плагина. Данная кнопка позволяет ему сделать автоматическое безопасное обновление этих файлов.
3. Secure Your Site – обезопасьте свой сайт. Воспользуйтесь кнопкой One-Click Secure (безопасность в один клик) , чтобы плагин активировал настройки по умолчанию. Причем будут активированы только те функции, которые не должны вызывать конфликтов с другими плагинами. Всё остальное можно будет настроить позже.
4. Help Us Improve – помогите нам стать лучше. Эта кнопка активирует функцию анонимного сбора данных об особенностях вашего сайта (вероятно - версия WP, установленные плагины, возникшие конфликты и т.п.) в целях улучшения плагина в будущем. Еще раз сделаю акцент на том, что сбор статистики анонимен, и компания iThemes не идентифицирует по ней пользователей. Решайте сами, включать эту опцию или нет.

В общем, жмите поочередно, как минимум на три кнопки из четырех (вместо каждой из них появятся уведомления об успешном действии). Затем жмите на "Dismiss", чтобы закрыть это окно.

Теперь необходимо настроить наш iThemes Security более тщательно.

Все настройки плагина находятся в панели управления (Dashboard ):

Сверху, как вы видите, находятся вкладки, по которым осуществляется основная навигация по настройкам. На главной же вкладке - Dashboard - имеется несколько блоков. Для удобства, их можно сворачивать. Также можно менять их местами. Вообще, здесь находится различная обзорная информация и уведомления. А в правой части - рекламные предложения от iThemes.

Сразу скажу, что настраивать iThemes Security мы будем не через кнопки "Fix It", а на следующей вкладке. Но все равно, давайте пробежимся и посмотрим, что тут у нас есть:

Приступая к работе

Здесь находится короткое видео по настройке, а также ссылка на сайт разработчиков, где можно получить помощь или приобрести PRO-версию плагина (а также другие продукты и услуги). Их видео мы смотреть не будем (моя статья вам на кой? =)), тем более, оно на английском. Так что, сворачиваем эту вкладку, чтобы она нам сейчас не мешала, и, перетаскиваем ее в самый низ (если хотите).

Если у вас есть желание и потребность посмотреть русскоязычное видео по обновлению и настройке iThemes Security , зайдите на сайт к Дмитрию по указанной ссылке. Он очень оперативно выпустил актуальную видеоинструкцию, за что ему большой респект от многих блогеров Рунета! (А с меня ссылка в знак искреннего уважения)

Статус безопасности

Это, пожалуй, самый важный блок на данной странице. Остановимся на нем подробней.

В данном блоке тоже имеются вкладки, которые указывают на степень критичности уведомлений – High (высокая), Medium (средняя), Low (низкая). Также есть две вкладки – All (всё на одной странице) и Complete (готовое, т.е. то, что плагин уже сделал/исправил) .

Высокий приоритет (High Priority) - отмечается бледнорозовым цветом и подразумевает необходимость немедленного исправления.

В моем случае, как вы видите, всего одно замечание – это необходимость настроить резервное копирование БД по расписанию.

Что ж, давайте воспользуемся волшебной кнопкой "Fix it" ("пофиксить", исправить) .

Нас тут же перебрасывает на вторую вкладку с основными настройками (Settings ), в раздел настроек резервных копий. И указывается тот пункт, который нужно пофиксить. В моем случае – это Schedule Database Backups (расписание для резервирования БД) . Отмечаем чекбокс (1), указываем интервал (2) и сохраняем изменения кнопкой Save Changes (3).

Раньше расписание можно было настроить так, чтобы резервные копии делались хоть каждый час. Сейчас же минимальный интервал – это 1 день.

После переходим обратно на вкладку Dashboard и видим, что замечаний с высокой критичностью больше нет.

Можно таким же способом пройтись и дальше - по пунктам Medium Priority и Low Priority , и также воспользоваться кнопками Fix it. Но, мы воспользуемся другим методом - будем производить настройку вручную, на вкладке Settings. Если же вам удобней делать это именно отсюда (с Dashboard), то без проблем. Особой разницы нет. Просто на основной странице плагина у всех могут быть разные уведомления. Поэтому я буду настраивать iThemes Security непосредственно через настройки (да и вообще, так удобней и правильней, как мне кажется)

Но перед этим мы быстро пробежимся по остальным информационным блокам Dashboard.

Активные блокировки

Здесь плагин будет информировать нас о том, какие узлы (т.е. IP-адреса ботов или живых людей) или пользователи (те, кто зарегистрирован на сайте) были заблокированы за различные недопустимые действия.

Системная информация

Тут находится информация об активном пользователе (т.е. о вас) - ваш IP-адрес и User Agent. Также здесь указываются:

• Абсолютный адрес сайта и корневая папка на сервере
• Доступны ли на запись файлы.htaccess и wp-config.php
• Информация о БД, сервере и PHP
• Некоторые параметры WordPress
• Используемый билд iThemes Security (версия сборки, которую нужно будет указать при обращении в саппорт; версия билда отличается от той версии, что указывается на странице плагина – это немного разные вещи)

Перезаписанные правила

Здесь будет находиться информация о том, какие именно правила прописал плагин в файл.htaccess

Правила для wp-config.php

Аналогично предыдущему пункту, только уже для другого файла, как вы понимаете.

Я для себя лично немного поменял местами эти блоки и все их свернул. Таким образом, главная страница панели управления плагином у меня теперь выглядит более компактно, да и открывается быстрее:

Все настройки плагина скомпонованы по отдельным блокам (секциям). Для удобства их также можно сворачивать или менять местами. Здесь же имеется и выпадающее меню для быстрой навигации по разделам. Также это меню будет всегда сопровождать вас в правой части области просмотра, в виде плавающего блока с выпадающем списком.

Напомню сразу, что после внесения изменений в любой из секций, необходимо сохраняться (" Save Changes ")

Глобальные настройки

Первым пунктом здесь значится Write to Files - запись в файлы. Этот пункт уже отмечен, и "галочку" снимать ни в коем случае не нужно (!). Иначе вы запретите плагину запись в файлы.htaccess и wp-config.php, тем самым все созданные правила и параметры конфигурации придется прописывать вручную.

Следующие два пункта – это указание e-mail адресов для получения уведомлений (Notification Email) и бэкапов (Backup Delivery Email) . Причем адреса можно указать разные; можно добавить и несколько адресов. Каждый e-mail следует прописывать с новой строки.

В поле " Host Lockout Message " можно указать сообщение, которое будет выводиться тем, кто был заблокирован плагином. По умолчанию лаконично указано "error". Можете проявить креативность и написать что-нибудь оригинальное. Но смысла в этом нет, т.к. в основном будут блокироваться всяческие боты.

В поле " User Lockout Message " можно прописать сообщение, которое будет отображаться для тех зарегистрированных на сайте пользователей, чей аккаунт будет заблокирован за неудачные попытки залогиниться. Можно оставить дефолтное сообщение " You have been locked out due to too many login attempts " ("Вы были заблокированы из-за слишком большого количества попыток входа").

Blacklist Repeat Offender – это черный список "рецидивистов", т.е. тех, кто регулярно пытается подобрать пароль или производит иные запрещенные действия. По умолчанию функция активирована, и я не рекомендую ее отключать.

Blacklist Threshold – порог для внесения IP-адреса в блэклист. То есть, здесь указывается то количество блокировок пользователя или хоста, после которого IP-адрес нарушителя будет перманентно добавлен в черный список. Дефолтное значение = 3. Это значит, что если кто-то получил три блокировки за попытки подобрать пароль к админке, то он отправляется в блэклист.

Blacklist Lookback Period – период, на который нарушитель отправляется в бан. Здесь указывается кол-во дней, которое нарушитель будет находиться в черном списке. Это значение можно увеличить (по умолчанию стоит 7 дней).

Lockout Period – период блокировки. Продолжительность времени (в минутах), в течение которого, хост или пользователь будет заблокирован после первичных нарушений (без внесения в черный список).

Пример : допустим, кто-то пытается подобрать пароль к админке, делает несколько неудачных попыток и временно блокируется на указанное кол-во минут. Если после разблокировки он не прекращает свою атаку, и получает еще две (если в Blacklist Threshold указано значение 3) временные блокировки, тогда он отправляется непосредственно в черный список.

Lockout White List – белый список. Здесь можно указать IP-адреса, которые не будут вноситься в блэклист. Если у вас статический айпишник, то целесообразно прописать его в данное поле, чтобы не возникало никаких потенциальных трудностей с доступом (прописаться в белом списке можно и с динамическим IP-адресом).

Следует отметить, что если вы активировали режим Away Mode (о нем позже), то в указанное в нем время, вы все равно не сможете попасть в админку. Правила Away Mode приоритетней белого списка.

IP-адреса в White List прописываются в стандартном IPv4 формате – например, 123.123.123.123. Также допускается использование символа (*) для указания диапазона адресов. Например, запись вида 123.123.123.* будет означать, что все IP-адреса, начиная с 123.123.123.0 и заканчивая 123.123.123.255, будут разрешенными. Это удобно, если у вас нет статического айпишника.

Каждый IP-адрес или подсеть следует вносить с новой строки.

Email Lockout Notifications – отправка писем, на указанную в поле Notification Email электронную почту, всякий раз, когда какой-либо хост или пользователь сайта будет заблокирован.

Log Type – тип логирования. Здесь можно указать, какие именно журналы будет вести плагин iThemes Security. Варианта три – только БД (Database Only), только файловые логи (File Only) или оба вида (Both).

Каждый из этих вариантов записи событий имеет свои преимущества и недостатки.

• Database Only – в журнал будут записываться все изменения, вносимые в БД, такие, как новый пост, новый комментарий и т.п. Также логироваться будет создание бэкапов. Зачем это нужно рядовому пользователю, я не понимаю. Советую не использовать данный режим.
• File Only – более полезный вариант логирования. Будут записываться разного рода ошибки 404, изменения файлов (при активной опции) и т.п. Рекомендую использовать именно этот режим.

Имейте в виду, что любая запись на диск сервера (а логирование – это, естественно, запись) вызывает дополнительную нагрузку. Ну, и сами логи занимают место, конечно же. Странно, что в плагине нет возможности полностью отключить журналирование

Days to Keep Database Logs – сколько дней хранить журналы БД. Если вы не активировали режим логирования Database Only, то нет никакой разницы, какое кол-во дней указывать в этом поле. Потому что файловый журнал будет все равно храниться неограниченное время, но с одним важным условием – по достижении размера в 10 MB, файл будет перезаписываться. Хорошее нововведение, потому как раньше, у некоторых пользователей логи съедали огромное кол-во дискового пространства, и их (логи) необходимо было чистить с завидной регулярностью. Вручную.

Path to Log Files – путь к файлам логов. Тут все понятно. Есть только одно замечание – указанная директория должна быть доступна для записи, и одна рекомендация – в целях безопасности не следует хранить логи в корне сайта. Короче говоря, оставляем все, как есть.

Allow Data Tracking – разрешить сбор статистики для iThemes. Это то самое, о чем мы уже говорили ранее. Хотите - включайте, хотите - нет. Еще раз напомню, что данные собираются и отправляются анонимно и пойдут они на пользу в развитии плагина.

Что ж, с Global Settings разобрались. Идем дальше. Ох, как много мне еще писать, а вам читать =)

Обнаружение ошибок с кодом 404

Данная функция заключается в сборе информации о том, каким хостам многократно отдается ошибка 404, и в их блокировке соответствующим образом. Этот анализ важен по нескольким причинам, главная из которых – предотвратить сканирование на предмет имеющихся уязвимостей.

Также данная опция дает дополнительное преимущество, помогая вам найти скрытые проблемы, вызывающие ошибки 404. Это могут быть, например, какие-то "битые" картинки или нерабочие внутренние ссылки. Все ошибки будут регистрироваться, а посмотреть их можно на вкладке "Просмотр журналов" (Логи, Logs).

Первым делом в этой секции мы видим некоторую информацию о текущих настройках по блокировкам (все это мы настраивали в блоке глобальных настроек). У меня, например, это выглядит вот так:

Enable 404 detection – собственно, активация данной функции.

Minutes to Remember 404 Error (Check Period ) – количество минут (контрольный период), в течение которого будут засчитываться локауты. Дефолтное значение 5 минут.

Пример: какой-то бот/парсер "долбит" сайт в поиске различных уязвимых файлов и страниц, и, не находя их, получает в ответ ошибки с кодом 404. Делает он это, предположим, в течение минуты, потом останавливается на минуту, и начинает снова. Плагин все эти его действия будет помнить и вскоре тот получит бан.

Если же, допустим, бот "подолбил" 30 секунд и ушел с сайта минут на 10, то при следующем его визите плагин будет считать его уже за вновьприбывшего, а прошлые "заслуги" данного хоста помнить не будет.

Поэтому, дефолтное значение можно немного увеличить (к примеру, до 10 минут).

Error Threshold – порог допустимых ошибок. Кол-во ошибок (в пределах контрольного периода) при достижении которых произойдет блокировка. Если задать значение 0, то запись ошибок будет происходить без блокировок (такой вариант следует использовать только в целях отладки, потому как при нем не будет пресекаться сканирование на уязвимости).

Значение по умолчанию = 20. Не думаю, что стоит его увеличивать, ведь ошибки 404 могут отдаваться не только при подозрительных действиях, но и, например, если у сайта нет favicon, или и т.д.

И вот тут очень кстати в iThemes Security появилось хорошее нововведение – список исключений (white list) для ошибок 404. В него уже добавлены наиболее известные общие файлы, отсутствие которых вызывает данные ошибки:

Этот список можно дополнять и другими известными файлами. Но более правильным решением будет привести все в порядок – создать фавикон, apple-touch-icon.png, robots.txt, sitemap.xml и т.п. Ведь white list не предотвращает запись ошибок сервером. А, как вы уже знаете, любая запись на жесткий диск – это дополнительные нагрузки.

Режим отсутствия / Гостевой режим

Данный режим позволяет полностью отключить доступ к админпанели WordPress в заданные дни или часы. Это может быть весьма полезным, и уж точно не будет лишним в плане дополнительной защиты.

Как это работает? Допустим, вы никогда не заходите в админку ночью и ранним утром. Или, скажем, вы уезжаете в отпуск, и точно знаете, что в это время не будете пользоваться админкой. Почему бы тогда ее вообще не отключить на эти часы или дни? Правильно? Правильно.

Прежде чем активировать и настроить данную опцию, помните, что часовой пояс, используемый на сайте, может отличаться от вашего реального часового пояса. Так что, производите настройки Away Mode, основываясь на глобальных настройках самого сайта.

Итак, чтобы включить гостевой режим, отмечаем чекбокс "Enable away mode" .

Если выбрать Daily, то для указания временного интервала нам будут доступны два параметра - Start Time (стартовое время) и End Time (конечное). Время указывается в 12-часовом формате. AM – до полудня; PM – после полудня.

Пример : если я хочу заблокировать админку в период с 2-х ночи до 7 утра, то я указываю - от 2:00 AM до 7:00 AM. В общем, погуглите, если необходимо. В интернете есть сервисы и таблицы соответствия 24- и 12-часовых форматов.

Если выбрать режим единоразовой блокировки, то нужно указывать дату и время ее начала, и дату и время ее окончания. Все гениальное - просто.

Заблокированные пользователи

Эта функция позволяет полностью запретить доступ к сайту определенным хостам и User Agent, что благоприятно скажется на противодействии спамерам, парсерам и прочим нечистоплотным людям и ботам.

Первым делом нам предлагается подключить базовый черный список известных проблемных User Agent, созданный группой HackRepair.com.

Вообще, что такое User Agent? В нашем случае - это некая информация, по которой (помимо прочего) веб-сервер идентифицирует обратившийся к нему хост. В ней содержится используемый браузер, ОС и проч. У поисковых роботов имеются свои собственные юзер-агенты, у спамерских ботов и различных парсеров свои и т.д. И на основании известных нежелательных User Agent используются подобные Black-листы.

Свой User Agent (UA) вы можете посмотреть, например, на сайте http://whatsmyuseragent.com/ . Попробуйте зайти на эту страницу с разных браузеров и обратить внимание на разницу UA.

Итак, чтобы активировать базовый блэклист отмечаем параметр "Enable HackRepair.com"s blacklist feature" . Если вам нужен самый свежий и полный список "плохих" юзер-агентов и хостов, то его всегда можно взять на странице http://pastebin.com/5Hw9KZnW и самостоятельно добавить в файл.htaccess

Есть одно замечание! Недавно где-то видел инфу, что данную опцию лучше не активировать, т.к. это может повлечь за собой блокировку некоторых поисковых роботов. Лично у меня всегда был подключен этот блэклист и я не наблюдал ни в Я.Вебмастере, ни в Гугл Вебмастере каких-либо проблем с доступом этих пауков к сайту. Так что, рекомендую эту функцию активировать. Кроме того, можно проанализировать данный список и убедиться, что в нем не присутствуют идентификаторы ни Гугла, ни Яндекса.

Помимо дефолтного блэклиста существует возможность и ручной блокировки определенных хостов или UA. Для этого необходимо активировать опцию "Enable ban users" , после чего нам станут доступны три поля для ввода:

• Ban Hosts – блокировка хостов. Сюда всегда можно внести какие-либо IP-адреса, с которых регулярно идут атаки на ваш сайт или спам.
• Ban User Agents – блокировка UA. В большинстве случаев, пополнять этот список вручную нет необходимости, достаточно базового списка с HackRepair.com. Но если вы вдруг обнаружите постоянную атаку с определенных UA, то почему бы и не воспользоваться возможностью их блокировки.
• Whitelist Users – белый список. Можете внести свой IP-адрес.

IP-адреса в эти списки вносятся по такому же принципу, как и в Lockout White List.

Защита от брутфорс атак

Очень важная функция, которая является дополнительным щитом поверх смены URL админки. А если вы не станете использовать подмену страницы входа в админ-панель (об этом чуть позже), то данная функция становится не просто важной, а архиважнейшей. Более того, она позволяет отказаться от дополнительных плагинов, выполняющих ту же самую задачу (Limit Login Attempts, Login Lockdown и др.).

По умолчанию опция уже активирована. А если по какой-то причине "галочка" возле "Enable brute force protection" не установлена, то поставьте ее.

Параметр " Max Login Attempts Per Host " отвечает за максимальное кол-во попыток для одного хоста. Дефолтное значение = 5. Т.е., если кто-то 5 раз подряд неправильно введет логин или пароль, то он будет заблокирован на указанное время.

" Max Login Attempts Per User " отвечает за количество попыток для конкретного пользователя. Т.е., если кто-то вбивает свой логин (или злоумышленник знает существующие на сайте логины), но неверно указывает пароль, то в бан уходит именно этот пользователь (его учетная запись). Значение по умолчанию – 10 попыток.

И заключительный параметр в этом блоке настроек – "Minutes to Remember Bad Login (check period)" – контрольный период, в течение которого плагин будет помнить неудачные попытки залогиниться. Также оставляем 5 минут. При желании, можно увеличить это значение.

Резервные копии (бэкапы) базы данных

Доподлинно известно, что одним из лучших способов защиты и устранения последствий атак являются резервные копии. Каждый блогер или владелец сайта просто обязан иметь ежедневные бэкапы БД.

В большинстве случаев, блогеры перекладывают эту задачу на хостинг. Но, как говорится, Aide toi et le ciel t’aidera. Так что, помимо хостерских бэкапов всегда следует иметь и запасной вариант. Кто-то использует для этого специальные плагины и скрипты, но зачем? Ведь iThemes Security справляется с этой задачей на 5+

Итак, первым параметром здесь является "Backup Full Database" – это режим создания полной резервной копии таблиц сайта. Если активировать данную опцию, то в бэкапы будут добавляться абсолютно все таблицы, которые могут и не относиться непосредственно к сайту (например, какие-то сторонние скрипты и т.п.). На всякий пожарный рекомендую ею воспользоваться, хотя это, в общем-то, и не критично.

• Save Locally and Email – хранить бэкапы на сервере и отправлять их по e-mail
• Email Only – отправлять только по электронной почте
• Save Locally Only – хранить только на сервере

Рекомендую использовать исключительно Email Only (если ваша БД не очень больших размеров). Потому что хранить резервные копии на том же сервере, где расположен сам сайт – это а) бессмысленно; б) трата дискового пространства.

Если же вы решили хранить бэкапы (и) на сервере, то в поле "Backup Location" можете указать директорию для их хранения (или оставить путь по умолчанию). Ни в коем случае не рекомендуется указывать корневую папку сайта для этих целей.

Убедитесь, что у вас отмечен пункт "Compress Backup Files" – это сжатие файлов резервных копий. Таким образом, файл БД будет упакован в ZIP-архив, что значительно уменьшит его размер.

Далее следует указание некоторых специфических таблиц, которые можно исключить из бэкапов (Exclude Tables) . К ним относятся таблицы, создаваемые некоторыми плагинами, и которые не всегда представляют какую-то реальную ценность.

По умолчанию в поле "Excluded Tables" включены таблицы, создаваемые плагином iThemes Security, а в левом поле "Tables for Backup" – те таблицы, которые создаются различными плагинами (в основном – это разные логи), но не относящиеся (как правило ) непосредственно к содержимому сайта.

Если вы уверены, что какие-то таблицы из правого поля не несут пользы для резервирования БД, то можете их исключить из создаваемых бэкапов. Тем самым может значительно уменьшиться размер резервных копий. Если не уверены, то оставляйте все как есть.

В любом случае помните, что данные бэкапы могут отличаться от бэкапов, созданных хостером, потому как на хостинге создаются полные резервные копии БД. Но, это ни в коем случае не означает, что резервные копии, созданные в iThemes Security, будут недееспособны. Отнюдь.

Ну, а далее идет расписание - Schedule Database Backups . О нем мы уже говорили почти в самом начале. Рекомендую ставить минимально возможное значение - 1 день. Таким образом, на вашу почту ежедневно будет приходить бэкап БД сайта.

Обнаружение изменений файлов

Даже самые лучшие решения в области безопасности могут потерпеть неудачу. Как в таком случае узнать, что кто-то получил административный доступ к вашему сайту? Скорее всего, злоумышленник будет менять какие-то файлы, внося в них свой код. Отслеживанием таких изменений и занимается данная функция.

В отличие от других решений, iThemes Security сравнивает файлы локально, с момента последней проверки, а не сверяет их с "заводскими" файлами удаленно.

После каждой проверки вы будете знать, были ли внесены какие-то изменения лично вами, или они появились в результате компрометации. Обращайте внимание, главным образом, на различные системные файлы, которые вдруг изменились без видимой причины (не было никаких обновлений, вы лично не вносили в них изменения и т.п.).

Если так случится, что на вашем сайте вдруг обнаружится вредоносный код, то благодаря данной опции вам проще будет отследить когда и куда он мог быть добавлен.

Нажмите кнопку " File Scan Now " , чтобы произвести добавление файлов и первичное сканирование. Если изменения обнаружатся, то вас перебросит на страницу журналов ("Logs") для просмотра деталей. Журналы изменений файлов находятся в секции :

Возвращаемся обратно к настройкам. Чтобы активировать ежедневную автоматическую проверку изменения файлов, отметьте галочкой пункт "Enable File Change detection" .

Следующим параметром - "Split File Scanning" - можно активировать режим разделения сканируемых файлов на категории. Всего категорий 7. Это плагины, темы, wp - admin , wp - includes , uploads (загрузки), wp - content и последняя – это все то, что не вписывается в предыдущие категории . Проверка этих частей будет разделена равномерно, в течение дня. Из чего следует, что данная настройка приводит к увеличению числа уведомлений, но в то же время она снижает нагрузку на сервер, что особенно актуально на "слабом" хостинге.

Почему это так важно? Раньше, при включенном отслеживании изменений файлов, сыпалось столько уведомлений, что многие просто отключали эту опцию. Связано это было, в том числе и с тем, что при использовании плагинов кэширования файлы на хостинге меняются весьма часто и в большом кол-ве (кэш). Сейчас же подобные кэшированные файлы можно исключить из проверки.

Делается это так (на примере папки с кэшем, которую использует плагин Hyper Cache, другие подобные плагины, скорее всего, используют эту же папку):

Имеется также возможность не исключать определенные файлы и папки, а наоборот включать только выбранные. Для этого в выпадающем меню выберите "Include Selected", и укажите, какие именно файлы и папки вы хотите мониторить.

В поле " Ignore File Types " можно указать различные расширения файлов, которые будут игнорироваться функцией отслеживания изменений. Обычно это файлы картинок и т.п. То есть это НЕ должны быть текстовые файлы (включая php, js и проч.), т.к. именно в них обычно и внедряется вредоносный или иной посторонний код.

Параметр " Email File Change Notifications " отвечает за отправку уведомлений об изменениях на указанный(ые) в глобальных настройках e-mail(ы).

Функцией " Display file change admin warning " можно включить/отключить показ уведомлений в админке.

Имеется возможность выбрать оба режима или какой-то один. Если же отключить их оба, то вы вообще не будете получать никаких уведомлений, но изменения в любом случае можно будет просматривать на вкладке "Logs".

Скрытие страницы входа в админку сайта

Еще одна уникальная функция плагина iThemes Security, благодаря которой можно здорово обезопасить свой сайт от брутфорс атак.

Работает это следующим образом – вместо стандартного URL входа в админку (site.ru/wp-login.php) вы можете указать любую произвольную страницу, например, site.ru/voydi_v_menya . Таким образом, вряд ли кто-то узнает, по какому адресу находится страница входа.

Также данная функция призвана облегчить запоминание адреса бэкенда (так часто называется админка сайта), и отказаться, наконец, от использования виджета META на сайте.

Для включения этого режима поставьте галочку возле "Enable the hide backend feature" .

В поле "Login Slug" (можно перевести, как "Вход для ленивых") укажите желаемый адрес для входа в админку. Это может быть любое удобное и запоминающееся для вас слово (или же набор символов). Само собой здесь нельзя использовать "login", "admin", "dashboard", или "wp-login.php". Также не рекомендую применять для адреса страницы входа какие-то ваши ники в интернете, дату рождения и т.п., потому как все это очень легко вычислить.

Если после скрытия админки у вас возникли проблемы с доступом в нее, то возможной причиной может стать несовместимость с темой. Для того, чтобы исправить это, воспользуйтесь опцией "Enable Theme Compatibility" .

В поле " Theme Compatibility Slug " указывается адрес, который будет выводиться при попытке зайти в админку по стандартному адресу site.ru/wp-login.php (если активирована предыдущая функция).

Ну что, устали? Потерпите, осталось не очень много =)

Шифрование (SSL)

Secure Socket Layers (SSL) - это технология, которая используется для шифрования данных, передаваемых между сервером и посетителями сайта. Если SSL активирован, он делает невозможным перехват данных для злоумышленника (в последнее время идет много споров на этот счет, но все равно технология остается максимально устойчивой). Поэтому рекомендуется использовать шифрование на страницах ввода паролей и иных данных. Любые, более-менее крупные сайты, где используется ввод и передача конфиденциальной информации, используют шифрование (на таких сайтах адрес начинается с https ://)

Однако этот режим требует того, чтобы ваш сервер имел поддержку SSL.

Ни в коем случае не активируйте SSL, если не имеете сертификата, и ваш хостинг не поддерживает данную технологию для клиентских сайтов. Иначе сайт, страница входа в админку или сама админка (в зависимости от выбранных настроек) станут не доступны.

Все это актуально для тех сайтов, где предусмотрена регистрация, имеется разного рода "личка", и, конечно же, для интернет-магазинов и т.д. Для обычных сайтов и блогов SSL-сертификат, как правило, не приобретается. Он попросту не нужен, т.к. все статьи, комментарии и все прочее, итак находятся в открытом доступе. Единственное, где шифрование может оказаться полезным для наших блогов – это страница входа и сама админка (этим мы сможем обезопасить себя, например, от перехвата пароля в момент его ввода).

В общем, в 99% случаев все это блогерами не используется, поэтому подробно рассматривать данную секцию мы не станем.

Надежные пароли

В данном разделе можно включить принудительное использование надежных паролей согласно оценке встроенного в WordPress измерителя паролей.

Данная настройка практически не актуальна для однопользовательских сайтов, где доступ в админку есть только у владельца (администратора), и где не предусмотрена регистрация пользователей. Тем более, вы, мои дорогие читатели, наверняка знаете, и где его хранить (ну, конечно же, в менеджерах паролей, типа , и т.п.)

В остальных случаях рекомендуется указать минимальную роль, для которой будет требоваться надежный пароль. Как правило, это Авторы, Редакторы и Администраторы . Для Участников и Подписчиков требовать сложный пароль не имеет смысла.

Но, опять же, все зависит от сайта. Если у вас, скажем, интернет-магазин, то требовать надежные пароли следует от любого пользователя, который будет в нем регистрироваться.

Что ж, нам осталось разобраться с двумя последними очень интересными секциями...

Тонкая настройка (твики) системы

Это дополнительные настройки, которые могут быть использованы в целях дальнейшего укрепления безопасности вашего WordPress сайта.

Данные настройки указаны, как расширенные, поскольку они блокируют распространенные формы атак, но они также могут блокировать функции легитимных плагинов и тем, которые имеют схожие методы. При активации настроек, указанных ниже, рекомендуется включать их поочередно, дабы проверить, что работа сайта не нарушилась.

Protect System Files – защита системных файлов. Предотвращение публичного доступа к readme . html , readme . txt , wp - config . php , install . php , wp - includes и. htaccess . Эти файлы могут содержать важную информацию о сайте, и публичный доступ к ним не нужен после успешной установки WordPress.

Disable Directory Browsing - отключение просмотра каталогов. Запрещает пользователям видеть список файлов в директориях, даже при отсутствии в них индексного файла (index.php).

Filter Request Methods – фильтрация методов запроса TRACE, DELETE, TRACK. Я не силен ни в PHP, ни в веб-серверных технологиях, но предполагаю, что речь идет о запросах, которые могут нести какую-либо нежелательную функцию (напр., возможность осуществления XSS-атаки). Если кто расскажет в комментариях об этом более подробно или поправит меня, буду очень признателен (да и не только я).

Filter Suspicious Query Strings in the URL - фильтрация подозрительных строк запроса в URL. Это очень частый признак того, что кто-то пытается получить доступ к вашему сайту. Но, следует иметь в виду, что некоторые плагины и темы также могут быть заблокированы при активации данной опции (обязательно проверьте работоспособность сайта после ее включения!) . Будет очень хорошо, если никаких проблем не возникнет, т.к. этот метод защиты очень важен! Если же проблемы все-таки появятся, то лучшим вариантом будет избавиться (по возможности) от несовместимого плагина, чем не активировать данную функцию.

Filter Non-English Characters – фильтрация не англоязычных символов из строки запроса. Этот фильтр работает только в том случае, если активирован предыдущий. Но, если на вашем сайте используется русская адресация (названия статей, рубрик и т.п.), то эту функцию включать не стоит. Иначе сайт может стать недоступным!

Вообще, если вы имеете дело с сайтами, с web, с серверами, линуксами и т.д., то пора уже привыкнуть, что использование не латинских символов в каких-то служебных целях крайне не желательно.

Filter Long URL Strings – фильтрация длинных строк в URL. Ограничивает число символов, которое можно послать в URL (не более 255). Хакеры часто используют длинные URL-адреса для внедрения сторонней информации в БД (SQL-инъекций).

Remove File Writing Permissions – удаление разрешений на запись в файлы. Данная функция запрещает различным скриптам и пользователям запись в файлы wp-config.php и.htaccess. Следует обратить внимание, что в данном случае, как и в случае с другими плагинами, эту защиту можно преодолеть. Но в любом случае, данный запрет укрепляет безопасность указанных файлов.

Если функция активирована, то на эти файлы устанавливаются права 444. В случае отключения, им возвращаются права 644.

Disable PHP in Uploads – запрет на выполнение PHP в папке uploads. Новая функция, которая позволяет предотвратить загрузку вредоносных скриптов в указанную папку.

Итак, мы активировали все (по возможности) эти функции, и переходим к последнему блоку.

Твики WordPress

Это дополнительные настройки, которые могут быть использованы в целях дальнейшего укрепления безопасности вашего WordPress сайта. Как и в случае с системными твиками, из-за некоторых из этих настроек могут возникнуть несовместимости и сбои в работе сайта. Рекомендуется включать их также поочередно.

Remove WordPress Generator Meta Tag – удаление мета-тега Generator. Удаляет из заголовка сайта мета-тег , который указывает используемую на сайте версию WP . Данная функция упразднена с версии 4.9.0.

В любом из мануалов по защите WordPress, первым делом рекомендуется удалять данный мета-тег, т.к. зная версию движка, злоумышленнику проще определить его уязвимости и вектор атак. Когда-то мы проделывали это вручную, теперь же за нас всё делает iThemes Security.

Remove the Windows Live Writer header – удаление заголовка Windows Live Writer. Если вы не пользуетесь WLW или другими платформами для написания и публикации статей на блоге, то данную функцию можно не активировать.

Remove the RSD (Really Simple Discovery) header – удаление заголовка RSD. Если вы не интегрировали свой ​​блог с внешними XML-RPC сервисами, (напр., с Flickr), то функция RSD является для вас в значительной степени бесполезной.

Говоря по-простому, обе предыдущие опции вырезают из header`а сайта примерно такие строки:

XML-RPC – это стандарт (протокол), используемый в т.ч. и WordPress для удаленной публикации статей и др. данных из сторонних программ, платформ и сервисов. Если вы не пользуетесь такими функциями (к ним, кстати, относятся и различные WP-клиенты для Android и iOS), то настоятельно рекомендуется отключить данный протокол. Из-за периодического появления в нем новых уязвимостей.

Недавний случай: в середине марта сего года были зафиксированы очередные мощные DDoS-атаки с использованием уязвимости XML-RPC. Но дидосились не сами WordPress-сайты с XML-RPC, они лишь использовались в качестве ретрансляторов для усиления атак (т.е. выступали в качестве участников ботнета).

Я могу ошибаться, но если память мне не изменяет, было обнаружено более 60 тыс. WP-сайтов, которые выступали в роли ботов для DDoS-атак из-за данной уязвимости. А их владельцы даже и не подозревали об этом. Да многие до сих пор, наверное, и не подозревают. Я даже видел ссылку на специальный сервис, где можно проверить свой сайт, не участвует ли он в подобных DDoS-атаках.

Вот поэтому рекомендуется отключать XML-RPC (если, конечно, вы его не используете). Раньше в админке WordPress была специальная функция для его деактивации. Сейчас же ее нет. Поэтому придется чуточку повозиться вручную (в интернете много информации о том, как это сделать) или же воспользоваться функцией iThemes Security, до которой мы скоро дойдем.

Reduce Comment Spam – уменьшение спама в комментариях. Эта опция позволит сократить кол-во спама, блокируя комментарии от ботов, не имеющих реферера или User Agent. Вряд ли это может повлиять на нормальные комментарии, так что включаем, не задумываясь. Облегчим работу .

Display Random Version – отображение случайной версии WordPress там, где невозможно удалить ее показ полностью. Актуально для многопользовательских сайтов.

Disable File Editor – отключение редактора файлов в админке WP. Не пользуетесь внутренним редактором? Смело отключайте.

Disable XML - RPC – отключение XML-RPC. То самое, о чем мы недавно говорили. Если не пользуетесь средствами удаленной публикации, обязательно отключите XML-RPC.

Enqueue a safe version of jQuery – установка безопасной версии jQuery. Эта функция удаляет текущую используемую версию библиотеки jQuery и заменяет ее на безопасную (которая поставляется по умолчанию с WordPress). Если версия этой библиотеки удовлетворяет требованиям iThemes Security, то ничего делать не нужно:

Disable login error messages – отключение сообщений об ошибках, которые отображаются при неудачной попытке входа в систему.

Force Unique Nickname - принудительное использование уникального ника, отличающегося от логина.

Disable Extra User Archives – отключение архивов пользователей, чье кол-во записей равно 0.

Ну, вот и все по основным настройкам. Теперь можно вновь перейти на вкладку Dashboard, и посмотреть на текущие уведомления. В моем случае сейчас они выглядят так:

Осталось пройтись по оставшимся вкладкам.

Продвинутые (расширенные) настройки

Приведенные ниже настройки являются продвинутыми. Убедитесь, что у вас имеется работоспособная резервная копия сайта перед изменением любого параметра на этой странице. Кроме того, эти установки не будут обращены вспять, даже если вы удалите плагин iThemes Security (!).

Тем не менее, все используемые здесь настройки рекомендуются самим сообществом WordPress.org, и они помогут в улучшении безопасности вашего сайта.

Admin User – удаление пользователя admin, если он имеется. Я никогда не использую дефолтный логин "admin" даже на тестовых сайтах. Поэтому здесь у меня никаких опций нет. Имеется лишь надпись " It looks like you have already removed the admin user . No further action is necessary (Похоже, вы уже удалили пользователя admin . Никаких дополнительных действий не требуется)". Надеюсь, что у вас также.

Change Content Directory – смена контент-директории. Ни в коем случае не экспериментируйте с этой функцией! Ее рекомендуется использовать только на вновь создаваемых сайтах. Иначе вы попросту потеряете все содержимое блога (не физически, конечно). И, как уже говорилось, не поможет даже удаление плагина. Хотя вернуть все на круги своя достаточно просто (нужно немного поправить файл wp-config.php).

Вообще, сменить директорию wp-content можно и на уже работающем сайте, но для этого потребуется вносить изменения в БД, в некоторые плагины, файлы движка т.д. Короче, задачка не для нас – рядовых блогеров. А вот если вы планируете создавать новый сайт, то первым делом установите iThemes Security и попробуйте воспользоваться данной возможностью. В будущем обязательно пригодится.

Change Database Prefix – смена префикса БД. По умолчанию в WordPress используется префикс wp_, что может облегчить задачу для злоумышленника. Рекомендуется менять дефолтный префикс таблиц.

Перед процедурой смены префикса обязательно сделайте резервную копию БД!

Ну что ж, теперь точно все =)

Осталось только сказать, что на вкладке Backups можно в любое время создать резервную копию текущего состояния БД (кнопка " Create Database Backup " ), а также кратко ознакомиться с сервисом BackupBuddy.

Если что-то осталось не понятным, или у вас есть замечания и дополнения, милости прошу в комментарии.

До новых встреч, друзья. Берегите себя и свои сайты!

С уважением, Александр Майер

Каждый день огромное количество сайтов подвергаются успешным хакерским атакам. не являются исключением и могут стать легкой мишенью для атаки из-за уязвимости тем и плагинов, слабых паролей и устаревшего программного обеспечения. Поэтому в сегодняшней статье мы решили уделить внимание такой теме, как защита WordPress.

Стоимость Bulletproof Security Pro: $59,95 (разовая оплата).
Официальный сайт — http://affiliates.ait-pro.com/

All in One Security and Firewall

Известный плагин для защиты от взлома WordPress. Он включает дополнительные брандмауэры для сайта, предоставляет различные методы защиты и дает по ним отчет.

Настройки файервола этого плагина разделены на три уровня «basic», «intermediate» и «advanced», что позволяет применять правила файервола постепенно, не нарушая работу сайта.

Функций у этого плагина (впрочем, как и у остальных в этой подборке) огромное количество — потянет на отдельную статью. Приведу здесь основные:

1. Защита аккаунтов:

• определяет аккаунт «admin» и предлагает поменять его на другой на ваше усмотрение;
• определяет и сообщает об аккаунтах, в которых логин и имя пользователя совпадают — такие аккаунты взломать легче;
• генерирует сильные пароли.

2. Защита входа в систему и регистраций на сайте:

• опция Login Lockdown — блокирует пользователей за определенное количество неверных попыток входа в систему;
• делает принудительный выход из системы для всех пользователей через установленное время;
• отслеживает активность в аккаунтах всех пользователей путем логирования информации;
• дает отчет о полном списке пользователей, которые выполнили вход в систему на данный момент;
• добавляет captcha в форму логина и форму регистрации;
• позволяет вручную подтверждать каждую новую регистрацию на сайте.

3. Защита базы данных:

• изменяет WP-префикс базы данных на любой другой;
• настраивает автоматическое резервное копирование.

4. Защита файловой системы:

• определяет папки и файлы с небезопасными правами доступа и меняет их на безопасные значения;
• запрещает редактировать файлы с PHP-кодом из администраторской панели управления;
• запрещает доступ к readme.html, license.txt и wp-config-sample.php файлам.

5. Функция файервола позволяет использовать защиту с помощью.htaccess файла. Этот файл обрабатывается вашим веб-сервером еще до обработки любого кода сайта, поэтому правила файервола останавливают вредоносные скрипты еще до того, как у них появится возможность достичь WP-кода.

6. Предотвращение брутфорс-атак.

7. Сканирование безопасности:

• отслеживание файловых изменений и уведомления об этом;
• сканирование таблиц базы данных на подозрительные строки, javascript и html код в базовых таблицах WordPress.

8. Защита от спам-комментариев:

• отслеживание наиболее активных IP, которые постоянно делают спам-комментарии и их блокировка;
• добавление captcha в форму комментариев WordPress.

9. Защита контента от копирования.

Стоимость: бесплатно.

Wordfence

Этот плагин безопасности WordPress сразу же после установки запустит автоматическое сканирование, чтобы проверить, не заражен ли уже ваш сайт. Поддерживает WordPress-мультисайты. Основные функции:

1. Файервол:

• защищает от взлома, распознавая вредоносный трафик и блокируя подозрительные попытки вторжения в систему;
• блокирует общие распространенные угрозы безопасности, например, Google-боты, вредоносное сканирование хакерами и ботнеты.

2. Блокировка:

• блокирует целые вредоносные сети. Включает проверку IP и домена при помощи сервиса WHOIS и блокирует вредоносные IP с помощью файервола;
• блокирует такие угрозы, как агрессивные поисковые роботы, скреперы и боты;
• блокирует и контролирует пользователей, которые нарушают правила безопасности на вашем сайте.

3. Безопасность входа на сайт:

• вход в аккаунт с помощью двухфакторной аутентификации;
• позволяет использовать только сложные пароли администраторам и пользователям;
• предотвращает брутфорс-атаки.

4. Сканирование безопасности:

• проверяет сайт на уязвимости типа Heartbleed;
• проверяет базовые файлы, темы и плагины по репозиторию версий WordPress.org на целостность и безопасность;
• позволяет просмотреть изменения в файлах и исправить их, если есть угроза безопасности;
• проверяет на наличие «черных ходов», которые создают дыры в безопасности (C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx и многие другие);
• сканирует на наличие вредоносных программ и фишинговых URL по Google Safe Browsing List во всех ваших комментариях, постах и файлах;
• сканирует на наличие троянских программ, подозрительного кода и прочих угроз.

5. Мониторинг:

• просматривает весь ваш трафик в режиме реального времени и создает отчет о потенциальных угрозах;
• отслеживает безопасность неавторизированных изменений;
• отслеживает дисковое пространство. Много DDoS-атак нацелены на потребление всего дискового пространства, чтобы спровоцировать отказ в работе сервиса.

Стоимость: бесплатно , но есть Премиум версия, которая включает: vip-поддержку, установку графика сканирования, аудит паролей, а также проверку IP-адреса сайта по Spamvertized.

Цена Премиум подписки – $8,25 в месяц. При оплате на год и более предоставляется скидка.

Sucuri Security

Sucuri Inc – это известная организация, которая занимается вопросами веб-безопасности, со специализацией в WordPress-безопасности.

Плагин Sucuri Security включает следующие возможности:

1. Аудит безопасности.
Отслеживает все события, связанные с безопасностью сайта. Любое изменение, которое может быть квалифицировано как угроза безопасности, плагин записывает. Регистрация действий происходит в SucuriCloud-сервисе для большей сохранности. Это гарантирует, что никто не сможет стереть данные отчетов. Если злоумышленнику удалось обойти систему безопасности вашего сайта, то вся информация о действиях будет сохранена в Sucuri Security Operations Center (SOC).

Эта функция особенно нужна для администраторов сайта и экспертов по безопасности, которым нужно понять, что и когда происходит с сайтом. Можно настроить уведомления о безопасности сайта на email.

2. Контроль целостности файлов.
Плагин проверяет соответствие оригинального (утвержденного) файла с текущим и если он отличается, то возможно безопасность под угрозой. Проверка осуществляется для всех базовых файлов, плагинов и тем.

3. Удаленное сканирование вредоносных программ.
Эта опция осуществляется при помощи инструмента Sucuri, который можно найти на бесплатном сканнере безопасности — SiteCheck.

4. Мониторинг «черного списка».
Плагин проверяет различные «черные списки», включая:

• Sucuri Labs
• Google Safe Browsing
• Norton
• Phish Tank
• McAfee Site Advisor
• Yandex
• SpamHaus
• Bitdefender

Это одни из самых больших списков, которые содержат сайты с проблемами в безопасности. Если ваш сайт был найден в таком списке, то Sucuri предлагает дополнительную опцию за отдельную плату – помощь в том, чтобы удалить ваш сайт из «черного списка» при помощи Website AntiVirus.

5. Эффективное усиление безопасности.
Плагин обеспечивает безопасность сайта с помощью: защиты.htacess, ограничений доступа к wp-includes папке, проверки ключей безопасности, верификации версии PHP, изменения префикса базы данных, удаления readme.html файла и прочего.

6. Действия по безопасности после взлома.
Если взлом сайта всё же произошел, плагин предложит:
обновить ключи безопасности;
обновить пароли всех пользователей;
обновить плагины.

7. Файервол (дополнительная функция за отдельную плату).
Это определенно лучшая функция, которую предлагает Sucuri. Файервол от:

• DoS и DDoS-атак;
• уязвимостей программного обеспечения;
• брутфорс-атак.

Стоимость: бесплатно , есть платные пакеты от $199 в год.

А какую защиту для WordPress-сайта используете вы и чем именно она вам нравится?