Complemento de seguridad de Wp. Mejor complemento de seguridad de WordPress

Buen día a todos los lectores, hoy discutiremos nuevamente el tema de la seguridad del sitio de WordPress. Pero no de manera abstracta, sino usando el ejemplo de configuración del excelente complemento All In One WP Security & Firewall, que utilizo con bastante éxito en varios de mis sitios y puedo recomendarlo con seguridad.

All In One WP Security & Firewall es uno de los defensores de WordPress todo en uno sobre los que puede leer. Una especie de "gato de todos los oficios" y, en principio, proporciona una protección integral de muchas formas. El complemento tiene una buena calificación de usuario y es completamente gratuito.

Una de las ventajas importantes es que All In One WP Security & Firewall está perfectamente traducido al ruso y dominar todas sus funciones no es difícil para aquellos que no estudiaron demasiado bien idiomas extranjeros en la escuela. La traducción está completa, es decir, no solo las funciones principales, sino casi todos los consejos para ellas. Le darán una idea y una comprensión completas de la necesidad y la importancia de determinados entornos.

Estructuralmente, el complemento consta de varias docenas de opciones que puede habilitar o dejar deshabilitadas. La inclusión de ciertas opciones se muestra en banderas especiales. La prioridad de esta opción también es visible allí.

El propósito de este artículo no es tanto una lista de las configuraciones (puede verlas, estudiarlas y comprenderlas fácilmente), sino su visión de lo que debe incluirse y lo que se puede descuidar por una razón u otra. Empecemos.

Configurando All In One WP Security & Firewall

Panel de control

• Widgets de información con un claro indicador de protección, un diagrama de todos los puntos de protección, mostrando sesiones activas e IP bloqueadas. Se debe prestar especial atención al widget: El estado actual de las funciones más importantes.Aquí puede activar los elementos de protección más importantes de inmediato, sin profundizar en la configuración.
• Información del sistema. Se muestra información sobre el sitio, versiones PHP y todos los complementos instalados. Pestaña - Direcciones IP bloqueadas y una pestaña con registros de complementos. Al principio, en estas pestañas, por supuesto, todo estará vacío.
• Pestañas: IP y registros bloqueados. No es necesario configurar nada aquí.

Configuraciones

• Pestañas con configuración general... Nada es configurable, pero puede hacer copias de seguridad de .htaccess, bases de datos y wp-config.php inmediatamente. Puede desactivar inmediatamente todas las configuraciones de una sola vez si algo salió mal y hubo problemas.
• Meta información de WP. Incluimos.

Administradores

• Nombre de WP personalizado. Si su inicio de sesión no es Administrador, entonces todo está bien. De lo contrario, definitivamente debes cambiarlo. Esta es una característica realmente importante. Si en el futuro especifica que recibirá notificaciones sobre usuarios bloqueados temporalmente que intentaron iniciar sesión con el inicio de sesión de administrador, se sorprenderá desagradablemente. Tengo al menos 2-5 cartas al día (consulte Bloqueo de autorizaciones).
• Nombre para mostrar. Muestra todos los usuarios registrados cuyo inicio de sesión coincide con el nombre (apodo). Si no tiene a nadie más que a usted, la lista estará vacía. Si hay usuarios, puede corregir los apodos. Función no demasiado importante, puede dejarla en paz.
• Contraseña. Una herramienta entretenida que te mostrará visualmente la fuerza de cualquier contraseña. A juzgar por ello, tiene sentido establecer contraseñas complejas con una longitud de al menos 10 caracteres.

Autorización

• Bloqueo de autorizaciones. Una función útil de las contraseñas de fuerza bruta Asegúrese de habilitar y ajustar la configuración a su gusto, o deje la configuración predeterminada como está. Recomiendo, al menos por un tiempo, habilitar las notificaciones sobre el bloqueo activado en el correo electrónico. Solo para entender lo importante que es esta característica.
• Autorizaciones erróneas. Aquí están las estadísticas. No es necesario configurar nada.
• Cierre de sesión automático de usuarios. No es conveniente para sus usuarios y, al mismo tiempo, brinda pocos puntos de seguridad. No se puede incluir.
• Registro de actividad y Sesiones activas - información y registros.

Registro de usuario

• Confirmación manual. En general, bastante función útil si su sitio no tiene registros muy frecuentes y si están permitidos. Puedes encenderlo.
• Captcha en el registro. Instala un captcha digital simple en el formulario de registro. Sinceramente, no me gustó cómo funciona. Estoy usando uno separado: Math Captcha. Parece ser similar en todo, pero a diferencia del integrado, funciona mejor en un orden de magnitud. Decide por ti mismo qué elegir.

Base de datos

• Cambiar el prefijo de las tablas de su base de datos. Vale la pena incluirlo, pero aún así, le aconsejo que haga una copia de seguridad de la base de datos con anticipación.
• Copia de seguridad de la base de datos. Recomiendo habilitar. Por lo general, las bases de datos no ocupan mucho espacio y no serán superfluas incluso si está utilizando algún tipo de respaldo para el sitio.

Sistema de archivos

• Acceso al sistema de archivos. Establezca el valor requerido para acceder a las carpetas en la columna Acción recomendada para que toda la lista se vuelva verde.
• Edición de archivos PHP. Puede activar la prohibición de editar desde el panel de administración, a menos que, por supuesto, usted mismo no edite los archivos de esta manera.
• Acceso a archivos WP. Denegando el acceso a readme.html, license.txt y wp-config-sample.php. Incluimos.
• Registro del sistema. Configuración de la formación de un registro. No tocamos nada.

Búsqueda de WHOIS

• Verificación manual de direcciones IP. Nada es configurable y, por alguna razón, no siempre funciona.

Lista negra

• Prohibir usuarios. Incluimos. Como comprenderá, solo es relevante si usted mismo ingresa algunas direcciones IP allí. Puede ser útil cuando necesite prohibir rápidamente al próximo hooligan idiota en los comentarios.

Cortafuegos

• Reglas básicas. Lea los consejos y active ambas casillas de verificación. Antes de eso, debe hacer una copia de seguridad de su archivo .htaccess
• Reglas adicionales. Vale la pena incluirlo todo. Sin embargo, los autores del complemento advierten sobre una posible incompatibilidad con algunos complementos.
• Configuración de 5G. Por lo que tengo entendido, incluye algún tipo de firewall adicional. Incluir. No noté ningún problema después de habilitar esta opción.
• Robots de Internet. En teoría, bloquea los robots falsos de Google. Para evitar problemas con robots útiles, no incluí esta casilla de verificación por si acaso.
• Evite los enlaces directos. Lea el consejo por lo que es. Incluimos.
• Seguimiento de errores 404. Vale la pena habilitarlo, pero mantenga el tiempo de bloqueo pequeño. Por ejemplo, de 5 a 10 minutos.

Protección contra ataques de fuerza bruta

• Cambie el nombre de la página de inicio de sesión. Esta opción es útil, pero tenga en cuenta que puede surgir un problema si ha permitido el registro en el sitio. Por ejemplo, cuando el usuario quiere restaurar contraseña perdida... En general, vale la pena hacer una buena prueba después de encenderlo. Además, algunos proveedores de alojamiento utilizan esta protección de forma predeterminada. Decide según las circunstancias.
• Protección contra ataques de fuerza bruta basados \u200b\u200ben el uso de cookies. Como en el punto anterior, el entorno es estrictamente individual. Lea los consejos atentamente y decida usted mismo.
• Iniciar sesión captcha. Si todavía usa el captcha incorporado, entonces es mejor incluir todo.
• Lista blanca. Denegue el acceso al inicio de sesión a todos, excepto a aquellos que se indicarán en la lista. Para los verdaderos maníacos, no es necesario.
• Un barril de miel. Lea la descripción detallada de esta interesante función en la información sobre herramientas. Como me parece, puedes encenderlo con seguridad.

Protección contra el spam

• Spam en los comentarios. Captcha en los comentarios: habilítelo si está usando un captcha incorporado. Bloqueo de robots de spam: ayude a su Akismet a luchar contra los robots de spam, enciéndalo.
• Seguimiento de IP. Puede encontrar los spammers más activos aquí y agregarlos a la lista negra.
• BuddyPress. Relevante si tiene este complemento de red social.

Escáner

• Seguimiento de los cambios en los archivos. Como me parece, está más destinado a aquellos que están especialmente preocupados, ya que a veces se producirán cambios en los archivos. Si desea monitorear y controlar todo esto constantemente, enciéndalo.
• Escaneo en busca de malware. Función pagada: desde $ 5 por mes.

Modo de servicio

• Aquí puede habilitar el "modo de mantenimiento" para el sitio y configurar apariencia páginas de advertencia para los lectores. Lee mas.

miscelánea

• Protección de contenido contra copiar y pegar dentro del marco. Habilitarlos no afecta directamente la seguridad del sitio.

conclusiones

En general, me gustó All In One WP Security y lo uso en algunos sitios. En mi opinión, si no el mejor, sin duda uno de los mejores complementos de este tipo. Para ser justos, me gustaría señalar que de ninguna manera soy un experto en asuntos de seguridad. Todo lo anterior es solo el resultado de mi experiencia de uso y opinión personal. Por lo tanto, si los lectores experimentados tienen sus propios pensamientos sobre la configuración de este complemento o las mejores alternativas, hable. Sabe a color, como dicen ...

Artículos de la misma categoría

Y hoy, amigos míos, nos defenderemos.

Si. Exactamente. ¿De quien? De esos camaradas escoria que invaden nuestro "estado blog". Quiénes son estas personas, no puedo decirlo, pero existen y no puedo entender por qué la tierra no arde bajo sus pies. Por qué no cae lluvia de piedras sobre sus cabezas y no se ahogan con la saliva de su regodeo.

Y si esas personas existen, entonces uno debe defenderse adecuadamente de ellas. Y hoy te entregaremos un complemento genial para proteger tu blog.

Tenga la seguridad de que ninguna perra se infiltrará en su blog y lo consentirá después de que lo publique.

Y este complemento es All In One WP Security.

Solía \u200b\u200busar, por supuesto, complementos de protección y de alguna manera realmente no me preocupaba por la seguridad, el inicio de sesión es naturalmente ADMIN, una contraseña de cinco letras, y por supuesto que lo era por el momento. Nunca he mirado en complementos, vale la pena, pero vale la pena, significa que protege. En resumen, todo está oscuro.

Y cuando el ataque de un pirata informático rompió esta protección y comenzó a sobrecargar el host, entonces comencé a pensar ... Y por accidente encontré un complemento que me pareció muy agradable y amigable. Y al mismo tiempo, un guardia muy serio, después de escucharlo y seguir sus instrucciones, estará bajo protección confiable.

Por supuesto, mientras seas un blogger joven y mientras tu camino esté en la etapa de desarrollo, el descuido te llevará. Pero cuando ganes peso y empieces a alejar a los competidores con los codos, liberando espacio al sol, tendrás gente envidiosa y malvada. Así que acostúmbrate a defenderte bien desde el principio.

Entonces, ¿para qué sirve este complemento de seguridad All In One WP?

• De confianza;
• Gratis;
• Rusificado;
• Llanura.

Debe instalarlo en WordPress de acuerdo con el esquema estándar: Complementos: agregar nuevo, conducir All In One WP Security en la búsqueda, ingresar, el primero, y esto no es una coincidencia, será caro ...

Pasemos a la configuración del complemento de seguridad All In One WP

Le aconsejo que haga una copia de su base de datos antes de instalar. 1. La propia base de datos. 2. Archivo de archivo wp-config. 3.archivo htaccess.

Y todo esto, como sigue siendo conveniente, se puede hacer en la configuración del propio complemento.

Panel de control

En el menú de administración encontramos Seguridad de WP,submenú de plugin Panel de control.

Lo primero que llama la atención es una especie de manómetro de nuestra seguridad y un diagrama del trabajo realizado por el plug-in. Esto generalmente es genial.

Lo que quiero decir. ¡IMPORTANTE! No te dejes llevar por la defensa al máximo. No empuje la presión de su defensa a un nivel crítico. Está plagado de las consecuencias de un mal funcionamiento del sitio. Por eso dicen, él mismo no experimentó ningún problema, probablemente simplemente porque yo solo tengo un poco más de la mitad de lo que debería.

Aquí en el panel de control no hacemos nada más y vamos a los ajustes.

Configuraciones

Aquí es donde hacemos copias de nuestro sitio web y la Base de datos. Aquí, si es necesario, deshabilitaremos el firewall, si es necesario.

En la pestaña de metainformación de WP, marque la casilla

En la pestaña "Importar / Exportar", se toman acciones para exportar su configuración a algún otro sitio, si tiene uno, para no marcar todas las casillas que ahora colocaremos. Todo se hará en dos clics.

Administradores

Nombre de WP personalizado.

Cambie el nombre del administrador aquí y DEBE hacerlo. El valor predeterminado es admin o wp-admin. Cambie a otra cosa, por ejemplo, myblog-admin o Ja-Vasja-Ivanov. Y generalmente olvídate de la palabra administraciónde una vez por todas.

Nombre para mostrar.

Piense en cualquier nombre que no sea admin. Y también le aconsejo que si tiene varias cuentas en su sitio, haga que los nombres para mostrar sean diferentes.

Contraseña.

La pestaña más interesante. Con nuestro monómetro, en el que puede determinar el grado de descifrado de su contraseña por segundo. Simplemente ingrese la contraseña esperada en la línea del dispositivo, inmediatamente le dará el tiempo durante el cual se puede descifrar. En nuestro caso, 9 años 6 meses.

Autorización

Bloqueo de autorizaciones.

Actívelo como en la captura de pantalla. Es razonable establecer valores que sean coherentes con el sentido común. Por ejemplo, si en 5 minutos contraseña incorrecta se marcó 3 veces, luego su IP será bloqueada durante una hora. Este es el predeterminado. Estoy de acuerdo con este escenario. Solo puede cambiar dentro de límites razonables.

Las direcciones IP bloqueadas se pueden ver a continuación.

Intentos de inicio de sesión erróneos.

Aquí puedes ver las criaturas. Rastree quién sube con frecuencia y actúe. Tengo uno hasta ahora, esto se debe a que recientemente borré la lista.

Cierre de sesión automático de usuarios.

Encendemos y configuramos el tiempo 600 minutos después de los cuales se desconectará el usuario.

Registro de actividad de la cuenta"Y Sesiones activasinformativo.

Registro de usuario

EN Confirmación manual y CAPTCHA en el registro marque las casillas de verificación.

Prefijo de tabla DB.

No marqué la casilla aquí, pero si quieres marcarla, hazlo primero apoyo su base de datos. En todo caso.

Apoyo.

Marque la casilla y establezca la frecuencia de su creación. También asignamos el número de estas copias de seguridad, que se almacenarán en un directorio de complementos especial.

Protección del sistema de archivos

Acceso a archivos.

Edición de archivos PHP.

Esto es para aquellos que editan archivos a través del panel de administración. Apuesta si no gobiernas, no apuestes si gobiernas. Pero generalmente no se recomienda editar archivos en el panel de administración. Aunque es asunto de todos. Aunque si estropea algo, no podrá devolver todo rápidamente con las teclas CTRL Z.

Acceso a archivos WP.

Ponemos Galya, prohibiendo así el acceso a los archivos de información de WordPress

Registros del sistema.

Como está, lo dejamos

Búsqueda Whois

Yo no hice nada. No necesito encontrar ninguna información sobre una IP en particular.

Lista negra

Esto es para aquellos que a menudo iluminan su sitio con intenciones sospechosas, puede verlos en (Autorización - autorizaciones de bloqueo - IP bloqueadas). Si hay alguna, marque la casilla y registre estas IP.

Cortafuegos

Reglas básicas de firewall.

En primer lugar, haz copia del archivo .htaccess si aún no lo ha hecho y marque la casilla.

Reglas de firewall adicionales.

Y en Filtro adicional de símbolos, no marque la casilla. Es posible que no todos los comentarios pasen bien, dando un error 403, que tampoco es muy bueno.

Configuración 5G

Incluimos

Bots de Internet.

No active la casilla de verificación

Evite los enlaces directos.

Incluimos

Detectando 404.

Encienda y configure el tiempo 5 minutos

Protección contra ataques de fuerza bruta

Protección contra ataques de fuerza bruta mediante cookies.

No lo encienda si no quiere experimentar problemas con varios tipos de dispositivos.

Inicie sesión en CAPTCHA.

No sé ustedes, si quiere activar el captcha, actívelo. No lo hice.

Iniciar sesión en la lista blanca.

No incluye. Probablemente iniciará sesión en su blog con diferentes dispositivos, ubicaciones e IP.

Un barril de miel.

Incluimos

Protección contra el spam

Spam en los comentarios.

CAPTCHA en forma de comentarios -No lo ponemos. Bloquear comentarios de spambots -Nosotros ponemos

BuddyPress.

Agrega un CAPTCHA de formulario BuddyPress. No es necesario usarlo.

Escáner

Según tengo entendido, el proceso de daño durante la piratería. Los piratas informáticos cambian algunos archivos en el sistema, y \u200b\u200bsi no encuentran qué intentos de restaurar el sitio no se verán coronados por el éxito. Entonces, con la ayuda de esta función, puede rastrear qué cambió exactamente en el futuro cercano. Simplemente admiro ... Activar el escaneo automático de archivos.

Escaneo en busca de malware.

Tienes que pagar por esto.

Modo de servicio

Preste atención al significado de este servicio. Activar el modo de mantenimiento significa apagar su sitio por completo. No será visible para nadie, incluidos los robots, y por lo tanto no se indexará. Por lo tanto, tenga esto en cuenta y no ponga este daw innecesariamente.

Su humilde servidor apagó el sitio durante 2 días hasta que notó una caída en el tráfico y buscó la razón.

En el cuadro de texto, escriba lo que verán los visitantes durante el cierre del sitio.

miscelánea

Aquí solo entiendo la protección contra copias. No pongo un daw, dejo que todos lo copien, es tan lindo

Resultado

Hemos configurado el complemento. Vayamos al panel de control y veamos el nuevo nivel de seguridad. Estoy seguro de que se volvió mucho más alto de lo que era. Ahora puede estar seguro de la seguridad de su sitio.

Y además, lo que es típico, buscarás aquí con regularidad, lo que no habías hecho antes con este tipo de complementos.

Usa, vive y trabaja con tranquilidad y productividad.

¡Nos vemos en línea!

¡Hola! Hoy hablaremos sobre la seguridad de WordPress. Recientemente publiqué un artículo en el que hablé. Hoy de las palabras a la acción. ... Y en este artículo hablaré sobre el complemento All In One WP Security & Firewall. Este complemento proporciona la mayoría de los puntos de seguridad del sitio. Lo que lleva casi toda la configuración de seguridad del blog a una sola configuración de complemento. Y está prácticamente todo rusificado, lo que es importante para muchos usuarios.

Lo primero que debe hacer es crear una copia de seguridad completa del sitio. Este complemento es grande y serio. Instale el complemento de la manera habitual... Vaya al panel de administración del blog, vaya a los complementos, haga clic en el botón "Agregar nuevo". Ingresa "WP Security" en la barra de búsqueda. Instale el complemento necesario. Luego actívelo (Figura 1).

Figura: 1. Instalación del complemento All In One WP Security & Firewall.

Panel de control

Después de la instalación, el complemento aparece en el menú de administración con el nombre "WP Security". El primer submenú es "Panel de control". A continuación se muestra un resumen de la información de seguridad del sitio (Fig. 2).

Figura: 2. Complemento del panel de control All In One WP Security & Firewall.

Miremos más de cerca. Hay varias pestañas en esta página.
Panel de control. La primera pestaña con el mismo nombre que el submenú. Aquí se proporcionan estadísticas resumidas. El nivel de seguridad del sitio se mide en puntos ("Indicador de nivel de seguridad"). Se otorgan puntos por cada segmento configurado correctamente. En total, puede obtener 480 puntos. Esto significa que ha hecho todo lo posible. Esto no siempre es obligatorio. Por ejemplo, este complemento tiene la capacidad de personalizar apoyo Base de datos. Si ha configurado un complemento especial para la copia de seguridad, no es necesario que lo haga aquí adicionalmente. Mi blog es de un ejemplo con un buen usuario (el inicio de sesión no es administrador, el nombre para mostrar es diferente del apodo), y al instalar el motor cambié el prefijo de la tabla. Para esto tengo inmediatamente 30 puntos de 480.
La siguiente herramienta es el "Diagrama de seguridad de su sitio". Todos los puntos obtenidos se presentan en forma de diagrama. Puede ver qué porcentaje del número total de puntos es este o aquel ajuste.
Los siguientes dos bloques son inútiles: "Cuéntale a tus amigos" y "Conoce a los desarrolladores", que se traduce como: obtén más información sobre los desarrolladores.
"Últimas 5 autorizaciones". Esta ventana mostrará una lista de las últimas cinco entradas del blog con información sobre quién ingresó y cuándo.
"Sesiones activas". Esta ventana muestra quién se encuentra actualmente en el sitio (en el panel de administración) con más derechos que un visitante habitual.
"Estado actual de las funciones más importantes". La ventana muestra las funciones a habilitar.
"Modo de servicio". Hay un interruptor en esta ventana para apagar el sitio. Los visitantes verán texto de información en lugar del sitio. Esta función es necesaria si realiza algún trabajo técnico en el sitio.
Direcciones IP bloqueadas. Cuando configure el bloqueo de IP, las IP bloqueadas se mostrarán aquí.
Información del sistema. Aquí puede encontrar información sobre el sitio, sobre el sistema en el que se ejecuta el motor, así como una lista de complementos activos.
Direcciones IP bloqueadas. Se detallan las direcciones IP bloqueadas y la información sobre ellas.
Lista de bloqueo permanente. Lista de direcciones IP bloqueadas temporalmente. Por ejemplo, puede bloquear una IP durante una hora en 3 intentos fallidos de ingresar la contraseña para ingresar al panel de administración para evitar adivinar la contraseña.

Configuraciones

Figura: 3. Configuración del complemento All In One WP Security & Firewall.

Este submenú tiene varias pestañas.
Configuración general. Al principio, se nos ofrecen varios enlaces que crean copias de seguridad de la base de datos y algunos archivos. Y luego hay 2 botones para deshabilitar las funciones de seguridad y firewall. Estos botones eliminan todas las configuraciones de complementos realizadas en el blog para mejorar la seguridad. De hecho, esto es un retroceso en el estado inicial, antes de la configuración del complemento en el sitio.
Archivo .htaccess. Todo es sencillo en esta pestaña. .Htaccess copia de seguridad y restauración de archivos.
archivo wp-config.php. Lo mismo que en el párrafo anterior. Cree una copia de seguridad de un archivo y restaure a partir de él.
Información de la versión de WP. Aquí es donde comienza la verdadera configuración de la seguridad del blog. Si recuerdas, en mi artículo sobre seguridad de WordPress, dije que el motor muestra información de la versión en la metaetiqueta del blog. Si marca la casilla "Eliminando metadatos de WP Generator", la información sobre la versión del motor no se mostrará en las páginas del blog. Y consigue +5 puntos a la seguridad.
Importación y exportación. La configuración del complemento se puede guardar por separado y restaurar si es necesario o para transferir a otro blog.

Administradores

Nombre de WP personalizado. Recomendé no utilizar inicios de sesión estándar. El complemento recomienda lo mismo. Si su nombre de usuario es administrador, cree un nuevo administrador y elimine admin.
Nombre para mostrar. En la configuración de la cuenta, debe configurarlo para que el nombre para mostrar no coincida con el inicio de sesión.
Contraseña. Calculadora interesante. Puede ingresar su contraseña y averiguar cuánto tiempo le tomará a la computadora de su hogar adivinarla. Pero tenga en cuenta que generalmente se utilizan servidores y, a veces, un grupo de servidores (clústeres), lo que acelera enormemente el proceso de adivinación de contraseñas.

Autorización

Bloqueo de autorizaciones. Y aquí está mi marcador favorito. Marque la casilla "Habilitar opciones para bloquear los intentos de autorización" para bloquear los intentos fallidos de inicio de sesión: adivinar la contraseña. Todos los ajustes son intuitivos. Es configurable cuántos intentos incorrectos en un período de tiempo se consideran un intento de piratería. Y sanciones por esto. Puede bloquear inmediatamente a un usuario con un nombre de usuario incorrecto (lo que hago). Por lo general, comienza con la selección de un inicio de sesión. E ingrese su correo. En caso de intentos fallidos de inicio de sesión, recibirá una carta. También se configuran listas blancas para login e IP, si vienes de una IP permanente, puedes configurarla.

En esta etapa, recomiendo detenerse y observar la situación durante varios días. Si está interesado en lo interesante que es su blog para la piratería, y si se está creando una contraseña para su blog, no ajuste el resto de la configuración por un tiempo. Personalmente, me sorprendió cuando hubo un gran interés en mi nuevo sitio.

Intentos de inicio de sesión erróneos. Una pestaña que contiene información sobre autorizaciones erróneas. Registro de errores de inicio de sesión.
Cierre de sesión automático de usuarios. Aquí puede establecer el tiempo después del cual se cerrará la sesión. Es un poco inconveniente, pero si las cookies son robadas de su navegador (un tipo de piratería bastante común), entonces no podrán usar cookies con registro automático, ya que estarán desactualizadas y las sesiones de inicio de sesión en ellas estarán cerradas. Quien no lo entienda, está bien, solo crea que así es más seguro.
Registro de actividad de la cuenta. Un marcador muy útil. Vuelve de vez en cuando. Quién, cuándo, desde dónde inició sesión en el blog.
Sesiones activas. Y esta pestaña muestra los usuarios autorizados que se encuentran actualmente en el sitio.

Registro de usuario

Confirmación manual. Si el sitio tiene la oportunidad de registrarse (por cierto, es posible que no sepa sobre esto), puede aprobar manualmente los registros.
CAPTCHA en el registro. Marque la casilla para usar captcha durante el registro.
Registro Honeypot. Un determinado marcador en la página de registro, al que solo responderá el bot. La persona ignorará.

Protección de base de datos

Prefijo de tabla de base de datos. Si no ha cambiado el prefijo de la tabla durante la instalación de WordPress, el complemento lo ayudará a hacerlo. Simplemente haga una copia de seguridad antes de convertir.
Copia de seguridad de la base de datos. El complemento ofrece la posibilidad de crear copias de seguridad programadas de la base de datos. Creo que el gran inconveniente del complemento es que solo puede realizar una copia de seguridad de la base de datos. Por lo tanto, prefiero crear copias de seguridad completas por otros medios. Pero este complemento realiza regularmente copias de seguridad de la base de datos y las envía al correo.

Protección del sistema de archivos

Acceso a archivos. En esta pestaña, debe configurar los permisos de archivo para que los archivos importantes no se puedan cambiar desde debajo de los scripts.
Edición de archivos PHP. A su discreción. Personalmente, desactivo la capacidad de editar PHP desde el panel de administración. Yo prefiero.
Acceso a archivos WP. El acceso a los archivos readme.html, license.txt y wp-config-sample.php está prohibido en esta pestaña. Es mejor eliminar los archivos readme.html, license.txt por completo.
Registros del sistema. En esta pestaña, puede ver los registros del sistema directamente desde el panel de administración sin iniciar sesión en el alojamiento. Solo tiene que consultar con el proveedor de alojamiento dónde se encuentran y cómo se llaman.

Búsqueda de Whois

El significado es este. El complemento tiene una base de geolocalización. Al analizar las amenazas a un sitio, tenemos información desde qué dirección IP tuvo lugar la acción (ataque). En esta pestaña puede ver información detallada sobre IP.

Lista negra

Prohibir usuarios. Tenga cuidado con esta opción. Muchos usuarios acceden a Internet con direcciones dinámicas. Y el hecho de que se esté produciendo un ataque desde cualquier IP no significa en absoluto que en una semana esta IP no vaya a ser asignada a otro usuario que no podrá acceder a tu sitio. Lo tuve. No pude registrarme en el sitio porque mi IP estaba en la lista negra. Tuve que decidir a través del apoyo del sitio. Y mi IP me la proporciona un ISP y cambia periódicamente.

Cortafuegos

Reglas básicas de firewall. Esta página habilita las funciones básicas del firewall y también deshabilita la llamada a procedimiento remoto XMLRPC. Esta tecnología se necesita principalmente para la interacción. aplicaciones móviles y blog. Si no lo usa, no dude en apagarlo.
Reglas de firewall adicionales. No incluyo todo en esta pestaña. Por ejemplo, ¿por qué prohibir los comentarios a través de un proxy? Es bastante normal que un visitante tenga Internet a través de un proxy. El resto de las configuraciones son necesarias. Prohibir la entrada de caracteres prohibidos en la línea de dirección es una opción obligatoria. Para usuarios habituales no es necesario ingresar consultas no estándar.
Reglas de firewall de lista negra 6G. Un conjunto de reglas estándar para proteger tu blog. No quiero entrar en detalles de qué es, por qué es. Si no comprende lo que esto significa, simplemente active las reglas de firewall estándar.
Bots de Internet. Algunos rastreadores se hacen pasar por bots de Google que pueden rastrear un sitio. El firewall puede rastrear esto en la mayoría de los casos.
Evite los enlaces directos. Una opción muy útil. A veces, el artículo contiene un enlace a la imagen que se encuentra en su sitio. El usuario hace clic en la imagen, pero de hecho el tráfico proviene de su blog y no de donde se hizo clic en la imagen. Necesita deshacerse de esa carga adicional.
Detectando 404. Cuando comienza el análisis del sitio y la selección de parámetros, un atacante a menudo termina en una página 404. Esto se debe al hecho de que ciertos parámetros de vulnerabilidad se seleccionan en los scripts. Y, por regla general, se trata de una secuencia completa de visitas en una página inexistente, incluso se podría decir una ráfaga. Este comportamiento se supervisa y bloquea.
Reglas personalizadas. Puede escribir una regla manualmente.

Protección contra ataques de fuerza bruta

Cambie el nombre de la página de inicio de sesión. Algunos proveedores de alojamiento cambian el nombre de la página de inicio de sesión en el panel de administración. Este es un punto muy importante. Recomiendo cambiar el nombre:

Dirección de la página de inicio de sesión (URL): http: //your_site.ru/secretpage

Ahora, para ir al panel de administración:
http: //your_site.ru/wp-admin

Utilizar
http: //your_site.ru/secretpage

Protección contra ataques de fuerza bruta mediante cookies. El complemento utiliza cookies para rastrear una gran cantidad de inicios de sesión no válidos. Puede bloquear esos intentos.
Inicie sesión en CAPTCHA. Puedes usar el captcha en diferentes páginas. No uso esta opción de complemento, uso un complemento de captcha por separado. Realmente no me gustó el captcha del complemento, es demasiado primitivo.
Iniciar sesión en la lista blanca. Si tiene una dirección IP estática (es decir, la dirección de la computadora desde la que ingresa al panel de administración), puede agregar su IP a la lista blanca y no se le aplicarán sanciones de complementos.
Un barril de miel (Honeypot). Un determinado objeto oculto (campo), al que solo reaccionará el bot, este campo está oculto a la persona.

Protección contra el spam

Spam en los comentarios. Puedes usar captcha en los comentarios. También hay una función interesante y útil para bloquear spambots. Los spambots suelen ser scripts que se ejecutan en algún lugar fuera de su sitio. Y el usuario completa el formulario de comentarios en su sitio. Es muy fácil de rastrear y cortar.
Seguimiento de direcciones IP para comentarios no deseados. El complemento puede decidir de forma independiente que el comentario es spam y bloquear la dirección IP. Es difícil decir hasta qué punto esto es correcto. Si hay una pequeña cantidad de comentarios, puede filtrarlos manualmente.
BuddyPress. Integración con el complemento BuddyPress.

Escáner

Seguimiento de cambios en archivos. Característica genial. Ella me gusta mucho. Cualquier cambio en cualquier archivo durante el escaneo será detectado y enviado por correo como un informe. Al observar los cambios, puede comprender lo que sucedió.

Modo de servicio

Bloquear el acceso de visitantes al sitio. Puede dejar de acceder al sitio y mostrar texto. Por ejemplo, durante el trabajo técnico.

miscelánea

Protección contra copias. Función interesante... Si lo desea, puede bloquear el botón derecho del mouse en el sitio.
Marcos. Al intentar mostrar un sitio como parte de otro sitio en un marco, el complemento bloqueará esta acción. tenga en cuenta que esta configuración afecta el trabajo del navegador web Yandex.Metrica.
Enumeración de usuarios. Puede conocer al usuario a través de una solicitud del formulario:
http: //your_domain.ru? author \u003d 1
Esta opción restringe tales solicitudes.

Un poco de humor
La esposa llama a su marido al trabajo para charlar.
Esposo: - Lo siento, cariño, pero tengo mucho que hacer hoy.
Esposa: - Pero, cariño, tengo noticias para ti: buenas y malas.
Esposo: - Está bien, no tengo tiempo ahora, solo dime las buenas noticias.
Esposa: - Bueno ... bueno ... el airbag está funcionando.

Feliz dominio del material.

Uno de los complementos más exitosos y poderosos para proteger los sitios de WordPress se sometió recientemente a un cambio de marca y una actualización importante. Y, a pesar de las advertencias de los desarrolladores, esta actualización se realizó sin problemas. (al menos para la mayoría de los usuarios). Ni siquiera necesitamos reactivar manualmente el complemento, sobre lo cual se nos advirtió anteriormente.

Ya escribí en detalle sobre el cambio de nombre y qué esperar de iThemes Security en el futuro. Ahora quiero presentarles instrucciones detalladas para configurarlo. Esta guía será especialmente útil para aquellos usuarios que no entiendan muy bien el inglés técnico (el complemento aún no se ha traducido al ruso, ni siquiera parcialmente, como antes) y algunas tecnologías específicas.

Como siempre en sus artículos, antes de proceder al trámite "haga clic allí, haga clic aquí", Le sugiero que se familiarice con la parte teórica. O más bien, qué puede hacer y qué nuevas funciones ha adquirido iThemes Security. Aquellos que ya estén familiarizados con este plugin durante mucho tiempo, o aquellos que no estén interesados \u200b\u200ben todo esto, pueden ir directamente a la segunda parte de las instrucciones.

Funciones del complemento de seguridad de IThemes (ex-Better WP Security)

Todo el mundo sabe que la tarea principal de iThemes Security es proteger los blogs de WordPress de todo tipo de ataques. Y esta protección, debo decir, es de muy alta calidad y poderosa. En este momento el complemento tiene en su arsenal más de 30 métodos de seguridad. Y sus desarrolladores no dudan en llamar a su descendencia "No. 1" entre complementos similares.

Sí, de inmediato quiero señalar un detalle importante: la seguridad de nada nunca se logra con una sola herramienta. La seguridad es siempre todo el complejo medidas. Debe entenderse que la simple instalación de iThemes Security (o cualquier otro complemento similar) no puede garantizarle la protección del sitio al cien por cien. Por lo tanto, siempre debe recordar los principios básicos de protección: cumplimiento de la higiene de Internet, mantenerlo limpio y proteger proactivamente su computadora del malware, etc. etc. Además, no te olvides del factor humano.

La funcionalidad principal de iThemes Security se puede dividir en varios bloques.

Ocultación y remoción (oscura) de todo lo que pueda conllevar un peligro potencial

• Cambiar la URL de la página de inicio de sesión del administrador es una característica muy útil y, de alguna manera, incluso única (en general, iThemes Security, así como en los primeros Better WP Security, tiene muchas características únicas).
• Modo Ausente: bloqueo completo del panel de administración en un momento específico.
• Eliminando los encabezados RSD y Windows Live Write.
• Evite las notificaciones de actualización de WP, temas y complementos.
• Cambie el inicio de sesión "admin", si se utiliza.
• Cambiar el ID de administrador predeterminado (1) y el prefijo (wp_) de las tablas de la base de datos
• Cambiando el directorio wp-content.
• Ocultar la salida de error cuando el nombre de usuario / contraseña se ingresa incorrectamente.
• Visualización de versiones aleatorias de complementos, temas y núcleos para no administradores.

Proteja su sitio de WordPress

Ocultar partes del sitio es una característica muy útil, pero no puede prevenir todos los ataques. Por lo tanto, entre las características de iThemes Security, existen, por supuesto, métodos de protección: bloquear a los usuarios "malos", aumentar la seguridad de las contraseñas, etc.

• Escaneo del sitio y notificación instantánea de puntos débiles con vulnerabilidades, y la misma rápida eliminación de los mismos.
• Bloqueo problemático Agente de usuario, bots, etc.
• Protección contra contraseñas de fuerza bruta mediante el bloqueo de usuarios y hosts después de múltiples intentos fallidos de ingresar al área de administración.
• Seguridad general mejorada del servidor web.
• Hacer cumplir contraseñas seguras para los usuarios.
• Cifrado (SSL) del panel de administración y cualquier otra página y registro (necesita un certificado SSL y soporte de servidor).
• Prohibición de editar archivos de motor, temas y complementos de adinka.
• Detección y bloqueo de varios ataques al sistema de archivos y la base de datos del sitio.

Detectar

• Vigilancia sistema de archivos de cambios no autorizados.
• Detección de varias "arañas" y "bots" que escanean el sitio en busca de vulnerabilidades.
• Notificaciones por correo electrónico sobre casos de bloqueo de usuarios y hosts.

Recuperación

iThemes Security realiza copias de seguridad periódicas de la base de datos de WordPress (en un horario), lo que le permite restaurar rápidamente el estado original del sitio en caso de que se vea comprometido. Desafortunadamente, la versión básica del complemento no admite la copia de seguridad completa de archivos. Pero esta función está disponible en el servicio pago de iThemes: BackupBuddy.

Otros beneficios

• La capacidad de crear una página de inicio de sesión fácil de recordar para el panel de administración (puede establecer cualquier dirección que sea fácil de recordar).
• Detección de errores 404, que es importante no solo en términos de seguridad, sino también en términos de SEO (enlaces rotos a imágenes, páginas inexistentes dentro del sitio, etc.)
• Elimine la versión de jQuery actualmente utilizada y reemplácela con la versión actual y segura (que viene con WordPress de forma predeterminada).

Nuevas funciones en iThemes Security

• Prohibición de ejecución PHP en la carpeta de cargas.
• Impedir la creación de un nombre de usuario idéntico (nombre para mostrar en el sitio).
• Ocultar archivos de autores que no tengan un solo registro.
• Opciones avanzadas para enviar notificaciones
• y etc.

Bueno, esta es la funcionalidad del complemento iThemes Security en este momento. Es poco probable que tenga competidores serios. El único, en mi opinión, es el competidor más cercano. Solo que resulta más "caprichoso" a la configuración del servidor web, y está destinado, más bien, a usuarios avanzados.

Entonces, descubrimos las capacidades del complemento, ahora es el momento de comenzar a configurarlo.

Le aconsejo que tenga en cuenta mi otro artículo, con una descripción general de las nuevas opciones que no se tratan en este manual. Además, hace relativamente poco tiempo, descubrí que una chica maravillosa llamada Zhanna Lira ya ha hecho una traducción del complemento durante mucho tiempo y lo está compartiendo de forma totalmente gratuita con los lectores de su blog. Si necesita una localización rusa, puede llevarla

Instalación y configuración del complemento iThemes Security (ex-Better WP Security)

La instalación para nuevos usuarios se realiza como de costumbre. Quien sea más conveniente (oh diferentes caminos Ver instalaciones de complementos de WP). La página de complementos en el repositorio de WordPress.org sigue siendo la misma por ahora: https://wordpress.org/plugins/better-wp-security/. No sé si cambiará en el futuro.

Al buscar desde el panel de administración, el complemento está disponible por nombre iThemes Security (anteriormente Better WP Security), por lo que en este momento se puede encontrar tanto por el nuevo nombre como por el antiguo. Cuánto tiempo durará esta variante del nombre, tampoco lo sé.

Entonces, lo encontramos, lo instalamos, lo activamos. Y lo primero que vemos es la siguiente imagen:

Nos interesa el botón " Seguro Tu Sitio Ahora"(asegure su sitio ahora)... Haga clic en él y la ventana de configuración principal nos dará la bienvenida. "YOimportante primero Pasos"(primeros pasos importantes):

Todas estas configuraciones básicas se pueden omitir y realizar manualmente más tarde. Para hacer esto, hay un enlace en la esquina inferior derecha. "Descartar"... Pero recomiendo hacerlos ahora mismo, en modo automático.

Entonces, vemos 4 botones:

1. Haga una copia de seguridad de su sitio - hacer una copia de seguridad de la base de datos del sitio. Se recomienda volver a hacerlo (aunque debería haber realizado una copia de seguridad antes de instalar el complemento).Esta copia se creará y se enviará a su correo electrónico administrativo utilizando el propio complemento.
2. Permitir actualizaciones de archivos - permitir la actualización de archivos. Se trata de editar los archivos wp-config.php y .htaccess, que son necesarios para que el complemento funcione correctamente. Este botón le permite realizar una actualización automática segura de estos archivos.
3. Asegure su sitio - asegure su sitio. Usa el botón Seguro con un clic (seguridad con un clic)para permitir que el complemento active la configuración predeterminada. Además, solo se activarán aquellas funciones que no deberían causar conflictos con otros complementos. Todo lo demás se puede personalizar más tarde.
4. Ayúdanos a mejorar - ayúdanos a ser mejores. Este botón activa la función anónimorecopilar datos sobre las características de su sitio (probablemente: versión de WP, complementos instalados, conflictos, etc.) para mejorar el complemento en el futuro. Una vez más enfatizaré que la recopilación de estadísticas es anónima, y \u200b\u200biThemes no identifica a los usuarios por ella. Decide por ti mismo si habilitar esta opción o no.

En general, presione uno a la vez, al menos tres botones de cada cuatro (en lugar de cada uno de ellos, verá una notificación de una acción exitosa). Luego haga clic en "Descartar" para cerrar esta ventana.

Ahora necesitamos configurar nuestra seguridad de iThemes más a fondo.

Todas las configuraciones de complementos se encuentran en el panel de control ( Tablero):

En la parte superior, como puede ver, hay pestañas que proporcionan la navegación principal a través de la configuración. En la pestaña principal, Panel de control, hay varios bloques. Por conveniencia, pueden colapsarse. También puede intercambiarlos. En general, hay varias notificaciones e información general. Y a la derecha están las ofertas promocionales de iThemes.

Debo decir de inmediato que no configuraremos iThemes Security a través de los botones "Fix It", sino en la siguiente pestaña. Pero de todos modos, repasemos y veamos lo que tenemos aquí:

Empezando

Aquí hay un video breve sobre la configuración, así como un enlace al sitio del desarrollador donde puede obtener ayuda o comprar la versión PRO del complemento (así como otros productos y servicios). No veremos su video (¿cuál es mi artículo para ti? \u003d)), Especialmente porque está en inglés. Entonces, contraemos esta pestaña para que no interfiera con nosotros ahora, y la arrastramos hasta la parte inferior (si lo desea).

Si lo desea y necesita ver un video en ruso sobre la actualización y configuración de iThemes Security, vaya al sitio web de Dmitry en el enlace especificado. ¡Rápidamente publicó un video de instrucción actualizado, por el cual recibió un gran respeto de muchos blogueros de Runet! (Y de mi parte un enlace como muestra de sincero respeto)

Estado de seguridad

Este es quizás el bloque más importante de esta página. Detengámonos en ello con más detalle.

Este bloque también tiene pestañas que indican el grado de criticidad de las notificaciones: Alto (alto),Medio (promedio),Bajo (bajo). También hay dos pestañas: Todo (todo en una página) yCompletar (terminado, es decir, lo que el complemento ya ha hecho / arreglado).

Alta prioridad - marcado en color rosa pálido e implica la necesidad de una corrección inmediata.

En mi caso, como puede ver, solo hay un comentario: la necesidad de configurar una copia de seguridad programada de la base de datos.

Bueno, usemos el botón mágico "Arreglalo".

Inmediatamente somos lanzados a la segunda pestaña con la configuración principal ( Configuraciones) en la sección de configuración de la copia de seguridad. Y se indica el elemento que debe repararse. En mi caso es Calendario Base de datos Copias de seguridad (horario para la copia de seguridad de la base de datos)... Marque la casilla de verificación (1), especifique el intervalo (2) y guarde los cambios con el botón Guardar cambios (3).

Anteriormente, la programación se podía configurar para que las copias de seguridad se realizaran al menos cada hora. Ahora el intervalo mínimo es de 1 día.

Luego volvemos a la pestaña Tablero y vemos que no hay más comentarios con alta criticidad.

Puedes ir más lejos de la misma manera, punto por punto. Medio Prioridad y baja prioridad, y también use los botones Fix it. Pero usaremos otro método: realizaremos la configuración manualmente, en la pestaña Configuración. Si le resulta más conveniente hacerlo desde aquí (con el Panel de control), no hay problema. No hay mucha diferencia. Es solo que en la página principal del complemento, todos pueden tener notificaciones diferentes. Por lo tanto, configuraré iThemes Security directamente a través de la configuración (y en general, es más conveniente y más correcto, según me parece)

Pero antes de eso, repasaremos rápidamente el resto de los bloques de información del Tablero.

Cerraduras activas

Aquí, el complemento nos informará sobre qué nodos (es decir, direcciones IP de bots o personas vivas) o usuarios (aquellos que están registrados en el sitio) han sido bloqueados por diversas acciones inapropiadas.

Información del sistema

Aquí puede encontrar información sobre el usuario activo (es decir, sobre usted): su dirección IP y agente de usuario. También indica:

• Dirección absoluta del sitio y carpeta raíz en el servidor
• Archivos htaccess y wp-config.php grabables
• Información de base de datos, servidor y PHP
• Algunas opciones de WordPress
• Compilación usada de iThemes Security (la versión del ensamblado que deberá especificarse al contactar al soporte; la versión de la compilación difiere de la versión indicada en la página del complemento; estas son cosas ligeramente diferentes)

Reglas reescritas

Aquí encontrará información sobre las reglas que escribió el complemento en el archivo .htaccess

Reglas para wp-config.php

Similar al punto anterior, solo para otro archivo, como comprenderá.

Por mi parte, cambié un poco el lugar de estos bloques y los doblé todos. De este modo, página de inicio el panel de control del complemento ahora me parece más compacto y se abre más rápido:

Todas las configuraciones de complementos están organizadas en bloques separados (secciones). Para mayor comodidad, también se pueden plegar o intercambiar. También hay un menú desplegable para navegacion rapida por secciones. Además, este menú siempre lo acompañará en el lado derecho de la ventana gráfica, como un bloque flotante con una lista desplegable.

Permítame recordarle de inmediato que después de realizar cambios en cualquiera de las secciones, debe guardar ("Salvar Cambios")

Configuración global

El primer elemento aquí es Escribir en archivos - escribir en archivos. Este elemento ya ha sido marcado y en ningún caso debes desmarcar la casilla (!). De lo contrario, evitará que el complemento escriba en los archivos .htaccess y wp-config.php, por lo que todas las reglas creadas y los parámetros de configuración deberán escribirse manualmente.

Los siguientes dos puntos son una indicación correos electrónicos para recibir notificaciones (Correo electrónico de notificación) y copias de seguridad (Correo electrónico de entrega de respaldo) ... Además, puede especificar diferentes direcciones; puede agregar varias direcciones. Cada correo electrónico debe escribirse en una nueva línea.

En campo " Anfitrión Bloqueo Mensaje" puede especificar un mensaje que se mostrará a aquellos que han sido bloqueados por el complemento. El valor predeterminado es "error" lacónico. Puedes ser creativo y escribir algo original. Pero no tiene sentido esto, tk. básicamente se bloqueará todo tipo de bots.

En campo " Usuario Bloqueo Mensaje" puede escribir un mensaje que se mostrará para aquellos usuarios registrados en el sitio, cuya cuenta será bloqueada por intentos fallidos de iniciar sesión. Puedes dejar un mensaje predeterminado " usted tener estado bloqueado afuera debido a también muchos iniciar sesión intentos"(" Fue bloqueado debido a demasiados intentos de inicio de sesión ").

Delincuente reincidente de la lista negra - esta es una lista negra de "reincidentes", es decir aquellos que regularmente intentan adivinar la contraseña o realizan otras acciones prohibidas. La función está habilitada de forma predeterminada y no recomiendo deshabilitarla.

Umbral de lista negra - el umbral para agregar una dirección IP a la lista negra. Es decir, aquí se indica el número de bloqueos de un usuario o host, luego de lo cual la dirección IP del intruso se agregará permanentemente a la lista negra. Valor predeterminado \u003d 3. Esto significa que si alguien tiene tres bloqueos para intentar adivinar la contraseña del panel de administración, se envía a la lista negra.

Período de conversión de la lista negra - el período durante el cual el infractor está prohibido. Aquí se indica el número de días que el delincuente estará en la lista negra. Este valor se puede aumentar (el valor predeterminado es 7 días).

Período de bloqueo - período de bloqueo. El período de tiempo (en minutos) durante el cual un host o usuario estará bloqueado después de una infracción inicial (sin estar en la lista negra).

Ejemplo: digamos que alguien intenta adivinar la contraseña de administrador, hace varios intentos fallidos y se bloquea temporalmente durante el número especificado de minutos. Si después de desbloquearlo no detiene su ataque y recibe dos bloqueos temporales más (si el Umbral de lista negra está configurado en 3), entonces se envía directamente a la lista negra.

Lista blanca de bloqueo - Lista blanca. Aquí puede especificar direcciones IP que no se incluirán en la lista negra. Si tiene una dirección IP estática, entonces es recomendable registrarla en este campo para que no existan posibles dificultades de acceso (también puede registrarse en la lista blanca con una dirección IP dinámica).

Cabe señalar que si ha activado el Modo Ausente (más sobre él más adelante), a la hora especificada en él, aún no podrá acceder al panel de administración. Las reglas del modo Ausente tienen prioridad sobre la lista blanca.

Las direcciones IP de la Lista blanca están escritas en formato IPv4 estándar, por ejemplo, 123.123.123.123. También se permite utilizar el carácter (*) para indicar un rango de direcciones. Por ejemplo, un registro como 123.123.123. * Significaría que se permitirán todas las direcciones IP de 123.123.123.0 a 123.123.123.255. Esto es útil si no tiene una dirección IP estática.

Ingrese cada dirección IP o subred en una nueva línea.

Notificaciones de bloqueo de correo electrónico - envío de cartas al especificado en el campo Correo electrónico de notificación correo electrónico cada vez que se bloquea cualquier host o usuario del sitio.

Tipo de registro - tipo de tala. Aquí puede especificar qué registros conservará el complemento de seguridad de iThemes. Opción tres - solo base de datos (solo base de datos), solo registros de archivos (solo archivo) o ambos tipos (ambos).

Cada una de estas opciones para grabar eventos tiene ventajas y desventajas.

• Base de datosSolamente - Todos los cambios realizados en la base de datos, como una nueva publicación, un nuevo comentario, etc., se registrarán en el registro. También se registrará la creación de copias de seguridad. Por qué un usuario común necesita esto, no lo entiendo. Te aconsejo que no uses este modo.
• Archivo Solamente - una opción de registro más útil. Se registrarán todo tipo de errores 404, cambios de archivo (si la opción está activa), etc. Recomiendo usar este modo en particular.

Tenga en cuenta que cualquier escritura en el disco del servidor (y el registro es, por supuesto, escritura) causa una carga adicional. Bueno, los propios troncos ocupan espacio, por supuesto. Es extraño que el complemento no tenga la opción de deshabilitar completamente el registro

Dias a Mantener Base de datos Registros - cuántos días se deben mantener los registros de la base de datos. Si no ha activado el modo de registro Solo base de datos, no importa cuántos días especifique en este campo. Debido a que el registro de archivos todavía se almacenará indefinidamente, pero con una condición importante - al alcanzar el tamaño de 10 MB, el archivo se sobrescribirá. Esta es una buena innovación, porque antes, para algunos usuarios, los registros consumían una gran cantidad de espacio en disco, y ellos (los registros) tenían que limpiarse con una regularidad envidiable. A mano.

Camino a Iniciar sesión Archivos - ruta a los archivos de registro. Aquí todo está claro. Solo hay una nota: el directorio especificado debe ser modificable y una recomendación: por razones de seguridad, no debe almacenar registros en la raíz del sitio. En definitiva, dejamos todo como está.

Permitir Datos Rastreo - habilitar la recopilación de estadísticas para iThemes. Esto es de lo que hablamos antes. Quieres - enciéndelo, quieres - no. Permítame recordarle una vez más que los datos se recopilan y envían de forma anónima y beneficiarán el desarrollo del complemento.

Bueno, hemos resuelto la configuración global. Siga adelante. Oh, cuanto me queda por escribir y tu lees \u003d)

Detectar errores 404

Esta función consiste en recopilar información sobre qué hosts reciben errores 404 repetidamente y bloquearlos en consecuencia. Este análisis es importante por varias razones, la principal es evitar el escaneo de vulnerabilidades existentes.

Esta opción también tiene el beneficio adicional de ayudarlo a encontrar problemas ocultos, causando errores 404. Esto puede ser, por ejemplo, algunas imágenes "rotas" o enlaces internos rotos. Todos los errores se registrarán y podrá verlos en la pestaña "Ver registros" (Registros).

En primer lugar, en esta sección, vemos cierta información sobre la configuración de bloqueo actual (configuramos todo esto en el bloque de configuración global). Para mí, por ejemplo, se ve así:

Habilitar la detección 404 - en realidad, la activación de esta función.

Minutos a Recuerda 404 Error (Cheque Período) - la cantidad de minutos (período de control) durante los cuales se contarán los bloqueos. El valor predeterminado es 5 minutos.

Ejemplo: algún bot / analizador "martilla" el sitio en busca de varios archivos y páginas vulnerables y, al no encontrarlos, recibe un error con un código 404 en respuesta. Lo hace, por ejemplo, durante un minuto, luego se detiene durante un minuto y vuelve a empezar ... El complemento recordará todas estas acciones y pronto recibirá una prohibición.

Si, por ejemplo, el bot "martilleó" 30 segundos y abandonó el sitio durante 10 minutos, la próxima vez que visite el complemento lo considerará un recién llegado y no se recordarán los "méritos" pasados \u200b\u200bdel host.

Por lo tanto, el valor predeterminado se puede aumentar ligeramente (por ejemplo, hasta 10 minutos).

Umbral de error - el umbral de errores admisibles. El número de errores (dentro del período de control) al alcanzar el cual ocurrirá el bloqueo. Si se establece en 0, los errores se registrarán sin bloquear (esta opción solo debe usarse con fines de depuración, ya que no suprimirá el análisis de vulnerabilidades).

Valor predeterminado \u003d 20. No creo que valga la pena aumentarlo, porque los errores 404 se pueden informar no solo por acciones sospechosas, sino también, por ejemplo, si el sitio no tiene un favicon, etc.

Y aquí es útil en iThemes Security, apareció una buena innovación: una lista blanca de errores 404. Los más famosos ya se han agregado. archivos comunes, cuya ausencia provoca estos errores:

Esta lista se puede complementar con otros archivos conocidos. Pero una solución más correcta sería poner todo en orden: crear un favicon, apple-touch-icon.png, robots.txt, sitemap.xml, etc. Después de todo, la lista blanca no evita que el servidor registre errores. Y, como ya sabe, cualquier grabación en un disco duro es una carga adicional.

Modo ausente / modo invitado

Este modo le permite deshabilitar completamente el acceso al panel de administración de WordPress en días u horas específicos. Esto puede ser muy útil, y ciertamente no será superfluo en términos de protección adicional.

¿Cómo funciona? Digamos que nunca va al área de administración por la noche y temprano en la mañana. O, digamos, se va de vacaciones y está seguro de que no utilizará el panel de administración en este momento. ¿Por qué no apagarlo durante estas horas o días? ¿Correctamente? Correctamente.

Antes de activar y configurar esta opción, recuerde que la zona horaria utilizada en el sitio puede diferir de su zona horaria real. Por lo tanto, ajuste la configuración del Modo Ausente según la configuración global del sitio en sí.

Entonces, para habilitar el modo invitado, marque la casilla de verificación "Habilitar modo ausente" .

Si seleccionamos Diariamente, entonces dos parámetros estarán disponibles para nosotros para especificar el intervalo de tiempo: Hora de inicio yFin Hora (final). La hora se indica en formato de 12 horas. AM - antes del mediodía; PM - tarde.

Ejemplo: si quiero bloquear el panel de administración de 2 am a 7 am, entonces indico - de 2:00 am a 7:00 am. En general, busque en Google si es necesario. Hay servicios y mesas de correspondencia en formatos de 24 y 12 horas en Internet.

Si selecciona el modo de bloqueo de una sola vez, debe indicar la fecha y hora de su inicio y la fecha y hora de su finalización. Todo ingenioso es simple.

Usuarios bloqueados

Esta función le permite denegar completamente el acceso al sitio para ciertos hosts y agentes de usuario, lo que tendrá un efecto beneficioso para contrarrestar a los spammers, analizadores y otras personas y bots sin escrúpulos.

En primer lugar, se nos invita a conectar una lista negra básica de agentes de usuario problemáticos conocidos, creada por el grupo HackRepair.com.

En general, ¿qué es un agente de usuario? En nuestro caso, se trata de una información mediante la cual (entre otras cosas) el servidor web identifica al host que lo ha contactado. Contiene el navegador utilizado, sistema operativo, etc. Los robots de búsqueda tienen sus propios agentes de usuario, los robots de spam y varios analizadores tienen los suyos propios, etc. Y según los agentes de usuario no deseados conocidos, se utilizan listas negras similares.

Puede ver su agente de usuario (UA), por ejemplo, en el sitio web http://whatsmyuseragent.com/. Intente visitar esta página con diferentes navegadores y preste atención a la diferencia de UA.

Entonces, para activar la lista negra básica, marque el parámetro "Habilitar la función de lista negra de HackRepair.com" ... Si necesita la lista más reciente y completa de agentes de usuario y hosts "malos", siempre puede tomarla en la página http://pastebin.com/5Hw9KZnW y agregarla al archivo .htaccess usted mismo.

¡Hay una nota! Recientemente vi en alguna parte que es mejor no activar esta opción, porque esto puede provocar el bloqueo de algunos robots de búsqueda. Personalmente, siempre he tenido esta lista negra conectada y no observé ningún problema con el acceso de estas arañas al sitio ni en Ya.Webmaster ni en Google Webmaster. Entonces, recomiendo activar esta función. Además, puede analizar esta lista y asegurarse de que ni los identificadores de Google ni Yandex estén presentes en ella.

Además de la lista negra predeterminada, es posible bloquear manualmente ciertos hosts o UA. Para hacer esto, debes activar la opción "Habilitar la prohibición de usuarios" , después de lo cual tres campos de entrada estarán disponibles para nosotros:

• Prohibir hosts - bloqueo de hosts. Siempre puede ingresar las direcciones IP de las que provienen regularmente los ataques a su sitio o el spam.
• Prohibir agentes de usuario - bloqueo de UA. En la mayoría de los casos, no es necesario agregar manualmente a esta lista, una lista básica de HackRepair.com es suficiente. Pero si de repente encuentra un ataque constante de ciertas UA, entonces ¿por qué no aprovechar la oportunidad para bloquearlas?
• Usuarios de la lista blanca - Lista blanca. Puede ingresar su dirección IP.

Las direcciones IP se agregan a estas listas de la misma manera que en la Lista blanca de bloqueo.

Protección contra ataques de fuerza bruta

Una característica muy importante que es un escudo adicional además de cambiar la URL del administrador. Y si no utiliza la sustitución de la página de inicio de sesión en el panel de administración (más sobre esto más adelante), esta función se vuelve no solo importante, sino la más importante. Además, le permite rechazar complementos adicionales que realizan la misma tarea (Limitar intentos de inicio de sesión, Bloqueo de inicio de sesión, etc.).

La opción ya está activada por defecto. Y si por alguna razón hay una marca de verificación junto a "Habilitar protección contra fuerza bruta" no está instalado, luego póngalo.

Parámetro " Max Iniciar sesión Intentos Por Anfitrión" es responsable del número máximo de intentos para un host. Valor predeterminado \u003d 5. Es decir, si alguien ingresa su nombre de usuario o contraseña incorrectamente 5 veces seguidas, será bloqueado durante el tiempo especificado.

" Max Iniciar sesión Intentos Por Usuario" responsable del número de intentos de un usuario en particular. Es decir, si alguien maneja su nombre de usuario (o el atacante conoce los inicios de sesión existentes en el sitio), pero especifica incorrectamente la contraseña, entonces este usuario en particular (su cuenta). El valor predeterminado es 10 intentos.

Y el parámetro final en este bloque de configuraciones es: "Minutos para recordar un inicio de sesión incorrecto (período de verificación)" - un período de control durante el cual el complemento recordará los intentos de inicio de sesión fallidos. Dejar también por 5 minutos. Si lo desea, puede aumentar este valor.

Copias de seguridad (copias de seguridad) de la base de datos

Se sabe con certeza que uno de los mejores formas La protección y mitigación de las consecuencias de los ataques son copias de seguridad. Todo bloguero o propietario de un sitio simplemente está obligado a tener copias de seguridad diarias de la base de datos.

En la mayoría de los casos, los blogueros cambian esta tarea al alojamiento. Pero, como dicen, Aide toi et le ciel t'aidera. Por lo tanto, además de alojar copias de seguridad, siempre debe tener una opción de copia de seguridad. Alguien usa complementos y scripts especiales para esto, pero ¿por qué? Después de todo, iThemes Security hace frente a esta tarea para más de 5

Entonces el primer parámetro aquí es "Copia de seguridad de la base de datos completa" Es el modo para crear una copia de seguridad completa de las tablas del sitio. Si activa esta opción, absolutamente todas las tablas se agregarán a las copias de seguridad, que pueden no estar directamente relacionadas con el sitio (por ejemplo, algunos scripts de terceros, etc.). Para cada bombero, recomiendo usarlo, aunque esto, en general, no es crítico.

• Salvar En la zona y Correo electrónico - almacenar copias de seguridad en el servidor y enviarlas por correo electrónico
• Correo electrónico Solamente - enviar solo por correo electrónico
• Salvar En la zona Solamente - almacenar solo en el servidor

Recomiendo usar exclusivamente Correo electrónico Solamente (si su base de datos no es muy grande) . Porque mantener copias de seguridad en el mismo servidor donde se encuentra el sitio es a) inútil; b) desperdicio de espacio en disco.

Si decide almacenar copias de seguridad en el servidor, en el campo "Ubicación de la copia de seguridad" puede especificar el directorio para almacenarlos (o dejar la ruta predeterminada). En ningún caso se recomienda especificar carpeta raíz sitio para estos fines.

Asegúrate de marcar la casilla "Comprimir archivos de copia de seguridad" Es la compresión de archivos de respaldo. Por lo tanto, el archivo de la base de datos se empaquetará en un archivo ZIP, lo que reducirá significativamente su tamaño.

La siguiente es una indicación de algunas tablas específicas que se pueden excluir de las copias de seguridad. (Excluir tablas) ... Estos incluyen tablas generadas por algunos complementos que pueden no siempre proporcionar un valor real.

Por defecto en el campo "Tablas excluidas"tablas incluidas creadas por el complemento de seguridad de iThemes, y en el margen izquierdo "Tablas de respaldo" - aquellas tablas que son creadas por varios complementos (básicamente, estos son registros diferentes), pero no relacionados ( generalmente) directamente al contenido del sitio.

Si está seguro de que algunas tablas del campo de la derecha no son útiles para la copia de seguridad de la base de datos, puede excluirlas de las copias de seguridad creadas. Esto puede reducir significativamente el tamaño de las copias de seguridad. Si no está seguro, déjelo como está.

En cualquier caso, recuerde que estas copias de seguridad pueden diferir de las creadas por el proveedor de alojamiento, porque las copias de seguridad completas de la base de datos se crean en el alojamiento. Pero, esto de ninguna manera significa que las copias de seguridad creadas en iThemes Security serán incompetentes. De ningún modo.

Bueno, entonces hay un horario ... Programar copias de seguridad de la base de datos ... Ya hablamos de él casi al principio. Recomiendo establecer el valor mínimo posible: 1 día. Por lo tanto, todos los días se enviará a su correo una copia de seguridad de la base de datos del sitio web.

Detección de cambio de archivo

Incluso las mejores soluciones de seguridad pueden fallar. Entonces, ¿cómo sabe que alguien ha obtenido acceso administrativo a su sitio? Lo más probable es que un atacante cambie algunos archivos introduciendo su código en ellos. Esta función es responsable de realizar un seguimiento de dichos cambios.

A diferencia de otras soluciones, iThemes Security compara los archivos localmente, desde la última verificación, en lugar de compararlos con los archivos "de fábrica" \u200b\u200bde forma remota.

Después de cada verificación, sabrá si los cambios fueron realizados personalmente por usted o si aparecieron como resultado de un compromiso. Preste atención principalmente a varios archivos del sistema que han cambiado repentinamente sin motivo aparente (no hubo actualizaciones, usted personalmente no hizo cambios en ellos, etc.).

Si sucede que su sitio aparece de repente código malicioso, entonces, gracias a esta opción, será más fácil para usted rastrear cuándo y dónde se podría agregar.

Clic en el botón " Archivo Escanear Ahora" para agregar archivos y realizar un escaneo inicial. Si se encuentran cambios, será redirigido a la página "Registros" para obtener más detalles. Los registros de cambios de archivos se encuentran en la sección :

Volvamos a la configuración. Para activar el diario verificación automática cambiar archivos, marque la casilla "Habilitar detección de cambio de archivo" .

El siguiente parámetro - "Escaneo de archivos divididos" - puede activar el modo de dividir los archivos escaneados en categorías. Hay 7 categorías en total. complementos, temas,wp- administración, wp- incluye, cargas (descargas),wp- contenido y el ultimo es todo lo que no encaja en las categorías anteriores... La inspección de estas piezas se dividirá uniformemente a lo largo del día. De lo que se deduce que esta configuración conduce a un aumento en el número de notificaciones, pero al mismo tiempo reduce la carga en el servidor, lo que es especialmente importante en el alojamiento "débil".

por que es tan importante? Anteriormente, cuando se habilitaba el seguimiento de cambios de archivos, había tantas notificaciones que muchas simplemente deshabilitaban esta opción. Esto se debió, entre otras cosas, al hecho de que cuando se utilizan complementos de almacenamiento en caché, los archivos en el alojamiento cambian con mucha frecuencia y en gran número (caché). Ahora, estos archivos en caché se pueden excluir del análisis.

Esto se hace de esta manera (por ejemplo, la carpeta de caché utilizada por el complemento Hyper Cache, otros complementos similares probablemente usen la misma carpeta):

También es posible no excluir ciertos archivos y carpetas, sino incluir solo los seleccionados. Para hacer esto, en el menú desplegable, seleccione "Incluir seleccionados", y especifique qué archivos y carpetas desea monitorear.

En campo " Ignorar Archivo Tipos" puede especificar diferentes extensiones de archivo que serán ignoradas por la función de seguimiento de cambios. Por lo general, estos son archivos de imágenes, etc. Es decir, NO debe ser archivos de texto (incluyendo php, js, etc.), ya que es en ellos donde normalmente se inyecta código malicioso u otro código extraño.

Parámetro " Correo electrónico Archivo Cambio Notificaciones" es responsable de enviar notificaciones de cambios en los correos electrónicos especificados en la configuración global.

Función " Monitor archivo cambio administración advertencia" puede habilitar / deshabilitar la visualización de notificaciones en el panel de administración.

Es posible seleccionar ambos modos o uno. Si deshabilita ambos, no recibirá ninguna notificación, pero de todos modos los cambios se pueden ver en la pestaña "Registros".

Ocultar la página de inicio de sesión para el área de administración del sitio

Otra característica única del complemento iThemes Security, gracias a la cual puede proteger en gran medida su sitio de los ataques de fuerza bruta.

Funciona de la siguiente manera: en lugar de la URL de inicio de sesión estándar al panel de administración (site.ru/wp-login.php) puede especificar cualquier página arbitraria, por ejemplo site.ru/voydi_v_menya... Por lo tanto, casi nadie sabrá en qué dirección se encuentra la página de inicio de sesión.

Además, esta función está diseñada para que sea más fácil recordar la dirección de backend (a menudo se denomina panel de administración del sitio) y, finalmente, negarse a utilizar el widget META en el sitio.

Para habilitar este modo, marque la casilla junto a "Habilitar la función de ocultar backend" .

En campo "Iniciar sesión Slug" (se puede traducir como "Entrada para perezosos") especifique la dirección deseada para ingresar al panel de administración. Puede ser cualquier palabra que le resulte conveniente y fácil de recordar (o un conjunto de símbolos). Por supuesto, no puedes usar aquí "login", "admin", "dashboard" o "wp-login.php". Tampoco recomiendo usar ninguno de sus apodos en Internet, fecha de nacimiento, etc. para la dirección de la página de inicio de sesión, porque todo esto es muy fácil de calcular.

Si después de ocultar el panel de administración tiene problemas para acceder a él, entonces razón posible puede volverse incompatible con el tema. Para solucionar este problema, use la opción "Habilitar la compatibilidad de temas" .

En campo " Tema Compatibilidad Babosa" la dirección que se mostrará cuando intente ingresar al panel de administración por dirección estándar site.ru/wp-login.php (si la función anterior está activada).

¿Estás cansado? Ten paciencia, no queda mucho \u003d)

Cifrado (SSL)

Secure Socket Layers (SSL) es una tecnología que se utiliza para cifrar los datos transmitidos entre un servidor y los visitantes del sitio. Si SSL está habilitado, hace imposible que un atacante intercepte datos (Últimamente ha habido mucha controversia a este respecto, pero aún así la tecnología permanece lo más estable posible). Por lo tanto, se recomienda utilizar cifrado en las páginas para ingresar contraseñas y otros datos. Cualquier sitio más o menos grande que use la entrada y transmisión de información confidencial usa cifrado (en tales sitios, la dirección comienza con https: //)

Sin embargo, este modo requiere que su servidor tenga soporte SSL.

No active SSL bajo ninguna circunstancia si no tiene un certificado y su hosting no es compatible con esta tecnología para los sitios de los clientes. De lo contrario, el sitio, la página de inicio de sesión para el panel de administración o el panel de administración en sí (según la configuración seleccionada) no estarán disponibles.

Todo esto es relevante para aquellos sitios donde se proporciona registro, existe un tipo diferente de "personal", y, por supuesto, para tiendas online, etc. Para sitios web y blogs habituales, normalmente no se compra un certificado SSL. Simplemente no es necesario, porque todos los artículos, comentarios y todo lo demás, por lo que están en acceso abierto... Los únicos lugares donde el cifrado puede ser útil para nuestros blogs es la página de inicio de sesión y el propio administrador. (con esto podremos protegernos, por ejemplo, de interceptar la contraseña en el momento de ingresarla).

En general, en el 99% de los casos todo esto no es utilizado por los bloggers, por lo que no consideraremos este apartado en detalle.

Contraseñas seguras

En esta sección, puede habilitar la aplicación de contraseñas seguras según lo evalúe el medidor de contraseñas incorporado de WordPress.

Esta configuración es prácticamente irrelevante para los sitios de un solo usuario donde solo el propietario (administrador) tiene acceso al panel de administración y donde no se proporciona el registro de usuario. Además, ustedes, mis queridos lectores, probablemente sepan dónde almacenarlo (bueno, por supuesto, en administradores de contraseñas, me gusta, etc.)

En otros casos, se recomienda especificar el rol mínimo para el que será requerido contraseña segura... Normalmente esto Autores, editores y administradores... por Participantes y Seguidores requerir una contraseña compleja no tiene sentido.

Pero nuevamente, todo depende del sitio. Si tiene, por ejemplo, una tienda en línea, debe solicitar contraseñas seguras a cualquier usuario que se registre en ella.

Bueno, solo tenemos que ocuparnos de las dos últimas secciones muy interesantes ...

Ajuste fino (ajustes) del sistema

eso ajustes adicionalesque se puede utilizar para fortalecer aún más la seguridad de su sitio de WordPress.

Estas configuraciones se muestran como avanzadas, ya que bloquean formas comunes de ataques, pero también pueden bloquear las funciones de complementos y temas legítimos que tienen métodos similares. Al activar las configuraciones que se enumeran a continuación, se recomienda habilitarlas una por una para verificar que el sitio no esté roto.

Proteja los archivos del sistema - protección de archivos del sistema. Impedir el acceso público a léame. html, léame. tXT, wp- config. php, instalar en pc. php, wp- incluye y.htaccess. Estos archivos pueden contener información importante sobre el sitio, y el acceso público a ellos no es necesario después de una instalación exitosa de WordPress.

Deshabilitar la exploración de directorios - deshabilitar la exploración de directorios. Evita que los usuarios vean una lista de archivos en directorios, incluso si están ausentes archivo de índice (index.php).

Métodos de solicitud de filtro - filtrado de los métodos de solicitud TRACE, DELETE, TRACK. No soy bueno en PHP o tecnologías de servidor web, pero supongo que estamos hablando de solicitudes que pueden tener alguna función no deseada (por ejemplo, la capacidad de realizar un ataque XSS). Si alguien cuenta en los comentarios sobre esto con más detalle o me corrige, estaría muy agradecido (y no solo yo).

Filtrar Suspicaz Consulta Instrumentos de cuerda en los URL - filtrado de cadenas de consulta sospechosas en la URL. Esta es una señal muy común de que alguien está intentando acceder a su sitio. Pero hay que tener en cuenta que algunos plugins y temas también se pueden bloquear cuando esta opción está activada. (¡asegúrese de verificar la funcionalidad del sitio después de encenderlo!)... Será muy bueno si no surgen problemas, ya que ¡Este método de protección es muy importante! Si surgen problemas, entonces la mejor opción se deshará (si es posible) del complemento incompatible que no se activará esta función.

Filtrar caracteres no ingleses - filtrado de caracteres no ingleses de la cadena de consulta. Este filtro solo funciona si el anterior está activado. Pero, si su sitio utiliza direcciones en ruso (títulos de artículos, encabezados, etc.), esta función no debería estar habilitada. De lo contrario, es posible que el sitio no esté disponible.

En general, si se trata de sitios, web, servidores, Linux, etc., es hora de que se acostumbre al hecho de que el uso de caracteres no latinos para algunos fines oficiales es altamente indeseable.

Filtrar cadenas de URL largas - filtrado de cadenas largas en la URL. Limita el número de caracteres que se pueden enviar a la URL (no más de 255). Los piratas informáticos suelen utilizar URL largas para inyectar información de terceros en la base de datos (inyección SQL).

Eliminar permisos de escritura de archivos - eliminación de permisos para escribir en archivos. Esta función evita que varios scripts y usuarios escriban en los archivos wp-config.php y .htaccess. Tenga en cuenta que en este caso, al igual que con otros complementos, esta protección se puede superar. Pero en cualquier caso, esta prohibición refuerza la seguridad de los archivos especificados.

Si la función está activada, entonces se establecen 444 derechos sobre estos archivos, si están deshabilitados, se devuelven con 644 derechos.

Deshabilitar PHP en cargas - Prohibir la ejecución de PHP en la carpeta de cargas. Una nueva función para evitar que se carguen scripts maliciosos en la carpeta especificada.

Entonces activamos todo (si es posible) estas funciones, y vaya al último bloque.

Ajustes de WordPress

Estas son configuraciones adicionales que pueden usarse para fortalecer aún más la seguridad de su sitio de WordPress. Al igual que con los ajustes del sistema, algunos de estos ajustes pueden causar incompatibilidades y bloqueos del sitio. Se recomienda habilitarlos uno a la vez.

Eliminar WordPress Generador Meta Etiqueta - eliminación de la metaetiqueta Generator. Elimina la metaetiqueta del título del sitio. que indica la versión de WP utilizada en el sitio. Esta función se ha eliminado de la versión 4.9.0.

En cualquiera de las guías de seguridad de WordPress, el primer paso es eliminar esta metaetiqueta, porque conociendo la versión del motor, es más fácil para un atacante determinar sus vulnerabilidades y vectores de ataque. Una vez lo hicimos manualmente, pero ahora iThemes Security lo hace todo por nosotros.

Eliminar el encabezado de Windows Live Writer - Eliminando el título de Windows Live Writer. Si no utiliza WLW u otras plataformas para escribir y publicar artículos de blog, es posible que esta función no esté activada.

Eliminar el encabezado RSD (Really Simple Discovery) - eliminación del encabezado RSD. Si no ha integrado su blog con servicios XML-RPC externos (por ejemplo, Flickr), entonces la función RSD es bastante inútil para usted.

En términos simples, las dos opciones anteriores recortan líneas como esta del encabezado del sitio:

XML-RPC es un estándar (protocolo) utilizado incl. y WordPress para la publicación remota de artículos y otros datos de programas de terceros, plataformas y servicios. Si no utiliza dichas funciones (por cierto, les pertenecen varios clientes WP para Android e iOS), se recomienda encarecidamente deshabilitar este protocolo. Debido a la aparición periódica de nuevas vulnerabilidades en el mismo.

Caso reciente: A mediados de marzo de este año, se registró otro poderoso ataque DDoS utilizando la vulnerabilidad XML-RPC. Pero no fueron los propios sitios XML-RPC WordPress los que lo hicieron, solo se usaron como retransmisores para amplificar los ataques (es decir, actuaron como participantes en la botnet).

Puede que me equivoque, pero si mi memoria no me falla, se han descubierto más de 60.000 sitios WP que actuaron como bots para ataques DDoS debido a esta vulnerabilidad. Y sus dueños ni siquiera lo sabían. Sí, muchos todavía, probablemente, ni siquiera sospechan. Incluso vi un enlace a un servicio especial donde puede consultar su sitio para ver si está involucrado en tales ataques DDoS.

Es por eso que se recomienda deshabilitar XML-RPC (a menos que, por supuesto, lo esté usando). Anteriormente, el administrador de WordPress tenía una función especial para desactivarlo. Ahora ella se ha ido. Por lo tanto, tienes que jugar un poco manualmente (hay mucha información en Internet sobre cómo hacer esto) o utilice la función de seguridad de iThemes, a la que llegaremos en breve.

Reducir el spam de comentarios - reducción de spam en comentarios. Esta opción reducirá la cantidad de spam al bloquear los comentarios de los bots que no tienen una referencia o un agente de usuario. Es poco probable que esto pueda afectar los comentarios normales, por lo que lo activamos sin dudarlo. Facilitemos el trabajo.

Mostrar versión aleatoria - mostrando una versión aleatoria de WordPress donde es imposible eliminarlo por completo. Relevante para sitios multiusuario.

Deshabilitar el editor de archivos - deshabilite el editor de archivos en el área de administración de WP. ¿No utilizas un editor interno? Siéntete libre de desconectarte.

Inhabilitar XML- RPC - deshabilitar XML-RPC. Lo mismo de lo que hablamos recientemente. Si no está utilizando herramientas de publicación remota, asegúrese de desactivar XML-RPC.

Poner en cola una versión segura de jQuery - instale la versión segura de jQuery. Esta función elimina la versión utilizada actualmente de la biblioteca jQuery y la reemplaza con la versión segura (que viene con WordPress por defecto). Si la versión de esta biblioteca cumple con los requisitos de seguridad de iThemes, no es necesario hacer nada:

Deshabilitar los mensajes de error de inicio de sesión - Desactive los mensajes de error que se muestran cuando se realiza un intento de inicio de sesión fallido.

Fuerza Único Apodo - uso forzado de un apodo único que es diferente del inicio de sesión.

Deshabilitar archivos de usuario adicionales - Deshabilitar archivos de usuarios cuyo número de entradas sea 0.

Bueno, eso es todo por la configuración básica. Ahora puede volver a la pestaña Panel y ver las notificaciones actuales. En mi caso, ahora se ven así:

Queda por pasar por las pestañas restantes.

Configuración avanzada (avanzada)

Los siguientes ajustes son avanzados. Asegúrese de tener una copia de seguridad funcional del sitio antes de cambiar cualquier configuración en esta página. Además, esta configuración no se revertirá incluso si desinstala el complemento de seguridad de iThemes (!).

Sin embargo, todas las configuraciones utilizadas aquí son recomendadas por la propia comunidad de WordPress.org y ayudarán a mejorar la seguridad de su sitio.

Administración Usuario - eliminar el usuario administrador, si lo hubiera. Nunca utilizo el "admin" de inicio de sesión predeterminado, incluso en sitios de prueba. Por lo tanto, no tengo opciones aquí. Solo hay una inscripción " Eso mira me gusta tú tener ya remoto los administración usuario. No. más lejos acción es necesario (Parece que ya ha eliminado al usuarioadministración... No se requieren mas acciones) ". Espero que tú hagas lo mismo.

Cambiar directorio de contenido - cambiar el directorio de contenido. ¡No experimente con esta función! Se recomienda usarlo solo en sitios de nueva creación. De lo contrario, simplemente perderá todo el contenido del blog (no físicamente, por supuesto). Y, como ya se mencionó, incluso eliminar el complemento no ayudará. Sin embargo, hacer que todo vuelva a la normalidad es bastante simple (necesita modificar un poco el archivo wp-config.php).

En general, puede cambiar el directorio wp-content en un sitio que ya funciona, pero esto requerirá realizar cambios en la base de datos, en algunos complementos, archivos de motor, etc. En resumen, la tarea no es para nosotros, los bloggers comunes. Pero si planea crear un nuevo sitio web, el primer paso es instalar iThemes Security e intentar aprovechar esta oportunidad. Definitivamente será útil en el futuro.

Cambio Base de datos Prefijo - cambiar el prefijo de la base de datos. De forma predeterminada, WordPress usa el prefijo wp_, que puede facilitarle las cosas a un atacante. Se recomienda cambiar el prefijo de tabla predeterminado.

¡Asegúrese de hacer una copia de seguridad de la base de datos antes de cambiar el prefijo!

Bueno, ahora todo es seguro \u003d)

Solo queda decir que en la pestaña Copias de seguridad puedes crear una copia de seguridad en cualquier momento estado actual DB (botón " Crear Base de datos Apoyo" ) y familiarícese brevemente con el servicio BackupBuddy.

Si algo no queda claro, o tiene comentarios y adiciones, es bienvenido en los comentarios.

Hasta la próxima, amigos. ¡Cuídese y cuide sus sitios!

Saludos cordiales, Alexander Mayer

cada día gran cantidad los sitios están sujetos a ataques de piratas informáticos con éxito. no son una excepción y pueden ser un blanco fácil de ataque debido a la vulnerabilidad de temas y complementos, contraseñas débiles y obsoletas software... Por lo tanto, en el artículo de hoy, decidimos prestar atención a un tema como la seguridad de WordPress.

Costo a prueba de balas Seguridad Pro: $ 59.95 (pago único).
Sitio oficial - http://affiliates.ait-pro.com/

Seguridad y firewall todo en uno

Un complemento conocido para la protección contra piratería de WordPress. Incluye firewalls de sitios adicionales, proporciona varios métodos de protección e informes sobre ellos.

La configuración del firewall del complemento se divide en tres niveles "básico", "intermedio" y "avanzado", lo que le permite aplicar las reglas del firewall gradualmente sin interrumpir el sitio.

Este complemento (así como los demás de esta colección) tiene una gran cantidad de funciones: lo llevará a un artículo separado. Estos son los principales:

1. Protección de la cuenta:

• define la cuenta "admin" y ofrece cambiarla por otra a su discreción;
• identifica e informa sobre cuentas en las que el nombre de usuario y el nombre de usuario son los mismos; estas cuentas son más fáciles de piratear;
• genera contraseñas seguras.

2. Protección de inicios de sesión y registros en el sitio:

• opción de bloqueo de inicio de sesión: bloquea a los usuarios por una cierta cantidad de intentos de inicio de sesión incorrectos;
• realiza un cierre de sesión forzado para todos los usuarios después de un tiempo especificado;
• monitorea la actividad en las cuentas de todos los usuarios registrando información;
• informes sobre lista llena usuarios que están conectados actualmente;
• agrega captcha a los formularios de inicio de sesión y registro;
• le permite confirmar manualmente cada nuevo registro en el sitio.

3. Protección de la base de datos:

• cambia el prefijo WP de la base de datos a cualquier otro;
• configura copias de seguridad automáticas.

4. Protección del sistema de archivos:

• detecta carpetas y archivos con derechos de acceso inseguros y los cambia a valores seguros;
• prohíbe la edición de archivos con código PHP desde el panel de control de administración;
• niega el acceso a los archivos readme.html, license.txt y wp-config-sample.php.

5. La función de cortafuegos le permite utilizar la protección con un archivo .htaccess. Este archivo es procesado por su servidor web incluso antes de que se procese el código del sitio, por lo que las reglas del firewall detienen los scripts maliciosos antes de que tengan la oportunidad de llegar al código WP.

6. Prevención de ataques de fuerza bruta.

7. Escaneo de seguridad:

• seguimiento de cambios de archivos y notificaciones al respecto;
• escanear tablas de bases de datos en busca de cadenas sospechosas, javascript y código HTML en tablas base de WordPress.

8. Protección contra comentarios spam:

• rastrear las IP más activas que constantemente hacen comentarios spam y los bloquean;
• agregar captcha al formulario de comentarios de WordPress.

9. Protección de contenido contra copia.

Gratis.

Wordfence

Este complemento de seguridad de WordPress ejecutará un escaneo automático inmediatamente después de la instalación para verificar si su sitio ya está infectado. Soporta WordPress multisitio. Funciones principales:

1. Cortafuegos:

• protege contra la piratería al reconocer el tráfico malicioso y bloquear los intentos de intrusión sospechosos;
• bloquea las amenazas de seguridad comunes, como los bots de Google, el rastreo de piratas informáticos maliciosos y las redes de bots.

2. Bloqueo:

• bloquea redes enteras maliciosas. Incluye verificación de dominio e IP usando el servicio de WHOIS y bloquea IP maliciosas usando un firewall;
• bloquea amenazas como robots de búsqueda agresivos, raspadores y bots;
• bloquea y controla a los usuarios que violan las reglas de seguridad de su sitio.

3. Seguridad de la entrada al sitio:

• {!LANG-9f0b1bd5bb5fc784ac30d45a345e80f3!}
• {!LANG-e8741f7645d5ec7cde9aeae68a5253fb!}
• {!LANG-32b4e07244d412e2243369979fd8a060!}

{!LANG-d3921bd7a8af19909db6782706af8f6f!}

• {!LANG-ba80c7a9ba3a5d08322a9dbca1b520de!}
• {!LANG-8bdc917543db7408fb467989f0630628!}
• {!LANG-36ea6dac71fd603ee1084526dcb0be66!}
• {!LANG-1aca9cc16238a2e75735bc12765c81e5!}
• {!LANG-2b33601e216101e02be43ad501ab38b6!}
• {!LANG-7d89394e4734d6feeeee9dc86d1883ec!}

{!LANG-0744770090319ee51a413a992bdbfff4!}

• {!LANG-657cff4adc862bc7efef6db54918477a!}
• {!LANG-79a0853e4f50ab753a8ff3384bd7a103!}
• {!LANG-55e1b36fab0cd07c8e0609366545d9e5!}

{!LANG-5b8a7d5b8e205e1dd1954af018ee5722!}{!LANG-2a265bb5652b23ce03b18d8a93bf6f5b!}

{!LANG-357172b17ee585a2bf815576907cec03!}

{!LANG-0d25d5c3e1e986206102f44b0ce806e4!}

{!LANG-d51372029a9d5d44aba659545c6eba3d!}

{!LANG-54b3ea99315f0c45a879b776d8182de2!}

{!LANG-117c170f4dad232ed976895b5099b46e!}
{!LANG-ae14515da7e2dd4111a81d6bd6ceef75!}

{!LANG-a53234135a875513aff34b6db758a2b1!}

{!LANG-e924c3cd2f9a7b5c0e9991468ad0464c!}
{!LANG-f8bb9b385a6cf160bf9202ef39afb48b!} {!LANG-dd92c1499e8682d14611b9f6143facd7!}{!LANG-9723ff7c604440431642cf1c65e33cad!}

{!LANG-fc90f99b95a857c629e32a27f07bdbe6!}
{!LANG-a87730a8af95df3b38aeb327c31e5044!}

{!LANG-fa2d0bc6887d260021893589a9e48b79!}
{!LANG-d89ca52dbafdcf874c7998823da67ff1!}

• {!LANG-ccba56e6ede6b5435de0e9c16dd6d0f7!}
• {!LANG-8deca2604d6a78202b47cd71a190ed0c!}
• {!LANG-a41748542504664fe3b59c0d338a6b75!}
• {!LANG-8c57f66c519e8d6b0a9201ba4af4e80c!}
• {!LANG-94ba3b0554d11a6c108315b36f32bd7c!}
• {!LANG-0c0a230358d00f0fcf81c28d23bf6e8c!}
• {!LANG-8d817d6abc13242aa18a41c5104fc473!}
• {!LANG-02bbfb6b91a6384791fd56d865516db8!}

{!LANG-2966f6bc0237483df9e80bd38a2b3d17!}

{!LANG-5ee3bea25fbeb54be3774532c190436a!}
{!LANG-9b497e209f6662a639c0a7020069aef6!}

{!LANG-da9891efde70b9cb438c5c84f598b548!}
{!LANG-26c4d857fa2e8d6d189518e48b763bbe!}
{!LANG-c5f7d1ca24d2563f3be9ad7b856405bf!}
{!LANG-d293b941a9230616bc5c6cb89ad9935d!}
{!LANG-9ced8a296932c200dd3e80f40f50992c!}

{!LANG-922773bde47cd63ea355b9d804223274!} {!LANG-6213dd287f57b419fef1a15518406c8d!}{!LANG-33d3ebcf915f19ab40198a52c358fdb8!}
{!LANG-ae57faed59ce7746416cb3ef38235c54!}

• {!LANG-048408dff5826069aec38ef62bd4048b!}
• {!LANG-c65445eee0cdede4b54f460c1097445c!}
• {!LANG-dc21f14fe50176f4b962c71ce0dd9636!}

{!LANG-5b8a7d5b8e205e1dd1954af018ee5722!}{!LANG-e1bd5a8aa62e8fb6344ac6bcffc48053!}

{!LANG-08cc5156ec0dc556651fbabb8ce3c4f5!}