Meny
Är gratis
checka in
Hem  /  Utbildning / Wp säkerhetsplugin. Bästa WordPress-säkerhetsplugin

WP säkerhets plugin. Bästa WordPress-säkerhetsplugin

God dag till alla läsare, idag diskuterar vi frågan om WordPress-webbplatsens säkerhet igen. Men inte abstrakt, utan använder exemplet med att skapa ett utmärkt All In One WP Security & Firewall-plugin, som jag använder ganska framgångsrikt på ett antal av mina webbplatser och kan säkert rekommendera det till dig.

All In One WP Security & Firewall är en av de allt-i-ett WordPress-försvarare du kan läsa om. Ett slags "jack of all trades" och ger i princip omfattande skydd på många sätt. Plugin har en bra användarklassificering och är helt gratis.

En av de viktiga fördelarna är att All In One WP Security & Firewall är perfekt översatt till ryska och att behärska alla dess funktioner är inte svårt för dem som inte studerade främmande språk särskilt bra i skolan. Översättningen är klar - det vill säga inte bara huvudfunktionerna utan nästan alla tips till dem. De ger dig en fullständig uppfattning och förståelse för behovet och betydelsen av vissa inställningar.

Strukturellt består plugin-programmet av flera dussin alternativ som du är fri att aktivera eller lämna inaktiverad. Inkluderingen av vissa alternativ visas i speciella flaggor. Prioriteten för detta alternativ syns också där.

Syftet med den här artikeln är inte så mycket en lista över inställningarna (du kan enkelt se dem, studera och förstå dem), men din vision om vad som ska inkluderas och vad som kan försummas av en eller annan anledning. Låt oss börja.

Konfigurera allt i ett WP-säkerhet och brandvägg

Kontrollpanel

  • Informationswidgets med en tydlig indikator för skydd, ett diagram över alla skyddspunkter, som visar aktiva sessioner och blockerade IP-adresser. Särskild uppmärksamhet bör ägnas åt widgeten - Aktuell status för de viktigaste funktionerna.Här kan du aktivera de viktigaste skyddselementen direkt utan att gå in på inställningarna.
  • Systeminformation. Information om webbplatsen visas, pHP-versioner och alla installerade plugins. Flik - Blockerade IP-adresser och en flik med plugin-loggar. I början, på dessa flikar, kommer naturligtvis allt att vara tomt.
  • Flikar - Blockerade IP-adresser och loggar. Du behöver inte konfigurera något här.

inställningar

  • Flikar med allmänna Inställningar... Ingenting är konfigurerbart, men du kan omedelbart säkerhetskopiera .htaccess, databaser och wp-config.php. Du kan omedelbart stänga av alla inställningar på ett tag om något gick fel och det fanns problem.
  • WP metainformation. Vi inkluderar.

Administratörer

  • Anpassat WP-namn. Om din inloggning inte är Admin är allt bra. Annars måste du definitivt ändra det. Detta är en riktigt viktig funktion. Om du i framtiden anger att du skulle få meddelanden om tillfälligt blockerade användare som försökte logga in med Admin-inloggningen kommer du att bli obehagligt förvånad. Jag har minst 2-5 bokstäver om dagen (se Blockera behörigheter).
  • Visningsnamn. Visar alla registrerade användare vars inloggning matchar namnet (smeknamn). Om du inte har någon annan än du, kommer listan att vara tom. Om det finns användare kan du fixa smeknamn. Inte alltför viktig funktion - du kan lämna den ensam.
  • Lösenord. Ett underhållande verktyg som visuellt visar styrkan i alla lösenord. Att döma av det är vettigt att ställa in komplexa lösenord med en längd på minst 10 tecken.

Tillstånd

  • Blockerar auktorisationer. En användbar funktion från lösenord för brute-force. Var noga med att aktivera och konfigurera alternativen efter eget tycke, eller lämna standardinställningen som den är. Jag rekommenderar, åtminstone ett tag, att aktivera aviseringar om utlöst blockering i e-post. Bara för att förstå hur viktig den här funktionen är.
  • Felaktiga tillstånd. Här är statistiken. Du behöver inte konfigurera någonting.
  • Automatisk utloggning av användare. Inte bekvämt för dina användare och ger samtidigt få säkerhetspoäng. Du kan inte inkludera.
  • Aktivitetslogg och Aktiva Sessioner - information och loggar.

Användarregistrering

  • Manuell bekräftelse. I allmänhet ganska användbar funktion om din webbplats inte har mycket frekventa registreringar och om de är tillåtna alls. Du kan sätta på den.
  • Captcha vid registrering. Installerar en enkel, digital captcha på registreringsformuläret. Jag gillade verkligen inte hur det fungerar. Jag använder en separat - Math Captcha. Det verkar vara liknande i allt, men till skillnad från den inbyggda fungerar det en storleksordning bättre. Bestäm själv vad du ska välja.

Databas

  • Ändra prefixet för dina databastabeller. Det är värt att inkludera, men ändå rekommenderar jag att du gör en säkerhetskopia av databasen i förväg.
  • Säkerhetskopiering av databas. Jag rekommenderar att du aktiverar. Vanligtvis tar databaser inte mycket utrymme och det är inte överflödigt även om du använder någon annan säkerhetskopia för webbplatsen.

Filsystem

  • Åtkomst till filsystem. Ange önskat värde för åtkomst till mappar i kolumnen Rekommenderad åtgärd så att hela listan blir grön.
  • Redigera PHP-filer. Du kan aktivera förbudet mot redigering från adminpanelen, såvida du självklart inte redigerar filerna på det här sättet.
  • WP-filåtkomst. Förnekar åtkomst till readme.html, licens.txt och wp-config-sample.php. Vi inkluderar.
  • System-logg. Ställa in bildandet av en stock. Vi rör ingenting.

WHOIS-sökning

  • Manuell kontroll av IP-adresser. Ingenting är konfigurerbart och av någon anledning fungerar det inte alltid.

Svart lista

  • Förbjud användare. Vi inkluderar. Som du förstår är det bara relevant om du själv anger några IP-adresser där. Det är användbart när du snabbt behöver förbjuda en annan idiot hooligan i kommentarerna.

Brandvägg

  • Grundläggande regler. Läs tipsen och aktivera båda kryssrutorna. Innan det bör du göra en säkerhetskopia av din .htaccess-fil
  • Ytterligare regler. Det är värt att inkludera allt. Pluginförfattarna varnar dock för eventuell inkompatibilitet med vissa plugins.
  • 5G-installation. Såvitt jag förstår inkluderar den någon form av ytterligare brandvägg. Omfatta. Jag märkte inga problem efter att ha aktiverat det här alternativet.
  • Internetrobotar. I teorin blockerar det falska Google-robotar. För att undvika problem med användbara robotar inkluderade jag inte den här kryssrutan för alla fall.
  • Förhindra hotlänkar. Läs tipsen för vad det är. Vi inkluderar.
  • Spåra 404-fel. Det är värt att aktivera, men håll blockeringstiden liten. Till exempel 5-10 minuter.

Skydd mot brutala kraftattacker

  • Byt namn på inloggningssidan. Det här alternativet är användbart, men kom ihåg att ett problem kan uppstå om du har tillåtit registrering på webbplatsen. Till exempel när användaren vill återställa glömt lösenord... I allmänhet är det värt att göra ett bra test efter att ha slagit på. Dessutom använder vissa värdleverantörer detta skydd som standard. Bestäm efter omständigheterna.
  • Skydd mot brutala attacker baserade på användningen av kakor. Som med föregående punkt är inställningen strikt individuell. Läs tipsen noggrant och bestäm själv.
  • Logga in captcha. Om du fortfarande använder den inbyggda captchaen är det bättre att inkludera allt.
  • Vitlista. Neka åtkomst till inloggningen till alla utom de som kommer att listas. För sanna galningar behöver du inte.
  • Ett fat honung. Läs den detaljerade beskrivningen av denna intressanta funktion i verktygstipset. Som det verkar för mig kan du slå på det säkert.

Spamskydd

  • Skräppost i kommentarerna. Captcha i kommentarer - aktivera om du använder inbyggd captcha. Blockera skräppostrobotar - hjälp din Akismet att bekämpa skräppostrobotar - slå på den.
  • Spårning av IP. Du hittar de mest aktiva spammarna här och lägger till dem i den svarta listan.
  • BuddyPress. Relevant om du har detta sociala nätverksplugin.

Scanner

  • Spåra eventuella ändringar av filer. Som det verkar för mig är det mer avsett för dem som är särskilt bekymrade, eftersom ändringar i filer verkligen kommer att inträffa ibland. Om du vill ständigt övervaka och kontrollera allt detta, slå på det.
  • Skannar efter skadlig kod. Betald funktion - från $ 5 per månad.

Service läge

  • Här kan du aktivera "underhållsläge" för webbplatsen och konfigurera utseende varningssidor för läsare. Läs mer.

miscellanea

  • Innehållsskydd mot kopiering och klistra in i ramen. Att aktivera dessa påverkar inte direkt skyddet av webbplatsen.

Slutsatser

Sammantaget gillade jag All In One WP Security och jag använder det på vissa webbplatser. Enligt min åsikt, om inte det bästa, är det verkligen en av de bästa sådana plugins. För att vara rättvis vill jag påpeka att jag inte är expert på säkerhetsfrågor. Allt ovanstående är bara resultatet av min erfarenhet av användning och personlig åsikt. Så om erfarna läsare har sina egna tankar om inställningarna för detta plugin eller de bästa alternativen till det, snälla tala. Det smakar som färg, som man säger ...

Artiklar i samma kategori

Och idag, mina vänner, kommer vi att försvara oss.

Ja. Exakt. Från vem? Från de avskumkamraterna som kommer att kränka vår "bloggstatus". Vem dessa människor är kan jag inte säga, men de finns och jag kan inte förstå varför jorden inte brinner under deras fötter. Varför faller inte stenregn på deras huvuden och varför de inte kväver i salivet av deras glöd.

Och om sådana människor finns, måste man försvara sig tillräckligt mot dem. Och idag levererar vi dig ett supercool plugin för att skydda din blogg.

Var säker, ingen tik kommer att infiltrera din blogg och skämma bort dig efter att du lagt upp den.

Och detta plugin är All In One WP Security.

Jag brukade naturligtvis skyddsplugins och på något sätt oroade jag mig inte för säkerhet, inloggningen är naturligtvis ADMIN, ett lösenord på fem bokstäver, och det var naturligtvis för tillfället. Jag har aldrig tittat på plugins, väl värt det, men värt det, det betyder att det skyddar. Kort sagt, allt är mörkt.

Och när hackarattacken bröt igenom detta skydd och började överbelasta värden, började jag tänka ... Och helt av en slump stötte jag på ett plugin som verkade mycket trevligt och vänligt för mig. Och samtidigt kommer en väldigt seriös vakt, efter att ha lyssnat på honom och följt hans instruktioner, under tillförlitligt skydd.

Naturligtvis, så länge du är en ung bloggare och medan din väg är i utvecklingsfasen kommer slarvlöshet att ta dig. Men när du går upp i vikt och börjar skjuta bort konkurrenterna med armbågarna och frigör utrymme i solen, kommer du att få avundsjuka och missönskade. Så vana dig att försvara dig bra från början.

Så vad är detta All In One WP Security-plugin bra för?

  • Pålitlig;
  • Fri;
  • Russified;
  • Enkel.

Du måste installera det på WordPress enligt standardschemat: Plugins-Lägg till nytt, köra All In One WP Security in i sökningen, Enter, den första, och detta är ingen slump, det kommer att vara kära ...

Låt oss gå vidare till att konfigurera All In One WP Security plugin

Jag råder dig att göra en kopia från din databas innan du installerar. 1. Själva databasen. 2. Filfil wp-config. 3.htaccess-fil.

Och allt detta, eftersom det fortfarande är bekvämt, kan göras i inställningarna för själva pluginet.

Kontrollpanel

I admin-menyn hittar vi WP-säkerhet,undermenyn till plugin Kontrollpanel.

Det första som fångar ditt öga är en slags tryckmätare för vår säkerhet och ett diagram över plugin-programmets arbete. Detta är i allmänhet coolt.

Vad jag vill säga. VIKTIG! Låt dig inte bära med försvaret maximalt. Tryck inte ditt försvarstryck till kritiskt. Det är fylld med konsekvenserna av ett fel på webbplatsen. Så de säger att jag själv inte upplevde några problem, förmodligen helt enkelt för att jag bara har lite mer än hälften av vad jag borde.

Här på kontrollpanelen gör vi ingenting mer och går till inställningarna.

inställningar

Det är här vi gör kopior av vår webbplats och databasen. Här inaktiverar vi, om det behövs, brandväggen.

Markera kryssrutan på fliken WP metainformation

På fliken "Importera / exportera" vidtas åtgärder för att exportera dina inställningar till någon annan webbplats, om du har en, för att inte markera alla rutor som vi nu lägger ner. Allt kommer att göras med två klick.

Administratörer

Anpassat WP-namn.

Ändra administratörens namn här och du MÅSTE göra det. Standard är admin eller wp-admin. Byt till något annat, som myblog-admin, eller Ja-Vasja-Ivanov. Och glöm i allmänhet ordet administrationen gång för alla.

Visningsnamn.

Tänk på något annat namn än admin. Och jag rekommenderar också om du har flera konton på din webbplats, gör visningsnamnen annorlunda.

Lösenord.

Den mest intressanta fliken. Med vår monometer, där du kan bestämma graden av att ditt lösenord ska spricka per sekund. Ange bara det förväntade lösenordet i raden på enheten, det kommer omedelbart att ge dig den tid under vilken det kan knäckas. I vårt fall 9 år 6 månader.

Tillstånd

Blockerar auktorisationer.

Slå på den som skärmdumpen. Det är rimligt att ställa in värden som överensstämmer med sunt förnuft. Till exempel om 5 minuter fel lösenord ringde tre gånger, då blockeras din IP i en timme. Detta är standard. Jag håller med om detta scenario. Du kan bara ändra inom rimliga gränser.

Blockerade IP-adresser kan ses nedan.

Felaktiga inloggningsförsök.

Här kan du se varelserna. Spåra vem som klättrar ofta och vidta åtgärder. Jag har hittills en, detta beror på att jag nyligen rensat listan.

Automatisk utloggning av användare.

Vi slår på och ställer in tiden 600 minuter efter vilken användaren kopplas bort.

Kontoaktivitetslogg"Och Aktiva Sessionerinformativ.

Användarregistrering

I Manuell bekräftelse och CAPTCHA vid registrering markera kryssrutorna.

DB-tabellprefix.

Jag markerade inte rutan här, men om du vill markera den, gör det först säkerhetskopiering din databas. Hur som helst.

Säkerhetskopiering.

Markera rutan och ställ in frekvensen för deras skapande. Vi tilldelar också antalet dessa säkerhetskopior som lagras i en speciell plugin-katalog.

Filsystem skydd

Tillgång till filer.

Redigera PHP-filer.

Detta är för dem som redigerar filer via adminpanelen. Satsa om du inte härskar, satsa inte om du härskar. Men det rekommenderas i allmänhet inte att redigera filer i adminpanelen. Även om allas verksamhet. Även om du förstör något, kommer du inte att kunna returnera allt med CTRL Z-tangenterna.

Åtkomst till WP-filer.

Vi sätter Galya och därmed förbjuder åtkomst till WordPress-infofilerna

Systemloggar.

Som det är lämnar vi det

Whois-sökning

Jag gjorde inte något. Jag behöver inte ta reda på någon information om en viss IP.

Svart lista

Detta är för dem som ofta visas på din webbplats med misstänkta avsikter, du kan se dem i (Auktorisering - blockerande auktorisationer - blockerade IP-adresser). Om det finns några markerar du kryssrutan och registrerar dessa IP-adresser.

Brandvägg

Grundläggande brandväggsregler.

Först och främst gör kopia av .htaccess-filen om du inte har gjort det ännu och markera rutan.


Ytterligare brandväggsregler.

Och i Ytterligare filtrering av symboler, kryssa inte i rutan. Inte alla kommentarer kanske går igenom, vilket ger ett 403-fel, vilket inte heller är särskilt bra.

5G-inställningar

Vi inkluderar

Internetbots.

Aktivera inte kryssrutan

Förhindra hotlänkar.

Vi inkluderar

Upptäcka 404.

Slå på och ställ in tiden 5 minuter

Skydd mot brutala kraftattacker

Skydd mot brutala kraftattacker med hjälp av kakor.

Slå inte på den om du inte vill ha problem med olika typer av enheter.

Logga in CAPTCHA.

Jag vet inte om dig, om du vill sätta på captcha, sätt på den. Det gjorde jag inte.

Inloggningslista.

Inkludera inte. Du kommer antagligen att logga in på din blogg med olika enheter, platser och IP.

Ett fat honung.

Vi inkluderar

Spamskydd

Skräppost i kommentarerna.

CAPTCHA i form av kommentarer -Vi uttrycker det inte. Blockera kommentarer från spamrobotar -Vi sätter

BuddyPress.

Lägger till ett BuddyPress-formulär CAPTCHA. Inget behov av att använda.

Scanner

Som jag förstår det är processen med skada under hacking. Hackare ändrar vissa filer i systemet och misslyckas med att hitta vilka försök att återställa webbplatsen inte kommer att lyckas. Så med hjälp av den här funktionen kan du spåra vad som exakt förändrats inom en snar framtid. Jag beundrar bara ... Slå på automatisk filsökning.

Skannar efter skadlig kod.

Du måste betala för det här.

Service läge

Var uppmärksam på innebörden av denna tjänst. Att aktivera underhållsläge innebär att du stänger av din webbplats helt. Det kommer inte att vara synligt för någon, inklusive robotar, och kommer därför inte att indexeras. Håll därför detta i åtanke och lägg inte den här dawen i onödan.

Din ödmjuka tjänare stängde av webbplatsen i två dagar tills han märkte att trafiken sjönk och letade efter anledningen.

Skriv vad besökarna kommer att se under stängningen av webbplatsen i textrutan.

miscellanea

Här förstår jag bara kopieringsskydd. Jag lägger inte en daw, låt alla kopiera det, det är så trevligt)))

Resultat

Vi har konfigurerat plugin. Låt oss gå till kontrollpanelen och se den nya säkerhetsnivån. Jag är säker på att han blev mycket högre än han var. Nu kan du vara säker på säkerheten på din webbplats.

Och också, vilket är typiskt, kommer du att titta här regelbundet, vilket du inte har gjort tidigare med den här typen av plugins.

Använd, lev och arbeta lugnt och produktivt.

Vi ses online!

Hallå! Idag pratar vi om WordPress-säkerhet. Jag publicerade nyligen en artikel där jag pratade om. Idag från ord till handling. ... Och i den här artikeln kommer jag att prata om All In One WP Security & Firewall plugin. Detta plugin tillhandahåller de flesta av webbplatsens säkerhetspunkter. Vilket ger nästan alla inställningar för bloggsäkerhet till en enda inställning av plugin. Och det är praktiskt taget allt Russified, vilket är viktigt för många användare.

Det första du ska göra är att skapa en fullständig säkerhetskopia av webbplatsen. Detta plugin är stort och seriöst. Installera plugin på vanligt sätt... Gå till bloggadministratörspanelen, gå till plugins, klicka på knappen "Lägg till ny". Ange "WP Security" i sökfältet. Installera det plugin som krävs. Aktivera den sedan (Fig 1).

Figur: 1. Installera insticksprogrammet All In One WP Security & Firewall.

Kontrollpanel

Efter installationen visas plugin i admin-menyn under namnet "WP Security". Den första undermenyn är "Kontrollpanelen". Här är en sammanfattning av webbplatsens säkerhetsinformation (fig. 2).


Figur: 2. Kontrollpanel plug-in All In One WP Security & Firewall.

Låt oss ta en närmare titt. Det finns flera flikar på den här sidan.
Kontrollpanel. Den första fliken med samma namn som undermenyn. Sammanfattningsstatistik finns här. Webbplatsens säkerhetsnivå mäts i punkter ("Säkerhetsnivåmätare"). Poäng tilldelas för varje korrekt konfigurerat segment. Totalt kan du få 480 poäng. Det betyder att du har gjort allt du kan. Detta krävs inte alltid. Till exempel har detta plugin möjlighet att anpassa säkerhetskopiering Databas. Om du har konfigurerat ett speciellt plugin-program för säkerhetskopiering behöver du inte göra detta ytterligare här. Min blogg är från ett exempel med en bra användare (inloggning är inte admin, visningsnamn skiljer sig från smeknamn), och när jag installerade motorn ändrade jag tabellprefixet. För detta har jag omedelbart 30 poäng av 480.
Nästa verktyg är "Your Site Security Diagram". Alla poäng som presenteras presenteras i form av ett diagram. Du kan se vilken procentandel av det totala antalet poäng som är den här eller den här inställningen.
De följande två blocken är värdelösa: "Berätta för dina vänner" och "Lär känna utvecklarna", som översätts som - få mer information om utvecklarna.
"Senaste 5 behörigheterna". I det här fönstret listas de fem senaste blogginläggen med information om vem som skrev in och när.
"Aktiva Sessioner". Det här fönstret visar vem som för närvarande är på webbplatsen (i adminpanelen) med fler rättigheter än en vanlig besökare.
Msgstr "Aktuell status för de viktigaste funktionerna". Fönstret visar de funktioner som ska aktiveras.
"Service läge". Det finns en omkopplare i det här fönstret för att stänga av webbplatsen. Besökare kommer att se informationstext istället för webbplatsen. Denna funktion behövs om du utför tekniskt arbete på webbplatsen.
Blockerade IP-adresser. När du konfigurerar IP-blockering visas de blockerade IP-adresserna här.
Systeminformation. Här kan du hitta information om webbplatsen, systemet som motorn kör på, samt en lista över aktiva plugins.
Blockerade IP-adresser. Blockerade IP-adresser och information om dem är detaljerade.
Permanent blocklista. Lista över tillfälligt blockerade IP-adresser. Du kan till exempel blockera en IP i en timme i tre misslyckade försök att ange lösenordet för att komma in i adminpanelen för att undvika att gissa lösenordet.

inställningar


Figur: 3. Plugin-inställningar All In One WP Security & Firewall.

Denna undermeny har flera flikar.
Allmänna Inställningar. I början erbjuds vi flera länkar som skapar säkerhetskopior av databasen och vissa filer. Och sedan finns det två knappar för att inaktivera säkerhets- och brandväggsfunktionerna. Dessa knappar tar bort alla inställningar som görs på bloggen för att förbättra säkerheten. I själva verket är detta en återgång det ursprungliga tillståndet, före plugininställningarna på webbplatsen.
.htaccess-fil. Allt är enkelt på den här fliken. Säkerhetskopiera och återställa .Htaccess-fil.
wp-config.php-fil. Samma som i föregående stycke. Skapa en säkerhetskopia av en fil och återställ från den.
WP-version Info. Det är här den verkliga installationen för bloggsäkerhet börjar. Om du kommer ihåg, sa jag i min artikel om WordPress-säkerhet att motorn visar versioninformation i metataggen för bloggen. Om du markerar kryssrutan "Ta bort WP Generator metadata" kommer information om motorns version inte att visas på bloggsidorna. Och få +5 poäng till säkerhet.
Import Export. Plugininställningar kan sparas separat och återställas vid behov eller för överföring till en annan blogg.

Administratörer

Anpassat WP-namn. Jag rekommenderade att inte använda standardinloggningar. Plugin rekommenderar detsamma. Om din inloggning är admin, skapa en ny administratör och ta bort admin.
Visningsnamn. I kontoinställningarna måste du konfigurera så att visningsnamnet inte matchar inloggningen.
Lösenord. Intressant miniräknare. Du kan ange ditt lösenord och ta reda på hur lång tid det tar för din hemdator att gissa det. Men kom ihåg att vanligtvis används servrar, och ibland en grupp servrar (kluster), vilket kraftigt påskyndar lösenordsgissningsprocessen.

Tillstånd

Blockerar auktorisationer. Och här är mitt favoritbokmärke. Markera rutan "Aktivera alternativ för att blockera auktorisationsförsök" för att blockera misslyckade inloggningsförsök - gissning av lösenord. Alla inställningar är intuitiva. Det kan konfigureras hur många felaktiga försök under en period som anses vara ett hackningsförsök. Och sanktioner för detta. Du kan omedelbart blockera en användare med fel inloggning (jag gör det). Vanligtvis börjar det med valet av en inloggning. Och ange din e-post. Vid misslyckade inloggningsförsök kommer ett brev. Även vitlistor för inloggning och IP konfigureras. Om du kommer från en permanent IP kan du konfigurera den.

I det här skedet rekommenderar jag att du stoppar och observerar situationen i flera dagar. Om du är intresserad av hur intressant din blogg är för hacking, och om ett lösenord förekommer för din blogg, ska du inte justera resten av inställningarna på ett tag. Personligen blev jag förvånad när det fanns ett mycket stort intresse för min nya webbplats.

Felaktiga inloggningsförsök. En flik som innehåller information om felaktiga behörigheter. Inloggning fel logg.
Automatisk utloggning av användare. Här kan du ställa in tiden efter vilken utloggningen kommer att ske. Det är lite obekvämt, men om cookies stjäls från din webbläsare (en ganska vanlig typ av hacking), kommer de inte att kunna använda cookies med automatisk loggning, eftersom de kommer att vara föråldrade och inloggningssessionerna på dem är stängda. Vem förstår inte, det är okej, tro bara att det är säkrare på det här sättet.
Kontoaktivitetslogg. Ett mycket användbart bokmärke. Kom tillbaka då och då. Vem, när, varifrån inloggad på bloggen.
Aktiva Sessioner. Och den här fliken visar behöriga användare som för närvarande är på webbplatsen.

Användarregistrering

Manuell bekräftelse. Om sajten har möjlighet att registrera sig (förresten kanske du inte vet om detta) kan du manuellt godkänna registreringarna.
CAPTCHA vid registrering. Markera rutan för att använda captcha under registreringen.
Registrering Honeypot. Ett visst bokmärke på registreringssidan, som bara boten svarar på. Personen kommer att ignorera.

Databasskydd

Databastabellprefix. Om du inte har ändrat tabellprefixet under WordPress-installationen hjälper plugin-programmet dig att göra det. Gör bara en säkerhetskopia innan du konverterar.
Säkerhetskopiering av databas. Plugin erbjuder att skapa schemalagda säkerhetskopior av databasen. Jag tror att en stor nackdel med pluginet är att det bara kan säkerhetskopiera databasen. Därför föredrar jag att skapa fullständiga säkerhetskopior på andra sätt. Men det här pluginet säkerhetskopierar regelbundet databasen och skickar dem till posten.

Filsystem skydd

Tillgång till filer. På den här fliken måste du konfigurera filbehörigheter så att viktiga filer inte kan ändras från under skript.
Redigera PHP-filer. Efter eget gottfinnande. Personligen inaktiverar jag möjligheten att redigera PHP från adminpanelen. Jag föredrar.
Åtkomst till WP-filer. Åtkomst till readme.html-, licens.txt- och wp-config-sample.php-filerna är förbjuden på den här fliken. Det är bättre att radera filerna readme.html, licens.txt helt och hållet.
Systemloggar. På den här fliken kan du visa systemloggar direkt från administratörspanelen utan att logga in på hosting. Du behöver bara kontrollera med hostern var de är och vad de heter.

Whois-sökning

Meningen är detta. Plugin har en geolokaliseringsbas. När vi analyserar hot mot en webbplats har vi information från vilken IP-adress åtgärden (attacken) ägde rum. På den här fliken kan du se detaljerad information om IP.

Svart lista

Förbjud användare. Var försiktig med det här alternativet. Många användare går online med dynamiska adresser. Och det faktum att en attack pågår från vilken IP som helst betyder inte alls att den här IP-adressen inte kommer att tilldelas till en annan användare om en vecka som inte kommer till din webbplats. Jag hade det. Jag kunde inte registrera mig på webbplatsen eftersom min IP var svartlistad. Jag var tvungen att bestämma mig genom webbplatsens stöd. Och min IP ges till mig av en ISP, och den ändras regelbundet.

Brandvägg

Grundläggande brandväggsregler. Den här sidan aktiverar brandväggens grundläggande funktioner och inaktiverar även XMLRPC för fjärråtkomst. Denna teknik behövs främst för interaktion. mobilapplikationer och blogg. Om du inte använder den kan du stänga av den.
Ytterligare brandväggsregler. Jag tar inte med allt på den här fliken. Till exempel, varför förbjuda kommentarer via en proxy? Det är helt normalt att en besökare har internet via en proxy. Resten av inställningarna behövs. Det är ett obligatoriskt alternativ att förbjuda inmatning av förbjudna tecken i adressraden. För vanliga användare inget behov av att ange icke-standardfrågor.
6G Blacklist Firewall Rules. En uppsättning standardregler för att skydda din blogg. Jag vill inte gå in på detaljer om vad det är, varför det är. Om du inte förstår vad det här betyder, aktiverar du bara standardreglerna för brandväggen.
Internetbots. Vissa sökrobotar imiterar Google-robotar som får genomsöka en webbplats. Brandväggen kan i de flesta fall spåra detta.
Förhindra hotlänkar. Ett mycket användbart alternativ. Ibland innehåller artikeln en länk till bilden på din webbplats. Användaren klickar på bilden, men faktiskt kommer trafiken från din blogg och inte varifrån bilden klickades. Du måste bli av med en sådan extra börda.
Upptäcka 404. När platsanalysen och valet av parametrar börjar hamnar en angripare ofta på en sida 404. Detta beror på att vissa sårbarhetsparametrar väljs i skript. Och som regel är detta en hel sekvens av träffar på en obefintlig sida, man kan till och med säga en flurry. Detta beteende övervakas och blockeras.
Anpassade regler. Du kan skriva en regel manuellt.

Skydd mot brutala kraftattacker

Byt namn på inloggningssidan. Vissa värdleverantörer byter namn på inloggningssidan i adminpanelen. Detta är en mycket viktig punkt. Jag rekommenderar att du byter namn på:

Inloggningssideadress (URL): http: //din_site.ru/secretpage

För att komma till adminpanelen istället:
http: //din_sida.ru/wp-admin

Använda sig av
http: //din_site.ru/secretpage

Skydd mot brutala kraftattacker med hjälp av cookies. Plugin använder cookies för att spåra ett stort antal misslyckade inloggningar. Du kan blockera sådana försök.
Logga in CAPTCHA. Du kan använda captcha på olika sidor. Jag använder inte detta plugin-alternativ, jag använder ett separat captcha-plugin. Jag gillade inte riktigt plugins captcha - det är för primitivt.
Inloggningslista. Om du har en statisk IP-adress (det vill säga adressen till datorn från vilken du går in i adminpanelen) kan du registrera din IP i vitlistan och inga pluginsanktioner tillämpas på den.
Ett fat honung (Honeypot). Ett visst dolt föremål (fält), som endast bot reagerar på, detta fält är dolt för personen.

Spamskydd

Skräppost i kommentarerna. Du kan använda captcha i kommentarer. Det finns också en intressant och användbar funktion för att blockera spambots. Spambots är vanligtvis skript som körs någonstans utanför din webbplats. Och användaren fyller i kommentarformuläret på din webbplats. Det är väldigt enkelt att spåra och klippa av.
Spåra IP-adresser för skräppost. Plugin kan självständigt bestämma att kommentaren är skräppost och blockera IP-adressen. Det är svårt att säga hur mycket detta är korrekt. Om det finns ett litet antal kommentarer kan du manuellt filtrera bort.
BuddyPress. Integration med BuddyPress-plugin.

Scanner

Spåra ändringar i filer. Cool funktion. Jag gillar henne väldigt mycket. Varje ändring av en fil under skanningen kommer att upptäckas och skickas till e-postmeddelandet som en rapport. Genom att titta på förändringarna kan du förstå vad som hände.

Service läge

Blockera besökares åtkomst till webbplatsen. Du kan sluta komma åt webbplatsen och visa lite text. Till exempel under tekniskt arbete.

miscellanea

Kopieringsskydd. Intressant funktion... Om du vill kan du blockera höger musknapp på webbplatsen.
Ramar. När du försöker visa en webbplats som en del av en annan webbplats i en ram blockerar plugin den här åtgärden. anteckna det denna inställning påverkar Yandex.Metrica-webbläsarens arbete.
Användaruppräkning. Du kan ta reda på användaren genom en begäran från formuläret:
http: //din_domän.ru? författare \u003d 1
Detta alternativ begränsar sådana förfrågningar.

Lite humor
Hustrun ringer till sin man på jobbet för att prata.
Make: - Ledsen, kära, men jag har mycket att göra idag.
Fru: - Men älskling, jag har nyheter för dig: bra och dåligt.
Make: - Okej, jag har inte tid nu, berätta bara de goda nyheterna.
Fru: - Tja ... ja ... krockkudden fungerar.

Lycklig mastering av materialet.

En av de mest framgångsrika och kraftfulla pluginsna för att skydda WordPress-webbplatser genomgick nyligen en ny och ny uppdatering. Och trots utvecklarnas varningar gick den här uppdateringen utan problem. (åtminstone för de flesta användare). Vi behövde inte ens återaktivera plugin-programmet manuellt, vilket vi varnades om tidigare.

Jag har redan skrivit i detalj om namnbytet och vad jag kan förvänta mig av iThemes Security i framtiden. Nu vill jag presentera instruktioner för hur du konfigurerar det i detalj. Denna bruksanvisning kommer att vara särskilt användbar för de användare som inte förstår teknisk engelska särskilt bra (plugin-programmet har ännu inte delvis översatts till ryska, som det var tidigare) och vissa specifika tekniker.

Som alltid i deras artiklar innan du går vidare till förfarandet "klicka där, klicka här"Jag föreslår att du bekantar dig med den teoretiska delen. Eller snarare, vad den kan göra och vilka nya funktioner iThemes Security har förvärvat. De som redan känner till detta plugin under lång tid, eller de som inte är intresserade av allt detta kan gå direkt till andra delen av instruktionerna.

IThemes säkerhetspluggfunktioner (ex-bättre WP-säkerhet)

Alla vet att iThemes Securitys huvuduppgift är att skydda WordPress-bloggar från alla typer av attacker. Och detta skydd måste jag säga är mycket hög kvalitet och kraftfullt. På det här ögonblicket plugin har i sin arsenal mer än 30 säkerhetsmetoder. Och dess utvecklare tvekar inte att kalla sina avkommor "nr. 1" bland liknande plugins.

Ja, genast vill jag påpeka en viktig detalj - säkerhet för någonting uppnås aldrig med något verktyg. Säkerhet är alltid hela komplexet åtgärder. Det bör förstås att bara installation av iThemes Security (eller något annat liknande plugin) inte kan garantera dig hundra procent webbplatsskydd. Därför måste du alltid komma ihåg de grundläggande principerna för skydd - efterlevnad av internethygien, hålla den ren och skydda din dator från skadlig programvara etc. etc. Glöm inte heller den mänskliga faktorn.

De viktigaste funktionerna i iThemes Security kan delas in i flera block.

Dölj och avlägsna (dunkla) allt som kan medföra en potentiell fara

  • Att ändra webbadressen till admin-inloggningssidan är en mycket användbar funktion, och på vissa sätt till och med unik (i allmänhet har iThemes Security, liksom i början av bättre WP-säkerhet, många unika funktioner).
  • Bortläge - fullständig blockering av adminpanelen vid en viss tidpunkt.
  • Ta bort Windows Live Write- och RSD-rubriker.
  • Förhindra meddelanden om uppdateringar av WP, teman och plugins.
  • Ändra "admin" -inloggning, om den används.
  • Ändra standardadministratörs-ID (1) och prefixet (wp_) för databastabellerna
  • Ändra wp-innehållskatalogen.
  • Döljer felutdata när användarnamnet / lösenordet är felaktigt angivet.
  • Visar slumpmässiga versioner av plugins, teman, kärnor för icke-administratörer.

Skydda din WordPress-webbplats

Att dölja delar av webbplatsen är en mycket användbar funktion, men det kan inte förhindra alla attacker. Bland funktionerna i iThemes Security finns det naturligtvis och skyddsmetoder - att blockera "dåliga" användare, öka lösenordsäkerheten, etc.:

  • Platsskanning och omedelbar anmälan av svaga punkter med sårbarheter och samma snabba eliminering av dem.
  • Blockering problematisk Användaragent, bots, etc.
  • Skydd mot brute force genom att blockera användare och värdar efter flera misslyckade försök att komma in i adminområdet.
  • Förbättrad övergripande webbserversäkerhet.
  • Tillämpa starka lösenord för användare.
  • Kryptering (SSL) av adminpanelen och andra sidor och poster (du behöver ett SSL-certifikat och serverstöd).
  • Ett förbud mot att redigera motorfiler, teman och plugins från adinka.
  • Upptäckt och blockering av olika attacker mot filsystemet och platsdatabasen.

Upptäcka, detektera

  • Övervakning filsystem från obehöriga ändringar.
  • Upptäckt av olika "spindlar" och "bots" som skannar webbplatsen på jakt efter sårbarheter.
  • E-postmeddelanden om fall av blockering av användare och värdar.

Återhämtning

iThemes Security gör regelbundna säkerhetskopior av WordPress-databasen (schemalagd), vilket gör att du snabbt kan återställa webbplatsens ursprungliga tillstånd i händelse av en kompromiss. Tyvärr stöder inte grundversionen av plugin-programmet fullständig säkerhetskopiering. Men den här funktionen finns i iThemes betalda tjänst - BackupBuddy.

Andra fördelar

  • Möjligheten att skapa en inloggningssida som är lätt att komma ihåg för adminpanelen (du kan ställa in vilken adress som är lätt att komma ihåg).
  • Upptäckt av 404-fel, vilket är viktigt inte bara när det gäller säkerhet utan även när det gäller SEO (trasiga länkar till bilder, obefintliga sidor på webbplatsen etc.)
  • Ta bort den nu använda versionen av jQuery och ersätt den med den nuvarande och säkra versionen (som levereras med WordPress som standard).

Nya funktioner i iThemes Security

  • Förbjud pHP-körning i uppladdningsmappen.
  • Förhindrar skapandet av ett identiskt användarnamn (visningsnamn på webbplatsen).
  • Dölj arkiv av författare som inte har en enda post.
  • Avancerade alternativ för att skicka meddelanden
  • och så vidare.

Tja, det här är funktionaliteten för iThemes Security-plugin just nu. Det är osannolikt att han kommer att ha seriösa konkurrenter. Den enda, enligt min mening, den närmaste konkurrenten är. Bara den är mer "nyckfull" för konfigurationen av webbservern och är snarare avsedd för avancerade användare.

Så vi tänkte på plugin-funktionerna, nu är det dags att börja konfigurera det.

Jag råder dig att ta hänsyn till min andra artikel, med en översikt över nya alternativ som inte omfattas av denna handbok. Dessutom upptäckte jag relativt nyligen att en underbar tjej som heter Zhanna Lira redan har gjort en översättning av pluginet under lång tid och delar det helt gratis med läsarna på sin blogg. Om du behöver rysk lokalisering kan du ta det

Installera och konfigurera plugin-programmet iThemes Security (ex-Better WP Security)

Installation för nya användare sker som vanligt. Vem är bekvämare (åh olika sätt Se WP-plugininstallationer). Pluginsidan i WordPress.org-förvaret har varit densamma för tillfället - https://wordpress.org/plugins/better-wp-security/. Jag vet inte om det kommer att förändras i framtiden.

När du söker från adminpanelen är plugin-programmet tillgängligt efter namn iThemes Security (tidigare bättre WP-säkerhet), så just nu kan den hittas av både det nya namnet och det gamla. Hur länge denna variant av namnet kommer att vara, vet jag inte heller.

Så vi hittar det, installerar det, aktiverar det. Och det första vi ser är följande bild:


Vi är intresserade av knappen " Säkra Din Webbplats Nu"(säkra din webbplats nu)... Klicka på den och vi hälsas av fönstret för primära inställningar "Jagviktigt Först Steg"(viktiga första steg):


Alla dessa grundinställningar kan hoppas över och göras manuellt senare. För att göra detta finns det en länk i det nedre högra hörnet "Avfärda"... Men jag rekommenderar att du gör dem just nu, i automatiskt läge.

Så vi ser fyra knappar:

  1. Säkerhetskopiera din webbplats - göra en säkerhetskopia av platsdatabasen. Det rekommenderas att göra det igen (även om du borde ha gjort en säkerhetskopia innan du installerade plugin).Denna kopia skapas och skickas till ditt administrativa e-postmeddelande med hjälp av själva plugin.
  2. Tillåt filuppdateringar - tillåta uppdatering av filer. Det handlar om att redigera wp-config.php- och .htaccess-filerna, vilket krävs för att pluginet ska fungera korrekt. Med den här knappen kan han göra en automatisk säker uppdatering av dessa filer.
  3. Säkra din webbplats - säkra din webbplats. Använd knappen Säkerhet med ett klick (säkerhet med ett klick)för att aktivera plugin för att aktivera standardinställningarna. Dessutom aktiveras bara de funktioner som inte bör orsaka konflikter med andra plugins. Allt annat kan anpassas senare.
  4. Hjälp oss att förbättra - hjälp oss att bli bättre. Denna knapp aktiverar funktionen anonymsamla in data om funktionerna på din webbplats (förmodligen - WP-version, installerade plugins, konflikter etc.) för att förbättra plugin i framtiden. Återigen kommer jag att betona att insamlingen av statistik är anonym, och iThemes identifierar inte användare av den. Bestäm själv om du vill aktivera det här alternativet eller inte.

I allmänhet trycker du på minst tre knappar av fyra i tur och ordning (var och en av dem kommer att ersättas med ett meddelande om en lyckad åtgärd). Klicka sedan på "Avvisa" för att stänga det här fönstret.

Nu måste vi konfigurera vår iThemes-säkerhet mer noggrant.

Alla insticksinställningar finns i kontrollpanelen ( instrumentbräda):


Överst, som du kan se, finns det flikar som ger huvudnavigering genom inställningarna. På huvudfliken - Dashboard - finns det flera block. För enkelhets skull kan de kollapsas. Du kan också byta dem. I allmänhet finns det olika översiktsinformation och meddelanden. Och till höger finns erbjudanden från iThemes.

Jag måste säga genast att vi inte kommer att konfigurera iThemes Security genom "Fix It" -knapparna utan på nästa flik. Men ändå, låt oss gå över och se vad vi har här:

Komma igång

Här är en kort video om hur du konfigurerar, samt en länk till utvecklarens webbplats, där du kan få hjälp eller köpa PRO-versionen av plugin (samt andra produkter och tjänster). Vi kommer inte att titta på deras video (varför vill du ha min artikel? \u003d)), Speciellt eftersom den är på engelska. Så vi kollapsar den här fliken så att den inte stör oss nu och drar den till botten (om du vill).

Om du vill och behöver titta på en rysskspråkig video om uppdatering och konfigurering av iThemes Security, gå till Dmitrys webbplats på den angivna länken. Han släppte mycket snabbt en uppdaterad videoinstruktion, för vilken han fick stor respekt för många Runet-bloggare! (Och från mig en länk som ett tecken på uppriktig respekt)

Säkerhetsstatus

Detta är kanske det viktigaste blocket på denna sida. Låt oss dröja på det mer detaljerat.

Detta block har också flikar som indikerar graden av kritik av meddelanden - Hög (hög),Medium (medel),Låg (låg). Det finns också två flikar - Alla (alla på en sida) ochKomplett (klar, dvs vad pluginet redan har gjort / fixat).

Hög prioritet - markerad i en ljusrosa färg och innebär behov av omedelbar korrigering.


I mitt fall, som du kan se, finns det bara en anmärkning - detta är behovet av att skapa en schemalagd säkerhetskopia av databasen.

Låt oss använda den magiska knappen "Fixa det".

Vi kastas omedelbart till den andra fliken med huvudinställningarna ( inställningar) i avsnittet med säkerhetskopieringsinställningar. Och det som måste fixas anges. I mitt fall är det Schema Databas Säkerhetskopior (schema för databasbackup)... Markera kryssrutan (1), ange intervallet (2) och spara ändringarna med knappen Spara ändringar (3).


Tidigare kunde schemat konfigureras så att säkerhetskopior gjordes minst varje timme. Nu är minsta intervall 1 dag.

Sedan går vi tillbaka till fliken Dashboard och ser att det inte finns fler kommentarer med hög kritik.

Du kan gå längre på samma sätt - punkt för punkt Medium Prioritet och låg prioritet, och använd även Fix it-knapparna. Men vi kommer att använda en annan metod - vi gör inställningen manuellt på fliken Inställningar. Om det är bekvämare för dig att göra det härifrån (med Dashboard), så är det inget problem. Det är inte mycket skillnad. Det är bara det att på plugins huvudsida kan alla ha olika aviseringar. Därför kommer jag att konfigurera iThemes Security direkt genom inställningarna (och i allmänhet är det bekvämare och mer korrekt, som det verkar för mig)

Men innan det kommer vi snabbt att gå igenom resten av instrumentpanelens informationsblock.

Aktiva lås

Här kommer pluginet att informera oss om vilka noder (dvs. IP-adresser till bots eller levande människor) eller användare (de som är registrerade på webbplatsen) har blockerats för olika olämpliga åtgärder.

Systeminformation

Här är information om den aktiva användaren (dvs. om dig) - din IP-adress och användaragent. Det indikerar också:

  • Absolut webbadress och rotmapp på servern
  • Htaccess- och wp-config.php-filer skrivbara
  • Databas, server och PHP-information
  • Några WordPress-alternativ
  • Begagnad version av iThemes Security (versionen av enheten som måste specificeras när du kontaktar support; versionen av versionen skiljer sig från versionen som anges på pluginsidan - det här är lite olika saker)

Omskrivna regler

Här hittar du information om vilka regler plugin skrev i .htaccess-filen

Regler för wp-config.php

Liknar föregående punkt, bara för en annan fil, som du förstår.

För mig själv ändrade jag platserna för dessa block lite och viks dem alla. På det här sättet, hemsida plugin-kontrollpanelen ser nu mer kompakt ut för mig och den öppnas snabbare:


Alla insticksinställningar är ordnade i separata block (sektioner). För enkelhets skull kan de också vikas eller bytas ut. Det finns också en rullgardinsmeny för snabb navigering efter sektioner. Den här menyn kommer alltid att följa med dig på höger sida av visningsområdet, i form av ett flytande block med en rullgardinslista.


Låt mig genast påminna dig om att efter att du har gjort ändringar i någon av avsnitten måste du spara ("Spara Ändringar")

Globala inställningar

Det första objektet här är Skriv till filer - skriva till filer. Det här objektet har redan markerats och i inget fall bör du avmarkera rutan (!). Annars förhindrar du plugin-programmet från att skriva till .htaccess- och wp-config.php-filerna, så alla skapade regler och konfigurationsparametrar måste skrivas manuellt.

De två följande punkterna är en indikation mejladresser för att få aviseringar (E-postmeddelande) och säkerhetskopior (Backupleverans-e-post) ... Dessutom kan du ange olika adresser; du kan lägga till flera adresser. Varje e-postmeddelande ska skrivas på en ny rad.

I fält " Värd Lockout Meddelande" Du kan ange ett meddelande som ska visas för dem som har blockerats av plugin-programmet. Standard är lakoniskt "fel". Du kan bli kreativ och skriva något originellt. Men det är ingen mening med detta, tk. i grund och botten kommer alla slags robotar att blockeras.

I fält " Användare Lockout Meddelande" Du kan skriva ett meddelande som kommer att visas för de användare som är registrerade på webbplatsen, vars konto kommer att blockeras för misslyckade försök att logga in. Du kan lämna ett standardmeddelande " Du ha varit låst ut på grund av till för många logga in försök"(" Du blockerades på grund av för många inloggningsförsök ").

Svartlista Upprepa gärningsmannen - detta är en svart lista över "upprepade gärningsmän", dvs. de som regelbundet försöker gissa lösenordet eller utföra andra förbjudna åtgärder. Funktionen är aktiverad som standard och jag rekommenderar inte att du inaktiverar den.

Tröskel för svartlista - tröskeln för att lägga till en IP-adress till svartlistan. Det vill säga antalet blockeringar av en användare eller värd anges här, varefter överträdarens IP-adress kommer att läggas permanent till den svarta listan. Standardvärde \u003d 3. Detta innebär att om någon fick tre lås för att försöka gissa lösenordet för adminpanelen så skickas det till svartlistan.

Återblickstid för svartlista - den period under vilken förövaren är förbjuden. Antalet dagar som gärningsmannen kommer att vara i svartlistan anges här. Detta värde kan ökas (standard är 7 dagar).

Låsperiod - blockeringsperiod. Tiden (i minuter) under vilken en värd eller användare kommer att blockeras efter en första överträdelse (utan att vara svartlistad).

Exempel: låt oss säga att någon försöker gissa administratörslösenordet, gör flera misslyckade försök och blockeras tillfälligt under det angivna antalet minuter. Om den efter upplåsning inte stoppar attacken och får ytterligare två (om Blacklist Threshold är inställd på 3) tillfälliga lås skickas den direkt till svartlistan.

Locklist-vitlista - Vitlista. Här kan du ange IP-adresser som inte kommer att ingå i svartlistan. Om du har en statisk IP-adress är det lämpligt att registrera den i det här fältet så att det inte finns några potentiella problem med åtkomst (du kan också registrera dig i den vita listan med en dynamisk IP-adress).

Det bör noteras att om du har aktiverat bortläget (mer om det senare) kommer du vid den tidpunkt som anges i det fortfarande inte att kunna komma till adminpanelen. Regler för borta-läge har företräde framför vitlistan.

IP-adresser i vitlistan är skrivna i ett standard IPv4-format - till exempel 123.123.123.123. Det är också tillåtet att använda tecknet (*) för att ange ett adressintervall. Till exempel en notation som 123.123.123. * Skulle innebära att alla IP-adresser, som börjar med 123.123.123.0 och slutar med 123.123.123.255, är tillåtna. Detta är användbart om du inte har en statisk IP-adress.

Ange varje IP-adress eller delnät på en ny rad.

Meddelanden om låsning av e-post - skicka brev till det som anges i fältet Meddelande-e-post e-post när någon värd eller användare av webbplatsen blockeras.

Loggtyp - typ av loggning. Här kan du ange vilka loggar iThemes Security-plugin kommer att behålla. Alternativ tre - endast databas (endast databas), endast filloggar (endast fil) eller båda typerna (båda).

Var och en av dessa alternativ för inspelning av händelser har fördelar och nackdelar.

  • DatabasEndast - alla ändringar som görs i databasen, till exempel nytt inlägg, ny kommentar etc., kommer att registreras i loggen. Skapande av säkerhetskopior loggas också. Varför en vanlig användare behöver detta förstår jag inte. Jag rekommenderar att du inte använder det här läget.
  • Fil Endast - ett mer användbart loggningsalternativ. Alla typer av 404-fel, filändringar (om alternativet är aktivt) etc. registreras. Jag rekommenderar att du använder det här läget.

Tänk på att eventuella skrivningar till serverdisken (och loggning naturligtvis skriver) orsakar ytterligare omkostnader. Tja, loggarna själva tar naturligtvis plats. Det är konstigt att plugin-programmet inte har möjlighet att inaktivera loggning helt

Dagar till Ha kvar Databas Loggar - hur många dagar för att hålla databasloggarna. Om du inte har aktiverat loggningsläget Endast databas, gör det ingen skillnad hur många dagar du anger i det här fältet. Eftersom filloggen fortfarande kommer att sparas på obestämd tid, men med en viktigt villkor - när den når storleken 10 MB skrivs filen över. Detta är en bra innovation, för innan, för vissa användare, förbrukade loggarna en enorm mängd diskutrymme, och de (loggarna) måste rengöras med avundsvärd regelbundenhet. Manuellt.

Väg till Logga Filer - sökväg till loggfiler. Allt är klart här. Det finns bara en anteckning - den angivna katalogen måste vara skrivbar och en rekommendation - av säkerhetsskäl bör du inte lagra loggar i roten på webbplatsen. Kort sagt, vi lämnar allt som det är.

Tillåta Data Spårning - aktivera statistikinsamling för iThemes. Det här är vad vi pratade om tidigare. Vill - slå på det, du vill - nej. Låt mig än en gång påminna dig om att uppgifterna samlas in och skickas anonymt och kommer att gynna utvecklingen av plugin.

Vi ordnade det med globala inställningar. Gå vidare. Åh, hur mycket jag fortfarande måste skriva, och du läser \u003d)

Upptäcker 404-fel

Denna funktion består i att samla in information om vilka värdar som får 404-fel upprepade gånger och blockera dem därefter. Denna analys är viktig av flera anledningar, den främsta är att förhindra skanning efter befintliga sårbarheter.

Det har också den extra fördelen att det hjälper dig att hitta dolda problem, orsakar fel 404. Detta kan till exempel vara några "trasiga" bilder eller trasiga interna länkar. Alla fel loggas, och du kan se dem på "Visa loggar" -fliken (loggar).

Först och främst, i detta avsnitt ser vi lite information om de aktuella blockeringsinställningarna (vi konfigurerade allt detta i det globala inställningsblocket). För mig ser det till exempel ut så här:


Aktivera 404-detektering - faktiskt aktivering av denna funktion.

Minuter till Kom ihåg 404 Fel (Kolla upp Period) - antalet minuter (kontrollperiod) under vilken spärren räknas. Standardvärdet är 5 minuter.

Exempel: vissa bot / parser "hammar" webbplatsen på jakt efter olika sårbara filer och sidor, och när de inte hittar dem får de ett fel med en 404-kod som svar. Den gör det till exempel i en minut, slutar sedan i en minut och börjar igen ... Plugin kommer att komma ihåg alla dessa åtgärder, och snart kommer han att få ett förbud.

Om till exempel botten "hamrade" 30 sekunder och lämnade sajten i 10 minuter, kommer nästa gång den besöker plugin-programmet att betrakta det som en nykomling, och värdens tidigare "meriter" kommer inte att komma ihåg.

Därför kan standardvärdet ökas något (till exempel upp till 10 minuter).

Felgräns - tröskeln för tillåtna fel. Antalet fel (inom kontrollperioden) då blockeringen kommer att uppnås. Om den är inställd på 0 loggas fel utan att blockeras (detta alternativ bör endast användas för felsökningsändamål, eftersom det inte kommer att undertrycka sårbarhetsskanning).

Standardvärde \u003d 20. Jag tycker inte att det är värt att öka det, eftersom 404-fel kan rapporteras inte bara för misstänkta åtgärder, utan också till exempel om webbplatsen inte har något favicon, etc.

Och här kommer det till nytta i iThemes Security, en bra innovation har dykt upp - en vit lista för 404-fel. De mest kända har redan lagts till. vanliga filervars frånvaro orsakar dessa fel:

Denna lista kan kompletteras med andra kända filer. Men en mer korrekt lösning skulle vara att ordna allt - skapa ett favicon, apple-touch-icon.png, robots.txt, sitemap.xml, etc. När allt kommer omkring hindrar vitlistan inte servern från att spela in fel. Och som du redan vet är varje inspelning till en hårddisk en extra börda.

Bortläge / gästläge

Med det här läget kan du helt inaktivera åtkomst till WordPress-adminpanelen under angivna dagar eller timmar. Detta kan vara mycket användbart, och det kommer definitivt inte att vara överflödig när det gäller extra skydd.

Hur det fungerar? Låt oss säga att du aldrig går till adminområdet på natten och tidigt på morgonen. Eller säg, du ska på semester och du vet med säkerhet att du inte kommer att använda adminpanelen just nu. Varför inte stänga av det alls under dessa timmar eller dagar? Korrekt? Korrekt.

Innan du aktiverar och konfigurerar det här alternativet, kom ihåg att tidszonen som används på webbplatsen kan skilja sig från din realtidszon. Så justera inställningarna för borta läge baserat på de globala inställningarna på själva webbplatsen.

Så, för att aktivera gästläge, markera kryssrutan "Aktivera bortläge" .

Om vi \u200b\u200bväljer Daily kommer två parametrar att finnas tillgängliga för oss för att specificera tidsintervallet - Starttid ochSlutet Tid (sista). Tiden anges i 12-timmarsformat. AM - före middagstid; PM - eftermiddag.

Exempel: om jag vill blockera adminpanelen från 02:00 till 07:00 så anger jag - från 02:00 till 07:00. Generellt, google det om det behövs. Det finns tjänster och tabeller över korrespondens i 24- och 12-timmarsformat på Internet.

Om du väljer ett engångsblockeringsläge måste du ange datum och tid för dess start, samt datum och tid för dess slut. Allt genialt är enkelt.

Blockerade användare

Med den här funktionen kan du helt neka åtkomst till webbplatsen för vissa värdar och användaragenter, vilket kommer att ha en positiv effekt på att motverka spammare, parsers och andra skrupelfria personer och bots.

Först och främst uppmanas vi att ansluta en grundläggande svartlista över kända problematiska användaragenter, skapad av gruppen HackRepair.com.

I allmänhet, vad är en användaragent? I vårt fall är detta viss information genom vilken (bland annat) webbservern identifierar värden som har kontaktat den. Den innehåller webbläsaren som används, OS etc. Sökrobotar har sina egna användaragenter, skräppostbots och olika analysatorer har sina egna etc. Och baserat på kända oönskade användaragenter används liknande svartlistor.

Du kan till exempel se din User Agent (UA) på webbplatsen http://whatsmyuseragent.com/. Försök att besöka den här sidan med olika webbläsare och uppmärksamma UA-skillnaden.

Så, för att aktivera den grundläggande svartlistan, markera parametern "Aktivera HackRepair.coms svartlistfunktion" ... Om du behöver den senaste och fullständiga listan över "dåliga" användaragenter och värdar kan du alltid ta den på sidan http://pastebin.com/5Hw9KZnW och lägga till den i .htaccess-filen själv

Det finns en anteckning! Nyligen såg jag någonstans att det är bättre att inte aktivera det här alternativet, för detta kan leda till att vissa sökrobotar blockeras. Personligen har jag alltid haft den här svarta listan ansluten och jag observerade inga problem med dessa spindels åtkomst till webbplatsen varken i Ya.Webmaster eller i Google Webmaster. Så jag rekommenderar att du aktiverar den här funktionen. Dessutom kan du analysera den här listan och se till att varken Google eller Yandex-identifierare finns i den.

Förutom standard svartlistan finns det en möjlighet till manuell blockering av vissa värdar eller UA: er. För att göra detta måste du aktivera alternativet "Aktivera förbjudna användare" , varefter tre inmatningsfält blir tillgängliga för oss:

  • Förbjud värdar - blockerar värdar. Du kan alltid ange alla IP-adresser som attacker på din webbplats eller skräppost kommer regelbundet från.
  • Förbjud användaragenter - blockerar UA. I de flesta fall finns det inget behov av att lägga till den här listan manuellt, en grundläggande lista från HackRepair.com räcker. Men om du plötsligt en konstant attack från vissa UAs, så varför inte passa på att blockera dem.
  • Vitlistan användare - Vitlista. Du kan ange din IP-adress.

IP-adresser läggs till i dessa listor på samma sätt som i Lockout White List.

Skydd mot brutala kraftattacker

En mycket viktig funktion som är en extra sköld ovanpå att ändra admin-URL. Och om du inte använder ersättningen av inloggningssidan i adminpanelen (mer om detta senare), blir den här funktionen inte bara viktig utan den viktigaste. Dessutom tillåter det dig att vägra ytterligare plugins som utför samma uppgift (Begränsa inloggningsförsök, Inloggningslås etc.).

Alternativet är redan aktiverat som standard. Och om det av någon anledning finns en bock bredvid "Aktivera skydd mot brute force" inte är installerad, lägg sedan den.

Parameter " Max Logga in Försök Per Värd" ansvarar för det maximala antalet försök för en värd. Standardvärde \u003d 5. Det vill säga om någon anger sitt inloggnings- eller lösenord fel 5 gånger i rad kommer de att blockeras under den angivna tiden.

" Max Logga in Försök Per Användare" ansvarig för antalet försök för en specifik användare. Det vill säga om någon kör i sitt användarnamn (eller angriparen känner till inloggningarna som finns på webbplatsen) men felaktigt anger lösenordet, så är den här användaren (hans konto). Standard är 10 försök.

Och den sista parametern i detta inställningsblock är - "Protokoll att komma ihåg dålig inloggning (kontrollperiod)" - en kontrollperiod under vilken plugin kommer ihåg misslyckade inloggningsförsök. Lämna också i 5 minuter. Om så önskas kan du öka detta värde.

Säkerhetskopior (säkerhetskopior) av databasen

Det är säkert känt att en av de bättre sätt skydd och lindring av attacker är säkerhetskopior. Varje bloggare eller webbplatsägare är helt enkelt skyldig att dagligen säkerhetskopiera databaser.

I de flesta fall flyttar bloggare uppgiften till värd. Men, som de säger, Aide toi et le ciel t'aidera. Så, förutom att vara värd för säkerhetskopior, bör du alltid ha ett alternativ för säkerhetskopiering. Någon använder speciella plugins och skript för detta, men varför? Trots allt klarar iThemes Security den här uppgiften för 5+

Så den första parametern här är "Säkerhetskopiera fullständig databas" Är läget för att skapa en fullständig säkerhetskopia av webbplatstabellerna. Om du aktiverar det här alternativet kommer absolut alla tabeller att läggas till i säkerhetskopiorna, som kanske inte är direkt relaterade till webbplatsen (till exempel vissa tredjepartsskript etc.). För varje brandman, rekommenderar jag att använda det, även om detta i allmänhet inte är kritisk.

  • Spara Lokalt och E-post - lagra säkerhetskopior på servern och skicka dem via e-post
  • E-post Endast - skicka endast via e-post
  • Spara Lokalt Endast - lagra endast på servern

Jag rekommenderar att använda uteslutande E-post Endast (om din databas inte är så stor) . Eftersom det är meningslöst att hålla säkerhetskopior på samma server där själva webbplatsen finns; b) slöseri med diskutrymme.

Om du väljer att lagra säkerhetskopior på servern i fältet "Backup-plats" Du kan ange katalogen för att lagra dem (eller lämna standardvägen). I inget fall rekommenderas det att specificera rotmapp webbplats för dessa ändamål.

Se till att du markerar rutan "Komprimera säkerhetskopieringsfiler" Är komprimering av säkerhetskopierade filer. Således kommer databasfilen att packas in i ett ZIP-arkiv, vilket avsevärt minskar dess storlek.

Följande är en indikation på några specifika tabeller som kan uteslutas från säkerhetskopior (Uteslut tabeller) ... Dessa inkluderar tabeller som skapats av vissa plugins som inte alltid ger något verkligt värde.

Som standard i fältet "Undantagna tabeller"inkluderade tabeller som skapats av plugin-programmet iThemes Security och i vänster marginal "Tabeller för säkerhetskopiering" - dessa tabeller som skapas av olika plugins (i princip är dessa olika loggar), men inte relaterade ( vanligtvis) direkt till webbplatsens innehåll.

Om du är säker på att vissa tabeller från rätt fält inte är användbara för säkerhetskopiering av databaser kan du utesluta dem från de skapade säkerhetskopiorna. Detta kan minska säkerhetskopiorna avsevärt. Om du är osäker, låt den vara som den är.

I vilket fall som helst, kom ihåg att dessa säkerhetskopior kan skilja sig från de säkerhetskopior som skapats av hostern, eftersom fullständiga säkerhetskopior av databaser skapas på värden. Men detta på något sätt innebär att säkerhetskopior som skapats i iThemes Security blir ogiltiga. Inte alls.

Tja, och sedan finns det ett schema - Schemalägg säkerhetskopior av databaser ... Vi pratade redan om honom nästan i början. Jag rekommenderar att du ställer in minsta möjliga värde - 1 dag. Således kommer en säkerhetskopia av webbplatsens databas att skickas till din e-post varje dag.

Upptäckt av filändring

Även de bästa säkerhetslösningarna kan misslyckas. Hur vet du då att någon har fått administrativ åtkomst till din webbplats? Troligtvis kommer en angripare att ändra vissa filer genom att lägga till sin kod till dem. Denna funktion är ansvarig för att spåra sådana förändringar.

Till skillnad från andra lösningar jämför iThemes Security filer lokalt sedan den senaste kontrollen, snarare än att fjärrkontrollera dem mot "fabrik" -filerna.

Efter varje kontroll kommer du att veta om några ändringar gjordes personligen av dig, eller om de dök upp som ett resultat av en kompromiss. Var särskilt uppmärksam på olika systemfiler som plötsligt har ändrats utan någon uppenbar anledning (det fanns inga uppdateringar, du personligen gjorde inte ändringar i dem etc.).

Om det händer att din webbplats plötsligt dyker upp skadlig kod, Då tack vare detta alternativ blir det lättare för dig att spåra när och där det kan läggas till.

Klicka på knappen " Fil Skanna Nu" för att lägga till filer och utföra en första skanning. Om ändringar hittas, kommer du att omdirigeras till "Logs" sida för mer information. Filändringsloggar finns i avsnittet :


Låt oss gå tillbaka till inställningarna. För att aktivera det dagliga automatisk kontroll filändringar markerar du kryssrutan "Aktivera filändringsdetektering" .

Nästa parameter - "Delad filskanning" - du kan aktivera läget för att dela in skannade filer i kategorier. Det finns totalt 7 kategorier. plugins, teman,wp- administration, wp- inkluderar, uppladdningar (Nedladdningar),wp- innehåll och den sista är allt som inte passar in i tidigare kategorier... Inspektionen av dessa delar kommer att delas jämnt under dagen. Därav följer att denna inställning leder till en ökning av antalet aviseringar, men samtidigt minskar belastningen på servern, vilket är särskilt viktigt vid "svag" hosting.

Varför är det så viktigt? Tidigare, när spårning av filändringar slogs på, fanns det så många aviseringar att många helt enkelt inaktiverade det här alternativet. Detta berodde bland annat på det faktum att när du använder caching-plugins ändras filer på hosting mycket ofta och i stort antal (cache). Nu kan sådana cachade filer uteslutas från skanning.

Detta görs på detta sätt (till exempel cachemappen som används av Hyper Cache-plugin, andra liknande plugins använder troligen samma mapp):


Det är också möjligt att inte utesluta vissa filer och mappar utan bara inkludera valda filer. För att göra detta, välj i rullgardinsmenyn "Inkludera valda", och ange vilka filer och mappar du vill övervaka.

I fält " Strunta i Fil Typer" du kan ange olika filtillägg som ignoreras av ändringsspårningsfunktionen. Vanligtvis är det bildfiler etc. Det vill säga, det borde INTE vara textfiler (inklusive php, js, etc.), sedan det är i dem som skadlig eller annan främmande kod vanligtvis injiceras.

Parameter " E-post Fil Förändra Meddelanden" är ansvarig för att skicka meddelanden om ändringar i e-post (s) som anges i de globala inställningarna.

Fungera " Visa fil förändra administration varning" Du kan aktivera / inaktivera visning av aviseringar i adminpanelen.

Det är möjligt att välja båda lägena eller ett. Om du inaktiverar dem båda kommer du inte att få några meddelanden alls, men ändå kan ändringar visas på fliken "Loggar".

Döljer inloggningssidan för webbplatsadministratörsområdet

En annan unik funktion i plugin-programmet iThemes Security, tack vare vilket du i hög grad kan skydda din webbplats från brute force-attacker.

Det fungerar enligt följande - istället för standardinloggnings-URL: n till adminpanelen (site.ru/wp-login.php) du kan till exempel ange vilken godtycklig sida som helst site.ru/voydi_v_menya... Således vet knappast någon på vilken adress inloggningssidan finns.

Den här funktionen är också utformad för att göra det lättare att komma ihåg backend-adressen (detta kallas ofta webbplatsadministratörspanelen) och slutligen vägra att använda META-widgeten på webbplatsen.

För att aktivera detta läge, markera rutan bredvid "Aktivera funktionen dölj backend" .


I fält "Login Slug" (kan översättas som "Ingång för lata") ange önskad adress för att komma in i adminpanelen. Det kan vara ett ord som är bekvämt och minnesvärt för dig (eller en uppsättning symboler). Naturligtvis kan du inte använda här "Logga in", "admin", "dashboard", eller "wp-login.php". Jag rekommenderar inte heller att använda några av dina smeknamn på Internet, födelsedatum etc. för inloggningssidan, eftersom allt detta är väldigt enkelt att beräkna.

Om du har problem med åtkomst till den efter att du har dolt adminpanelen, då möjlig anledning kan bli oförenligt med temat. För att åtgärda detta, använd alternativet "Aktivera temakompatibilitet" .

I fält " Tema Kompatibilitet Snigel" adressen som kommer att visas när du försöker öppna adminpanelen senast standardadress site.ru/wp-login.php (om den tidigare funktionen är aktiverad).

Är du trött? Var tålmodig, det finns inte mycket kvar \u003d)

Kryptering (SSL)

Secure Socket Layers (SSL) är en teknik som används för att kryptera data som överförs mellan en server och webbplatsbesökare. Om SSL är aktiverat gör det det omöjligt för en angripare att fånga upp data (nyligen har det varit mycket kontroverser om denna poäng, men tekniken är fortfarande så stabil som möjligt). Därför rekommenderas att använda kryptering på sidorna för att ange lösenord och annan data. Alla mer eller mindre stora webbplatser som använder inmatning och överföring av konfidentiell information använder kryptering (på sådana webbplatser börjar adressen med https: //)

Det här läget kräver dock att din server har SSL-stöd.

Aktivera under inga omständigheter SSL om du inte har ett certifikat och din värd inte stöder denna teknik för klientsidor. I annat fall blir webbplatsen, inloggningssidan för adminpanelen eller själva adminpanelen (beroende på valda inställningar) otillgänglig.

Allt detta är relevant för de webbplatser där registrering tillhandahålls, det finns en annan typ av "personliga", och naturligtvis för onlinebutiker etc. För vanliga webbplatser och bloggar köps vanligtvis inget SSL-certifikat. Det behövs helt enkelt inte, för alla artiklar, kommentarer och allt annat, så de är inne fri tillgång... De enda platser där kryptering kan vara användbara för våra bloggar är inloggningssidan och admin själv (med detta kommer vi att kunna skydda oss, till exempel från att fånga lösenordet när vi anger det).

I allmänhet används allt detta inte av bloggare i 99% av fallen, så vi kommer inte att överväga detta avsnitt i detalj.

Starka lösenord

I det här avsnittet kan du aktivera tillämpning av starka lösenord enligt bedömningen av den inbyggda WordPress-lösenordsmätaren.

Den här inställningen är praktiskt taget irrelevant för enanvändarwebbplatser, där endast ägaren (administratören) har tillgång till adminpanelen och där användarregistrering inte tillhandahålls. Dessutom vet du, mina kära läsare, förmodligen var du ska lagra det (ja, naturligtvis i lösenordshanterare, liknande, etc.)

I andra fall rekommenderas att du anger den minsta roll som den kommer att krävas för starkt lösenord... Vanligtvis detta Författare, redaktörer och administratörer... För Deltagare och Följare att kräva ett komplext lösenord är inte meningsfullt.

Men igen beror allt på webbplatsen. Om du till exempel har en webbutik, bör du kräva starka lösenord från alla användare som registrerar sig i den.

Vi måste bara hantera de två sista mycket intressanta avsnitten ...

Finjustering (justeringar) av systemet

Det ytterligare inställningarsom kan användas för att ytterligare stärka säkerheten på din WordPress-webbplats.

Dessa inställningar är listade som avancerade, eftersom de blockerar vanliga former av attacker, men de kan också blockera funktioner legitima plugins och teman som har liknande metoder. När du aktiverar inställningarna nedan rekommenderas det att aktivera dem en efter en för att kontrollera att webbplatsen inte är trasig.

Skydda systemfiler - skydd av systemfiler. Förhindra allmänhetens tillgång till readme. html, readme. text, wp- config. php, installera. php, wp- inkluderar och.htaccess. Dessa filer kan innehålla viktig information om webbplatsen, och allmänhetens tillgång till dem behövs inte efter en lyckad WordPress-installation.

Inaktivera katalogsökning - inaktivera katalogsökning. Hindrar användare från att se en lista med filer i kataloger, även om de inte finns indexfil (index.php).

Filtrera förfrågningsmetoder - filtrering av förfrågningsmetoder TRACE, DELETE, TRACK. Jag är inte bra på PHP eller webbserver teknik, men jag antar att vi talar om förfrågningar som kan utföra vissa oönskade funktion (t.ex. förmågan att genomföra en XSS attack). Om någon berättar mer detaljerat om detta eller korrigerar mig, skulle jag vara mycket tacksam (och inte bara mig).

Filtrera Misstänksam Fråga Strängar i de Url - filtrering av misstänkta strängar i webbadressen. Detta är ett mycket vanligt tecken på att någon försöker komma åt din webbplats. Men man bör komma ihåg att vissa plugins och teman också kan blockeras när detta alternativ är aktiverat. (var noga med att kontrollera webbplatsens funktionalitet efter att du har aktiverat den!)... Det kommer att vara mycket bra om inga problem uppstår, eftersom denna skyddsmetod är mycket viktig! Om problem uppstår, då det bästa alternativet kommer att bli av (om möjligt) det inkompatibla pluginet än att inte aktivera denna funktion.

Filtrera icke-engelska tecken - filtrering av icke-engelska tecken från frågesträngen. Detta filter fungerar bara om det föregående är aktiverat. Men om din webbplats använder rysk adressering (titlar på artiklar, rubriker, etc.), bör du inte aktivera den här funktionen. Annars kan webbplatsen bli otillgänglig!

I allmänhet, om du har att göra med webbplatser, med webben, med servrar, Linux, etc., är det dags att vänja sig vid att användningen av icke-latinska tecken för vissa officiella ändamål är mycket oönskad.

Filtrera långa URL-strängar - filtrering av långa strängar i webbadressen. Begränsar antalet tecken som kan skickas till URL: en (högst 255). Hackare använder ofta långa webbadresser för att injicera information från tredje part i databasen (SQL-injektion).

Ta bort behörigheter för filskrivning - borttagning av behörigheter att skriva till filer. Denna funktion förhindrar att olika skript och användare skriver till filerna wp-config.php och .htaccess. Observera att i detta fall, liksom i fallet med andra plugins, detta skydd kan övervinnas. Men under alla omständigheter stärker detta förbud säkerheten för de angivna filerna.

Om funktionen är aktiverad ställs 444 rättigheter in på dessa filer. Om de är inaktiverade returneras de med 644 rättigheter.

Inaktivera PHP i uppladdningar - Förbud mot PHP-körning i uppladdningsmappen. En ny funktion för att förhindra att skadliga skript laddas in i den angivna mappen.

Så vi aktiverade allt (om möjligt) dessa funktioner och gå till det sista blocket.

WordPress tweaks

Dessa är ytterligare inställningar som kan användas för att ytterligare stärka säkerheten på din WordPress-webbplats. Som med systemjusteringar kan vissa av dessa justeringar orsaka inkompatibilitet och webbplatskrascher. Det rekommenderas att aktivera dem en i taget.

Ta bort WordPress Generator Meta Märka - borttagning av metataggen från Generator. Tar bort metataggen från webbplatsens titel vilket anger WP-versionen som används på webbplatsen. Denna funktion har tagits bort från version 4.9.0.

I någon av WordPress-säkerhetsguiderna är det första steget att ta bort denna metatagg, eftersom att känna till versionen av motorn är det lättare för en angripare att identifiera dess sårbarheter och attackvektorer. En gång gjorde vi det manuellt, men nu gör iThemes Security allt för oss.

Ta bort Windows Live Writer-rubriken - Ta bort Windows Live Writer-titeln. Om du inte använder WLW eller andra plattformar för att skriva och lägga upp bloggartiklar kanske den här funktionen inte aktiveras.

Ta bort RSD-rubriken (Really Simple Discovery) - borttagning av RSD-rubriken. Om du inte har integrerat din blogg med externa XML-RPC-tjänster (t.ex. Flickr), är RSD-funktionen ganska mycket värdelös för dig.

Enkelt uttryckt skär båda de föregående alternativen ut rader så här från sidhuvudet:

XML-RPC är en standard (protokoll) som används inkl. och WordPress för fjärrpublicering av artiklar och annan data från tredjepartsprogram, plattformar och tjänster. Om du inte använder sådana funktioner (förresten, dessa inkluderar olika WP-klienter för Android och iOS), rekommenderas det starkt att inaktivera detta protokoll. På grund av det periodiska utseendet på nya sårbarheter i den.

Senaste fallet: i mitten av mars i år registrerades ytterligare en kraftfull DDoS-attack med XML-RPC-sårbarheten. Men det var inte XML-RPC WordPress-webbplatserna själva som gjorde det, de användes bara som reläer för att förstärka attacker (dvs. de agerade som deltagare i botnet).

Jag kan ha fel, men om mitt minne tjänar mig rätt har mer än 60 000 WP-webbplatser upptäckts som fungerade som bots för DDoS-attacker på grund av denna sårbarhet. Och deras ägare visste inte ens om det. Ja, många misstänker troligtvis inte ens det. Jag såg till och med en länk till en speciell tjänst där du kan kontrollera din webbplats om den är inblandad i sådana DDoS-attacker.

Det är därför det rekommenderas att inaktivera XML-RPC (såvida du inte använder det självklart). Tidigare hade WordPress-administratören en speciell funktion för att inaktivera den. Nu är hon borta. Därför måste du tippa lite manuellt (det finns mycket information på Internet om hur man gör det) eller använd iThemes säkerhetsfunktion, som vi snart kommer till.

Minska skräppost - minskning av skräppost i kommentarer. Det här alternativet kommer att minska mängden skräppost genom att blockera kommentarer från bots som inte har en referrer eller användaragent. Det är osannolikt att detta kan påverka normala kommentarer, så vi slår på det utan tvekan. Låt oss göra arbetet enklare.

Visa slumpmässig version - visa en slumpmässig version av WordPress där det är omöjligt att ta bort det helt. Relevant för fleranvändarsidor.

Inaktivera filredigeraren - inaktivera filredigeraren i WP-adminområdet. Använder du inte en intern redaktör? Koppla gärna från.

Inaktivera XML- RPC - inaktivera XML-RPC. Samma sak som vi nyligen pratade om. Om du inte använder fjärrpubliceringsverktyg, se till att inaktivera XML-RPC.

Anskaffa en säker version av jQuery - installera den säkra versionen av jQuery. Denna funktion tar bort den för närvarande använda versionen av jQuery-biblioteket och ersätter den med den säkra versionen (som levereras med WordPress som standard). Om versionen av detta bibliotek uppfyller kraven i iThemes Security behöver ingenting göras:

Inaktivera inloggningsfelmeddelanden - inaktivera felmeddelanden som visas när ett misslyckat inloggningsförsök görs.


Tvinga Unik Smeknamn - tvingad användning av ett unikt smeknamn som skiljer sig från inloggningen.

Inaktivera extra användararkiv - inaktivera arkiv för användare vars antal poster är 0.

Det är allt för grundinställningarna. Nu kan du gå tillbaka till fliken Dashboard och titta på de aktuella aviseringarna. I mitt fall ser de nu ut så här:


Det återstår att gå igenom de återstående flikarna.

Avancerade (avancerade) inställningar

Inställningarna nedan är avancerade. Se till att du har en funktionell webbplatsbackup innan du ändrar någon inställning på den här sidan. Dessutom kommer dessa inställningar inte att reverseras även om du avinstallerar plugin-programmet iThemes Security (!).

Men alla inställningar som används här rekommenderas av WordPress.org-communityn själv och hjälper till att förbättra säkerheten på din webbplats.

Administration Användare - ta bort administratörsanvändaren, om någon. Jag använder aldrig standardinloggningen "admin" ens på testwebbplatser. Därför har jag inga alternativ här. Det finns bara en inskription " Det utseende tycka om du ha redan tog bort de administration användare. Nej. ytterligare handling är nödvändig (Det verkar som att du redan har tagit bort användarenadministration... Inga ytterligare åtgärder krävs) ". Hoppas du gör detsamma.

Ändra innehållskatalog - ändra innehållskatalogen. Experimentera inte med denna funktion under några omständigheter! Vi rekommenderar att du endast använder den på nyskapade webbplatser. Annars förlorar du helt enkelt allt blogginhåll (naturligtvis inte fysiskt). Och som redan nämnts hjälper till och med att ta bort pluginet inte. Det är tillräckligt enkelt för att få saker tillbaka till det normala (du måste justera wp-config.php-filen lite).

I allmänhet kan du ändra wp-innehållskatalogen på en redan fungerande webbplats, men detta kräver att du gör ändringar i databasen, vissa plugins, motorfiler etc. Kort sagt, uppgiften är inte för oss - vanliga bloggare. Men om du planerar att skapa en ny webbplats är det första att göra att installera iThemes Security och försöka använda denna möjlighet. Det kommer definitivt att vara till nytta i framtiden.

Förändra Databas Prefix - ändra databasprefixet. Som standard använder WordPress prefixet wp_, vilket kan göra det lättare för en angripare. Det rekommenderas att ändra standardtabellprefixet.

Innan proceduren för att ändra prefixet, se till att du tar en säkerhetskopia av databasen!


Tja, nu är allt säkert \u003d)

Det återstår bara att säga det på fliken Säkerhetskopior du kan skapa en säkerhetskopia när som helst nuvarande tillstånd DB (knapp " Skapa Databas Säkerhetskopiering" ), och bekanta dig också kort med tjänsten BackupBuddy.

Om något förblir oklart, eller om du har kommentarer och tillägg, är du välkommen i kommentarerna.

Fram till nästa gång vänner. Ta hand om dig själv och dina webbplatser!

Med vänliga hälsningar, Alexander Mayer

varje dag stor mängd webbplatser är föremål för framgångsrika hackareattacker. är inget undantag och kan vara ett enkelt mål för attacker på grund av sårbarhet för teman och plugins, svaga lösenord och föråldrade programvara... Därför beslutade vi i dagens artikel att uppmärksamma ett sådant ämne som WordPress-säkerhet.

Skottsäker kostnad Security Pro: $ 59,95 (engångsbetalning).
Officiell webbplats - http://affiliates.ait-pro.com/

Allt i en säkerhet och brandvägg

Ett välkänt plugin för WordPress-hackningsskydd. Det innehåller ytterligare webbplatsväggar, ger olika skyddsmetoder och rapporter om dem.

Pluginens brandväggsinställningar är uppdelade i tre nivåer "grundläggande", "mellanliggande" och "avancerad", vilket gör att du kan tillämpa brandväggsregler gradvis utan att störa webbplatsen.

Det här pluginet (liksom de andra i den här samlingen) har ett stort antal funktioner - det drar dig in i en separat artikel. Här är de viktigaste:

1. Kontoskydd:

  • definierar "admin" -kontot och erbjuder att ändra det till ett annat efter eget gottfinnande;
  • identifierar och rapporterar konton där inloggningen och användarnamnet är desamma - sådana konton är lättare att hacka;
  • genererar starka lösenord.

2. Skydd för inloggning och registrering på webbplatsen:

  • låsningsalternativ för inloggning - blockerar användare för ett visst antal felaktiga inloggningsförsök;
  • gör en tvångsavloggning för alla användare efter en viss tid;
  • övervakar aktiviteten i alla användares konton genom att logga information;
  • rapporterar om full lista användare som för närvarande är inloggade;
  • lägger till captcha i inloggningsformuläret och registreringsformuläret;
  • låter dig bekräfta manuellt varje ny registrering på webbplatsen manuellt.

3. Databasskydd:

  • ändrar WP-prefixet i databasen till alla andra;
  • konfigurerar automatiska säkerhetskopior.

4. Filsystemskydd:

  • upptäcker mappar och filer med osäkra åtkomsträttigheter och ändrar dem till säkra värden;
  • förbjuder redigering av filer med PHP-kod från admin-kontrollpanelen;
  • nekar åtkomst till readme.html-, licens.txt- och wp-config-sample.php-filer.

5. Med brandväggsfunktionen kan du använda skydd med en .htaccess-fil. Den här filen bearbetas av din webbserver innan någon webbplatskod behandlas, så brandväggsreglerna stoppar skadliga skript innan de har en chans att nå WP-kod.

6. Förebyggande av brute force attacker.

7. Säkerhetssökning:

  • spåra filändringar och meddelanden om det;
  • skanna databastabeller för misstänkta strängar, javascript och html-kod i WordPress-bastabeller.

8. Skydd mot skräppostkommentarer:

  • spåra de mest aktiva IP-adresserna som ständigt gör spam-kommentarer och blockerar dem;
  • lägga till captcha i WordPress-kommentarformuläret.

9. Kopieringsskydd för innehåll.

Kostnad: gratis.

Wordfence

Detta säkerhetsplugin från WordPress kör en automatisk genomsökning direkt efter installationen för att kontrollera om din webbplats redan är infekterad. Stöder WordPress multisite. Huvud funktioner:

1. Brandvägg:

  • skyddar mot hackning genom att känna igen skadlig trafik och blockera misstänkta intrångsförsök;
  • blockerar vanliga vanliga säkerhetshot som Google-bots, skadlig hackare och botnät.

2. Blockering:

  • blockerar hela skadliga nätverk. Inkluderar IP- och domänverifiering med WHOIS-tjänsten och blockerar skadliga IP-adresser med en brandvägg;
  • blockerar hot som aggressiva sökrobotar, skrapor och bots;
  • blockerar och kontrollerar användare som bryter mot säkerhetsreglerna på din webbplats.

3. Säkerhet vid ingången till platsen:

  • {!LANG-9f0b1bd5bb5fc784ac30d45a345e80f3!}
  • {!LANG-e8741f7645d5ec7cde9aeae68a5253fb!}
  • {!LANG-32b4e07244d412e2243369979fd8a060!}

{!LANG-d3921bd7a8af19909db6782706af8f6f!}

  • {!LANG-ba80c7a9ba3a5d08322a9dbca1b520de!}
  • {!LANG-8bdc917543db7408fb467989f0630628!}
  • {!LANG-36ea6dac71fd603ee1084526dcb0be66!}
  • {!LANG-1aca9cc16238a2e75735bc12765c81e5!}
  • {!LANG-2b33601e216101e02be43ad501ab38b6!}
  • {!LANG-7d89394e4734d6feeeee9dc86d1883ec!}

{!LANG-0744770090319ee51a413a992bdbfff4!}

  • {!LANG-657cff4adc862bc7efef6db54918477a!}
  • {!LANG-79a0853e4f50ab753a8ff3384bd7a103!}
  • {!LANG-55e1b36fab0cd07c8e0609366545d9e5!}

{!LANG-5b8a7d5b8e205e1dd1954af018ee5722!}{!LANG-2a265bb5652b23ce03b18d8a93bf6f5b!}

{!LANG-357172b17ee585a2bf815576907cec03!}

{!LANG-0d25d5c3e1e986206102f44b0ce806e4!}

{!LANG-d51372029a9d5d44aba659545c6eba3d!}

{!LANG-54b3ea99315f0c45a879b776d8182de2!}

{!LANG-117c170f4dad232ed976895b5099b46e!}
{!LANG-ae14515da7e2dd4111a81d6bd6ceef75!}

{!LANG-a53234135a875513aff34b6db758a2b1!}

{!LANG-e924c3cd2f9a7b5c0e9991468ad0464c!}
{!LANG-f8bb9b385a6cf160bf9202ef39afb48b!} {!LANG-dd92c1499e8682d14611b9f6143facd7!}{!LANG-9723ff7c604440431642cf1c65e33cad!}

{!LANG-fc90f99b95a857c629e32a27f07bdbe6!}
{!LANG-a87730a8af95df3b38aeb327c31e5044!}

{!LANG-fa2d0bc6887d260021893589a9e48b79!}
{!LANG-d89ca52dbafdcf874c7998823da67ff1!}

  • {!LANG-ccba56e6ede6b5435de0e9c16dd6d0f7!}
  • {!LANG-8deca2604d6a78202b47cd71a190ed0c!}
  • {!LANG-a41748542504664fe3b59c0d338a6b75!}
  • {!LANG-8c57f66c519e8d6b0a9201ba4af4e80c!}
  • {!LANG-94ba3b0554d11a6c108315b36f32bd7c!}
  • {!LANG-0c0a230358d00f0fcf81c28d23bf6e8c!}
  • {!LANG-8d817d6abc13242aa18a41c5104fc473!}
  • {!LANG-02bbfb6b91a6384791fd56d865516db8!}

{!LANG-2966f6bc0237483df9e80bd38a2b3d17!}

{!LANG-5ee3bea25fbeb54be3774532c190436a!}
{!LANG-9b497e209f6662a639c0a7020069aef6!}

{!LANG-da9891efde70b9cb438c5c84f598b548!}
{!LANG-26c4d857fa2e8d6d189518e48b763bbe!}
{!LANG-c5f7d1ca24d2563f3be9ad7b856405bf!}
{!LANG-d293b941a9230616bc5c6cb89ad9935d!}
{!LANG-9ced8a296932c200dd3e80f40f50992c!}

{!LANG-922773bde47cd63ea355b9d804223274!} {!LANG-6213dd287f57b419fef1a15518406c8d!}{!LANG-33d3ebcf915f19ab40198a52c358fdb8!}
{!LANG-ae57faed59ce7746416cb3ef38235c54!}

  • {!LANG-048408dff5826069aec38ef62bd4048b!}
  • {!LANG-c65445eee0cdede4b54f460c1097445c!}
  • {!LANG-dc21f14fe50176f4b962c71ce0dd9636!}

{!LANG-5b8a7d5b8e205e1dd1954af018ee5722!}{!LANG-e1bd5a8aa62e8fb6344ac6bcffc48053!}

{!LANG-08cc5156ec0dc556651fbabb8ce3c4f5!}