Содержание

All In One WP Security

All In One WP SecurityAll In One WP Security

Привет, ребята! Когда твой сайт становится немного раскрученным, появляются постоянные читатели, получаешь огромное удовольствие. Вроде бы все круто. Растет и поток денег, и отклик получаешь от аудитории, увеличивается узнаваемость. Но существует и обратная сторона медали. Это завистники, это внимание со стороны недоброжелателей.

Чтобы вы представляли, о чем идет речь: мой блог только за прошлую неделю взламывали 2 раза. Постоянные посетители, думали, заметили. Ребята, я настоятельно рекомендую ознакомиться с данным уроком, потратить время на внедрение советов, о которых говорю, чтобы больше обезопасить свой сайт и сэкономить время, деньги и нервы.

Существует довольно много плагинов, связанных с улучшением безопасности, я пробовал многие, но все что-то не то. Либо блог “падал” непонятно из-за чего, либо сложно было понять, как работать. И все же, благодаря советам ребят, с которыми общаюсь на марафоне, удалось найти достойный, похвальный плагин, который очень сильно понравился. Абсолютно всем. Поэтому сразу же спешу поделиться с вами этой информацией.

All In One WP Security – это самый необходимый плагин для увеличения безопасности в WordPress. Ставить его нужно всем, кто владеет сайтом на Вордпресс. Всем без исключения.

Если мой любимый плагин Yoast SEO – это комбайн в сфере SEO для WordPress, то плагин WP Security – аналог в сфере безопасности. То есть, если благодаря Yoast SEO я перестал нуждаться в нескольких SEO плагинах, то здесь точно также, благодаря All In One WP Security можно избавиться от других плагинов, которые лишь частично выполняют функции данного. Например, как:

  • Login Lockdown;
  • WordPress Database Backup;
  • Anti-XSS attack;
  • и другие подобные.

Огромные плюсы плагина All In One WP Security:

  • бесплатный;
  • настраивается очень просто;
  • практически все переведено на русский язык, поэтому понятно о чем идет речь.

Настройка плагина All In One WP Security

Обязательно сделайте бэкап (резервную копию) перед началом работы (на всякий случай) следующих файлов:

  • база данных;
  • файл wp-config;
  • файл htaccess.

Кстати, резервные копии этих трех файлов можно сделать прямо в данном же плагине, просто в админке перейдите в WP Security – Настройки:

WP Security резерв

WP Security резерв

Панель управления

Тут есть очень крутой информер, который показывает уровень защищенности вашего сайта:

Панель управления All In One WP Security

Панель управления All In One WP Security

Этот показатель поможет держать руку на пульсе и понимать, что еще нужно сделать для улучшения безопасности. Не рекомендую делать все, ради достижения максимальных баллов. Могут быть плохие последствия, ваш сайт может упасть, ошибочно функционировать.

Текущий статус самых важных функций. В этом блоке можно активировать самый необходимый функционал по безопасности вашего сайта (можете пока не трогать их, в ходе настроек по уроку, данные параметры активизируются итак):

Статус All In One WP Security

Статус All In One WP Security

Остальные параметры в Панели управления малоинтересны, Вы можете ради любопытства ознакомиться с ними (Информация о системе, Заблокированные IP адреса, AIOWPS.

Настройки

Общие настройки. Тут можно создать резервные копии файлов, о которых я говорил выше. Также отключить функции безопасности и файерволла, если что-то перестало работать.

WP мета-информация. Нажимаем на галочку напротив “Удаление метаданных WP Generator”, чтобы не отображать версию WordPress:

Удаление WP Generator

Удаление WP Generator

Вкладка “Импорт/Экспорт”. Здесь можно экспортировать свои настройки, чтобы потом на другом сайте не тратить время на настройки и импортировать в 2 клика все необходимые “галочки”.

Администраторы

Пользовательское имя WP. Обязательно (!) смените имя администратора, если оно у вас “admin”. Вы не представляете как много и часто подбираются пароли с логином admin. Если еще к тому же пароль очень легкий, ваш сайт легко может быть взломан.

Логин admin WP Security

Логин admin WP Security

Отображаемое имя. Если на вашем сайте есть аккаунты, у которых имя пользователя и отображаемое имя совпадает, то рекомендуется изменить отображаемое имя (никнейм).

Пароль. Очень интересная вкладка. Тут можно узнать, за какой промежуток времени можно подобрать в автоматическом режиме ваш пароль. Введите свой пароль и сильно удивитесь, насколько быстро его можно взломать. Обязательные условия для усиления безопасности:

  • в вашем пароле должны быть как заглавные, так и строчные буквы;
  • обязательно наличие хотя бы 1-ой цифры, но никак пароль не должен состоять только из цифр;
  • желательно еще наличие какого-либо спецсимвола;
  • длина пароля должна быть более 10 символов.

В итоге у вас должен быть максимальный степень безопасности вашего пароля, что-то в этом роде (пароль ниже домашний компьютер взломал бы за 57 337 лет (!) ):

Надежность пароля

Надежность пароля

Авторизация

Блокировка авторизаций. Обязательно включите эту функцию. Если пароль в течении 5-ти минут (по умолчанию)  введется 3 раза неправильно, то IP блокируется на 60 минут (тоже по умолчанию). Я не рекомендую ставить блокировку больше по времени, а то можно столкнуться  с тем, что сами администраторы вводят логин 3 раза неправильно, ставят блокировку на 10 лет и не знают что делать. Оставляем по умолчанию 60 минут и не паримся.

Также я рекомендую поставить галочку напротив “Сразу заблокировать неверные пользовательские имена”. К примеру, вы поменяли логин с admin на krutysh, то при вводе логина admin в поле для авторизации, сразу же заблокируется IP адрес. “Уведомлять по email” – тут по мере необходимости. Я не люблю лишний спам, поэтому здесь галочку не ставлю.

Итоговые настройки данной вкладки у меня выглядят так:

Блокировка авторизаций

Блокировка авторизаций

Если вам любопытно, можете глянуть список заблокированных IP, ссылка на раздел приводится в данной же вкладке ниже.

Ошибочные попытки авторизации. Вот здесь как раз видны те логины, которые подбираются. Чаще всего у меня сверкают логины admin, root, font. Также видны время “попыток”. Обратите внимание, как часто пытаются войти в админку:

Ошибочный вход

Ошибочный вход

Автоматическое разлогинивание пользователей. Рекомендую тоже включить данный чекбокс. Позволяет через определенное количество минут завершить сессию и разлогинить пользователя. Я ставлю 600 минут:

Разлогинирование пользователей

Разлогинирование пользователей

Вкладки “Журнал активности аккаунта” и “Активных сессий” носят информационный характер.

Регистрация пользователей

Ставим галочку напротив “Активировать ручное одобрение новых регистраций”:

Ручное одобрение

Ручное одобрение

Да и можно поставить галочку CAPTCHA при регистрации:

Captcha при регистрации

Captcha при регистрации

Конечно, если нельзя зарегистрироваться другим людям на вашем сайте, верхние 2 пункта просто бесполезны, от них не станет ни лучше, ни хуже. Но, если вы сомневаетесь, лучше поставьте галочки в этих пунктах.

Защита базы данных

Здесь будьте аккуратны во вкладке “Префикс таблиц БД”. Прежде чем поставить галочку, обязательно сделайте резервную копию своей базы данных (там же увидите ссылку на создание бэкапа своей БД). Если боитесь, сомневаетесь, лучше оставьте без галочки:

Префикс БД WP Security

Префикс БД WP Security

Резервное копирование БД. Здесь уже ставим галочку, выбираем частоту создания бэкапов и их количество. У меня. к примеру, такие цифры:

Бэкап БД

Бэкап БД

Если вы не так категорически относитесь к чистоте в почте как я, то можете включить чекбокс для отправки бэкапов на свой электронный ящик.

Защита файловой системы

Доступ к файлам. Здесь в правой части у вас будут кнопки, вам нужно будет изменить права доступа к файлам, нажав на эти кнопки. В результате все строчки у вас должны стать зелеными:

Разрешения файлов

Разрешения файлов

Редактирование файлов PHP. Если вы не правите свои PHP файлы через админку, ставим галочку. Править файлы через админку я не рекомендую хотя бы потому, что у вас нет возможности нажать CTRL+Z в случае чего и вы не сможете вернуть файл в исходное положение:

Правка PHP

Правка PHP

Доступ к файлам WP.  Ставим галочку:

Доступ к файлам WP

Доступ к файлам WP

Системные журналы. Оставляем по умолчанию.

WHOIS-поиск

Можете вбить IP адрес, либо домен для получения WHOIS какого-либо домена. А так по сути тут нечего трогать.

Черный список

Если у вас нет недоброжелателей, можете не включать данный пункт. Если какой-то IP адрес постоянно сверкает в комментариях, к примеру, можете включить чекбокс и внести данный IP в черный список.

Файрволл

Базовые правила файрволла. Если вы не делали до этого момента резервную копию htaccess, то обязательно делаем его. И ставим галочки напротив всех пунктов:

Файрволл WP Security

Файрволл WP Security

Дополнительные правила файерволла. Тут тоже включаем все галочки:

Правила Файрволл

Правила Файрволл

UPDATE: ниже во вкладке “Дополнительная фильтрация символов” я убрал галочку, потому что некоторые комментарии не проходили, отдавали 403 ошибку. Наверное, все-таки, вам тоже я посоветовал бы убрать эту галочку, чтобы не было у пользователей проблем с комментированием.

Дополнительные настройки Файрволл

Дополнительные настройки Файрволл

Настройки 5G файрволл. Тоже включаем:

5g файрволл

5g файрволл

Интернет-боты. Здесь могут возникнуть проблемы с индексацией, поэтому я рекомендую не включать данный пункт.

Блокировка ботов

Блокировка ботов

Предотвратить хотлинки. Тоже включаем.

Предотвращение хотлинков

Предотвращение хотлинков

Детектирование 404. Рекомендую включить. А время ставить минут 5.

Детектирование 404

Детектирование 404

Custom Rules. Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.

Защита от брутфорс-атак

Переименовать страницу логина. Включаем. Меняем адрес логина на свой:

Страницы логина

Страницы логина

Защита от брутфорс-атак с помощью куки. Я не включаю данную функцию, чтобы не было проблем со входом с разных устройств.

С помощью куки (авторизация)

С помощью куки (авторизация)

CAPTCHA на логин. Можете включить CAPTCHA при авторизации, я же не включаю:

Captcha на страницу логина

Captcha на страницу логина

Белый список для логина. Так как я часто захожу на сайт с разных мест, IP у меня разный, поэтому данную опцию я не включаю:

Белый список IP

Белый список IP

Лучшая защита WordPress — плагин All In One WP Security (настройка)

Меня взломали. Знаете как страницу во ВКонтакте. Но они не клянчили денег, а насоздавали множество “левых” страниц с ссылками на разные сайты. Тогда я задумался над защитой своего блога. И я нашел идеальное решение.

Первое что я сделал это обратился в техподдержку своего хостинга с просьбой восстановить мой сайт за день до взлома и уже через десять минут у меня был мой нормальный блог.

Потом я установил множество плагинов для защиты ВордПресса от взлома. Но блог стал жутко тормозить. Страницы грузились по пять десять секунд. Это очень долго.

Я начал искать плагины которые не так сильно нагружают систему. Читал отзывы по этим плагинами и все чаще стал натыкаться на All In One WP Security. По описанию он мне очень понравился и я решил поставить его себе на блог. И он защищает меня до сих пор, так как ничего лучше я не встречал.

Что умеет All In One WP Security (защита wordpress всё в одном):

  • Делает резервные копии базы данных, файла конфигурации wp-config. и файла .htaccess
  • Смена адреса страницы авторизации
  • Скрывает информацию о версии WordPress
  • Защита админки – блокировка при неправильной авторизации
  • Защита от роботов
  • И ещё много чего полезного

Я смело могу сказать, что плагин безопасности All In One WP Security – это лучшая защита wordpress сайта.

Настройка All In One WP Security

Зайдя в отдел Настройки, первым делом нужно сделать резервные копии:

  • база данных;
  • файл wp-config;
  • файл htaccess

Делается это на первой странице настройки плагина All In One WP Security.

сделайте бэкап (резервную копию) перед началом работы

Пройдусь только по самым важным пунктам.

пункты настройки плагина all in one wp security

Панель управления

Тут нас встречает счетчик “Измеритель безопасности”. Он показывает уровень защиты сайта. Ваш сайт должен быть как минимум в зеленой зоне. Не надо гнаться за максимальной планкой – лишние настройки могут нарушить функционал сайта. Добейтесь золотой середины.

Счетчик защиты сайта на wordpress

Когда вы будете изменять настройки защиты плагина, то увидете в каждом пункте зелёный щит с цифрами – это и есть те цифры которые прибавляются к общему счету безопасности.

цифра прибавляется к общему счету безопасности

Настройки

Вкладка WP Version Info

Чекаем галочку Удаление метаданных WP Generator.

Удаление метаданных WP Generator

Делается это для того, чтобы в коде не отображалась установленная у вас версия движка WordPress. Злоумышленники знают в какой версии есть уязвимости, и зная установленную у вас версию ВордПресса смогут быстрее взломать ваш сайт.

Администраторы

Пользовательское имя WP

Если у вас логин для входа в админку admin, то обязательно меняем его. Admin это самый популярный логин. Многие ЦМСки предлагают его по умолчанию, а людям просто лень его менять.
Злоумышленники используют различные программы для взлома сайтов. Эти программы подбирают логины и пароли пока не найдут подходящую комбинацию.
Поэтому не используйте логин admin.

Отображаемое имя

Если ваш ник совпадает с логином, то обязательно меняем логин или ник.

Пароль

Если ввести тут свой пароль, то плагин покажет за какое время можно взломать ваш сайт.
Рекомендации по усилению надёжности пароля:

  • Пароль должен состоять из букв и цифр
  • Используйте строчные и прописанные буквы
  • Не используйте короткие пароли (минимум 6 символов)
  • Желательно наличие в пароле спецсимволов (% # _  * @ $ и подробных)

Сложность пароля

Авторизация

вкладка Блокировка авторизаций

Обязательно включаем. Если в течении 5 минут кто-то неправильно введёт пароль 3 раза, то IP заблокируется на 60 минут. Можно поставить и больше, но лучше этого не делать. Может случится так, что вы сами неправильно введёте пароль и будете потом ждать месяцы или даже годы 🙂
Отмечаем галочку “Сразу заблокировать неверные пользовательские имена”.
Допустим ваш логин hozyainsayta, и если кто-то введёт другой логин (например login), то его IP адрес автоматически заблокируется.

опции блокировки авторизации

Автоматическое разлогинивание пользователей

Ставим галочку. Если вы зайдёте в админку сайта с другого компьютера и забудете выйти из админки, то через указанный промежуток времени система сама вас разлогинит.
Я ставлю 1440 минут (это 24 часа).

Опции автоматического разлогинивания пользователей

Регистрация пользователей

Подтверждение вручную

Чекаем “Активировать ручное одобрение новых регистраций”

Ручное одобрение новых регистраций

CAPTCHA при регистрации

Тоже ставим галочку. Это отсекает попытки зарегистрироваться боту-роботу, так как роботы не справляются с капчей.

Registration Honeypot (бочка мёда)

Отмечаем. И не оставляем роботам не единого шанса. Эта настройка создает дополнительное невидимое поле (типа Введите сюда текст). Это поле видят только роботы. Так как они автоматически заполняют все поля, то и в это поле что-то напишут. Система автоматически блокирует те попытки регистрации у которых будет заполнено это поле.

Защита базы данных

Префикс таблиц БД

Если ваш сайт существует уже достаточно давно и на нем много информации, то изменять префикс базы данных следует с максимальной осторожностью

обязательно сделайте резервную копию БД

Если вы только что создали свой сайт, то можете смело менять префикс.

Префикс таблиц Базы данных

Резервное копирование базы данных

Включаем автоматическое создание бэкапов.
Выбираем частоту создание резервных копий.
И количество файлов с этими резервными копиями, которые будут храниться. Потом они начнут перезаписывается.
Если вы хотите, чтобы эти файлы дополнительно посылались на вашу электронную почту, то отмечаем соответствующую галочку. У меня для этих целей в почтовом ящике заведена отдельная папка, туда пересылаются все бекапы (моих и клиентских сайтов).

Настройки резервного копирования Базы данных

Защита файловой системы

Доступ к файлам

Тут меняем права доступа к файлам, чтобы все было зелёным.

Доступ к файлам

Редактирование файлов php

Ставим в том случае, если вы не редактируете файлы через админку. Вообще вносить какие либо изменения в файлы нужно через программы ftp-менеджеры (типо файлзилла). Так в случае какого либо “косяка” всегда можно отменить предыдущее действие.

Доступ к файлам wp

Запрещаем доступ. Этим действием мы сможем скрыть важную для хакеров информацию.

Черный список

Если у вас уже есть IP адреса которым вы хотите запретить доступ к сайту, то включайте эту опцию.

Блокировка пользователей по IP

Файрволл

Базовые правила файрволла.

Файрволл и брандмауэр это программный комплекс представляющий собой фильтр несанкционированного трафика.

Эти правила вносятся в файл .htaccess, поэтому сначала делаем его резервную копию.

Теперь можно проставить нужные галочки:

Активировать основные функции брандмауэраЗащита от уязвимости XMLRPC и Pingback WordPressБлокировать доступ к debug.log

Дополнительные правила файрволла

На этой вкладке отмечаем следующие галочки:

  • Отключить возможность просмотра директорий
  • Отключить HTTP-трассировку
  • Запретить комментарии через прокси
  • Запретить вредоносные строки в запросах (Может нарушить функциональность других плагинов)
  • Активировать дополнительную фильтрацию символов (Тоже действуем с осторожностью, надо смотреть как влияет на работоспособность сайта)
      У каждого пункта есть кнопка “+ Подробнее” там вы можете почитать подробно про каждую опцию.

6G Blacklist Firewall Rules

Отмечаем оба пункта. Это проверенный список правил который дает плагин для безопасности wordpress сайта.

Настройки файрволла (брандмауэра)

Интернет-боты

Могут появиться проблемы с индексацией сайта. Я данную опцию не включаю.

Предотвратить хотлинки

Ставим галочку. Что-бы изображения с вашего сайта не показывались на других сайтах по прямой ссылке. Эта функция снижает нагрузку с сервера.

Детектирование 404

Ошибка 404 (такой страницы нет) появляется при ошибочном вводе адреса страницы. Хакеры перебором пытаются найти страницы с уязвимостями и поэтому вводят много несуществующих урлов в короткий промежуток времени.
Такие попытки взлома будут заноситься в таблицу на этой странице и чекнув галочку – вы сможете блокировать их IP адреса на указанное время.

Настройки отслеживания ошибок 404

Защита от брутфорс-атак

Переименовать страницу логина

По умолчанию у всех сайтов на Вордпрессе одинаковый адрес страницы авторизации. И поэтому злоумышленники точно знают где начать взламывать сайт.
Эта опция позволяет изменить адрес этой страницы. Это очень хорошая защита wordpress сайта. Обязательно меняем адрес. Я эту галочку не отметил, потому-что мой хостинг автоматически изменил мне эту страницу во время установки системы.

Переименовать страницу логина

Защита от брутфорс-атак с помощью куки

Я не стал включать эту настройку, так как есть вероятность блокировки самого себя при входе с разных устройств.

CAPTCHA на логин

Если на вашем сайте много пользователей или у вас интернет-магазин, то можете включать Капчу при авторизации во всех пунктах.

Защита капчей при авторизации

Белый список для логина

Заходите в админку только с домашнего компа и вы единственный пользователь своего сайта? Тогда впишите свой АйПи адрес и всем остальным доступ к странице авторизации будет закрыт.

Только указанные в списке IP имеют доступ к сайту

Бочка с медом (Honeypot)

Таже знакомая нам Бочка с мёдом – скрытое поле для роботов, но теперь для страницы авторизации.

Защита от роботов при попытке авторизации

Защита от SPAM

Вкладка Спам в комментариях

Капчу в формах для комментариев я не активирую, так как не хочу усложнять комментирование. Терпеть не могу когда приходится выполнять целый квест, что-бы написать пару строчек.
А вот блокировку спам-ботов от комментирования включаем обязательно.

Защита комментариев

Сканнер

Отслеживание изменений в файлах

Конечно ставим галочку.
Если защита wordpress плагина All In One WP Security все же пропустит хакера, то вы сможете узнать какие именно файлы изменил взломщик. Тогда вы сможете восстановить эти файлы из резервной копии.

Отслеживание изменений в файлах

Режим обслуживания

Защиты сайту не прибавит, но позволит создать заглушку на время пока вы “ремонтируете” сайт, тогда посетители поймут, что сайт не сломан, а идут профилактические работы.

Разное

Здесь может быть полезным только одна вкладка – Защита от копирования. Включив эту опцию – на сайте нельзя будет выделить и скопировать текст.

Защита от копирования текста

Настройка плагина безопасности WordPress All In One WP Security завершена.
Теперь самое время вернуться к пункту Панель управления и посмотреть, сколько балов показывает счетчик защиты.

Мой сайт защищен на 290 балов

Это был один из серии уроков про лучшие бесплатные плагины wordpress, так что подписывайся на новые статьи и читай только полезные уроки.
Шутка дня:
Если Вы проснулись на улице, значит Вы там заснули

Плагин All In One WP Security для защиты WordPress

Адель Гадельшин

Плагин All In One WP Security представляет собой многофункциональный плагин защиты, который работает со всеми аспектами безопасности сайта. В нём огромное количество настроек, и пользоваться им сравнительно легко, так как весь интерфейс на русском языке.

В этой статье мы рассмотрим и опишем все функции и возможности данного плагина. Если вы решите использовать этот плагин на своём сайте, то вам следует быть внимательным при его настройке и тщательно изучить каждую опцию.

В прошлой статье мы уже начали обзор этого плагина, а здесь продолжаем.

Настройка All In One WP Security: список опций и возможностейНастройка All In One WP Security: список опций и возможностей

Регистрация пользователя

  • Подтверждение вручную. Можно включить подтверждение регистраций администратором сайта. Это предотвратит нежелательные регистрации.
  • CAPTCHA при регистрации. Можно включить капчу в форме регистрации. Это предотвратит спам-регистрации.
  • Ловушка регистрации. Ещё один способ борьбы со спам регистрациями. Эта функция создаёт невидимое поле в форме регистрации, которое видно только роботам. Соответственно заполнят его только роботы, что и позволит определить спам.

Защиты базы данных

  • Префикс таблиц БД. По умолчанию префикс базы данных в WordPress – это wp_ И, так как все об этом знают, это упрощает работу взломщикам. Здесь можно изменить префикс на любой другой.
  • Резервное копирование БД. Можно настроить автоматическое периодическое резервное копирование базы.

Защита Файловой системы

  • Доступ к файлам. Можно управлять правами на файлы и папки, а также получать рекомендации по ним.
  • Редактирование файлов PHP. Можно отключить возможность редактирования файлов тем и плагинов из панели управления WordPress.
  • Доступ к файлам WP. Можно отключить доступ к файлам readme.html, license.txt и другим, в которых могут содержаться данные, полезные для взлома.
  • Системные журналы. Можно просматривать файлы логов.

WHOIS-поиск

  • Результаты WHOIS-поиска. Здесь можно получить детальные данные о том или ином IP адресе какого-либо пользователя. Это удобный, встроенный прямо в плагин, инструмент.

Черный список

  • Забанить пользователей. Позволяет блокировать пользователей по IP адресам или по User-agent.

Файрволл

  • Базовые правила файрволла. Здесь можно отключить доступ по XMLRPC (удалённая публикация), а также запретить доступ к файлу ведения логов отладки debug.log.
  • Дополнительные правила файрволла. Здесь можно отключить возможность просматривать папки сайта, HTTP-трассировку, убрать возможность комментирования с помощью прокси-серверов, и другое, что так или иначе может использоваться для взлома сайта.
  • Правила черного списка 6G. Здесь можно актировать либо устаревшую защиту 5G, либо новую – 6G. Суть защиты в том, что она уменьшает вероятность использовать тех или иных вредоносных запросов к сайту.
  • Интернет-боты. Боты — это хорошо. Значит какой-то сервис сканирует сайт и занесёт его в свою базу, например в поиск Яндекса или Google. Но некоторые боты могут притворяются хорошими, а выполнять плохие функции, например, искать уязвимости. Здесь можно отключить доступ таким ботам.
  • Предотвратить хотлинки. Хотлинки позволяют публиковать изображения с вашего сайта, на других сайтах с помощью размещения прямой ссылки на них. Это повышает нагрузку на ваш сайт. И здесь можно отключить эту возможность
  • Детектирование 404. Можно блокировать пользователей, которые часто получают от сайта ошибку 404. Многократное её получение за кроткое время говорит о сканировании сайта в целях попытки взлома.
  • Пользовательские правила. Если вы разбираетесь в веб-программировании, то можете создать пользовательские правила для файла .htaccess.

Защита от брутфорс-атак

  • Переименовать страницу логина. Стандартная страница входа /wp-login.php здесь может быть переименована в любую другу. Это уменьшит вероятность взлома. Ведь взламывать будут по адресу /wp-login.php.
  • Защита от брутфорс-атак с помощью куки. Здесь можно включить защиту от взлома с помощью подбора логина и пароля.
  • CAPTCHA на логин. Здесь можно добавить к странице авторизации капчу от Google – reCAPTCHA.
  • Белый список для логина. Создаёт белый список IP, вход которым не будет заблокирован никогда.
  • Бочка с медом (Honeypot). Способ защиты от спам-входа путём создания невидимого поля в форме входа, которое заполняют только роботы.

Защита от SPAM

  • Спам в комментариях. Позволяет включить капчу в комментариях и блокировать тех, кто её не пройдёт.
  • Отслеживание IP-адресов по спаму в комментариях. Позволяет определять IP тех пользователей, кто оставлял спам в комментариях и блокировать их для других операций на сайте тоже. Например, для авторизации.
  • BuddyPress. Интеграция с плагином BuddyPress.
  • BBPress. Интеграция с плагином BBPress.

Сканнер

  • Отслеживание изменений в файлах. Можно настроить периодическое сканирование сайта на изменение в его файлах.
  • Сканирование от вредоносных программ. Можно включить сканирование на вредоносный код.

Режим обслуживания

  • Блокирование доступа посетителей к сайту. Можно включить режим обслуживания, когда посетители видят заставку вместо сайта.

Разное

  • Защита от копирования. При включении этой опции с сайта нельзя будет скопировать текст.
  • Фреймы. Позволяет блокировать возможность отображения контента на других сайтах во фреймах.
  • Перечисление пользователей. Предотвращает возможность получения логинов всех имеющихся пользователей на сайте.
  • WP REST API. Блокирует несанкционированные запросы по API.

All In One WP Security

Статьи в этой же категории

 

А сегодня, друзья мои, будем защищаться.

Да. Именно так. От кого? От тех товарищей-подонков, которые будут покушаться на наше «блогосостояние». Кто эти люди я не могу сказать, но они есть и не могу взять в толк, почему под их ногами не горит земля. Почему на их головы не идет каменный дождь и они не захлебываются слюной своего злорадства.

А коли такие люди существуют, то от них нужно адекватно защищаться. И мы сегодня поставим вам супер-клевый плагин для защиты вашего блога.

Будьте уверены, не одна сука не проникнет в ваш блог и не напакостит вам, после того как вы его поставите.

А плагин этот All In One WP Security.

Я раньше пользовался конечно плагинами защиты и как-то особо не беспокоился о безопасности, логин естественно ADMIN, пароль из пяти букв, и естественно это было до поры до времени. В плагины и не заглядывал никогда, ну стоит, да стоит, значит охраняет. Короче в темную все.

А когда хакерская атака прорвала эту защиту и начала перегружать хост, то тут я задумался… И совершенно случайно надкнулся на плагинчик, который мне показался очень милым и доброжелательным. И в то же время очень серьезным охранником, послушав которого и выполнив его указания вы будете под надежной защитой.

Конечно, пока вы будете молодой блогер и пока ваш путь будет в стадии развития, беспечность прокатит. Но когда вы наберете вес и станете локтями расталкивать конкурентов, освобождая место под солнцем, у вас появятся завистники и недоброжелатели. Поэтому с самого начала возьмите в привычку хорошо защищаться.

Так чем же хорош этот плагин All In One WP Security?

  • Надежный;
  • Бесплатный;
  • Русcифицированный;
  • Простой.

Установить его на WordPress нужно по стандартной схеме: Плагины-Добавить новый, в поиск вбиваем All In One WP Security, Enter, первый, и это не случайно, будет он родимый…

Перейдем к настройке плагина All In One WP Security

Советую перед установкой сделать копию с вашей Базы данных. 1. Сама База данных. 2. Файл файл wp-config. 3. файл .htaccess.

И все это, как все-таки удобно, можно сделать в настройках самого плагина.

 

Панель управления

В меню админки находим WP Security, подменю плагина Панель управления. 

Первое что бросается в глаза, это этакий манометр нашей защищенности и диаграмма проделанной работы плагина. Это вообще круто.

Что хочу сказать. ВАЖНО! Не увлекайтесь защитой до максимума. Не доводите давление защиты до критического. Чревато последствиями сбоем в работе сайта. Так говорят, сам не испытывал никаких проблем, наверное просто потому что просто держу чуть больше половины положенного.

Здесь в панели управления больше ничего не делаем и переходим в настройки.

 

Настройки

 

Вот именно здесь мы делаем копии нашего сайта и Базы данных. Здесь же мы будем, при необходимости отключать Файервол, если понадобится.

Во вкладке WP мета информации поставьте галочку

 

Во вкладке «Импорт/Экспорт» делаются действия по экспорту ваших настроек в какой-то другой сайт, если у вас есть, чтобы не ставить все галочки, которые мы сейчас будем проставлять. В два клика все будет сделано.

 

Администраторы

 

Пользовательское имя WP. 

Здесь меняйте имя администратора и это сделать НАДО. По умолчанию admin или wp-admin. Измените на другое, к примеру myblog-admin, или Ja-Vasja-Ivanov. И вообще забудьте слово admin раз и на всегда.

Отображаемое имя.

Придумайте любое имя, кроме admin. И еще советую если у вас сайте несколько аккаунтов, делайте отображаемые имена разными.

Пароль.

Самая интересная вкладочка. С нашим монометром, на котором в секунду можно определить степень взламываемости вашего пароля. Просто вписывайте предпологаемый пароль в строку прибора, он сразу же будет выдавать вам время, за которое он может быть взломан. В нашем случае 9 лет 6 месяцев.

Авторизация

Блокировка авторизаций. 

Включите так, как скриншоте. Разумно ставить значения, которые сообразны со здравым смыслом. Например если за 5 минут неправильный пароль был набран 3 раза, то ваш IP заблокируется на час. Так стоит по умолчанию. Я соглашаюсь с таким раскладом. Вы можете изменить, только в разумных пределах.

Заблокированные IP можно посмотреть ниже.

 

Ошибочные попытки авторизации. 

 

Вот здесь видно тварей. Отслеживайте кто часто лезет и принимайте меры. У меня пока один, это потому что недавно очистил список.

Автоматическое разлогинивание пользователей.

 

Включаем и ставим время 600 минут, через которые пользователь будет отключен.

 

Журнал активности аккаунта» и Активных сессий информативные.

 

Регистрация пользователей

 

В Подтверждении вручную и CAPTCHA при регистрации ставьте галочки в чекбоксы.

 

Защита Базы данных

Префикс таблиц БД.

Я не стал ставить здесь ставить галку, но если вы захотите поставить, то сделайте сначала резервную копию своей Базы данных. На всякяий случай.

Резервное копирование. 

Ставим галку и назначаем частоту их создания. Так же назначаем количество этих бэкапов, которые будут храниться в специальной директории плагина.

Защита Файловой системы

Доступе к файлам. 

В столбце Рекомендуемые действия нажимайте на кнопки там где нужно, плагин все сделает так как надо, и в итоге все строки в таблице должны выглядеть зелеными, вот так как у меня.

Редактирование файлов PHP.

 

Это для тех, кто правит файлы через админку. Ставьте, если не правите, не ставьте, если правите. Но вообще не рекомендуют править файлы в админке. Хотя дело каждого. Хотя если что накосячите, у вас не будет возможности все быстро вернуть клавишами CTRL Z.

Доступ к файлам WP.

 

Ставим Галю, тем самым запрещаем доступ к информ-файлам WordPress

Системные журналы.

Как есть, так и оставляем

 

WHOIS-поиск

 

Я ничего не делал. Не нужно мне узнавать какую-либо информацию о том или ином IP.

 

Черный список

 

Это для тех, кто часто светится на вашем сайте с подозрительными намерениями, вы их можете увидеть в (Авторизация — блокировка авторизаций — заблокированные IP). Если такие есть, то ставьте галку и прописывайте эти IP.

Файрволл

Базовые правила файрволла.

В первую очередь делайте копию файла .htaccess если вы еще не сделали ее и ставьте галочку.

 

Дополнительные правила файрвола.

Ставим

 

А в Дополнительной фильтрации символов не ставим галку. Могут проходить не все комментарии, выдавая ошибку 403, что тоже не очень хорошо.

Настройки 5G

Включаем

Интернет-боты.

Не включайте чекбокс

Предотвратить хотлинки.

Включаем

Детектирование 404.

Включаем и ставим время 5 минут

Защита от брутфорс-атак

 

Ставим галку и здесь вот мы и меняем адрес страницы для логина. Здесь вы можете изменить адрес страницы входа в админку.

Защита от брутфорс-атак с помощью куки.

Не включать, если не хотите испытывать проблемы с разного рода устройствами.

CAPTCHA на логин.

Не знаю как вы, если хотите капчу включить, включайте. Я этого не сделал.

Белый список для логина.

Не включайте. Наверняка будете входить на свой блог с разных устройств, мест и IP.

 

Бочка с медом.

Включаем

Защита от SPAM

Спам в комментариях.

CAPTCHA в форме комментариев — Не ставим. Блокировка комментариев от спам-ботов — Ставим

BuddyPress.

Добавляет CAPTCHA в форме BuddyPress. Нет надобности использовать.

 

Сканер

 

Я так понимаю процесс порчи при взломе. Хакеры меняют какие-то файлы в системе, не найдя которые попытки восстановить сайт не увенчаются успехом. Так вот при помощи этой функции можно отследить что именно изменялось в ближнем времени. Я просто восхищаюсь… Включаем автоматическое сканирование файлов.

Сканирование от вредоносных программ.

За это нужно платить.

 

Режим обслуживания

 

Прошу обратить внимание на смысл этого сервиса. Включить режим обслуживания означает выключить ваш сайт вообще. Он не будет виден никому, в том числе и роботам, соответственно и не будет индексироваться. Поэтому имейте это ввиду и не ставьте без острой необходимости эту галку.

Ваш покорный слуга отключил сайт на 2 дня, пока не заметил падения посещаемости и поиск причины.

В текстовом поле напишите что будут видеть посетители на время отключения сайта.

Разное

Здесь я понимаю только защиту от копирования. Галку не ставлю, пусть копируют все, это же так приятно)))

Результат

 

Плагин мы настроили. Зайдем в панель управления и посмотрим  новый уровень безопасности. Уверен, он стал намного выше, чем был. Теперь вы можете быть спокойным за безопасность вашего сайта.

А еще, что характерно, будете сюда заглядывать регулярно, чего не делали раньше с подобного рода плагинами.

Пользуйтесь, живите и работайте спокойно и продуктивно.

Порекомендуйте знакомым этот плагин. Можете дать ссылку на мой сайт

До встречи в сети!

Настройка плагина All In One WP Security

Из предыдущей статьи вы узнали, какие модули должны быть на каждом сайте. В первую очередь, понадобится настройка плагина All In One WP Security. Как это сделать правильно поймете, посмотрев видео. Чтобы было проще сориентироваться новичкам, добавлю то, о чем в ролике не сказано.

Как устанавливать и скачивать плагины рассказывать не буду, это вы уже должны хорошо знать. Единственное, чтобы не спутали искомый модуль с другими аналогичными расширениями, покажу его скриншот.

Содержание: ►

Как выглядит All In One WP Security в консоли WP

Плагин All In One WP Security

Так выглядит All In One WP Security

После активации отображается в админпанели, как WP Security, имея длинный список настроек.

Настройки плагина

WP Security — окно настроек

Почему предпочтение отдано именно этому устройству, частично объяснено в ролике. От себя добавлю: пусть не смущают более популярные инструменты защиты, например, который на картинке находится справа. Выбор определен по следующим параметрам:

  1. Простота настроек.
  2. Перевод подсказок. 
  3. WP Security рекомендуют продвинутые вебмастера.
  4. Плагин имеет наглядные настройки.
  5. Многофункционален и информативен.
  6. Оказывает минимальную нагрузку на ресурс, что устраивает большинство пользователей.

Обратите внимание: Настройка безопасности сводится к тому, чтобы набрать не максимальное, а оптимальное количество баллов, показывающих уровень защищенности.

Чем больше наберете очков, тем лучше, но будьте осторожны, не создайте дополнительных трудностей для себя, как администратора сайта.

Шаг 1. Вкладка Панель управления

Srength

All In One WP Security - панель управления -Strength

Security Strength Meter — инструмент, отображающий количество, набранных баллов. Это индикатор уровня защиты ресурса.

На картинке видно, что максимальное число – 505. У меня набрано – 210, этого маловато. После настроек попробую немного увеличить показатели, хотя бы до 240 – 260.

Security points breakdown

Security points breakdown — это визуальное отображение Аварийных точек безопасности. Здесь можно увидеть параметры, которые имеют недостаточную защиту: повреждение, уязвимость.

Securiti Points Breakdown

Наглядный блок: точки уязвимости на сайте

Учитывайте, что использовать защиту «на полную катушку» не надо. Иначе сами не сможете работать или создадите препятствия, для каких-то плагинов, функций, которые нужны. К тому же это затруднит процесс оптимизации, изменения файлов через ftp и пр. Поэтому набирайте баллы, но без фанатизма.

Critical Feature Status

На этой вкладке есть подсказки, поэтому понятно, что указанные параметры – самые важные. Для эффективной защиты желательно, чтобы они были включены. Это можно сделать, как в этом окне, так и в настройках, которые будут показаны в ролике.

Critical Feature Status

Самые важные параметры безопасности

Далее идут окошки с ознакомительной информацией, где увидите, есть ли заблокированные IP, то есть, спамные сообщения. Кто и когда входил в админпанель. Так же есть возможность сообщить поисковым роботам, что сайт на обслуживании. Эта опция нужна, если не хотите, чтобы в период внесения изменений, его индексировали.

Остальные вкладки Панели управления (Информация о системе, Заблокированные IP, Логи AIOWPS – просмотр журналов) носят чисто информационный характер, где вы можете увидеть параметры сайта, какие версии модулей используются и т. п. 

Шаг 2. Настройки Общие настройки

Сразу поясню насчет создания резервных копий. Если не уверены в своих силах, лучше сделать бекапы, которые предлагают. Безопасность превыше всего. С подобными плагинами легко заблокировать самих себя. Одно дело, когда настраивает опытный мастер, он исправит баги, если они появятся. Другое – новичок, для которого настройки — это темный лес.

Нажав на ссылку, копии будут у вас на ПК. Если вдруг не сможете попасть в админпанель (тьфу, тьфу, тьфу…), придется воспользоваться ftp-менеджером или восстанавливать файлы на хостинге. Обратите внимание на подсказки, как это сделать.  Запишите, в какой файл вносятся изменения, где его найти (путь), чтобы, в случае чего, могли вернуться к прежнему состоянию. 

Примечание: Если все же, после настроек, не сможете попасть в админпанель, не паникуйте. Первое, что надо сделать – это очистить кеш браузера. Сначала кнопками Ctrl+F5

Безопасность WordPress в 2 клика с помощью All In One WP Security

Безопасности в WordPress уделяется немало внимания, и все равно бывают случаи взломов сайта. Однако можно воспользоваться специальным плагином и значительно увеличить защиту вашего сайта, тем более что сделать это можно буквально в 2 клика.

безопасность-wordpressбезопасность-wordpress

Зачем вообще нужно повышать безопасность WordPress?
Конечно, чтобы избежать взломов и несанкционированного использования пространства сайта.

Но неужели это так плохо? Ну и пусть ломают — у меня все равно брать нечего!

Дело не в самом взломе, а в его последствиях. Хакеры ломают сайты не просто так, они начинают рассылать от вашего имени спам, расставляют ссылки на другие сомнительные сайты, становятся рассадниками вирусов и прочей заразы. Поисковые системы довольно быстро это распознают и реагируют с помощью уведомлений, предостерегая посетителей, переходящих на сайт примерно такой вот формой:

Этот сайт может нанести вред вашему компьютеруЭтот сайт может нанести вред вашему компьютеру

Редкий смельчак отважится все-таки перейти на заразный сайт, поэтому трафик из поисковых систем взломанных сайтов падает в разы. А вместе с посещаемостью доходы владельцев сайтов также стремительно снижаются.

Поэтому, несмотря на то, что взломать можно любой сайт, но я рекомендую максимально усложнить злоумышленникам эту задачу: в результате, возможно, отпадет желание связываться именно с вашим сайтом, когда вокруг множество менее защищенных и простых для взлома сайтов.

Плагин All In One WP Security

Я устанавливал на сайты разные плагины для повышения безопасности WordPress (они еще часто называются firewall), но порекомендую вам тот, который лично я считаю самым лучшим по большинству параметров, это — All In One WP Security.

Его основные преимущества:

  • бесплатный
  • удобный русскоязычный интерфейс
  • множество вариантов защиты
  • частое обновление
  • мгновенный импорт и экспорт настроек

Я рекомендую обязательно использовать этот плагин на любом сайте/блоге под WordPress.

Инсталлируется он как обычный плагин Вордпресс (если не знаете как это сделать, то читайте «Как установить плагин WordPress за 5 минут»). Так что с установкой у вас проблем возникнуть не должно.

Но затем еще нужно будет настроить All In One WP Security, то есть выбрать и активировать параметры защиты. Их много, включать стоит далеко не все, иначе сайт может просто оказаться неработоспособным. Так какие параметры нужно выбрать обязательно, а какими стоит пренебречь?

Ниже в статье я дам ссылку на файл импорта лично моих настроек, которые я использую для повышения безопасности на большинстве сайтов — вы сможете их импортировать и, таким образом, не разбираться с настройками программы, которых очень много. Поэтому если все эти описания настроек вам неинтересны, мотайте вниз до социального замка и получайте ссылку на готовый файл с настройками. Там же будет краткая инструкция по добавлению  в свой плагин All In One WP Security.

А я пока в двух словах опишу настройки плагина.

Основные настройки All In One WP Security

Настроек плагина довольно много, они все собраны в панели управления, в пункте WP Security:

Настройки All In One WP SecurityНастройки All In One WP Security

Начнем по порядку.

Панель управления

Здесь удобно собрана основная информация по системе: текущий уровень защиты, задействованные основные настройки, версия php сервера, логи заходов пользователей в админку и так далее. То есть на этой вкладке менять нечего — она играет информативную роль.

Стремиться к тому, чтобы у вас было задействовано максимум очков защиты — не стоит. Ведь в этом случае некоторые другие плагины могут быть заблокированными, и сайт может не функционировать должным образом. Важно в целом устранить наиболее уязвимые и очевидные «дыры» не в ущерб удобству и функционалу сайта.

Настройки

Здесь вы можете создать бекапы основных файлов WordPress, в которых плагин меняет параметры безопасности: .htaccess и wp-config. Если, конечно, не сделали еще это через FTP (читайте «Как зайти на сайт через FTP»). Обязательно сделайте это перед внесением изменений в настройки плагина.

Важный пункт это «WP мета информация».
Установите галочку, это уберет из кода сайта информацию, что он создан на базе WordPress, это повысит безопасность от массового сканирования хакерскими роботами версий сайтов.

И последний пункт — это «Импорт и экспорт».
Именно здесь можно быстро экспортировать и импортировать настройки плагина с сайта на сайт.

Администраторы

В данном пункте речь пойдет про аккаунты зарегистрированных администраторов в панели управления.

Общеизвестно, что нельзя использовать стандартные имена администраторов, например, «admin» в WordPress или «administrator» в Joomla. Это крайне негативно влияет на безопасность, ведь когда логин известен, хакеру остается только подобрать пароль.

Так что если у вас в качестве имени администратора используется стандартное «admin», то мысленно выругайтесь в сторону разработчика и быстренько смените его на что-то более сложное. Чтобы это сделать в Вордпрессе нужно завести новый аккаунт пользователя. Старый удалите, все записи свяжите с новым аккаунтом.

Также важно, чтобы имя пользователя совпадало с логином.
И проверьте сложность пароля. Плохим является пароль вроде «serega», нормальным — «serega1212», идеальным — «dfw&uuhsU2%».

Авторизация

Что делать если кто-то несколько раз ввел неверный пароль при попытке входа в админку? По умолчанию система не делает ничего. А если «Включить опции блокировки попыток авторизации«, то система будет блокировать такие подключения после какого-то количества неудачных попыток в течение определенного времени. Количество попыток, время и другие параметры, вы сами задаете в пунктах ниже.

Также рекомендую включить «Уведомление на емейл» о блокировках, так вы будете в курсе, что кто-то ломится в вашу уже закрытую дверь.

Остальные вкладки в основном информационные.

Регистрация пользователя

Я бы рекомендовал в любом случае поставить галочку: «Активировать ручное одобрение новых регистраций«. Вам ведь не нужны никакие «левые» регистрации.

Каптча при регистрации актуальна только если у вас на сайте или блоге есть возможность регистрации новых пользователей.

База данных

Обязательно смените префикс таблиц в базе данных. По умолчанию таблицы в базе данных WordPress начинаются с «wp_» — это плохо для безопасности.  Выберите «Сгенерировать новый префикс таблиц БД» и установите флажок, чтобы плагин сам сгенерировал что-то вроде «hwy1e2_».

Хоть я менял префикс на многих сайтах WordPress — все было ок, но осторожность лишней не будет: обязательно сделайте бекап базы данных, можно, кстати, прямо на соседней вкладе это сделать.

Файловая система

На основной вкладке «Доступ к файлам» все пункты должны быть отмечены зеленым цветом. Если это не так — просто кликните на соответствующий пункт.

Отметьте флажки и на следующих вкладка «Редактирование файлов PHP» и «WP доступ к файлам«. Вам вовсе необязательно оставлять возможность вносить любые программные изменения через панель управления — лучше это делать через FTP-доступ, который взломать гораздо сложнее, ведь там безопасностью занимаются профессиональные программисты вашего хостера. Плюс не стоит «светить» важные информационные файлы системы.

Whois-поиск

Тут настроек нет, но если к вам кто-то ломится или какой-то неадекватный пользователь оставляет дурацкие сообщения , то можно попробовать узнать о его провайдере и пожаловаться на неадеквата или просто пригрозить ему в личку.

Конечно, если хакер пользуется IP-анонимайзером, толком вы ничего не узнаете, но все равно функция может оказаться полезной, так как в целом можно быстро получать информацию о владельцах сайтов и их контактах.

Черный список

Допустим, вы «пробили» через whois, что на вашем блоге активно в комментариях распространяется спам с ip-адреса частное лицо. Вы можете добавить его в черный список и он не получит доступ к станицам сайта.

Также можно массово банить «левых» роботов, которые могут прочесывать интернет в поисках уязвимостей.

В основном эта функция имеет смысл, если вам активно кто-то пытается взломать. В большинстве случаев эти поля останутся пустыми.

Файрволл

Ну вот и добрались до основной функции плагина — брандмауера. Эти функции рассредоточены по нескольким вкладкам.

Во вкладке «Базовые правила» рекомендую включить оба флажка: «Основные функции брандмауэра» и «Защита от Пингбэк-уязвимостей«. По каждому пункту там подробно расписываются все функции, которые будут задействованы. Это базовые правила — они, как правило, не влияют на работоспособность сайта.

В «Дополнительных правилах» лично я задействую:

  • Просмотр содержимого директорий
  • HTTP-трассировка

Остальные пункты:

  • Комментарии через Прокси-серверы
  • Нежелательные строки в запросах
  • Дополнительная фильтрация символов

на тех или иных сайтах вызывали нестабильности в работе, поэтому я не могу однозначно рекомендовать их к применению.

Если же вы захотите их задействовать, то сделайте бекап htaccess, включите и тщательно протестируйте сайт на прежнюю работоспособность. Попробуйте оставить комментарий, скачать файл, зарегистрироваться, выполнить поиск по сайту, отправить форму обратной связи и т.п. Если все в порядке, то ок, вам повезло :smile:

:smile:

Далее во вкладке «5G-файрволл» можно включить комплексную защиту от хакерских атак через URL сайта. Это полезная функция, однако на моем блоге Moytop.com она вызвала ошибку при скачивании файлов пользователями, поэтому я ее отключил и отключаю на всех других сайтах, так как предпочитаю задействовать только те параметры, которые никогда не вызывают нареканий в работе.

Во вкладке «Интернет-роботы» я не включал флажок, так как все же есть опасения как-то помешать основному роботу Google делать свое дело. Если кто-то сможет развеять мои опасения в комментариях, буду признателен.

«Предотвратить хотлинки» я также оставляю отключенным, так как сам загружаю картинки блога с других сайтов. И отмечал что многие мои клиенты также это делают, например, загружают со своего сайта картинки на разные доски объявлений, форумы и так далее. Но если вы уверены, что нигде не задействуете картинки с сайта, то в целях снижения излишней нагрузки на хостинг, конечно, можете поставить флажок.

«Детектирование ошибок 404» нужно задействовать только если в логах у вас много подозрительных ошибок ненайденных страниц. У меня на всех сайтах все ок, поэтому и нечего вносить в список IP-адресов, которые нужно банить.

Защита от брутфорс-атак

Что такое «брутфорс»? Это грубая атака, которая заключается в простом переборе всех возможных паролей на сайте.  То есть робот заходит на страницу со входом в админку и начинает пробовать то один, то другой пароль.

Поэтому я рекомендую обязательно «Переименовать страницу логина«. Стандартное /wp-admin ничего хорошего в плане безопасности вашего WordPress-сайта не даст.

Назовите страницу входа на свое усмотрение, например, /lg-wp и в вашу админку робот для перебора паролей попасть уже не сможет — он ее просто не найдет!

«Защиту на основе куки» я не применяю — так как часто выхожу в сеть с разных браузеров, плюс периодически чищу куки и поэтому процедура залогинивания с этим параметром была бы довольно утомительной.  По этой же причине не использую «Каптчу на логин«. Мне и так хватает всяких каптч в интернете, и поэтому на своем сайте стараюсь свести их к минимуму.

«Белый список для логина» — это почти 100% защита от брутфорс-роботов, так как логин и пароль может вводиться только с конкретного IP-адреса. Но я и мои клиенты часто заходят на свои сайты с разных IP-адресов, например, из офиса, с мобильного телефона, из гостей и так далее. В этом случае защита будет избыточной, так как не пустит на сайт самого владельца. Однако если вы работаете на своем сайте стационарно с одним IP-адресом, то можно задействовать данную функцию.

«Бочку с медом» — рекомендую включить. Это интересная приманка для роботов, которая быстро и безболезненно позволяет отсечь многие попытки брутфорса.

Защита от спама

Эту защиту я не включал, так как у меня прекрасно работает специализированный плагин Antispam Bee (читать «Обзор плагина защиты от спама на WordPress»).

Сканер

Если вдруг какой-то гад все-таки пробрался через все ваши системы защиты и вставил свой вредоносный код или левые ссылки в файлах сайта, то система вас об этом уведомит. И вы сможете более внимательно и пристально взглянуть на эти изменения: вдруг вас и правда, взломали?

Я сканирую сайты раз в 7 дней, игнорирую картинки, личные файлы, бекапы и т.п. Все это есть в настройках, которые вы сможете скачать в конце статьи.

Остальные вкладки вам вряд ли понадобятся.

Режим обслуживания

Это просто утилита, но довольно полезная. Позволяет временно отключить сайт для всех, кроме админов, если на нем ведутся какие-то работы.

Разное

«Защиту от копирования» я не включаю, так как в современных реалиях проверки уникальности текстов она довольно бессмысленна, а жизнь некоторым пользователям затрудняет. А вот включить флажок «Активировать фрейм-защиту» не помешает, так как она не позволит открывать ваш сайт во фрейме какого-то другого сайта.

Вот, собственно и все настройки.

Безопасность сайта на WordPress — в ваших руках!

Если у вас есть сайт на WordPress, то я настоятельно рекомендую принять все возможные меры для его безопасности. Поверьте, очень неприятно, например, получать письмо от хостера о том, что ваш сайт блокируется, так как он распространяет вирусы.

А потом бегать в мыле и искать толкового программиста, который все вычистит, найдет дыры, залатает и в конце концов установит вам файрволл.

Лучше побеспокоиться обо всем заранее и как минимум установить этот простой и надежный плагин.

Плагин для защиты WordPress

Защита сайта всегда является важным аспектом в его создании и в продолжительном использовании. Несмотря на высокий уровень безопасности WordPress, можно и даже нужно вносить свою лепту, чтобы максимально себя огородить от нежелательных угроз. И не стоит пренебрегать всеми возможными вариантами, учитывая, что постоянно есть опасность потенциальных атак и вирусов.

Первые меры, которые можно принять по защите WordPress – установка плагинов безопасности. К счастью, в официальном репозитории их насчитывается большое количество как платных, так и бесплатных. Нам остается только выбрать какой именно использовать, исходя из его функциональности. В сегодняшнем обзоре предлагаю рассмотреть мощный плагин для защиты WordPress — All In One WP Security & Firewall с большим набором функций.

Краткое описание плагина All In One WP Security & Firewall

Плагин объединяет в себя большой список инструментов, с помощью которых можно решать от самых мелких до больших задач. Это значительно может уменьшить риск опасности и перейти на новый уровень безопасности. All In One WP Security весьма прост в использовании и имеет три степени сложности – от простого до продвинутого.

В настоящий момент плагин переведен на несколько языков, включая русский. Правда, местами можно обнаружить неполный перевод, но таких мест очень мало. Несмотря на многочисленные функционал, плагин использует минимум ресурсов, что позволяет не нагружать сайт. И при всех его возможностях он совершенно бесплатный.

Настройка плагина All In One WP Security & Firewall

Предлагаю пропустить перечень всех его функций, а сразу перейти к настройкам, где в подробностях разберем каждый пункт. Это как раз и будет «прайс-лист» плагина, только с одновременным разбором.

После установки и активации плагина в панели инструментов у вас добавится новая вкладка «WP Security».

Вот все пункты, с которыми постараемся познакомиться.

Панель управления

Здесь выводится сбор информации об уровни защиты вашего сайта, диаграмма безопасности, статус самых важных функций. Остальные вкладки, на этой же странице, соответственно показывают инфу о системе, заблокированных IP-адресов, черный список и лог файлов. Для наблюдения запомните, какой у вас текущий балл надежности и сравните его с полученным после всех настроек.

Настройки

Вначале, перед активацией каких-либо функций, нам советуют сделать резервную копию важных файлов и БД. Такие меры предосторожности будут весьма кстати, так что не поленитесь выполнить их. Две последующие вкладки как раз помогут сделать резервную копию файлов. На вкладке «Общие настройки» чуть ниже находятся настройки сброса некоторых параметров. Воспользуйтесь ими если заметите некорректность в работе сайта. Предпоследняя вкладка «WP Version info» поможет отключить мета-теги, которые WordPress автоматически выводит на всех страницах сайта.

Обратите внимание на два элемента с флажками, выделенные на скриншоте. Первый показывает уровень сложности функции, а второй – очки безопасности. Чем больше будет баллов, тем выше степень важности. Поставьте галочку и нажмите кнопку «Сохраните настройки», но только в том случае, если вы раньше сами не удаляли теги.

Последняя вкладка «Импорт/Экспорт» поможет избавиться от необходимости вновь настраивать плагин, если вам придется его переустанавливать или ставить на новый сайт. Достаточно лишь экспортировать настройки в виде отдельного файла, а затем просто импортировать их.

Внимание! В конце статьи вы сможете найти ссылку на скачивание файла настроек плагина All In One WP Security & Firewall с данного урока.

Администраторы

Этот раздел отвечает за использования имени администратора и отображение имени админа на сайте. Как известно, нельзя применять одинаковый логин и имя, которое выводится в посту как автор статьи. Если у вас имеется такая проблема, то плагин выдаст сообщение и попросит сменить имя на корректное. Последняя вкладка «Пароль» проверяет надежность пароля и покажет приблизительное время для его подбора.

Авторизация

Один из множества способов взлома сайта является многократные попытки подбора паролей или, другими словами, называют Брутфорс-атака. Наша задача состоит в том, чтобы ограничить количество попыток ввода, а также принять последующие меры по отношению к IP-адресов взломщиков. Отметьте галочками пункты, как показано на скриншоте, и нажмите кнопку «Сохранить».

Все остальные вкладки в этом разделе показывают общую информацию по уже заблокированным IP-адресам и неудачным попыткам входа. Можно еще обратить внимание на вкладку «Автоматическое разлогинивание пользователей». Ставьте здесь галочку, дабы через указанное время заканчивалась сессия авторизации админа (выход из аккаунта). Это полезно тогда, когда вашим компьютером или ноутбуком пользуется кто-то еще, кроме вас.

Регистрация пользователя

Этот раздел больше относится к тем сайтам, у которых открыта форма регистрации. Здесь можете поставить галочку для ручного подтверждения регистрации пользователя, а также добавить капку на страницу регистрации.

Защита Базы данных

Лакомый кусочек для недоброжелателя – это доступ к Базе данных где хранятся все настройки и контент. Одним из способов усилить защиту БД от SQL-инъекций является смена стандартного префикса баз данных «wp_» на уникальный. Об этом я уже говорил в статье «Советы безопасности для ВордПресс».

Отмечаем галочкой пункт и жмем «Изменить префикс таблиц». После чего начнется процесс смены и обновления некоторых файлов. Во второй вкладке настраиваем автоматическое создание бэкапа БД.

Префикс таблиц БД

Резервное копирование БД

Защита файловой системы

Отключаем права на редактирование файлов из админ-панели, закрываем доступ к файлам и сменяем разрешения папок\файлов на рекомендуемые.

WHOIS-поиск

Просмотр детальной информации о домене. Подробнее «Что такое WHOIS?».

Черный список

С этой функцией нужно быть осторожней, так как есть вероятность блокировки вашего IP к доступу админ входа. Активируйте по желанию.

Файрволл

Здесь настраиваются более серьезные функции, отдельные из которых могут даже нарушить работоспособность сайта. Возле каждого параметра есть краткое описание, объясняющее принцип их работы. Я отметил следующие пункты, а последнюю вкладку оставил без изменений.

Баз. правила файрволла

Доп. правила файрволла

6G Blacklist Firewall Rules

Интернет-боты

Предотвратить хотлинки

Детектирование 404

Защита от брутфорс-атак

Продолжаем борьбу с брутфорс-атаками. На этот раз задействуем эффективный способ, а именно – изменим адрес страницы входа. Нам предлагают для этого два варианта: либо через куки, либо обычным путем. Обращаю ваше внимание на то, что эти две функции одновременно не могут быть активированы.

Если вы пользуетесь только одним браузером для входа в админ-панель, то вам подойдет смена на основе куки. Соответственно, если заходите с разных браузеров и мест, то подойдет обычная смена адреса. На вкладке «Капча» включается вывод дополнительного поля на странице логина с математической задачей.

На последней вкладке находится очень интересная функция – «Бочка с медом» (сладкий термин). Суть ее очень проста: на страницу входа добавляется новое поле заполнения, которое видят только роботы. А робот, в свою очередь, как правило, заполняет все возможные поля и отправляет запрос. И тем самым выдает себя (ведь настоящий пользователь не видит это поле), вследствие чего происходит обычное перенаправление робота на свой IP-адрес.

Переименовать страницу логина

Бочка с медом

Важно! Если вы воспользуйтесь файлом настроек из этой статьи, то после импорта непременно зайдите в раздел «Защита от брутфорс-атак» на вкладку «Переименовать страницу логина». Смените адрес входа на свой, более сложный и неугадываемый. Только не забудьте запомнить или записать его!

Защита от спама

Дополнительные меры по борьбе со спамом в комментариях путем блокирования спам-ботов и отслеживание IP-адресов. Кто считает нужным, может активировать еще и капчу.

Спам в комментариях

Отслеживание IP-адресов

Сканнер

Сканнер поможет отслеживать изменение файлов и показывать точную дату и время, когда это случилось. Можете установить автоматическое сканирование, указав определенную частоту на выбранный период времени. Вкладка «Сканирование от вредоносных программ» — это отдельный сервис.

Функция «Сканирование базы данных» временно является деактивированной. Разработчики обещают в ближайшее время ее переделать и представить в рабочем состоянии.

Режим обслуживания

Закрывается доступ пользователям к сайту, кроме админа, и включается технический режим обслуживания сайта WordPress.

Разное

В последнем разделе все функции менее важные и могут быть активированы по своему усмотрению.

Заключение

Как и обещал вначале, даю ссылку для скачивания файла настроек (скачать здесь). Он импортируется в разделе «Настройки» на вкладке «Импорт/Экспорт».

All In One WP Security & Firewall

Все в одном WP Безопасность

All In One WP Security All In One WP Security

Привет, ребята! Когда твой сайт становится немного раскрученным, появляются постоянные читатели, получаешь огромное удовольствие. Вроде бы все круто. Растет и поток денег, и отклик получаешь от аудитории, увеличивается узнаваемость. Но существует и обратная сторона медали. Это завистники, это внимание со стороны недоброжелателей.

Чтобы вы представляли, о чем идет речь: мой блог только за прошлую неделю взламывали 2 раза.Постоянные посетители, думали, заметили. «Ребята, я настоятельно рекомендую ознакомиться с данным уроком», «потратить время на внедрение советов», «сэкономить время».

Существует довольно много плагинов, связанных с улучшением безопасности, я пробовал многие, но все что-то не то. Либо блог «падал» непонятно из-за чего, либо сложно было понять, как работать. И все же, благодаря советам ребят, с которым общаюсь на марафоне, удалось найти достойный, похвальный плагин, который очень сильно понравился.Абсолютно всем. Поэтому сразу же спешу поделиться с вами этой информацией.

All In One WP Security — это самый необходимый плагин для увеличения безопасности в WordPress. Ставить его нужно всем, кто владеет сайтом на Вордпресс. Всем без исключения.

Если мой любимый плагин Yoast SEO — это комбайн в сфере SEO для WordPress, то плагин WP Security — аналог в безопасности. То есть, если благодаря Yoast SEO я перестал нуждаться в нескольких плагинах, то здесь также, благодаря All In One WP Security можно избавиться от других плагинов, которые частично выполняют функции данного.Например, как:

  • Блокировка входа в систему;
  • Резервное копирование базы данных WordPress;
  • Anti-XSS атака;
  • и другие подобные.

Огромные плюсы плагина All In One WP Security:

  • бесплатный;
  • настраивается очень просто;
  • практически все переведено на русский язык, поэтому понятно о чем идет речь.

Настройка плагина All In One WP Security

Обязательно сделайте бэкап (копию копии) перед началом работы (на всякий случай) следующих файлов:

  • база данных;
  • файл wp-config;
  • файл htaccess.

Кстати, резервные копии этих файлов можно сделать прямо в данном плагине, просто в админке в WP Security — Настройки:

WP Security резерв

WP Security резерв

Панель управления

Тут есть очень крутой информер, который показывает уровень защищенности вашего сайта:

Панель управления All In One WP Security

Панель управления All In One WP Security

Этот показатель поможет держать руку на пульсе и понимать, что еще нужно сделать для улучшения безопасности. Не рекомендую делать все, ради достижения максимальных баллов.Могут быть плохими последствиями, ваш сайт может упасть, ошибочно функционировать.

Текущий статус самых важных функций. В этом блоке можно активировать самые функции безопасности вашего сайта (пока не трогать, в ходе настроек по уроку, данные параметры активизируются итак):

Статус All In One WP Security

Статус All In One WP Security

Остальные параметры в Панели управления малоинтересны, Вы можете ради любопытства ознакомиться с ними (Информация о системе, Заблокированные IP-адреса, AIOWPS.

Настройки

Общие настройки. Тут можно создать резервные копии файлов, о которых я говорил выше. Также работать функции безопасности и файерволла, если что-то перестало.

WP мета-информация. Нажимаем на галочку напротив «Удаление метаданных WP Generator», чтобы не отображать версию WordPress:

Удаление WP Generator

Удаление WP Generator

Вкладка «Импорт / Экспорт». Здесь можно экспортировать свои, чтобы на другом сайте не тратить время на настройки и импортировать в 2 клика все необходимые «галочки».

Администраторы

Пользовательское имя WP. Обязательно (!) Смените имя администратора, если оно у вас «admin». Вы не представляете, как много и часто подбираются пароли с логином admin. Если еще к тому же пароль очень легкий, ваш сайт легко может быть взломан.

Логин admin WP Security

Логин admin WP Security

Отображаемое имя. Если на вашем сайте есть аккаунты, у которых имя пользователя и отображаемое имя совпадает, то рекомендуется изменить отображаемое имя (никнейм).

Пароль.Очень интересная вкладка. Тут можно узнать, за какой промежуток времени можно подобрать в автоматическом режиме вашего пароля. Введите свой пароль и сильно удивитесь, насколько быстро его можно взломать. Обязательные условия для усиления безопасности:

  • в вашем пароле должны быть как заглавные, так и строчные буквы;
  • обязательно наличие хотя бы 1-ой цифры, но никак пароль не должен состоять только из цифр;
  • желательно еще наличие какого-либо спецсимвола;
  • длина пароля должна быть более 10 символов.

В итоге у вас должен быть максимальный уровень безопасности вашего пароля, что-то в этом роде (пароль ниже домашнего компьютера взломал бы за 57 337 лет (!)):

Надежность пароля

Надежность пароля

Авторизация

Блокировка авторизаций. Обязательно включите эту функцию. Если пароль в течение 5-ти минут (по умолчанию) вводится 3 раза неправильно, то IP блокируется на 60 минут (тоже по умолчанию). Я не рекомендую ставить блокировку больше по времени, а то можно столкнуться с тем, что сами администраторы вводят логин 3 раза неправильно, ставят блокировку на 10 лет и не знают что делать.Оставляем по умолчанию 60 минут и не паримся.

Также я рекомендую поставить галочку напротив «Сразу заблокировать неверные пользовательские имена». Например, вы поменяли логин с админ на крутыш, то при вводе логина админ в поле для авторизации, сразу же заблокируется IP-адрес. «Уведомлять по электронной почте» — тут по мере необходимости. Я не люблю лишний спам, поэтому здесь галочку не ставлю.

Итоговые настройки данной вкладки у меня выглядят так:

Блокировка авторизаций

Блокировка авторизаций

. Если вам любопытно, глянуть список заблокированных IP-адресов, ссылка на раздел представлена ​​в данной же вкладке ниже.

Ошибочные попытки авторизации. Вот здесь как раз видны те логины, которые подбираются. Чаще всего у меня сверкают логины admin, root, font. Также видны время «попыток». Обратите внимание, как часто войти в админку:

Ошибочный вход

Ошибочный вход

Автоматическое разлогинивание пользователей. Рекомендую тоже включить данный чекбокс. Позволяет через определенное количество минут завершить сессию и разлогинить пользователя. Я ставлю 600 минут:

Разлогинирование пользователей

Разлогинирование пользователей

Вкладки «Журнал активности аккаунта» и «Активных сессий» носят информационный характер.

Регистрация пользователей

Ставим галочку напротив «Активировать ручное одобрение новых регистраций»:

Ручное одобрение

Ручное одобрение

Да и можно поставить галочку CAPTCHA при регистрации:

Captcha при регистрации

Captcha при регистрации

Конечно, если нельзя зарегистрироваться на вашем сайте, верхние 2 пункта просто бесполезны, от них не станет ни лучше, ни хуже. Но, если вы сомневаетесь, лучше поставьте галочки в этих пунктах.

Защита базы данных

Здесь будьте аккуратны во вкладке «Префикс таблиц БД».Прежде чем поставить свою галочку, обязательно сделайте там процедуру создания своей базы данных (же сделайте там ссылку на создание своей бэкапа БД). Если боитесь, сомневаетесь, лучше оставьте без галочки:

Префикс БД WP Security

Префикс БД WP Security

Резервное копирование БД. Здесь уже ставим галочку, выбираем частоту создания бэкапов и их количество. У меня. к примеру, такие цифры:

Бэкап БД

Бэкап БД

Если вы не так категорически относитесь к чистоте в почте как я, то можете включить чекбокс для отправки бэкапов на свой электронный ящик.

Защита файловой системы

Доступ к файлам. Здесь в правой части у вас будут кнопки, вам нужно изменить права доступа к файлам, будет на эти кнопки. В результате все строчки у вас должны стать зелеными:

Разрешения файлов

Разрешения файлов

Редактирование файлов PHP. Если вы не правите свои файлы PHP через админку, ставим галочку. Править файлы через админку я не рекомендую, хотя бы потому, что у вас нет возможности вернуть CTRL + Z в случае чего и вы не можете вернуть файл в исходное положение:

Правка PHP

Правка PHP

Доступ к файлам WP.Ставим галочку:

Доступ к файлам WP

Доступ к файлам WP

Системные журналы. Оставляем по умолчанию.

WHOIS-поиск

Можете вбить IP-адрес, либо домен для получения WHOIS какого-либо домена. А так по сути тут нечего трогать.

Черный список

Если у вас нет недоброжелателей, можете не входить в данный пункт. Если какой-то IP-адрес постоянно сверкает в комментариях, к примеру, можете включить чекбокс и внести данный IP в черный список.

Файрволл

Базовые правила файрволла.Если вы не делали этого момента копии копии htaccess, то обязательно сделайте его. И ставим галочки напротив всех пунктов:

Файрволл WP Security

Файрволл WP Security

Дополнительные правила файерволла. Тут тоже включаем все галочки:

Правила Файрволл

Правила Файрволл

ОБНОВЛЕНИЕ: ниже во вкладке «Дополнительная фильтрация символов» я убрал галочку, потому что некоторые комментарии не проходили, отдавали 403 ошибку. Наверное, все-таки, вам тоже я посоветовал бы убрать эту галочку , чтобы не было у пользователей проблем с комментированием.

Дополнительные настройки Файрволл

Дополнительные настройки Файрволл

Настройки 5G файрволл. Тоже включаем:

5g файрволл

5g файрволл

Интернет-боты. Здесь могут возникнуть проблемы с индексом, рекомендую этот пункт.

Блокировка ботов

Блокировка ботов

Предотвратить хотлинки. Тоже включаем.

Предотвращение хотлинков

Предотвращение хотлинков

Детектирование 404. Рекомендую включить. А время ставить минут 5.

Детектирование 404

Детектирование 404

Пользовательские правила. Можно задать дополнительные правила в файле htaccess.Ничего не трогаем.

Защита от брутфорс-атак

Переименовать страницу логина. Включаем. Меняем адрес логина на свой:

Страницы логина

Страницы логина

Защита от брутфорс-атак с помощью куки. Я не включаю эту функцию, чтобы не было проблем со входом с разных устройств.

С помощью куки (авторизация)

С помощью куки (авторизация)

CAPTCHA на логин. Можете включить CAPTCHA при авторизации, я же не включаю:

Captcha на страницу логина

Captcha на страницу логина

Белый список для логина. Так как я часто захожу на сайте в разных местах, IP у меня разный, поэтому эта служба не включает:

Белый список IP

Белый список IP

Бочка с медом.Создается дополнительное поле, которое видят только роботы. Поэтому, при заполнении данного поля, робот будет перенаправлен на свой адрес. Включаем:

Бочка с медом

Бочка с медом

Защита от СПАМА

CAPTCHA в форме комментариев. Я не включаю, так как не люблю усложнять комментирование, а вот функцию «Блокировка спам-ботом от комментирования» рекомендую включить:

Спам в комментах

Спам в комментах

Отслеживание IP-адресов по спаму в комментариях. Тут можно глянуть на «частосверкающие» IP по спаму в комментариях и занести их в черный список.

BuddyPress. Добавляет CAPTCHA в форме регистрации BuddyPress. Я не использую ее.

Сканер

Отслеживание изменений в файлах. Рекомендую включить, так как часто при взломе сайтов не совсем понятно, какой файл изменили, где искать вредоносный код. С помощью этой функции можно отследить изменения в файлах вашего сайта и быстро найти файл, который изменялся в последнее время.

Сканер

Сканер

Сканирование от отрицных программ.Функция платная, стоит от 7 $ в месяц.

Режим обслуживания

Позволяет «закрыть» сайт на время, чтобы сделать какие-то правки. То есть посетителям сайта будет предложена «заглушка», что ведутся работы на сайте. Полезно при смене дизайна, проверке работоспособности плагинов.

Разное

Защита от копирования текста и прочее. Здесь я нигде в трех вкладках не ставлю галочки. Тоже рекомендую не ставить.

Итоги

После завершения всех этих настроек вы можете перейти в «Панель управления» и глянуть показатель уровня безопасности, у вас должно получится что-то вроде этого:

Уровень безопасности WordPress

Уровень безопасности WordPress

юсь, не нужно необдуманно делать все, чтобы достичь максимально возможного балла.Не занимайтесь ненужным вредом для своего сайта, его работоспособности и удобства.

На этом все, плагин рекомендую ставить всем, действительно очень классный «комбайн» в плане безопасности для WordPress.

Если возникнут вопросы — пишите. Спасибо отдельное за ретвиты и репосты, за то, что помогаете людям донести эту информацию.

.

Лучшая защита WordPress — плагин All In One WP Security (настройка)

Меня взломали. Знаете как страницу во ВКонтакте. Но они не клянчили денег, а насоздавали множество «левых» страниц с ссылками на разные сайты. Тогда я задумался над защитой своего блога. И я нашел идеальное решение.

Первое что я сделал это обратился в техподдержку своего хостинга с просьбой восстановить мой сайт за день до взлома и уже через десять минут у меня был мой нормальный блог.

Потом я установил набор плагинов для защиты ВордПресса от взлома.Но блог стал жутко тормозить. Страницы грузились по пять секунд. Это очень долго.

Я начал искать плагины, которые не так сильно нагружают систему. Читал отзывы по этим плагинами и все чаще стал натыкаться на All In One WP Security. По описанию он мне очень понравился и я решил поставить его себе на блог. И он защищает меня до сих пор, так как ничего лучше я не встречал.

Что умеет All In One WP Security (защита wordpress всё в одном):

  • Делает резервные копии базы данных, файла конфигурации wp-config.и файла .htaccess
  • Смена адреса страницы авторизации
  • Скрывает информацию о версии WordPress
  • Защита админки — блокировка при неправильной авторизации
  • Защита от роботов
  • И ещё много чего полезного

Я смело могу сказать, что плагин безопасности All In One WP Security — это лучшая защита сайта wordpress.

Настройка All In One WP Security

Зайдя в отдел Настройки, нужно сделать резервные копии:

  • база данных;
  • файл wp-config;
  • файл htaccess

Делается это на первой странице настройки плагина All In One WP Security.

сделайте бэкап (копия) перед началом работы

Пройдусь только по самым важным пунктам.

настраивать плагина all in one wp security

Панель управления

Тут нас встречает счетчик «Измеритель безопасности». Он показывает уровень защиты сайта. Ваш сайт должен быть как минимум в зеленой зоне. Не надо гнаться за максимальной планкой — лишние настройки могут нарушить функционал сайта. Добейтесь золотой середины.

Счетчик защиты сайта на wordpress

Когда вы будете тестировать настройки плагина, то увидете в каждом окне зелёный щит с цифрами — это и есть те цифры, которые прибавляются к общему счету безопасности.

цифра прибавляется к общему счету безопасности

Настройки

Вкладка WP Информация о версии

Чекаем галочку Удаление метаданных WP Generator.

Удаление метаданных WP Generator

Делается это для того, чтобы в коде не отображалась установленная у вас версия движка WordPress. Злоумышленники знают в какой версии есть уязвимости, и зная установлена ​​у вас версию ВордПресса быстрее взломать ваш сайт.

Администраторы

Пользовательское имя WP

Если у вас логин для входа в админку admin, то обязательно меняем его.Admin это самый популярный логин. Многие ЦМСки предъявляют его по умолчанию, а людям просто лень его менять.
Злоумышленники используют различные программы для взлома сайтов. Эти подбирают логины и пароли пока не найдут подходящую программу комбинацию.
Поэтому не используйте логин admin.

Отображаемое имя

Если ваш ник совпадает с логином, то обязательно меняем логин или ник.

Пароль

Если ввести тут свой пароль, то плагин покажет за какое время можно взломать ваш сайт.
Рекомендации по усилению надёжности пароля:

  • Пароль должен состоять из букв и цифр
  • Используйте строчные и прописанные буквы
  • Не используйте короткие пароли (минимум 6 символов)
  • Желательно наличие в пароле спецсимволов (% # _ * @ $ и подробных)

Сложность пароля

Авторизация

вкладка Блокировка авторизаций

Обязательно включаем. Если в течение 5 минут кто-то неправильно введёт пароль 3 раза, то IP заблокируется на 60 минут.Можно поставить и больше, но лучше этого не делать. Может случится так, что вы сами неправильно введете пароль и будете потом ждать месяцы или даже годы 🙂
Отмечаем галочку «Сразу заблокировать неверные пользовательские имена».
Допустим ваш логин хозяинсайта, и если кто-то введёт другой логин (например логин), то его IP-адрес автоматически заблокируется.

опции блокировки авторизации

Автоматическое разлогинивание пользователей

Ставим галочку. Если вы зайдете в админку сайта с другим компьютером и забудете выйти из админки, то через промежуток времени система сама вас разлогинит.
Я ставлю 1440 минут (это 24 часа).

Опции автоматического разлогинивания пользователей

Регистрация пользователей

Подтверждение руки

Чекаем «Активировать ручное одобрение новых регистраций»

Ручное одобрение новых регистраций

CAPTCHA при регистрации

Тоже ставим галочку. Это отследует регистрацию боту-роботу, так как роботы не справляются с капчей.

Регистрация Honeypot (бочка мёда)

Отмечаем.И не оставляем роботам не единого шанса. Эта настройка вводится невидимое поле (типа Введите сюда текст). Это поле видят только роботы. Так как они автоматически заполняют все поля, то и в это поле что-то напишут. Система автоматически блокирует те попытки регистрации у которых будет заполнено это поле.

Защита базы данных

Префикс таблиц БД

Если ваш сайт существует уже достаточно давно и на нем много информации, то префикс базы данных следует с максимальной осторожностью

обязательно сделайте копию копии БД

Если вы только что создали свой сайт, то можете смело менять префикс.

Префикс таблиц Базы данных

Резервное копирование базы данных

Включаем автоматическое создание бэкапов.
Выбираем частоту создание резервных копий.
И количество файлов с этими резервными копиями, которые будут храниться. Потом они начнут перезаписывается.
. Если вы хотите, чтобы эти данные использовались на электронную почту, то отмечаем галочку. У меня для этих целей в почтовом ящике заведена отдельная папка, туда пересылаются все бекапы (моих и клиентских сайтов).

Настройки резервного копирования Базы данных

Защита файловой системы

Доступ к файлам

Тут меняем права доступа к файлам, чтобы все было зелёным.

Доступ к файлам

Редактирование файлов php

Ставим в том случае, если вы не редактируете файлы через админку. Вообще вносить какие либо изменения в файлы нужно через программы ftp-менеджеры (тип файловзилла). Так в случае какого либо «косяка» всегда можно отменить предыдущее действие.

Доступ к файлам wp

Запрещаем доступ.Этим мы сможем скрыть для хакеров информацию.

Черный список

Если у вас уже есть IP-адрес, с помощью которого вы хотите запретить доступ к сайту, то включайте эту опцию.

Блокировка пользователей по IP

Файрволл

Базовые правила файрволла.

Файрволл и брандмауэр — это программный комплекс представляющий собой фильтр несанкционированного трафика.

Эти правила вносятся в файл .htaccess, поэтому сначала делаем его копию.

Теперь можно проставить нужные галочки:

Активировать основные функции брандмауэраЗащита от уязвимости XMLRPC и Pingback WordPressБлокировать доступ к debug.log

Дополнительные правила файрволла

На этой вкладке отмечаем следующие галочки:

  • Отключить возможность просмотра директорий
  • Отключить HTTP-трассировку
  • Запретить комментарии через прокси
  • Запретить отрицательные строки в запросах (Может нарушить функциональность других плагинов)
  • Активировать дополнительную фильтрацию символов (Тожеуем с осторожностью, надо смотреть как влияет на работоспособность сайта)
      У каждого пункта есть кнопка «+ Подробнее» там вы можете почитать подробно про каждую опцию.

Правила брандмауэра 6G из черного списка

Отмечаем оба пункта. Это проверенный список правил дает плагин для безопасности wordpress сайта.

Настройки файрволла (брандмауэра)

Интернет-боты

Могут появиться проблемы с индексом сайта. Я установлена ​​опцию не включаю.

Предотвратить хотлинки

Ставим галочку. Что-бы изображения с вашего сайта не показывались на других сайтах по прямой ссылке. Функция Эта снижает нагрузку с сервера.

Детектирование 404

Ошибка 404 (такой вводе страницы нет) появляется при ошибочном вводе адреса страницы. Хакеры перебором пытаются найти страницы с уязвимостями и поэтому вводят много несуществующих урлов в короткий промежуток времени.
Такие попытки взлома будут заноситься в таблицу на этой странице и чекнув галочку — вы сможете заблокировать их IP-адрес на указанное время.

Защита установки ошибок 404

от брутфорс-атак

Переименовать страницу логина

По умолчанию у всех сайтов на Вордпрессе одинаковый адрес страницы авторизации.И поэтому злоумышленники точно знают где начать взламывать сайт.
Эта опция позволяет изменить адрес этой страницы. Это очень хорошая защита сайта wordpress. Обязательно меняем адрес. Я эту галочку не отметила, потому что мой хостинг автоматически изменил мне страницу во время установки системы.

Переименовать страницу логина

Защита от брутфорс-атак с помощью куки

Я не стал этот настройку, так как есть вероятность блокировки самого себя при входе с разных устройств.

CAPTCHA на логин

Если на вашем сайте много пользователей или у вас интернет-магазин, то можете сделать это Капчу при авторизации во всех пунктах.

Защита капчей при авторизации

Белый список для регистрации

Заходите в админку только с домашнего компа и вы единственный пользователь своего сайта? Тогда впишите свой АйПи адрес и всем остальным доступ к авторизации будет закрыт.

Только быстро в списке IP имеют доступ к сайту

Бочка с медом (Honeypot)

Таже знакомая нам Бочка с мёдом — скрытое поле для роботов, но теперь для страницы авторизации.

Защита от роботов при попытке авторизации

Защита от SPAM

Вкладка Спам в комментариях

Капчу в формах для комментариев я активирую, так как не хочу усложнять комментирование. Терпеть не могу когда выполнять целый квест, что-бы написать пару строчек.
А вот блокировку спам-ботов от комментирования включаем обязательно.

Защита комментариев

Сканнер

Отслеживание изменений в файлах

Конечно ставим галочку.
Если защита wordpress плагина All In One WP Security все же пропустит хакера, чтобы вы смогли узнать какие именно файлы изменил взломщик. Тогда вы сможете восстановить эти файлы из резервной копии.

Отслеживание изменений в файлах

Режим обслуживания

Защиты сайту не прибавит, но позволит создать заглушку на время пока вы «ремонтируете» сайт, тогда посетители поймут, что сайт не сломан, а идут профилактические работы.

Разное

Здесь может быть полезна только одна вкладка — Защита от копирования.Включив эту опцию — на сайте нельзя будет выделить и скопировать текст.

Защита от копирования текста

Настройка плагина безопасности WordPress All In One WP Security завершена.
Теперь самое время вернуться к пункту Панель управления и посмотреть, сколько балов показывает счетчик защиты.

Мой сайт защищен на 290 балов

Это был один из серии уроков про лучшие бесплатные плагины wordpress, так что подписывайся на новые статьи и читай только полезные уроки.
Шутка дня:
Если Вы проснулись на улице, значит, Вы там заснули

.

Плагин All In One WP Security для защиты WordPress

Адель Гадельшин

Плагин All In One WP Security представляет собой многофункциональный плагин защиты, который работает со всеми аспектами безопасности сайта. В нём огромное количество настроек, и пользоваться им сравнительно легко, так как весь интерфейс на русском языке.

В этой статье мы рассмотрим и опишем все функции и возможности данного плагина. Если вы решите использовать этот плагин на своём сайте, то вам нужно быть внимательным при его настройке и изучить каждую опцию.

В прошлой статье мы уже начали обзор этого плагина, а здесь продолжаем.

Настройка All In One WP Security: список опций и возможностей Настройка All In One WP Security: список опций и возможностей

Регистрация пользователя

  • Подтверждение вручную. Можно включить подтверждение регистраций администратором сайта. Это предотвратит нежелательные регистрации.
  • CAPTCHA при регистрации. Можно включить капчу в форме регистрации. Это предотвратит спам-регистрацию.
  • Ловушка регистрации. Ещё один способ борьбы со спам регистрами.Эта функция создаёт невидимое поле в форме регистрации, которое видно только роботам. Соответственно заполнят его только роботы, что и позволит спам.

Защиты базы данных

  • Префикс таблиц БД. По умолчанию префикс базы данных в WordPress — это wp_ И, как все об этом, упрощает работу взломщикам. Здесь можно изменить префикс на любой другой.
  • Резервное копирование БД. Можно настроить автоматическое периодическое резервное копирование базы.

Защита Файловой системы

  • Доступ к файлам. Можно управлять правами на файлы и папки, а также получать рекомендации по ним.
  • Редактирование файлов PHP. Можно отключить возможность редактирования файлов тем и плагинов из панели управления WordPress.
  • Доступ к файлам WP. Можно отключить доступ к файлам readme.html, license.txt и другим, в которых могут содержаться данные, полезные для взлома.
  • Системные журналы. Можно просматривать файлы логов.

WHOIS-поиск

  • Результаты WHOIS-поиска. Здесь можно получить детальные данные о том или ином IP-адрес какого-либо пользователя. Это удобный, встроенный в плагин, инструмент.

Черный список

  • Забанить пользователей. Позволяет блокировать пользователей по IP-адресам или по User-agent.

Файрволл

  • Базовые правила файрволла. Здесь можно отключить доступ по XMLRPC (удаленная публикация), а также запретить доступ к файлу ведения логов отладки debug.log.
  • Дополнительные правила файрволла. Здесь можно отключить возможность просмотра папки сайта, HTTP-трассировку, убрать возможность комментирования с помощью прокси-серверов, и другое, что так или иначе может быть для взлома сайта.
  • Правила черного списка 6G. Здесь можно актировать либо устаревшую защиту 5G, либо — 6G.Суть защиты в том, что она снижает вероятность использования тех или других вредоносных запросов к сайту.
  • Интернет-боты. Боты — это хорошо. Значит какой-то сервис сканирует сайт и занесёт его в свою базу, например в поиск Яндекса или Google. Некоторые боты могут притворяться хорошими, выполнять плохие функции, например, искать уязвимости. Здесь можно отключить доступ таким ботам.
  • Предотвратить хотлинки. Хотлинки позволяют публиковать изображения с вашего сайта, на других сайтах с помощью прямых ссылок на них.Это повышает нагрузку на ваш сайт. И здесь можно отключить эту возможность
  • Детектирование 404. Можно блокировать пользователей, которые часто получают от ошибки 404. Многократное получение за кроткое время говорит о сканировании сайта в целях взлома.
  • Пользовательские правила. Если вы разбираетесь в веб-программировании, то можете создать пользовательские правила для файла .htaccess.

Защита от брутфорс-атак

  • Переименовать страницу логина. Стандартная страница входа /wp-login.php здесь может быть переименована в любого друга. Это уменьшит вероятность взлома. Ведь взламывать будут по адресу /wp-login.php.
  • Защита от брутфорс-атак с помощью куки. Здесь можно включить защиту от взлома с помощью подбора логина и пароля.
  • CAPTCHA на логин. Здесь можно добавить к странице авторизации капчу от Google — reCAPTCHA.
  • Белый список для логина. Создаёт белый список IP, вход которым не будет заблокирован никогда.
  • Бочка с медом (Honeypot). Способ защиты от спам-входа путём создания невидимого поля в форме входа, заполняют только роботы.

Защита от СПАМА

  • Спам в комментариях. Позволяет включить капчу в комментариях и блокировать тех, кто её не пройдёт.
  • Отслеживание IP-адресов по спаму в комментариях. Позволяет определить IP тех пользователей, кто оставляет спам в комментариях и блокировать их для других операций на сайте тоже.Например, для авторизации.
  • BuddyPress. Интеграция с плагином BuddyPress.
  • BBPress. Интеграция с плагином BBPress.

Сканнер

  • Отслеживание изменений в файлах. Можно настроить периодическое сканирование сайта на изменение в его файлах.
  • Сканирование от вредоносных программ. Можно включить сканирование на вредоносный код.

Режим обслуживания

  • Блокирование доступа посетителей к сайту. Можно включить режим обслуживания, когда посетители видят заставку вместо сайта.

Разное

  • Защита от копирования. При включении этой опции сайта нельзя будет скопировать текст.
  • Фреймы. Позволяет блокировать возможность отображения контента на других сайтах во фреймах.
  • Перечисление пользователей . Предотвращает возможность получения логинов всех пользователей на сайте.
  • WP REST API. Блокирует несанкционированные запросы по API.

.

All In One WP Security

Статьи в этой же категории

А сегодня, друзья мои, будем защищаться.

Да. Именно так. От кого? От тех товарищей-подонков, которые будут покушаться на наше «блогосостояние». Кто эти люди я не могу сказать, но они есть и не могу взять в толк, почему под их ногами не горит земля. Почему на их головы не идет каменный дождь и они не захлебываются слюной своего злорадства.

А коли такие люди существуют, то от них нужно адекватно защищаться.И мы сегодня поставим вам супер-клевый плагин для защиты вашего блога.

Будьте уверены, не одна сука не проникнет в ваш блог и не напакостит вам, после того как вы его поставите.

А плагин этот All In One WP Security.

Я раньше пользовался плагинами защиты и как-то особо не беспокоился о безопасности, логин естественно ADMIN, пароль из пяти букв, и естественно это было до поры до времени. В плагины и не заглядывал никогда, ну стоит, да стоит, значит охраняет.Короче в темную все.

А когда хакерская атака прорвала эту защиту и начало перегружать хост, то тут я задумался… И совершенно случайно надкнулся на плагинчик, который мне показался очень милым и доброжелательным. И в то же очень серьезным охранником, послушав которого и выполнив его указания вы будете под надежной защитой.

Конечно, пока вы будете молодой блогер и пока ваш путь будет в стадии развития, беспечность прокатит. Но когда вы наберете вес и станете локтями расталкивать конкурентов, освободите место под солнцем, у вас появятся завистники и недоброжелатели.Поэтому с самого начала возьмите в привычку хорошо защищаться.

Так чем же хорош этот плагин All In One WP Security?

  • Надежный;
  • Бесплатный;
  • Русифицированный;
  • Простой.

Установить его на WordPress по стандартной схеме: Плагины-Добавить новый, в поиск вбиваем All In One WP Security, Enter, первый, и это не случайно, будет он родимый…

Перейдем к настройке плагина All In One WP Security

Советую перед установкой сделать копию с вашей Базы данных.1. Сама База данных. 2. Файл файл wp-config. 3. файл .htaccess.

И все это, как все-таки удобно, можно сделать в настройках самого плагина.

Панель управления

В меню админки находим WP Security, подменю плагина Панель управления.

Первое что бросается в глаза, это этакий манометр защищенности и диаграмма проделанной работы плагина. Это вообще круто.

Что хочу сказать.ВАЖНО! Не увлекайтесь защитой до максимума. Не доводите давление до критического. Чревато последствиями сбоем в работе сайта. Так говорят, сам не испытывал никаких проблем, наверное, потому что просто держу чуть больше половины положенного.

Здесь в панели управления больше ничего не делаем и переходим в настройки.

Настройки

Вот именно здесь мы делаем копии нашего сайта и Базы данных. Здесь же мы будем, при необходимости отключать Файервол, если понадобится.

Во вкладке WP мета информации поставьте галочку

Во вкладке «Импорт / Экспорт» делаются действия по экспорту ваших настроек в какой-то другой сайт, если у вас есть, чтобы не ставить все галочки, которые мы сейчас будем проставлять. В два клика все будет сделано.

Администраторы

Пользовательское имя WP.

Здесь меняйте имя администратора и это сделать НАДО.По умолчанию admin или wp-admin. Измените на другое, к примеру myblog-admin, или Я-Вася-Иванов. И вообще забудьте слово admin раз и на всегда.

Отображаемое имя .

Придумайте любое имя, кроме admin. И еще советую если у вас на сайте несколько аккаунтов, делайте отображаемые имена разных.

Пароль.

Самая интересная вкладочка. С нашим монометром, на котором можно оценить степень взламываемости вашего пароля.Просто вписывайте предпологаемый пароль в инструменте, он сразу же будет выдавать вам время, за которое он может быть взломан. В нашем случае 9 лет 6 месяцев.

Авторизация

Блокировка авторизаций.

Включите так, как скриншоте. Разумно ставить значения, которые сообразны со здравым смыслом. Например, если за 5 минут неправильный пароль был набран в 3 раза, то ваш IP заблокируется на час. Так стоит по умолчанию. Я соглашаюсь с таким раскладом.Вы можете изменить, только в разумных пределах.

Заблокированные IP можно посмотреть ниже.

Ошибочные попытки авторизации.

Вот здесь видно тварей. Отслеживайте кто часто лезет и принимайте меры. У меня пока один, потому что недавно очистил список.

Автоматическое разлогинивание пользователей.

Включаем и ставим время 600 минут, которые через пользователь будет отключен.

Журнал активности аккаунта »и Активных сессий информативные.

Регистрация пользователей

В Подтверждение вручную и CAPTCHA при регистрации ставьте галочки в чекбоксы.

Защита Базы данных

Префикс таблиц БД .

Я не стал ставить здесь ставить галку, но если вы захотите поставить, то сделайте сначала копию своей Базы данных.На всякяий случай.

Резервное копирование.

Ставим галку и назначаем частоту их создания. Так же назначаем количество этих бэкапов, которые хранятся в специальной директории плагина.

Защита Файловой системы

Доступе к файлам.

В столбце Рекомендуемые действия нажимайте на кнопки там где нужно, плагин все сделает так как надо, и в итоге все строки в таблице должны выглядеть зелеными, вот так как у меня.

Редактирование файлов PHP.

Это для тех, кто правит файлы через админку. Ставьте, если не правите, не ставьте, если правите. Но вообще не рекомендуют править файлы в админке. Хотя дело каждого. Хотя если что накосячите, у вас не будет возможности все быстро вернуть клавишами CTRL Z.

Доступ к файлам WP.

Ставим Галю, тем самым запрещаем доступ к информ-файлам WordPress

Системные журналы.

Как есть, так и оставляем

WHOIS-search

Я ничего не делал. Не нужно мне узнавать какую-либо информацию о том или ином IP.

Черный список

Это для тех, кто часто светится на вашем сайте с подозрительными намерениями, вы их можете увидеть в (Авторизация — блокировка авторизаций — заблокированный IP). Если такие есть, то ставьте галку и прописывайте эти IP.

Файрволл

Базовые правила файрволла .

В первую очередь делайте копию файла .htaccess , если вы еще не сделали ее и поставьте галочку.

Дополнительные правила файрвола.

Ставим

А в Дополнительной калибровке символов не ставим галку. Могут проходить не все комментарии, выдавая ошибку 403, что тоже не очень хорошо.

Настройки 5G

Включаем

Интернет-боты.

Не включайте чекбокс

Предотвратить хотлинки.

Включаем

Детектирование 404.

Включаем и ставим время 5 минут

Защита от брутфорс-атак

Ставим галку и здесь вот мы ием адрес страницы для логина. Здесь вы можете изменить адрес страницы входа в админку.

Защита от брутфорс-атак с помощью куки.

Не хотите испытывать проблемы с разного рода устройств.

CAPTCHA на логин.

Не знаю как вы, если хотите капчу включить, включайте. Я этого не сделал.

Белый список для логина.

Не включайте. Наверняка будете входить на свой блог с разных устройств, мест и IP.

Бочка с медом.

Включаем

Защита от SPAM

Спам в комментариях.

CAPTCHA в форме комментариев — Не ставим. Блокировка комментариев от спам-ботов — Ставим

BuddyPress.

Добавляет CAPTCHA в форму BuddyPress. Нет надобности использовать.

Сканер

Я так понимаю процесс порчи при взломе. Хакеры меняют какие-то файлы в системе, не найдя восстановить сайт не увенчаются успехом. Так вот при помощи этой функции можно отследить что именно изменялось в ближнем времени.Я просто восхищаюсь… Включаем автоматическое сканирование файлов.

Сканирование от отрицательных программ.

За это нужно платить.

Режим обслуживания

Прошу обратить внимание на смысл этого сервиса. Включить режим обслуживания означает выключить ваш сайт вообще. Он не будет виден никому, в том числе и роботам, соответственно и не будет индексироваться. Поэтому имейте это ввиду и не ставьте без острой необходимости эту галку.

Ваш покорный слуга отключил сайт на 2 дня, пока не заметил посещаемости и поиск причины.

В текстовом поле напишите что будут видеть посетители на время отключения сайта.

Разное

Здесь я понимаю только защиту от копирования. Галку не ставлю, пусть копируют все, это же так приятно)))

Результат

Плагин мы настроили. Зайдем в панель управления и посмотрим новый уровень безопасности.Уверен, он стал намного выше, чем был. Теперь вы можете быть спокойным за безопасность вашего сайта.

А еще, что характерно, будете сюда заглядывать регулярно, чего не делали раньше с подобного рода плагинами.

Воспользуйтесь возможностью, живите и работайте спокойно и продуктивно.

Порекомендуйте знакомым этот плагин. Можете дать ссылку на мой сайт

До встречи в сети!

.