Всеки, който за първи път се сблъсква със сигурността на сайта, се замисля кой плъгин да инсталира и конфигурира за тази цел.

Изборът не е малък. Ако напишете „Сигурност“ в полето за търсене на приставки, резултатът ще бъде доста дълъг.

Във всеки случай си струва да се спрете на най-популярните, активно поддържаните и разбира се тези, които заслужават най-много оценки.

В този преглед реших да инсталирам 4 добавки за сигурност на WordPress и да разбера кой е най-добрият за обикновения потребител:

Първите три предлагат и премиум функционалност, но няма да я включа в ревюто.
Може би в професионалистите няма такива функции, без които да не можете да живеете или които да не можете да замените с безплатна алтернатива.

Имайте предвид, че това не е така подробен прегледвсички функции, скорост на код или изисквания. Това е анализ на основната функционалност на настройките за сигурност и нивото на работа с него.

Ограничете опитите за влизане

• Сигурност на Wordfence

Извиква се опцията за активиране на защитата при удостоверяване Активирайте защитата при влизане. За съжаление плъгинът не е преведен на руски.

В долната част на страницата има блок с настройки: брой опити за влизане, време за опити за отчитане, време за блокиране и редица други опции.

• Сигурност на iThemes

Модулът за защита при влизане се намира в раздела Локална защита от груба сила. Потребителите на този плъгин имат малко повече късмет с руската локализация.

Точно по-долу можете да активирате модула за мрежова защита Мрежова защита от груба сила. За да направите това, трябва да поискате API ключ и списъкът за забрана автоматично ще включва адреси, които вече са се опитвали да хакнат сайтове на други хора.

• сигурност на щита

Защитата при влизане е в раздела Защита при влизане. Има превод на руски и като цяло искам да отбележа много приятен и логичен интерфейс.

Може също да забележите, че можете да използвате reCAPTCHA тук, да настроите двуфакторно удостоверяване, да преименувате страницата за вход wp-login.php и дори да се свържете с Yubikey.

• Всичко в едно WP сигурност

Блокът с настройки за защита срещу груба сила се намира на страницата потребителски вход. Няма готов превод. Опциите са подобни на подобни модули на други добавки.

В съседните раздели можете да видите регистрационните файлове на събитията.

защитна стена

• Wordfence

Защитната стена е един от основните функционални модули на плъгина WordFence. Има два режима Основен и Разширен. Последното ви позволява да блокирате някои атаки дори преди стартирането на WordPress, но изисква по-задълбочено разбиране на настройките на сървъра.

В безплатната (общностна) версия правилата за блокиране се актуализират 30 дни след като са били добавени към pro.

• Сигурност на iThemes

В този плъгин няма защитна стена. A препоръчва iThemes да използва услугата Защитна стена на уебсайт Sucuri(срещу такса).

• сигурност на щита

Няма да се объркате в настройките на този плъгин, разделът Защитна стена е на видно място. Като цяло се препоръчва да активирате всички опции.

• Всичко в едно WP сигурност

Страницата за блокиране изглежда обемна поради факта, че функционалността е разделена на раздели. Мястото е заето от икони за помощ и ниво на защита (въпреки че защо са необходими последните). Има няколко опции, те могат да бъдат включени при необходимост.

Дневник на промените и действията

• Wordfence

На страницата може да се активира автоматично сканиране Настроикив крачка Активирайте автоматичните сканирания по график, и не забравяйте да посочите точно под имейла ( Къде да изпращате сигнали по имейл).

Wordfence ви дава голям контрол върху това какво да сканирате, как и кога да изпратите отчета.

• Сигурност на iThemes

Функционалността на монитора е в блока Откриване на промяна на файла.
Сканирането се извършва на части. Можете да изключите определени файлове, папки или типове файлове.

В раздела основни настройкиможете също да активирате и конфигурирате известия, когато хостове или потребители са блокирани.

• сигурност на щита

Сканирането на промените и регистърът на активността могат да бъдат конфигурирани в два раздела: Защита от хаковеи Одитна пътека.

Първият модул е ​​конфигуриран да сканира целостта на файловете и да ги коригира, както и скенер за неразпознати файлове.

Модулът Audit Trail проследява и изпраща отчет за различни събития в WordPress (активност, свързана с плъгини и теми, действия в потребителски акаунти, редактиране и публикуване на публикации и др.).

• Всичко в едно WP сигурност

Модулът за проследяване на промените е на страницата Скенер. Там можете ръчно да сканирате или да настроите график.

Заключение, имаме двама победители в наблюдението на промените и записването на действия: Wordfenceи сигурност на щита. В зависимост от задачата.

Струва си да се отбележи, че сканирането на файловата система е доста интензивен процес, така че трябва да го активирате и конфигурирате разумно.

Блокиране на хост

• Wordfence

Wordfence предоставя гъвкав инструмент за блокиране на потребители.

Можете да зададете редица условия, за да се осъществи блокирането.

Можете да блокирате IP ръчно. Или използвайте по-усъвършенствани методи: диапазон на блокове, потребителски агент и т.н. Функцията за блокиране на държави е налична в премиум версията.

• Сигурност на iThemes

Функционалността е в раздела Блокирани потребители. Можете да активирате списък за забрана от сайта HackRepair.com и да откажете достъп до отделни хостове или потребителски агенти.

• сигурност на щита

Списъкът се съставя автоматично, неговите настройки и активиране могат да бъдат намерени в модула IP мениджър. Няма ръчно добавяне.

• Всичко в едно WP сигурност

Потребителските IP адреси и потребителските агенти могат да бъдат ръчно блокирани на страницата Мениджър на черния списък.

Могат да бъдат извикани блокиращи победители Wordfenceза гъвкавостта за конфигуриране на условията за блокиране и сигурност на щитаако сте съгласни да разчитате изцяло на автоматична системаключалки.

Окончателно сравнение на добавки

Разглежда се само общата основна функционалност. Разбира се, всеки плъгин за защита има редица свои собствени функции. Антиспам, архивиране на база данни, потребителски настройки, разрешения за файлове и директории, деактивиране на ненужни функции и др. Но това са такива второстепенни неща или могат да бъдат изпълнени алтернативни решенияпо-гъвкави и фокусирани.

Общата ми оценка идва от функционалността и използваемостта на следните модули:

• Защита при влизане;

Проследяване/одит на промените;

Блокиране на хоста;

Прегледът на най-добрия плъгин за сигурност на WordPress определено поема водещата роля Wordfence. Въпреки че интерфейсът му може да изглежда объркващ на пръв поглед. Официалният уебсайт има добра документация (на английски).

Много доволен от прегледа сигурност на щита, Русифициран и ясен интерфейс, очевидно насочен към потребители, които са по-малко обучени или не искат да се ровят във всички тънкости на настройките за сигурност.

От останалите два плъгина определено бих предпочел Сигурност на iThemes, макар и само за по-логичен и по-чист интерфейс.

Всичко в едно WP сигурностНе мога да нарека лош плъгин, той си върши работата. Но той не е лидер и в тази четворка. Това е само индикатор, че плъгините с мащабируема премиум функционалност се опитват да отговорят в по-голяма степен на изискванията на пазара и това, разбира се, се отразява на безплатните версии.

Функционалността на всички тези добавки е модулна, т.е. ако е необходимо, те дори могат да бъдат конфигурирани да работят заедно. Е, или елиминирайте излишъка, оставете само необходимото.

Ако го направите разумно, тогава към сигурността и нейните настройки трябва да се подхожда индивидуално, в зависимост от предназначението на сайта, техническото изпълнение и условията за неговата работа.

Здравейте всички! Безопасност и повече безопасност! Ако вече сте чели статията "" в моя блог, тогава вероятно се интересувате от допълнителна сигурност за вашия сайт. И като цяло, всеки адекватен уеб администратор трябва да обича и защитава своето потомство. В тази статия ще говоря за всички опции на плъгина All In One WP Security и ще ви покажа как правилно да ги конфигурирате.

важно

В моя блог има поредица от уроци "". И ако сте конфигурирали сигурността на сайта, като вземете предвид препоръките на тези уроци, тогава имайте предвид, че плъгинът All In One WP Security ще дублира функциите на други плъгини за защита. Например функции:

• IP блокиране след невалидни опити за влизане
• captcha в коментарите
• промяна на страницата за вход в админ панела и др.

Затова оставете всичко както е и не инсталирайте плъгина или докато конфигурирате плъгина All In One WP Security, внимателно анализирайте функциите за защита, така че те вече да не дублират функции инсталирани добавки. И ако видите дубликат, деактивирайте дублиращия се плъгин, така че всички настройки за защита на All In One WP да работят правилно.

Може би ме питате защо в курса за блогове „Направи си сам“ препоръчах конфигуриране на сигурността на WordPress чрез интегриране на код, отделни плъгини и т.н.? Става въпрос за алтернативата. И между другото, при моите измервания на скоростта на зареждане и цялостната производителност на сайта, не забелязах разлика между всички препоръки, включени в трите части на урок 13, от приставката All In One WP Security. Има хора сред вас, които няма да приемат думата ми за това и ще продължат да интегрират кода в двигателя, заобикаляйки "тежките добавки", правете както знаете.

Инсталиране на плъгин

Така че да започваме. Първо инсталирайте плъгина All In One WP Security и го активирайте:

След това в административния панел на сайта ще се появи менюто на плъгина:

Когато задържите курсора на мишката върху него, се появява контекстно меню:

Контролен панел

Мисля, че е по-добре първо да се запознаете с контролния панел, за да отидете до който трябва да кликнете върху елемента от менюто на приставката в администраторския панел или да задържите курсора на мишката върху „WP Security“ и да кликнете върху „Контролен панел“. След това ще видите пет раздела:

Раздел Контролен панел

Първоначално сме в раздела "Контролен панел". Тук можете да видите блоковете:

• Активни сесии
• Режим на поддръжка
• Последни 5 влизания
• Блокирани IP адреси

Измервател на нивото на сигурност

Този блок показва текущото ниво на защита въз основа на всички настройки на плъгина:

Измерва се в точки, които се добавят след активиране на определена настройка. Колкото по-висок е текущият резултат за сигурност, толкова по-добре. Но така и не успях да повиша нивото на сигурност до максималната стойност от 505 точки (версия на приставката към момента на писане Версия 4.3.2). Това се дължи на ненужни функции за моя блог, които не включих.

Диаграма на сигурността на вашия сайт

Тази диаграма показва всички текущи промени в настройките:

Това е някакъв вид статистика, която ви позволява бързо да навигирате в състоянието на настройките.

Блокиране на „Активни сесии“

Този блок показва информация за текущите сесии в административния панел на сайта:

По правило блокът показва известие: „Сега няма активни потребители освен вас“. Разбира се, ако в административния панел на сайта няма други акаунти с разрешение за работа и всъщност виждате неизвестен акаунт в този блок, тогава това е хакер.

Режим на поддръжка

Много удобна функция:

Не споря, че режимът на поддръжка може да бъде активиран чрез пренасочване към предварително създадена страница чрез .htaccess, но плъгинът вече има тази опция и това значително улеснява живота по време на, например, поддръжка на сайта. Освен това можете да персонализирате страницата на услугата по ваш вкус. За да настроите и включите сервизния режим, щракнете върху бутона "включване / изключване". След това ще стигнете до страницата с настройки на режима на поддръжка. За да активирате режима, поставете отметка в квадратчето „Активиране на режим на поддръжка“ и запазете настройките. Освен това можете да персонализирате показвания текст, да вмъкнете изображение и др. И това може да се промени в блока "Въведете съобщение".

Този блок съдържа информация за датата и последните пет IP адреса, от които сте влезли в административната част на сайта:

Тази информация е полезна не само за целите на сигурността, но и за проследяване на сесии на други акаунти.

Блокирани IP адреси

Този блок показва IP адреси, които са били блокирани от плъгина All In One WP Security или от вас ръчно:

В екранната снимка няма записи, но в случай на блокиране на IP адреси ще се появят записи.

Текущо състояние на най-важните характеристики

В този блок можете да видите състоянието на критичните мерки за сигурност:

Както можете да видите, всички плъзгачи първоначално са в позиция „ИЗКЛЮЧЕНО“. Специално създадох условия с банално влизане „администратор“, за да кажа и покажа как се прилагат минималните препоръки, за да се гарантира защитата на вашия сайт.

Администратори

Елементът с настройки „Администратори“ отговаря за контролирането на акаунтите на администраторите на сайта. Тук ще видите следните раздели:

Персонализирано име на WP

Първият раздел „WP Custom Name“ показва списък с администратори. Тук можете също да видите предупреждение за влизания, които могат да бъдат компрометирани:

Както можете да видите, плъгинът счита влизането „admin“ за опасно и предлага преименуването му. Нека го направим. За да промените данните за вход, в празното поле "Ново потребителско име на администратор" въведете ново име, например друго банално нещо - "wpadmin". След това кликнете върху „Промяна на потребителското име“. След това системата автоматично ще излезе от акаунта, за да влезете с новото администраторско име. След това ще се върнете в раздела „WP Custom Name“.

Сега обърнете внимание на блока „Промяна на потребителското име на администратора“, а именно точките:

Поздравления, получавате 15 точки от 15 за изпълнение на една основна препоръка за сигурност на WordPress.

Опитните уеб администратори са наясно, че стандартната функционалност не може да промени името на администратора, но с помощта на плъгина All In One WP Security можете. Всеки, който е прочел първата част от урока „Конфигуриране на сигурността на WordPress“ знае какви трудности могат да възникнат при създаване на администраторски акаунт с ново име и свързване на поща от стария акаунт към него.

Парола

Сега нека погледнем вътре в раздела "Парола". В блока „Проверете силата на паролата“ можете да въведете вашата Настояща паролаи получете следната информация:

Както можете да видите, бот за отгатване на пароли, стартиран от обикновен компютър, ще вземе такава парола за много, много дълго време, дори ако защитата на плъгина е заобиколена.

Екранно име

Вероятно се чудите защо пропуснах раздела Показвано име. Оставих го за лека закуска. Полезността на този елемент е предназначена за съвсем нови потребители на WordPress. Тук можете да видите броя точки, както във всяко меню с настройки. И ако псевдонимът съвпада с данните за вход на администратора, ще видите предупреждение:

Можете да промените псевдонима си, като щракнете върху администраторското име или като задържите курсора на мишката върху „Потребители“, в менюто на административния панел, като щракнете върху елемента „Вашият профил“. Ако не сте преминали моя курс за създаване на блог, тогава първо въведете в полето „Псевдоним (задължително)“ видимо име като автор на статиите, което не съвпада с входа на администратора. След това в падащия списък „Показване като“ изберете въведения преди това псевдоним. След това запишете. Сега, когато посетите менюто с настройки „Администратори“ на плъгина All In One WP Security, разделът „Показвано име“ ще покаже следното:

Настройки

Основни настройки

По подразбиране вие ​​сте в " Основни настройки". Следните полезни функции са достъпни за вас тук:

• създаване на резервно копие на база данни
• архивиране на файла .htaccess
• архивиране на файла wp-config.php

Има също опции за активиране или деактивиране на защитната функция и всички функции на защитната стена на All In One WP Security. Винаги ви съветвам да прочетете обясненията на опциите, преди да промените настройките на приставката, например:

.htaccess и wp-config.php

Обърнете внимание на разделите „.htaccess File“ и „wp-config.php File“. В настройките на тези раздели можете да създавате и възстановявате архивиране, познахте, .htacces и wp-config.php. Това е доста удобно и не изисква FTP клиент.

Информация за версията на WP

За мен по-интересният раздел е следващият - "WP Version Info". За тези, които не знаят, нека обясня. WordPress генерира мета таг с атрибут content, който от своя страна има стойност сегашна версиядвигател на сайта. Опасно е, изключително опасно! Следователно в секцията „Премахване на метаданни на WP Generator“ поставете отметка в квадратчето до „Отметнете това, ако искате да премахнете версията и мета информацията, създадена от WP от всички страници“ и щракнете върху „Запазване на настройките“.

Внос износ

Разделът Импортиране / Експортиране е отговорен за създаването, така да се каже, шаблон за настройки. Като настроите плъгина All In One WP Security на един от вашите проекти, можете да прехвърлите настройките на други сайтове. Това е много удобно, дори ако сте конфигурирали плъгина, експортирали настройките, но изведнъж се е наложило да възстановите резервното копие на сайта.

разширени настройки

Последният раздел „Разширени настройки“ отговаря за метода за получаване на данни за IP адреса на всеки от посетителите. Ако не сте запознати с PHP на доста добро ниво и суперглобалният масив $ _SERVER прави зениците на очите ви по-големи, тогава ви моля да не доближавате този раздел.

Упълномощаване

В този елемент от настройките на плъгина All In One WP Security виждаме следните раздели:

Блокиране на авторизация

В описанието на този раздел вероятно вече сте прочели инструкциите на разработчиците относно атаките с груба сила. След това трябва да поставите отметка в опциите до блоковете:

• Активирайте опциите за блокиране на опити за оторизация
• Разрешаване на заявки за деблокиране (в случай че сте блокирали себе си)
• Показване на съобщения за грешка при оторизация (увеличава шансовете да не се блокирате)
• Уведомяване по имейл (винаги имайте предвид неуспешните опити за влизане, което ви позволява незабавно да реагирате на възможни опити за хакване)

Слизаме до глобалния блок "Диапазон от временно блокирани IP адреси". Тук можете да отидете до статистиката на блокираните адреси, като щракнете върху „Заключени IP адреси“.
В блока "Login Lockdown IP Whitelist Settings" можете да конфигурирате списък с бели IP адреси, например адреса на вашия компютър, към който няма да се прилагат настройките за блокиране. За да направите това, в блока „Активиране на IP бял списък за блокиране на влизане“ поставете отметка в квадратчето, за да активирате настройката, и в блока „Въведете IP адреси за белия списък“ въведете своя IP адрес. Не забравяйте да запазите по-долу. Но не препоръчвам да създавате бял списък. Нападателите могат да подправят вашия IP адрес.

Неуспешни опити за влизане

Продължаваме напред. В раздела „Неправилни опити за авторизация“ ще бъдат изброени неуспешните опити за авторизация. Тази информация е много полезна по отношение на анализа на опитите за влизане. Тези, които се интересуват от тези статистики, могат да ги експортират в CSV файл:

Автоматично излизане на потребителите

Разделът „Автоматично излизане на потребителите“ е не по-малко важен от останалите настройки. Тук можете да разрешите излизане на потребители на админ панел след определен период на неактивност, например 60 минути:

Дневник на активността на акаунта

След това отидете на „Дневник на активността на акаунта“. Тук можете да видите времето за влизане и излизане за конкретен потребител. За всички акаунти се запазват само 50 записа. Информация като тази е полезна за анализ на дейността:

Можете също да експортирате тези данни в CSV файл.

Активни сесии

AT последния раздел„Активни сесии“ показва акаунтите в реално време, под които сте влезли в администраторската част на сайта:

Регистрация на потребител

В 99% от случаите настройката „Регистрация на потребител“ за блога, в плъгина All In One WP Security, е пропусната. Но все пак ще говоря за опциите на следните раздели:

Ръчно потвърждение

Ако вашият сайт предвижда регистрация и количеството спам, оставен от потребителите, оставя много да се желае, тогава трябва да активирате ръчно одобрение на новия потребител в раздела „Ръчно потвърждение“. Това ще ви позволи да затворите достъпа до оторизация, докато ръчно не потвърдите регистрацията на потребителя. Какво всъщност прави? Както показва практиката, в един от моите проекти има хора, които първоначално регистрират поща по тип: [имейл защитен], [имейл защитен], [имейл защитен]и т.н. Подобни писма се използват по време нова регистрация, след като забраних първия акаунт на определено лице. И ако видя, че подобна поща на спамер наскоро е хванала окото ми, тогава ще забраня регистрацията. В резултат на това спамерът не може да влезе и да използва същата поща отново, за да се регистрира, въпреки че не е имал време да остави спам.

Следователно, ако има нужда от допълнително модериране на потребителите веднага след регистрацията, трябва да поставите отметка в квадратчето в блока „Активиране на ръчно одобрение на нови регистрации“ и да запазите настройките.

CAPTCHA при регистрация

Следващият раздел „CAPTCHA при регистрация“ добавя captcha към страницата за регистрация на потребителя. Captcha може да се активира, като поставите отметка в квадратчето „Активиране на CAPTCHA на страницата за регистрация“. Намирам тази функция за необходима и полезна. Разбира се, ако сте предвидили регистрация на нови потребители.

Регистрация Honeypot

Разделът "Регистрация Honeypot" е много полезна функцияза блокиране на сложни ботове за регистрация. Съветвам ви да активирате тази опция в блока „Активиране на Honeypot на страницата за регистрация“. Запазване.

Защита на бази данни

Групата настройки за защита на базата данни се състои от два раздела:

Бъдете изключително внимателни с настройките в първия раздел „Префикс на таблица на DB“. Необходимо е незабавно да направите резервно копие на базата данни в раздела "DB Backup".

Архивиране на база данни

Нека да разгледаме раздела "DB Backup". За да създадете резервно копие на база данни, щракнете върху бутона „Архивиране на базата данни сега“. След като създадете успешно резервно копие, ще видите следната информация:

Екранната снимка показва местоположението на моята база данни. Ще имате свой собствен адрес.

Освен това в този раздел можете да конфигурирате редовното създаване на копие на базата данни. За да направите това, поставете отметка в квадратчето до „Активиране автоматично създаванерезервни копия“. Освен това можете да конфигурирате колко често да създавате копия, колко копия да съхранявате на сървъра и да изпращате копия по пощата. Да не забравяме да спестяваме.

Префикс на DB таблица

Връщаме се в раздела "Префикс на таблица на DB". Ако не сте променили префикса на базата данни, той има стойността "wp_". Ето за какво ще видите предупреждение:

За да зададете различен префикс на всички таблици в базата данни, трябва да го посочите в полето на блока „Генериране на нов префикс на таблица на база данни“. След това кликнете върху „Промяна на префикса на таблицата“. Ако не знаете много за това какъв трябва да бъде префиксът, тогава ви съветвам да поставите отметка в квадратчето до „Проверете, така че самият плъгин да генерира префикс с дължина 6 произволни знака“ и полето „Въведете свой собствен версия на префикса с латински букви, цифри и долна черта” оставете празно.

Защита на файловата система

Сега нека проучим настройките „Защита на файловата система“ на плъгина All In One WP Security. Този елемент за настройки се състои от четири раздела:

Достъп до файлове

По подразбиране сме в раздела „Достъп до файлове“. Ако се съмнявате кой CHMOD (разрешения) да инсталирате в определена папка на сървъра, тогава приставката All In One WP Security ще реши всичко вместо вас. Обърнете внимание на таблицата в този раздел. Ако плъгинът има коментар относно текущите разрешения, тогава ще видите надписа „Задайте препоръчани разрешения“ в колоната „Препоръчано действие“:

Ако няма коментари, тогава надписът „Не се изисква действие“. За да приложите препоръчителните настройки на CHMOD, щракнете върху Задаване на препоръчани разрешения.

Редактиране на PHP файлове

Този раздел задава забрана за редактиране на PHP файлове от административната среда. Съветвам ви да поставите отметка в квадратчето „Деактивиране на възможността за редактиране на PHP файлове“.

Достъп до WP файлове

Обикновено веднага след инсталиране на WordPress изтривам файлове: readme.html, wp-config-sample.php и др. Но има моменти, когато извадка от същия конфигурационен файл спасява начинаещите. Затова препоръчвам да поставите отметка в квадратчето „Забранете достъпа до информационни файлове, създадени по подразбиране при инсталиране на WordPress“.

Системни регистрационни файлове

Този раздел е предназначен за опитни уеб администратори. В противен случай, гледайки регистъра на грешките на сайта, няма да можете да разберете същността на проблема.

WHOIS търсене

По мое скромно мнение това е чудесен инструмент за получаване на поне малко информация за, например, блокиран потребител. Естествено, можете да използвате сайта WHOIS, но защо, ако има търсене на WHOIS в плъгина All In One WP Security.

Черен списък

Плъгинът All In One WP Security ви позволява да блокирате не само по IP адрес, но и по потребителски агенти. Потребителските агенти могат да се считат за различни паяци / ботове на търсачки, различни услуги за анализ и др., които създават прекомерно натоварванекъм сървъра. Тази настройка ще бъде полезна дори ако не искате например Google бот да обхожда вашия сайт. Всички настройки, посочени в елемента "Черен списък", ще бъдат добавени към .htaccess.

защитна стена

Настройката на защитната стена се състои от седем раздела:

И така, нека започнем по ред.

Преди да започнете да настройвате своя .htaccess файл с помощта на плъгина All In One WP Security, не забравяйте да архивирате своя .htaccess.

Основни правила на защитната стена

Ако не използвате, например, плъгини за автоматично публикуване в социалните мрежи, тогава можете безопасно да поставите отметки в квадратчетата навсякъде и да запазите настройките за този раздел. Но ви съветвам да включите само следните елементи:

• Активирайте основните функции на защитната стена
• Деактивирайте функцията Pingback от XMLRPC
• Блокирайте достъпа до файла debug.log

Мисля, че всичко е ясно с първата настройка, но следващите две опции са задължителни. „Деактивиране на функцията за обратен пинг от XMLRPC“ ще деактивира заявките за обратен пинг, например от статистическите услуги, но ще остави заявките за разрешени услуги. Опцията „Блокиране на достъпа до файла debug.log“ ще деактивира достъпа до файла за отстраняване на грешки, който може да съдържа поверителна служебна информация.

Допълнителни правила за защитна стена

В този раздел ви съветвам да активирате всички настройки с изключение на: „Деактивиране на възможността за разглеждане на директории“. Факт е, че забраната за сърфиране в директории е зададена от директивата "AllowOverride" в конфигурационен файл httpd.conf на сървъра. Можете да направите такива настройки само ако имате VPS, VDS, нает или собствен сървър. В противен случай оставете тази настройка без отметка.

Можете да разберете защо е необходима всяка настройка, като щракнете върху „+ Още“:

По принцип почти всички настройки на защитната стена, предоставени в плъгина All In One WP Security, са необходими, за да се запази сигурността на WordPress.

6G Черен списък Правила за защитна стена

6G защитната стена няма нищо общо с мобилните комуникации. Тази защитна стена осигурява защита срещу множество злонамерени URL заявки, лоши ботове, спам от референти и други атаки. Активирането на правилата за защитна стена от шесто поколение значително ще намали натоварването на сървъра, разбира се, ако подобни исканияще. Препоръчвам да активирате 6G и 5G защита.

Интернет ботове

Разделът Интернет ботове блокира злонамерени ботове, които се маскират като googlebot. Препоръчвам да активирате опцията „Блокиране на фалшиви Googlebots“. Други роботи няма да бъдат блокирани.

Предотвратяване на горещи връзки

Опцията в раздела „Предотвратяване на горещи връзки“ трябва да бъде активирана. Активирайте опцията и запазете. Това ще намали натоварването на сървъра, ако вашите връзки към вашите изображения са поставени извън вашия сайт. Това не засяга автоматичното публикуване в социални мрежи и други места.

Откриване 404

Предпоследният раздел "Detection 404" също трябва да бъде активиран. Активирайте опцията „Активиране на 404 IP откриване и заключване“. Тази настройка е отговорна за блокиране на IP адреси, от които се правят много заявки към несъществуващи страници за кратък период от време. В повечето случаи това показва хакерска атака, търсейки уязвима страница. Можете също така по избор да промените времето, за което IP адресът на атакуващия ще бъде забранен. В блока „URL адрес за пренасочване на грешка 404“ по правило адресът на основното огледало на сайта се записва автоматично. Препоръчвам да не променяте този адрес. И в таблицата "Error Logs 404" показва данни за посещение на несъществуващи страници. Дневникът може да бъде качен в CSV файл.

Персонализирани правила

Последният раздел „Персонализирани правила“ има функцията да добавя вашите персонализирани правила към файла .htaccess. Съветвам ви да не правите нищо свое, без да разберете как работят настройките на .htaccess. В противен случай сайтът може да спре да работи.

Защита срещу атаки с груба сила

Атаките с груба сила са атаки, насочени към парола и влизане с груба сила, докато се намери правилната опция. Тази група от настройки има пет раздела, нека започнем с първия:

Преименуване на страницата за вход

Разделът „Преименуване на страницата за вход“ съдържа два параметъра, от които в първия „Активиране на опцията за преименуване на страницата за вход“ трябва да поставите отметка в квадратчето, а във втория „Адрес (URL) на страницата за вход“ да посочите адреса за да влезете в админ зоната. URL адресът на страницата за вход трябва да е различен от wp-admin по подразбиране, например thisismysite. Не забравяйте да запазите и запомните адреса за вход на администратора. В моя пример това ще бъде mysite.ru/thisismysite, където mysite.ru е адресът на вашия сайт.

Защита от груба сила с бисквитки

Отидете в раздела „Защита срещу атаки с груба сила чрез бисквитки“. Можете да активирате опцията „Моят сайт има публикации или страници, които са били затворени от вградената функция за защита с парола на съдържанието на WordPress“, в случай че имате страници, защитени с парола. Имам тези страници. Относно опцията „Този ​​сайт има тема или плъгин, които използват AJAX“, повечето модерни теми и плъгини използват технологията AJAX. Затова ви съветвам да активирате тази опция. Препоръчвам да не активирате настройката „Активиране на защита срещу атаки с груба сила“, за да избегнете блокиране на вашия IP адрес от плъгина All In One WP Security. Факт е, че можете да забравите и изчистите бисквитките на приставката с ключа за достъп. И за да не решавате проблеми, които биха могли да бъдат избегнати, препоръчвам ви да не проверявате тази опция, особено след като самият плъгин предупреждава и само при втория опит дава възможност за активиране на тези настройки.

CAPTCHA за влизане

Разделът CAPTCHA за влизане съдържа полезни функции за допълнителна защитастраници за влизане и възстановяване на парола. Препоръчвам да поставите отметки в квадратчетата срещу:

• Активирайте CAPTCHA на страницата за вход
• Активирайте формата CAPTCHA на променената страница за вход
• Активирайте CAPTCHA на страницата " Забравена Парола»

В блока "Woocommerce Forms Captcha Settings" квадратчетата за отметка се поставят само при използване на плъгина за онлайн магазина "Woocommerce".

Бял списък за влизане

Продължаваме и отиваме в раздела „Бял списък за влизане“. Този параметър действа като допълнителна линия на защита, блокирайки достъпа до страницата за вход за всички IP адреси, които не са в белия списък. Ако желаете, можете да зададете тази опция. Но, и пак! Ако имате динамичен IP адрес или има спешна нужда да отидете в административния панел, например с мобилен номери доставчикът ще ви разпредели различен IP адрес, тогава ще възникнат проблеми.

Буре с мед (Honeypot)

Последният раздел „Honeypot“ от групата настройки „Защита срещу атаки с груба сила“ отговаря за блокиране на роботи, които се опитват да попълнят полетата за оторизация. По правило роботите автоматично попълват всички полета, а опцията „Бъчва с мед“ дава на бота невидимо за очите на потребителя поле, което ботът автоматично попълва. Ако това се случи, плъгинът All In One WP Security автоматично блокира бота. Препоръчвам да активирате опцията „Активиране на меда на страницата за вход“.

Защита срещу спам

Нека да преминем към следващата група настройки "Защита от СПАМ". Сега ще спрем да разгледаме четири раздела:

Спам в коментарите

• Активирайте CAPTCHA във формите за коментари
• Блокирайте спам ботовете да коментират

Проследяване на IP адреси за спам в коментари

Друг раздел за статистика „Проследяване на IP адреси за спам в коментари“. Несъмнено опциите в този раздел носят добро. Препоръчвам да поставите отметка в квадратчето до елемента „Активиране на автоматично блокиране на IP адреси Коментиране към спам“. Запазване.

След това в полето „Минимален брой коментари, считани за СПАМ“ задайте стойност 5. Обърнете внимание на блока „Списък с IP адреси на спамърите“, който отговаря за филтрирането на коментари. Ако трябва да намерите IP адреси, които са били спам поне веднъж, задайте стойността на "1" и щракнете върху "Намиране на IP адреси". И ако например 3 пъти, тогава стойността е "3" и т.н. Мисля, че разбрахте смисъла. Резултатите ще бъдат показани в таблицата "Списък с IP адреси на спамъри".

BuddyPress и BBPress

В разделите „BuddyPress“ и „BBPress“ можете да активирате captcha във формуляра за регистрация. BuddyPress и BBPress са плъгини. BuddyPress помага за изграждането Осъществено от WordPress социална мрежаи приставката за форума BBPress. Ако не използвате тези модификации, тогава опциите в съответните раздели ще отсъстват.

Скенер

Предпоследната група настройки „Скенер“ отговаря за редовното сканиране на сайта зловреден коди файлове. Тук можете да видите само два раздела:

Проследяване на промените във файловете

В първия раздел „Проследяване на промените във файловете“ можете веднага да обходите сайта, като щракнете върху „Обходете сега“.

Разберете едно просто нещо – никой плъгин не може да защити вашия сайт от хакерски гурута! Следователно, в случай на проблем, плъгинът All In One WP Security след сканиране ще ни информира за наличието на следи от хакване. Препоръчвам ви да активирате опцията „Активиране на автоматично сканиране на промените във файловете“ и да зададете честотата на сканиране поне на всеки два дни. Честотата на обхождане зависи от текущото натоварване на вашия сайт. И ако времето за зареждане на сайта в пика на трафика се увеличи, тогава помислете за промяна тарифен планили преместване на специален сървър, така че All In One WP Security плъгин скенерът да не натоварва прекомерно сървъра.

Полетата "Игнориране на файлове от следните типове" и "Игнориране на определени файлове и папки" се попълват индивидуално, според Вашето желание. Също така ви съветвам да активирате опцията „Изпращане на имейл при открита промяна“, за да сте винаги наясно с всички промени във файловете. Можете да посочите няколко имейл адреси. Запазване след настройките.

Сканиране за зловреден софтуер

Вторият раздел „Сканиране от зловреден софтуер» е предназначен за регистрация в сайта на разработчиците на плъгини, с цел редовно сканиране на сайта срещу заплащане. Това значително ще намали натоварването на сървъра по време на сканирането. Моля, който иска да плати пари, ваше право е. Но не виждам много смисъл да сключвам такава услуга за блог.

Разни

Последната група настройки „Разни“ съдържа три раздела:

Защита срещу копиране

В първия раздел "Защита срещу копиране" можете да блокирате следните функции:

• Десен бутон
• Маркиране на текст
• копие

Ограниченията ще важат за всички страници, които са достъпни за потребителите. Ако имате полезен блог, където хората могат да научат много неща за себе си в склад от знания, тогава не препоръчвам да активирате тази функция. Лично на мен ми е неудобно, когато не мога да копирам текст с важна за мен информация.

Рамки

Разделът Frames е отговорен за блокирането на показването на съдържанието на вашия сайт между рамката и iframe таговете. Които са признати за опасни от няколко години и често са хакнати. Например 1C Bitrix по подразбиране блокира тези тагове.

Изброяване на потребителите

последния раздел и последна настройкаплъгин All In One WP Security, който ще разгледаме, „Изброяване на потребителите“. Препоръчвам ви да активирате опцията „Деактивиране на списъка с потребители“, за да попречите на ботовете да търсят информация за потребители, които могат да се видят например като коментатори. Това по някакъв начин създава защитна бариера за потребителите на сайта, като по този начин защитава администраторския акаунт.

Това приключва разбора с плъгина All In One WP Security. Току-що прочетохте огромна статия, която може да се сравни с десет обикновени статии. Надявам се да съм обяснил на достъпен език. Ако имате въпроси, не се колебайте да ги зададете в коментарите. Благодаря за вниманието.

Здравейте, момчета! Когато вашият сайт стане малко популяризиран, появят се редовни читатели, получавате голямо удоволствие. Всичко изглежда готино. Потокът от пари също расте и получавате отговор от публиката, разпознаваемостта се увеличава. Но има и другата страна на монетата. Това са завистливи хора, това е внимание от недоброжелатели.

За да ви дам представа за какво говоря, блогът ми беше хакнат 2 пъти само през последната седмица. Редовните мислеха, че са забелязали. Момчета, горещо ви препоръчвам да прочетете този урок, отделете време да приложите съветите, за които говоря, за да защитите сайта си по-добре и да спестите време, пари и нерви.

All In One WP Security е най-важният плъгин за сигурност за WordPress. Трябва да се инсталира от всеки, който притежава сайт на WordPress. Всички без изключение.

Ако любимият ми е SEO комбайнът за WordPress, тогава плъгинът WP Security е еквивалентът на сигурността. Тоест, ако благодарение на Yoast SEO спрях да се нуждая от няколко SEO плъгина, то тук също, благодарение на All In One WP Security, можете да се отървете от други плъгини, които само частично изпълняват функциите на този. Например като:

• Заключване на влизане;
• Архивиране на база данни на WordPress
• Анти-XSS атака;
• и други подобни.

Огромни предимства на плъгина за сигурност All In One WP:

• Безплатно;
• много лесен за настройка;
• почти всичко е преведено на руски, така че е ясно за какво става въпрос.

Конфигуриране на плъгина за сигурност All In One WP

Не забравяйте да направите резервно копие (резервно копие) преди да започнете работа (за всеки случай) на следните файлове:

• база данни;
• wp-конфигурационен файл
• htaccess файл.

Между другото, резервни копия на тези три файла могат да бъдат направени направо в същия плъгин, просто отидете на WP Security - Настройки в административния панел:

Контролен панел

Има много готин информатор, който показва нивото на сигурност на вашия сайт:

Този индикатор ще ви помогне да държите пръста си на пулса и да разберете какво още трябва да се направи, за да се подобри сигурността. Не препоръчвам да правите всичко, за да постигнете максимални резултати. Може да има лоши последствия, вашият сайт може да падне, да се държи лошо.

Текущото състояние на най-важните характеристики.В този блок можете да активирате най-необходимите функции за сигурността на вашия сайт (можете да ги оставите сами засега, по време на настройките за урока тези параметри се активират така):

Останалите параметри в контролния панел не представляват голям интерес, можете да се запознаете с тях от любопитство (системна информация, блокирани IP адреси, AIOWPS.

Настройки

Основни настройки. Тук можете да създадете резервни копия на файловете, които споменах по-горе. Също така деактивирайте функциите за сигурност и защитна стена, ако нещо спре да работи.

WP мета информация. Кликнете върху квадратчето за отметка до „Премахване на метаданни на WP генератора“, за да скриете версията на WordPress:

Раздел "Импортиране/Експортиране". Тук можете да експортирате вашите настройки, така че по-късно на друг сайт да не губите време за настройки и да импортирате всички необходими „отметки“ с 2 кликвания.

Администратори

Персонализирано име на WP. Не забравяйте (!) да промените името на администратора, ако го имате "admin". Нямате представа колко много и често се избират пароли с администраторски логин. Ако освен това паролата е много лека, вашият сайт може лесно да бъде хакнат.

Екранно име. Ако на вашия сайт има акаунти, които имат едно и също потребителско име и показвано име, се препоръчва да промените показваното име (псевдоним).

Парола. Много интересен раздел. Тук можете да разберете за какъв период от време можете да вземете автоматичен режимтвоята парола. Въведете паролата си и ще се изненадате колко бързо може да бъде разбита. Предпоставки за повишена сигурност:

• Вашата парола трябва да съдържа както главни, така и малки букви.
• наличието на поне 1-ва цифра е задължително, но паролата не трябва да се състои само от цифри;
• желателно е да има някакъв специален характер;
• дължината на паролата трябва да е повече от 10 знака.

В резултат на това трябва да имате максимална степен на сигурност на вашата парола, нещо подобно (паролата по-долу би била разбита от домашен компютър след 57 337 години (!):

Упълномощаване

Не забравяйте да активирате тази функция. Ако паролата е въведена неправилно 3 пъти в рамките на 5 минути (по подразбиране), тогава IP ще бъде блокиран за 60 минути (също по подразбиране). Не препоръчвам да задавате блок за повече време, в противен случай може да се сблъскате с факта, че самите администратори въвеждат данните за вход 3 пъти неправилно, блокират за 10 години и не знаят какво да правят. Оставяме 60 минути по подразбиране и не се къпем.

Също така препоръчвам да поставите отметка в квадратчето „Незабавно блокиране на невалидни потребителски имена“. Например, променихте данните за вход от admin на krutysh, след което, когато въведете администратора за вход в полето за оторизация, IP адресът веднага ще бъде блокиран. „Известие по имейл“ – тук при необходимост. Не харесвам допълнителния спам, така че не поставям отметка в квадратчето тук.

Окончателните ми настройки за този раздел изглеждат така:

Ако сте любопитни, можете да разгледате списъка с блокирани IP адреси, връзка към раздела е предоставена в същия раздел по-долу.

Невалидни опити за влизане.Тук само се виждат тези влизания, които са избрани. Най-често влизанията ми са admin, root, font. Вижда се и времето на "опитите". Обърнете внимание колко често се опитват да влязат в админ панела:

Автоматично излизане на потребителите.Също така препоръчвам да активирате това квадратче. Позволява ви да прекратите сесията след определен брой минути и да излезете от потребителя. Сложих 600 минути:

Разделите „Дневник на активността на акаунта“ и „Активни сесии“ са само за информационни цели.

Регистрация на потребител

Поставете отметка в квадратчето до „Активиране на ръчно одобрение на нови регистрации“:

Да, и можете да маркирате CAPTCHA, когато се регистрирате:

Разбира се, ако е невъзможно други хора да се регистрират на вашия сайт, първите 2 точки са просто безполезни, те няма да станат нито по-добри, нито по-лоши. Но ако се съмнявате, по-добре е да поставите отметка в тези квадратчета.

Защита на бази данни

Тук внимавайте в раздела „Префикс на таблица на DB“. Преди да поставите отметка в квадратчето, не забравяйте да архивирате вашата база данни (там ще видите и връзка за създаване на резервно копие на вашата база данни). Ако се страхувате, се съмнявате, по-добре е да го оставите без отметка:

Архивиране на база данни. Тук вече поставяме отметка, избираме честотата на създаване на резервни копия и техния брой. Аз имам. например тези числа:

Защита на файловата система

Достъп до файлове. Тук от дясната страна ще имате бутони, ще трябва да промените разрешенията за файлове, като щракнете върху тези бутони. В резултат на това всички линии трябва да станат зелени:

Редактиране на PHP файлове. Ако не коригирате своя PHP файловепрез административния панел, поставете отметка в квадратчето. Не препоръчвам да редактирате файлове през админ панела, дори само защото нямате възможност да натиснете CTRL + Z, в който случай и няма да можете да върнете файла в първоначалната му позиция:

Достъп до WP файлове. Поставете отметка:

Системни регистрационни файлове. Оставяме по подразбиране.

WHOIS търсене

Можете да въведете IP адрес или домейн, за да получите WHOIS на домейн. И така всъщност няма какво да се пипа.

Черен списък

Ако нямате недоброжелатели, не можете да включите този артикул. Ако някой IP адрес постоянно мига в коментарите, например, можете да активирате квадратчето за отметка и да поставите този IP в черния списък.

защитна стена

Основни правила на защитната стена. Ако не сте направили резервно копие на htaccess до този момент, ние определено го правим. И поставете отметки в квадратчетата до всички елементи:

Допълнителни правила за защитна стена. Тук също поставяме всички квадратчета за отметка:

АКТУАЛИЗАЦИЯ:по-долу в раздела „Допълнително филтриране на символи“, премахнах отметката, тъй като някои коментари не преминаха, дадоха грешка 403. Вероятно в крайна сметка и вие също Бих ви посъветвал да премахнете отметката от това поле.така че потребителите да нямат проблеми с коментирането.

Настройки на 5G защитната стена. Ние също така включваме:

Интернет ботове. Възможно е да има проблеми с индексирането, така че препоръчвам да не включвате този елемент.

Предотвратяване на горещи връзки. Включваме и него.

персонализирани правила. Можете да зададете допълнителни правила във файла htaccess. Нищо не пипаме.

Защита срещу атаки с груба сила

Преименувайте страницата за вход. Включи. Променете адреса за вход на свой собствен:

Защита срещу груби атаки чрез използване на бисквитки. Не активирам тази функция, за да няма проблеми с влизането от различни устройства.

CAPTCHA за влизане. Можете да активирате CAPTCHA по време на оторизация, но аз не включвам:

Бял списък за влизане. Тъй като често посещавам сайта с различни места, имам различен IP, така че не активирам тази опция:

Бъчва с мед. Създава се допълнително поле, което само роботите могат да видят. Следователно при попълване на това поле роботът ще бъде пренасочен към своя адрес. Включете:

Защита срещу спам

CAPTCHA под формата на коментари. Не го активирам, защото не обичам да усложнявам коментирането, но препоръчвам да активирате функцията „Блокиране на спам бот от коментиране“:

Проследяване на IP адрес за спам в коментарите. Тук можете да разгледате „често искрящите“ IP адреси за спам в коментарите и да ги поставите в черния списък.

BuddyPress. Добавя CAPTCHA към формуляра за регистрация на BuddyPress. Не го ползвам.

Проследяване на промените във файловете. Препоръчвам да го активирате, защото често не е напълно ясно кога сайтовете са хакнати, кой файл е променен, къде да търсите злонамерен код. И с помощта на тази функция можете да проследявате промените във файловете на вашия сайт и бързо да намерите файла, който е променен наскоро.

Сканиране за зловреден софтуер. Функцията е платена, струва от $ 7 на месец.

Режим на поддръжка

Позволява ви да "затворите" сайта за известно време, за да направите някои промени. Тоест, на посетителите на сайта ще бъде предложено „мънице“, че на сайта се работи. Полезно при промяна на дизайна, проверка на производителността на плъгини.

Разни

Защита срещу копиране на текст и др. Тук не отбелязвам никъде в трите раздела. Аз също препоръчвам да не го правите.

Резултати

След като завършите всички тези настройки, можете да отидете в "Контролен панел" и да погледнете индикатора за ниво на защита, трябва да получите нещо подобно:

Отново, не е нужно необмислено да правите всичко, за да постигнете възможно най-висок резултат. Не нанасяйте ненужни щети на вашия сайт, неговата производителност и удобство.

Ако имате въпроси - пишете. Благодаря ви отделно за ретуитовете и повторните публикации, че помагате на хората да предадат това важна информация.

WordPress е може би най-популярната и в същото време една от най-често хакваните платформи. По някаква причина има мнение, че ако вашият сайт не е особено интересен за никого, тогава той няма да бъде хакнат - защо? Всъщност буквално всеки сайт (и не само в WordPress) има заплаха от хакване, така че е важно да се погрижите за защитата на страницата си. Какво може да се направи - или по-скоро какви плъгини да инсталирате - ще говоря за това в тази статия.

Тези съвети ще бъдат полезни не само при работа с WordPress, но и с всяка друга CMS. Те са основни, но както показва практиката, все още има хора, които не знаят за тях. Защо да правим всичко това? Да затрудни живота на нападателя. Използвайки данните, които са зададени по подразбиране, хакер може да хакне вашия сайт, както и вашата база данни, с относителна лекота. Следователно трябва да направите следното.

1. Променете потребителското име от admin на нещо друго.

За да направите това, първо трябва да създадете нов потребител като администратор. Можете да го направите тук:

След като създадете потребител, влезте под неговия акаунт и изтрийте акаунта „admin“ в списъка „Всички потребители“. При което ново влизанеопитайте се да го направите нещо сравнително сложно, добре, поне състоящо се от няколко думи: vasyapupkin99. Можете да използвате псевдонима си, например.

Няма да пиша за паролата - по-добре е да използвате тази, която Wordpress ще генерира за вас на етапа на създаване на акаунт, а не да измисляте своя собствена (което най-вероятно ще бъде по-лесно).

2. Променете префикса на базата данни от wp на друг.

Има два начина да направите това: или като редактирате сами таблиците в phpMyAdmin (или дори само във файловия мениджър), или чрез плъгин. Ще обсъдя накратко и двата варианта.

Промяна чрез phpMyAdmin

Веднага трябва да кажа, че това действие изисква внимание към детайла и известен опит в phpMyAdmin.

Първо, създайте резервно копие на базата данни - това ще ви помогне да възстановите информацията, ако нещо се обърка (или сте редактирали нещо нередно някъде).

Сега отидете на файлов мениджъри намерете файла wp-config.php, в него реда $ table_prefix = "wp_";

„wp“ трябва да се промени на нещо по-малко свързано с WordPress и базата данни. Можете дори да промените на произволен набор от букви и цифри (но трябва да го запомните или запишете).

внимание.Най-добре е да направите тази промяна на прясно инсталиран WordPress. Има повече информация за вече стартирани сайтове - още данни ще трябва да се променят.

След това отидете на phpMyAdmin (на Timeweb хостинг това може да стане директно през контролния панел) и намерете базата данни за желания сайт. Всички таблици от тази база данни трябва да бъдат преименувани, заменяйки „wp_“ с това, което вече сте написали по-горе.

Как да преименувате: изберете таблицата в лявата колона, щракнете върху раздела „Операции“, след това вижте блока „Опции на таблицата“ и реда „Преименуване на таблицата на“. Не забравяйте да щракнете върху "Напред", след като направите промени.

След това потърсете таблицата „…_options“ в списъка. Когато е избран, щракнете върху Преглед - в съдържанието за около второв колоната „meta_key“ ще видите wp_user_roles - променете префикса „wp“ на този, който ще използвате сега. Запазете промяната.

Следващата таблица за промяна е “…_usermeta” - погледнете нейното съдържание по същия начин и сменете всички стари префикси с нови.

Ако след редактиране нещо започне да работи нередно за вас или спря да работи напълно, проверете дали сте направили всички промени. В краен случай използвайте резервно копие.

Промяна чрез плъгин

Този плъгин не се нуждае от представяне, така че ще премина веднага към това, което трябва да се направи.

След като сте инсталирали и активирали плъгина, отидете в секцията „Защита на базата данни“. Там ще видите реда „Генериране на нов префикс на таблица на база данни“ – напишете префикса, който искате да зададете (или поставете отметка в квадратчето до „Проверете, за да генерира приставката префикс с дължина 6 произволни знака“) и щракнете върху „Промяна префикс на таблица". След това по-долу ще видите отчет за напредъка на промяната на префикса. За да се уверите, че очакваният резултат е постигнат, отидете на phpMyAdmin.

Нека ви напомня още веднъж, че трябва да направите това на нов сайт без статии, защото ако сайтът вече има много информация, плъгинът може да не работи правилно.

Всичко в едно WP сигурност и защитна стена

Тъй като вече преминахме към използването на този плъгин, ще ви разкажа за други неща, които могат да повишат защитата на вашия сайт.

В секцията „Настройки“ на приставката отидете в раздела „Информация за версията на WP“ и поставете отметка в квадратчето до „Премахване на метаданни на WP генератора“. Тъй като хакерите често разчитат на информацията, съдържаща се в метаданните, би било полезно да премахнете тази информация от кода на страницата.

Между другото, ако все още не сте променили името на администратора (следвайки съветите по-горе), тогава можете да направите това чрез този плъгин - в раздела "Администратори". Просто напишете ново потребителско име и влезте отново в панела (паролата остава същата).

Тук можете да видите и раздела "CAPTCHA при регистрация" - също активирайте този елемент.

Сега отидете в секцията „Защитна стена“ - тук поставяме отметка в блоковете „Основни функции на защитната стена“. Можете да включите/изключите останалите, както желаете.

Секция „Защита срещу груби атаки“: трябва да активирате опцията за преименуване на страницата за вход и да напишете желания адрес в колоната по-долу. Тук е важно да разберете - този адрес ще се използва за влизане в админ панела, жизненоважно е да запомните!

Приключихме с този плъгин, нека преминем към следващия.

Антивирусна програма

Този плъгин сканира файловете на уебсайта за злонамерен код. Използването му е доста просто - след инсталирането отидете на настройките му и щракнете върху „Сканиране на шаблоните за теми сега“, след което всичките ви файлове с теми ще бъдат сканирани.

Тук можете също да настроите ежедневна проверка с отчет по имейл.

По време на проверката плъгинът подчертава кода, който му се е сторил подозрителен. В същото време е по-добре да проверявате внимателно всички коментари - не винаги става въпрос за вируса. Ако нямате умения за програмиране, можете просто да сравните намерения ред код с реда в кода на същата тема на сайта на вашия компютър или от разработчика. Ако записът присъства първоначално, тогава не е нужно да се страхувате от него.

Подобно на други активни добавки, AntiVirus зарежда сървъра (което означава, че вашият сайт е по-бавен), така че е по-добре да го използвате от време на време, отколкото да го поддържате активен през цялото време.

Сигурност на Wordfence

Този плъгин е подобен по функционалност на предишния, те могат да се използват паралелно, няма да е по-лошо. По същия начин инсталирайте, активирайте, отидете в раздела „Сканиране“ и щракнете върху големия син бутон „Стартиране на сканиране на Wordfence“. Някои функции са налични само за платени (премиум) акаунти, но основната функционалност също е добра. Ако всичко е наред с вашия сайт, тогава ще видите зелен надпис „Поздравления! Wordfence не откри проблеми със сигурността.

Ще ви разкажа за други добавки, които също могат да се използват за защита на сайта.

Sucuri Security

Като цяло Sucuri е компания, специализирана в сигурността на уебсайтове, така че те осигуряват защита за всеки сайт (не само WordPress). Плъгинът на тази сериозна компания с впечатляваща репутация разполага с широк набор от функционалности, които представляват пълния цикъл на защита на сайта, включително предотвратяване на хакерски атаки и атаки срещу вашия сайт. Можете да използвате безплатната версия или да закупите платена за $16,66 на месец - доста голяма сума, но за такава гама от защитни инструменти е доста разумна.

За да използвате безплатната версия, след инсталиране ще трябва да генерирате безплатен ключ (в синия блок по-горе ще трябва да щракнете върху бутона „Генериране на API ключ“, да проверите дали въведените данни са правилни и да изпратите приложението .

Сигурност на iThemes

Ако Sucuri Security е най-добре платеният плъгин за сигурност, тогава iThemes Security често се нарича най-добрият безплатен плъгин за инсталиране, за да защитите уебсайта си. Освен това сега има повече от 800 хиляди инсталации!

Няма да пиша много за функционалността - както всички други плъгини, iThemes Security има за цел да защити вашия сайт от повечето неща, които могат да го застрашат, като в същото време проверява съществуващото състояние на сайта. Между другото, плъгинът се наричаше Better WP Security - може би някой го помни под това име.

Като цяло, говорейки за неговите функции, можем да различим следните аспекти на този плъгин:

• скриване и изтриване на потенциално уязвими елементи (това беше написано в началото на статията - промяна на входа на администратора, префикса на базата данни и т.н.);
• защита на сайта от атаки (сканиране за уязвимости, защита срещу груба сила, криптиране на админ панела и т.н.);
• наблюдение на сайта (за внезапни промени, блокиране и т.н.);
• възстановяване (резервно копие в случай на непредвидена ситуация).

Сега нека да преминем към действителното използване на този плъгин.

Настройване на iThemes Security

Да започнем с това, че има и PRO (т.е. по-разширена) платена версия, така че в безплатна версияНе всички функции на този плъгин са налични (но все още има много от тях).

След инсталирането активирайте приставката и отидете в секцията „Настройки“. В синия блок по-горе можете да активирате защитата от груба сила (защита от груба сила в мрежата) - за да направите това, трябва да поискате API ключ, който автоматично ще бъде добавен към настройките (но също така изпратен до вашата поща).

Щракнете върху " проверка за безопасност” (горен ляв блок или в менюто под „Настройки”) и щракнете върху „Защитен сайт”. След това ще видите списък с активирани модули.

Следващият блок е " основни настройки” (вдясно от „Проверка за сигурност”). Тъй като плъгинът е почти напълно преведен, всеки елемент има собствено декодиране - съветвам ви да ги прегледате всички и да видите кое от тях е най-подходящо за вас (дори и да не го използвате, поне ще знаете къде се намира всичко е).

В режим " Няма места e" можете да зададете времето, когато административният панел ще бъде недостъпен. Не е необходимо да използвате това редовно, но можете да го използвате като предпазна мрежа, когато сте далеч от компютъра си. В същото време можете да го настроите както постоянно (например всяка вечер), така и веднъж за определен ден и период от време.

блокирай " Блокирани потребители- тук всичко е ясно, поставете тук всички, които трябва да бъдат блокирани.

“Локална защита от груба сила” - този блок предпазва от хакване чрез груба сила на пароли. Вече сте го активирали, можете да оставите настройките по подразбиране.

« Архивиране на бази данни» - настройка Резервно копие, в безплатната версия става въпрос само за бази данни.

« Откриване на промяна на файла» - изключително полезна функция, която ще следи всички промени във файловете на сайта; можете бързо да проследите активността, която внезапно се появи на сайта. Не забравяйте да го включите.

“Разрешения за файлове” - блокът показва правата за достъп до файлове.

“Мрежова защита от груба сила” - мрежовата защита срещу груба сила се крие във факта, че ако хакер се опита да хакне нечий друг сайт, той също ще бъде блокиран от достъп до вашия сайт, дори ако все още не е предприел атака срещу вашия сайт.

“SSL” - можете да конфигурирате използването на SSL в този плъгин, тогава ако имате сайт, хостван от Timeweb, съветвам ви да използвате настройките в контролния панел на сайта.

“Силно прилагане на парола” - ако вашият сайт включва регистрация на други потребители (форум, блог ...), тогава тази настройка ще бъде полезна, потребителите ще трябва само да изберат сложни пароли за своите акаунти. В други случаи може да не се използва.

« Фина настройка на системата" и " Персонализиране на WordPress“ – тези допълнителни настройкиса необходими за допълнително подобряване на защитата на вашия сайт. Но има едно предупреждение - включването на някои настройки може да повлияе на работата на добавките. Ето защо не трябва да избирате всичко наведнъж - включете един елемент наведнъж и проверете ефективността на вашия сайт.

накрая, " WordPress соли» - настройката ви позволява да добавите към паролата Тайният ключ, което ще бъде много по-трудно да се вземе от паролата отделно. Това обикновено е произволен набор от знаци, който се добавя по време на хеширането. Използвайте тази настройка („Промяна на солите на WordPress“) периодично, за да промените солта.

Всичко за секциите. Платената версия има повече от тях, но те са достатъчни, за да защитят сайта от много популярни видове хакване.

Заключение

Добавките са съществен елемент от сигурността на вашия сайт, но искам да ви напомня, че не са единствените. Не забравяйте да следвате Актуализации на WordPressи плъгини, сменяйте редовно паролите и правете резервни копия.

Вече прегледах плъгина за всеобхватна защита на блога WordPress iThemes Security, но реших да тествам друг All In One WP Security & Firewall. Е, напускането на вашите сайтове е най-добрият вариант. И така, нека да инсталираме.

Отидете на главната страница на плъгина All In One WP Security & Firewall. Виждаме следната картина. И веднага виждаме „Измервател на нивото на сигурност“. Сайтът ми отбеляза 50 точки от 470 възможни. Е, не дебел. Може би след коригирането му нивото ще нарасне. Но не трябва да се стремите да получите възможно най-висок резултат, тъй като това може да причини проблеми при работата със сайта. От дясната страна виждаме "Диаграма на сигурността на нашия сайт."

Настройки

Администратори

Персонализирано име на WP

По време на инсталацията WordPress автоматично присвоява потребителското име „admin“ на администратора (освен ако не го промените ръчно). Много хакери се опитват да се възползват от тази информация, като използват атака с груба сила, при която систематично отгатват парола, използвайки думата „admin“ като потребителско име. Затова се препоръчва да го смените с друг.

Екранно име

Когато публикувате публикация или отговорите на коментар, WordPress обикновено показва вашия „псевдоним“. По подразбиране показваното име на потребителя е идентично с данните за вход в акаунта. От съображения за сигурност е препоръчително да го промените, така че никой да не може да разбере под кое име за вход сте оторизирани.

Парола

Лошата парола е най-честата уязвимост на повечето сайтове и обикновено първото нещо, което хакерът ще направи, за да проникне в даден сайт, е да се опита да познае паролата. AT този разделможете да проверите силата на паролата, която използвате. Ако хакер вземе вашата парола, тогава тук можете да прецените времето, което той ще прекара.

Упълномощаване

Един от най-разпространените методи, използвани от хакерите, за да проникнат в уебсайт, е атака с груба сила. Това е името на множество опити за влизане чрез отгатване на пароли. В допълнение към избора на силни пароли, наблюдението и блокирането на IP адреси, участващи в многократни неуспешни опити за влизане в рамките на кратък период от време, блокирането на броя опити за влизане и ограничаването на периода от време за такива опити е много ефективен начин за противодействие на тези видове атаки .

Блокиране на авторизация

• Активирайте опциите за блокиране на опити за оторизация. Поставяме отметка.
• Разрешаване на заявки за отключване. Не разбирам съвсем какво означава тази функция. Не съм го включвал.
• Максимален брой опити за влизане. Задайте стойност за максимален бройопити за влизане, след което IP адресът ще бъде блокиран. Оставих три опита по подразбиране.
• Срок за опити за авторизация (минути). По подразбиране е пет минути. Трите опита от предходния параграф ще доведат до банване на потребителя, ако опитите са направени в рамките на посочения тук период от време.
• Период на блокиране (минути). Посочете периода от време, за който IP адресите ще бъдат блокирани
• Показване на съобщения за грешка при оторизация. Маркирайте тази опция, ако искате да се показва съобщение за грешка при неуспешни опити за влизане. Не съм го слагала. Няма нужда нападателят да получава информация за грешки.
• Незабавно блокирайте невалидни потребителски имена. Не активирах тази опция поради факта, че аз самият мога да въведа неправилно данните за вход и ще бъда блокиран за един час. Други също може да грешат.
• Незабавно блокиране на конкретни потребителски имена. Незабавно блокиране на определени потребители. Най-често те се опитват да хакнат влизания „admin“ и „administrator“. Следователно, ако не ги използвате, можете да ги добавите към списъка.
• Известяване по имейл. Ако имате слабо посещаван сайт, можете да поставите отметка в квадратчето. В противен случай може да бъдете бомбардирани с тези известия.

Той показва записи на неуспешни опити за влизане във вашия сайт. Информацията по-долу може да бъде полезна, ако трябва да проучите опитите за оторизация - тя показва IP обхвата, потребителското име и ID (ако има такива) и часа/датата на неуспешния опит за влизане.

Опции за автоматично делогиране на потребител

Задаването на време за изтичане на административна сесия е лесен начин за защита срещу неоторизиран достъп до вашия сайт от вашия компютър. Тази опция ви позволява да зададете период от време, след който администраторската сесия ще изтече и потребителят ще трябва да влезе отново.

• Активирайте автоматично излизане. Отметнете тази опция, за да прекратите автоматично сесията за влизане на потребител след това определен периодвреме. Поставете отметка в квадратчето, ако имате нужда от него. Мисля, че ако влезете само от вашия домашен компютър- Това е излишно.
• Излезте от потребителя чрез. Потребителят автоматично ще излезе от системата след този период от време.

Това показва активността на администраторите на вашия сайт. Информацията по-долу може да ви бъде полезна, ако правите потребителско проучване, тъй като ще ви покаже последните 50 събития за влизане с потребителско име, IP адрес и време за влизане.

Всички потребители, които са в този моментоторизиран на вашия сайт. Ако подозирате, че системата има активен потребител, което не трябва да е там, тогава можете да ги блокирате, като проверите IP адреса им в списъка по-долу и ги добавите към черния списък.

Регистрация на потребител

Ръчно потвърждение

Ако вашият сайт позволява на хората да създават свои собствени акаунти чрез регистрационния формуляр на WordPress, тогава можете да сведете СПАМ и фалшивите регистрации до минимум, като ръчно потвърждавате всяка регистрация. Тази функция автоматично маркира новите регистрационни акаунти като "чакащи", докато администратор не ги активира. В този случай нежеланите регистранти не могат да влязат без вашето потвърждение. Можете да видите всички наскоро регистрирани акаунти в удобната таблица по-долу и можете също да активирате, деактивирате или изтриете няколко акаунта едновременно.

• Активиране на ръчно одобрение на нови регистрации. Поставете отметка в това квадратче, ако искате всички нови акаунти да бъдат автоматично създадени неактивни и можете да ги потвърдите ръчно.

Captca при регистрация

Тази функция ви позволява да добавите CAPTCHA поле на страницата WordPress регистрация. В допълнение, потребителите, които се опитват да се регистрират, трябва да отговорят на прост математически въпрос. Ако отговорът е неправилен, плъгинът ще им попречи да се регистрират. Тъй като вече имам инсталирана captcha от Google, не съм активирал тази функция.

Защита на бази данни

Архивиране на база данни

• Активиране на автоматичното архивиране. Поставете отметка в това квадратче, за да може системата автоматично да създава резервни копия на база данни по график.
• Резервна честота. Зависи от вашата подозрителност и честотата на актуализиране на вашия сайт. Зададох създаването на копие на базата данни веднъж седмично.
• Брой резервни копия за съхранение. Посочете в това поле броя на резервните копия, които трябва да се съхраняват в директорията за архивиране на плъгина. Оставих стойността по подразбиране - две копия.
• Изпратете резервно копие на имейл. Поставете отметка в това квадратче, ако искате да получавате резервно копие на базата данни на своя имейл. Препоръчвам да го включите.

Защита на файловата система

Достъп до файлове

Настройки за разрешение за четене/запис за WordPress файлове и папки, което ви позволява да контролирате достъпа до тези файлове. При първоначална инсталация WordPress автоматично присвоява разумни права за достъп до своите файлова система. Понякога обаче хора или плъгини променят разрешенията за определени директории и файлове, като по този начин понижават нивото на сигурност на своя сайт, като задават грешни разрешения. Тази опция сканира всички важни основни директории и файлове на WordPress и подчертава всички несигурни настройки.

Редактиране на PHP файлове

По подразбиране административният панел на WordPress ви позволява да редактирате PHP файлове за плъгини и теми. Това е първата помощ за хакер, който получи достъп до администраторската конзола, като му дава възможност да изпълни всеки код на вашия сървър.
Тази опция деактивира възможността за редактиране на файлове от административния панел.

• Деактивирайте възможността за редактиране на PHP файлове. Поставете отметка в това квадратче, за да деактивирате редактирането на PHP файлове от административния панел на WordPress.

Според мен това не е много полезна функция. В края на краищата, същият хакер може да премахне отметката от квадратчето в същия плъгин, ако получи достъп до вашия администраторски профил. В резултат на това ще бъдете неудобни, защото за да поставите кода на същия брояч, ще трябва да отидете на хостинга.

Достъп до WP файлове

Тази опция ще откаже достъп до файлове като readme.html, license.txt и wp-config-sample.php, които са създадени по време на инсталирането на WordPress и не носят системно натоварване, но ограничаването на достъпа до тези файлове ще ви позволи за да скриете важна информация от хакери.информация (като версия на WordPress).

• Откажете достъп до информационни файлове, създадени по подразбиране при инсталиране на WordPress. Поставете отметка в това квадратче.

Системни регистрационни файлове

Вашият сървър може периодично да публикува доклади за грешки в специални файлове, наречени "error_log". В зависимост от естеството и причината за грешката, вашият сървър може да създаде множество регистрационни файлове в различни директории на вашата инсталация на WordPress. Като преглеждате тези регистрационни файлове от време на време, вие ще сте наясно с всички големи проблеми с вашия сайт и ще можете да използвате тази информация, за да ги разрешите.

WHOIS търсене

Тази функция ви позволява да получите подробна информация за IP адрес или домейн. Удобна функция, тъй като ще бъдете любопитни да разберете информация за адресите на нарушителите. Няма нужда да сърфирате в интернет в търсене на такива услуги.

Функцията "Черен списък" ви позволява да блокирате определени IP адреси, диапазони и потребителски агенти, отказвайки достъп до сайта на онези потребители и ботове, които са използвали тези IP адреси за спам или по други причини. Тази функция се реализира чрез добавяне на определени правила към файла .htaccess.

• Поддържайте черен списък. Поставете отметка в това квадратче, ако искате да можете да забранявате определени IP адреси или потребителски агенти.
• Въведете IP адреси. Всеки адрес на нов ред.
• Въведете имена на потребителски агенти. Напишете всеки потребителски агент на отделен ред.

За да можете да активирате тази опция и да получите 15 точки за сигурност, трябва да въведете поне един ip-адрес или потребителски агент.

защитна стена

Основни правила на защитната стена

Опциите в този раздел ви позволяват да приложите някои основни правила за сигурност към вашия сайт. Тази функционалност на защитната стена се постига чрез добавяне на някои специални директиви към вашия .htaccess файл. Активирането на тези опции не трябва да има никакъв ефект върху цялостната функционалност на вашия сайт, но ако желаете, можете да създадете резервно копие на вашия .htaccess файл, преди да активирате тези настройки.

• Активирайте основните функции на защитната стена. Поставете отметка в това квадратче, за да активирате основните функции на защитната стена на вашия сайт. Препоръчвам да се сложи.

Тази опция ще стартира следния основен защитен механизъм на вашия сайт:

1. Защитете файла htaccess от неоторизиран достъп.
2. Ще деактивира подписа на сървъра в отговорите на заявки.
3. Ограничете размера на качените файлове до 10Mb.
4. Ще защити вашия файл wp-config.php от неоторизиран достъп.

Горната функционалност ще бъде постигната чрез добавяне на определени директиви към файла .htaccess и не би трябвало да повлияе на цялостната производителност на вашия сайт. Въпреки това, за по-сигурно е добре първо да направите резервно копие на вашия .htaccess файл.

WordPress XMLRPC & Pingback защита срещу уязвимост

• Напълно блокирайте достъпа до XMLRPC. Препоръчвам да се сложи. Един от моите сайтове беше презареден с такива заявки и хостерът ме бомбардира с оплаквания за претоварване на сървъра.

Тази функция е необходима за тези, които публикуват и редактират записи в своя блог чрез смартфони. Ако не ви трябва, можете да го изключите. По този начин нападателят няма да може:

1. Претоварете сървъра със заявки и по този начин го деактивирайте (DoS атака).
2. Хакнете вътрешни рутери.
3. Сканирайте портове във вътрешната мрежа, за да получите информация от различни хостове на сървъра.

Освен че прави вашия сайт по-сигурен, тази опция може значително да намали натоварването на вашия сървър, особено ако вашият сайт получава много нежелан трафик, насочен към XML-RPC API.

• Деактивирайте функцията Pingback от XMLRPC. Поставете отметка. Pingback защита.

Блокирайте достъпа до регистрационния файл за отстраняване на грешки

• Блокирайте достъпа до файла debug.log. Блокиране на достъпа до регистрационния файл за отстраняване на грешки. Поставете отметка в квадратчето.

Допълнителни правила за защитна стена

В този раздел можете да активирате допълнителни настройки на защитната стена, за да защитите вашия сайт. Тези опции се изпълняват чрез добавяне на конкретни правила към вашия .htaccess файл. Поради определени функции, тези правила могат да нарушат функционалността на някои добавки, така че се препоръчва да направите резервно копие на файла .htaccess, преди да ги активирате.

• Преглед на съдържанието на директории. Поставете отметка в това квадратче, за да предотвратите безплатното сърфиране в директории на вашия сайт. За да работи тази функция, директивата "AllowOverride" трябва да бъде включена във вашия файл httpd.conf. Ако нямате достъп до файла httpd.conf, моля, свържете се с вашия хостинг доставчик.
• HTTP проследяване. Поставете отметка в това квадратче, за да защитите срещу HTTP проследяване. Базираните на HTTP проследяване атаки (междусайтово проследяване или XST) се използват за извличане на информация от http заглавките, върнати от сървъра, и кражба на бисквитки и друга информация. Тази хакерска техника обикновено се използва заедно с междусайтов скрипт (XSS). Тази опция е предназначена за защита срещу този тип атака.
• Деактивирайте коментарите чрез прокси. Поставете отметка в това квадратче, за да деактивирате коментирането през прокси. Деактивирайте злонамерените низове в заявките. Тази опция е предназначена да предпазва от въвеждане на зловреден код по време на XSS атаки. ПРЕДУПРЕЖДЕНИЕ: Някои от блокираните низове може да се използват в някои добавки или вашата тема и следователно тази опция може да наруши тяхната функционалност. Не забравяйте да архивирате вашия .htaccess, преди да зададете тази опция.
• Предотвратяване на злонамерени низове в заявките. Тази опция е предназначена да предпазва от въвеждане на зловреден код по време на XSS атаки. ПРЕДУПРЕЖДЕНИЕ: Някои от блокираните низове може да се използват в някои добавки или вашата тема и следователно тази опция може да наруши тяхната функционалност. НЕ ПРЕДУПРЕЖДАЙТЕ ДА РЕЗЕРВирате ВАШИЯ .HTACCESS ФАЙЛ.
• Активирайте допълнително филтриране на знаци. Това е допълнително филтриране на знаци за блокиране на злонамерени команди, използвани при XSS (междусайтови скриптове) атаки. Тази опция улавя често срещани образци на зловреден софтуер и експлойти и ще върне съобщение за грешка 403 (Достъпът е отказан) на нападателя. ПРЕДУПРЕЖДЕНИЕ: Някои директиви в тези настройки може да нарушат функционалността на сайта (това зависи от хостинг доставчика). НЕ ПРЕДУПРЕЖДАЙТЕ ДА РЕЗЕРВирате ВАШИЯ .HTACCESS ФАЙЛ.

6G Черен списък Правила за защитна стена

Активирайте тези опции, ако искате да:

1. Блокиране на забранени символи, често използвани при хакерски атаки.
2. Блокиране на низове, кодирани със злонамерени URL адреси като ".css" и др.
3. Защита срещу често срещани модели на злонамерен код и специфични експлойти (последователности от команди, които използват известни уязвимости) в URL адресите.
4. Блокиране на забранени знаци в параметрите на заявката.

Активирайте защитата на 6G защитна стена. Тази опция ще активира 6G защита на вашия уебсайт.

Активирайте защитата на наследената 5G защитна стена. Тази опция ще активира 5G защита на вашия сайт.

Интернет ботове

• Блокирайте фалшиви Googlebots. Поставете отметка в това квадратче, ако искате да блокирате всички фалшиви Googlebots.

Тази функция проверява дали полето съдържа Потребителски агентинформационен низ "Googlebot". В този случай функцията извършва няколко теста, за да се увери, че това наистина е бот на Google. Ако е така, това позволява на бота да продължи да работи. Отнасяйте се внимателно към тази функция, за да не получите проблеми с индексирането в случай на грешка.

Предотвратяване на горещи връзки

Гореща връзка - когато някой на техния сайт покаже изображение, което всъщност е на вашия сайт, използвайки директна връзка към източника на изображението на вашия сървър. Тъй като изображението, което се показва на другия сайт, е предоставено от вашия сайт, това може да доведе до загуба на скорост и ресурси за вас, тъй като вашият сървър трябва да прехвърли тази картина на хората, които я виждат на другия сайт. Тази функция предотвратява директни горещи връзки към изображения от вашите страници, като добавя няколко инструкции към вашия .htaccess файл.

• Предотвратяване на горещи връзки към изображения. Поставете отметка в това квадратче, за да предотвратите използването на изображения от този сайт на страници на други сайтове (горещи връзки).

Откриване 404

Грешка 404 или „Страницата не е намерена“ възниква, когато някой поиска страница, която не е на вашия сайт. Повечето грешки 404 възникват, когато посетителят напише URL адреса на страницата с грешката или използва стара връзка към страница, която вече не съществува. Въпреки това, понякога е възможно да забележите голям брой 404 грешки подред за сравнително кратко време от един и същ IP адрес, със заявки за URL адрес на страница, които не съществуват. Това поведение може да означава, че хакерът се опитва да намери специална страница или URL адрес със злонамерени намерения.

• Активиране на 404 IP откриване и заключване. Поставете отметка в това квадратче, ако искате да можете да забранявате посочените IP адреси.
• Период на блокиране поради 404 грешки (минути). Посочете периода от време, за който IP адресите ще бъдат блокирани.
• Пренасочване на URL при грешка 404. Блокираният посетител автоматично ще бъде пренасочен към URL адреса, който сте посочили.

Можете да блокирате всички IP адреси, които са записани в таблицата „404 Error Logs“ по-долу. За да блокирате IP адрес, задръжте курсора на мишката върху колоната ID и щракнете върху връзката Блокиране временно за съответния IP адрес.

персонализирани правила

Можете да зададете допълнителни правила във файла htaccess. Нищо не пипаме.

Защита срещу атаки с груба сила

Преименуване на страницата за вход

Ефективна мярка за защита срещу груба сила на паролата е промяната на адреса на страницата за вход. Обикновено, за да влезете в WordPress, въвеждате основния адрес на сайта, последван от wp-login.php (или wp-admin).

• Активирайте опцията за преименуване на страницата за вход. Поставете отметка в квадратчето, ако искате да активирате функцията за преименуване на страницата за вход.
• Адрес (URL) на страницата за вход. Посочете нов начинкъм админ.

Защита от груба сила с бисквитки

• Активирайте защита срещу атаки с груба сила. Тази функция ще откаже достъп до вашата страница за вход на всеки потребител, който няма специална бисквитка в своя браузър.
• Тайна дума. Въведете тайна дума, състояща се от буквено-цифрови знаци (латински букви), които ще бъдат трудни за отгатване. Тази дума ще се използва за създаване на специален URL за достъп до страницата за вход (вижте следващия абзац).
• URL за пренасочване. Въведете URL адреса, към който ще бъде пренасочен хакер, когато се опита да получи достъп до вашата форма за вход. Можете да проявите въображението си и да пренасочите хакерите, например, към уебсайта на ЦРУ или ФСБ.
• Има публикации или страници на моя сайт, които са защитени от вградената функция за защита с парола на съдържанието на WordPress. В случай, че защитавате с парола публикациите и страниците си, като използвате подходящата вградена функция на WordPress, трябва да се добавят някои допълнителни директиви към файла .htaccess. Активирането на тази опция ще добави необходимите правила към файла .htaccess, така че хората, опитващи се да получат достъп до тези страници, да не бъдат автоматично блокирани.
• Този сайт има тема или плъгин, който използва AJAX. Поставете отметка в квадратчето, ако вашият сайт използва функционалност AJAX.

Captcha за влизане

Тази функция ви позволява да добавите поле CAPTCHA на страницата за вход в WordPress.

• Активирайте CAPTCHA на страницата за вход. Поставете отметка в това квадратче, за да добавите CAPTCHA на страницата за вход на вашия сайт.
• Активирайте формата CAPTCHA на променената страница за вход. Поставете отметка в това квадратче, за да добавите CAPTCHA към специалния формуляр за влизане, генериран от функцията wp_login_form().
• Активирайте CAPTCHA на страницата „загубена парола“.. Поставете отметка в това квадратче, за да добавите CAPTCHA на страницата за възстановяване на паролата.

Бял списък за влизане

Функцията за бял списък All In One WP Security ви позволява да ограничите достъпа до страницата за вход в WordPress от конкретни адреси или IP диапазони. Добавете списък с ip адреси или ip диапазони в белия списък. Всички други адреси ще бъдат блокирани веднага щом се опитат да отворят страницата за вход.

Бъчва с мед (медарница)

Тази функция ви позволява да добавите специално, скрито поле "honeypot" на страницата за вход. Ще се вижда само от роботи. защото роботите обикновено попълват всички полета във формуляра за влизане, те също ще изпратят някаква стойност в специално скрито поле за мед. Следователно, ако плъгинът види, че това поле е попълнено, роботът, който се опитва да влезе в сайта ви, ще бъде пренасочен към собствения си адрес, а именно http://127.0.0.1.

• Активирайте гърне с мед на страницата за вход. Поставете отметка в това квадратче, за да активирате функцията за гърне с мед на страницата за вход.

Защита срещу спам

Спам в коментарите

• Активирайте CAPTCHA във формите за коментари. Поставете отметка в това квадратче, за да вмъкнете поле CAPTCHA във формуляра за коментар.
• Блокирайте спам ботовете да коментират. Поставете отметка в това квадратче, за да разрешите правилата на защитната стена да блокират коментари от спам ботове. Тази функция ще създаде правило на защитната стена, което ще блокира опитите за писане на коментар, ако заявката не идва от страницата на вашия домейн. Честният коментар винаги се изпраща от лицето, което попълва формуляра за коментари и щраква върху бутона за изпращане. В този случай полето HTTP_REFERRER винаги има стойност, която се отнася за вашия домейн. Коментар от спам бот се изпраща незабавно чрез заявка към файла comments.php, което обикновено означава, че полето HTTP_REFERRER може да е празно или да препраща към нечий друг домейн. Тази функция проверява и блокира коментари, които не идват от вашия домейн. Това значително намалява общия брой SPAM и PHP заявки към вашия сървър при обработка на спам заявки.

Проследяване на IP адреси за спам в коментари

Приставката Akismet трябва да бъде инсталирана.

• Активиране на автоматично блокиране на IP адреси за коментари за СПАМ. Задайте автоматично блокиране на ip-адреси, от които vpam идва в коментари.
• Минимален брой СПАМ коментари. Посочете минималния брой спам коментари за един IP адрес, след който той ще бъде блокиран.
• Минимален брой спам коментари на IP. Тази информация може да бъде полезна при определяне на IP адресите или IP диапазоните, които най-често се използват от разпространителите на спам. Анализът на тази информация ще ви позволи бързо да определите кои адреси или диапазони трябва да бъдат блокирани, като ги добавите към черния списък.

BuddyPress

Тази функция ще добави проста математическа CAPTCHA към формуляра за регистрация в BuddyPress. Добавянето на поле CAPTCHA към регистрационния формуляр е лесен начин за значително намаляване на броя на спам регистрациите от роботи, без да променяте правилата във файла .htaccess.

Скенер

• Активирайте автоматично сканиране за промени във файловете. Поставете отметка в това квадратче, за да може системата автоматично да проверява за промени във файловете въз основа на настройките по-долу.
• Честота на сканиране. Посочете честотата на сканиране.
• Игнорирайте файлове от следните типове. Първо, въведете файлове с изображения, които могат да се променят често, без да компрометират сигурността на сайта: jpg, jpeg, png, bmp.
• Игнорирайте определени файлове и папки. Първо, посочете папката с кеша.

Режим на поддръжка

Тази опция ви позволява да поставите сайта си в режим на поддръжка, което прави невъзможно посетителите, различни от администраторите, да го разглеждат. Това може да бъде много полезно, ако променяте нещо, променяте дизайна, проверявате плъгини и т.н. и т.н.

Разни

• Активирайте защитата срещу копиране. Активирайте тази опция, ако искате да деактивирате функциите за десен клик, маркиране на текст и копиране публични страницивашия сайт.
• Активирайте защитата на iframe. Поставете отметка, ако искате да попречите на други сайтове да показват вашето съдържание в рамка или вградена рамка.
• Деактивирайте изброяването на потребителите. Тази функция ви позволява да попречите на потребителите/ботовете да извличат потребителска информация като "/?Author=1". Когато е активирана, тази функция ще генерира грешка, вместо да предостави информация за потребителя.

Оценете статията

All In One WP Security & Firewall плъгин за WordPress

4.3 (86.67%) 3 гласа