Každý, kdo se se zabezpečením stránek setkává poprvé, přemýšlí, jaký plugin k tomuto účelu nainstalovat a nakonfigurovat.

Výběr není malý. Pokud do vyhledávacího pole pluginu napíšete „Zabezpečení“, bude výsledek poměrně dlouhý.

V každém případě se vyplatí držet se těch nejoblíbenějších, aktivně udržovaných a samozřejmě těch, které si zaslouží nejvíce hodnocení.

V této recenzi jsem se rozhodl nainstalovat 4 bezpečnostní pluginy WordPress a zjistit, který z nich je pro běžného uživatele nejlepší:

První tři nabízejí i prémiovou funkcionalitu, ale tu nebudu do recenze uvádět.
Možná, že v profesionálovi nejsou žádné takové funkce, bez kterých byste nemohli žít, nebo které nemůžete nahradit bezplatnou alternativou.

Všimněte si, že tomu tak není podrobný přehled všechny funkce, rychlost kódu nebo požadavky. Jedná se o rozbor základní funkčnosti nastavení zabezpečení a úrovně práce s ním.

Omezit pokusy o přihlášení

  • Zabezpečení Wordfence

Volá se možnost povolení ochrany autentizace Povolit zabezpečení přihlášení. Plugin bohužel není přeložen do ruštiny.

Ve spodní části stránky je blok nastavení: počet pokusů o přihlášení, čas pro účtování pokusů, čas blokování a řada dalších možností.

  • Zabezpečení iThemes

Modul ochrany přihlášení se nachází v sekci Místní ochrana hrubou silou. Uživatelé tohoto pluginu mají trochu větší štěstí s ruskou lokalizací.

Níže můžete aktivovat modul ochrany sítě Ochrana sítě hrubou silou. Chcete-li to provést, musíte požádat o klíč API a seznam zákazů bude automaticky obsahovat adresy, které se již pokusily hacknout stránky jiných lidí.

  • zabezpečení štítem

Ochrana přihlášení je na kartě Ochrana přihlášení. Existuje překlad do ruštiny a obecně chci poznamenat velmi příjemné a logické rozhraní.

Můžete si také všimnout, že zde můžete použít reCAPTCHA, nastavit dvoufaktorovou autentizaci, přejmenovat přihlašovací stránku wp-login.php a dokonce odkazovat na Yubikey.

  • Vše v jednom zabezpečení WP

Blok nastavení pro ochranu před hrubou silou se nachází na stránce uživatelské přihlášení. Neexistuje žádný hotový překlad. Možnosti jsou podobné jako u podobných modulů jiných pluginů.

Na sousedních kartách můžete zobrazit protokoly událostí.

firewall

  • Wordfence

Firewall je jedním z hlavních funkčních modulů pluginu WordFence. Existují dva režimy Basic a Extended. Ten umožňuje blokovat některé útoky ještě před spuštěním WordPress, ale vyžaduje hlubší pochopení nastavení serveru.

Ve bezplatné (komunitní) verzi jsou pravidla blokování aktualizována 30 dní poté, co byla přidána do profesionála.

  • Zabezpečení iThemes

V tomto pluginu není firewall. A doporučuje iThemes používat službu Firewall webových stránek Sucuri(za poplatek).

  • zabezpečení štítem

V nastavení tohoto pluginu se nespletete, záložka Firewall je na nápadném místě. Obecně se doporučuje povolit všechny možnosti.

  • Vše v jednom zabezpečení WP

Blokovací stránka vypadá objemně díky tomu, že funkce je rozdělena na karty. Místo je obsazeno ikonami nápovědy a úrovně ochrany (i když proč jsou ty druhé potřebné). Možností je málo, dají se zapnout podle potřeby.

Protokol změn a akcí

  • Wordfence

Na stránce lze povolit automatické skenování Možnosti v kroku Povolit automatické plánované kontroly, a nezapomeňte uvést hned pod e-mailem ( Kam zasílat upozornění e-mailem).

Wordfence vám dává velkou kontrolu nad tím, co skenovat, jak a kdy odeslat zprávu.

  • Zabezpečení iThemes

Funkce monitoru je v bloku Detekce změny souboru.
Skenování probíhá po částech. Můžete vyloučit určité soubory, složky nebo typy souborů.

Na kartě základní nastavení můžete také povolit a nakonfigurovat upozornění, když jsou hostitelé nebo uživatelé blokováni.

  • zabezpečení štítem

Skenování změn a protokol aktivit lze konfigurovat ve dvou částech: Ochrana proti hackerům a Audit Trail.

První modul je nakonfigurován tak, aby skenoval integritu souborů a opravoval je, stejně jako skener nerozpoznaných souborů.

Modul Audit Trail sleduje a odesílá zprávy o různých událostech ve WordPressu (aktivita související s pluginem a tématem, akce v uživatelských účtech, úpravy a publikování příspěvků atd.).

  • Vše v jednom zabezpečení WP

Modul sledování změn je na stránce Skener. Zde můžete ručně skenovat nebo nastavit plán.

Závěrem, máme dva vítěze v monitorování změn a protokolování akcí: Wordfence a zabezpečení štítem. V závislosti na úkolu.

Stojí za zmínku, že skenování souborového systému je poměrně intenzivní proces, takže jej musíte povolit a nakonfigurovat moudře.

Blokování hostitele

  • Wordfence

Wordfence poskytuje flexibilní nástroj pro blokování uživatelů.

Pro blokování můžete nastavit řadu podmínek.

IP můžete zablokovat ručně. Nebo použijte pokročilejší metody: blokový rozsah, uživatelský agent a tak dále. Funkce blokování země je k dispozici v prémiové verzi.

  • Zabezpečení iThemes

Funkce je na kartě Blokovaní uživatelé. Na webu HackRepair.com můžete povolit seznam zákazů a odepřít přístup jednotlivým hostitelům nebo uživatelským agentům.

  • zabezpečení štítem

Seznam se sestavuje automaticky, jeho nastavení a povolení naleznete v modulu IP správce. Neexistuje žádné ruční přidávání.

  • Vše v jednom zabezpečení WP

Uživatelské IP adresy a uživatelské agenty lze na stránce ručně zablokovat Správce černé listiny.

Výherci blokování mohou být voláni Wordfence pro flexibilitu konfigurace podmínek blokování a zabezpečení štítem pokud souhlasíte, že se budete plně spoléhat automatický systém zámky.

Závěrečné srovnání pluginů

Bere se v úvahu pouze obecná základní funkčnost. Každý ochranný plugin má samozřejmě řadu vlastních funkcí. Antispam, zálohování databáze, uživatelská nastavení, oprávnění k souborům a adresářům, zakázání nepotřebných funkcí atd. Ale to jsou takové podružné věci, nebo se dají realizovat alternativní řešení flexibilnější a soustředěnější.

Moje celkové hodnocení vychází z funkčnosti a použitelnosti následujících modulů:

  • Ochrana vstupu;

    • Sledování změn/audit;

    Blokování hostitele;

Nejlepší recenze bezpečnostního pluginu WordPress rozhodně přebírá vedení Wordfence. I když jeho rozhraní může na první pohled působit nepřehledně. Oficiální web má dobrou dokumentaci (v angličtině).

Velmi spokojeni s recenzí zabezpečení štítem, Rustikované a přehledné rozhraní, zjevně zaměřené na uživatele, kteří jsou méně vyškoleni nebo se nechtějí ponořit do všech složitostí nastavení zabezpečení.

Ze dvou zbývajících pluginů bych určitě preferoval Zabezpečení iThemes, i když jen pro logičtější a čistší rozhraní.

Vše v jednom zabezpečení WP Nemohu nazvat špatný plugin, dělá svou práci. Ani v této čtyřce ale není lídrem. To je jen indikátor toho, že se pluginy se škálovatelnou prémiovou funkcionalitou snaží ve větší míře vyhovět požadavkům trhu, a to se samozřejmě týká i bezplatných verzí.

Funkčnost všech těchto pluginů je modulární, tzn. v případě potřeby je lze dokonce nakonfigurovat tak, aby spolupracovaly. No, nebo odstranit přebytek, nechat jen nezbytné.

Pokud to děláte moudře, pak je třeba k bezpečnosti a jejímu nastavení přistupovat individuálně, v závislosti na účelu webu, technickém provedení a podmínkách jeho provozu.

Ahoj všichni! Bezpečnost a ještě větší bezpečnost! Pokud jste již dříve četli článek "" na mém blogu, pravděpodobně vás zajímá další zabezpečení vašich stránek. A obecně platí, že každý adekvátní webmaster by měl své potomky milovat a chránit. V tomto článku budu mluvit o všech možnostech pluginu All In One WP Security a ukážu vám, jak je správně nakonfigurovat.

Důležité

Na mém blogu je řada lekcí "". A pokud jste nakonfigurovali zabezpečení webu s ohledem na doporučení z těchto lekcí, vezměte prosím na vědomí, že plugin All In One WP Security bude duplikovat funkce jiných bezpečnostních pluginů. Například funkce:

  • Blokování IP po neplatných pokusech o přihlášení
  • captcha v komentářích
  • změna přihlašovací stránky v administračním panelu atd.

Nechte proto vše tak, jak je, a plugin neinstalujte, nebo při konfiguraci pluginu All In One WP Security pečlivě analyzujte ochranné funkce, aby již neduplikovaly funkce nainstalované pluginy. A pokud vidíte duplikát, vypněte duplicitní plugin, aby všechna nastavení zabezpečení All In One WP fungovala správně.

Možná se mě ptáte, proč jsem v kurzu DIY blogování doporučoval nakonfigurovat zabezpečení WordPressu pomocí integrace kódu, samostatných pluginů a tak dále? Je to o alternativě. A mimochodem, v mých měřeních rychlosti načítání a celkového výkonu webu jsem nezaznamenal rozdíl mezi všemi doporučeními obsaženými ve třech částech lekce 13, z pluginu All In One WP Security. Jsou mezi vámi jedinci, kteří mě nevezmou za slovo a budou pokračovat v integraci kódu do enginu, obcházet „těžké pluginy“, dělat, jak víte.

Instalace pluginu

Pojďme tedy začít. Nejprve nainstalujte plugin All In One WP Security a aktivujte jej:

Poté se na administrativním panelu webu objeví nabídka pluginu:

Když na něj najedete kurzorem myši, objeví se kontextové menu:

Kontrolní panel

Myslím, že je lepší se nejprve seznámit s ovládacím panelem, ke kterému je potřeba kliknout na položku nabídky pluginu v admin panelu, nebo najet myší na „WP Security“ a kliknout na „Control Panel“. Dále uvidíte pět záložek:

karta Ovládací panely

Zpočátku jsme na kartě "Ovládací panely". Zde můžete vidět bloky:

  • Aktivní relace
  • Údržbový mód
  • Posledních 5 přihlášení
  • Blokované IP adresy

Měřič úrovně zabezpečení

Tento blok zobrazuje aktuální úroveň zabezpečení na základě všech nastavení pluginu:

Měří se v bodech, které se přičítají po aktivaci konkrétního nastavení. Čím vyšší je aktuální bezpečnostní skóre, tím lépe. Nikdy se mi ale nepodařilo zvýšit úroveň zabezpečení na maximální hodnotu 505 bodů (verze pluginu v době psaní tohoto článku Verze 4.3.2). Je to kvůli zbytečným funkcím pro můj blog, které jsem nezahrnul.

Schéma zabezpečení vašeho webu

Tento graf zobrazuje všechny aktuální změny v nastavení:

Jedná se o jakýsi druh statistiky, který vám umožní rychle se orientovat ve stavu nastavení.

Blokovat "Aktivní relace"

Tento blok zobrazuje informace o aktuálních relacích v administrativním panelu webu:

Blokování zpravidla zobrazuje upozornění: "Nyní nejsou žádní aktivní uživatelé kromě vás." Samozřejmě, pokud v panelu správce webu nejsou žádné další účty s oprávněním k práci a ve skutečnosti v tomto bloku vidíte neznámý účet, jedná se o hackera.

Údržbový mód

Velmi šikovná funkce:

Netvrdím, že režim údržby lze povolit přesměrováním na dříve vytvořenou stránku přes .htaccess, ale plugin již tuto možnost má a značně to usnadňuje život například při údržbě stránek. Kromě toho si můžete upravit stránku služby podle svých představ. Pro nastavení a zapnutí servisního režimu klikněte na tlačítko "on / off". Poté se dostanete na stránku nastavení režimu údržby. Chcete-li režim aktivovat, zaškrtněte políčko „Povolit režim údržby“ a uložte nastavení. Navíc si můžete přizpůsobit zobrazený text, vložit obrázek a další. A to lze změnit v bloku "Zadejte zprávu".

Tento blok obsahuje informace o datu a posledních pěti IP adresách, ze kterých jste vstoupili do oblasti správy webu:

Tyto informace jsou užitečné nejen pro účely zabezpečení, ale také pro sledování relací jiných účtů.

Blokované IP adresy

Tento blok zobrazuje adresy IP, které byly blokovány pluginem All In One WP Security nebo vámi ručně:

Na snímku obrazovky nejsou žádné položky, ale v případě blokování IP adres se položky objeví.

Aktuální stav nejdůležitějších funkcí

V tomto bloku můžete vidět stav kritických bezpečnostních opatření:

Jak můžete vidět, všechny posuvníky jsou zpočátku v poloze „OFF“. Konkrétně jsem vytvořil podmínky s banálním přihlášením „admin“, abych řekl a ukázal, jak jsou implementována minimální doporučení pro zajištění ochrany vašeho webu.

Správci

Položka nastavení "Správci" je zodpovědná za kontrolu účtů správců stránek. Zde uvidíte následující karty:

Vlastní název WP

První záložka „WP Custom Name“ zobrazuje seznam správců. Zde také můžete vidět varování o přihlášeních, která mohou být ohrožena:

Jak vidíte, plugin považuje přihlášení „admin“ za nebezpečné a navrhuje jej přejmenovat. Pojďme to udělat. Chcete-li změnit přihlašovací jméno, do prázdného pole "Nové uživatelské jméno správce" zadejte nové jméno, například další banální věc - "wpadmin". Poté klikněte na „Změnit uživatelské jméno“. Dále se systém automaticky odhlásí z účtu, abyste se mohli přihlásit pod novým jménem správce. Poté budete zpět na kartě „WP Custom Name“.

Nyní věnujte pozornost bloku „Změnit uživatelské jméno správce“, konkrétně bodům:

Gratulujeme, za splnění jednoho základního bezpečnostního doporučení WordPressu získáte 15 bodů z 15.

Zkušení webmasteři dobře vědí, že standardní funkce nemůže změnit jméno správce, ale pomocí pluginu All In One WP Security ano. Každý, kdo četl první část tutoriálu „Konfigurace zabezpečení WordPressu“, ví, s jakými potížemi se můžete setkat při vytváření účtu správce s novým názvem a připojování pošty ze starého účtu k němu.

Heslo

Nyní se podíváme do záložky "Heslo". V bloku "Zkontrolovat sílu hesla" můžete zadat své Aktuální heslo a získejte následující informace:

Jak vidíte, bot pro odhadování hesel spuštěný z běžného počítače bude takové heslo získávat velmi, velmi dlouho, i když je ochrana pluginem obejita.

Zobrazovaný název

Pravděpodobně se ptáte, proč jsem přeskočil kartu Zobrazovaný název. Nechal jsem to na svačinu. Užitečnost této položky je určena pro velmi nové uživatele WordPress. Zde vidíte počet bodů, jako v každé nabídce nastavení. A pokud se přezdívka shoduje s přihlašovacími údaji správce, zobrazí se upozornění:

Svou přezdívku můžete změnit kliknutím na přihlašovací jméno správce, nebo najetím myší na „Uživatelé“ v nabídce administrativního panelu kliknutím na položku „Váš profil“. Pokud jste neabsolvovali můj kurz tvorby blogu, zadejte nejprve do pole „Přezdívka (povinné)“ viditelné jméno jako autora článků, které neodpovídá přihlašovacímu administrátorovi. Dále v rozevíracím seznamu „Zobrazit jako“ vyberte dříve zadanou přezdívku. Poté uložte. Když nyní navštívíte nabídku nastavení „Správci“ pluginu All In One WP Security, na kartě „Zobrazovaný název“ se zobrazí následující:

Nastavení

Obecné nastavení

Ve výchozím nastavení jste v " Obecné nastavení". Zde máte k dispozici následující užitečné funkce:

  • vytvoření zálohy databáze
  • zálohování souboru .htaccess
  • zálohování souboru wp-config.php

Existují také možnosti, jak povolit nebo zakázat funkci zabezpečení a všechny funkce brány firewall All In One WP Security. Před změnou nastavení pluginu vám vždy doporučuji přečíst si vysvětlení možností, například:

.htaccess a wp-config.php

Všimněte si záložek ".htaccess File" a "wp-config.php File". V nastavení těchto karet můžete vytvářet a obnovovat záloha, uhodli jste správně, .htacces a wp-config.php. To je docela pohodlné a nevyžaduje FTP klienta.

Informace o verzi WP

Pro mě je zajímavější záložka následující - "WP Version Info". Pro ty, kteří nevědí, nech mě to vysvětlit. WordPress generuje meta tag s atributem content, který má zase hodnotu současná verze vyhledávač stránek. Je to nebezpečné, extrémně nebezpečné! Proto v sekci „Odstranit metadata generátoru WP“ zaškrtněte políčko vedle „Zaškrtněte toto, pokud chcete odstranit verzi a meta informace vytvořené WP ze všech stránek“ a klikněte na „Uložit nastavení“.

Import Export

Záložka Import / Export je zodpovědná za vytvoření takříkajíc šablony nastavení. Nastavením pluginu All In One WP Security na jednom z vašich projektů můžete přenést nastavení na jiné weby. To je velmi výhodné, i když jste nakonfigurovali plugin, exportovali nastavení, ale najednou bylo nutné obnovit zálohu webu.

pokročilé nastavení

Poslední záložka „Pokročilá nastavení“ zodpovídá za způsob získávání údajů o IP adrese každého z návštěvníků. Pokud neznáte PHP na poměrně dobré úrovni a superglobální pole $ _SERVER vám zvětšuje zorničky, pak vás žádám, abyste na tuto záložku nepřistupovali.

Povolení

V této položce nastavení pluginu All In One WP Security vidíme následující karty:

Blokování autorizace

V popisu k této záložce jste si pravděpodobně již přečetli pokyny vývojářů o útocích hrubou silou. Dále musíte zaškrtnout možnosti vedle bloků:

  • Povolte možnosti blokování pokusů o autorizaci
  • Povolit odblokování požadavků (v případě, že jste se zablokovali)
  • Zobrazovat chybové zprávy autorizace (zvyšuje šanci, že se nezablokujete)
  • Upozornit e-mailem (vždy mějte na paměti neúspěšné pokusy o přihlášení, což vám umožní okamžitě reagovat na možné pokusy o hackování)

Jdeme dolů do globálního bloku "Rozsah dočasně blokovaných IP adres". Zde můžete přejít do statistiky blokovaných adres kliknutím na „Uzamčené IP adresy“.
V bloku "Login Lockdown IP Whitelist Settings" můžete nakonfigurovat seznam bílých IP adres, například adresu vašeho počítače, na které se nastavení blokování nepoužije. Chcete-li to provést, v bloku „Enable Login Lockdown IP Whitelist“ zaškrtněte políčko pro aktivaci nastavení a do bloku „Enter IP address for white list“ zadejte svou IP adresu. Nezapomeňte níže uložit. Nedoporučuji ale zakládat whitelist. Útočníci mohou podvrhnout vaši IP adresu.

Neúspěšné pokusy o přihlášení

Jedeme dál. V záložce "Nesprávné pokusy o autorizaci" vypíše neúspěšné pokusy o autorizaci. Tyto informace jsou velmi užitečné z hlediska analýzy pokusů o přihlášení. Ti, kterým záleží na těchto statistikách, je mohou exportovat do souboru CSV:

Automatické odhlašování uživatelů

Záložka "Automatické odhlášení uživatelů" je neméně důležitá než zbytek nastavení. Zde můžete povolit odhlášení uživatelů administrátorského panelu po určité době nečinnosti, například 60 minut:

Protokol aktivity účtu

Dále přejděte do "Protokol činnosti účtu". Zde vidíte časy přihlášení a odhlášení pro konkrétního uživatele. Pro všechny účty je uloženo pouze 50 záznamů. Tyto informace jsou užitečné pro analýzu aktivity:

Tato data můžete také exportovat do souboru CSV.

Aktivní relace

V poslední záložka"Aktivní relace" zobrazuje účty v reálném čase, pod kterými jste přihlášeni do administrátorské části webu:

Registrace uživatele

V 99 % případů chybí nastavení „Registrace uživatele“ pro blog v pluginu All In One WP Security. Ale stále budu mluvit o možnostech následujících záložek:

Ruční potvrzení

Pokud vaše stránky umožňují registraci a množství spamu, které uživatelé zanechávají, není příliš žádoucí, měli byste povolit ruční schválení nového uživatele na kartě „Ruční potvrzení“. To vám umožní uzavřít přístup k autorizaci, dokud ručně nepotvrdíte registraci uživatele. Co to v podstatě dělá? Jak ukazuje praxe, na jednom z mých projektů jsou jednotlivci, kteří zpočátku registrují poštu podle typu: [e-mail chráněný], [e-mail chráněný], [e-mail chráněný] atd. Podobné maily se používají během nová registrace poté, co jsem zablokoval první účet určité osoby. A pokud uvidím, že mě nedávno zaujal podobný spammerův mail, tak registraci zakážu. V důsledku toho se spammer nemůže přihlásit a znovu použít stejnou poštu k registraci, i když neměl čas spam opustit.

Pokud je tedy potřeba další moderování uživatelů ihned po registraci, je třeba zaškrtnout políčko v bloku „Aktivovat ruční schvalování nových registrací“ a uložit nastavení.

CAPTCHA při registraci

Další záložka „CAPTCHA při registraci“ přidá captcha na stránku registrace uživatele. Captcha lze aktivovat zaškrtnutím políčka „Aktivovat CAPTCHA na registrační stránce“. Tuto funkci považuji za potřebnou a užitečnou. Samozřejmě, pokud jste zajistili registraci nových uživatelů.

Registrace Honeypot

Záložka "Registrace Honeypot" je velmi užitečná funkce blokovat sofistikované registrační roboty. Doporučuji vám povolit tuto možnost v bloku „Povolit Honeypot na registrační stránce“. Uložit.

Ochrana databáze

Skupina nastavení Ochrana databáze se skládá ze dvou záložek:

Buďte velmi opatrní s nastavením v první záložce "Prefix DB tabulky". Je nutné okamžitě vytvořit záložní kopii databáze v záložce "Záloha DB".

Zálohování databáze

Pojďme se podívat na záložku "DB Backup". Chcete-li vytvořit zálohu databáze, klikněte na tlačítko „Zálohovat databázi nyní“. Po úspěšném vytvoření zálohy se zobrazí následující informace:

Snímek obrazovky ukazuje umístění mé databáze. Budete mít svou vlastní adresu.

A také na této záložce můžete nakonfigurovat pravidelné vytváření kopie databáze. Chcete-li to provést, zaškrtněte políčko vedle položky „Povolit automatické vytváření zálohy". Kromě toho můžete nakonfigurovat, jak často se mají vytvářet kopie, kolik kopií se má ukládat na server a odesílat kopie poštou. Nezapomeňme šetřit.

Předpona tabulky DB

Vrátíme se na záložku "Prefix tabulky DB". Pokud jste nezměnili předponu databáze, pak má hodnotu "wp_". Toto se zobrazí upozornění:

Chcete-li všem tabulkám v databázi přiřadit jiný prefix, musíte jej zadat v poli bloku "Generovat nový prefix databázové tabulky". Poté klikněte na „Změnit předponu tabulky“. Pokud toho moc nevíte, jaká by měla být předpona, pak vám doporučuji zaškrtnout políčko „Zkontrolovat, aby plugin sám vygeneroval předponu o délce 6 náhodných znaků“ a pole „Zadejte vlastní verze předpony pomocí latinských písmen, číslic a podtržítek“ ponechte prázdné.

Ochrana souborového systému

Nyní prozkoumáme nastavení „Ochrana systému souborů“ pluginu All In One WP Security. Tato položka nastavení se skládá ze čtyř záložek:

Přístup k souboru

Ve výchozím nastavení se nacházíme v záložce „Přístup k souboru“. Pokud si nejste jisti, jaký CHMOD (oprávnění) nainstalovat do konkrétní složky na serveru, vše za vás vyřeší plugin All In One WP Security. Věnujte pozornost tabulce v této záložce. Pokud má plugin komentář týkající se aktuálních oprávnění, uvidíte ve sloupci „Doporučená akce“ nápis „Nastavit doporučená oprávnění“:

Pokud nejsou žádné komentáře, pak nápis "Není vyžadována akce." Chcete-li použít doporučená nastavení CHMOD, klikněte na Nastavit doporučená oprávnění.

Editace souborů PHP

Tato záložka nastavuje zákaz úprav PHP souborů z administrativního prostředí. Doporučuji zaškrtnout políčko "Zakázat možnost upravovat soubory PHP".

Přístup k souborům WP

Obvykle hned po instalaci WordPressu mažu soubory: readme.html, wp-config-sample.php atd. Ale jsou chvíle, kdy ukázka stejného konfiguračního souboru zachrání začátečníky. Doporučuji proto zaškrtnout políčko „Zakázat přístup k informačním souborům vytvořeným ve výchozím nastavení při instalaci WordPressu“.

Systémové protokoly

Tato karta je určena pro zkušené webmastery. V opačném případě při pohledu do protokolu chyb na webu nebudete schopni zjistit podstatu problému.

vyhledávání WHOIS

Podle mého skromného názoru je to skvělý nástroj, jak získat alespoň nějaké informace například o zablokovaném uživateli. Přirozeně můžete použít web WHOIS, ale proč, když v pluginu All In One WP Security existuje vyhledávání WHOIS.

Černá listina

Plugin All In One WP Security umožňuje blokovat nejen podle IP adresy, ale také podle uživatelských agentů. Uživatelské agenty lze považovat za různé pavouky / roboty vyhledávačů, různé analytické služby atd., které vytvářejí nadměrné zatížení na server. Toto nastavení se vám bude hodit, i když nechcete, aby váš web procházel například robot Google. Všechna nastavení specifikovaná v položce "Black List" budou přidána do .htaccess.

firewall

Nastavení brány firewall se skládá ze sedmi záložek:

Začněme tedy popořadě.

Než začnete svůj soubor .htaccess upravovat pomocí pluginu All In One WP Security, nezapomeňte si zálohovat svůj .htaccess.

Základní pravidla firewallu

Pokud nepoužíváte například pluginy pro automatické zveřejňování na sociálních sítích, můžete všude bezpečně zaškrtnout políčka a uložit nastavení této karty. Doporučuji vám však zahrnout pouze následující položky:

  • Aktivujte základní funkce brány firewall
  • Zakázat funkci Pingback z XMLRPC
  • Blokovat přístup k souboru debug.log

Myslím, že při prvním nastavení je vše jasné, ale další dvě možnosti jsou povinné. "Disable Pingback Functionality From XMLRPC" deaktivuje požadavky na pingback, například od statistických služeb, ale ponechá požadavky na služby povolené. Možnost "Blokovat přístup k souboru debug.log" zakáže přístup k souboru ladění, který může obsahovat citlivé informace o službě.

Další pravidla brány firewall

Na této kartě vám doporučuji povolit všechna nastavení kromě: "Zakázat možnost procházet adresáře." Faktem je, že zákaz procházení adresářů je nastaven direktivou „AllowOverride“ v konfigurační soubor httpd.conf na serveru. Tato nastavení můžete provést pouze v případě, že máte VPS, VDS, pronajatý nebo vlastní server. V opačném případě ponechte toto nastavení nezaškrtnuté.

Kliknutím na „+ Více“ zjistíte, proč je každé nastavení potřeba:

V zásadě jsou téměř všechna nastavení brány firewall uvedená v pluginu All In One WP Security vyžadována, aby byl WordPress zabezpečený.

Pravidla brány firewall pro černou listinu 6G

6G firewall nemá nic společného s mobilní komunikací. Tento firewall poskytuje ochranu před řadou škodlivých URL požadavků, špatnými roboty, doporučujícím spamem a dalšími útoky. Povolení pravidel brány firewall šesté generace výrazně sníží zatížení serveru, samozřejmě, pokud podobné žádosti vůle. Doporučuji povolit ochranu 6G a 5G.

Internetoví roboti

Karta Internet Bots blokuje škodlivé roboty, kteří se maskují jako googlebot. Doporučuji povolit možnost „Blokovat falešné Googleboty“. Ostatní prohledávače nebudou blokovány.

Zabránit horkým odkazům

Je nutné aktivovat možnost záložky „Zabránit hotlinkům“. Povolte možnost a uložte. Tím se sníží zatížení serveru, pokud jsou vaše odkazy na vaše obrázky umístěny mimo váš web. Toto nemá vliv na automatické přidávání příspěvků na sociální sítě a další místa.

Detekce 404

Předposlední záložku "Detekce 404" je také nutné aktivovat. Povolte možnost „Povolit detekci a uzamčení IP 404“. Toto nastavení je zodpovědné za blokování IP adres, ze kterých se v krátkém čase odešle mnoho požadavků na neexistující stránky. Ve většině případů to naznačuje hackerský útok, hledá zranitelnou stránku. Volitelně můžete také změnit dobu, po kterou bude útočníkova IP adresa zakázána. Do bloku „URL přesměrování chyby 404“ se zpravidla automaticky zapisuje adresa hlavního zrcadla webu. Doporučuji tuto adresu neměnit. A v tabulce "Error Logs 404" zobrazuje údaje o návštěvě neexistujících stránek. Protokol lze nahrát do souboru CSV.

Vlastní pravidla

Poslední záložka "Vlastní pravidla" má funkci přidání vlastních pravidel do souboru .htaccess. Radím vám, abyste si nevytvářeli nic vlastního, aniž byste pochopili, jak nastavení .htaccess funguje. V opačném případě může web přestat fungovat.

Ochrana proti útokům hrubou silou

Útoky hrubou silou jsou útoky zaměřené na heslo a přihlášení hrubou silou, dokud není nalezena správná možnost. Tato skupina nastavení má pět záložek, začněme tou první:

Přejmenovat přihlašovací stránku

Záložka "Přejmenovat přihlašovací stránku" obsahuje dva parametry, z nichž v prvním "Povolit možnost přejmenování přihlašovací stránky" je třeba zaškrtnout políčko a ve druhém "Adresa (URL) přihlašovací stránky" zadat adresu pro vstup do administrátorské oblasti. Adresa URL přihlašovací stránky se musí lišit od výchozího wp-admin, například thisismysite. Nezapomeňte uložit a zapamatovat si přihlašovací adresu správce. V mém příkladu to bude mysite.ru/thisismysite, kde mysite.ru je adresa vašeho webu.

Ochrana hrubou silou pomocí cookies

Přejděte na kartu „Ochrana proti útokům hrubou silou pomocí souborů cookie“. V případě, že máte stránky chráněné heslem, můžete povolit možnost „Můj web obsahuje příspěvky nebo stránky, které byly uzavřeny vestavěnou funkcí ochrany obsahu WordPress heslem“. Mám tyto stránky. Pokud jde o možnost „Tento web má motiv nebo plugin, který používá AJAX“, většina moderních motivů a pluginů používá technologii AJAX. Proto vám doporučuji tuto možnost povolit. Doporučuji neaktivovat nastavení „Aktivovat ochranu proti útokům hrubou silou“, aby nedošlo k zablokování vaší IP adresy pluginem All In One WP Security. Faktem je, že můžete zapomenout a vymazat soubory cookie pluginu pomocí přístupového klíče. A abyste neřešili problémy, kterým se dalo předejít, doporučuji tuto volbu nezaškrtávat, zejména proto, že plugin sám varuje a až na druhý pokus umožňuje aktivovat tato nastavení.

CAPTCHA pro přihlášení

Přihlašovací karta CAPTCHA obsahuje užitečné funkce pro dodatečná ochrana přihlašovací stránky a stránky pro obnovení hesla. Doporučuji nastavit zaškrtávací políčka naproti:

  • Povolte CAPTCHA na přihlašovací stránce
  • Na upravené přihlašovací stránce aktivujte formulář CAPTCHA
  • Aktivujte CAPTCHA na stránce " ztracené heslo»

V bloku „Woocommerce Forms Captcha Settings“ jsou zaškrtávací políčka nastavena pouze při použití pluginu pro internetový obchod „Woocommerce“.

Whitelist pro přihlášení

Pokračujeme a přejdeme na záložku "Bílá listina pro přihlášení". Tento parametr funguje jako další obranná linie a blokuje přístup na přihlašovací stránku všem IP adresám, které nejsou na bílé listině. Pokud chcete, můžete tuto možnost nastavit. Ale, a ještě jednou! Pokud máte dynamickou IP adresu nebo potřebujete naléhavě přejít na panel správce, například pomocí číslo mobilního telefonu a poskytovatel vám přidělí jinou IP adresu, pak nastanou potíže.

Sud s medem (Honeypot)

Poslední záložka „Honeypot“ ze skupiny nastavení „Ochrana proti útokům hrubou silou“ je zodpovědná za blokování robotů, kteří se pokoušejí vyplnit pole oprávnění. Roboti zpravidla automaticky vyplní všechna pole a možnost „Sudek s medem“ poskytne botovi pro oči uživatele neviditelné pole, které robot automaticky vyplní. Pokud k tomu dojde, plugin All In One WP Security robota automaticky zablokuje. Doporučuji povolit volbu „Aktivovat honey pot na přihlašovací stránce“.

Ochrana proti spamu

Přejděme k další skupině nastavení „Ochrana před SPAMem“. Nyní se zaměříme na čtyři karty:

Spam v komentářích

  • Aktivujte CAPTCHA ve formulářích komentářů
  • Blokovat spamovací roboty v komentářích

Sledování IP adres pro nevyžádané komentáře

Další záložka pro statistiku „Sledování IP adres pro nevyžádané komentáře“. Možnosti v této záložce nepochybně přinášejí dobrotu. Doporučuji zaškrtnout políčko u položky „Povolit automatické blokování IP adres Komentář ke spamu“. Uložit.

Dále v poli „Minimální počet komentářů považovaných za SPAM“ nastavte hodnotu na 5. Věnujte pozornost bloku „Seznam IP adres spammerů“, který je zodpovědný za filtrování komentářů. Pokud potřebujete najít IP adresy, které byly alespoň jednou spamovány, nastavte hodnotu na „1“ a klikněte na „Najít IP adresy“. A pokud např. 3x, tak hodnota je „3“ atp. Myslím, že jsi to pochopil. Výsledky se zobrazí v tabulce "Seznam IP adres spammerů".

BuddyPress a BBPress

Na kartách "BuddyPress" a "BBPress" můžete povolit captcha v registračním formuláři. BuddyPress a BPress jsou pluginy. BuddyPress pomáhá budovat Běží na WordPressu sociální síť a plugin fóra BBBress. Pokud tyto úpravy nepoužijete, nebudou možnosti na příslušných kartách chybět.

Skener

Předposlední skupina nastavení „Skener“ je zodpovědná za pravidelné skenování webu Škodlivý kód a soubory. Zde vidíte pouze dvě záložky:

Sledujte změny v souborech

V první záložce „Sledování změn v souborech“ můžete web ihned procházet kliknutím na „Procházet nyní“.

Pochopte jednu jednoduchou věc – žádný plugin nedokáže ochránit váš web před hackerskými guru! Proto nás v případě potíží plugin All In One WP Security po skenování bude informovat o přítomnosti stop hackování. Doporučuji povolit volbu "Aktivovat automatickou kontrolu změn souborů" a nastavit frekvenci kontroly minimálně každé dva dny. Frekvence procházení závisí na aktuální zátěži vašeho webu. A pokud se doba načítání webu na špičce návštěvnosti zvýší, zvažte změnu tarifní plán nebo přesun na vyhrazený server, aby skener zásuvného modulu All In One WP Security server nadměrně nezatěžoval.

Pole „Ignorovat soubory následujících typů“ a „Ignorovat určité soubory a složky“ se vyplňují jednotlivě, podle vašeho přání. Také vám doporučuji aktivovat možnost „Odeslat e-mail, když je nalezena změna“, abyste byli vždy informováni o všech změnách v souborech. Můžete zadat více emailová adresa. Po nastavení uložte.

Skenování malwaru

Druhá karta „Skenování z malware» je určen k registraci na stránce vývojářů pluginu, za účelem pravidelného skenování stránky za poplatek. To výrazně sníží zatížení serveru během kontroly. Kdo chce platit peníze, prosím, je to vaše právo. Ale nevidím moc smysl v nasmlouvání takové služby pro blog.

Smíšený

Poslední skupina nastavení "Různé" obsahuje tři záložky:

Ochrana proti kopírování

Na první záložce "Ochrana proti kopírování" můžete blokovat následující funkce:

Omezení se budou vztahovat na všechny stránky, které jsou uživatelům dostupné. Pokud máte užitečný blog, kde se lidé mohou dozvědět spoustu věcí sami pro sebe ve skladišti znalostí, pak nedoporučuji tuto funkci zapínat. Osobně považuji za nepohodlné, když nemohu zkopírovat text s informacemi, které jsou pro mě důležité.

Rámečky

Karta Rámce je zodpovědná za blokování zobrazení obsahu vašeho webu mezi značkami frame a iframe. Které jsou již několik let považovány za nebezpečné a často jsou hackovány. Například 1C Bitrix ve výchozím nastavení tyto značky blokuje.

Výčet uživatelů

poslední záložka a poslední nastavení plugin All In One WP Security, který budeme považovat za „Výčet uživatelů“. Doporučuji povolit možnost „Zakázat seznam uživatelů“, abyste botům zabránili ve vyhledávání informací o uživatelích, kteří mohou být viděni například jako komentátoři. To určitým způsobem vytváří ochrannou bariéru pro uživatele webu, čímž chrání účet správce.

Tím končí rozbor s pluginem All In One WP Security. Právě jste dočetli obrovský článek, který se dá přirovnat k deseti běžným článkům. Doufám, že jsem to vysvětlil srozumitelným jazykem. Pokud máte nějaké dotazy, neváhejte se jich zeptat v komentářích. Děkuji za pozornost.

Ahoj kluci! Když se vaše stránky trochu propagují, objeví se pravidelní čtenáři, máte velkou radost. Všechno se zdá být v pohodě. Roste také tok peněz a získáváte odezvu od publika, zvyšuje se uznání. Je tu ale i druhá strana mince. Jsou to závistiví lidé, to je pozornost od špatných příznivců.

Abyste měli představu, o čem mluvím, jen za poslední týden byl můj blog napaden 2x. Štamgasti si mysleli, že si toho všimli. Chlapi, důrazně vám doporučuji, abyste si přečetli tento tutoriál, udělali si čas na implementaci tipů, o kterých mluvím, abyste své stránky lépe zabezpečili a ušetřili čas, peníze a nervy.

All In One WP Security je nejdůležitější bezpečnostní plugin pro WordPress. Měl by si jej nainstalovat každý, kdo vlastní web na WordPressu. Všichni bez výjimky.

Pokud je můj oblíbený SEO harvester pro WordPress, pak je bezpečnostním ekvivalentem plugin WP Security. Tedy pokud jsem díky Yoast SEO přestal potřebovat několik SEO pluginů, tak i zde se díky All In One WP Security můžete zbavit dalších pluginů, které funkce tohoto plní jen částečně. Například jako:

  • Uzamčení přihlášení;
  • Zálohování databáze WordPress
  • Anti-XSS útok;
  • a ostatním se to líbí.

Obrovské výhody All In One WP Security Plugin:

  • volný, uvolnit;
  • velmi snadné nastavení;
  • téměř vše je přeloženo do ruštiny, takže je jasné, o co se hraje.

Konfigurace bezpečnostního pluginu All In One WP

Před zahájením práce (pro jistotu) si vytvořte zálohu (záložní kopii) následujících souborů:

  • databáze;
  • soubor wp-config
  • soubor htaccess.

Mimochodem, záložní kopie těchto tří souborů lze vytvořit přímo ve stejném pluginu, stačí přejít na WP Security - Settings na panelu administrátora:

Kontrolní panel

Existuje velmi skvělý informátor, který ukazuje úroveň zabezpečení vašeho webu:

Tento indikátor vám pomůže udržet prst na tepu a pochopit, co dalšího je třeba udělat pro zlepšení zabezpečení. Nedoporučuji dělat vše pro dosažení maximálního skóre. Mohou to mít špatné následky, váš web může spadnout, chovat se špatně.

Aktuální stav nejdůležitějších funkcí. V tomto bloku si můžete aktivovat nejnutnější funkcionalitu pro zabezpečení vašeho webu (prozatím je můžete nechat na pokoji, při nastavení lekce se tyto parametry aktivují takto):

Zbývající parametry v Ovládacím panelu jsou málo zajímavé, můžete se s nimi pro zajímavost seznámit (System Information, Blocked IP Addresses, AIOWPS.

Nastavení

Obecné nastavení. Zde můžete vytvořit záložní kopie souborů, které jsem zmínil výše. Pokud něco přestane fungovat, vypněte také funkce zabezpečení a brány firewall.

WP meta informace. Kliknutím na zaškrtávací políčko vedle „Odstranit metadata generátoru WP“ skryjete verzi WordPress:

Záložka "Import/Export". Zde můžete exportovat svá nastavení, abyste později na jiném webu neztráceli čas nastavením a importovali všechna potřebná „zaškrtnutí“ na 2 kliknutí.

Správci

Vlastní název WP. Nezapomeňte (!) změnit jméno správce, pokud jej máte „admin“. Nemáte ponětí, kolik a často se vybírá hesla s přihlašovacím jménem správce. Pokud je navíc heslo velmi lehké, může být váš web snadno hacknutý.

Zobrazovaný název. Pokud jsou na vašem webu účty, které mají stejné uživatelské jméno a zobrazované jméno, doporučuje se změnit zobrazované jméno (přezdívku).

Heslo. Velmi zajímavá záložka. Zde se dozvíte, za jakou dobu si můžete vyzvednout automatický režim vaše heslo. Zadejte své heslo a budete překvapeni, jak rychle jej lze prolomit. Předpoklady pro zvýšenou bezpečnost:

  • Vaše heslo musí obsahovat velká i malá písmena.
  • přítomnost alespoň 1. číslice je povinná, ale heslo by se nemělo skládat pouze z čísel;
  • je žádoucí mít nějaký zvláštní charakter;
  • délka hesla musí být více než 10 znaků.

V důsledku toho byste měli mít maximální stupeň zabezpečení svého hesla, něco takového (níže uvedené heslo by domácí počítač prolomil za 57 337 let (!):

Povolení

Nezapomeňte tuto funkci povolit. Pokud je heslo zadáno nesprávně 3x během 5 minut (standardně), pak bude IP blokována na 60 minut (také standardně). Nedoporučuji nastavovat blokování na více času, jinak se můžete setkat s tím, že sami administrátoři zadají 3x špatně přihlášení, blokují na 10 let a nevědí si rady. Necháme výchozích 60 minut a nekoupeme.

Doporučuji také zaškrtnout políčko „Ihned zablokovat neplatná uživatelská jména“. Například jste změnili přihlašovací jméno z admin na krutysh, pak když do pole autorizace zadáte přihlašovací jméno admin, IP adresa bude okamžitě zablokována. "Upozornit e-mailem" - zde podle potřeby. Nemám rád extra spam, takže tady políčko nezaškrtávám.

Moje konečné nastavení pro tuto kartu vypadá takto:

Pokud jste zvědaví, můžete se podívat na seznam blokovaných IP adres, odkaz na sekci je uveden na stejné kartě níže.

Neplatné pokusy o přihlášení. Zde jsou vybraná přihlášení pouze viditelná. Nejčastěji jsou moje přihlašovací údaje admin, root, font. Viditelná je i doba „pokusů“. Věnujte pozornost tomu, jak často se snaží přihlásit do panelu administrátora:

Automatické odhlašování uživatelů. Doporučuji také zaškrtnout toto políčko. Umožňuje ukončit relaci po určitém počtu minut a odhlásit uživatele. Dal jsem 600 minut:

Karty "Protokol aktivity účtu" a "Aktivní relace" slouží pouze pro informační účely.

registrace uživatele

Zaškrtněte políčko vedle „Aktivovat ruční schvalování nových registrací“:

Ano a při registraci můžete zaškrtnout CAPTCHA:

Samozřejmě, pokud je nemožné, aby se na vaše stránky registrovali další lidé, jsou první 2 body prostě k ničemu, nebudou lepší ani horší. Ale pokud máte pochybnosti, je lepší tato políčka zaškrtnout.

Ochrana databáze

Zde buďte opatrní v záložce "Prefix tabulky DB". Před zaškrtnutím políčka nezapomeňte zálohovat databázi (zde také uvidíte odkaz na vytvoření zálohy databáze). Pokud se bojíte, máte pochybnosti, je lepší nechat to nezaškrtnuté:

Zálohování databáze. Zde již zaškrtneme, vybereme frekvenci vytváření záloh a jejich počet. Mám. například tato čísla:

Ochrana souborového systému

Přístup k souboru. Zde na pravé straně budete mít tlačítka, budete muset změnit oprávnění souboru kliknutím na tato tlačítka. V důsledku toho by všechny řádky měly zezelenat:

Editace souborů PHP. Pokud neopravíte své soubory PHP přes administrátorský panel zaškrtněte políčko. Nedoporučuji upravovat soubory přes admin panel, už jen proto, že v takovém případě nemáte možnost stisknout CTRL + Z a nebudete moci vrátit soubor na původní místo:

Přístup k souborům WP. Zaškrtněte:

Systémové protokoly. Standardně odcházíme.

vyhledávání WHOIS

Chcete-li získat WHOIS domény, můžete zadat IP adresu nebo doménu. A tak se vlastně není čeho dotýkat.

Černá listina

Pokud nemáte nepřátele, nemůžete tuto položku zahrnout. Pokud například v komentářích neustále bliká nějaká IP adresa, můžete zaškrtnout políčko a tuto IP zakázat.

firewall

Základní pravidla firewallu. Pokud jste do tohoto okamžiku neprovedli zálohu htaccess, určitě to uděláme. A zaškrtněte políčka vedle všech položek:

Další pravidla brány firewall. Zde také zapneme všechna zaškrtávací políčka:

AKTUALIZACE: níže v záložce "Další filtrování znaků" jsem zrušil zaškrtnutí, protože některé komentáře neprošly, vyskytla chyba 403. Pravděpodobně koneckonců i vy Doporučuji vám zrušit zaškrtnutí tohoto políčka. aby uživatelé neměli problémy s komentováním.

Nastavení brány firewall 5G. Dále zahrnujeme:

Internetoví roboti. Mohou nastat problémy s indexováním, proto doporučuji tuto položku nezařazovat.

Zabránit horkým odkazům. Taky to zapínáme.

vlastní pravidla. V souboru htaccess můžete nastavit další pravidla. Ničeho se nedotýkáme.

Ochrana proti útokům hrubou silou

Přejmenujte přihlašovací stránku. Zapnout. Změňte přihlašovací adresu na svou vlastní:

Ochrana proti útokům hrubou silou pomocí souborů cookie. Tuto funkci nepovoluji, aby nebyly problémy s přihlašováním z různých zařízení.

CAPTCHA pro přihlášení. Během autorizace můžete povolit CAPTCHA, ale nezahrnuji:

Whitelist pro přihlášení. Vzhledem k tomu, že stránky často navštěvuji s různá místa, mám jinou IP, takže tuto možnost nepovoluji:

Sud s medem. Vytvoří se další pole, které vidí pouze roboti. Proto při vyplnění tohoto pole bude robot přesměrován na svou adresu. Zahrnout:

Ochrana proti spamu

CAPTCHA ve formě komentářů. Nepovoluji to, protože nerad komplikuji komentování, ale doporučuji povolit funkci „Blokovat komentáře spamového robota“:

Sledování IP adresy pro nevyžádané komentáře. Zde se můžete v komentářích podívat na „často jiskřící“ IP adresy pro spam a zařadit je na černou listinu.

BuddyPress. Přidá CAPTCHA do registračního formuláře BuddyPress. já to nepoužívám.

Sledujte změny v souborech. Doporučuji povolit, protože často není zcela jasné, kdy jsou stránky hacknuty, který soubor byl změněn, kde hledat škodlivý kód. A pomocí této funkce můžete sledovat změny v souborech vašeho webu a rychle najít soubor, který se nedávno změnil.

Vyhledávání malwaru. Funkce je placená, stojí od 7 $ měsíčně.

Údržbový mód

Umožňuje na chvíli „zavřít“ web a provést nějaké změny. To znamená, že návštěvníkům webu bude nabídnut „útržek“, že na webu probíhají práce. Užitečné při změně designu, kontrole výkonu pluginů.

Smíšený

Ochrana proti kopírování textu a další. Zde ve třech záložkách nikde nezaškrtávám. Také doporučuji ne.

Výsledek

Po dokončení všech těchto nastavení můžete přejít na "Ovládací panely" a podívat se na indikátor úrovně zabezpečení, měli byste získat něco takového:

Opět není potřeba bezmyšlenkovitě dělat vše pro dosažení co nejvyššího skóre. Nepoškozujte zbytečně svůj web, jeho výkon a pohodlí.

Pokud máte nějaké dotazy - napište. Děkujeme vám zvlášť za retweety a reposty, za to, že pomáháte lidem toto sdělit důležitá informace.

WordPress je snad nejoblíbenější a zároveň jedna z nejčastěji hackovaných platforem. Z nějakého důvodu existuje názor, že pokud vaše stránky nejsou pro nikoho zvlášť zajímavé, nebudou hackovány - proč? Ve skutečnosti doslova každý web (a nejen na WordPressu) má hrozbu hackerů, takže je důležité postarat se o ochranu své stránky. Co lze udělat - nebo spíše, jaké pluginy nainstalovat - o tom budu mluvit v tomto článku.

Tyto tipy se vám budou hodit nejen při práci s WordPressem, ale i s jakýmkoliv jiným CMS. Jsou základní, ale jak ukazuje praxe, stále existují lidé, kteří o nich nevědí. proč to všechno dělat? Aby útočníkovi zkomplikoval život. Pomocí dat, která jsou ve výchozím nastavení nastavena, se může hacker nabourat do vašeho webu i do vaší databáze relativně snadno. Proto musíte udělat následující.

1. Změňte uživatelské jméno z admin na něco jiného.

Chcete-li to provést, musíte nejprve vytvořit nového uživatele jako správce. Můžete to udělat zde:

Po vytvoření uživatele se přihlaste pod jeho účtem a smažte účet „admin“ v seznamu „Všichni uživatelé“. V čem nové přihlášení zkuste z toho udělat něco relativně složitého, no, alespoň sestávajícího z několika slov: vasyapupkin99. Můžete použít například svou přezdívku.

Nebudu psát o hesle - je lepší použít to, které vám Wordpress vygeneruje ve fázi vytváření účtu, a nepřijít s nějakým svým vlastním (což bude s největší pravděpodobností jednodušší).

2. Změňte předponu databáze z wp na jinou.

Existují dva způsoby, jak to udělat: buď vlastní úpravou tabulek v phpMyAdmin (nebo dokonce jen ve správci souborů), nebo pomocí pluginu. Krátce proberu obě možnosti.

Změna přes phpMyAdmin

Hned musím říci, že tato akce vyžaduje pozornost k detailu a určité zkušenosti s phpMyAdminem.

Nejprve si vytvořte zálohu databáze – pomůže vám to obnovit informace, pokud se něco pokazilo (nebo jste někde něco špatně upravili).

Nyní přejděte na správce souborů a najděte soubor wp-config.php, v něm řádek $ table_prefix = "wp_";

„wp“ by se mělo změnit na něco méně souvisejícího s WordPress a databází. Můžete dokonce změnit na libovolnou sadu písmen a číslic (ale musíte si to zapamatovat nebo zapsat).

Pozornost. Tuto změnu je nejlepší provést na čerstvě nainstalovaném WordPressu. Na již spuštěných stránkách je více informací – více údajů bude muset být změněno.

Poté přejděte na phpMyAdmin (na hostingu Timeweb to lze provést přímo přes ovládací panel) a najděte databázi požadovaného webu. Všechny tabulky této databáze je třeba přejmenovat a nahradit „wp_“ tím, co jste již napsali výše.

Jak přejmenovat: vyberte tabulku v levém sloupci, klikněte na záložku "Operace", pak si prohlédněte blok "Možnosti tabulky" a řádek "Přejmenovat tabulku na". Po provedení změn nezapomeňte kliknout na „Další“.

Poté vyhledejte v seznamu tabulku „…_options“. Po vybrání klikněte na Procházet – v obsahu pro asi druhý stránce ve sloupci „meta_key“ uvidíte wp_user_roles – změňte předponu „wp“ na tu, kterou budete nyní používat. Uložte změnu.

Další tabulka ke změně je „…_usermeta“ – podívejte se na její obsah stejným způsobem a změňte všechny staré prefixy na nové.

Pokud vám po úpravách něco začalo fungovat špatně nebo přestalo fungovat úplně, zkontrolujte, zda jste provedli všechny změny. Jako poslední možnost použijte zálohu.

Změna přes plugin

Tento plugin není třeba představovat, takže přejdu rovnou k tomu, co je třeba udělat.

Po instalaci a aktivaci pluginu přejděte do sekce „Ochrana databáze“. Zde uvidíte řádek "Vygenerovat nový prefix databázové tabulky" - napište prefix, který chcete nastavit (nebo zaškrtněte políčko vedle "Zaškrtněte, aby plugin vygeneroval prefix o délce 6 náhodných znaků"), a klikněte na "Změnit" předpona tabulky“. Poté níže uvidíte zprávu o průběhu změny prefixu. Abyste se ujistili, že je dosaženo očekávaného výsledku, přejděte na phpMyAdmin.

Ještě jednou připomenu, že to musíte udělat na novém webu bez článků, protože pokud už má web hodně informací, plugin nemusí fungovat správně.

Vše v jednom WP Security & Firewall

Protože jsme již přešli k používání tohoto pluginu, povím vám o dalších věcech, které mohou zvýšit ochranu vašeho webu.

V sekci „Nastavení“ pluginu přejděte na kartu „Informace o verzi WP“ a zaškrtněte políčko vedle položky „Odstranit metadata generátoru WP“. Protože hackeři často spoléhají na informace obsažené v metadatech, bylo by užitečné tyto informace z kódu stránky odstranit.

Mimochodem, pokud jste stále nezměnili jméno správce (podle rady výše), můžete to udělat prostřednictvím tohoto pluginu - v záložce "Správci". Stačí napsat nové uživatelské jméno a znovu se přihlásit do panelu (heslo zůstává stejné).

Zde také vidíte záložku "CAPTCHA při registraci" - tuto položku také aktivujte.

Nyní přejděte do sekce "Firewall" - zde zaškrtneme bloky "Základní funkce brány firewall". Zbytek můžete zapnout/vypnout, jak chcete.

Sekce "Ochrana proti útokům hrubou silou": je třeba povolit možnost přejmenování přihlašovací stránky a do sloupce níže napsat požadovanou adresu. Zde je důležité porozumět - tato adresa bude použita pro vstup do administrátorského panelu, je důležité si pamatovat!

S tímto pluginem jsme skončili, pojďme k dalšímu.

Antivirus

Tento plugin kontroluje soubory webových stránek na výskyt škodlivého kódu. Použití je poměrně jednoduché - po instalaci přejděte do jeho nastavení a klikněte na „Skenovat šablony motivů nyní“, poté budou naskenovány všechny vaše soubory motivů.

Zde si také můžete nastavit denní kontrolu s reportem emailem.

Během kontroly plugin zvýrazní kód, který se mu zdál podezřelý. Zároveň je pro vás lepší pečlivě kontrolovat všechny komentáře – ne vždy jde o virus. Pokud nemáte znalosti programování, můžete jednoduše porovnat nalezený řádek kódu s řádkem v kódu stejného motivu webu na vašem počítači nebo od vývojáře. Pokud je vstup přítomen zpočátku, nemusíte se ho bát.

Stejně jako ostatní aktivní pluginy i AntiVirus načítá server (což znamená, že váš web je pomalejší), takže je lepší jej čas od času používat, než jej neustále udržovat aktivní.

Zabezpečení Wordfence

Tento plugin je funkčností podobný předchozímu, lze je používat paralelně, horší to nebude. Stejným způsobem nainstalujte, aktivujte, přejděte na kartu „Skenovat“ a klikněte na velké modré tlačítko „Spustit skenování Wordfence“. Některé funkce jsou dostupné pouze pro placené (prémiové) účty, ale základní funkčnost je také dobrá. Pokud je na vašem webu vše v pořádku, uvidíte zelený nápis „Gratulujeme! Wordfence nezjistil žádné bezpečnostní problémy“.

Řeknu vám o dalších pluginech, které lze také použít k ochraně webu.

Zabezpečení Sucuri

Obecně je Sucuri společnost, která se specializuje na zabezpečení webových stránek, takže poskytuje ochranu všem stránkám (nejen WordPress). Plugin od této seriózní společnosti s působivou pověstí má širokou škálu funkcí, které představují celý cyklus ochrany webu, včetně prevence hackerů a útoků na váš web. Můžete použít bezplatnou verzi, nebo si můžete koupit placenou verzi za 16,66 $ měsíčně - poměrně velká částka, ale pro takovou škálu ochranných nástrojů je to docela rozumné.

Abyste mohli používat bezplatnou verzi, po instalaci budete muset vygenerovat bezplatný klíč (v modrém bloku výše budete muset kliknout na tlačítko „Generate API Key“, zkontrolovat správnost zadaných údajů a odeslat aplikaci .

Zabezpečení iThemes

Pokud je Sucuri Security nejlepší placený bezpečnostní plugin, pak iThemes Security je často nazýván nejlepším bezplatným pluginem k instalaci pro zabezpečení vašeho webu. Nyní má navíc více než 800 tisíc instalací!

O funkčnosti toho moc psát nebudu – stejně jako všechny ostatní pluginy je iThemes Security zaměřen na ochranu vašeho webu před většinou věcí, které ho mohou ohrozit, a zároveň na kontrolu stávajícího stavu webu. Mimochodem, plugin se dříve jmenoval Better WP Security - možná si ho někdo pod tímto názvem pamatuje.

Obecně, když mluvíme o jeho funkcích, můžeme rozlišit následující aspekty tohoto pluginu:

  • skrytí a odstranění potenciálně zranitelných prvků (to bylo napsáno na začátku článku - změna přihlašovacího jména správce, prefixu databáze a tak dále);
  • ochrana webu před útoky (skenování zranitelností, ochrana proti hrubé síle, šifrování admin panelu atd.);
  • monitorování webu (pro náhlé změny, zablokování atd.);
  • obnova (záloha pro případ nepředvídané situace).

Nyní přejděme k samotnému použití tohoto pluginu.

Nastavení zabezpečení iThemes

Pro začátek má i PRO (tedy pokročilejší) placenou verzi, takže in bezplatná verze Ne všechny funkce tohoto pluginu jsou dostupné (ale stále je jich hodně).

Po instalaci aktivujte plugin a přejděte do sekce „Nastavení“. V modrém bloku výše můžete povolit ochranu hrubou silou (Network Brute Force Protection) – k tomu je potřeba si vyžádat API klíč, který bude automaticky přidán do nastavení (ale také zaslán na váš mail).

Klikněte na " bezpečnostní kontrola“ (levý horní blok nebo v nabídce pod „Nastavení“) a klikněte na „Zabezpečená stránka“. Poté se zobrazí seznam povolených modulů.

Další blok je " základní nastavení“ (napravo od „Kontrola zabezpečení“). Vzhledem k tomu, že je plugin téměř kompletně přeložen, má každá položka své vlastní dekódování – doporučuji vám je všechny projít a zjistit, který z nich je pro vás nejrelevantnější (i když jej nepoužíváte, budete alespoň vědět, kde co je).

V režimu " Žádná sedadla e" můžete nastavit čas, kdy bude administrátorský panel nedostupný. Nemusíte ji používat pravidelně, ale můžete ji použít jako záchrannou síť, když nejste u počítače. Ten si přitom můžete nastavit jak průběžně (například každou noc), tak jednorázově za určitý den a časové období.

Blokovat " Blokovaní uživatelé- zde je vše jasné, dejte sem každého, koho je potřeba zablokovat.

Místní ochrana hrubou silou” - tento blok chrání před hackováním hesly hrubou silou. Již ji máte povolenou, nastavení můžete ponechat jako výchozí.

« Zálohy databáze» - nastavení Rezervovat kopii, ve verzi zdarma jde pouze o databáze.

« Detekce změny souboru» - mimořádně užitečná funkce, která bude sledovat všechny změny v souborech webu; můžete rychle sledovat aktivitu, která se na webu náhle objevila. Určitě ho zapněte.

Oprávnění k souboru” - blok zobrazuje přístupová práva k souboru.

Ochrana sítě hrubou silou” - ochrana sítě před hrubou silou spočívá v tom, že pokud by se hacker pokusil hacknout cizí stránky, bude mu také zablokován přístup na váš web, i když na váš web ještě nezaútočil.

SSL” - v tomto pluginu můžete nakonfigurovat použití SSL, pak pokud máte web hostovaný Timewebem, doporučuji vám použít nastavení v ovládacím panelu webu.

Silné prosazování hesla” - pokud váš web zahrnuje registraci dalších uživatelů (fórum, blog ...), bude toto nastavení užitečné, uživatelé si budou muset vybrat pouze složitá hesla pro své účty. V ostatních případech jej nelze použít.

« Doladění systému" a " Přizpůsobení WordPressu“ – tyto další nastavení jsou potřebné k dalšímu posílení ochrany vašeho webu. Je tu ale jedno upozornění – zahrnutí některých nastavení může ovlivnit fungování pluginů. Proto byste neměli vybírat vše najednou – zapínejte jednu položku po druhé a kontrolujte výkon svého webu.

Konečně, " WordPress Salts» - nastavení umožňuje přidat k heslu Tajný klíč, které bude mnohem obtížnější vyzvednout než heslo samostatně. Obvykle se jedná o náhodnou sadu znaků, které se přidávají během hašování. Toto nastavení ("Change WordPress Salts") používejte pravidelně ke změně soli.

Vše o sekcích. Placená verze jich má více, ale tyto stačí k ochraně webu před mnoha populárními typy hackingu.

Závěr

Pluginy jsou základním prvkem zabezpečení vašeho webu, ale chci vám připomenout, že nejsou jediným. Nezapomeňte sledovat Aktualizace WordPressu a pluginy, pravidelně měňte hesla a provádějte zálohy.

Už jsem zkontroloval plugin WordPress iThemes Security pro komplexní ochranu blogu, ale rozhodl jsem se otestovat další All In One WP Security & Firewall. Nejlepší možností je ponechání na vašich stránkách. Pojďme tedy nainstalovat.

Přejděte na hlavní stránku pluginu All In One WP Security & Firewall. Vidíme následující obrázek. A okamžitě vidíme „měřič úrovně zabezpečení“. Můj web získal 50 bodů ze 470 možných. No, ne tlustý. Snad po jeho úpravě hladina poroste. Neměli byste se však snažit získat co nejvyšší skóre, protože to může způsobit problémy při práci s webem. Na pravé straně vidíme "Diagram zabezpečení našeho webu."

Nastavení

Správci

Vlastní název WP

Během instalace WordPress automaticky přiřadí uživatelské jméno „admin“ správci (pokud jej ručně nezměníte). Mnoho hackerů se snaží využít těchto informací pomocí útoku hrubou silou, kdy systematicky hádají heslo pomocí slova „admin“ jako uživatelského jména. Proto se doporučuje změnit jej na jakýkoli jiný.

Zobrazovaný název

Když zveřejníte příspěvek nebo odpovíte na komentář, WordPress obvykle zobrazí vaši „přezdívku“. Ve výchozím nastavení je zobrazované jméno uživatele shodné s přihlášením k účtu. Pro bezpečnost se doporučuje změnit, aby nikdo nezjistil, pod jakým přihlášením jste autorizováni.

Heslo

Špatné heslo je nejčastější zranitelností na většině webů a obvykle první věcí, kterou hacker udělá, aby se naboural na web, je pokus uhodnout heslo. V tato sekce můžete zkontrolovat sílu hesla, které používáte. Pokud hacker vyzvedne vaše heslo, zde můžete odhadnout čas, který stráví.

Povolení

Jednou z nejběžnějších metod používaných hackery, jak se dostat na web, je útok hrubou silou. Toto je název vícenásobných pokusů o přihlášení uhodnutím hesel. Kromě výběru silných hesel, sledování a blokování IP adres, které se účastní opakovaných neúspěšných pokusů o přihlášení v krátkém časovém období, je blokování počtu pokusů o přihlášení a omezení doby pro takové pokusy velmi účinným způsobem, jak těmto typům útoků čelit. .

Blokování autorizace

  • Povolte možnosti blokování pokusů o autorizaci. Dali jsme klíště.
  • Povolit požadavky na odemknutí. Moc nerozumím tomu, co tato funkce znamená. Nezapnul jsem to.
  • Maximální počet pokusů o přihlášení. Nastavit hodnotu pro maximální počet pokusy o přihlášení, po kterých bude IP adresa zablokována. Standardně jsem nechal tři pokusy.
  • Časový limit pro pokusy o autorizaci (minuty). Výchozí hodnota je pět minut. Tři pokusy z předchozího odstavce budou mít za následek zákaz uživatele, pokud budou pokusy provedeny během zde specifikovaného časového období.
  • Doba blokování (minuty). Zadejte dobu, po kterou budou IP adresy blokovány
  • Zobrazte chybové zprávy autorizace. Zaškrtněte tuto možnost, pokud chcete, aby se při neúspěšných pokusech o přihlášení zobrazila chybová zpráva. Nenasadil jsem to. Není potřeba, aby útočník dostával informace o chybách.
  • Okamžitě zablokujte neplatná uživatelská jména. Tuto možnost jsem nepovolil z důvodu, že sám mohu zadat přihlášení špatně a budu na hodinu zablokován. Ostatní se také mohou mýlit.
  • Okamžité uzamčení konkrétních uživatelských jmen. Okamžité blokování konkrétních uživatelů. Nejčastěji se snaží hacknout přihlašovací údaje „admin“ a „administrator“. Pokud je tedy nepoužíváte, můžete je přidat do seznamu.
  • Informujte e-mailem. Pokud máte špatně navštěvovaný web, můžete políčko zaškrtnout. V opačném případě můžete být těmito upozorněními bombardováni.

Zobrazuje záznamy o neúspěšných pokusech o přihlášení na váš web. Níže uvedené informace mohou být užitečné, pokud potřebujete prošetřit pokusy o autorizaci – zobrazí rozsah IP, uživatelské jméno a ID (pokud je k dispozici) a čas/datum neúspěšného pokusu o přihlášení.

Možnosti automatického delogování uživatele

Nastavení doby vypršení administrační relace je snadný způsob, jak se chránit před neoprávněným přístupem na váš web z vašeho počítače. Tato možnost umožňuje nastavit časové období, po kterém vyprší relace správce a uživatel se bude muset znovu přihlásit.

  • Povolit automatické odhlášení. Zaškrtnutím této možnosti automaticky ukončíte relaci přihlášení uživatele po určitá dobačas. Pokud jej potřebujete, zaškrtněte políčko. Myslím, že když přijdeš jen ze svého domácí počítač- To je zbytečné.
  • Odhlásit uživatele přes. Po uplynutí této doby bude uživatel automaticky odhlášen.

Ukazuje aktivitu administrátorů na vašem webu. Níže uvedené informace se mohou hodit, pokud provádíte uživatelský průzkum, protože vám zobrazí posledních 50 událostí přihlášení s uživatelským jménem, ​​IP adresou a časem přihlášení.

Všichni uživatelé, kteří jsou v tento moment autorizované na vašem webu. Pokud máte podezření, že systém má aktivní uživatel, který by tam neměl být, pak je můžete zablokovat tak, že zkontrolujete jejich IP adresu v seznamu níže a přidáte je na černou listinu.

Registrace uživatele

Ruční potvrzení

Pokud vaše stránky umožňují lidem vytvářet si vlastní účty prostřednictvím registračního formuláře WordPress, můžete omezit SPAM a falešné registrace na minimum ručním potvrzením každé registrace. Tato funkce automaticky označí nové registrační účty jako „nevyřízené“, dokud je správce neaktivuje. V tomto případě se nechtění registrovaní nemohou přihlásit bez vašeho potvrzení. Všechny nedávno registrované účty si můžete prohlédnout v pohodlné tabulce níže a také můžete aktivovat, deaktivovat nebo smazat více účtů současně.

  • Aktivujte ruční schvalování nových registrací. Zaškrtněte toto políčko, pokud chcete, aby byly všechny nové účty automaticky vytvořeny jako neaktivní a můžete je ověřit ručně.

Captca při registraci

Tato funkce umožňuje přidat na stránku pole CAPTCHA Registrace WordPress. Uživatelé, kteří se chtějí zaregistrovat, musí navíc odpovědět na jednoduchou matematickou otázku. Pokud je odpověď nesprávná, plugin jim zabrání v registraci. Vzhledem k tomu, že již mám nainstalovaný captcha od Googlu, tuto funkci jsem neaktivoval.

Ochrana databáze

Zálohování databáze

  • Povolit automatické zálohování. Zaškrtněte toto políčko, aby systém automaticky vytvořil plánované zálohy databáze.
  • Záložní frekvence. Záleží na vaší podezřívavosti a četnosti aktualizací vašeho webu. Nastavuji vytváření kopie databáze jednou týdně.
  • Počet záloh k uložení. Do tohoto pole zadejte počet záloh, které mají být uloženy v adresáři záloh pluginu. Ponechal jsem výchozí hodnotu - dvě kopie.
  • Pošlete zálohu na email. Zaškrtněte toto políčko, pokud chcete obdržet zálohu databáze na váš e-mail. Doporučuji zapnout.

Ochrana souborového systému

Přístup k souboru

Nastavení oprávnění ke čtení/zápisu pro soubory a složky WordPress, což vám umožní řídit přístup k těmto souborům. V počáteční instalace WordPress mu automaticky přiděluje přiměřená přístupová práva souborový systém. Někdy však lidé nebo pluginy změní oprávnění k určitým adresářům a souborům, čímž sníží úroveň zabezpečení svých stránek nastavením nesprávných oprávnění. Tato možnost prohledá všechny důležité základní adresáře a soubory WordPress a zvýrazní všechna nezabezpečená nastavení.

Editace souborů PHP

Ve výchozím nastavení vám administrátorský panel WordPress umožňuje upravovat soubory PHP pro pluginy a motivy. Toto je první pomoc hackerovi, který získá přístup do administrátorské konzole a umožní mu spustit jakýkoli kód na vašem serveru.
Tato možnost zakáže možnost upravovat soubory z panelu správce.

  • Zakažte možnost upravovat soubory PHP. Zaškrtnutím tohoto políčka zakážete úpravy souborů PHP z panelu správce WordPress.

Podle mého názoru to není příliš užitečná funkce. Koneckonců, stejný hacker může zrušit zaškrtnutí políčka ve stejném pluginu, pokud získá přístup k vašemu profilu správce. V důsledku toho budete mít nepříjemnosti, protože pro vložení kódu stejného počítadla budete muset jít na hosting.

Přístup k souborům WP

Tato možnost odepře přístup k souborům jako readme.html, license.txt a wp-config-sample.php, které jsou vytvořeny během instalace WordPress a nezatěžují systém, ale omezení přístupu k těmto souborům vám umožní skrýt důležité informace před hackery. informace (jako je verze WordPressu).

  • Odepřít přístup k informačním souborům vytvořeným ve výchozím nastavení při instalaci WordPressu. Zaškrtněte toto políčko.

Systémové protokoly

Váš server může pravidelně publikovat chybová hlášení ve speciálních souborech s názvem "error_log". V závislosti na povaze a příčině chyby může váš server vytvořit více souborů protokolu v různých adresářích vaší instalace WordPress. Čas od času si tyto protokoly prohlédnete a budete si vědomi jakýchkoli větších problémů s vašimi stránkami a budete moci tyto informace použít k jejich řešení.

vyhledávání WHOIS

Tato funkce umožňuje získat podrobné informace o IP adrese nebo doméně. Užitečná funkce, protože budete zvědaví na informace o adresách narušitelů. Při hledání takových služeb není třeba brouzdat po internetu.

Funkce „Blacklist“ vám umožňuje zablokovat určité IP adresy, rozsahy a uživatelské agenty a odepřít přístup na stránku těm uživatelům a robotům, kteří tyto IP adresy používali pro spamování nebo z jiných důvodů. Tato funkce je implementována přidáním určitých pravidel do souboru .htaccess.

  • Udržujte černou listinu. Zaškrtněte toto políčko, pokud chcete mít možnost zakázat konkrétní IP adresy nebo uživatelské agenty.
  • Zadejte IP adresy. Každá adresa na novém řádku.
  • Zadejte jména uživatelských agentů. Každý uživatelský agent napište na samostatný řádek.

Abyste mohli povolit tuto možnost a získat 15 bezpečnostních bodů, musíte zadat alespoň jednu IP adresu nebo uživatelského agenta.

firewall

Základní pravidla firewallu

Možnosti na této kartě vám umožňují aplikovat na váš web některá základní bezpečnostní pravidla. Této funkce brány firewall je dosaženo přidáním některých speciálních direktiv do vašeho souboru .htaccess. Povolení těchto možností by nemělo mít žádný vliv na celkovou funkčnost vašeho webu, ale pokud chcete, můžete si před povolením těchto nastavení vytvořit zálohu svého souboru .htaccess.

  • Aktivujte základní funkce brány firewall. Zaškrtnutím tohoto políčka povolíte základní funkce brány firewall na vašem webu. Doporučuji dát.

Tato možnost spustí na vašem webu následující základní ochranný mechanismus:

  1. Chraňte soubor htaccess před neoprávněným přístupem.
  2. Zakáže podpis serveru v odpovědích na požadavky.
  3. Omezte velikost nahrávaných souborů na 10 Mb.
  4. Ochrání váš soubor wp-config.php před neoprávněným přístupem.

Výše uvedené funkce bude dosaženo přidáním určitých direktiv do souboru .htaccess a neměla by ovlivnit celkový výkon vašeho webu. Pro jistotu je však vhodné nejprve zálohovat soubor .htaccess.

WordPress XMLRPC a ochrana proti zranitelnosti Pingback

  • Zcela zablokujte přístup k XMLRPC. Doporučuji dát. Jedna z mých stránek byla znovu načtena s takovými požadavky a hostitel mě bombardoval stížnostmi na přetížení serveru.

Tato funkce je nezbytná pro ty, kteří publikují a upravují příspěvky na svém blogu prostřednictvím chytrých telefonů. Pokud ji nepotřebujete, klidně ji vypněte. Útočník tedy nebude schopen:

  1. Přetížit server požadavky a tím jej deaktivovat (DoS útok).
  2. Hackujte interní routery.
  3. Skenujte porty ve vnitřní síti a získejte informace od různých hostitelů na serveru.

Kromě zvýšení bezpečnosti vašeho webu může tato možnost výrazně snížit zatížení vašeho serveru, zejména pokud váš web zaznamenává mnoho nežádoucího provozu cíleného na XML-RPC API.

  • Zakázat funkci Pingback z XMLRPC. Dejte klíště. Ochrana proti pingbacku.

Zablokujte přístup k souboru protokolu ladění

  • Blokovat přístup k souboru debug.log. Blokování přístupu k souboru protokolu ladění. Zaškrtněte políčko.

Další pravidla brány firewall

Na této kartě můžete aktivovat další nastavení brány firewall pro ochranu vašeho webu. Tyto možnosti jsou implementovány přidáním specifických pravidel do vašeho souboru .htaccess. Kvůli určitým funkcím mohou tato pravidla narušit funkčnost některých pluginů, proto se doporučuje před jejich povolením vytvořit zálohu souboru .htaccess.

  • Prohlížení obsahu adresářů. Zaškrtnutím tohoto políčka zabráníte volnému procházení adresářů na vašem webu. Aby tato funkce fungovala, musí být ve vašem souboru httpd.conf zahrnuta direktiva "AllowOverride". Pokud nemáte přístup k souboru httpd.conf, kontaktujte svého poskytovatele hostingu.
  • HTTP trasování. Zaškrtněte toto políčko, chcete-li se chránit před trasováním HTTP. Útoky založené na trasování HTTP (trasování mezi stránkami nebo XST) se používají k extrahování informací z hlaviček http vrácených serverem ak odcizení souborů cookie a dalších informací. Tato technika hackování se obvykle používá ve spojení s cross-site scripting (XSS). Tato možnost je určena k ochraně před tímto typem útoku.
  • Zakázat komentáře přes proxy. Zaškrtnutím tohoto políčka zakážete komentování přes proxy. Zakázat škodlivé řetězce v požadavcích. Tato možnost je navržena tak, aby chránila před vstupem škodlivého kódu během útoků XSS. VAROVÁNÍ: Některé z blokovaných řetězců mohou být použity v některých pluginech nebo vašem motivu, a proto tato možnost může narušit jejich funkčnost. Před nastavením této možnosti nezapomeňte zálohovat svůj .htaccess.
  • Zabraňte škodlivým řetězcům v požadavcích. Tato možnost je navržena tak, aby chránila před vstupem škodlivého kódu během útoků XSS. VAROVÁNÍ: Některé z blokovaných řetězců mohou být použity v některých pluginech nebo vašem motivu, a proto tato možnost může narušit jejich funkčnost. ZÁLOHUJTE SI SVŮJ SOUBOR .HTACCESS.
  • Aktivujte další filtrování znaků. Toto je dodatečné filtrování znaků pro blokování škodlivých příkazů používaných při útocích XSS (cross-site scripting). Tato možnost zachytí běžné vzorky malwaru a exploity a vrátí útočníkovi chybovou zprávu 403 (Přístup odepřen). VAROVÁNÍ: Některé direktivy v těchto nastaveních mohou narušit funkčnost webu (záleží na poskytovateli hostingu). ZÁLOHUJTE SI SVŮJ SOUBOR .HTACCESS.

Pravidla brány firewall pro černou listinu 6G

Povolte tyto možnosti, pokud chcete:

  1. Blokování zakázaných znaků běžně používaných při útocích hackerů.
  2. Blokování škodlivých URL kódovaných řetězců, jako je „.css“ atd.
  3. Ochrana před běžnými vzory škodlivého kódu a konkrétními exploity (sekvence příkazů, které využívají známá zranitelnost) v adresách URL.
  4. Blokování zakázaných znaků v parametrech dotazu.

Povolit ochranu brány firewall 6G. Tato možnost povolí ochranu 6G na vašem webu.

Povolit starší ochranu 5G firewallem. Tato možnost povolí ochranu 5G na vašem webu.

Internetoví roboti

  • Blokujte falešné Googleboty. Toto políčko zaškrtněte, pokud chcete blokovat všechny falešné Googleboty.

Tato funkce kontroluje, zda pole obsahuje Uživatelský agent informační řetězec „Googlebot“. V tomto případě funkce provede několik testů, aby se ujistila, že jde skutečně o robota od Googlu. Pokud ano, umožní to robotovi pokračovat v práci. S touto funkcí zacházejte opatrně, abyste v případě chyby neměli problémy s indexováním.

Zabránit horkým odkazům

Hotlink – když někdo na svém webu zobrazí obrázek, který je skutečně na vašem webu, pomocí přímého odkazu na zdroj obrázku na vašem serveru. Vzhledem k tomu, že obrázek zobrazený na jiném webu pochází z vašeho webu, může to pro vás vést ke ztrátě rychlosti a zdrojů, protože váš server musí tento obrázek přenést lidem, kteří ho vidí na jiném webu. Tato funkce zabraňuje přímým horkým odkazům na obrázky z vašich stránek přidáním několika pokynů do vašeho souboru .htaccess.

  • Zabránit odkazům na obrázky. Zaškrtnutím tohoto políčka zabráníte použití obrázků z tohoto webu na stránkách jiných webů (hotlinky).

Detekce 404

Chyba 404 nebo „Stránka nenalezena“ se zobrazí, když někdo požaduje stránku, která není na vašem webu. K většině chyb 404 dochází, když návštěvník napsal adresu URL stránky s chybou nebo použil starý odkaz na stránku, která již neexistuje. Někdy je však možné zaznamenat velké množství chyb 404 za sebou v relativně krátké době ze stejné IP adresy, přičemž požadavky na URL stránky neexistují. Toto chování může znamenat, že se hacker pokouší najít nějakou speciální stránku nebo adresu URL se zlým úmyslem.

  • Povolit 404 IP Detection and Lockout. Zaškrtněte toto políčko, pokud chcete mít možnost zakázat zadané IP adresy.
  • Doba blokování kvůli 404 chybám (minuty). Zadejte dobu, po kterou budou IP adresy blokovány.
  • Přesměrování adresy URL při chybě 404. Blokovaný návštěvník bude automaticky přesměrován na vámi zadanou adresu URL.

Můžete zablokovat jakékoli IP adresy, které jsou zaznamenány v tabulce „404 Error Logs“ níže. Chcete-li zablokovat IP adresu, najeďte myší na sloupec ID a u příslušné IP adresy klikněte na odkaz Dočasně blokovat.

vlastní pravidla

V souboru htaccess můžete nastavit další pravidla. Ničeho se nedotýkáme.

Ochrana proti útokům hrubou silou

Přejmenovat přihlašovací stránku

Účinným opatřením na ochranu před hrubou silou hesla je změna adresy přihlašovací stránky. Obvykle, abyste se přihlásili do WordPress, zadáte základní adresu webu a poté wp-login.php (nebo wp-admin).

  • Povolit možnost přejmenování přihlašovací stránky. Zaškrtněte políčko, pokud chcete povolit funkci přejmenování přihlašovací stránky.
  • Adresa (URL) přihlašovací stránky. Upřesněte nová cesta adminovi.

Ochrana hrubou silou pomocí cookies

  • Aktivujte ochranu proti útokům hrubou silou. Tato funkce odepře přístup na vaši přihlašovací stránku každému uživateli, který nemá ve svém prohlížeči speciální cookie.
  • Skryté slovo. Zadejte tajné slovo složené z alfanumerických znaků (latinských písmen), které bude obtížné uhodnout. Toto slovo bude použito k vytvoření speciální adresy URL pro přístup na přihlašovací stránku (viz další odstavec).
  • Adresa URL přesměrování. Zadejte adresu URL, na kterou bude hacker přesměrován při pokusu o přístup k vašemu přihlašovacímu formuláři. Můžete ukázat svou fantazii a přesměrovat hackery například na stránky CIA nebo FSB.
  • Na mém webu jsou příspěvky nebo stránky, které jsou chráněny vestavěnou funkcí ochrany obsahu WordPress heslem. V případě, že své příspěvky a stránky chráníte heslem pomocí vhodné vestavěné funkce WordPress, je třeba do souboru .htaccess přidat některé další směrnice. Povolením této možnosti přidáte do souboru .htaccess nezbytná pravidla, aby lidé pokoušející se o přístup na tyto stránky nebyli automaticky blokováni.
  • Tento web má téma nebo plugin, který používá AJAX. Zaškrtněte políčko, pokud váš web používá funkci AJAX.

Captcha pro přihlášení

Tato funkce vám umožňuje přidat pole CAPTCHA na přihlašovací stránku WordPress.

  • Povolte CAPTCHA na přihlašovací stránce. Zaškrtnutím tohoto políčka přidáte obrázek CAPTCHA na přihlašovací stránku svého webu.
  • Na upravené přihlašovací stránce aktivujte formulář CAPTCHA. Zaškrtnutím tohoto políčka přidáte CAPTCHA do speciálního přihlašovacího formuláře generovaného funkcí wp_login_form()
  • Aktivujte CAPTCHA na stránce „ztracené heslo“.. Zaškrtnutím tohoto políčka přidáte obrázek CAPTCHA na stránku pro obnovení hesla.

Whitelist pro přihlášení

Funkce All In One WP Security whitelist umožňuje omezit přístup na přihlašovací stránku WordPress z konkrétních adres nebo rozsahů IP. Přidejte seznam povolených IP adres nebo rozsahů IP. Všechny ostatní adresy budou zablokovány, jakmile se pokusí otevřít přihlašovací stránku.

Sud s medem (medovník)

Tato funkce vám umožňuje přidat na přihlašovací stránku speciální skryté pole „honeypot“. Bude viditelné pouze pro roboty. Protože roboti obvykle vyplní všechna pole v přihlašovacím formuláři, také pošlou nějakou hodnotu ve speciálním, skrytém poli honey pot. Pokud tedy plugin uvidí, že toto pole bylo vyplněno, bude robot, který se pokusí přihlásit na vaše stránky, přesměrován na vlastní adresu, konkrétně http://127.0.0.1.

  • Aktivujte honey pot na přihlašovací stránce. Zaškrtnutím tohoto políčka povolíte funkci honey pot na přihlašovací stránce.

Ochrana proti spamu

Spam v komentářích

  • Aktivujte CAPTCHA ve formulářích komentářů. Zaškrtnutím tohoto políčka vložíte do formuláře komentáře pole CAPTCHA.
  • Blokovat spamovací roboty v komentářích. Zaškrtnutím tohoto políčka povolíte pravidlům brány firewall blokovat komentáře od spambotů Tato funkce vytvoří pravidlo brány firewall, které zablokuje pokusy o napsání komentáře, pokud požadavek nepřijde z vaší domény. Upřímný komentář vždy zasílá osoba, která vyplní formulář komentáře a klikne na tlačítko „Odeslat“. V tomto případě má pole HTTP_REFERRER vždy hodnotu, která odkazuje na vaši doménu. Komentář od spamového robota je odeslán okamžitě požadavkem do souboru comments.php, což obvykle znamená, že pole HTTP_REFERRER může být prázdné, nebo odkazuje na doménu někoho jiného. Tato funkce kontroluje a blokuje komentáře, které nepocházejí z vaší domény. To výrazně snižuje celkový počet SPAM a PHP požadavků na váš server při zpracování spamových požadavků.

Sledování IP adres pro nevyžádané komentáře

Musí být nainstalován plugin Akismet.

  • Povolit automatické blokování IP komentářů k nevyžádané poště. Nastavte automatické blokování IP adres, ze kterých vpam přichází v komentářích.
  • Minimální počet SPAM komentářů. Určete minimální počet spamových komentářů pro jednu IP adresu, po kterém bude zablokována.
  • Minimální počet spamových komentářů na IP. Tyto informace mohou být užitečné při určování IP adres nebo rozsahů IP nejčastěji používaných spammery. Analýza těchto informací vám umožní rychle určit, které adresy nebo rozsahy by měly být blokovány přidáním na černou listinu.

BuddyPress

Tato funkce přidá jednoduchý matematický CAPTCHA do přihlašovacího formuláře BuddyPress. Přidání pole CAPTCHA do registračního formuláře je snadný způsob, jak výrazně snížit počet registrací spamu od robotů, aniž byste museli měnit pravidla v souboru .htaccess.

Skener

  • Aktivujte automatické skenování změn souborů. Zaškrtněte toto políčko, aby systém automaticky kontroloval změny v souborech na základě níže uvedených nastavení.
  • Frekvence skenování. Zadejte frekvenci skenování.
  • Ignorujte soubory následujících typů. Nejprve zadejte soubory obrázků, které se mohou často měnit, aniž by došlo k ohrožení zabezpečení webu: jpg, jpeg, png, bmp.
  • Ignorujte určité soubory a složky. Nejprve určete složku s mezipamětí.

Údržbový mód

Tato možnost vám umožňuje přepnout web do režimu údržby, což znemožní prohlížení webu jiným návštěvníkům než správcům. To může být velmi užitečné, pokud něco upravujete, měníte design, kontrolujete pluginy atd. atd.

Smíšený

  • Aktivujte ochranu proti kopírování. Tuto možnost povolte, pokud chcete zakázat funkce klepnutí pravým tlačítkem, označení textu a kopírování veřejné stránky tvoje stránka.
  • Aktivujte ochranu prvků iframe. Zaškrtněte, pokud chcete jiným webům zabránit v zobrazování vašeho obsahu uvnitř rámce nebo iframe.
  • Zakázat výčet uživatelů. Tato funkce vám umožňuje zabránit uživatelům/botům v získávání uživatelských informací, jako je „/?Author=1“. Pokud je tato funkce povolena, namísto poskytování informací o uživateli vyvolá chybu.

Ohodnoťte článek

All In One WP Security & Firewall Plugin pro WordPress

4,3 (86,67 %) 3 hlasy