namai Naudojimas Įdiegę ir konfigūruodami papildinį „All In One WP Security. „iThemes Security“ papildinys (geresnė WP sauga) yra efektyviausias būdas apsaugoti „WordPress“. Išsamios instrukcijos wp saugos papildinys

Įdiegę ir konfigūruodami papildinį „All In One WP Security. „iThemes Security“ papildinys (geresnė WP sauga) yra efektyviausias būdas apsaugoti „WordPress“. Išsamios instrukcijos wp saugos papildinys

Kiekvienas, pirmą kartą susidūręs su svetainės saugumu, pagalvoja, kokį įskiepį įdiegti ir konfigūruoti šiam tikslui.

Pasirinkimas nemažas. Jei įskiepio paieškos laukelyje įvesite "Security", rezultatas bus gana ilgas.

Bet kokiu atveju verta pasilikti prie populiariausių, aktyviai prižiūrimų ir, žinoma, daugiausiai įvertinimų nusipelniusių.

Šioje apžvalgoje nusprendžiau įdiegti 4 „WordPress“ saugos papildinius ir išsiaiškinti, kuris iš jų yra geriausias paprastam vartotojui:

Pirmieji trys taip pat siūlo aukščiausios kokybės funkcionalumą, bet aš to neįtrauksiu į apžvalgą.
Galbūt profesionaluose nėra tokių funkcijų, be kurių negalėtumėte gyventi arba kurių negalėtumėte pakeisti nemokama alternatyva.

Atkreipkite dėmesį, kad taip nėra išsamią apžvalgą visos funkcijos, kodo greitis ar reikalavimai. Tai yra pagrindinių saugos nustatymų funkcionalumo ir darbo su jais lygio analizė.

Apriboti prisijungimo bandymus

Wordfence apsauga

Iškviečiama parinktis įjungti autentifikavimo apsaugą Įjungti prisijungimo apsaugą. Deja, įskiepis nėra išverstas į rusų kalbą.

Puslapio apačioje yra nustatymų blokas: prisijungimo bandymų skaičius, apskaitos bandymų laikas, blokavimo laikas ir daugybė kitų parinkčių.

„iThemes“ sauga

Prisijungimo apsaugos modulis yra skyriuje Vietinė žiaurių pajėgų apsauga. Šio papildinio vartotojams šiek tiek labiau pasisekė su rusiška lokalizacija.

Žemiau galite įjungti tinklo apsaugos modulį Tinklo brutalios jėgos apsauga. Norėdami tai padaryti, turite paprašyti API rakto, o draudimų sąraše automatiškai bus įtraukti adresai, kurie jau bandė įsilaužti į kitų žmonių svetaines.

skydo apsauga

Prisijungimo apsauga yra skirtuke Prisijungimo apsauga. Yra vertimas į rusų kalbą, ir apskritai noriu atkreipti dėmesį į labai malonią ir logišką sąsają.

Taip pat galite pastebėti, kad čia galite naudoti reCAPTCHA, nustatyti dviejų veiksnių autentifikavimą, pervardyti prisijungimo puslapį wp-login.php ir netgi susieti su Yubikey.

Viskas viename WP apsauga

Apsaugos nuo brutalios jėgos nustatymų blokas yra puslapyje vartotojo prisijungimas. Paruošto vertimo nėra. Parinktys yra panašios į panašius kitų papildinių modulius.

Gretimuose skirtukuose galite peržiūrėti įvykių žurnalus.

ugniasienė

Wordfence

Ugniasienė yra vienas iš pagrindinių WordFence papildinio funkcinių modulių. Yra du režimai „Basic“ ir „Extended“. Pastarasis leidžia blokuoti kai kurias atakas dar prieš pradedant „WordPress“, tačiau tam reikia giliau suprasti serverio nustatymus.

Nemokamoje (bendruomenės) versijoje blokavimo taisyklės atnaujinamos praėjus 30 dienų po to, kai jos buvo įtrauktos į profesionalų.

„iThemes“ sauga

Šiame papildinyje nėra ugniasienės. A rekomenduoja „iThemes“ naudotis paslauga Sucuri svetainės ugniasienė(už mokestį).

skydo apsauga

Šio papildinio nustatymuose nesupainiosite, užkardos skirtukas yra gerai matomoje vietoje. Apskritai rekomenduojama įjungti visas parinktis.

Viskas viename WP apsauga

Blokavimo puslapis atrodo didelis dėl to, kad funkcionalumas suskirstytas į skirtukus. Vietą užima pagalbos ir apsaugos lygio piktogramos (nors kam pastarosios reikalingos). Variantų nedaug, juos galima įjungti pagal poreikį.

Pakeitimų ir veiksmų žurnalas

Wordfence

Puslapyje galima įjungti automatinį nuskaitymą Galimybėsžingsnyje Įgalinti automatinį suplanuotą nuskaitymą, ir nepamirškite nurodyti tiesiai po el. Kur siųsti įspėjimus el).

Wordfence suteikia daug galimybių valdyti, ką nuskaityti, kaip ir kada siųsti ataskaitą.

„iThemes“ sauga

Monitoriaus funkcionalumas yra bloke Failų keitimo aptikimas.
Nuskaitymas vyksta dalimis. Galite neįtraukti tam tikrų failų, aplankų ar failų tipų.

Skirtuke pagrindiniai nustatymai taip pat galite įjungti ir konfigūruoti pranešimus, kai užblokuojami pagrindiniai kompiuteriai arba vartotojai.

skydo apsauga

Pakeitimų nuskaitymą ir veiklos žurnalą galima konfigūruoti dviejose skiltyse: Apsauga nuo įsilaužimo ir Audito seka.

Pirmasis modulis sukonfigūruotas nuskaityti failų vientisumą ir juos taisyti, taip pat neatpažintų failų skaitytuvą.

Audito seka modulis seka ir siunčia ataskaitą apie įvairius WordPress įvykius (su papildiniu ir tema susijusią veiklą, veiksmus vartotojų paskyrose, įrašų redagavimą ir publikavimą ir kt.).

Viskas viename WP apsauga

Pokyčių stebėjimo modulis yra puslapyje Skaitytuvas. Čia galite rankiniu būdu nuskaityti arba nustatyti tvarkaraštį.

Apibendrinant galima pasakyti, kad stebėdami pokyčius ir registruodami veiksmus turime du nugalėtojus: Wordfence ir skydo apsauga. Priklausomai nuo užduoties.

Verta paminėti, kad failų sistemos nuskaitymas yra gana intensyvus procesas, todėl jį reikia įjungti ir sukonfigūruoti protingai.

Pagrindinio kompiuterio blokavimas

Wordfence

Wordfence yra lankstus įrankis blokuoti vartotojus.

Galite nustatyti kelias blokavimo sąlygas.

Galite užblokuoti IP rankiniu būdu. Arba naudokite pažangesnius metodus: blokavimo diapazoną, vartotojo agentą ir pan. Šalies blokavimo funkcija yra aukščiausios kokybės versijoje.

„iThemes“ sauga

Funkcija yra skirtuke Užblokuoti vartotojai. Galite įjungti draudimų sąrašą svetainėje HackRepair.com ir uždrausti prieigą prie atskirų prieglobų ar vartotojų agentų.

skydo apsauga

Sąrašas sudaromas automatiškai, jo nustatymus ir įjungimą rasite modulyje IP valdytojas. Nėra rankinio papildymo.

Viskas viename WP apsauga

Vartotojo IP ir vartotojų agentai gali būti rankiniu būdu blokuojami puslapyje Juodojo sąrašo valdytojas.

Galima paskambinti blokuojantiems laimėtojams Wordfence už lankstumą konfigūruojant blokavimo sąlygas ir skydo apsauga jei sutinkate visiškai pasikliauti automatine sistema spynos.

Galutinis papildinių palyginimas

Atsižvelgiama tik į bendrąsias pagrindines funkcijas. Žinoma, kiekvienas apsaugos papildinys turi keletą savo funkcijų. Antispam, duomenų bazės atsarginė kopija, vartotojo nustatymai, failų ir katalogų leidimai, nereikalingų funkcijų išjungimas ir kt. Bet tai tokie antraeiliai dalykai, arba juos galima įgyvendinti alternatyvių sprendimų lankstesnis ir susikaupęs.

Mano bendras įvertinimas grindžiamas šių modulių funkcionalumu ir tinkamumu naudoti:

Įėjimo apsauga;

Keitimų sekimas/auditas;

Pagrindinio kompiuterio blokavimas;

Geriausia „WordPress“ saugos papildinio apžvalga neabejotinai pirmauja Wordfence. Nors jo sąsaja iš pirmo žvilgsnio gali pasirodyti paini. Oficialioje svetainėje yra gera dokumentacija (anglų kalba).

Labai patenkintas atsiliepimu skydo apsauga, rusifikuota ir aiški sąsaja, akivaizdžiai skirta vartotojams, kurie yra mažiau apmokyti arba nenori gilintis į visas saugos nustatymų subtilybes.

Iš dviejų likusių įskiepių aš tikrai norėčiau „iThemes“ sauga, jei tik dėl logiškesnės ir švaresnės sąsajos.

Viskas viename WP apsauga Negaliu pavadinti blogo įskiepio, jis atlieka savo darbą. Bet ir šiame ketvertuke jis nėra lyderis. Tai tik indikatorius, kad įskiepiai su plečiamu aukščiausios kokybės funkcionalumu bando labiau atitikti rinkos reikalavimus, ir tai, žinoma, turi įtakos nemokamoms versijoms.

Visų šių įskiepių funkcionalumas yra modulinis, t.y. jei reikia, juos netgi galima sukonfigūruoti veikti kartu. Na, arba pašalinkite perteklių, palikite tik būtiną.

Jei tai darote protingai, tada į saugumą ir jos nustatymus reikėtų žiūrėti individualiai, atsižvelgiant į svetainės paskirtį, techninį įgyvendinimą ir jos veikimo sąlygas.

Sveiki visi! Saugumas ir daugiau saugumo! Jei anksčiau mano tinklaraštyje skaitėte straipsnį „“, tikriausiai jus domina papildoma jūsų svetainės apsauga. Ir apskritai kiekvienas tinkamas žiniatinklio valdytojas turėtų mylėti ir saugoti savo atžalas. Šiame straipsnyje kalbėsiu apie visas „All In One WP Security“ papildinio parinktis ir parodysiu, kaip tinkamai jas sukonfigūruoti.

Svarbu

Mano tinklaraštyje yra pamokų serija "". O jei sukonfigūravote svetainės saugumą, atsižvelgdami į šių pamokų rekomendacijas, tuomet atkreipkite dėmesį, kad All In One WP Security įskiepis dubliuos kitų apsaugos įskiepių funkcijas. Pavyzdžiui, funkcijos:

IP blokavimas po netinkamų prisijungimo bandymų
captcha komentaruose
prisijungimo puslapio keitimas administratoriaus skydelyje ir kt.

Todėl palikite viską taip, kaip yra ir nediekite papildinio arba konfigūruodami All In One WP Security įskiepį atidžiai išanalizuokite apsaugos funkcijas, kad jos jau nedubliuotų funkcijų įdiegti papildiniai. Ir jei matote dublikatą, išjunkite papildinį, kad visi All In One WP saugos nustatymai veiktų tinkamai.

Galbūt manęs klausiate, kodėl „pasidaryk pats“ tinklaraščių kurse rekomendavau konfigūruoti „WordPress“ apsaugą integruojant kodą, naudojant atskirus papildinius ir pan.? Tai apie alternatyvą. Ir, beje, matuodamas įkėlimo greitį ir bendrą svetainės veikimą, nepastebėjau skirtumo tarp visų rekomendacijų, pateiktų trijose 13 pamokos dalyse iš „All In One WP Security“ papildinio. Tarp jūsų yra asmenų, kurie nesutiks su mano žodžiu ir toliau integruos kodą į variklį, apeidami „sunkius įskiepius“, darykite kaip žinote.

Papildinio diegimas

Taigi pradėkime. Pirmiausia įdiekite „All In One WP Security“ papildinį ir suaktyvinkite jį:

Po to svetainės administraciniame skydelyje pasirodys papildinio meniu:

Užvedus pelės žymeklį virš jo, pasirodo kontekstinis meniu:

Kontrolės skydelis

Manau, kad geriau iš pradžių susipažinti su valdymo skydeliu, į kurį patekti reikia paspausti ant įskiepio meniu elemento administratoriaus skydelyje arba užvesti pelės žymeklį ant „WP Security“ ir paspausti „Control Panel“. Tada pamatysite penkis skirtukus:

Valdymo skydo skirtukas

Iš pradžių esame skirtuke „Valdymo skydas“. Čia galite pamatyti blokus:

Aktyvūs užsiėmimai
Priežiūros režimas
Paskutiniai 5 prisijungimai
Užblokuoti IP adresai

Apsaugos lygio matuoklis

Šiame bloke rodomas dabartinis saugos lygis, pagrįstas visais papildinio nustatymais:

Jis matuojamas taškais, kurie pridedami aktyvavus tam tikrą nustatymą. Kuo didesnis dabartinis saugumo balas, tuo geriau. Tačiau man niekada nepavyko padidinti saugos lygio iki maksimalios 505 taškų vertės (įskiepio versija šio rašymo metu 4.3.2 versija). Taip yra dėl nereikalingų mano tinklaraščio funkcijų, kurių neįtraukiau.

Jūsų svetainės saugumo diagrama

Šioje diagramoje rodomi visi dabartiniai nustatymų pakeitimai:

Tai tam tikra statistika, leidžianti greitai naršyti nustatymų būseną.

Blokuoti „Aktyvios sesijos“

Šiame bloke pateikiama informacija apie dabartines sesijas svetainės administraciniame skydelyje:

Paprastai bloke rodomas pranešimas: „Dabar nėra aktyvių vartotojų, išskyrus jus“. Žinoma, jei svetainės administratoriaus skydelyje nėra kitų paskyrų, turinčių leidimą dirbti, ir iš tikrųjų šiame bloke matote nežinomą paskyrą, tai yra įsilaužėlis.

Priežiūros režimas

Labai patogi funkcija:

Neginčiju, kad priežiūros režimą galima įjungti nukreipiant į anksčiau sukurtą puslapį per .htaccess, bet įskiepis jau turi tokią galimybę ir tai labai palengvina gyvenimą, pavyzdžiui, svetainės priežiūros metu. Be to, galite tinkinti paslaugų puslapį pagal savo skonį. Norėdami nustatyti ir įjungti aptarnavimo režimą, spustelėkite mygtuką „įjungti / išjungti“. Po to pateksite į priežiūros režimo nustatymų puslapį. Norėdami įjungti režimą, pažymėkite langelį „Įjungti priežiūros režimą“ ir išsaugokite nustatymus. Be to, galite tinkinti rodomą tekstą, įterpti vaizdą ir kt. Ir tai galima pakeisti bloke „Įveskite pranešimą“.

Šiame bloke yra informacija apie datą ir paskutinius penkis IP adresus, iš kurių įėjote į svetainės administravimo sritį:

Ši informacija naudinga ne tik saugumo sumetimais, bet ir kitų paskyrų seansams sekti.

Užblokuoti IP adresai

Šis blokas rodo IP adresus, kuriuos užblokavo All In One WP Security papildinys arba jūs patys:

Ekrano kopijoje įrašų nėra, tačiau užblokavus IP adresus, įrašai pasirodys.

Dabartinė svarbiausių funkcijų būsena

Šiame bloke galite pamatyti svarbiausių saugos priemonių būseną:

Kaip matote, visi slankikliai iš pradžių yra „OFF“ padėtyje. Specialiai sukūriau sąlygas su banaliu „admino“ prisijungimu, kad pasakyčiau ir parodyčiau, kaip įgyvendinamos minimalios rekomendacijos, užtikrinančios jūsų svetainės apsaugą.

Administratoriai

Nustatymų elementas „Administratoriai“ yra atsakingas už svetainės administratorių paskyrų valdymą. Čia matysite šiuos skirtukus:

WP pasirinktinis pavadinimas

Pirmame skirtuke „WP Custom Name“ rodomas administratorių sąrašas. Čia taip pat galite pamatyti įspėjimą apie prisijungimus, kurie gali būti pažeisti:

Kaip matote, papildinys mano, kad „administratoriaus“ prisijungimas yra nesaugus, ir siūlo jį pervardyti. Padarykime tai. Norėdami pakeisti prisijungimą, tuščiame laukelyje „Naujas administratoriaus vartotojo vardas“ įveskite naują vardą, pavyzdžiui, kitą banalų dalyką – „wpadmin“. Tada spustelėkite „Keisti vartotojo vardą“. Tada sistema automatiškai atsijungs nuo paskyros, kad galėtumėte prisijungti naudodami naują administratoriaus vardą. Po to grįšite į skirtuką „WP pasirinktinis pavadinimas“.

Dabar atkreipkite dėmesį į bloką „Pakeiskite administratoriaus vartotojo vardą“, būtent taškus:

Sveikiname, jums suteikiama 15 taškų iš 15 už vienos pagrindinės „WordPress“ saugos rekomendacijos įvykdymą.

Patyrę žiniatinklio valdytojai puikiai žino, kad standartinės funkcijos negali pakeisti administratoriaus vardo, tačiau naudojant All In One WP Security įskiepį, galite. Kiekvienas, perskaitęs pirmąją pamokos dalį „WordPress saugos konfigūravimas“, žino, su kokiais sunkumais galima susidurti kuriant administratoriaus paskyrą nauju pavadinimu ir susiejant laiškus iš senosios paskyros.

Slaptažodis

Dabar pažiūrėkime į skirtuką „Slaptažodis“. Bloke „Patikrinti slaptažodžio stiprumą“ galite įvesti savo Dabartinis slaptažodis ir gaukite šią informaciją:

Kaip matote, iš įprasto kompiuterio paleistas slaptažodžių atspėjimo robotas tokį slaptažodį rinks labai labai ilgai, net jei įskiepio apsauga bus apeinama.

Rodomas pavadinimas

Tikriausiai galvojate, kodėl praleidau skirtuką Rodomas vardas. Palikau užkandžiui. Šio elemento naudingumas skirtas labai naujiems „WordPress“ vartotojams. Čia galite matyti taškų skaičių, kaip ir kiekviename nustatymų meniu. Ir jei slapyvardis sutampa su administratoriaus prisijungimu, pamatysite įspėjimą:

Savo slapyvardį galite pakeisti paspaudę ant administratoriaus prisijungimo arba užvedę pelės žymeklį virš „Vartotojai“, administracinės panelės meniu, paspaudę elementą „Jūsų profilis“. Jei neišklausėte mano kurso apie tinklaraščio kūrimą, pirmiausia laukelyje „Slapyvardis (būtina)“ įveskite matomą straipsnių autoriaus vardą, kuris neatitinka administratoriaus prisijungimo. Tada išskleidžiamajame sąraše „Rodyti kaip“ pasirinkite anksčiau įvestą slapyvardį. Po to išsaugokite. Dabar, kai apsilankysite „All In One WP Security“ papildinio nustatymų meniu „Administratoriai“, skirtuke „Rodymo pavadinimas“ bus rodoma ši informacija:

Nustatymai

Bendrieji nustatymai

Pagal numatytuosius nustatymus esate „ Bendrieji nustatymai“. Čia jums prieinamos šios naudingos funkcijos:

duomenų bazės atsarginės kopijos kūrimas
atsarginę .htaccess failo kopiją
atsarginės wp-config.php failo kopijos kūrimas

Taip pat yra parinkčių, leidžiančių įjungti arba išjungti saugos funkciją ir visas „All In One WP Security“ ugniasienės funkcijas. Visada patariu prieš keičiant papildinio nustatymus perskaityti parinkčių paaiškinimus, pvz.:

.htaccess ir wp-config.php

Atkreipkite dėmesį į skirtukus „.htaccess File“ ir „wp-config.php File“. Šių skirtukų nustatymuose galite kurti ir atkurti atsarginė kopija, jūs atspėjote, .htacces ir wp-config.php. Tai gana patogu ir nereikalauja FTP kliento.

Informacija apie WP versiją

Man įdomesnis skirtukas yra kitas – „WP Version Info“. Tiems, kurie nežino, paaiškinsiu. „WordPress“ sugeneruoja metažymą su turinio atributu, kuris savo ruožtu turi reikšmę Dabartinė versija svetainės variklis. Tai pavojinga, labai pavojinga! Todėl skiltyje „Remove WP Generator Meta Data“ pažymėkite langelį šalia „Pažymėkite, jei norite pašalinti WP sukurtą versiją ir meta informaciją iš visų puslapių“ ir spustelėkite „Išsaugoti nustatymus“.

Importas eksportas

Skirtukas Importuoti / Eksportuoti yra atsakingas už, taip sakant, nustatymų šablono sukūrimą. Viename iš savo projektų nustatę „All In One WP Security“ papildinį, galite perkelti nustatymus į kitas svetaines. Tai labai patogu, net jei sukonfigūravote papildinį, eksportavote nustatymus, tačiau staiga atsirado būtinybė atkurti svetainės atsarginę kopiją.

pažangūs nustatymai

Paskutinis skirtukas „Išplėstiniai nustatymai“ yra atsakingas už duomenų apie kiekvieno lankytojo IP adresą gavimo būdą. Jei nesate susipažinę su PHP gana geru lygiu, o $ _SERVER superglobalus masyvas padidina jūsų akių vyzdžius, prašau jūsų nesiartinti prie šio skirtuko.

Autorizacija

Šiame „All In One WP Security“ papildinio nustatymų elemente matome šiuos skirtukus:

Autorizacijos blokavimas

Šio skirtuko aprašyme tikriausiai jau perskaitėte kūrėjų instrukcijas apie žiaurios jėgos atakas. Tada turite pažymėti parinktis šalia blokų:

Įgalinkite parinktis blokuoti bandymus suteikti įgaliojimą
Leisti užklausas atblokuoti (jei užblokavote save)
Rodyti autorizacijos klaidų pranešimus (padidina tikimybę neužblokuoti savęs)
Pranešti el. paštu (visada žinokite apie nesėkmingus prisijungimo bandymus, todėl galėsite nedelsiant reaguoti į galimus bandymus įsilaužti)

Mes pereiname prie visuotinio bloko „Laikinai užblokuotų IP adresų diapazonas“. Čia galite pereiti prie užblokuotų adresų statistikos spustelėję „Užrakinti IP adresai“.
Bloke „Prisijungimo užrakinimo IP baltojo sąrašo nustatymai“ galite sukonfigūruoti baltų IP adresų sąrašą, pavyzdžiui, savo kompiuterio adresą, kuriam blokavimo nustatymai nebus taikomi. Norėdami tai padaryti, bloke „Įjungti prisijungimo užrakinimo IP baltąjį sąrašą“ pažymėkite žymės langelį, kad suaktyvintumėte nustatymą, o bloke „Įveskite baltojo sąrašo IP adresus“ įveskite savo IP adresą. Nepamirškite išsaugoti žemiau. Tačiau nerekomenduoju sudaryti baltojo sąrašo. Užpuolikai gali suklaidinti jūsų IP adresą.

Nepavyko prisijungti

Mes judame toliau. Skirtuke „Neteisingi autorizacijos bandymai“ bus išvardyti nesėkmingi autorizacijos bandymai. Ši informacija yra labai naudinga prisijungimo bandymų analizei. Tie, kuriems rūpi ši statistika, gali eksportuoti ją į CSV failą:

Automatinis vartotojų atsijungimas

Skirtukas „Automatinis vartotojų atsijungimas“ yra ne mažiau svarbus nei kiti nustatymai. Čia galite įjungti administratoriaus skydelio naudotojų atsijungimą po nurodyto neveiklumo laikotarpio, pavyzdžiui, 60 minučių:

Paskyros veiklos žurnalas

Tada eikite į „Paskyros veiklos žurnalą“. Čia galite matyti konkretaus vartotojo prisijungimo ir atsijungimo laiką. Visose paskyrose išsaugoma tik 50 įrašų. Tokia informacija naudinga veiklos analizei:

Taip pat galite eksportuoti šiuos duomenis į CSV failą.

Aktyvūs užsiėmimai

AT paskutinis skirtukas„Aktyvios sesijos“ rodo realiojo laiko paskyras, prie kurių esate prisijungę prie administratoriaus svetainės dalies:

Vartotojo registracija

99% atvejų tinklaraščio nustatymas „Vartotojo registracija“, esantis „All In One WP Security“ papildinyje, yra praleistas. Bet vis tiek kalbėsiu apie šių skirtukų parinktis:

Rankinis patvirtinimas

Jei jūsų svetainėje yra numatyta registracija, o vartotojų paliktas šlamšto kiekis palieka daug norimų rezultatų, turėtumėte įgalinti neautomatinį naujo vartotojo patvirtinimą skirtuke „Rankinis patvirtinimas“. Tai leis jums uždaryti prieigą prie prieigos, kol rankiniu būdu patvirtinsite vartotojo registraciją. Ką jis iš esmės daro? Kaip rodo praktika, viename iš mano projektų yra asmenų, kurie iš pradžių registruoja paštą pagal tipą: [apsaugotas el. paštas], [apsaugotas el. paštas], [apsaugotas el. paštas] ir tt Panašūs laiškai naudojami per nauja registracija, kai užblokavau pirmąją tam tikro asmens paskyrą. O jei pamatysiu, kad neseniai akį patraukė panašus spamerio laiškas, tai uždrausiu registraciją. Dėl to šiukšlių siuntėjas negali prisijungti ir vėl naudoti tą patį paštą registracijai, nors ir neturėjo laiko palikti šiukšlių.

Todėl, jei iš karto po registracijos reikia papildomai moderuoti vartotojus, reikia pažymėti langelį „Suaktyvinti rankinį naujų registracijų patvirtinimą“ ir išsaugoti nustatymus.

CAPTCHA registruojantis

Kitas skirtukas „CAPTCHA registruojantis“ prideda „captcha“ prie vartotojo registracijos puslapio. „Captcha“ galima suaktyvinti pažymėjus langelį „Suaktyvinti CAPTCHA registracijos puslapyje“. Manau, kad ši funkcija reikalinga ir naudinga. Žinoma, jei numatėte naujų vartotojų registraciją.

Registracija Honeypot

Skirtukas "Registracija Honeypot" yra labai naudinga funkcija blokuoti sudėtingus registracijos robotus. Patariu įjungti šią parinktį bloke „Įgalinti Honeypot registracijos puslapyje“. Sutaupyti.

Duomenų bazės apsauga

Duomenų bazės apsaugos nustatymų grupę sudaro du skirtukai:

Būkite ypač atsargūs su nustatymais pirmame skirtuke „DB lentelės priešdėlis“. Būtina nedelsiant pasidaryti atsarginę duomenų bazės kopiją skirtuke „DB atsarginė kopija“.

Duomenų bazės atsarginė kopija

Pažvelkime į skirtuką „DB atsarginė kopija“. Norėdami sukurti atsarginę duomenų bazės kopiją, spustelėkite mygtuką „Duomenų bazės atsarginė kopija dabar“. Sėkmingai sukūrę atsarginę kopiją, pamatysite šią informaciją:

Ekrano kopijoje rodoma mano duomenų bazės vieta. Turėsite savo adresą.

Taip pat šiame skirtuke galite sukonfigūruoti įprastą duomenų bazės kopijos kūrimą. Norėdami tai padaryti, pažymėkite laukelį šalia „Įgalinti automatinis kūrimas atsarginės kopijos“. Be to, galite konfigūruoti, kaip dažnai kurti kopijas, kiek kopijų saugoti serveryje ir siųsti kopijas paštu. Nepamirškime taupyti.

DB lentelės priešdėlis

Grįžtame į skirtuką „DB lentelės priešdėlis“. Jei nepakeitėte duomenų bazės priešdėlio, tada jo reikšmė yra „wp_“. Štai ką pamatysite įspėjimą:

Norint visoms duomenų bazėje esančioms lentelėms priskirti skirtingą priešdėlį, jį reikia nurodyti bloko „Generuoti naują duomenų bazės lentelės priešdėlį“ laukelyje. Tada spustelėkite „Keisti lentelės priešdėlį“. Jei nelabai žinote, koks turėtų būti priešdėlis, patariu pažymėti langelį šalia „Patikrinti, kad pats papildinys sugeneruotų 6 atsitiktinių simbolių ilgio priešdėlį“ ir laukelį „Įveskite savo priešdėlio versija su lotyniškomis raidėmis, skaičiais ir apatiniais brūkšniais“ palikite tuščią.

Failų sistemos apsauga

Dabar panagrinėkime „All In One WP Security“ papildinio „Failų sistemos apsaugos“ nustatymus. Šį nustatymų elementą sudaro keturi skirtukai:

Prieiga prie failų

Pagal numatytuosius nustatymus esame skirtuke „Prieiga prie failų“. Jei abejojate, kurį CHMOD (leidimus) įdiegti konkrečiame serverio aplanke, All In One WP Security įskiepis viską išspręs už jus. Atkreipkite dėmesį į šio skirtuko lentelę. Jei papildinys turi komentarą apie esamus leidimus, stulpelyje „Rekomenduojamas veiksmas“ pamatysite užrašą „Nustatyti rekomenduojamus leidimus“:

Jei komentarų nėra, tada užrašas „Veiksmas nereikalingas“. Norėdami pritaikyti rekomenduojamus CHMOD nustatymus, spustelėkite Nustatyti rekomenduojamus leidimus.

PHP failų redagavimas

Šis skirtukas nustato draudimą redaguoti PHP failus iš administracinės aplinkos. Patariu pažymėti langelį „Išjungti galimybę redaguoti PHP failus“.

Prieiga prie WP failų

Paprastai iškart po WordPress įdiegimo ištrinu failus: readme.html, wp-config-sample.php ir kt. Tačiau kartais to paties konfigūracijos failo pavyzdys išsaugo pradedantiesiems. Todėl rekomenduoju pažymėti langelį „Diegiant WordPress uždrausti prieigą prie pagal nutylėjimą sukurtų informacinių failų“.

Sistemos žurnalai

Šis skirtukas skirtas patyrusiems žiniatinklio valdytojams. Priešingu atveju, žiūrėdami į svetainės klaidų žurnalą, negalėsite suprasti problemos esmės.

WHOIS paieška

Mano kuklia nuomone, tai puikus įrankis gauti bent šiek tiek informacijos apie, pavyzdžiui, užblokuotą vartotoją. Žinoma, galite naudoti WHOIS svetainę, bet kodėl, jei WHOIS paieška yra „All In One WP Security“ papildinyje.

Juodasis sąrašas

All In One WP Security įskiepis leidžia blokuoti ne tik pagal IP adresą, bet ir pagal vartotojo agentus. Vartotojo agentais galima laikyti įvairius paieškos sistemų vorus/botus, įvairias analizės paslaugas ir kt., kurios sukuria per didelė apkrovaį serverį. Šis nustatymas bus naudingas net jei nenorite, kad, pavyzdžiui, „Google“ robotas tikrintų jūsų svetainę. Visi „Juodojo sąrašo“ elemente nurodyti nustatymai bus įtraukti į .htaccess.

ugniasienė

Ugniasienės nustatymas susideda iš septynių skirtukų:

Taigi, pradėkime iš eilės.

Prieš pradėdami koreguoti .htaccess failą naudodami All In One WP saugos papildinį, būtinai sukurkite atsarginę .htaccess kopiją.

Pagrindinės ugniasienės taisyklės

Jei nenaudojate, pavyzdžiui, automatinio socialinių tinklų papildinių, galite saugiai pažymėti langelius visur ir išsaugoti šio skirtuko nustatymus. Tačiau patariu įtraukti tik šiuos elementus:

Suaktyvinkite pagrindines ugniasienės funkcijas
Išjungti „Pingback“ funkciją iš XMLRPC
Blokuoti prieigą prie failo debug.log

Manau, kad su pirmuoju nustatymu viskas aišku, bet kitos dvi parinktys yra privalomos. „Išjungti atgalinio ryšio funkciją iš XMLRPC“ išjungs grąžinimo užklausas, pavyzdžiui, iš statistikos tarnybų, bet paliks užklausas paslaugoms. Parinktis „Blokuoti prieigą prie debug.log failo“ išjungs prieigą prie derinimo failo, kuriame gali būti neskelbtinos paslaugos informacijos.

Papildomos ugniasienės taisyklės

Šiame skirtuke patariu įjungti visus nustatymus, išskyrus: „Išjungti galimybę naršyti kataloguose“. Faktas yra tas, kad draudimas naršyti kataloguose nustatytas direktyvoje „AllowOverride“ konfigūracijos failą httpd.conf serveryje. Tokius nustatymus galite atlikti tik tuo atveju, jei turite VPS, VDS, išsinuomotą ar savo serverį. Kitu atveju palikite šį nustatymą nepažymėtą.

Galite sužinoti, kodėl reikia kiekvieno nustatymo, spustelėję „+ Daugiau“:

Iš esmės beveik visi užkardos nustatymai, pateikti „All In One WP Security“ papildinyje, yra būtini, kad „WordPress“ būtų saugus.

6G juodojo sąrašo ugniasienės taisyklės

6G užkarda neturi nieko bendra su mobiliuoju ryšiu. Ši užkarda apsaugo nuo daugybės kenkėjiškų URL užklausų, blogų robotų, persiuntimo šlamšto ir kitų atakų. Šeštosios kartos ugniasienės taisyklių įjungimas žymiai sumažins serverio apkrovą, žinoma, jei panašių prašymų valios. Rekomenduoju įjungti 6G ir 5G apsaugą.

Interneto robotai

Skirtukas Interneto robotai blokuoja kenkėjiškus robotus, kurie prisidengia googlebot. Rekomenduoju įjungti parinktį „Blokuoti netikrus Googlebotus“. Kiti tikrintuvai nebus blokuojami.

Užkirsti kelią karštosioms nuorodoms

Būtina suaktyvinti skirtuko parinktį „Uždrausti karštąsias nuorodas“. Įjunkite parinktį ir išsaugokite. Tai sumažins serverio apkrovą, jei nuorodos į vaizdus bus patalpintos už jūsų svetainės ribų. Tai neturi įtakos automatiniam paskelbimui socialiniuose tinkluose ir kitose vietose.

404 aptikimas

Taip pat reikia aktyvuoti priešpaskutinį skirtuką „Aptikimas 404“. Įjunkite parinktį „Įgalinti 404 IP aptikimą ir blokavimą“. Šis nustatymas yra atsakingas už IP adresų, iš kurių per trumpą laiką pateikiama daug užklausų į neegzistuojančius puslapius, blokavimą. Daugeliu atvejų tai rodo įsilaužėlių ataka, ieško pažeidžiamo puslapio. Taip pat galite pasirinktinai pakeisti laiką, kuriam užpuoliko IP adresas bus uždraustas. „404 error redirect URL“ bloke, kaip taisyklė, automatiškai įrašomas svetainės pagrindinio veidrodžio adresas. Rekomenduoju šio adreso nekeisti. O lentelėje „Klaidų žurnalai 404“ rodomi duomenys apie apsilankymą neegzistuojančiuose puslapiuose. Žurnalą galima įkelti į CSV failą.

Individualizuotos taisyklės

Paskutiniame skirtuke „Tinkintos taisyklės“ galima pridėti pasirinktines taisykles prie .htaccess failo. Patariu nekurti nieko savo, nesuvokiant, kaip veikia .htaccess nustatymai. Priešingu atveju svetainė gali nustoti veikti.

Apsauga nuo žiaurios jėgos atakų

Brute force atakos – tai atakos, nukreiptos į žiaurios jėgos slaptažodį ir prisijungimą, kol randama tinkama parinktis. Šioje nustatymų grupėje yra penki skirtukai, pradėkime nuo pirmojo:

Pervardykite prisijungimo puslapį

Skirtuke „Pervardyti prisijungimo puslapį“ yra du parametrai, iš kurių pirmame „Įjungti prisijungimo puslapio pervadinimo parinktį“ reikia pažymėti langelį, o antrajame „Prisijungimo puslapio adresas (URL)“ nurodyti adresą. norėdami patekti į administratoriaus sritį. Prisijungimo puslapio URL turi skirtis nuo numatytojo wp-admin, pavyzdžiui, thisismysite. Nepamirškite išsaugoti ir atsiminti administratoriaus prisijungimo adreso. Mano pavyzdyje tai bus mysite.ru/thisismysite, kur mysite.ru yra jūsų svetainės adresas.

Brute force apsauga su sausainiais

Eikite į skirtuką „Apsauga nuo brutalios jėgos atakų naudojant slapukus“. Jei turite slaptažodžiu apsaugotus puslapius, galite įjungti parinktį „Mano svetainėje yra įrašų arba puslapių, kuriuos uždarė integruota „WordPress“ turinio apsaugos slaptažodžiu funkcija. Turiu šiuos puslapius. Kalbant apie parinktį „Ši svetainė turi temą arba papildinį, kuris naudoja AJAX“, dauguma šiuolaikinių temų ir papildinių naudoja AJAX technologiją. Todėl patariu įjungti šią parinktį. Rekomenduoju neaktyvinti nustatymo „Suaktyvinti apsaugą nuo brutalios jėgos atakų“, kad jūsų IP adresas neužblokuotų „All In One WP Security“ papildinio. Faktas yra tai, kad galite pamiršti ir išvalyti papildinio slapukus naudodami prieigos raktą. O kad neišsispręstų problemų, kurių buvo galima išvengti, rekomenduoju šios parinkties nežymėti, juolab kad pats įskiepis įspėja ir tik antru bandymu leidžia aktyvuoti šiuos nustatymus.

CAPTCHA prisijungimui

Prisijungti CAPTCHA skirtuke yra naudingų funkcijų papildoma apsauga prisijungimo ir slaptažodžio atkūrimo puslapiai. Rekomenduoju pažymėti priešingus žymimuosius laukelius:

Įjungti CAPTCHA prisijungimo puslapyje
Suaktyvinkite CAPTCHA formą pakeistame prisijungimo puslapyje
Puslapyje suaktyvinkite CAPTCHA pamečiau slaptažodį»

Bloke „Woocommerce Forms Captcha Settings“ žymės langeliai nustatomi tik naudojant „Woocommerce“ internetinės parduotuvės papildinį.

Baltasis prisijungimo sąrašas

Mes judame toliau ir einame į skirtuką „Baltasis prisijungimo sąrašas“. Šis parametras veikia kaip papildoma gynybos linija, blokuojanti prieigą prie prisijungimo puslapio visiems IP adresams, kurių nėra baltame sąraše. Jei norite, galite nustatyti šią parinktį. Bet ir dar kartą! Jei turite dinaminį IP adresą arba skubiai reikia eiti į administratoriaus skydelį, pavyzdžiui, su Mobilaus telefono numeris, o teikėjas paskirs jums kitą IP adresą, tada atsitiks problemų.

Statinė su medumi (Honeypot)

Paskutinis skirtukas „Honeypot“ iš nustatymų grupės „Apsauga nuo brutalios jėgos atakų“ yra atsakingas už robotų, kurie bando užpildyti autorizacijos laukus, blokavimą. Paprastai robotai automatiškai užpildo visus laukus, o parinktis „Statinė su medumi“ suteikia botui vartotojo akimis nematomą lauką, kurį botas užpildo automatiškai. Jei taip atsitiks, „All In One WP Security“ papildinys automatiškai blokuoja robotą. Rekomenduoju įjungti parinktį „Prisijungimo puslapyje suaktyvinti medaus puodą“.

Apsauga nuo SPAM

Pereikime prie kitos nustatymų grupės „Apsauga nuo SPAM“. Dabar mes nustosime apsvarstyti keturis skirtukus:

Šlamštas komentaruose

Suaktyvinkite CAPTCHA komentarų formose
Blokuoti šlamšto robotus, kad jie negalėtų komentuoti

Komentarų šlamšto IP adresų stebėjimas

Kitas statistikos skirtukas „Komentarų šlamšto IP adresų stebėjimas“. Be abejo, šio skirtuko parinktys suteikia gerumo. Rekomenduoju pažymėti langelį šalia elemento „Įjungti automatinį IP adresų blokavimą Komentuoti šlamštui“. Sutaupyti.

Toliau lauke „Minimalus komentarų, laikomų SPAM“, reikšmę nustatykite į 5. Atkreipkite dėmesį į bloką „Šlamšto siuntėjų IP adresų sąrašas“, kuris yra atsakingas už komentarų filtravimą. Jei reikia rasti IP adresus, kurie bent kartą buvo išsiųsti el. pašto šiukšlėmis, nustatykite reikšmę į „1“ ir spustelėkite „Rasti IP adresus“. Ir jei, pavyzdžiui, 3 kartus, tada reikšmė yra „3“ ir kt. Manau, supratai esmę. Rezultatai bus rodomi lentelėje „Šlamšto siuntėjų IP adresų sąrašas“.

BuddyPress ir BBPress

„BuddyPress“ ir „BBPress“ skirtukuose galite įjungti „captcha“ registracijos formoje. „BuddyPress“ ir „BBPress“ yra papildiniai. „BuddyPress“ padeda sukurti „WordPress“. Socialinis tinklas ir BBPress forumo papildinį. Jei nenaudosite šių modifikacijų, atitinkamų skirtukų parinkčių nebus.

Skaitytuvas

Priešpaskutinė nustatymų grupė „Skeneris“ yra atsakinga už reguliarų svetainės nuskaitymą kenkėjiškas kodas ir failus. Čia galite matyti tik du skirtukus:

Stebėkite failų pakeitimus

Pirmajame skirtuke „Failų pakeitimų stebėjimas“ galite iš karto patikrinti svetainę spustelėdami „Tikrinti dabar“.

Supraskite vieną paprastą dalyką – joks papildinys negali apsaugoti jūsų svetainės nuo įsilaužėlių guru! Todėl iškilus bėdai, All In One WP Security įskiepis po nuskaitymo informuos mus apie įsilaužimo pėdsakus. Rekomenduoju įjungti parinktį „Įjungti automatinį failų pakeitimų nuskaitymą“ ir nustatyti nuskaitymo dažnumą bent kas dvi dienas. Tikrinimo dažnis priklauso nuo dabartinės jūsų svetainės apkrovos. Ir jei pailgėja svetainės įkėlimo laikas eismo piko metu, apsvarstykite galimybę pakeisti tarifų planą arba perkelti į tam skirtą serverį, kad „All In One WP Security“ papildinio skaitytuvas neapkrautų per daug serverio.

Laukai „Ignoruoti šių tipų failus“ ir „Ignoruoti tam tikrus failus ir aplankus“ pildomi individualiai, pagal jūsų pageidavimą. Taip pat patariu aktyvuoti parinktį „Siųsti el. laišką, kai randamas pakeitimas“, kad visada žinotumėte apie bet kokius failų pakeitimus. Galite nurodyti kelis pašto adresus. Išsaugoti po nustatymų.

Kenkėjiškų programų nuskaitymas

Antrasis skirtukas „Nuskaitymas iš kenkėjiška programa» skirtas registracijai įskiepių kūrėjų svetainėje, siekiant reguliariai už mokestį nuskaityti svetainę. Tai žymiai sumažins serverio apkrovą nuskaitymo metu. Kas nori mokėti pinigus, prašau, tai jūsų teisė. Bet nematau prasmės sudaryti tokią paslaugą tinklaraščiui.

Įvairūs

Paskutinėje nustatymų grupėje „Įvairūs“ yra trys skirtukai:

Apsauga nuo kopijavimo

Pirmame skirtuke „Apsauga nuo kopijavimo“ galite užblokuoti šias funkcijas:

Dešinysis mygtukas
Teksto žymėjimas
Kopijuoti

Apribojimai bus taikomi visiems puslapiams, kurie pasiekiami naudotojams. Jei turite naudingą tinklaraštį, kuriame žmonės gali daug ko išmokti patys žinių saugykloje, tada šios funkcijos įjungti nerekomenduoju. Man asmeniškai nepatogu, kai negaliu nukopijuoti teksto su man svarbia informacija.

Rėmeliai

Skirtukas Rėmeliai yra atsakingas už jūsų svetainės turinio rodymo blokavimą tarp rėmelio ir iframe žymų. Kurie jau kelerius metus buvo pripažinti nesaugiais ir dažnai nulaužiami. Pavyzdžiui, 1C Bitrix pagal numatytuosius nustatymus blokuoja šias žymas.

Vartotojų išvardijimas

paskutinis skirtukas ir paskutinis nustatymas„All In One WP Security“ papildinys, kurį laikysime „Vartotojų sąrašu“. Rekomenduoju įjungti parinktį „Išjungti naudotojų sąrašą“, kad robotai neieškotų informacijos apie vartotojus, kurie gali būti matomi, pavyzdžiui, kaip komentatoriai. Tai tam tikru būdu sukuria apsauginę barjerą svetainės naudotojams ir taip apsaugo administratoriaus paskyrą.

Taip baigiamas apibūdinimas naudojant „All In One WP Security“ papildinį. Ką tik perskaitėte didžiulį straipsnį, kurį galima palyginti su dešimčia įprastų straipsnių. Tikiuosi, paaiškinau prieinamu būdu. Jei turite klausimų, nedvejodami užduokite juos komentaruose. Ačiū už dėmesį.

Sveiki vaikinai! Kai jūsų svetainė tampa šiek tiek reklamuojama, atsiranda nuolatinių skaitytojų, jūs gaunate didelį malonumą. Atrodo viskas šaunu. Pinigų srautas taip pat auga, o iš publikos sulauki atsako, didėja pripažinimas. Tačiau yra ir kita medalio pusė. Tai pavydūs žmonės, tai yra piktadarių dėmesys.

Kad suprastumėte, apie ką aš kalbu, vien per pastarąją savaitę į mano tinklaraštį buvo įsilaužta 2 kartus. Nuolatiniai žmonės manė, kad pastebėjo. Vaikinai, primygtinai rekomenduoju perskaityti šią pamoką, skirti laiko įgyvendinti patarimus, apie kuriuos kalbu, kad apsaugotumėte svetainę ir sutaupytumėte laiko, pinigų bei nervų.

„All In One WP Security“ yra svarbiausias „WordPress“ saugos papildinys. Jį turėtų įdiegti visi, turintys svetainę „WordPress“. Visi be išimties.

Jei mano mėgstamiausias yra „WordPress“ skirtas SEO kombainas, tai WP Security papildinys yra saugumo atitikmuo. Tai yra, jei dėl Yoast SEO man nebereikėjo kelių SEO įskiepių, tai ir čia All In One WP Security dėka galite atsikratyti kitų įskiepių, kurie tik iš dalies atlieka šio funkcijas. Pavyzdžiui, kaip:

Prisijungimo užraktas;
„WordPress“ duomenų bazės atsarginė kopija
Anti-XSS ataka;
ir kitiems patinka.

Dideli „Viskas viename“ WP saugos papildinio privalumai:

Laisvas;
labai lengva nustatyti;
beveik viskas yra išversta į rusų kalbą, todėl aišku, kas yra ant kortos.

„Viskas viename“ WP saugos papildinio konfigūravimas

Prieš pradėdami dirbti (tik tuo atveju), būtinai pasidarykite šių failų atsarginę kopiją (atsarginę kopiją):

duomenų bazė;
wp-config failą
htaccess failą.

Beje, šių trijų failų atsargines kopijas galima padaryti tiesiai tame pačiame papildinyje, tiesiog eikite į WP Security - Nustatymai administratoriaus skydelyje:

Kontrolės skydelis

Yra labai šaunus informatorius, rodantis jūsų svetainės saugumo lygį:

Šis indikatorius padės išlaikyti pirštą ant pulso ir suprasti, ką dar reikia padaryti norint pagerinti saugumą. Nerekomenduoju daryti visko, kad pasiektum maksimalius balus. Gali būti blogų pasekmių, jūsų svetainė gali nukristi, netinkamai veikti.

Dabartinė svarbiausių funkcijų būsena.Šiame bloke galite suaktyvinti būtiniausias savo svetainės saugumui skirtas funkcijas (kol kas galite palikti jas ramybėje, pamokos nustatymų metu šie parametrai aktyvuojami taip):

Likę parametrai valdymo skydelyje mažai įdomūs, smalsumo dėlei galite su jais susipažinti (Sistemos informacija, Užblokuoti IP adresai, AIOWPS.

Nustatymai

Bendrieji nustatymai. Čia galite sukurti atsargines failų, kuriuos minėjau aukščiau, kopijas. Taip pat išjunkite saugos ir ugniasienės funkcijas, jei kažkas nustoja veikti.

WP meta informacija. Spustelėkite žymimąjį laukelį šalia „Pašalinti WP generatoriaus metaduomenis“, kad paslėptumėte „WordPress“ versiją:

Skirtukas "Importuoti / eksportuoti". Čia galite eksportuoti nustatymus, kad vėliau kitoje svetainėje negaištumėte laiko nustatydami nustatymus ir 2 paspaudimais importuotumėte visas reikalingas „varneles“.

Administratoriai

WP pasirinktinis pavadinimas. Būtinai (!) pakeiskite administratoriaus vardą, jei turite jį „admin“. Jūs neįsivaizduojate, kiek ir dažnai pasirenkami slaptažodžiai su administratoriaus prisijungimu. Be to, jei slaptažodis yra labai lengvas, jūsų svetainė gali būti lengvai įsilaužta.

Rodomas pavadinimas. Jei jūsų svetainėje yra paskyrų, turinčių tą patį vartotojo vardą ir rodomą pavadinimą, rekomenduojama pakeisti rodomą pavadinimą (slapyvardį).

Slaptažodis. Labai įdomus skirtukas. Čia galite sužinoti, kuriam laikui galite atsiimti automatinis režimas Jūsų slaptažodis. Įveskite slaptažodį ir nustebsite, kaip greitai jį galima nulaužti. Būtinos sąlygos padidintam saugumui:

Jūsų slaptažodis turi būti sudarytas iš didžiųjų ir mažųjų raidžių.
privalomas bent 1 skaitmuo, tačiau slaptažodis neturėtų būti sudarytas tik iš skaičių;
pageidautina turėti kokį nors ypatingą charakterį;
slaptažodis turi būti ilgesnis nei 10 simbolių.

Dėl to turėtumėte turėti maksimalų slaptažodžio saugumo laipsnį, maždaug tokį (toliau pateiktą slaptažodį namų kompiuteris būtų nulaužęs per 57 337 metus (!):

Autorizacija

Būtinai įjunkite šią funkciją. Jei slaptažodis neteisingai įvestas 3 kartus per 5 minutes (pagal nutylėjimą), IP bus blokuojamas 60 minučių (taip pat pagal numatytuosius nustatymus). Nerekomenduoju blokuoti ilgesniam laikui, antraip gali susidurti su tuo, kad patys administratoriai 3 kartus neteisingai įveda prisijungimą, blokuoja 10 metų ir nežino ką daryti. Paliekame numatytąsias 60 minučių ir nesimauname.

Taip pat rekomenduoju pažymėti žymimąjį laukelį „Nedelsiant blokuoti netinkamus naudotojų vardus“. Pavyzdžiui, jūs pakeitėte prisijungimą iš admin į krutysh, tada įvedus prisijungimo admin į autorizacijos lauką, IP adresas bus iš karto užblokuotas. „Pranešti el. paštu“ – čia pagal poreikį. Nemėgstu papildomo šlamšto, todėl nežymiu laukelio čia.

Mano galutiniai šio skirtuko nustatymai atrodo taip:

Jei smalsu, galite peržiūrėti užblokuotų IP sąrašą, nuoroda į skyrių yra tame pačiame skirtuke žemiau.

Netinkami prisijungimo bandymai.Čia tie prisijungimai, kurie pasirinkti, yra tik matomi. Dažniausiai mano prisijungimai yra admin, root, font. Matosi ir „bandymų“ metas. Atkreipkite dėmesį į tai, kaip dažnai jie bando prisijungti prie administratoriaus skydelio:

Automatinis vartotojų atsijungimas. Taip pat rekomenduoju įjungti šį žymimąjį laukelį. Leidžia baigti seansą po tam tikro minučių skaičiaus ir atjungti vartotoją. Aš skyriau 600 minučių:

Skirtukai „Paskyros veiklos žurnalas“ ir „Aktyvūs seansai“ skirti tik informaciniams tikslams.

vartotojo registracija

Pažymėkite laukelį šalia „Suaktyvinti neautomatinį naujų registracijų patvirtinimą“:

Taip, ir registruodamiesi galite pažymėti CAPTCHA:

Žinoma, jei kitiems žmonėms neįmanoma užsiregistruoti jūsų svetainėje, 2 geriausi taškai yra tiesiog nenaudingi, jie netaps nei geresni, nei blogesni. Bet jei abejojate, geriau pažymėti šiuos langelius.

Duomenų bazės apsauga

Čia būkite atsargūs skirtuke „DB lentelės priešdėlis“. Prieš pažymėdami langelį, būtinai sukurkite atsarginę duomenų bazės kopiją (ten taip pat pamatysite nuorodą sukurti atsarginę duomenų bazės kopiją). Jei bijote, abejojate, geriau palikite jį nepažymėtą:

Duomenų bazės atsarginė kopija. Čia jau uždėjome varnelę, pasirinkite atsarginių kopijų kūrimo dažnumą ir jų skaičių. Aš turiu. pavyzdžiui, šie skaičiai:

Failų sistemos apsauga

Prieiga prie failų. Čia, dešinėje pusėje, turėsite mygtukus, turėsite pakeisti failų leidimus paspaudę šiuos mygtukus. Dėl to visos eilutės turėtų tapti žalios:

PHP failų redagavimas. Jei nepataisysite savo PHP failai per administratoriaus skydelį pažymėkite langelį. Nerekomenduoju redaguoti failų per administratoriaus skydelį, jei tik dėl to, kad neturite galimybės paspausti CTRL + Z, tokiu atveju negalėsite grąžinti failo į pradinę padėtį:

Prieiga prie WP failų. Pažymėkite varnelę:

Sistemos žurnalai. Mes paliekame pagal nutylėjimą.

WHOIS paieška

Norėdami gauti domeno WHOIS, galite įvesti IP adresą arba domeną. Ir iš tikrųjų nėra prie ko liesti.

Juodasis sąrašas

Jei neturite piktadarių, šios prekės negalite įtraukti. Jei, pavyzdžiui, komentaruose nuolat mirksi koks nors IP adresas, galite įjungti žymimąjį laukelį ir įtraukti šį IP į juodąjį sąrašą.

ugniasienė

Pagrindinės ugniasienės taisyklės. Jei iki šiol nepadarėte atsarginės htaccess kopijos, mes tikrai tai padarysime. Ir pažymėkite langelius šalia visų elementų:

Papildomos ugniasienės taisyklės. Čia taip pat įjungiame visus žymimuosius laukelius:

ATNAUJINIMAS:žemiau esančiame skirtuke "Papildomas simbolių filtravimas" panaikinau žymėjimą, nes kai kurie komentarai nepraėjo, davė 403 klaidą. Ko gero, juk ir tu Patarčiau panaikinti šio langelio žymėjimą. kad vartotojams nekiltų problemų komentuodami.

5G ugniasienės nustatymai. Taip pat įtraukiame:

Interneto robotai. Gali kilti problemų su indeksavimu, todėl rekomenduoju neįtraukti šio elemento.

Užkirsti kelią karštosioms nuorodoms. Įjungiame ir mes.

įprastų taisyklių. Htaccess faile galite nustatyti papildomas taisykles. Mes nieko neliečiame.

Apsauga nuo žiaurios jėgos atakų

Pervardykite prisijungimo puslapį. Įjungti. Pakeiskite prisijungimo adresą į savo:

Apsauga nuo brutalios jėgos atakų naudojant slapukus. Neįjungiu šios funkcijos, kad nekiltų problemų prisijungiant iš skirtingų įrenginių.

CAPTCHA prisijungimui. Prieigos metu galite įjungti CAPTCHA, bet neįtraukiu:

Baltasis prisijungimo sąrašas. Kadangi dažnai lankausi svetainėje su skirtingos vietos, turiu kitą IP, todėl neįjungiu šios parinkties:

Statinė su medumi. Sukuriamas papildomas laukas, kurį mato tik robotai. Todėl pildant šį laukelį robotas bus nukreiptas į savo adresą. Įtraukti:

Apsauga nuo SPAM

CAPTCHA komentarų forma. Neįjungiu, nes nemėgstu apsunkinti komentavimo, bet rekomenduoju įjungti funkciją „Blokuoti šlamšto robotą nuo komentarų“:

IP adreso stebėjimas komentarų šlamštui. Čia galite peržiūrėti „dažnai putojančius“ IP adresus dėl nepageidaujamo pašto ir įtraukti juos į juodąjį sąrašą.

BuddyPress. Prideda CAPTCHA „BuddyPress“ registracijos formoje. Aš jo nenaudoju.

Stebėkite failų pakeitimus. Rekomenduoju jį įjungti, nes dažnai nėra iki galo aišku, kada į svetaines įsilaužta, koks failas buvo pakeistas, kur ieškoti kenkėjiško kodo. O šios funkcijos pagalba galite sekti savo svetainės failų pokyčius ir greitai surasti neseniai pasikeitusį failą.

Nuskaitymas, ar nėra kenkėjiškų programų. Funkcija mokama, kainuoja nuo 7 USD per mėnesį.

Priežiūros režimas

Leidžia kuriam laikui „uždaryti“ svetainę, kad būtų atlikti kai kurie pakeitimai. Tai yra, svetainės lankytojams bus pasiūlyta „stuburo žinutė“, kad svetainėje vyksta darbai. Naudinga keičiant dizainą, tikrinant įskiepių veikimą.

Įvairūs

Apsauga nuo teksto kopijavimo ir kt. Čia aš niekur nežymiu trijų skirtukų. Taip pat rekomenduoju to nedaryti.

Rezultatai

Atlikę visus šiuos nustatymus, galite eiti į „Valdymo skydą“ ir pažvelgti į saugos lygio indikatorių, turėtumėte gauti kažką panašaus:

Vėlgi, jums nereikia neapgalvotai daryti visko, kad pasiektumėte aukščiausią įmanomą rezultatą. Nedarykite nereikalingos žalos savo svetainei, jos našumui ir patogumui.

Jei turite klausimų - rašykite. Atskirai dėkojame už retweetus ir pakartotinius įrašus, kad padėjote žmonėms tai perteikti svarbi informacija.

„WordPress“ yra bene populiariausia ir kartu viena dažniausiai nulaužtų platformų. Kažkodėl susiformavo nuomonė, kad jei jūsų svetainė niekam nėra ypač įdomi, tada ji nebus nulaužta – kodėl? Tiesą sakant, kiekviena svetainė (ir ne tik „WordPress“) turi įsilaužimo grėsmę, todėl svarbu pasirūpinti savo puslapio apsauga. Ką galima padaryti – tiksliau, kokius papildinius įdiegti – apie tai kalbėsiu šiame straipsnyje.

Šie patarimai bus naudingi ne tik dirbant su WordPress, bet ir su bet kokia kita TVS. Jie yra pagrindiniai, tačiau, kaip rodo praktika, vis dar yra žmonių, kurie apie juos nežino. Kam visa tai daryti? Apsunkinti gyvenimą užpuolikui. Naudodamas duomenis, kurie nustatyti pagal numatytuosius nustatymus, įsilaužėlis gali gana lengvai įsilaužti į jūsų svetainę ir duomenų bazę. Todėl turite atlikti šiuos veiksmus.

1. Pakeiskite vartotojo vardą iš admin į kitą.

Norėdami tai padaryti, pirmiausia turite sukurti naują vartotoją kaip administratorių. Tai padaryti galite čia:

Sukūrę vartotoją prisijunkite prie jo paskyros ir sąraše „Visi vartotojai“ ištrinkite „admin“ paskyrą. Kuriame naujas prisijungimas pabandykite tai padaryti gana sudėtingu, bent jau iš kelių žodžių: vasyapupkin99. Pavyzdžiui, galite naudoti savo slapyvardį.

Nerašysiu apie slaptažodį - geriau naudoti tą, kurį „Wordpress“ jums sugeneruos paskyros kūrimo etape, o ne sugalvoti kažkokį savo (o tai greičiausiai bus lengviau).

2. Pakeiskite duomenų bazės priešdėlį iš wp į kitą.

Tai galima padaryti dviem būdais: arba patiems redaguojant lenteles phpMyAdmin (ar net tik failų tvarkyklėje), arba naudojant papildinį. Trumpai aptarsiu abu variantus.

Keisti per phpMyAdmin

Turiu iš karto pasakyti, kad šis veiksmas reikalauja dėmesio detalėms ir tam tikros phpMyAdmin patirties.

Visų pirma, susikurkite duomenų bazės atsarginę kopiją – ji padės atkurti informaciją, jei kažkas nutiko ne taip (arba kažkur ne taip suredagavote).

Dabar eik į failų tvarkyklė ir suraskite failą wp-config.php, jame eilutę $ table_prefix = "wp_";

„wp“ turėtų būti pakeistas į ką nors mažiau susijusį su „WordPress“ ir duomenų baze. Jūs netgi galite pakeisti į savavališką raidžių ir skaičių rinkinį (bet jums reikia tai atsiminti arba užsirašyti).

Dėmesio. Geriausia atlikti šį pakeitimą naujai įdiegtoje „WordPress“. Jau atidarytose svetainėse yra daugiau informacijos – teks keisti daugiau duomenų.

Po to eikite į phpMyAdmin (Timeweb priegloboje tai galima padaryti tiesiai per valdymo skydelį) ir suraskite norimos svetainės duomenų bazę. Visos šios duomenų bazės lentelės turi būti pervadintos, pakeičiant „wp_“ tuo, ką jau parašėte aukščiau.

Kaip pervardyti: kairiajame stulpelyje pasirinkite lentelę, spustelėkite skirtuką „Operacijos“, tada peržiūrėkite bloką „Lentelės parinktys“ ir eilutę „Pervardyti lentelę į“. Atlikę pakeitimus nepamirškite spustelėti „Kitas“.

Po to sąraše ieškokite lentelės „…_options“. Pasirinkę, spustelėkite Naršyti – turinyje apie antra puslapio stulpelyje „meta_key“ pamatysite wp_user_roles – pakeiskite „wp“ priešdėlį į tą, kurį ketinate naudoti dabar. Išsaugokite pakeitimą.

Kita keistina lentelė yra „…_usermeta“ – taip pat pažiūrėkite į jos turinį ir pakeiskite visus senus priešdėlius naujais.

Jei po redagavimo kažkas pradėjo veikti ne taip arba nustojo veikti, patikrinkite, ar atlikote visus pakeitimus. Kraštutiniu atveju naudokite atsarginę kopiją.

Keisti per įskiepį

Šio papildinio nereikia pristatyti, todėl iškart pereisiu prie to, ką reikia padaryti.

Įdiegę ir suaktyvinę papildinį, eikite į skyrių „Duomenų bazės apsauga“. Ten pamatysite eilutę „Generuoti naują duomenų bazės lentelės priešdėlį“ – parašykite norimą nustatyti priešdėlį (arba pažymėkite langelį šalia „Pažymėkite, kad papildinys generuotų 6 atsitiktinių simbolių ilgio priešdėlį“) ir spustelėkite „Keisti. lentelės priešdėlis“. Po to žemiau pamatysite ataskaitą apie priešdėlio keitimo eigą. Norėdami įsitikinti, kad pasiektas laukiamas rezultatas, eikite į phpMyAdmin.

Dar kartą priminsiu, kad tai daryti reikia naujoje svetainėje be straipsnių, nes jei svetainėje jau yra daug informacijos, įskiepis gali neveikti tinkamai.

Viskas viename WP sauga ir ugniasienė

Kadangi jau perėjome prie šio papildinio naudojimo, papasakosiu apie kitus dalykus, kurie gali padidinti jūsų svetainės apsaugą.

Papildinio skiltyje „Nustatymai“ eikite į skirtuką „WP versijos informacija“ ir pažymėkite laukelį šalia „Pašalinti WP generatoriaus metaduomenis“. Kadangi įsilaužėliai dažnai pasikliauja metaduomenyse esančia informacija, būtų naudinga šią informaciją pašalinti iš puslapio kodo.

Beje, jei vis dar nepakeitėte administratoriaus vardo (vadovaujantis aukščiau pateiktais patarimais), tai galite padaryti naudodami šį papildinį – skirtuke „Administratoriai“. Tiesiog parašykite naują vartotojo vardą ir vėl prisijunkite prie skydelio (slaptažodis lieka toks pat).

Čia taip pat galite pamatyti skirtuką „CAPTCHA registruojantis“ – taip pat suaktyvinkite šį elementą.

Dabar eikite į skyrių „Ugniasienė“ – čia pažymime varnelę „Pagrindinės ugniasienės funkcijos“ blokuose. Likusią dalį galite įjungti / išjungti, kaip norite.

Skyrius „Apsauga nuo brutalios jėgos atakų“: reikia įjungti prisijungimo puslapio pervadinimo parinktį ir žemiau esančiame stulpelyje įrašyti norimą adresą. Čia svarbu suprasti - šis adresas bus naudojamas norint patekti į administratoriaus skydelį, svarbu atsiminti!

Baigėme su šiuo papildiniu, pereikime prie kito.

AntiVirus

Šis papildinys nuskaito svetainės failus, ar nėra kenkėjiško kodo. Naudoti jį gana paprasta – įdiegę eikite į jo nustatymus ir spustelėkite „Nuskaityti temų šablonus dabar“, po to bus nuskaityti visi jūsų temų failai.

Čia taip pat galite nustatyti kasdienį patikrinimą su ataskaita el. paštu.

Patikrinimo metu įskiepis paryškina kodą, kuris jam atrodė įtartinas. Tuo pačiu metu geriau atidžiai patikrinti visus komentarus – ne visada tai susiję su virusu. Jei neturite programavimo įgūdžių, galite tiesiog palyginti rastą kodo eilutę su tos pačios svetainės temos kode esančia savo kompiuteryje arba kūrėjo eilute. Jei įrašas yra iš pradžių, jums nereikia jo bijoti.

Kaip ir kiti aktyvūs įskiepiai, „AntiVirus“ įkelia serverį (tai reiškia, kad jūsų svetainė veikia lėčiau), todėl geriau retkarčiais ją naudoti, nei palaikyti nuolat aktyvią.

Wordfence apsauga

Šis įskiepis savo funkcionalumu panašus į ankstesnį, juos galima naudoti lygiagrečiai, blogiau nebus. Tuo pačiu būdu įdiekite, suaktyvinkite, eikite į skirtuką „Nuskaityti“ ir spustelėkite didelį mėlyną mygtuką „Pradėti Wordfence Scan“. Kai kurios funkcijos pasiekiamos tik mokamose (premium) paskyrose, tačiau pagrindinės funkcijos taip pat yra geros. Jei su jūsų svetaine viskas gerai, pamatysite žalią užrašą „Sveikiname! „Wordfence“ neaptiko jokių saugumo problemų“.

Papasakosiu apie kitus papildinius, kurie taip pat gali būti naudojami svetainei apsaugoti.

Sucuri Security

Paprastai „Sucuri“ yra įmonė, kuri specializuojasi svetainių saugoje, todėl užtikrina bet kurios svetainės (ne tik „WordPress“) apsaugą. Šios rimtos įmonės, turinčios įspūdingą reputaciją, papildinys turi platų funkcijų spektrą, atspindintį visą svetainės apsaugos ciklą, įskaitant apsaugą nuo įsilaužimo ir atakų jūsų svetainėje. Galite naudoti nemokamą versiją arba galite nusipirkti mokamą už 16,66 USD per mėnesį – tai gana didelė suma, tačiau tokiam apsauginių priemonių asortimentui tai yra gana pagrįsta.

Norint naudotis nemokama versija, po įdiegimo reikės sugeneruoti nemokamą raktą (aukščiau esančiame mėlyname bloke reikės paspausti mygtuką „Generuoti API raktą“, patikrinti, ar įvesti duomenys teisingi, ir išsiųsti programą .

„iThemes“ sauga

Jei „Sucuri Security“ yra geriausiai apmokamas saugos papildinys, „iThemes Security“ dažnai vadinamas geriausiu nemokamu įskiepiu, kurį reikia įdiegti norint apsaugoti jūsų svetainę. Be to, dabar ji turi daugiau nei 800 tūkstančių įrenginių!

Apie funkcionalumą daug nerašysiu – kaip ir visi kiti įskiepiai, iThemes Security yra skirtas apsaugoti jūsų svetainę nuo daugumos dalykų, galinčių jai kelti grėsmę, ir tuo pačiu patikrinti esamą svetainės būseną. Beje, įskiepis anksčiau vadinosi „Better WP Security“ – galbūt kas nors prisimena jį tokiu pavadinimu.

Apskritai, kalbėdami apie jo funkcijas, galime išskirti šiuos šio papildinio aspektus:

galimai pažeidžiamų elementų slėpimas ir ištrynimas (tai buvo parašyta straipsnio pradžioje – keičiamas administratoriaus prisijungimas, duomenų bazės priešdėlis ir pan.);
svetainės apsauga nuo atakų (pažeidžiamumų nuskaitymas, apsauga nuo brutalios jėgos, administratoriaus skydelio šifravimas ir pan.);
svetainės stebėjimas (dėl staigių pakeitimų, blokavimo ir pan.);
atkūrimas (atsarginė kopija nenumatytos situacijos atveju).

Dabar pereikime prie tikrojo šio papildinio naudojimo.

„iThemes“ saugos nustatymas

Pirmiausia, ji taip pat turi mokamą PRO (ty pažangesnę) versiją, taigi nemokama versija Galimos ne visos šio papildinio funkcijos (tačiau jų vis dar yra daug).

Įdiegę suaktyvinkite papildinį ir eikite į skyrių „Nustatymai“. Aukščiau esančiame mėlyname bloke galite įjungti brute force apsaugą (Network Brute Force Protection) – norėdami tai padaryti, turite paprašyti API rakto, kuris bus automatiškai įtrauktas į nustatymus (tačiau ir išsiųstas į jūsų paštą).

spustelėkite " saugumo patikra“ (viršutiniame kairiajame bloke arba meniu „Nustatymai“) ir spustelėkite „Saugi svetainė“. Po to pamatysite įjungtų modulių sąrašą.

Kitas blokas yra " pagrindiniai nustatymai“ (dešinėje „Saugumo patikra“). Kadangi įskiepis yra beveik visiškai išverstas, kiekvienas elementas turi savo dekodavimą – patariu juos visus peržiūrėti ir pažiūrėti, kuris iš jų jums aktualiausias (net jei jo nenaudosite, bent jau žinosite kur viskas yra).

režimu " Nėra vietų e“ galite nustatyti laiką, kada administratoriaus skydelis bus nepasiekiamas. Jūs neprivalote to naudoti reguliariai, bet galite naudoti jį kaip apsauginį tinklą, kai esate toli nuo kompiuterio. Tuo pačiu metu galite jį nustatyti ir nuolat (pavyzdžiui, kiekvieną naktį), ir vieną kartą per tam tikrą dieną ir laikotarpį.

Blokuoti " Užblokuoti vartotojai- Čia viskas aišku, dėkite čia visus, kuriuos reikia blokuoti.

“Vietinė žiaurių pajėgų apsauga“ – šis blokas apsaugo nuo įsilaužimo naudojant brutalios jėgos slaptažodžius. Jį jau įjungėte, galite palikti nustatymus kaip numatytuosius.

« Duomenų bazės atsarginės kopijos» - nustatymas Rezervinė kopija, nemokamoje versijoje kalbama tik apie duomenų bazes.

« Failų keitimo aptikimas» - itin naudinga funkcija, kuri stebės visus svetainės failų pakeitimus; galite greitai stebėti veiklą, kuri staiga pasirodė svetainėje. Būtinai jį įjunkite.

“Failų leidimai“ - blokas rodo failų prieigos teises.

“Tinklo brutalios jėgos apsauga” - tinklo apsauga nuo brutalios jėgos slypi tame, kad įsilaužėliui pabandžius įsilaužti į kažkieno svetainę, jam taip pat bus užblokuota prieiga prie jūsų svetainės, net jei jis dar nepradėjo atakos jūsų svetainėje.

“SSL” - šiame papildinyje galite sukonfigūruoti SSL naudojimą, tada, jei turite svetainę, kurią priglobia Timeweb, patariu naudoti svetainės valdymo skydelio nustatymus.

“Stiprus slaptažodžio vykdymas“ - jei jūsų svetainė yra susijusi su kitų vartotojų registracija (forumas, tinklaraštis ...), tada šis nustatymas bus naudingas, vartotojai turės pasirinkti tik sudėtingus savo paskyrų slaptažodžius. Kitais atvejais jis negali būti naudojamas.

« Tikslus sistemos derinimas"ir" „WordPress“ tinkinimas" - šie papildomi nustatymai būtinos siekiant dar labiau pagerinti jūsų svetainės apsaugą. Tačiau yra vienas įspėjimas – kai kurių nustatymų įtraukimas gali turėti įtakos priedų veikimui. Todėl nereikėtų rinktis visko iš karto – įjunkite po vieną elementą ir patikrinkite savo svetainės veikimą.

Pagaliau, " „WordPress“ druskos» - nustatymas leidžia pridėti prie slaptažodžio Slaptas raktas, kurį pasiimti bus daug sunkiau nei slaptažodį atskirai. Paprastai tai yra atsitiktinis simbolių rinkinys, kuris pridedamas maišos metu. Reguliariai naudokite šį nustatymą ("Keisti WordPress druskas"), norėdami pakeisti druską.

Viskas apie skyrius. Mokamoje versijoje jų yra daugiau, tačiau jų pakanka, kad svetainė būtų apsaugota nuo daugelio populiarių įsilaužimų tipų.

Išvada

Papildiniai yra esminis jūsų svetainės saugumo elementas, tačiau noriu priminti, kad jie nėra vieninteliai. Nepamirškite sekti WordPress atnaujinimai ir papildinius, reguliariai keiskite slaptažodžius ir kurkite atsargines kopijas.

Jau peržiūrėjau išsamų „WordPress iThemes Security“ tinklaraščio apsaugos papildinį, bet nusprendžiau išbandyti kitą „All In One WP Security & Firewall“. Na, palikimas jūsų svetainėse yra geriausias pasirinkimas. Taigi, įdiegkime.

Eikite į pagrindinį papildinio „All In One WP Security & Firewall“ puslapį. Mes matome toliau pateiktą paveikslėlį. Ir iškart matome „Saugumo lygio matuoklį“. Mano svetainė surinko 50 taškų iš 470 galimų. Na, ne storas. Galbūt po jo pakoregavimo lygis augs. Tačiau neturėtumėte stengtis gauti kuo daugiau balų, nes tai gali sukelti problemų dirbant su svetaine. Dešinėje pusėje matome „Mūsų svetainės saugumo diagramą“.

Nustatymai

Administratoriai

WP pasirinktinis pavadinimas

Diegimo metu „WordPress“ automatiškai administratoriui priskiria vartotojo vardą „admin“ (nebent jį pakeisite rankiniu būdu). Daugelis įsilaužėlių bando pasinaudoti šia informacija, taikydami žiaurios jėgos ataką, kurios metu jie sistemingai atspėja slaptažodį naudodami žodį „admin“ kaip vartotojo vardą. Todėl rekomenduojama jį pakeisti į bet kurį kitą.

Rodomas pavadinimas

Kai publikuojate įrašą arba atsakote į komentarą, „WordPress“ paprastai rodo jūsų „slapyvardį“. Pagal numatytuosius nustatymus vartotojo rodomas vardas sutampa su prisijungimo prie paskyros vardu. Saugumo sumetimais rekomenduojama jį pakeisti, kad niekas negalėtų sužinoti, kokiu prisijungimu esate įgaliotas.

Slaptažodis

Blogas slaptažodis yra labiausiai paplitęs pažeidžiamumas daugumoje svetainių ir paprastai pirmas dalykas, kurį įsilaužėlis padarys, kad įsilaužtų į svetainę, yra bandymas atspėti slaptažodį. AT šį skyrių galite patikrinti naudojamo slaptažodžio stiprumą. Jei įsilaužėlis paima jūsų slaptažodį, čia galite apskaičiuoti laiką, kurį jis praleis.

Autorizacija

Vienas iš dažniausiai įsilaužėlių naudojamų būdų patekti į svetainę yra žiaurios jėgos ataka. Tai yra kelių bandymų prisijungti atspėjant slaptažodžius pavadinimas. Be patikimų slaptažodžių pasirinkimo, IP adresų, susijusių su pasikartojančiais nesėkmingais prisijungimo bandymais per trumpą laiką stebėjimas ir blokavimas, prisijungimo bandymų skaičiaus blokavimas ir tokių bandymų laiko ribojimas yra labai veiksmingas būdas kovoti su tokio tipo atakomis. .

Autorizacijos blokavimas

Įgalinkite parinktis blokuoti bandymus suteikti įgaliojimą. Uždedame varnelę.
Leisti atrakinti užklausas. Nelabai suprantu, ką reiškia ši funkcija. Aš jo neįjungiau.
Maksimalus bandymų prisijungti skaičius. Nustatykite vertę maksimalus skaičius prisijungimo bandymai, po kurių IP adresas bus užblokuotas. Pagal nutylėjimą palikau tris bandymus.
Bandymų suteikti autorizaciją laiko limitas (minutės). Numatytoji vertė yra penkios minutės. Tris bandymus iš ankstesnės pastraipos vartotojas bus uždraustas, jei bandymai bus atlikti per čia nurodytą laikotarpį.
Blokavimo laikotarpis (minutės). Nurodykite laikotarpį, kuriam IP adresai bus blokuojami
Rodyti autorizacijos klaidų pranešimus. Pažymėkite šią parinktį, jei norite, kad nesėkmingai bandant prisijungti būtų rodomas klaidos pranešimas. Aš jo neuždėjau. Užpuolikui nereikia gauti informacijos apie klaidas.
Nedelsdami užblokuokite netinkamus vartotojo vardus. Šios parinkties neįjungiau dėl to, kad pats galiu neteisingai įvesti prisijungimą ir būsiu užblokuotas valandai. Kiti taip pat gali klysti.
Akimirksniu užblokuokite konkrečius vartotojo vardus. Momentinis konkrečių vartotojų blokavimas. Dažniausiai jie bando nulaužti prisijungimus „adminas“ ir „administratorius“. Todėl, jei jų nenaudojate, galite įtraukti juos į sąrašą.
Pranešti el. paštu. Jei blogai lankotės svetainėje, galite pažymėti langelį. Priešingu atveju galite būti bombarduojami šiais pranešimais.

Rodomi nesėkmingų bandymų prisijungti prie jūsų svetainės įrašai. Toliau pateikta informacija gali būti naudinga, jei reikia ištirti autorizavimo bandymus – joje rodomas IP diapazonas, vartotojo vardas ir ID (jei yra) ir nesėkmingo bandymo prisijungti laikas / data.

Automatinio vartotojo išregistravimo parinktys

Administravimo seanso galiojimo laiko nustatymas yra paprastas būdas apsisaugoti nuo neteisėtos prieigos prie jūsų svetainės iš jūsų kompiuterio. Ši parinktis leidžia nustatyti laikotarpį, kuriam pasibaigus administratoriaus sesija baigsis ir vartotojas turės vėl prisijungti.

Įgalinti automatinį atsijungimą. Pažymėkite šią parinktį, jei norite automatiškai nutraukti vartotojo prisijungimo seansą po to tam tikras laikotarpis laikas. Pažymėkite langelį, jei jo reikia. Manau, jei tik ateisi iš savo namų kompiuteris– Tai nereikalinga.
Atsijungti naudotojui per. Praėjus šiam laikotarpiui, vartotojas bus automatiškai atjungtas.

Tai rodo jūsų svetainės administratorių veiklą. Toliau pateikta informacija gali būti naudinga, jei atliekate naudotojų tyrimą, nes joje bus rodomi paskutiniai 50 prisijungimo įvykių su vartotojo vardu, IP adresu ir prisijungimo laiku.

Visi vartotojai, kurie yra Šis momentasįgaliota jūsų svetainėje. Jei įtariate, kad sistema turi aktyvus vartotojas, kurių ten neturėtų būti, galite juos užblokuoti patikrinę jų IP adresą toliau pateiktame sąraše ir įtraukę juos į juodąjį sąrašą.

Vartotojo registracija

Rankinis patvirtinimas

Jei jūsų svetainė leidžia žmonėms susikurti savo paskyras naudojant „WordPress“ registracijos formą, galite sumažinti SPAM ir netikrų registracijų skaičių rankiniu būdu patvirtindami kiekvieną registraciją. Ši funkcija automatiškai pažymi naujas registracijos paskyras kaip „laukiančias“, kol administratorius jas suaktyvins. Tokiu atveju nepageidaujami užsiregistravę asmenys negali prisijungti be jūsų patvirtinimo. Žemiau esančioje patogioje lentelėje galite matyti visas neseniai registruotas paskyras, taip pat galite aktyvuoti, išjungti arba ištrinti kelias paskyras vienu metu.

Suaktyvinkite naujų registracijų patvirtinimą rankiniu būdu. Pažymėkite šį laukelį, jei norite, kad visos naujos paskyros būtų automatiškai sukurtos neaktyvios ir galite jas patvirtinti rankiniu būdu.

Captca registracijos metu

Ši funkcija leidžia puslapyje pridėti CAPTCHA lauką WordPress registracija. Be to, vartotojai, kurie bando užsiregistruoti, turi atsakyti į paprastą matematikos klausimą. Jei atsakymas neteisingas, papildinys neleis jiems užsiregistruoti. Kadangi jau turiu įdiegtą captcha iš Google, šios funkcijos nesuaktyvinau.

Duomenų bazės apsauga

Duomenų bazės atsarginė kopija

Įgalinti automatines atsargines kopijas. Įjunkite šį žymimąjį laukelį, kad sistema automatiškai sukurtų suplanuotas duomenų bazės atsargines kopijas.
Atsarginės kopijos dažnis. Priklauso nuo jūsų įtarumo ir svetainės atnaujinimo dažnumo. Duomenų bazės kopijos kūrimą nustatau kartą per savaitę.
Atsarginių kopijų, kurias reikia saugoti, skaičius. Šiame lauke nurodykite atsarginių kopijų, kurios turi būti saugomos papildinio atsarginių kopijų kataloge, skaičių. Palikau numatytąją reikšmę – dvi kopijas.
Atsarginę kopiją siųskite el. Įjunkite šį žymimąjį laukelį, jei norite gauti atsarginę duomenų bazės kopiją į savo el. Rekomenduoju jį įjungti.

Failų sistemos apsauga

Prieiga prie failų

„WordPress“ failų ir aplankų skaitymo / rašymo leidimo parametrai, leidžiantys valdyti prieigą prie tų failų. At pradinis įrengimas„WordPress“ automatiškai priskiria pagrįstas prieigos teises Failų sistema. Tačiau kartais žmonės ar įskiepiai pakeičia tam tikrų katalogų ir failų leidimus, taip sumažindami savo svetainės saugumo lygį, nustatydami netinkamus leidimus. Ši parinktis nuskaito visus svarbius pagrindinius „WordPress“ katalogus ir failus bei paryškina visus nesaugius nustatymus.

PHP failų redagavimas

Pagal numatytuosius nustatymus „WordPress“ administratoriaus skydelyje galite redaguoti papildinių ir temų PHP failus. Tai pirmoji pagalba įsilaužėliui, kuris gauna prieigą prie administratoriaus konsolės, suteikdamas jam galimybę vykdyti bet kokį kodą jūsų serveryje.
Ši parinktis išjungia galimybę redaguoti failus iš administratoriaus skydelio.

Išjungti galimybę redaguoti PHP failus. Pažymėkite šį laukelį, kad išjungtumėte PHP failų redagavimą iš „WordPress“ administratoriaus skydelio.

Mano nuomone, tai nėra labai naudinga funkcija. Galų gale, tas pats įsilaužėlis gali panaikinti varnelę tame pačiame papildinyje, jei gaus prieigą prie jūsų administratoriaus profilio. Dėl to patirsite nepatogumų, nes norėdami įvesti to paties skaitiklio kodą, turėsite eiti į hostingą.

Prieiga prie WP failų

Ši parinktis uždraus prieigą prie tokių failų kaip readme.html, licence.txt ir wp-config-sample.php, kurie yra sukurti diegiant WordPress ir nekelia sistemos apkrovos, tačiau apribojus prieigą prie šių failų galėsite kad paslėptumėte svarbią informaciją nuo įsilaužėlių.informacija (pvz., „WordPress“ versija).

Diegiant „WordPress“ uždrausti prieigą prie informacijos failų, sukurtų pagal numatytuosius nustatymus. Pažymėkite šį žymimąjį laukelį.

Sistemos žurnalai

Jūsų serveris gali periodiškai skelbti klaidų ataskaitas specialiuose failuose, vadinamuose „error_log“. Atsižvelgiant į klaidos pobūdį ir priežastį, jūsų serveris gali sukurti kelis žurnalo failus skirtinguose „WordPress“ diegimo kataloguose. Kartkartėmis peržiūrėdami šiuos žurnalus sužinosite apie visas pagrindines svetainės problemas ir galėsite jas išspręsti naudodami šią informaciją.

WHOIS paieška

Ši funkcija leidžia gauti išsamios informacijos apie IP adresą arba domeną. Patogi funkcija, nes jums bus įdomu sužinoti informaciją apie įsibrovėlių adresus. Ieškant tokių paslaugų nereikia naršyti internete.

Funkcija „Juodasis sąrašas“ leidžia blokuoti tam tikrus IP adresus, diapazonus ir vartotojų agentus, neleidžiant patekti į svetainę tiems vartotojams ir robotams, kurie naudojo šiuos IP adresus šiukšlių siuntimui ar dėl kitų priežasčių. Ši funkcija įgyvendinama pridedant tam tikras taisykles prie .htaccess failo.

Išlaikyti juodąjį sąrašą. Pažymėkite šį langelį, jei norite uždrausti nurodytus IP adresus arba vartotojo agentus.
Įveskite IP adresus. Kiekvienas adresas naujoje eilutėje.
Įveskite vartotojo agentų pavadinimus. Įrašykite kiekvieną vartotojo agentą atskiroje eilutėje.

Kad galėtumėte įjungti šią parinktį ir gauti 15 saugos taškų, turite įvesti bent vieną IP adresą arba vartotojo agentą.

ugniasienė

Pagrindinės ugniasienės taisyklės

Šio skirtuko parinktys leidžia svetainėje taikyti kai kurias pagrindines saugos taisykles. Ši ugniasienės funkcija pasiekiama į .htaccess failą įtraukus keletą specialių direktyvų. Šių parinkčių įjungimas neturėtų turėti įtakos bendram svetainės funkcionalumui, bet jei norite, prieš įjungdami šiuos nustatymus galite sukurti atsarginę .htaccess failo kopiją.

Suaktyvinkite pagrindines ugniasienės funkcijas. Pažymėkite šį langelį, kad įgalintumėte pagrindines užkardos funkcijas savo svetainėje. Rekomenduoju įdėti.

Ši parinktis jūsų svetainėje paleis šį pagrindinį apsaugos mechanizmą:

Apsaugokite htaccess failą nuo neteisėtos prieigos.
Išjungs serverio parašą atsakant į užklausas.
Apribokite įkeltų failų dydį iki 10 Mb.
Apsaugos jūsų wp-config.php failą nuo neteisėtos prieigos.

Pirmiau nurodyta funkcija bus pasiekiama į .htaccess failą įtraukus tam tikras direktyvas ir neturėtų turėti įtakos bendram jūsų svetainės našumui. Tačiau siekiant užtikrinti saugumą, pirmiausia verta sukurti atsarginę .htaccess failo kopiją.

„WordPress XMLRPC“ ir „Pingback“ pažeidžiamumo apsauga

Visiškai blokuoti prieigą prie XMLRPC. Rekomenduoju įdėti. Viena iš mano svetainių buvo iš naujo įkelta su tokiais prašymais, o prieglobos serveris mane užpuolė skundais dėl serverio perkrovos.

Ši funkcija reikalinga tiems, kurie savo tinklaraščio įrašus skelbia ir redaguoja išmaniaisiais telefonais. Jei jums to nereikia, drąsiai išjunkite. Taigi užpuolikas negalės:

Perkraukite serverį užklausomis ir taip jį išjunkite (DoS ataka).
Nulaužti vidinius maršrutizatorius.
Nuskaitykite vidinio tinklo prievadus, kad gautumėte informaciją iš įvairių serverio prieglobų.

Ši parinktis ne tik padidins svetainės saugumą, bet ir gali žymiai sumažinti serverio apkrovą, ypač jei svetainė sulaukia daug nepageidaujamo srauto, nukreipto į XML-RPC API.

Išjungti „Pingback“ funkciją iš XMLRPC. Pažymėkite varnelę. Pingback apsauga.

Blokuoti prieigą prie derinimo žurnalo failo

Blokuoti prieigą prie failo debug.log. Blokuojama prieiga prie derinimo žurnalo failo. Pažymėkite langelį.

Papildomos ugniasienės taisyklės

Šiame skirtuke galite suaktyvinti papildomus ugniasienės nustatymus, kad apsaugotumėte svetainę. Šios parinktys įgyvendinamos pridedant konkrečias taisykles prie .htaccess failo. Dėl tam tikrų funkcijų šios taisyklės gali sutrikdyti kai kurių įskiepių funkcionalumą, todėl prieš įjungiant rekomenduojama pasidaryti atsarginę .htaccess failo kopiją.

Katalogų turinio peržiūra. Įjunkite šį žymimąjį laukelį, kad neleistumėte nemokamo svetainės katalogų naršymo. Kad ši funkcija veiktų, direktyva „AllowOverride“ turi būti įtraukta į jūsų httpd.conf failą. Jei neturite prieigos prie httpd.conf failo, susisiekite su prieglobos paslaugų teikėju.
HTTP sekimas. Pažymėkite šį žymimąjį laukelį, kad apsaugotumėte nuo HTTP sekimo. HTTP sekimu pagrįstos atakos (cross-site tracing arba XST) naudojamos norint išgauti informaciją iš serverio grąžinamų http antraščių ir pavogti slapukus bei kitą informaciją. Ši įsilaužimo technika dažniausiai naudojama kartu su kryžminiu scenarijumi (XSS). Ši parinktis skirta apsisaugoti nuo tokio tipo atakų.
Išjungti komentarus per tarpinį serverį. Pažymėkite šį langelį, kad išjungtumėte komentavimą per tarpinį serverį. Išjungti kenkėjiškas eilutes užklausose. Ši parinktis skirta apsaugoti nuo kenkėjiško kodo įvedimo XSS atakų metu. ĮSPĖJIMAS: kai kurios užblokuotos eilutės gali būti naudojamos kai kuriuose papildiniuose arba jūsų temoje, todėl ši parinktis gali sutrikdyti jų funkcionalumą. Prieš nustatydami šią parinktį, būtinai sukurkite atsarginę .htaccess kopiją.
Užkirsti kelią kenkėjiškoms eilutėms užklausose. Ši parinktis skirta apsaugoti nuo kenkėjiško kodo įvedimo XSS atakų metu. ĮSPĖJIMAS: kai kurios užblokuotos eilutės gali būti naudojamos kai kuriuose papildiniuose arba jūsų temoje, todėl ši parinktis gali sutrikdyti jų funkcionalumą. BŪTINAI SUKURITE .HTACCESS FAILO atsarginę kopiją.
Įjunkite papildomą simbolių filtravimą. Tai papildomas simbolių filtravimas, skirtas blokuoti kenkėjiškas komandas, naudojamas XSS (kryžminio scenarijaus) atakose. Ši parinktis užfiksuoja įprastus kenkėjiškų programų pavyzdžius ir išnaudojimus bei grąžins užpuolikui 403 (prieiga uždrausta) klaidos pranešimą. ĮSPĖJIMAS: kai kurios šių nustatymų direktyvos gali sutrikdyti svetainės funkcionalumą (tai priklauso nuo prieglobos paslaugų teikėjo). BŪTINAI SUKURITE .HTACCESS FAILO atsarginę kopiją.

6G juodojo sąrašo ugniasienės taisyklės

Įgalinkite šias parinktis, jei norite:

Draudžiamų simbolių, dažniausiai naudojamų įsilaužėlių atakose, blokavimas.
Blokuoti kenkėjiškų URL užkoduotas eilutes, pvz., „.css“ ir kt.
Apsauga nuo įprastų kenkėjiškų kodų šablonų ir specifinių išnaudojimų (komandų sekų, kurios išnaudoja žinomus pažeidžiamumus) URL adresuose.
Draudžiamų simbolių blokavimas užklausos parametruose.

Įjunkite 6G ugniasienės apsaugą. Ši parinktis įgalins 6G apsaugą jūsų svetainėje.

Įgalinkite senąją 5G ugniasienės apsaugą. Ši parinktis įgalins 5G apsaugą jūsų svetainėje.

Interneto robotai

Blokuoti netikrus Googlebotus. Pažymėkite šį laukelį, jei norite užblokuoti visus netikrus „Googlebot“.

Ši funkcija patikrina, ar lauke yra Vartotojo atstovas informacijos eilutė „Googlebot“. Šiuo atveju funkcija atlieka kelis testus, kad įsitikintų, jog tai tikrai „Google“ robotas. Jei taip, tai leidžia robotui toliau dirbti. Su šia funkcija elkitės atsargiai, kad įvykus klaidai nekiltų indeksavimo problemų.

Užkirsti kelią karštosioms nuorodoms

Karštoji nuoroda – kai kas nors savo svetainėje rodo vaizdą, kuris iš tikrųjų yra jūsų svetainėje, naudodamas tiesioginę nuorodą į vaizdo šaltinį jūsų serveryje. Kadangi vaizdas, rodomas kitoje svetainėje, pateikiamas iš jūsų svetainės, galite prarasti greitį ir prarasti išteklius, nes jūsų serveris turi perduoti šią nuotrauką žmonėms, kurie jį mato kitoje svetainėje. Ši funkcija apsaugo nuo tiesioginių karštųjų nuorodų į vaizdus iš jūsų puslapių, pridėdama keletą instrukcijų prie .htaccess failo.

Užkirsti kelią vaizdų karštosioms nuorodoms. Pažymėkite šį langelį, kad šios svetainės vaizdai nebūtų naudojami kitų svetainių puslapiuose (karštosios nuorodos).

404 aptikimas

404 arba „Puslapis nerastas“ klaida įvyksta, kai kas nors pateikia užklausą dėl puslapio, kurio nėra jūsų svetainėje. Dauguma 404 klaidų įvyksta, kai lankytojas įrašo puslapio su klaida URL arba naudoja seną nuorodą į puslapį, kurio nebėra. Tačiau kartais iš to paties IP adreso galima pastebėti daugybę 404 klaidų iš eilės per gana trumpą laiką, kai puslapio URL užklausos neegzistuoja. Toks elgesys gali reikšti, kad įsilaužėlis bando rasti kokį nors specialų puslapį arba URL, turėdamas kenkėjiškų ketinimų.

Įgalinti 404 IP aptikimą ir blokavimą. Pažymėkite šį langelį, jei norite uždrausti nurodytus IP adresus.
Blokavimo laikotarpis dėl 404 klaidų (minutės). Nurodykite laikotarpį, kuriam IP adresai bus blokuojami.
Peradresuoti URL dėl 404 klaidos. Užblokuotas lankytojas bus automatiškai nukreiptas į jūsų nurodytą URL.

Galite užblokuoti bet kokius IP adresus, įrašytus toliau esančioje lentelėje „404 klaidų žurnalai“. Norėdami užblokuoti IP adresą, užveskite pelės žymeklį ant ID stulpelio ir spustelėkite atitinkamo IP adreso nuorodą Blokuoti laikinai.

įprastų taisyklių

Htaccess faile galite nustatyti papildomas taisykles. Mes nieko neliečiame.

Apsauga nuo žiaurios jėgos atakų

Pervardykite prisijungimo puslapį

Veiksminga priemonė apsisaugoti nuo slaptažodžio brutalios jėgos yra prisijungimo puslapio adreso keitimas. Paprastai, norėdami prisijungti prie „WordPress“, įvedate bazinį svetainės adresą, po kurio – wp-login.php (arba wp-admin).

Įgalinti prisijungimo puslapio pervadinimo parinktį. Pažymėkite langelį, jei norite įjungti prisijungimo puslapio pervadinimo funkciją.
Prisijungimo puslapio adresas (URL).. Nurodykite naujas būdas pas admin.

Brute force apsauga su sausainiais

Suaktyvinkite apsaugą nuo brutalios jėgos atakų. Ši funkcija neleis prieiti prie jūsų prisijungimo puslapio bet kuriam vartotojui, kurio naršyklėje nėra specialaus slapuko.
Slaptas žodis. Įveskite slaptą žodį, sudarytą iš raidinių ir skaitmeninių simbolių (lotyniškų raidžių), kurį bus sunku atspėti. Šis žodis bus naudojamas norint sukurti specialų URL, kad galėtumėte pasiekti prisijungimo puslapį (žr. kitą pastraipą).
Peradresuoti URL. Įveskite URL, į kurį įsilaužėlis bus nukreiptas, kai bandys pasiekti jūsų prisijungimo formą. Galite parodyti savo vaizduotę ir nukreipti įsilaužėlius, pavyzdžiui, į CŽV arba FSB svetainę.
Mano svetainėje yra pranešimų ar puslapių, kurie yra apsaugoti integruota „WordPress“ turinio slaptažodžio apsaugos funkcija. Jei slaptažodžiu apsaugote savo įrašus ir puslapius naudodami atitinkamą integruotą „WordPress“ funkciją, į .htaccess failą reikia įtraukti keletą papildomų direktyvų. Įjungus šią parinktį į .htaccess failą bus įtrauktos būtinos taisyklės, kad žmonės, bandantys pasiekti šiuos puslapius, nebūtų automatiškai blokuojami.
Šioje svetainėje yra tema arba papildinys, kuris naudoja AJAX. Pažymėkite langelį, jei jūsų svetainė naudoja AJAX funkciją.

Captcha prisijungimui

Ši funkcija leidžia „WordPress“ prisijungimo puslapyje pridėti CAPTCHA lauką.

Įjungti CAPTCHA prisijungimo puslapyje. Pažymėkite šį žymimąjį laukelį, jei norite pridėti CAPTCHA į savo svetainės prisijungimo puslapį.
Suaktyvinkite CAPTCHA formą pakeistame prisijungimo puslapyje. Pažymėkite šį langelį norėdami pridėti CAPTCHA prie specialios prisijungimo formos, kurią sugeneruoja funkcija wp_login_form()
Puslapyje „pamestas slaptažodis“ suaktyvinkite CAPTCHA. Pažymėkite šį laukelį, kad slaptažodžio atkūrimo puslapyje pridėtumėte CAPTCHA.

Baltasis prisijungimo sąrašas

„All In One WP Security“ baltojo sąrašo funkcija leidžia apriboti prieigą prie „WordPress“ prisijungimo puslapio iš konkrečių adresų ar IP diapazonų. Pridėkite į baltąjį sąrašą įtrauktų IP adresų arba IP diapazonų sąrašą. Visi kiti adresai bus užblokuoti, kai tik jie bandys atidaryti prisijungimo puslapį.

Statinė su medumi (medaus puodas)

Ši funkcija leidžia prisijungimo puslapyje pridėti specialų, paslėptą „medaus puodo“ laukelį. Tai bus matoma tik robotams. Nes robotai paprastai užpildo visus prisijungimo formos laukus, jie taip pat atsiųs tam tikrą vertę specialiame, paslėptame medaus puodo laukelyje. Todėl, jei įskiepis pamatys, kad šis laukas užpildytas, robotas, bandantis prisijungti prie jūsų svetainės, bus nukreiptas į savo adresą, būtent http://127.0.0.1.

Suaktyvinkite medaus puodą prisijungimo puslapyje. Pažymėkite šį žymimąjį laukelį, kad prisijungimo puslapyje įjungtumėte medaus puodo funkciją.

Apsauga nuo SPAM

Šlamštas komentaruose

Suaktyvinkite CAPTCHA komentarų formose. Pažymėkite šį laukelį, jei norite į komentaro formą įterpti CAPTCHA lauką.
Blokuoti šlamšto robotus, kad jie negalėtų komentuoti. Pažymėkite šį langelį, jei norite įgalinti užkardos taisykles blokuoti komentarus iš šiukšlių. Ši funkcija sukurs užkardos taisyklę, kuri blokuos bandymus rašyti komentarą, jei užklausa nebus gauta iš jūsų domeno puslapio. Sąžiningą komentarą visada pateikia asmuo, kuris užpildo komentaro formą ir paspaudžia mygtuką pateikti. Tokiu atveju lauke HTTP_REFERRER visada yra reikšmė, kuri nurodo jūsų domeną. Komentaras iš šlamšto roboto nedelsiant siunčiamas užklausa į comments.php failą, o tai paprastai reiškia, kad HTTP_REFERRER laukas gali būti tuščias arba nurodo kieno nors kito domeną. Ši funkcija tikrina ir blokuoja komentarus, kurie atkeliavo ne iš jūsų domeno. Tai labai sumažina bendrą SPAM ir PHP užklausų skaičių jūsų serveriui apdorojant šiukšlių užklausas.

Komentarų šlamšto IP adresų stebėjimas

Akismet papildinys turi būti įdiegtas.

Įgalinti automatinį SPAM komentarų IP blokavimą. Nustatykite automatiškai blokuoti IP adresus, iš kurių komentaruose ateina vpam.
Minimalus SPAM komentarų skaičius. Nurodykite minimalų šlamšto komentarų skaičių vienam IP adresui, po kurio jis bus užblokuotas.
Minimalus nepageidaujamo pašto komentarų skaičius viename IP. Ši informacija gali būti naudinga nustatant IP adresus arba IP diapazonus, kuriuos dažniausiai naudoja šiukšlių siuntėjai. Šios informacijos analizė leis greitai nustatyti, kurie adresai ar diapazonai turėtų būti užblokuoti, įtraukiant juos į juodąjį sąrašą.

BuddyPress

Ši funkcija pridės paprastą matematikos CAPTCHA į BuddyPress registracijos formą. CAPTCHA lauko įtraukimas į registracijos formą yra paprastas būdas žymiai sumažinti robotų registruojamų šiukšlių skaičių, nekeičiant .htaccess failo taisyklių.

Skaitytuvas

Suaktyvinkite automatinį failų pakeitimų nuskaitymą. Įjunkite šį žymimąjį laukelį, kad sistema automatiškai patikrintų, ar failuose nėra pakeitimų pagal toliau nurodytus nustatymus.
Skenavimo dažnis. Nurodykite nuskaitymo dažnį.
Ignoruoti šių tipų failus. Pirmiausia įveskite vaizdo failus, kurie gali dažnai keistis nepažeidžiant svetainės saugumo: jpg, jpeg, png, bmp.
Nepaisykite tam tikrų failų ir aplankų. Pirmiausia nurodykite aplanką su talpykla.

Priežiūros režimas

Ši parinktis leidžia įjungti svetainę į priežiūros režimą, todėl lankytojai, išskyrus administratorius, negalės peržiūrėti svetainės. Tai gali būti labai naudinga, jei ką nors koreguojate, keičiate dizainą, tikrinate papildinius ir pan. ir tt

Įvairūs

Įjunkite apsaugą nuo kopijavimo. Įjunkite šią parinktį, jei norite išjungti dešiniojo spustelėjimo, žymėjimo teksto ir kopijavimo funkcijas viešieji puslapiai jūsų svetainę.
Suaktyvinkite „iframe“ apsaugą. Pažymėkite, ar norite neleisti, kad kitose svetainėse jūsų turinys būtų rodomas rėmelyje arba „iframe“.
Išjungti vartotojų sąrašą. Ši funkcija leidžia neleisti vartotojams / robotams gauti naudotojo informacijos, pvz., „/?Author=1“. Kai įjungta, ši funkcija parodys klaidą, o ne pateiks vartotojo informaciją.

Įvertinkite straipsnį

Viskas viename WP saugos ir ugniasienės papildinys, skirtas „WordPress“.

4,3 (86,67%) 3 balsai

Tik apie kompleksą. Programos. Geležis. Internetas. Windows

Įdiegę ir konfigūruodami papildinį „All In One WP Security. „iThemes Security“ papildinys (geresnė WP sauga) yra efektyviausias būdas apsaugoti „WordPress“. Išsamios instrukcijos wp saugos papildinys

Apriboti prisijungimo bandymus

ugniasienė

Pakeitimų ir veiksmų žurnalas

Pagrindinio kompiuterio blokavimas

Galutinis papildinių palyginimas

Svarbu

Papildinio diegimas

Kontrolės skydelis

Valdymo skydo skirtukas

Administratoriai

WP pasirinktinis pavadinimas

Slaptažodis

Rodomas pavadinimas

Nustatymai

Bendrieji nustatymai

.htaccess ir wp-config.php

Informacija apie WP versiją

Importas eksportas

pažangūs nustatymai

Autorizacija

Autorizacijos blokavimas

Nepavyko prisijungti

Automatinis vartotojų atsijungimas

Paskyros veiklos žurnalas

Aktyvūs užsiėmimai

Vartotojo registracija

Rankinis patvirtinimas

CAPTCHA registruojantis

Registracija Honeypot

Duomenų bazės apsauga

Duomenų bazės atsarginė kopija

DB lentelės priešdėlis

Failų sistemos apsauga

Prieiga prie failų

PHP failų redagavimas

Prieiga prie WP failų

Sistemos žurnalai

WHOIS paieška

Juodasis sąrašas

ugniasienė

Pagrindinės ugniasienės taisyklės

Papildomos ugniasienės taisyklės

6G juodojo sąrašo ugniasienės taisyklės

Interneto robotai

Užkirsti kelią karštosioms nuorodoms

404 aptikimas

Individualizuotos taisyklės

Apsauga nuo žiaurios jėgos atakų

Pervardykite prisijungimo puslapį

Brute force apsauga su sausainiais

CAPTCHA prisijungimui

Baltasis prisijungimo sąrašas

Statinė su medumi (Honeypot)

Apsauga nuo SPAM

Šlamštas komentaruose

Komentarų šlamšto IP adresų stebėjimas

BuddyPress ir BBPress

Skaitytuvas

Stebėkite failų pakeitimus

Kenkėjiškų programų nuskaitymas

Įvairūs

Apsauga nuo kopijavimo

Rėmeliai

Vartotojų išvardijimas

„Viskas viename“ WP saugos papildinio konfigūravimas

Kontrolės skydelis

Nustatymai

Administratoriai

Autorizacija

vartotojo registracija

Duomenų bazės apsauga

Failų sistemos apsauga

WHOIS paieška

Juodasis sąrašas

ugniasienė

Apsauga nuo žiaurios jėgos atakų

Apsauga nuo SPAM

Priežiūros režimas