Každý, kto sa prvýkrát stretáva so zabezpečením stránok, rozmýšľa nad tým, aký plugin si na tento účel nainštalovať a nakonfigurovať.
Výber nie je malý. Ak do vyhľadávacieho poľa doplnku napíšete „Zabezpečenie“, výsledok bude dosť dlhý.
V každom prípade sa oplatí držať sa tých najobľúbenejších, aktívne udržiavaných a samozrejme tých, ktoré si zaslúžia najviac hodnotení.
V tejto recenzii som sa rozhodol nainštalovať 4 bezpečnostné doplnky WordPress a zistiť, ktorý z nich je pre bežného používateľa najlepší:
Prvá trojica ponúka aj prémiovú funkcionalitu, tú však do recenzie nezaradím.
Možno v profesionáli nie sú žiadne také funkcie, bez ktorých by ste nemohli žiť, alebo ktoré nemôžete nahradiť bezplatnou alternatívou.
Všimnite si, že to tak nie je podrobný prehľad všetky funkcie, rýchlosť kódu alebo požiadavky. Ide o rozbor základnej funkcionality bezpečnostných nastavení a úrovne práce s nimi.
Obmedzte pokusy o prihlásenie
- Zabezpečenie Wordfence
Volá sa možnosť povoliť ochranu autentifikácie Povoliť zabezpečenie prihlásenia. Bohužiaľ, plugin nie je preložený do ruštiny.
V spodnej časti stránky je blok nastavení: počet pokusov o prihlásenie, čas pre účtovanie, čas blokovania a množstvo ďalších možností.
- Zabezpečenie iThemes
Modul ochrany prihlásenia sa nachádza v sekcii Miestna ochrana hrubou silou. Používatelia tohto pluginu majú trochu viac šťastia s ruskou lokalizáciou.
Hneď nižšie môžete povoliť modul ochrany siete Ochrana siete hrubou silou. Ak to chcete urobiť, musíte požiadať o kľúč API a zoznam zákazov bude automaticky obsahovať adresy, ktoré sa už pokúsili hacknúť stránky iných ľudí.
- zabezpečenie štítom
Ochrana prihlásenia je na karte Ochrana prihlásenia. Existuje preklad do ruštiny a vo všeobecnosti chcem poznamenať veľmi príjemné a logické rozhranie.
Môžete si tiež všimnúť, že tu môžete použiť reCAPTCHA, nastaviť dvojfaktorovú autentifikáciu, premenovať prihlasovaciu stránku wp-login.php a dokonca aj odkazovať na Yubikey.
- Všetko v jednom zabezpečení WP
Blok nastavení na ochranu pred hrubou silou sa nachádza na stránke prihlásenie užívateľa. Neexistuje žiadny hotový preklad. Možnosti sú podobné podobným modulom iných doplnkov.
Na susedných kartách si môžete pozrieť denníky udalostí.
POŽARNE DVERE
- Wordfence
Firewall je jedným z hlavných funkčných modulov doplnku WordFence. Existujú dva režimy Basic a Extended. Ten vám umožňuje zablokovať niektoré útoky ešte pred spustením WordPress, ale vyžaduje si hlbšie pochopenie nastavení servera.
V bezplatnej (komunitnej) verzii sa pravidlá blokovania aktualizujú 30 dní po ich pridaní do profesionála.
- Zabezpečenie iThemes
Tento plugin neobsahuje firewall. A odporúča iThemes používať službu Firewall webových stránok Sucuri(za poplatok).
- zabezpečenie štítom
V nastaveniach tohto pluginu sa nezmýlite, karta Firewall je na viditeľnom mieste. Vo všeobecnosti sa odporúča povoliť všetky možnosti.
- Všetko v jednom zabezpečení WP
Blokovacia stránka vyzerá objemne, pretože funkcie sú rozdelené na karty. Miesto je obsadené ikonami pomoci a úrovne ochrany (hoci prečo sú potrebné tie druhé). Možností je málo, dajú sa zapnúť podľa potreby.
Záznam zmien a akcií
- Wordfence
Na stránke je možné povoliť automatické skenovanie možnosti v kroku Povoliť automatické plánované kontroly a nezabudnite uviesť hneď pod e-mailom ( Kam posielať upozornenia e-mailom).
Wordfence vám dáva veľkú kontrolu nad tým, čo skenovať, ako a kedy odoslať správu.
- Zabezpečenie iThemes
Funkcionalita monitora je v bloku Detekcia zmeny súboru.
Skenovanie prebieha po častiach. Môžete vylúčiť určité súbory, priečinky alebo typy súborov.
Na karte základné nastavenia môžete tiež povoliť a nakonfigurovať upozornenia, keď sú hostitelia alebo používatelia zablokovaní.
- zabezpečenie štítom
Skenovanie zmien a denník aktivít možno konfigurovať v dvoch častiach: Ochrana proti hackerom a Audit Trail.
Prvý modul je nakonfigurovaný tak, aby skenoval integritu súborov a opravoval ich, ako aj skener nerozpoznaných súborov.
Modul Audit Trail sleduje a odosiela správy o rôznych udalostiach vo WordPress (aktivita súvisiaca s doplnkami a témami, akcie v používateľských účtoch, úprava a publikovanie príspevkov atď.).
- Všetko v jednom zabezpečení WP
Modul sledovania zmien je na stránke Skener. Tam môžete manuálne skenovať alebo nastaviť plán.
Na záver, máme dvoch víťazov v monitorovaní zmien a zaznamenávaní akcií: Wordfence a zabezpečenie štítom. V závislosti od úlohy.
Stojí za zmienku, že skenovanie súborového systému je pomerne intenzívny proces, takže ho musíte povoliť a nakonfigurovať múdro.
Blokovanie hostiteľa
- Wordfence
Wordfence poskytuje flexibilný nástroj na blokovanie používateľov.
Môžete nastaviť množstvo podmienok, za ktorých dôjde k blokovaniu.
IP môžete zablokovať manuálne. Alebo použite pokročilejšie metódy: rozsah blokov, používateľský agent atď. Funkcia blokovania krajiny je dostupná v prémiovej verzii.
- Zabezpečenie iThemes
Funkcionalita je na karte Blokovaní používatelia. Môžete povoliť zoznam zákazov zo stránky HackRepair.com a zakázať prístup jednotlivým hostiteľom alebo užívateľským agentom.
- zabezpečenie štítom
Zoznam sa zostavuje automaticky, jeho nastavenie a povolenie nájdete v module IP manažér. Neexistuje žiadne manuálne pridávanie.
- Všetko v jednom zabezpečení WP
Používateľské IP adresy a používateľských agentov možno na stránke manuálne zablokovať Správca čiernej listiny.
Výhercovia blokovania môžu byť volaní Wordfence pre flexibilitu konfigurácie podmienok blokovania a zabezpečenie štítom ak súhlasíte, že sa budete úplne spoliehať automatický systém zámky.
Záverečné porovnanie pluginov
Zohľadňuje sa iba všeobecná základná funkčnosť. Samozrejme, každý ochranný doplnok má množstvo vlastných funkcií. Antispam, zálohovanie databázy, používateľské nastavenia, oprávnenia súborov a adresárov, vypnutie nepotrebnej funkcionality atď. Ale to sú také vedľajšie veci, alebo sa dajú zrealizovať alternatívne riešenia flexibilnejší a sústredenejší.
Moje celkové hodnotenie vychádza z funkčnosti a použiteľnosti nasledujúcich modulov:
- Ochrana vstupu;
Zmeniť sledovanie/audit;
Blokovanie hostiteľa;
Najlepšia recenzia bezpečnostného doplnku WordPress rozhodne preberá vedenie Wordfence. Aj keď jeho rozhranie môže na prvý pohľad pôsobiť mätúco. Oficiálna webová stránka má dobrú dokumentáciu (v angličtine).
Veľmi spokojný s recenziou zabezpečenie štítom, Rustikované a prehľadné rozhranie, samozrejme zamerané na používateľov, ktorí sú menej vyškolení alebo sa nechcú ponoriť do všetkých zložitostí nastavení zabezpečenia.
Z dvoch zostávajúcich pluginov by som určite uprednostnil Zabezpečenie iThemes, keby len pre logickejšie a čistejšie rozhranie.
Všetko v jednom zabezpečení WP Nemôžem nazvať zlý plugin, robí svoju prácu. Ale ani v tejto štvorici nie je lídrom. To je len indikátor toho, že pluginy so škálovateľnou prémiovou funkcionalitou sa snažia vo väčšej miere vyhovieť požiadavkám trhu a to sa samozrejme dotýka bezplatných verzií.
Funkčnosť všetkých týchto pluginov je modulárna, t.j. v prípade potreby môžu byť dokonca nakonfigurované tak, aby spolupracovali. No, alebo vylúčte prebytok, nechajte len nevyhnutné.
Ak to robíte múdro, tak k bezpečnosti a jej nastaveniam treba pristupovať individuálne v závislosti od účelu stránky, technickej realizácie a podmienok jej prevádzky.
Ahojte všetci! Bezpečnosť a ešte väčšia bezpečnosť! Ak ste si predtým prečítali článok „“ na mojom blogu, pravdepodobne vás zaujíma dodatočné zabezpečenie vašich stránok. A vôbec, každý adekvátny webmaster by mal milovať a chrániť svoje potomstvo. V tomto článku budem hovoriť o všetkých možnostiach doplnku All In One WP Security a ukážem vám, ako ich správne nakonfigurovať.
Dôležité
Na mojom blogu je séria lekcií "". A ak ste nakonfigurovali zabezpečenie stránky, berúc do úvahy odporúčania z týchto lekcií, uvedomte si, že doplnok All In One WP Security duplikuje funkcie iných doplnkov ochrany. Napríklad funkcie:
- Blokovanie IP po neplatných pokusoch o prihlásenie
- captcha v komentároch
- zmena prihlasovacej stránky v administračnom paneli atď.
Preto nechajte všetko tak, ako je, a neinštalujte doplnok, alebo keď konfigurujete doplnok All In One WP Security, dôkladne analyzujte ochranné funkcie, aby už neduplikovali funkcie nainštalované pluginy. A ak vidíte duplikát, vypnite duplicitný doplnok, aby všetky nastavenia zabezpečenia All In One WP fungovali správne.
Možno sa ma pýtate, prečo som v kurze DIY blogovania odporúčal konfiguráciu zabezpečenia WordPressu prostredníctvom integrácie kódu, samostatných pluginov a podobne? Je to o alternatíve. A mimochodom, pri mojich meraniach rýchlosti načítania a celkového výkonu stránky som si nevšimol rozdiel medzi všetkými odporúčaniami uvedenými v troch častiach lekcie 13 z doplnku All In One WP Security. Sú medzi vami jedinci, ktorí ma nechytia za slovo a budú pokračovať v integrácii kódu do enginu, obísť „ťažké pluginy“, robiť ako viete.
Inštalácia doplnku
Tak poďme na to. Najprv nainštalujte doplnok All In One WP Security a aktivujte ho:
Potom sa na administratívnom paneli stránky zobrazí ponuka doplnkov:
Keď naň umiestnite kurzor myši, zobrazí sa kontextové menu:
Ovládací panel
Myslím si, že je lepšie sa najskôr zoznámiť s ovládacím panelom, na ktorý musíte kliknúť na položku ponuky pluginu v administračnom paneli, alebo prejsť kurzorom myši na „WP Security“ a kliknúť na „Control Panel“. Ďalej uvidíte päť kariet:
Karta Ovládací panel
Spočiatku sa nachádzame na karte "Ovládací panel". Tu môžete vidieť bloky:
- Aktívne sedenia
- Režim údržby
- Posledných 5 prihlásení
- Blokované adresy IP
Merač úrovne zabezpečenia
Tento blok zobrazuje aktuálnu úroveň zabezpečenia na základe všetkých nastavení pluginu:
Meria sa v bodoch, ktoré sa pripočítavajú po aktivácii konkrétneho nastavenia. Čím vyššie je aktuálne skóre bezpečnosti, tým lepšie. Nikdy sa mi však nepodarilo zvýšiť úroveň zabezpečenia na maximálnu hodnotu 505 bodov (verzia pluginu v čase písania tohto článku Verzia 4.3.2). Je to kvôli zbytočným funkciám pre môj blog, ktoré som nezahrnul.
Schéma zabezpečenia vašej stránky
Tento graf zobrazuje všetky aktuálne zmeny v nastaveniach:
Ide o nejaký druh štatistiky, ktorá vám umožňuje rýchlo sa orientovať v stave nastavení.
Blokovať „aktívne relácie“
Tento blok zobrazuje informácie o aktuálnych reláciách v administratívnom paneli stránky:
Blokovanie spravidla zobrazuje upozornenie: "Teraz nie sú žiadni aktívni používatelia okrem vás." Samozrejme, ak na paneli správcu stránky nie sú žiadne ďalšie účty s povolením na prácu a v tomto bloku v skutočnosti vidíte neznámy účet, ide o hackera.
Režim údržby
Veľmi praktická funkcia:
Netvrdím, že režim údržby sa dá povoliť presmerovaním na predtým vytvorenú stránku cez .htaccess, ale plugin už túto možnosť má a výrazne to uľahčuje život napríklad pri údržbe stránky. Okrem toho si môžete prispôsobiť stránku služby podľa svojich predstáv. Ak chcete nastaviť a zapnúť servisný režim, kliknite na tlačidlo "zapnúť / vypnúť". Potom sa dostanete na stránku nastavení režimu údržby. Ak chcete režim povoliť, začiarknite políčko „Povoliť režim údržby“ a uložte nastavenia. Okrem toho si môžete prispôsobiť zobrazený text, vložiť obrázok a podobne. A to sa dá zmeniť v bloku „Zadať správu“.
Tento blok obsahuje informácie o dátume a posledných piatich IP adresách, z ktorých ste vstúpili do oblasti správy stránky:
Tieto informácie sú užitočné nielen na bezpečnostné účely, ale aj na sledovanie relácií iných účtov.
Blokované adresy IP
Tento blok zobrazuje adresy IP, ktoré boli zablokované doplnkom All In One WP Security alebo vami manuálne:
Na snímke obrazovky nie sú žiadne položky, ale v prípade blokovania adries IP sa položky objavia.
Aktuálny stav najdôležitejších funkcií
V tomto bloku môžete vidieť stav kritických bezpečnostných opatrení:
Ako vidíte, všetky posúvače sú na začiatku v polohe „OFF“. Špeciálne som vytvoril podmienky s banálnym prihlásením „admin“, aby som povedal a ukázal, ako sa implementujú minimálne odporúčania na zabezpečenie ochrany vášho webu.
Správcovia
Položka nastavení "Správcovia" je zodpovedná za kontrolu účtov správcov stránok. Tu uvidíte nasledujúce karty:
Vlastný názov WP
Prvá záložka „WP Custom Name“ zobrazuje zoznam správcov. Tu môžete vidieť aj varovanie o prihláseniach, ktoré môžu byť napadnuté:
Ako vidíte, doplnok považuje prihlásenie „admin“ za nebezpečné a navrhuje ho premenovať. Poďme to urobiť. Ak chcete zmeniť prihlasovacie meno, do prázdneho poľa „Nové používateľské meno správcu“ zadajte nové meno, napríklad ďalšiu banálnu vec - „wpadmin“. Potom kliknite na „Zmeniť používateľské meno“. Ďalej sa systém automaticky odhlási z účtu, aby ste sa mohli prihlásiť s novým menom správcu. Potom sa vrátite na kartu „Vlastný názov WP“.
Teraz venujte pozornosť bloku „Zmeniť používateľské meno správcu“, konkrétne bodom:
Gratulujeme, získate 15 bodov z 15 za splnenie jedného základného bezpečnostného odporúčania WordPress.
Skúsení webmasteri dobre vedia, že štandardná funkcia nemôže zmeniť meno správcu, ale pomocou doplnku All In One WP Security áno. Každý, kto čítal prvú časť návodu „Konfigurácia zabezpečenia WordPress“, vie, aké ťažkosti sa môžu vyskytnúť pri vytváraní účtu správcu s novým názvom a pri prepájaní pošty zo starého účtu s ním.
heslo
Teraz sa pozrime na kartu "Heslo". V bloku „Skontrolovať silu hesla“ môžete zadať svoje Aktuálne heslo a získajte nasledujúce informácie:
Ako vidíte, robot na hádanie hesiel spustený z bežného počítača bude takéto heslo získavať veľmi, veľmi dlho, aj keď je ochrana doplnku obídená.
Zobraziť meno
Pravdepodobne sa čudujete, prečo som preskočil kartu Zobrazovaný názov. Nechal som to na občerstvenie. Užitočnosť tejto položky je určená pre úplne nových používateľov WordPress. Tu vidíte počet bodov, ako v každom menu nastavení. A ak sa prezývka zhoduje s prihlasovacím menom správcu, zobrazí sa upozornenie:
Prezývku si môžete zmeniť kliknutím na prihlasovacie meno správcu alebo umiestnením kurzora myši na položku „Používatelia“ v ponuke administratívneho panela kliknutím na položku „Váš profil“. Ak ste neabsolvovali môj kurz tvorby blogu, zadajte najskôr do poľa „Prezývka (povinné)“ viditeľné meno autora článkov, ktoré sa nezhoduje s prihlasovacím menom správcu. Ďalej v rozbaľovacom zozname "Zobraziť ako" vyberte predtým zadanú prezývku. Potom uložte. Keď teraz navštívite ponuku nastavení „Správcovia“ doplnku All In One WP Security, na karte „Zobrazovaný názov“ sa zobrazí toto:
nastavenie
Všeobecné nastavenia
V predvolenom nastavení ste v " Všeobecné nastavenia". Tu máte k dispozícii nasledujúce užitočné funkcie:
- vytvorenie zálohy databázy
- zálohovanie súboru .htaccess
- zálohovanie súboru wp-config.php
Existujú aj možnosti na zapnutie alebo vypnutie bezpečnostnej funkcie a všetkých funkcií brány firewall All In One WP Security. Pred zmenou nastavení pluginu vám vždy odporúčam prečítať si vysvetlenia možností, napríklad:
.htaccess a wp-config.php
Všimnite si záložky ".htaccess File" a "wp-config.php File". V nastaveniach týchto kariet môžete vytvárať a obnovovať zálohovanie, uhádli ste, .htacces a wp-config.php. Je to celkom pohodlné a nevyžaduje to FTP klienta.
Informácie o verzii WP
Pre mňa je zaujímavejšia karta ďalšia – „Informácie o verzii WP“. Pre tých, ktorí nevedia, vysvetlím. WordPress generuje meta tag s atribútom content, ktorý má zase hodnotu aktuálna verzia motor stránky. Je to nebezpečné, mimoriadne nebezpečné! Preto v časti „Odstrániť metaúdaje generátora WP“ začiarknite políčko vedľa „Začiarknite, ak chcete odstrániť verziu a meta informácie vytvorené WP zo všetkých stránok“ a kliknite na „Uložiť nastavenia“.
Import Export
Karta Import / Export je zodpovedná za vytvorenie, takpovediac, šablóny nastavení. Nastavením doplnku All In One WP Security na jednom z vašich projektov môžete nastavenia preniesť na iné stránky. To je veľmi výhodné, aj keď ste nakonfigurovali doplnok, exportovali nastavenia, ale zrazu bolo potrebné obnoviť zálohu stránky.
pokročilé nastavenia
Posledná záložka „Rozšírené nastavenia“ je zodpovedná za spôsob získavania údajov o IP adrese každého z návštevníkov. Ak nepoznáte PHP na pomerne dobrej úrovni a superglobálne pole $ _SERVER zväčšuje zreničky vašich očí, potom vás žiadam, aby ste sa k tejto karte nepribližovali.
Autorizácia
V tejto položke nastavení doplnku All In One WP Security vidíme nasledujúce karty:
Blokovanie autorizácie
V popise k tejto karte ste si už pravdepodobne prečítali pokyny vývojárov o útokoch hrubou silou. Ďalej musíte zaškrtnúť možnosti vedľa blokov:
- Povoliť možnosti blokovania pokusov o autorizáciu
- Povoliť odblokovanie žiadostí (v prípade, že ste sa zablokovali vy)
- Zobrazovať chybové hlásenia autorizácie (zvyšuje šancu, že sa nezablokujete)
- Upozorniť e-mailom (vždy majte na pamäti neúspešné pokusy o prihlásenie, čo vám umožní okamžite reagovať na možné pokusy o hackovanie)
Ideme nadol do globálneho bloku "Rozsah dočasne blokovaných IP adries". Tu môžete prejsť na štatistiku blokovaných adries kliknutím na „Uzamknuté IP adresy“.
V bloku "Login Lockdown IP Whitelist Settings" môžete nakonfigurovať zoznam bielych IP adries, napríklad adresu vášho počítača, na ktoré sa nebudú vzťahovať nastavenia blokovania. Ak to chcete urobiť, v bloku „Povoliť uzamknutie prihlásenia na bielu listinu IP“ začiarknutím políčka aktivujte nastavenie a do bloku „Zadajte adresy IP pre biely zoznam“ zadajte svoju IP adresu. Nezabudnite uložiť nižšie. Neodporúčam ale nastavovať whitelist. Útočníci môžu sfalšovať vašu IP adresu.
Neúspešné pokusy o prihlásenie
Ideme ďalej. V záložke „Nesprávne pokusy o autorizáciu“ vypíše neúspešné pokusy o autorizáciu. Tieto informácie sú veľmi užitočné z hľadiska analýzy pokusov o prihlásenie. Tí, ktorých zaujímajú tieto štatistiky, ich môžu exportovať do súboru CSV:
Automatické odhlásenie užívateľov
Karta „Automatické odhlásenie používateľov“ nie je o nič menej dôležitá ako ostatné nastavenia. Tu môžete povoliť odhlásenie používateľov administračného panela po určitom čase nečinnosti, napríklad 60 minút:
Denník aktivity účtu
Ďalej prejdite na „Denník činnosti účtu“. Tu vidíte časy prihlásenia a odhlásenia pre konkrétneho používateľa. Pre všetky účty je uložených iba 50 záznamov. Takéto informácie sú užitočné pre analýzu aktivity:
Tieto údaje môžete tiež exportovať do súboru CSV.
Aktívne sedenia
AT posledná záložka"Aktívne relácie" zobrazuje účty v reálnom čase, pod ktorými ste prihlásení do administrátorskej časti stránky:
Registrácia používateľa
V 99 % prípadov chýba nastavenie „Registrácia používateľa“ pre blog v doplnku All In One WP Security. Stále však budem hovoriť o možnostiach nasledujúcich kariet:
Manuálne potvrdenie
Ak vaša stránka umožňuje registráciu a množstvo spamu zanechaného používateľmi je príliš málo požadované, potom by ste mali povoliť manuálne schválenie nového používateľa na karte „Manuálne potvrdenie“. To vám umožní zatvoriť prístup k autorizácii, kým manuálne nepotvrdíte registráciu používateľa. Čo v podstate robí? Ako ukazuje prax, na jednom z mojich projektov sú jednotlivci, ktorí spočiatku registrujú poštu podľa typu: [e-mail chránený], [e-mail chránený], [e-mail chránený] atď. Podobné maily sa používajú počas nová registrácia po tom, čo som zakázal prvý účet určitej osoby. A ak uvidím, že podobný spamerov mail ma nedávno zaujal, tak registráciu zakážem. V dôsledku toho sa spamer nemôže prihlásiť a znova použiť rovnakú poštu na registráciu, aj keď nestihol zanechať spam.
Preto, ak je potrebné ďalšie moderovanie používateľov ihneď po registrácii, musíte zaškrtnúť políčko v bloku „Aktivovať manuálne schvaľovanie nových registrácií“ a uložiť nastavenia.
CAPTCHA pri registrácii
Nasledujúca záložka „CAPTCHA pri registrácii“ pridá captcha na stránku registrácie používateľa. Captcha je možné aktivovať zaškrtnutím políčka „Aktivovať CAPTCHA na registračnej stránke“. Túto funkciu považujem za potrebnú a užitočnú. Samozrejme, ak ste zabezpečili registráciu nových používateľov.
Registrácia Honeypot
Záložka "Registrácia Honeypot" je veľmi užitočná funkcia na blokovanie sofistikovaných registračných robotov. Odporúčam vám povoliť túto možnosť v bloku „Povoliť Honeypot na registračnej stránke“. Uložiť.
Ochrana databázy
Skupina nastavení Ochrana databázy pozostáva z dvoch záložiek:
S nastaveniami v prvej záložke "Prefix tabuľky DB" buďte maximálne opatrní. Okamžite je potrebné urobiť záložnú kópiu databázy v záložke „Záloha DB“.
Zálohovanie databázy
Poďme sa pozrieť na záložku "DB Backup". Ak chcete vytvoriť zálohu databázy, kliknite na tlačidlo „Zálohovať databázu teraz“. Po úspešnom vytvorení zálohy sa zobrazia nasledujúce informácie:
Snímka obrazovky zobrazuje umiestnenie mojej databázy. Budete mať svoju vlastnú adresu.
A tiež na tejto karte môžete nakonfigurovať pravidelné vytváranie kópie databázy. Ak to chcete urobiť, začiarknite políčko vedľa položky „Povoliť automatické vytváranie zálohy“. Okrem toho môžete nakonfigurovať, ako často sa majú vytvárať kópie, koľko kópií sa má uložiť na server a odosielať kópie poštou. Nezabudnime šetriť.
Predpona tabuľky DB
Vrátime sa na kartu "Prefix tabuľky DB". Ak ste nezmenili predponu databázy, potom má hodnotu "wp_". Toto sa vám zobrazí upozornenie:
Ak chcete všetkým tabuľkám v databáze priradiť inú predponu, musíte ju zadať v poli bloku "Generovať novú predponu databázovej tabuľky". Potom kliknite na „Zmeniť predponu tabuľky“. Ak neviete veľa o tom, čo by mala byť predpona, odporúčam vám zaškrtnúť políčko vedľa „Skontrolovať, aby plugin sám generoval predponu s dĺžkou 6 náhodných znakov“ a pole „Zadajte svoj vlastný verzia predpony s použitím latinských písmen, číslic a podčiarkovníkov“ nechajte prázdne.
Ochrana súborového systému
Teraz preskúmame nastavenia „Ochrana systému súborov“ doplnku All In One WP Security. Táto položka nastavení pozostáva zo štyroch kariet:
Prístup k súborom
V predvolenom nastavení sa nachádzame na karte „Prístup k súboru“. Ak máte pochybnosti, ktorý CHMOD (oprávnenia) nainštalovať do konkrétneho priečinka na serveri, doplnok All In One WP Security všetko vyrieši za vás. Venujte pozornosť tabuľke na tejto karte. Ak má doplnok komentár týkajúci sa aktuálnych povolení, v stĺpci „Odporúčaná akcia“ sa zobrazí nápis „Nastaviť odporúčané povolenia“:
Ak nie sú žiadne komentáre, potom nápis „Nie je potrebná akcia“. Ak chcete použiť odporúčané nastavenia CHMOD, kliknite na Nastaviť odporúčané povolenia.
Úprava súborov PHP
Táto záložka nastavuje zákaz úpravy PHP súborov z administračného prostredia. Odporúčam vám zaškrtnúť políčko „Zakázať možnosť upravovať súbory PHP“.
Prístup k súborom WP
Väčšinou hneď po nainštalovaní WordPressu vymažem súbory: readme.html, wp-config-sample.php atď. Sú však chvíle, keď ukážka rovnakého konfiguračného súboru zachráni začiatočníkov. Preto odporúčam zaškrtnúť políčko „Zakázať prístup k informačným súborom vytvoreným predvolene pri inštalácii WordPressu“.
Systémové denníky
Táto karta je určená pre skúsených webmasterov. V opačnom prípade pri pohľade na denník chýb stránky nebudete môcť zistiť podstatu problému.
vyhľadávanie WHOIS
Podľa môjho skromného názoru je to skvelý nástroj, ako získať aspoň nejaké informácie napríklad o zablokovanom používateľovi. Samozrejme, môžete použiť stránku WHOIS, ale prečo, ak existuje vyhľadávanie WHOIS v doplnku All In One WP Security.
Čierna listina
Plugin All In One WP Security vám umožňuje blokovať nielen podľa IP adresy, ale aj podľa užívateľských agentov. Užívateľských agentov možno považovať za rôzne pavúky / roboty vyhľadávacích nástrojov, rôzne analytické služby atď., ktoré vytvárajú nadmerné zaťaženie na server. Toto nastavenie bude užitočné aj vtedy, ak nechcete, aby napríklad Google bot prehľadával vašu stránku. Všetky nastavenia špecifikované v položke "Black List" budú pridané do .htaccess.
POŽARNE DVERE
Nastavenie brány firewall pozostáva zo siedmich kariet:
Začnime teda pekne po poriadku.
Skôr ako začnete upravovať svoj súbor .htaccess pomocou doplnku All In One WP Security, nezabudnite si zálohovať svoj .htaccess.
Základné pravidlá brány firewall
Ak nepoužívate napríklad pluginy na automatické uverejňovanie príspevkov na sociálne siete, môžete bezpečne zaškrtnúť políčka všade a uložiť nastavenia pre túto kartu. Odporúčam vám však zahrnúť iba tieto položky:
- Aktivujte základné funkcie brány firewall
- Zakázať funkciu Pingback z XMLRPC
- Blokovať prístup k súboru debug.log
Myslím, že pri prvom nastavení je všetko jasné, ale ďalšie dve možnosti sú povinné. "Zakázať funkciu Pingback z XMLRPC" zakáže požiadavky na spätný ping, napríklad zo štatistických služieb, ale ponechá požiadavky na služby povolené. Možnosť „Blokovať prístup k súboru debug.log“ zakáže prístup k súboru ladenia, ktorý môže obsahovať citlivé informácie o službe.
Ďalšie pravidlá brány firewall
Na tejto karte vám odporúčam povoliť všetky nastavenia okrem: „Zakázať možnosť prehliadania adresárov“. Faktom je, že zákaz prehliadania adresárov je stanovený smernicou „AllowOverride“ v konfiguračný súbor httpd.conf na serveri. Takéto nastavenia môžete vykonať iba vtedy, ak máte VPS, VDS, prenajatý alebo vlastný server. V opačnom prípade ponechajte toto nastavenie nezačiarknuté.
Kliknutím na „+ Viac“ zistíte, prečo sú potrebné jednotlivé nastavenia:
V zásade sú takmer všetky nastavenia brány firewall poskytnuté v doplnku All In One WP Security potrebné na udržanie bezpečnosti WordPress.
Pravidlá brány firewall na čiernu listinu 6G
6G firewall nemá nič spoločné s mobilnou komunikáciou. Tento firewall poskytuje ochranu pred množstvom škodlivých URL požiadaviek, zlými robotmi, sprostredkovateľským spamom a inými útokmi. Povolenie pravidiel brány firewall šiestej generácie výrazne zníži zaťaženie servera, samozrejme, ak podobné žiadosti bude. Odporúčam povoliť ochranu 6G a 5G.
Internetové roboty
Karta Internet Bots blokuje škodlivých robotov, ktorí sa tvária ako googlebot. Odporúčam povoliť možnosť „Blokovať falošné Googleboty“. Ostatné prehľadávače nebudú blokované.
Zabrániť horúcim odkazom
Je potrebné aktivovať možnosť karty „Zabrániť rýchlym odkazom“. Povoľte možnosť a uložte. Tým sa zníži zaťaženie servera, ak sú vaše odkazy na vaše obrázky umiestnené mimo vašej lokality. Nemá to vplyv na automatické uverejňovanie príspevkov na sociálne siete a iné miesta.
Detekcia 404
Vyžaduje sa aj aktivácia predposlednej záložky „Detekcia 404“. Povoľte možnosť „Povoliť detekciu a uzamknutie IP 404“. Toto nastavenie je zodpovedné za blokovanie IP adries, z ktorých sa v krátkom čase odošle veľa požiadaviek na neexistujúce stránky. Vo väčšine prípadov to naznačuje hackerský útok, hľadá zraniteľnú stránku. Voliteľne môžete zmeniť aj čas, na ktorý bude zakázaná IP adresa útočníka. Do bloku „URL presmerovania chyby 404“ sa spravidla automaticky zapíše adresa hlavného zrkadla stránky. Odporúčam nemeniť túto adresu. A v tabuľke "Error Logs 404" zobrazuje údaje o návšteve neexistujúcich stránok. Protokol je možné nahrať do súboru CSV.
Vlastné pravidlá
Posledná karta „Vlastné pravidlá“ má funkciu pridania vlastných pravidiel do súboru .htaccess. Radím vám, aby ste si nerobili nič vlastné bez toho, aby ste pochopili, ako fungujú nastavenia .htaccess. V opačnom prípade môže stránka prestať fungovať.
Ochrana proti útokom hrubou silou
Útoky hrubou silou sú útoky zamerané na heslo a prihlásenie hrubou silou, kým sa nenájde správna možnosť. Táto skupina nastavení má päť kariet, začnime prvou:
Premenovať prihlasovaciu stránku
Záložka "Premenovať prihlasovaciu stránku" obsahuje dva parametre, z ktorých v prvom "Povoliť možnosť premenovania prihlasovacej stránky" je potrebné zaškrtnúť políčko a v druhom "Adresa (URL) prihlasovacej stránky" zadať adresu pre vstup do administračnej oblasti. Adresa URL prihlasovacej stránky sa musí líšiť od predvolenej adresy wp-admin, napríklad thisismysite. Nezabudnite si uložiť a zapamätať prihlasovaciu adresu správcu. V mojom príklade to bude mysite.ru/thisismysite, kde mysite.ru je adresa vášho webu.
Ochrana hrubou silou pomocou cookies
Prejdite na kartu „Ochrana pred útokmi hrubou silou pomocou súborov cookie“. V prípade, že máte stránky chránené heslom, môžete povoliť možnosť „Moja stránka obsahuje príspevky alebo stránky, ktoré boli zatvorené pomocou vstavanej funkcie ochrany obsahu WordPress heslom“. Mám tieto stránky. Pokiaľ ide o možnosť „Táto stránka má tému alebo doplnok, ktorý používa AJAX“, väčšina moderných tém a doplnkov používa technológiu AJAX. Preto vám odporúčam povoliť túto možnosť. Odporúčam neaktivovať nastavenie „Aktivovať ochranu proti útokom hrubou silou“, aby ste predišli zablokovaniu vašej IP adresy doplnkom All In One WP Security. Faktom je, že pomocou prístupového kľúča môžete zabudnúť a vymazať súbory cookie doplnku. A aby sa nevyriešili problémy, ktorým sa dalo predísť, odporúčam túto možnosť nezaškrtávať, najmä preto, že doplnok sám varuje a až na druhý pokus umožňuje aktivovať tieto nastavenia.
CAPTCHA na prihlásenie
Prihlasovacia karta CAPTCHA obsahuje užitočné funkcie pre dodatočná ochrana stránky na obnovenie prihlasovacích údajov a hesla. Odporúčam nastaviť začiarkavacie políčka oproti:
- Povoľte CAPTCHA na prihlasovacej stránke
- Aktivujte formulár CAPTCHA na upravenej prihlasovacej stránke
- Aktivujte CAPTCHA na stránke " Stratené heslo»
V bloku "Woocommerce Forms Captcha Settings" sú začiarkavacie políčka nastavené iba pri použití pluginu pre internetový obchod "Woocommerce".
Whitelist pre prihlásenie
Pokračujeme a prejdeme na kartu "Biely zoznam na prihlásenie". Tento parameter funguje ako dodatočná obranná línia, ktorá blokuje prístup na prihlasovaciu stránku pre všetky adresy IP, ktoré nie sú na bielom zozname. Ak chcete, môžete túto možnosť nastaviť. Ale, a ešte raz! Ak máte dynamickú IP adresu alebo ak je naliehavo potrebné prejsť na panel správcu, napríklad pomocou telefónne číslo a poskytovateľ vám pridelí inú IP adresu, potom nastanú problémy.
Sud s medom (Honeypot)
Posledná karta „Honeypot“ zo skupiny nastavení „Ochrana proti útokom hrubou silou“ je zodpovedná za blokovanie robotov, ktoré sa pokúšajú vyplniť autorizačné polia. Roboty spravidla automaticky vypĺňajú všetky polia a možnosť „Barrel with honey“ dáva robotovi pole neviditeľné pre oči používateľa, ktoré robot automaticky vyplní. Ak k tomu dôjde, doplnok All In One WP Security robota automaticky zablokuje. Odporúčam povoliť možnosť „Aktivovať medovník na prihlasovacej stránke“.
Ochrana proti SPAMu
Prejdime k ďalšej skupine nastavení „Ochrana pred SPAMom“. Teraz sa zastavíme a zvážime štyri karty:
Spam v komentároch
- Aktivujte CAPTCHA vo formulároch komentárov
- Blokujte spamovacie roboty v komentároch
Sledovanie adries IP pre nevyžiadanú poštu
Ďalšia karta pre štatistiky „Sledovanie IP adries pre nevyžiadanú poštu“. Možnosti v tejto záložke nepochybne prinášajú dobrotu. Odporúčam zaškrtnúť políčko pri položke „Povoliť automatické blokovanie IP adries Komentovať spam“. Uložiť.
Ďalej v poli „Minimálny počet komentárov považovaných za SPAM“ nastavte hodnotu na 5. Venujte pozornosť bloku „Zoznam IP adries spamerov“, ktorý je zodpovedný za filtrovanie komentárov. Ak potrebujete nájsť IP adresy, ktoré boli aspoň raz spamované, nastavte hodnotu na „1“ a kliknite na „Nájsť IP adresy“. A ak napríklad 3 krát, potom je hodnota "3" atď. Myslím, že ste pochopili pointu. Výsledky sa zobrazia v tabuľke „Zoznam IP adries spamerov“.
BuddyPress a BBPress
Na záložkách „BuddyPress“ a „BBPress“ môžete povoliť captcha v registračnom formulári. BuddyPress a BPress sú doplnky. BuddyPress pomáha stavať Beží na WordPress sociálna sieť a doplnok fóra BBBress. Ak tieto úpravy nepoužijete, možnosti na príslušných kartách nebudú chýbať.
Skener
Predposledná skupina nastavení „Skener“ je zodpovedná za pravidelné skenovanie stránky škodlivý kód a súbory. Tu vidíte iba dve karty:
Sledujte zmeny v súboroch
V prvej záložke „Sledovanie zmien v súboroch“ môžete stránku okamžite prehľadávať kliknutím na „Prehľadávať teraz“.
Pochopte jednu jednoduchú vec – žiadny plugin nedokáže ochrániť váš web pred hackerskými guru! Preto nás v prípade problémov doplnok All In One WP Security po skenovaní informuje o prítomnosti stôp po hackovaní. Odporúčam povoliť možnosť „Aktivovať automatickú kontrolu zmien súborov“ a nastaviť frekvenciu kontroly minimálne každé dva dni. Frekvencia indexového prehľadávania závisí od aktuálneho zaťaženia vašej stránky. A ak sa čas načítania stránky na najvyššej návštevnosti zvýši, zvážte zmenu tarifný plán alebo presun na dedikovaný server, aby skener zásuvného modulu All In One WP Security nadmerne nezaťažoval server.
Polia „Ignorovať súbory nasledujúcich typov“ a „Ignorovať určité súbory a priečinky“ sa vyplnia individuálne podľa vášho želania. Odporúčam vám tiež aktivovať možnosť „Poslať e-mail, keď sa nájde zmena“, aby ste boli vždy informovaní o akýchkoľvek zmenách v súboroch. Môžete zadať viacero emailové adresy. Po nastavení uložte.
Skenovanie škodlivého softvéru
Druhá karta „Skenovanie z malvér» je určený na registráciu na stránke vývojárov doplnku, za účelom pravidelného skenovania stránky za poplatok. To výrazne zníži zaťaženie servera počas kontroly. Kto chce platiť peniaze, prosím, je to vaše právo. Ale nevidím veľký zmysel v zazmluvnení takejto služby pre blog.
Zmiešaný
Posledná skupina nastavení „Rôzne“ obsahuje tri karty:
Ochrana proti kopírovaniu
Na prvej karte „Ochrana proti kopírovaniu“ môžete blokovať nasledujúce funkcie:
- Pravé tlačidlo
- Označovanie textu
- Kopírovať
Obmedzenia sa budú vzťahovať na všetky stránky dostupné používateľom. Ak máte užitočný blog, kde sa ľudia môžu dozvedieť veľa vecí pre seba v sklade vedomostí, neodporúčam túto funkciu povoliť. Osobne považujem za nepohodlné, keď nemôžem skopírovať časť textu s informáciami, ktoré sú pre mňa dôležité.
Rámy
Karta Rámy je zodpovedná za blokovanie zobrazenia obsahu vašej lokality medzi značkami frame a iframe. Ktoré sú už niekoľko rokov považované za nebezpečné a sú často hacknuté. Napríklad 1C Bitrix v predvolenom nastavení blokuje tieto značky.
Výpočet používateľov
posledná záložka a posledné nastavenie plugin All In One WP Security, ktorý budeme považovať za „Vypočítanie používateľov“. Odporúčam vám povoliť možnosť „Zakázať zoznam používateľov“, aby ste zabránili robotom vo vyhľadávaní informácií o používateľoch, ktorí môžu byť videní napríklad ako komentátori. To určitým spôsobom vytvára ochrannú bariéru pre používateľov lokality, čím chráni účet správcu.
Týmto sa ukončuje brífing s doplnkom All In One WP Security. Práve ste si prečítali obrovský článok, ktorý sa dá porovnať s desiatimi bežnými článkami. Dúfam, že som to vysvetlil prístupným spôsobom. Ak máte nejaké otázky, pokojne sa ich spýtajte v komentároch. Ďakujem za tvoju pozornosť.
Čaute ľudia! Keď sa vaša stránka trochu spropaguje, objavia sa pravidelní čitatelia, máte veľkú radosť. Všetko sa zdá byť v pohode. Rastie aj tok peňazí a dostávate odozvu od publika, zvyšuje sa uznanie. Je tu však aj druhá strana mince. Sú to závistliví ľudia, toto je pozornosť od chorých.
Aby ste mali predstavu, o čom hovorím, len za posledný týždeň bol môj blog napadnutý 2-krát. Štamgasti si mysleli, že si to všimli. Chlapci, dôrazne vám odporúčam, aby ste si prečítali tento návod, našli si čas na implementáciu tipov, o ktorých hovorím, aby ste zabezpečili svoje stránky a ušetrili čas, peniaze a nervy.
All In One WP Security je najdôležitejší bezpečnostný doplnok pre WordPress. Mal by si ho nainštalovať každý, kto vlastní stránku na WordPress. Všetci bez výnimky.
Ak je môj obľúbený SEO harvester pre WordPress, potom je bezpečnostným ekvivalentom doplnok WP Security. Teda ak som vďaka Yoast SEO prestal potrebovať viacero SEO pluginov, tak aj tu sa vďaka All In One WP Security môžete zbaviť ďalších pluginov, ktoré plnia funkcie tohto len čiastočne. Napríklad ako:
- Uzamknutie prihlásenia;
- Zálohovanie databázy WordPress
- Anti-XSS útok;
- a ostatným sa to páči.
Obrovské výhody doplnku WP Security All In One:
- zadarmo;
- veľmi jednoduché nastavenie;
- skoro všetko je preložené do ruštiny, takže je jasné, o čo ide.
Konfigurácia bezpečnostného doplnku WP All In One
Pred začatím práce (pre istotu) si vytvorte zálohu (záložnú kópiu) nasledujúcich súborov:
- databáza;
- súbor wp-config
- súbor htaccess.
Mimochodom, záložné kópie týchto troch súborov je možné vytvoriť priamo v tom istom doplnku, stačí prejsť na položku Zabezpečenie WP - Nastavenia na paneli správcu:
Ovládací panel
Existuje veľmi skvelý informátor, ktorý ukazuje úroveň zabezpečenia vášho webu:
Tento indikátor vám pomôže udržať prst na pulze a pochopiť, čo ešte treba urobiť na zlepšenie bezpečnosti. Neodporúčam robiť všetko preto, aby ste dosiahli maximálne skóre. Môžu to mať zlé následky, vaša stránka môže spadnúť, správať sa zle.
Aktuálny stav najdôležitejších funkcií. V tomto bloku si môžete aktivovať najpotrebnejšiu funkcionalitu pre bezpečnosť vašej stránky (zatiaľ ich môžete nechať na pokoji, pri nastavovaní lekcie sa tieto parametre aktivujú takto):
Zostávajúce parametre v ovládacom paneli sú málo zaujímavé, môžete sa s nimi zoznámiť pre zaujímavosť (Informácie o systéme, Blokované adresy IP, AIOWPS.
nastavenie
Všeobecné nastavenia. Tu si môžete vytvoriť záložné kópie súborov, ktoré som spomenul vyššie. Ak niečo prestane fungovať, vypnite tiež funkcie zabezpečenia a brány firewall.
WP meta informácie. Kliknutím na začiarkavacie políčko vedľa položky „Odstrániť metadáta generátora WP“ skryjete verziu WordPress:
Karta „Import/Export“. Tu môžete exportovať svoje nastavenia, aby ste neskôr na inej stránke nestrácali čas nastaveniami a importovali všetky potrebné „začiarknutia“ na 2 kliknutia.
Správcovia
Vlastný názov WP. Nezabudnite (!) zmeniť meno správcu, ak ho máte „admin“. Netušíte, koľko a často sa vyberá hesiel s prihlasovacím menom správcu. Ak je navyše heslo veľmi ľahké, váš web môže byť ľahko napadnutý.
Zobraziť meno. Ak sú na vašej stránke účty, ktoré majú rovnaké používateľské meno a zobrazované meno, odporúča sa zmeniť zobrazované meno (prezývku).
heslo. Veľmi zaujímavá záložka. Tu sa dozviete, v akom časovom období si môžete vyzdvihnúť automatický režim tvoje heslo. Zadajte svoje heslo a budete prekvapení, ako rýchlo sa dá prelomiť. Predpoklady pre zvýšenú bezpečnosť:
- Vaše heslo musí obsahovať veľké aj malé písmená.
- prítomnosť aspoň 1. číslice je povinná, ale heslo by nemalo pozostávať len z číslic;
- je žiaduce mať nejaký špeciálny charakter;
- dĺžka hesla musí byť viac ako 10 znakov.
V dôsledku toho by ste mali mať maximálny stupeň bezpečnosti svojho hesla, asi takto (heslo nižšie by domáci počítač prelomil za 57 337 rokov (!):
Autorizácia
Nezabudnite povoliť túto funkciu. Ak heslo zadáte nesprávne 3-krát do 5 minút (štandardne), IP bude zablokovaná na 60 minút (tiež štandardne). Neodporúčam nastavovať blokovanie na viac času, inak sa môžete stretnúť s tým, že samotní administrátori zadajú prihlásenie 3x nesprávne, blokujú na 10 rokov a nevedia si rady. Necháme predvolených 60 minút a nekúpeme sa.
Odporúčam tiež zaškrtnúť políčko „Okamžite zablokovať neplatné používateľské mená“. Napríklad ste zmenili prihlasovacie meno z admin na krutysh, potom keď do poľa autorizácie zadáte prihlasovacie meno admin, IP adresa sa okamžite zablokuje. "Upozorniť e-mailom" - tu podľa potreby. Nemám rád extra spam, takže tu políčko nezaškrtávam.
Moje konečné nastavenia pre túto kartu vyzerajú takto:
Ak ste zvedaví, môžete sa pozrieť na zoznam blokovaných adries IP, odkaz na sekciu je uvedený na rovnakej karte nižšie.
Neplatné pokusy o prihlásenie. Tu sú vybrané prihlásenia len viditeľné. Najčastejšie sú moje prihlasovacie údaje admin, root, font. Viditeľný je aj čas „pokusov“. Venujte pozornosť tomu, ako často sa pokúšajú prihlásiť do panela správcu:
Automatické odhlásenie užívateľov. Odporúčam tiež povoliť toto začiarkavacie políčko. Umožňuje ukončiť reláciu po určitom počte minút a odhlásiť používateľa. Dal som 600 minút:
Karty „Denník aktivity účtu“ a „Aktívne relácie“ slúžia len na informačné účely.
registrácia používateľa
Začiarknite políčko vedľa položky „Aktivovať manuálne schvaľovanie nových registrácií“:
Áno a pri registrácii môžete zaškrtnúť CAPTCHA:
Samozrejme, ak sa na vašu stránku nemôžu zaregistrovať iní ľudia, prvé 2 body sú jednoducho k ničomu, nebudú lepšie ani horšie. Ak však máte pochybnosti, je lepšie tieto políčka zaškrtnúť.
Ochrana databázy
Tu buďte opatrní v záložke „Prefix tabuľky DB“. Pred začiarknutím políčka si nezabudnite zálohovať databázu (tam uvidíte aj odkaz na vytvorenie zálohy databázy). Ak sa bojíte, máte pochybnosti, je lepšie nechať to nezačiarknuté:
Zálohovanie databázy. Tu sme už zaškrtli, vybrali frekvenciu vytvárania záloh a ich počet. Mám. napríklad tieto čísla:
Ochrana súborového systému
Prístup k súborom. Tu na pravej strane budete mať tlačidlá, budete musieť zmeniť povolenia súboru kliknutím na tieto tlačidlá. V dôsledku toho by sa všetky riadky mali zmeniť na zelenú:
Úprava súborov PHP. Ak neopravíte svoje PHP súbory cez administračný panel začiarknite políčko. Neodporúčam upravovať súbory cez admin panel, už len preto, že v takom prípade nemáte možnosť stlačiť CTRL + Z a súbor nebudete môcť vrátiť na pôvodné miesto:
Prístup k súborom WP. Zaškrtnite:
Systémové denníky. Štandardne odchádzame.
vyhľadávanie WHOIS
Ak chcete získať WHOIS domény, môžete zadať adresu IP alebo doménu. A tak sa vlastne nie je čoho dotýkať.
Čierna listina
Ak nemáte chorých, nemôžete túto položku zahrnúť. Ak napríklad v komentároch neustále bliká nejaká IP adresa, môžete začiarknuť políčko a túto IP zakázať.
POŽARNE DVERE
Základné pravidlá brány firewall. Ak ste si doteraz nevytvorili zálohu htaccess, určite to urobíme. A začiarknite políčka vedľa všetkých položiek:
Ďalšie pravidlá brány firewall. Tu tiež zapneme všetky začiarkavacie políčka:
AKTUALIZÁCIA: nižšie na karte "Dodatočné filtrovanie znakov" som zrušil začiarknutie, pretože niektoré komentáre neprešli, vyskytla sa chyba 403. Zrejme napokon aj vy Odporúčam vám zrušiť začiarknutie tohto políčka. aby používatelia nemali problémy s komentovaním.
Nastavenia brány firewall 5G. Zahŕňame aj:
Internetové roboty. Môžu sa vyskytnúť problémy s indexovaním, preto odporúčam túto položku nezahŕňať.
Zabrániť horúcim odkazom. Zapneme ho tiež.
vlastné pravidlá. V súbore htaccess môžete nastaviť ďalšie pravidlá. Ničoho sa nedotýkame.
Ochrana proti útokom hrubou silou
Premenujte prihlasovaciu stránku. Zapnúť. Zmeňte prihlasovaciu adresu na vlastnú:
Ochrana pred útokmi hrubou silou pomocou súborov cookie. Túto funkciu nepovoľujem, aby neboli problémy s prihlasovaním z rôznych zariadení.
CAPTCHA na prihlásenie. Počas autorizácie môžete povoliť CAPTCHA, ale nezahŕňam:
Whitelist pre prihlásenie. Keďže často navštevujem stránku s rôzne miesta, mám inú IP, takže túto možnosť nepovoľujem:
Sud s medom. Vytvorí sa ďalšie pole, ktoré môžu vidieť iba roboty. Preto pri vyplnení tohto poľa bude robot presmerovaný na svoju adresu. Zahrnúť:
Ochrana proti SPAMu
CAPTCHA vo forme komentárov. Nepovoľujem to, pretože nerád komplikujem komentovanie, ale odporúčam povoliť funkciu „Blokovať komentáre spamovým robotom“:
Sledovanie IP adresy pre nevyžiadanú poštu. Tu si môžete v komentároch pozrieť „často šumivé“ IP adresy pre spam a zaradiť ich na čiernu listinu.
BuddyPress. Pridá obrázok CAPTCHA do registračného formulára BuddyPress. ja to nepoužívam.
Sledujte zmeny v súboroch. Odporúčam to povoliť, pretože často nie je úplne jasné, kedy sú stránky hacknuté, ktorý súbor bol zmenený, kde hľadať škodlivý kód. A pomocou tejto funkcie môžete sledovať zmeny v súboroch vášho webu a rýchlo nájsť súbor, ktorý sa nedávno zmenil.
Vyhľadávanie škodlivého softvéru. Funkcia je platená, stojí od 7 dolárov mesačne.
Režim údržby
Umožňuje na chvíľu „zavrieť“ stránku a vykonať nejaké zmeny. To znamená, že návštevníkom stránky bude ponúknutý „stub“, že na stránke prebiehajú práce. Užitočné pri zmene dizajnu, kontrole výkonu pluginov.
Zmiešaný
Ochrana proti kopírovaniu textu a ďalšie. Tu v troch záložkách nikde nezaškrtávam. Odporúčam aj nie.
Výsledky
Po dokončení všetkých týchto nastavení môžete prejsť na „Ovládací panel“ a pozrieť sa na indikátor úrovne zabezpečenia, mali by ste dostať niečo takéto:
Opäť nemusíte bezmyšlienkovite robiť všetko pre to, aby ste dosiahli čo najvyššie skóre. Nezapájajte sa do zbytočného poškodzovania svojej stránky, jej výkonu a pohodlia.
Ak máte nejaké otázky - píšte. Samostatne vám ďakujem za retweety a reposty, za to, že pomáhate ľuďom sprostredkovať to dôležitá informácia.
WordPress je snáď najobľúbenejšia a zároveň jedna z najčastejšie hacknutých platforiem. Z nejakého dôvodu existuje názor, že ak vaša stránka nie je pre nikoho obzvlášť zaujímavá, nebude napadnutá - prečo? V skutočnosti doslova každá stránka (a nielen na WordPress) má hackerskú hrozbu, preto je dôležité postarať sa o ochranu vašej stránky. Čo sa dá urobiť - alebo skôr, aké doplnky nainštalovať - o tom budem hovoriť v tomto článku.
Tieto tipy sa vám budú hodiť nielen pri práci s WordPress, ale aj s akýmkoľvek iným CMS. Sú základné, ale ako ukazuje prax, stále existujú ľudia, ktorí o nich nevedia. Prečo to všetko robiť? Sťažiť život útočníkovi. Pomocou údajov, ktoré sú predvolene nastavené, môže hacker relatívne ľahko preniknúť na vašu stránku, ako aj do vašej databázy. Preto musíte urobiť nasledovné.
1. Zmeňte používateľské meno z admin na iné.
Ak to chcete urobiť, musíte najprv vytvoriť nového používateľa ako správcu. Môžete to urobiť tu:
Po vytvorení používateľa sa prihláste pod jeho účtom a odstráňte účet „admin“ v zozname „Všetci používatelia“. V čom nové prihlásenie skúste z toho urobiť niečo relatívne zložité, no, aspoň pozostávajúce z niekoľkých slov: vasyapupkin99. Svoju prezývku môžete použiť napr.
Nebudem písať o hesle - je lepšie použiť heslo, ktoré vám Wordpress vygeneruje vo fáze vytvárania účtu, a nie prísť s nejakým vlastným (čo bude s najväčšou pravdepodobnosťou jednoduchšie).
2. Zmeňte predponu databázy z wp na inú.
Existujú dva spôsoby, ako to urobiť: buď úpravou tabuliek sami v phpMyAdmin (alebo dokonca len v správcovi súborov), alebo pomocou pluginu. Stručne rozoberiem obe možnosti.
Zmena cez phpMyAdmin
Hneď musím povedať, že táto akcia si vyžaduje pozornosť k detailom a nejaké skúsenosti s phpMyAdminom.
V prvom rade si vytvorte zálohu databázy – pomôže vám to obnoviť informácie, ak sa niečo pokazilo (alebo ste niekde niečo zle upravili).
Teraz prejdite na Správca súborov a nájdite súbor wp-config.php, v ňom riadok $ table_prefix = "wp_";
„wp“ by sa malo zmeniť na niečo menej súvisiace s WordPress a databázou. Môžete dokonca zmeniť na ľubovoľnú sadu písmen a čísel (ale musíte si to zapamätať alebo zapísať).
Pozornosť. Najlepšie je vykonať túto zmenu na čerstvo nainštalovanom WordPress. Na už spustených stránkach je viac informácií – bude potrebné zmeniť viac údajov.
Potom prejdite na phpMyAdmin (na hostingu Timeweb to možno urobiť priamo cez ovládací panel) a nájdite databázu požadovanej stránky. Všetky tabuľky tejto databázy je potrebné premenovať a nahradiť „wp_“ tým, čo ste už napísali vyššie.
Ako premenovať: vyberte tabuľku v ľavom stĺpci, kliknite na kartu „Operácie“, potom si pozrite blok „Možnosti tabuľky“ a riadok „Premenovať tabuľku na“. Po vykonaní zmien nezabudnite kliknúť na „Ďalej“.
Potom v zozname vyhľadajte tabuľku „…_options“. Keď je vybratá, kliknite na tlačidlo Prehľadávať - v obsahu pre asi druhý stránke v stĺpci „meta_key“ uvidíte wp_user_roles – zmeňte predponu „wp“ na tú, ktorú budete teraz používať. Uložte zmenu.
Ďalšia tabuľka, ktorú treba zmeniť, je „…_usermeta“ – pozrite sa na jej obsah rovnakým spôsobom a zmeňte všetky staré prefixy na nové.
Ak vám po úprave niečo začalo fungovať nesprávne alebo prestalo fungovať úplne, skontrolujte, či ste vykonali všetky zmeny. Ako poslednú možnosť použite zálohu.
Zmena cez plugin
Tento doplnok netreba predstavovať, takže prejdem priamo k tomu, čo je potrebné urobiť.
Po nainštalovaní a aktivácii doplnku prejdite do časti „Ochrana databázy“. Tam uvidíte riadok "Vygenerovať novú predponu databázovej tabuľky" - napíšte predponu, ktorú chcete nastaviť (alebo začiarknite políčko vedľa "Začiarknite, aby plugin vygeneroval predponu 6 náhodných znakov") a kliknite na "Zmeniť". predpona tabuľky“. Potom nižšie uvidíte správu o priebehu zmeny prefixu. Aby ste sa uistili, že sa dosiahne očakávaný výsledok, prejdite na phpMyAdmin.
Ešte raz vám pripomeniem, že to musíte urobiť na novej stránke bez článkov, pretože ak už má stránka veľa informácií, plugin nemusí fungovať správne.
Všetko v jednom WP Security & Firewall
Keďže sme už prešli k používaniu tohto pluginu, poviem vám o ďalších veciach, ktoré môžu zvýšiť ochranu vašej stránky.
V časti „Nastavenia“ doplnku prejdite na kartu „Informácie o verzii WP“ a začiarknite políčko vedľa položky „Odstrániť metadáta generátora WP“. Keďže hackeri sa často spoliehajú na informácie obsiahnuté v metaúdajoch, bolo by užitočné tieto informácie z kódu stránky odstrániť.
Mimochodom, ak ste stále nezmenili meno správcu (podľa vyššie uvedených rád), môžete to urobiť prostredníctvom tohto doplnku - na karte "Správcovia". Stačí napísať nové používateľské meno a znova sa prihlásiť do panelu (heslo zostáva rovnaké).
Tu môžete vidieť aj záložku "CAPTCHA pri registrácii" - túto položku tiež aktivujte.
Teraz prejdite do sekcie "Firewall" - tu začiarkneme bloky "Základné funkcie brány firewall". Zvyšok môžete zapnúť/vypnúť, ako chcete.
Sekcia "Ochrana proti útokom hrubou silou": je potrebné povoliť možnosť premenovania prihlasovacej stránky a do stĺpca nižšie napísať požadovanú adresu. Tu je dôležité pochopiť - táto adresa sa použije na vstup do administračného panela, je dôležité pamätať si!
S týmto pluginom sme skončili, prejdime na ďalší.
Antivírus
Tento doplnok kontroluje súbory webových stránok na prítomnosť škodlivého kódu. Používanie je celkom jednoduché - po inštalácii prejdite do jeho nastavení a kliknite na „Skenovať šablóny tém teraz“, potom sa naskenujú všetky vaše súbory tém.
Tu si môžete nastaviť aj dennú kontrolu s prehľadom emailom.
Počas kontroly doplnok zvýrazní kód, ktorý sa mu zdal podozrivý. Zároveň je lepšie, aby ste si pozorne skontrolovali všetky komentáre – nie vždy ide o vírus. Ak nemáte programátorské zručnosti, môžete jednoducho porovnať nájdený riadok kódu s riadkom v kóde tej istej témy webu na vašom počítači alebo od vývojára. Ak je vstup prítomný na začiatku, nemusíte sa ho báť.
Podobne ako iné aktívne doplnky, aj AntiVirus načítava server (čo znamená, že vaša stránka je pomalšia), takže je lepšie ho občas použiť, ako ho nechať stále aktívny.
Zabezpečenie Wordfence
Tento plugin je podobný funkcionalite ako predchádzajúci, môžu sa používať paralelne, nebude to horšie. Rovnakým spôsobom nainštalujte, aktivujte, prejdite na kartu „Skenovať“ a kliknite na veľké modré tlačidlo „Spustiť skenovanie Wordfence“. Niektoré funkcie sú dostupné len pre platené (prémiové) účty, ale základná funkcionalita je tiež dobrá. Ak je s vašou stránkou všetko v poriadku, zobrazí sa zelený nápis „Blahoželáme! Wordfence nezistil žiadne bezpečnostné problémy“.
Poviem vám o ďalších pluginoch, ktoré sa dajú použiť aj na ochranu stránky.
Bezpečnosť Sucuri
Vo všeobecnosti je Sucuri spoločnosť, ktorá sa špecializuje na bezpečnosť webových stránok, takže poskytuje ochranu pre všetky stránky (nielen pre WordPress). Doplnok od tejto serióznej spoločnosti s pôsobivou povesťou má širokú škálu funkcií, ktoré predstavujú celý cyklus ochrany stránok vrátane prevencie hackerov a útokov na vaše stránky. Môžete použiť bezplatnú verziu alebo si môžete kúpiť platenú za 16,66 dolárov mesačne - dosť veľká suma, ale pre taký rozsah ochranných nástrojov je to celkom rozumné.
Aby ste mohli používať bezplatnú verziu, po inštalácii budete musieť vygenerovať bezplatný kľúč (v modrom bloku vyššie budete musieť kliknúť na tlačidlo „Generovať API kľúč“, skontrolovať správnosť zadaných údajov a odoslať žiadosť .
Zabezpečenie iThemes
Ak je Sucuri Security najlepším plateným bezpečnostným doplnkom, potom sa iThemes Security často nazýva najlepším bezplatným doplnkom na inštaláciu na zabezpečenie vášho webu. Navyše má teraz viac ako 800 tisíc inštalácií!
O funkcionalite toho veľa písať nebudem – ako všetky ostatné pluginy, ajThemes Security je zameraný na ochranu vášho webu pred väčšinou vecí, ktoré ho môžu ohroziť a zároveň na kontrolu existujúceho stavu webu. Mimochodom, plugin sa kedysi volal Better WP Security - možno si ho niekto pod týmto názvom pamätá.
Vo všeobecnosti, keď hovoríme o jeho funkciách, môžeme rozlíšiť nasledujúce aspekty tohto doplnku:
- skrývanie a mazanie potenciálne zraniteľných prvkov (bolo to napísané na začiatku článku - zmena prihlasovacieho mena správcu, prefixu databázy atď.);
- ochrana stránky pred útokmi (skenovanie zraniteľností, ochrana pred hrubou silou, šifrovanie admin panela atď.);
- monitorovanie lokality (pre náhle zmeny, blokovanie atď.);
- obnova (záloha pre prípad nepredvídateľnej situácie).
Teraz prejdime k samotnému používaniu tohto pluginu.
Nastavenie zabezpečenia iThemes
Na začiatok má aj PRO (teda pokročilejšiu) platenú verziu, takže in bezplatná verzia Nie všetky funkcie tohto doplnku sú dostupné (ale stále je ich veľa).
Po inštalácii aktivujte doplnok a prejdite do sekcie „Nastavenia“. V modrom bloku vyššie môžete povoliť ochranu hrubou silou (Network Brute Force Protection) – na to je potrebné vyžiadať si API kľúč, ktorý sa automaticky pridá do nastavení (ale aj pošle na váš mail).
Kliknite na " Bezpečnostná kontrola“ (ľavý horný blok alebo v ponuke pod „Nastavenia“) a kliknite na „Zabezpečená stránka“. Potom uvidíte zoznam povolených modulov.
Ďalší blok je " základné nastavenia“ (napravo od „Kontrola zabezpečenia“). Keďže je plugin takmer kompletne preložený, každá položka má svoje vlastné dekódovanie – odporúčam vám prejsť si ich všetky a zistiť, ktoré z nich sú pre vás najrelevantnejšie (aj keď ho nepoužívate, budete aspoň vedieť, kde je).
V režime " Žiadne miesta na sedenie e" môžete nastaviť čas, kedy bude panel správcu nedostupný. Nemusíte ho používať pravidelne, ale môžete ho použiť ako záchrannú sieť, keď nie ste pri počítači. Zároveň si ho môžete nastaviť ako priebežne (napríklad každú noc), tak raz za určitý deň a časové obdobie.
Blokovať " Blokovaní používatelia- tu je všetko jasné, dajte sem každého, koho treba zablokovať.
“Miestna ochrana hrubou silou“ - tento blok chráni pred hackovaním hesiel hrubou silou. Už to máte povolené, nastavenia môžete ponechať ako predvolené.
« Zálohy databázy» - nastavenie Rezervovať kópiu, v bezplatnej verzii ide len o databázy.
« Detekcia zmeny súboru» - mimoriadne užitočná funkcia, ktorá bude sledovať všetky zmeny v súboroch lokality; môžete rýchlo sledovať aktivitu, ktorá sa náhle objavila na stránke. Nezabudnite ho zapnúť.
“Povolenia súboru” - blok zobrazuje prístupové práva k súboru.
“Ochrana siete hrubou silou” - ochrana siete pred hrubou silou spočíva v tom, že ak sa hacker pokúsil hacknúť cudziu stránku, zablokuje sa mu aj prístup na vašu stránku, aj keď na vašu stránku ešte nespustil útok.
“SSL” - v tomto doplnku môžete nakonfigurovať používanie SSL, potom ak máte stránku hostenú spoločnosťou Timeweb, odporúčam vám použiť nastavenia na ovládacom paneli stránky.
“Silné presadzovanie hesla” - ak vaša stránka zahŕňa registráciu iných používateľov (fórum, blog ...), potom bude toto nastavenie užitočné, používatelia si budú musieť zvoliť iba zložité heslá pre svoje účty. V iných prípadoch sa nesmie použiť.
« Jemné ladenie systému" a " Prispôsobenie WordPressu" - títo dodatočné nastavenia sú potrebné na ďalšie zvýšenie ochrany vašich stránok. Existuje však jedno upozornenie - zahrnutie niektorých nastavení môže ovplyvniť fungovanie doplnkov. Preto by ste si nemali vyberať všetko naraz – zapínajte naraz jednu položku a skontrolujte výkon svojej stránky.
Nakoniec, " WordPress Soli» - nastavenie vám umožňuje pridať k heslu Tajný kľúč, ktoré bude oveľa náročnejšie vyzdvihnúť ako heslo samostatne. Zvyčajne ide o náhodnú množinu znakov, ktoré sa pridávajú počas hashovania. Toto nastavenie ("Change WordPress Salts") pravidelne používajte na zmenu soli.
Všetko o sekciách. Platená verzia ich má viac, no tieto stačia na ochranu stránky pred mnohými populárnymi typmi hackingu.
Záver
Pluginy sú základným prvkom bezpečnosti vašej stránky, no chcem vám pripomenúť, že nie sú jediné. Nezabudnite sledovať Aktualizácie WordPress a pluginy, pravidelne meniť heslá a zálohovať.
Už som skontroloval doplnok komplexnej ochrany blogu WordPress iThemes Security, ale rozhodol som sa otestovať ďalší All In One WP Security & Firewall. Najlepšou možnosťou je ponechať na svojich stránkach. Takže, poďme nainštalovať.
Prejdite na hlavnú stránku doplnku All In One WP Security & Firewall. Vidíme nasledujúci obrázok. A okamžite vidíme „Merač úrovne zabezpečenia“. Moja stránka získala 50 bodov zo 470 možných. No nie hrubé. Snáď po jeho úprave hladina porastie. Nemali by ste sa však snažiť získať čo najvyššie skóre, pretože to môže spôsobiť problémy pri práci s webom. Na pravej strane vidíme "Diagram zabezpečenia našej stránky."
nastavenie
Správcovia
Vlastný názov WP
Počas inštalácie WordPress automaticky priradí administrátorovi používateľské meno „admin“ (pokiaľ ho manuálne nezmeníte). Mnoho hackerov sa snaží využiť tieto informácie pomocou útoku hrubou silou, pri ktorom systematicky hádajú heslo pomocou slova „admin“ ako používateľského mena. Preto sa odporúča zmeniť ho na akýkoľvek iný.
Zobraziť meno
Keď zverejníte príspevok alebo odpoviete na komentár, WordPress zvyčajne zobrazí vašu „prezývku“. V predvolenom nastavení je zobrazované meno používateľa totožné s prihlasovacím menom. Pre bezpečnosť sa odporúča zmeniť to, aby nikto nezistil, pod akým prihlásením máte oprávnenie.
heslo
Zlé heslo je najčastejšou zraniteľnosťou na väčšine stránok a zvyčajne prvá vec, ktorú hacker urobí, aby prenikol na stránku, je pokúsiť sa uhádnuť heslo. AT túto sekciu môžete skontrolovať silu hesla, ktoré používate. Ak hacker získa vaše heslo, tu môžete odhadnúť čas, ktorý strávi.
Autorizácia
Jednou z najbežnejších metód, ktoré používajú hackeri, aby sa dostali na webovú stránku, je útok hrubou silou. Toto je názov viacerých pokusov o prihlásenie uhádnutím hesiel. Okrem výberu silných hesiel, monitorovania a blokovania IP adries zapojených do opakovaných neúspešných pokusov o prihlásenie v krátkom časovom období je blokovanie počtu pokusov o prihlásenie a obmedzenie časového obdobia pre takéto pokusy veľmi účinným spôsobom boja proti týmto typom útokov. .
Blokovanie autorizácie
- Povoliť možnosti blokovania pokusov o autorizáciu. Dali sme kliešť.
- Povoliť žiadosti o odomknutie. Nerozumiem, čo táto funkcia znamená. Nezapol som to.
- Maximálny počet pokusov o prihlásenie. Nastaviť hodnotu pre maximálny počet pokusy o prihlásenie, po ktorých bude IP adresa zablokovaná. Štandardne som nechal tri pokusy.
- Časový limit pre pokusy o autorizáciu (minúty). Predvolená hodnota je päť minút. Tri pokusy z predchádzajúceho odseku budú mať za následok zakázanie používateľa, ak sa pokusy uskutočnia v rámci tu uvedeného časového obdobia.
- Doba blokovania (minúty). Zadajte časové obdobie, počas ktorého budú adresy IP blokované
- Zobrazenie chybových hlásení autorizácie. Zaškrtnite túto možnosť, ak chcete, aby sa pri neúspešných pokusoch o prihlásenie zobrazilo chybové hlásenie. Nenasadil som si to. Nie je potrebné, aby útočník dostával informácie o chybách.
- Okamžite zablokujte neplatné používateľské mená. Túto možnosť som nepovolil z dôvodu, že ja sám môžem zadať prihlásenie nesprávne a budem zablokovaný na hodinu. Iní sa tiež môžu mýliť.
- Okamžité uzamknutie konkrétnych používateľských mien. Okamžité blokovanie konkrétnych používateľov. Najčastejšie sa pokúšajú hacknúť prihlasovacie údaje „admin“ a „správca“. Preto, ak ich nepoužívate, môžete ich pridať do zoznamu.
- Upozorniť e-mailom. Ak máte slabo navštevovanú stránku, môžete zaškrtnúť políčko. V opačnom prípade môžete byť bombardovaní týmito upozorneniami.
Zobrazuje záznamy o neúspešných pokusoch o prihlásenie na vašu stránku. Nižšie uvedené informácie môžu byť užitočné, ak potrebujete preskúmať pokusy o autorizáciu – zobrazuje rozsah IP adries, používateľské meno a ID (ak je k dispozícii) a čas/dátum neúspešného pokusu o prihlásenie.
Možnosti automatického delogovania používateľa
Nastavenie času vypršania platnosti administračnej relácie je jednoduchý spôsob ochrany pred neoprávneným prístupom na vašu lokalitu z vášho počítača. Táto možnosť vám umožňuje nastaviť časové obdobie, po ktorom vyprší relácia správcu a používateľ sa bude musieť znova prihlásiť.
- Povoliť automatické odhlásenie. Začiarknutím tejto možnosti sa automaticky ukončí relácia prihlásenia používateľa po určité obdobiečas. Ak to potrebujete, začiarknite políčko. Myslím, že ak prídeš len zo svojho domáci počítač- To je zbytočné.
- Odhlásiť používateľa cez. Po uplynutí tejto doby bude používateľ automaticky odhlásený.
Zobrazuje aktivitu administrátorov na vašom webe. Nižšie uvedené informácie môžu byť užitočné, ak robíte používateľský prieskum, pretože vám ukážu posledných 50 udalostí prihlásenia s používateľským menom, IP adresou a časom prihlásenia.
Všetci používatelia, ktorí sú v tento moment autorizované na vašej stránke. Ak máte podozrenie, že systém má aktívny používateľ, ktorý by tam nemal byť, potom ich môžete zablokovať tak, že skontrolujete ich IP adresu v zozname nižšie a pridáte ich na čiernu listinu.
Registrácia používateľa
Manuálne potvrdenie
Ak vaša stránka umožňuje ľuďom vytvárať si vlastné účty prostredníctvom registračného formulára WordPress, potom môžete ručným potvrdením každej registrácie obmedziť SPAM a falošné registrácie na minimum. Táto funkcia automaticky označí nové registračné účty ako „čakajúce“, kým ich administrátor neaktivuje. V tomto prípade sa nechcení registrujúci nemôžu prihlásiť bez vášho potvrdenia. Všetky nedávno zaregistrované účty si môžete pozrieť v praktickej tabuľke nižšie a zároveň môžete aktivovať, deaktivovať alebo vymazať viacero účtov súčasne.
- Aktivujte manuálne schvaľovanie nových registrácií. Toto políčko začiarknite, ak chcete, aby sa všetky nové účty automaticky vytvárali neaktívne a môžete ich overiť manuálne.
Captca pri registrácii
Táto funkcia vám umožňuje pridať na stránku pole CAPTCHA Registrácia WordPress. Okrem toho musia používatelia, ktorí sa pokúšajú zaregistrovať, odpovedať na jednoduchú matematickú otázku. Ak je odpoveď nesprávna, plugin im zabráni v registrácii. Keďže už mám captcha od Google nainštalovaný, túto funkciu som neaktivoval.
Ochrana databázy
Zálohovanie databázy
- Povoliť automatické zálohovanie. Zaškrtnite toto políčko, aby systém automaticky vytvoril plánované zálohy databázy.
- Záložná frekvencia. Závisí to od vašej podozrievavosti a frekvencie aktualizácie vašej stránky. Vytváranie kópie databázy nastavujem raz týždenne.
- Počet záloh na uloženie. Do tohto poľa zadajte počet záloh, ktoré sa majú uložiť v adresári záloh doplnku. Ponechal som predvolenú hodnotu - dve kópie.
- Pošlite zálohu na e-mail. Zaškrtnite toto políčko, ak chcete dostávať zálohu databázy na váš e-mail. Odporúčam zapnúť.
Ochrana súborového systému
Prístup k súborom
Nastavenia povolení na čítanie a zápis pre súbory a priečinky WordPress, ktoré vám umožňujú kontrolovať prístup k týmto súborom. O počiatočná inštalácia WordPress mu automaticky prideľuje primerané prístupové práva systém súborov. Niekedy však ľudia alebo doplnky zmenia povolenia na určité adresáre a súbory, čím znížia úroveň zabezpečenia svojich stránok nastavením nesprávnych povolení. Táto možnosť prehľadá všetky dôležité základné adresáre a súbory WordPress a zvýrazní všetky nezabezpečené nastavenia.
Úprava súborov PHP
V predvolenom nastavení vám panel správcu WordPress umožňuje upravovať súbory PHP pre doplnky a témy. Toto je prvá pomoc pre hackera, ktorý získa prístup do správcovskej konzoly, čo mu dáva možnosť spustiť ľubovoľný kód na vašom serveri.
Táto možnosť zakáže možnosť upravovať súbory z panela správcu.
- Vypnite možnosť upravovať súbory PHP. Začiarknutím tohto políčka zakážete úpravu súborov PHP z panela správcu WordPress.
Podľa mňa to nie je veľmi užitočná funkcia. Koniec koncov, ten istý hacker môže zrušiť začiarknutie políčka v rovnakom doplnku, ak získa prístup k vášmu profilu správcu. V dôsledku toho budete mať nepríjemnosti, pretože na vloženie kódu toho istého počítadla budete musieť prejsť na hosting.
Prístup k súborom WP
Táto možnosť zakáže prístup k súborom ako readme.html, license.txt a wp-config-sample.php, ktoré sú vytvorené počas inštalácie WordPress a nezaťažujú systém, ale obmedzenie prístupu k týmto súborom vám umožní skryť dôležité informácie pred hackermi. informácie (napríklad verzia WordPress).
- Zakázať prístup k informačným súborom vytvoreným predvolene pri inštalácii WordPress. Začiarknite toto políčko.
Systémové denníky
Váš server môže pravidelne publikovať chybové hlásenia v špeciálnych súboroch s názvom "error_log". V závislosti od povahy a príčiny chyby môže váš server vytvoriť viacero súborov denníka v rôznych adresároch vašej inštalácie WordPress. Z času na čas skontrolujete tieto protokoly, budete si vedomí akýchkoľvek väčších problémov s vašou stránkou a budete môcť tieto informácie použiť na ich vyriešenie.
vyhľadávanie WHOIS
Táto funkcia vám umožňuje získať podrobné informácie o IP adrese alebo doméne. Užitočná funkcia, pretože budete zvedaví na informácie o adresách votrelcov. Pri hľadaní takýchto služieb nie je potrebné surfovať po internete.
Funkcia „Blacklist“ vám umožňuje zablokovať určité IP adresy, rozsahy a používateľských agentov a odoprieť prístup na stránku tým používateľom a robotom, ktorí tieto IP adresy použili na rozosielanie spamu alebo z iných dôvodov. Táto funkcia je implementovaná pridaním určitých pravidiel do súboru .htaccess.
- Udržiavať čiernu listinu. Začiarknite toto políčko, ak chcete mať možnosť zakázať špecifické adresy IP alebo používateľských agentov.
- Zadajte adresy IP. Každá adresa na novom riadku.
- Zadajte mená používateľských agentov. Každý používateľský agent napíšte na samostatný riadok.
Aby ste mohli povoliť túto možnosť a získať 15 bezpečnostných bodov, musíte zadať aspoň jednu IP adresu alebo používateľského agenta.
POŽARNE DVERE
Základné pravidlá brány firewall
Možnosti na tejto karte vám umožňujú aplikovať na vašu stránku niektoré základné bezpečnostné pravidlá. Táto funkcia brány firewall je dosiahnutá pridaním niektorých špeciálnych príkazov do vášho súboru .htaccess. Povolenie týchto možností by nemalo mať žiadny vplyv na celkovú funkčnosť vašej stránky, ale ak chcete, môžete si pred povolením týchto nastavení vytvoriť zálohu svojho súboru .htaccess.
- Aktivujte základné funkcie brány firewall. Začiarknutím tohto políčka povolíte základné funkcie brány firewall na vašej lokalite. Odporúčam dať.
Táto možnosť spustí na vašom webe nasledujúci základný ochranný mechanizmus:
- Chráňte súbor htaccess pred neoprávneným prístupom.
- Zakáže podpis servera v odpovediach na požiadavky.
- Obmedzte veľkosť nahrávaných súborov na 10 Mb.
- Ochráni váš súbor wp-config.php pred neoprávneným prístupom.
Vyššie uvedená funkčnosť sa dosiahne pridaním určitých smerníc do súboru .htaccess a nemala by ovplyvniť celkový výkon vašej stránky. Pre istotu je však vhodné najskôr zálohovať súbor .htaccess.
WordPress XMLRPC a ochrana pred pingbackom
- Úplne zablokujte prístup k XMLRPC. Odporúčam dať. Jedna z mojich stránok bola znovu načítaná s takýmito požiadavkami a hostiteľ ma bombardoval sťažnosťami na preťaženie servera.
Táto funkcia je potrebná pre tých, ktorí publikujú a upravujú príspevky na svojom blogu prostredníctvom smartfónov. Ak ho nepotrebujete, pokojne ho vypnite. Útočník teda nebude môcť:
- Preťažiť server požiadavkami a tým ho zakázať (DoS útok).
- Hacknite interné smerovače.
- Skenujte porty vo vnútornej sieti a získajte informácie od rôznych hostiteľov na serveri.
Okrem zvýšenia bezpečnosti vašej stránky môže táto možnosť výrazne znížiť zaťaženie vášho servera, najmä ak vaše stránky prijímajú veľa nechcenej návštevnosti zameranej na XML-RPC API.
- Zakázať funkciu Pingback z XMLRPC. Dajte kliešť. Ochrana proti spätnému hláseniu.
Zablokujte prístup k súboru denníka ladenia
- Blokovať prístup k súboru debug.log. Blokovanie prístupu k súboru denníka ladenia. Začiarknite políčko.
Ďalšie pravidlá brány firewall
Na tejto karte môžete aktivovať ďalšie nastavenia brány firewall na ochranu vašej lokality. Tieto možnosti sa implementujú pridaním špecifických pravidiel do vášho súboru .htaccess. Vzhľadom na určité funkcie môžu tieto pravidlá narušiť funkčnosť niektorých doplnkov, preto sa odporúča pred ich povolením vytvoriť zálohu súboru .htaccess.
- Prezeranie obsahu adresárov. Začiarknutím tohto políčka zabránite voľnému prehliadaniu adresárov na vašej lokalite. Aby táto funkcia fungovala, musí byť vo vašom súbore httpd.conf zahrnutá direktíva „AllowOverride“. Ak nemáte prístup k súboru httpd.conf, kontaktujte svojho poskytovateľa hostingu.
- HTTP sledovanie. Začiarknutím tohto políčka sa ochránite pred sledovaním HTTP. Útoky založené na sledovaní protokolu HTTP (sledovanie medzi lokalitami alebo XST) sa používajú na extrahovanie informácií z hlavičiek http vrátených serverom a na ukradnutie súborov cookie a iných informácií. Táto technika hackovania sa zvyčajne používa v spojení s cross-site scripting (XSS). Táto možnosť je určená na ochranu pred týmto typom útoku.
- Zakázať komentáre prostredníctvom servera proxy. Začiarknutím tohto políčka zakážete komentovanie prostredníctvom servera proxy. Zakázať škodlivé reťazce v požiadavkách. Táto možnosť je navrhnutá tak, aby chránila pred vstupom škodlivého kódu počas útokov XSS. UPOZORNENIE: Niektoré z blokovaných reťazcov môžu byť použité v niektorých zásuvných moduloch alebo vo vašej téme, a preto táto možnosť môže narušiť ich funkčnosť. Pred nastavením tejto možnosti si nezabudnite zálohovať svoj .htaccess.
- Zabráňte škodlivým reťazcom v požiadavkách. Táto možnosť je navrhnutá tak, aby chránila pred vstupom škodlivého kódu počas útokov XSS. UPOZORNENIE: Niektoré z blokovaných reťazcov môžu byť použité v niektorých zásuvných moduloch alebo vo vašej téme, a preto táto možnosť môže narušiť ich funkčnosť. UISTITE SA, ŽE SI ZÁLOHUJETE SVOJ SÚBOR .HTACCESS.
- Aktivujte dodatočné filtrovanie znakov. Toto je dodatočné filtrovanie znakov na blokovanie škodlivých príkazov používaných pri útokoch XSS (cross-site scripting). Táto možnosť zachytáva bežné vzorky malvéru a exploity a vráti útočníkovi chybovú správu 403 (Prístup odmietnutý). UPOZORNENIE: Niektoré príkazy v týchto nastaveniach môžu narušiť funkčnosť stránky (závisí to od poskytovateľa hostingu). UISTITE SA, ŽE SI ZÁLOHUJETE SVOJ SÚBOR .HTACCESS.
Pravidlá brány firewall na čiernu listinu 6G
Povoľte tieto možnosti, ak chcete:
- Blokovanie zakázaných znakov bežne používaných pri útokoch hackerov.
- Blokovanie reťazcov kódovaných škodlivými adresami URL ako „.css“ atď.
- Ochrana proti bežným vzorom škodlivého kódu a špecifickým exploitom (sekvencie príkazov, ktoré využívajú známe zraniteľnosti) v URL.
- Blokovanie zakázaných znakov v parametroch dopytu.
Povoliť ochranu brány firewall 6G. Táto možnosť povolí ochranu 6G na vašom webe.
Povoliť staršiu ochranu brány firewall 5G. Táto možnosť povolí ochranu 5G na vašom webe.
Internetové roboty
- Blokujte falošné roboty Googlebot. Toto políčko začiarknite, ak chcete blokovať všetky falošné roboty Googlebot.
Táto funkcia skontroluje, či pole obsahuje Používateľský agent informačný reťazec „Googlebot“. V tomto prípade funkcia vykoná niekoľko testov, aby sa uistila, že ide skutočne o robota od Google. Ak áno, umožní to robotovi pokračovať v práci. S touto funkciou zaobchádzajte opatrne, aby ste v prípade chyby nenastali problémy s indexovaním.
Zabrániť horúcim odkazom
Hotlink – keď niekto na svojej stránke zobrazí obrázok, ktorý sa skutočne nachádza na vašej stránke, pomocou priameho odkazu na zdroj obrázka na vašom serveri. Keďže obrázok zobrazený na inej lokalite pochádza z vašej lokality, môže to pre vás viesť k strate rýchlosti a zdrojov, pretože váš server musí tento obrázok preniesť na ľudí, ktorí ho uvidia na inej lokalite. Táto funkcia zabraňuje priamym rýchlym odkazom na obrázky z vašich stránok pridaním niekoľkých pokynov do súboru .htaccess.
- Zabrániť odkazom na obrázky. Začiarknutím tohto políčka zabránite používaniu obrázkov z tejto lokality na stránkach iných lokalít (horúce odkazy).
Detekcia 404
Chyba 404 alebo „Stránka sa nenašla“ sa zobrazí, keď niekto požiada o stránku, ktorá nie je na vašom webe. K väčšine chýb 404 dochádza vtedy, keď návštevník napísal adresu URL stránky s chybou alebo použil starý odkaz na stránku, ktorá už neexistuje. Niekedy je však možné zaznamenať veľké množstvo chýb 404 za sebou v relatívne krátkom čase z rovnakej IP adresy, pričom požiadavky na URL stránky neexistujú. Toto správanie môže znamenať, že hacker sa pokúša nájsť nejakú špeciálnu stránku alebo URL so zlým úmyslom.
- Povoliť 404 IP Detection and Lockout. Toto políčko začiarknite, ak chcete zakázať uvedené adresy IP.
- Obdobie blokovania kvôli chybám 404 (v minútach). Zadajte časové obdobie, počas ktorého budú adresy IP blokované.
- Chyba 404 presmerovania adresy URL. Blokovaný návštevník bude automaticky presmerovaný na Vami zadanú adresu URL.
Môžete zablokovať všetky IP adresy, ktoré sú zaznamenané v tabuľke „404 Error Logs“ nižšie. Ak chcete zablokovať IP adresu, umiestnite kurzor myši na stĺpec ID a kliknite na odkaz Dočasne blokovať pre príslušnú IP adresu.
vlastné pravidlá
V súbore htaccess môžete nastaviť ďalšie pravidlá. Ničoho sa nedotýkame.
Ochrana proti útokom hrubou silou
Premenovať prihlasovaciu stránku
Účinným opatrením na ochranu pred heslom hrubou silou je zmena adresy prihlasovacej stránky. Zvyčajne, aby ste sa prihlásili do WordPress, zadáte základnú adresu stránky a potom wp-login.php (alebo wp-admin).
- Povoliť možnosť premenovania prihlasovacej stránky. Začiarknite políčko, ak chcete povoliť funkciu premenovania prihlasovacej stránky.
- Adresa (URL) prihlasovacej stránky. Uveďte Nová cesta adminovi.
Ochrana hrubou silou pomocou cookies
- Aktivujte ochranu proti útokom hrubou silou. Táto funkcia zakáže prístup na vašu prihlasovaciu stránku každému používateľovi, ktorý nemá vo svojom prehliadači špeciálny súbor cookie.
- Tajné slovo. Zadajte tajné slovo pozostávajúce z alfanumerických znakov (latinských písmen), ktoré bude ťažké uhádnuť. Toto slovo sa použije na vytvorenie špeciálnej adresy URL pre prístup na prihlasovaciu stránku (pozri nasledujúci odsek).
- Adresa URL presmerovania. Zadajte adresu URL, na ktorú bude hacker presmerovaný pri pokuse o prístup k vášmu prihlasovaciemu formuláru. Môžete ukázať svoju fantáziu a presmerovať hackerov napríklad na stránku CIA alebo FSB.
- Na mojom webe sú príspevky alebo stránky, ktoré sú chránené vstavanou funkciou ochrany obsahu WordPress heslom. V prípade, že svoje príspevky a stránky chránite heslom pomocou vhodnej vstavanej funkcie WordPress, je potrebné do súboru .htaccess pridať nejaké ďalšie smernice. Povolením tejto možnosti sa do súboru .htaccess pridajú potrebné pravidlá, aby ľudia pokúšajúci sa o prístup na tieto stránky neboli automaticky zablokovaní.
- Táto stránka má tému alebo doplnok, ktorý používa AJAX. Začiarknite políčko, ak váš web používa funkciu AJAX.
Captcha pre prihlásenie
Táto funkcia vám umožňuje pridať pole CAPTCHA na prihlasovaciu stránku WordPress.
- Povoľte CAPTCHA na prihlasovacej stránke. Začiarknutím tohto políčka pridáte obrázok CAPTCHA na prihlasovaciu stránku svojho webu.
- Aktivujte formulár CAPTCHA na upravenej prihlasovacej stránke. Začiarknutím tohto políčka pridáte CAPTCHA do špeciálneho prihlasovacieho formulára vygenerovaného funkciou wp_login_form()
- Aktivujte CAPTCHA na stránke „stratené heslo“.. Začiarknutím tohto políčka pridáte obrázok CAPTCHA na stránku obnovenia hesla.
Whitelist pre prihlásenie
Funkcia All In One WP Security whitelist vám umožňuje obmedziť prístup na prihlasovaciu stránku WordPress z konkrétnych adries alebo rozsahov IP. Pridajte zoznam adries IP alebo rozsahov adries IP na zozname povolených. Všetky ostatné adresy budú zablokované hneď, ako sa pokúsia otvoriť prihlasovaciu stránku.
Sud s medom (medovník)
Táto funkcia vám umožňuje pridať na prihlasovaciu stránku špeciálne skryté pole „honeypot“. Viditeľné bude iba pre roboty. Pretože roboty zvyčajne vyplnia všetky polia v prihlasovacom formulári, nejakú hodnotu pošlú aj v špeciálnom, skrytom poli medovníka. Ak teda plugin uvidí, že toto pole bolo vyplnené, robot, ktorý sa pokúsi prihlásiť na vašu stránku, bude presmerovaný na svoju vlastnú adresu, konkrétne http://127.0.0.1.
- Aktivujte si medový hrniec na prihlasovacej stránke. Začiarknutím tohto políčka povolíte funkciu medového hrnca na prihlasovacej stránke.
Ochrana proti SPAMu
Spam v komentároch
- Aktivujte CAPTCHA vo formulároch komentárov. Začiarknutím tohto políčka vložíte do formulára komentára pole CAPTCHA.
- Blokujte spamovacie roboty v komentároch. Začiarknutím tohto políčka povolíte pravidlá brány firewall na blokovanie komentárov od spamovacích robotov.Táto funkcia vytvorí pravidlo brány firewall, ktoré zablokuje pokusy o napísanie komentára, ak žiadosť neprichádza zo stránky vašej domény. Úprimný komentár vždy odošle osoba, ktorá vyplní formulár komentára a klikne na tlačidlo odoslať. V tomto prípade má pole HTTP_REFERRER vždy hodnotu, ktorá odkazuje na vašu doménu. Komentár od spamového robota je okamžite odoslaný požiadavkou do súboru comments.php, čo zvyčajne znamená, že pole HTTP_REFERRER môže byť prázdne, alebo odkazuje na doménu niekoho iného. Táto funkcia kontroluje a blokuje komentáre, ktoré nepochádzajú z vašej domény. To výrazne znižuje celkový počet SPAM a PHP požiadaviek na váš server pri spracovaní spamových požiadaviek.
Sledovanie adries IP pre nevyžiadanú poštu
Musí byť nainštalovaný doplnok Akismet.
- Povoliť automatické blokovanie adries IP komentárov nevyžiadanej pošty. Nastavte automatické blokovanie IP adries, z ktorých vpam prichádza do komentárov.
- Minimálny počet SPAM komentárov. Zadajte minimálny počet spamových komentárov pre jednu IP adresu, po ktorom bude zablokovaná.
- Minimálny počet spamových komentárov na IP. Tieto informácie môžu byť užitočné pri určovaní adries IP alebo rozsahov IP, ktoré najčastejšie používajú spameri. Analýza týchto informácií vám umožní rýchlo určiť, ktoré adresy alebo rozsahy by mali byť blokované ich pridaním na čiernu listinu.
BuddyPress
Táto funkcia pridá jednoduchý matematický CAPTCHA do prihlasovacieho formulára BuddyPress. Pridanie poľa CAPTCHA do registračného formulára je jednoduchý spôsob, ako výrazne znížiť počet spamových registrácií od robotov bez zmeny pravidiel v súbore .htaccess.
Skener
- Aktivujte automatickú kontrolu zmien súborov. Zaškrtnite toto políčko, aby systém automaticky kontroloval zmeny v súboroch na základe nižšie uvedených nastavení.
- Frekvencia skenovania. Zadajte frekvenciu skenovania.
- Ignorujte súbory nasledujúcich typov. Najprv zadajte obrazové súbory, ktoré sa môžu často meniť bez ohrozenia bezpečnosti stránky: jpg, jpeg, png, bmp.
- Ignorujte určité súbory a priečinky. Najprv zadajte priečinok s vyrovnávacou pamäťou.
Režim údržby
Táto možnosť vám umožňuje uviesť vašu stránku do režimu údržby, čím znemožníte zobrazenie stránky iným návštevníkom ako administrátorom. To môže byť veľmi užitočné, ak niečo upravujete, meníte dizajn, kontrolujete pluginy atď. atď.
Zmiešaný
- Aktivujte ochranu proti kopírovaniu. Povoľte túto možnosť, ak chcete vypnúť funkcie Kliknutie pravým tlačidlom myši, Označenie textu a Kopírovanie verejné stránky vaše stránky.
- Aktivujte ochranu prvkov iframe. Túto možnosť začiarknite, ak chcete iným webovým stránkam zabrániť v zobrazovaní vášho obsahu v rámci alebo prvku iframe.
- Zakázať zoznam používateľov. Táto funkcia vám umožňuje zabrániť používateľom/botom získavať informácie o používateľovi, ako napríklad „/?Author=1“. Keď je táto funkcia povolená, namiesto poskytovania informácií o používateľovi vyvolá chybu.
Ohodnoťte článok
All In One WP Security & Firewall Plugin pre WordPress
4,3 (86,67 %) 3 hlasy