Каждый, кто впервые сталкивается с настройкой безопасности сайта, задумывается какой всё-таки плагин установить и настроить для этой цели.

Выбор не маленький. Если вбить «Security» в поле поиска плагинов, результат выдачи будет достаточно длинным.

В любом случае, стоит придерживаться самых популярных, активно поддерживаемых и конечно же тех, которые заслужили большее количество оценок.

В этом обзоре я решил установить 4 плагина для защиты WordPress, и выяснить какой же все-таки из них лучше для обычного пользователя:

Первые три предлагают также премиум функционал, но я не буду включать его в обзор.
Пожалуй в про нет таких функций, без которых нельзя прожить, или которые нельзя заменить на бесплатную альтернативу.

Отмечу, что это не детальный обзор всех возможностей, скорости работы кода или требований. Это разбор базового функционала настройки безопасности и уровня работы с ним.

Ограничение попыток входа

• Wordfence Security

Опция включающая защиту аутентификации называется Enable login security . К сожалению, плагин не переведен на русский язык.

В нижней части страницы находится блок настроек: количество попыток входа, время учета попыток, время блокировки и ряд других опций.

• iThemes Security

Модуль защиты входа находится в разделе Local Brute Force Protection . Пользователям этого плагина чуть больше повезло с русской локализацией.

Чуть ниже можно включить модуль сетевой защиты Network Brute Force Protection . Для этого нужно запросить API ключ, и в бан список будут автоматически попадать адреса, которые уже пытались взламывать чужие сайты.

• Shield Security

Защита входа находится на вкладке Login Protection . Перевод на русский язык есть, и в целом хочу отметить очень приятный и логичный интерфейс.

Можно также заметить, что здесь можно использовать reCAPTCHA, настроить двух-факторную аутентификацию, переименовать страницу входа wp-login.php, и даже связать с Yubikey.

• All in One WP Security

Блок настроек для защиты от брутфорса находится на странице User Login . Перевода готового нет. Опции схожи с аналогичными модулями других плагинов.

На соседних вкладках можно посмотреть журналы событий.

Файервол

• Wordfence

Firewall это один из главных функциональных модулей плагина WordFence. Есть два режима Basic и Extended. Последний позволяет блокировать некоторые атаки даже до старта WordPress, но требует более глубокого понимания серверных настроек.

В бесплатной (community) версии правила блокировки обновляются спустя 30 дней после того как они были добавлены в про.

• iThemes Security

Файервола в этом плагине нет. А рекомендует iThemes пользоваться сервисом Sucuri Website Firewall (платно).

• Shield Security

В настройках этого плагина вы не запутаетесь, вкладка Firewall находится на видном месте. В целом, рекомендуется включить все опции.

• All in One WP Security

Страница блокировок выглядит объемной благодаря тому, что функционал разбит по вкладкам. Место занимает справка и значки уровня защиты (хотя зачем нужны последние). Опций немного, их можно включить все по необходимости.

Журнал изменений и действий

• Wordfence

Автоматическое сканирование можно включить на странице Options в пункте Enable automatic scheduled scans , и не забыть указать чуть ниже емайл (Where to email alerts ).

Wordfence предоставляет большой контроль что сканировать, как и когда отправлять отчет.

• iThemes Security

Функционал монитора находится в блоке Обнаружение изменений файлов .
Сканирование происходит по частям. Можно исключить некоторые файлы, папки или типы файлов.

На вкладке Основные настройки можно также включить и настроить отправку уведомлений о блокировке хостов или пользователей.

• Shield Security

Сканирование изменений и журнал действий можно настроить в двух разделах: Hack Protection и Audit Trail .

В первом модуле настраивается сканирование целостности файлов и их исправление, а также сканер неопознанных файлов.

В модуле Audit Trail отслеживается и отправляется отчет по разнообразным событиям в WordPress (активность связанная с плагинами и темами, действия в пользовательских аккаунтах, редактирование и публикация записей и др).

• All in One WP Security

Модуль отслеживания изменений находится на странице Scanner . Там можно произвести сканирование вручную, или настроить расписание.

Вывод, по мониторингу изменений и журналированию действий у нас два победителя: Wordfence и Shield Security . В зависимости от задачи.

Стоит заметить, что сканирование файловой системы довольно интенсивный процесс, поэтому включать и настраивать нужно с умом.

Блокирование хостов

• Wordfence

Wordfence предоставляет гибкий инструмент для блокировки пользователей.

Можно задать ряд условий для наступления блокировки.

Можно блокировать IP вручную. Или использовать более продвинутые способы: блокировать диапазон, юзер-агент и прочее. Функционал блокировки по странам доступен в премиум версии.

• iThemes Security

Функционал находится на вкладке Заблокированные пользователи . Можно включить бан список от сайта HackRepair.com, и запретить доступ отдельным хостам или юзер-агентам.

• Shield Security

Список составляется автоматически , его настройки и включение можно найти в модуле IP Manager . Ручного добавления нет.

• All in One WP Security

Пользовательские IP и юзер-агенты можно вручную блокировать на странице Blacklist Manager .

Победителями по блокировке можно назвать Wordfence за гибкость настраивания условий блокировки, и Shield Security если вы согласны полностью положиться на автоматическую систему блокировок.

Итоговое сравнение плагинов

Рассматривается только общий базовый функционал. Разумеется, у каждого плагина по защите есть ряд своих особенностей. Антиспам, бэкап базы, настройка пользователей, права файлов и каталогов, отключение лишнего функционала и т.д. Но это такие второстепенные вещи, либо их можно реализовать альтернативными решениями более гибко и узконаправлено.

Моя общая оценка исходит из функционала и удобства использования следующих модулей:

• Защита входа;

Отслеживание изменений/аудит;

Блокировка хостов;

По результатам обзора на звание лучшего плагина для защиты WordPress безусловно вырывается вперед Wordfence . Хотя его интерфейс может показаться запутанным на первый взгляд. На официальном сайте есть хорошая документация (на английском).

Очень порадовал в обзоре Shield Security , русифицированный и четкий интерфейс, очевидно направленный на пользователей менее подготовленных или не желающих вникать во все тонкости настроек безопасности.

Из двух оставшихся плагинов я бы отдал предпочтение несомненно iThemes Security , хотя бы за более логичный и чистый интерфейс.

All in One WP Security не могу назвать плохим плагином, он выполняет свою задачу. Но лидером в этой четверке он тоже не является. Здесь как раз показатель того, что плагины с наращиваемым премиум функционалом стараются в большей степени идти с требованиями рынка, и это конечно сказывается на бесплатных версиях.

Функционал у всех перечисленных плагинов модульный, т.е. при необходимости их можно даже настроить на совместную работу. Ну или исключить лишнее, оставить только необходимое.

Если делать по уму, то к безопасности и её настройкам следует подходить индивидуально в зависимости от назначения сайта, технической реализации и условий его работы.

Всем привет! Безопасность и ещё раз безопасность! Если вы ранее читали на моём блоге статью « », то наверняка заинтересовались дополнительной безопасностью для своего сайта. Да и вообще, любой адекватный вебмастер должен любить и оберегать своё детище. В этой статье я расскажу обо всех опциях плагина All In One WP Security и покажу как их правильно настроить.

Важно

На моём блоге есть серия уроков « ». И если вы настроили безопасность сайта с учётом рекомендаций этих уроков то учтите, что плагин All In One WP Security продублирует функции других плагинов защиты. Например, функции:

• блокировка IP адреса после неверных попыток авторизации
• капча в комментариях
• смена страницы входа в админку и прочее

Поэтому, оставьте всё как есть и не устанавливайте плагин, или по мере настройки плагина All In One WP Security внимательно анализируйте функции защиты, чтобы они не дублировались функциями уже установленных плагинов. И если увидели дубль, то отключайте дублирующий плагин, чтобы все настройки All In One WP Security работали правильно.

Возможно, вы спросите меня, почему в курсе по созданию блога своими руками я порекомендовал настраивать безопасность WordPress через интеграцию кода, отдельными плагинами и прочее? Дело в альтернативе. И между прочим, по моим замерам скорости загрузки и в целом работы сайта, я не заметил разницы между всеми задействованными рекомендациями из трёх частей 13 урока, от плагина All In One WP Security. Среди вас есть личности, которые не поверят мне на слово и будут продолжать интегрировать код в движок, обходя стороной «тяжеловесные плагины», делайте как знаете.

Установка плагина

Итак, приступим. Для начала установим плагин All In One WP Security и активируем его:

После этого в административной панели сайта появится меню плагина:

При наведении на него курсора мыши всплывает контекстное меню:

Панель управления

Думаю вначале лучше познакомиться с панелью управления, для перехода в которую вам необходимо кликнуть по элементу меню плагина в админке, или навести курсор мыши на «WP Security» и кликнуть по «Панель управления». Далее, вы увидите пять вкладок:

Вкладка «Панель управления»

Изначально мы находимся во вкладке «Панель управления». Здесь вы можете увидеть блоки:

• Активных сессий
• Режим обслуживания
• Последних 5 авторизаций
• Заблокированные IP адреса

Измеритель уровня безопасности

Этот блок отображает текущий уровень безопасности на основании всех настроек плагина:

Измеряется он в балах, которые добавляются после активации той или иной настройки. Чем выше текущий показатель безопасности, тем лучше. Но у меня так и не вышло повысить уровень безопасности до максимального значения в 505 баллов (версия плагина на момент написания статьи Версия 4.3.2). Это связано с ненужными функциями для моего блога, которые я не включал.

Диаграмма безопасности Вашего сайта

Эта диаграмма отображает все текущие изменения в настройках:

Это некая статистика, которая позволяет быстро сориентироваться в состоянии настроек.

Блок «Активных сессий»

В этом блоке отображается информация о текущих сессиях в административной панели сайта:

Как правило, блок отображает уведомление: «Сейчас нет активных пользователей, кроме Вас». Разумеется, если нет других аккаунтов с разрешением работать в админке сайта, а по факту вы видите в этом блоке неизвестный аккаунт, то это хакер.

Режим обслуживания

Очень удобная функция:

Я не спорою, что режим обслуживания можно включить редиректом, на ранее созданную страницу, через.htaccess, но в плагине эта опция уже есть, а это значительно облегчает жизнь во время, например, технического обслуживания сайта. В добавок можно настроить страницу обслуживания на свой вкус. Для настройки и включения режима обслуживания кликните по кнопке «on/off». После чего вы попадаете на страницу настроек режима обслуживания. Чтобы включить режим необходимо установить галку в блоке «Включить режим обслуживания» и сохранить настройки. Дополнительно можно настроить отображаемый текст, вставить картинку и прочее. А это можно изменить в блоке «Введите сообщение».

Этот блок содержит информацию о дате и пяти последних IP-адресов, с которых осуществлялся вход в администраторскую зону сайта:

Эта информация пригодится не только в целях безопасности, но и для отслеживания сессий других учётных записей.

Заблокированные IP адреса

В этом блоке отображаются IP адреса, которые были заблокированы плагином All In One WP Security или вами вручную:

На скриншоте записей нет, но в случае блокировки IP адресов записи появится.

Текущий статус самых важных функций

В этом блоке можно увидеть статус критически важных мер безопасности:

Как видим все ползунки изначально состоят в положении «OFF». Я специально создал условия с банальным логином «admin», чтобы рассказать и показать как выполняются минимальные рекомендации для обеспечения защиты вашего сайта.

Администраторы

Пункт настроек «Администраторы» отвечает за контроль учётных записей администраторов сайта. Здесь вы увидите следующие вкладки:

Пользовательское имя WP

В первой вкладке «Пользовательское имя WP» отображается список администраторов. Также здесь можно увидеть предупреждение о логинах, которые могут быть скомпрометированы:

Как видим, плагин считает логин «admin» небезопасным, и предполагает его переименовать. Давайте так и поступим. Для смены логина в пустом поле «Новое имя пользователя для администратора» введите новое имя, к примеру, ещё одна банальщина - «wpadmin». После этого кликните по «Изменить имя пользователя». Далее, система автоматически выйдет из учётной записи для того, чтобы вы залогинились с новыми именем администратора. После этого вы снова окажетесь во вкладке «Пользовательское имя WP».

Теперь, обратите внимание на блок «Изменение имени пользователя Администратора», а именно на баллы:

Поздравляю, вам засчитано 15 баллов из 15 за выполнение одной базовой рекомендации по настройке безопасности WordPress.

Опытные веб-мастера прекрасно знаю, что стандартным функционалом нельзя изменить имя администратора, а вот с помощью плагина All In One WP Security можно. Кто читал первую часть урока «Настройка безопасности WordPress» знает, с какими трудностями можно столкнуться при создании учётной записи администратора с новыми именем и привязки к ней почты от старого аккаунта.

Пароль

Теперь посмотрим во внутрь вкладки «Пароль». В блоке «Проверка надёжности пароля» можно ввести ваш текущий пароль и получить следующую информацию:

Как видим, бот-подборщик паролей, запущенный с обычного компьютера, будет подбирать такой пароль очень и очень долго, даже если обойти защиту плагина.

Отображаемое имя

Вас, наверное, интересует почему я пропустил вкладку «Отображаемое имя». Я его оставил на закуску. Полезность этого пункта рассчитана на совсем новеньких пользователей WordPress. Здесь вы можете увидеть количество балов, как и в каждом меню настроек. А в случае совпадения никнейма с логином администратора вы увидите предупреждение:

Изменить ник вы можете кликнув по логину админа, или наведя курсор мыши на «Пользователи», в меню административной панели, кликнув по пункту «Ваш профиль». Если вы не проходили мой курс по созданию блога, то сперва введите в поле «Ник (обязательно)» видимое имя в качестве автора статей, которое не совпадает с логином админа. Далее, в выпадающем списке «Отображать как» выберите ранее введённый никнейм. После этого сохранитесь. Теперь при посещении меню настроек «Администраторы», плагина All In One WP Security, во вкладке «Отображаемое имя» будет отображаться надпись:

Настройки

Общие настройки

По умолчанию вы находитесь во вкладке «Общие настройки». Здесь вам доступны следующие полезные функции:

• создание резервной копии базы данных
• создание резервной копии файла.htaccess
• создание резервной копии файла wp-config.php

Ещё доступны опции включения и отключения функции безопасности и всех функций файерволла All In One WP Security. Советую всегда, перед изменением настроек плагина читать пояснения к опциям, например:

.htaccess и wp-config.php

Обратите внимание на вкладки «.htaccess Файл» и «wp-config.php Файл». В настройках этих вкладок можно создавать и восстанавливать резервную копию, как вы уже догадались, .htacces и wp-config.php. Это весьма удобно, и не требует FTP-клиента.

WP Version Info

Для меня более интересной вкладкой является следующая - «WP Version Info». Кто не знает, поясняю. WordPress генерирует метатег с атрибутом content, который, в свою очередь, имеет значение текущей версии движка сайта. Это небезопасно, крайне небезопасно! Поэтому, необходимо в блоке «Удаление мета-данных WP Generator» установить галку возле «Check this if you want to remove the version and meta info produced by WP from all pages» и кликнуть «Сохранить настройки».

Импорт/Экспорт

Вкладка Импорт/Экспорт отвечает за создание, так сказать, шаблона настроек. Настроив плагин All In One WP Security на одном из ваших проектов, вы можете перенести настройки на другие сайты. Это весьма удобно даже в том случае, если вы настроили плагин, сделали экспорт настроек, но резко возникла необходимость восстановить бэкап сайта.

Advanced Settings

Последняя вкладка «Advanced Settings» отвечает за метод получения данных об IP адресе каждого из посетителей. Если вы не знакомы с PHP на довольно хорошем уровне, а суперглобальный массив $ _SERVER увеличивает зрачки ваших глаз, то попрошу не приближаться к данной вкладке.

Авторизация

В этом пункте настроек плагина All In One WP Security мы видим следующие вкладки:

Блокировка авторизаций

В описании к этой вкладке вы, наверное, уже прочли наставление разработчиков о Брутфорс-атаках. Далее, вам необходимо отметить галками опции возле блоков:

• Включить опции блокировки попыток авторизации
• Допускать запросы на разблокирование (на тот случай, если вы заблокировали сами себя)
• Выводить сообщения об ошибках авторизации (повышает шансы себя не заблокировать)
• Уведомлять по Email (всегда быть в курсе неудачных попыток входа, что позволяет сразу реагировать на возможные попытки взлома)

Спускаемся ниже к глобальному блоку «Диапазон временно заблокированных IP адресов». Здесь вы можете перейти в статистику заблокированных адресов кликнув по «Locked IP Addresses».
В блоке «Login Lockdown IP Whitelist Settings» можно настроить список белых IP адресов, например, адрес вашего компьютера, к которым не будут применяться настройки блокировки. Для этого в блоке «Enable Login Lockdown IP Whitelist» необходимо отметить галкой пункт активации настройки, а в блоке «Введите IP-адреса для белого списка» ввести свой IP адрес. Не забываем сохраняться, чуть ниже. Но я не рекомендую настраивать белый список. Злоумышленники могут подделать ваш IP адрес.

Ошибочные попытки авторизации

Двигаемся дальше. Во вкладке «Ошибочные попытки авторизации» приведёт список безуспешных попыток авторизации. Эта информация весьма полезна в плане аналитики попыток залогиниться. Кому важна эта статистика, может экспортировать её в файл CSV:

Автоматическое разлогинивание пользователей

Вклада «Автоматическое разлогинивание пользователей» не менее важна чем остальные настройки. Здесь вы можете включить разлогинивание пользователей админки через указанное время бездействия, например, 60 минут:

Журнал активности аккаунта

Далее, переходим в «Журнал активности аккаунта». Здесь вы можете увидеть время входа и выхода с админки конкретного пользователя. Сохраняется лишь 50 запись на все учётные записи. Подобная информация полезна для анализа активности:

Эти данные вы также можете экспортировать в файл CSV.

Активных сессий

В последней вкладке «Активных сессий» отображаются учётные записи в реальном времени, под которыми выполнен вход в администраторскую часть сайта:

Регистрация пользователя

В 99% случаев, настройка «Регистрация пользователя» для блога, в плагине All In One WP Security, упускается. Но я всё равно расскажу об опциях следующих вкладок:

Подтверждение вручную

Если ваш сайт предусматривает регистрацию, а количество оставляемого пользователями спама оставляет желать лучшего, то следует включить ручное утверждение нового пользователя во вкладке «Подтверждение вручную». Это позволит закрыть доступ к авторизации до момента ручного подтверждения регистрации пользователя лично вами. Что это даёт в принципе. Как показывает практика, на одном из моих проектов, встречаются индивиды, которые изначально регистрируют почты по типу: [email protected], [email protected], [email protected] и т.д. Подобные почты используют во время новой регистрации, после того, как я забанил первый аккаунт некой личности. И если я вижу, что недавно попадался на глаза похожая почта спамера, то баню регистрацию. В итоге спамер не может залогиниться и заюзать ту же самую почту повторно для регистрации, хоть он и не успел оставить спам.

Поэтому, если есть необходимость в дополнительной модерации пользователей сразу после регистрации, нужно в блоке «Активировать ручное одобрение новых регистраций» установить галку и сохранить настройки.

CAPTCHA при регистрации

Следующая вкладка «CAPTCHA при регистрации» добавляет капчу на страницу регистрации пользователя. Капчу можно активировать установив галку в блоке «Активировать CAPTCHA на странице регистрации». Я считаю эту функцию необходимой и полезной. Разумеется, если у вас предусмотрена регистрация новых пользователей.

Registration Honeypot

Вкладка «Registration Honeypot» очень полезная функция для блокировки навороченных ботов регистрации. Советую включить эту опцию в блоке «Enable Honeypot On Registration Page». Сохраняемся.

Защита Базы данных

Группа настроек «Защита Базы данных» состоит из двух вкладок:

С настройками в первой вкладке «Префикс таблиц БД» будьте крайне внимательны. Необходимо сразу сделать резервную копию базы данных во вкладке «Резервное копирование БД».

Резервное копирование БД

Рассмотрим вкладку «Резервное копирование БД». Для создания резервной копии базы данных кликните по кнопке «Создать бэкап базы данных сейчас». После успешного создания бэкапа вы увидите следующую информацию:

На скриншоте указано расположение моей базы данных. У вас адрес будет свой.

А также в этой вкладке вы можете настроить регулярное создание копии БД. Для этого установите галку в блоке «Включить автоматическое создание бэкапов». Дополнительно можете настроит как часто создавать копии, сколько копий хранить на сервере и отправку копии по почте. Не забываем сохраняться.

Префикс таблиц БД

Возвращаемся к вкладке «Префикс таблиц БД». Если вы не меняли префикс базы данных, то он имеет значение «wp_». Именно об этом вы и увидите предупреждение:

Чтобы присвоить всем таблицам в базе данных другой префикс вам нужно задать его в поле блока «Сгенерировать новый префикс таблиц БД». После этого кликните по «Изменить префикс таблиц». Если же вы мало разбираетесь в том, какой префикс должен быть, то советую поставить галку возле «Отметьте, чтобы плагин сам сгенерировал префикс длиной в 6 случайных символов», а поле «Введите собственный вариант префикса, используя латинские буквы, цифры и символ подчеркивания» оставить пустым.

Защита Файловой системы

Теперь изучим комплекс настроек «Защита Файловой системы» плагина All In One WP Security. Этот пункт настроек состоит из четырёх вкладок:

Доступ к файлам

По умолчанию мы находимся во вкладке «Доступ к файлам». Если вы сомневаетесь какой CHMOD (права доступа) установить на ту или иную папку на сервере, то плагин All In One WP Security решит всё за вас. Обратите внимание на таблицу в этой вкладке. Если у плагина будет замечание касательно текущих прав доступа, то вы увидите в колонке «Рекомендуемое действие» надпись «Установить рекомендуемые разрешения»:

Если же замечаний нет, то надпись «Действие не требуется». Чтобы применить рекомендуемые настройки CHMOD кликните по «Установить рекомендуемые разрешения».

Редактирование файлов PHP

В этой вкладке устанавливается запрет на редактирование файлов PHP из административной среды. Советую установить галку в блоке «Отключить возможность редактирования PHP-файлов».

Доступ к файлам WP

Обычно, сразу после установки WordPress, я удаляю файлы: readme.html, wp-config-sample.php и т.д. Но бывают случаи, когда новичков спасает образец того же файла конфигурации. Поэтому, рекомендую установить галку в блоке «Запретить доступ к информационным файлам, создаваемых по умолчанию при установке WordPress».

Системные журналы

Эта вкладка рассчитана на опытных вебмастеров. Иначе смотря в лог ошибок сайта вы не сможете разобраться в сути проблемы.

WHOIS-поиск

По моему скромному мнению, это отличный инструмент для получения хоть какой-то информации, например, о заблокированном пользователе. Естественно, вы можете пользоваться сайтом WHOIS, но зачем, если есть WHOIS-поиск в плагине All In One WP Security.

Черный список

Плагин All In One WP Security позволяет заблокировать не только по IP адресу, но и юзер-агентов. Юзер-агентами можно считать разнообразные пауки/боты поисковых систем, различных сервисов аналитики и прочее, которые создают чрезмерную нагрузку на сервер. Эта настройка будет полезна даже в том случае, если вы не желаете чтобы, например, бот гугла сканировал ваш сайт. Все настройки, заданные в пункте «Черный список», будут внесены в.htaccess.

Файрволл

Настройка «Файрволл» состоит из семи вкладок:

Итак, начнём по порядку.

Прежде чем начать вносить настройки в файл.htaccess через плагин All In One WP Security обязательно сделайте резервную копию.htaccess.

Базовые правила файрволла

Если вы не используете, например, плагины автопостинга в социальные сети, то можете смело установить везде галки и сохранить настройки этой вкладки. Но я советую включить лишь следующие пункты:

• Активировать основные функции брандмауэра
• Disable Pingback Functionality From XMLRPC
• Block Access to debug.log File

Думаю с первой настройкой все ясно, а вот две следующих опции носят обязательный характер. «Disable Pingback Functionality From XMLRPC» запретит обратные запросы, например, от сервисов статистики, но оставит разрешёнными запросы к сервисам. Опция «Block Access to debug.log File» запретит доступ к отладочному файлу, который может содержать в себе уязвимую служебную информацию.

Дополнительные правила файрволла

В этой вкладке советую включить все настройки кроме: «Отключить возможность просмотра директорий». Дело в том, что запрет на просмотр директорий задаётся директивой «AllowOverride» в конфигурационном файле httpd.conf на сервере. Внести подобные настройки можно лишь в том случае, если у вас VPS, VDS, арендованные или свой сервер. В противном случае оставьте эту настройку без галки.

Вы можете ознакомиться для чего каждая настройка необходима, кликнув по «+ Подробнее»:

В принципе, практически все настройки файрволла, представленные в плагине All In One WP Security необходимы для обеспечения защиты WordPress.

6G Blacklist Firewall Rules

Файрволл 6G не имеет никакого отношения к мобильной связи. Этот файрволл представляет собой защиту от множества вредоносных запросов URL, плохих ботов, спам-рефереров и других атак. Включение правил файрвола шестого поколения, значительно снизит нагрузку на сервер, разумеется, если подобные запросы будут. Рекомендую включить 6G и 5G защиту.

Интернет-боты

Вкладка «Интернет-боты» блокирует вредоносных ботов, которые маскируются под googlebot. Рекомендую включить опцию «Блокировать ложные Googlebots». Другие поисковые роботы не будут заблокированы.

Предотвратить хотлинки

Опция вкладки «Предотвратить хотлинки» обязательна к активации. Включите опцию и сохранитесь. Это позволит снизить нагрузку на сервер, если ваши ссылки на ваши изображения будут размещены вне вашего сайта. Это никак не влияет на автопостинг в социальные сети и другие места.

Детектирование 404

Предпоследняя вкладка «Детектирование 404» также обязательна к активации. Включите опцию «Enable 404 IP Detection and Lockout». Эта настройка отвечает за блокировку IP адресов, с которых за короткий промежуток времени осуществляют множество запросов на несуществующие страницы. В большинстве случаев это свидетельствует о хакерской атаке, в поиске уязвимой страницы. Вы также можете дополнительно изменить время на которое будет забанен IP адрес злоумышленника. В блоке «URL перенаправления при ошибке 404», как правило, автоматически прописывается адрес главного зеркала сайта. Рекомендую этот адрес не менять. А в таблице «Логи ошибок 404» выводятся данные о посещении несуществующих страниц. Лог можно выгрузить в CSV-файл.

Custom Rules

Последняя вкладка «Custom Rules» выполняет функцию добавления ваших личных правил в фалл.htaccess. Советую без понимания работы настроек.htaccess ничего своего не вносить. Иначе сайт может перестать работать.

Защита от брутфорс-атак

Брутфорс-атаки - это атаки направлены на перебор пароля и логина, пока верный вариант не будет найден. В этой группе настроек есть пять вкладок, начнём с первой:

Переименовать страницу логина

Вкладка «Переименовать страницу логина» содержит два параметра, из которых в первом «Включить опцию переименования страницы логина» нужно установит галку, а во втором «Адрес (URL) страницы логина» прописать адрес входа в админку. Адрес страницы входа должен отличается от стандартного wp-admin, например, thisismysite. Не забудьте сохраниться и запомнить адрес входа в админку. В моём примере он будет mysite.ru/thisismysite, где mysite.ru - это адрес вашего сайта.

Защита от брутфорс-атак с помощью куки

Переходим ко вкладке «Защита от брутфорс-атак с помощью куки». Вы можете включить опцию «На моем сайте есть посты или страницы, закрытые встроенной функцией WordPress для защиты контента паролем» в том случае, если у вас есть страницы защищённые паролем. У меня такие страницы имеются. Касательно опции «На этом сайте есть тема или плагин, которые используют AJAX», то большинство современных тем и плагинов используют технологию AJAX. Поэтому, советую включить и эту опцию. Настройку «Активировать защиту от брутфорс-атак» рекомендую не активировать во избежание блокировки вашего IP адреса со стороны плагина All In One WP Security. Дело в том, что вы можете забыть, и почистить куки-файлы плагина с ключом доступа. И чтобы не решать проблемы, которых можно было избежать, рекомендую не ставить галку возле этой опции, тем более сам плагин предупреждает и лишь со второй попытки даёт возможность активировать эти настройки.

CAPTCHA на логин

Вкладка «CAPTCHA на логин» содержит полезные функции по дополнительной защите страницы входа и восстановления пароля. Рекомендую установить галки напротив:

• Включить CAPTCHA на странице логина
• Активировать форму CAPTCHA на изменённой странице логина
• Активировать CAPTCHA на странице «потерянного пароля»

В блоке «Woocommerce Forms Captcha Settings» галки ставятся лишь при использовании плагина для интернет-магазина «Woocommerce».

Белый список для логина

Двигаемся дальше и переходим к вкладке «Белый список для логина». Этот параметр выступает дополнительной линией обороны, блокирует доступ к странице логина всем IP адресам, которых нет в белом списке. Если есть желание, можете настроить эту опцию. Но, и ещё раз но! Если у вас динамический IP адрес или возникла срочная необходимость зайти в админку, например, с мобильного номера, а провайдер вам выделит другой IP адрес, то случится беда.

Бочка с медом (Honeypot)

Последняя вкладка «Бочка с медом (Honeypot)» из группы настроек «Защита от брутфорс-атак» отвечает за блокировку роботов, которые пытаются заполнить поля авторизации. Как правило, роботы автоматически заполняют все поля, и опция «Бочка с медом» подсовывает боту невидимое для глаз пользователя поле, которое бот автоматически заполняет. Если это происходит, то плагин All In One WP Security автоматически блокирует бота. Рекомендую включить опцию «Активировать медовый боченок (honey pot) на странице логина».

Защита от SPAM

Переходим к следующей группе настроек «Защита от SPAM». Сейчас нам перестоит рассмотреть четыре вкладки:

Спам в комментариях

• Активировать CAPTCHA в формах для комментариев
• Блокировать спам-ботов от комментирования

Отслеживание IP-адресов по спаму в комментариях

Ещё одна вкладка для статистики «Отслеживание IP-адресов по спаму в комментариях». Несомненно, опции в этой вкладке вносят благость. Рекомендую поставить галку возле пункта «Включить автоматический блок IP-адресов Комментарий к спаму». Сохранитесь.

Далее, в поле «Минимальное количество комментариев расценённых как СПАМ» установите значение 5. Обратите внимание на блок «Список IP-адресов спаммеров», который отвечает за фильтрацию комментариев. Если вам нужно найти IP адреса, которые были уличены в спаме хотя бы один раз, установите значение «1» и кликните по «Найти IP-адреса». А если, например, 3 раза, то значение «3» и т.д. Думаю смысл вы уловили. Результаты будут отображены в таблице «Список IP-адресов спаммеров».

BuddyPress и BBPress

Во вкладках «BuddyPress» и «BBPress» можно включить капчу в форме регистрации. BuddyPress и BBPress - это плагины. BuddyPress помогает создать на базе движка WordPress социальную сеть, а плагин BBPress форум. Если вы не пользуетесь этими модификациями, то опции в соответствующих вкладках будут отсутствовать.

Сканер

Предпоследняя группа настроек «Сканер» отвечает за регулярное сканирование сайта на наличие вредоносного кода и файлов. Здесь вы можете увидеть всего две вкладки:

Отслеживание изменений в файлах

В первой вкладке «Отслеживание изменений в файлах» можно просканировать сайт немедленно, кликнув по «Сканировать сейчас».

Уясните одну простую вещь - ни один плагин не сможет защитить ваш сайт от гуру-хакеров! Поэтому, в случае беды, плагин All In One WP Security, после сканирования, сообщит нам о наличии следов взлома. Рекомендую включить опцию «Активировать автоматическое сканирование изменений файлов», а частоту сканирования установить хотя бы каждые два дня. Частота сканирования зависит от текущей нагрузки на ваш сайт. И если время загрузки сайта в пик посещаемости увеличивается, то подумайте о смене тарифного плана или переходе на выделенный сервер, чтобы сканер плагина All In One WP Security не создавал чрезмерную нагрузку на сервер.

Поля «Игнорировать файлы следующих типов» и «Игнорировать определённые файлы и папки» заполняются индивидуально, по вашему желанию. Также советую активировать опцию «Отправить Email когда найдено изменение», чтобы всегда быть в курсе любых изменений в файлах. Можно указать несколько электронных адресов. После настроек сохранитесь.

Сканирование от вредоносных программ

Вторая вкладка «Сканирование от вредоносных программ» предназначена для регистрации на сайте разработчиков плагина, с целью регулярного сканирования сайта на платной основе. Это позволит значительно снизить нагрузку на сервер во время сканирования. Кто желает платить денежку, пожалуйста, это ваше право. Но я не вижу особого смысла заключать договор на подобное обслуживание для блога.

Разное

Последняя группа настроек «Разное» содержит в себе три вкладки:

Защита от копирования

В первой вкладке «Защита от копирования» можно заблокировать следующие функции:

• Правая кнопка
• Пометка текста
• Копировать

Ограничения будут действовать на всех страницах, которые доступны пользователям. Если у вас полезных блог, на котором люди могут много чего почерпнуть себе в кладезь знаний, то не рекомендую включать эту функцию. Лично мне неудобно, когда я не могу скопировать участок текста с важной для меня информацией.

Фреймы

Вкладка «Фреймы» отвечает за блокировку показа содержания вашего сайта между тегами frame и iframe. Которые уже какой год признаны небезопасными и часто подвергаются взлому. Например, 1С Битрикс, по умолчанию, блокирует эти теги.

Users Enumeration

Последняя вкладка и последняя настройка плагина All In One WP Security, которую мы рассмотрим, «Users Enumeration». Рекомендую включить опцию «Отключить перечисление пользователей», чтобы закрыть возможность ботам икать информацию о пользователях, которых можно увидеть, например, в качестве комментаторов. Это в некотором роде создаёт защитный барьер для пользователей сайта, тем самым защищает учётную запись администратора.

На этом разбор полётов с плагином All In One WP Security завершён. Вы только что прочитали огромную статью, которую можно сравнить с десятью обычными статьями. Надеюсь, объяснил доступным языком. Появятся вопросы обаятельно задавайте их в комментариях. Спасибо за внимание.

Привет, ребята! Когда твой сайт становится немного раскрученным, появляются постоянные читатели, получаешь огромное удовольствие. Вроде бы все круто. Растет и поток денег, и отклик получаешь от аудитории, увеличивается узнаваемость. Но существует и обратная сторона медали. Это завистники, это внимание со стороны недоброжелателей.

Чтобы вы представляли, о чем идет речь: мой блог только за прошлую неделю взламывали 2 раза. Постоянные посетители, думали, заметили. Ребята, я настоятельно рекомендую ознакомиться с данным уроком, потратить время на внедрение советов, о которых говорю, чтобы больше обезопасить свой сайт и сэкономить время, деньги и нервы.

All In One WP Security - это самый необходимый плагин для увеличения безопасности в WordPress. Ставить его нужно всем, кто владеет сайтом на Вордпресс. Всем без исключения.

Если мой любимый - это комбайн в сфере SEO для WordPress, то плагин WP Security - аналог в сфере безопасности. То есть, если благодаря Yoast SEO я перестал нуждаться в нескольких SEO плагинах, то здесь точно также, благодаря All In One WP Security можно избавиться от других плагинов, которые лишь частично выполняют функции данного. Например, как:

• Login Lockdown;
• WordPress Database Backup;
• Anti-XSS attack;
• и другие подобные.

Огромные плюсы плагина All In One WP Security:

• бесплатный;
• настраивается очень просто;
• практически все переведено на русский язык, поэтому понятно о чем идет речь.

Настройка плагина All In One WP Security

Обязательно сделайте бэкап (резервную копию) перед началом работы (на всякий случай) следующих файлов:

• база данных;
• файл wp-config;
• файл htaccess.

Кстати, резервные копии этих трех файлов можно сделать прямо в данном же плагине, просто в админке перейдите в WP Security - Настройки:

Панель управления

Тут есть очень крутой информер, который показывает уровень защищенности вашего сайта:

Этот показатель поможет держать руку на пульсе и понимать, что еще нужно сделать для улучшения безопасности. Не рекомендую делать все, ради достижения максимальных баллов. Могут быть плохие последствия, ваш сайт может упасть, ошибочно функционировать.

Текущий статус самых важных функций. В этом блоке можно активировать самый необходимый функционал по безопасности вашего сайта (можете пока не трогать их, в ходе настроек по уроку, данные параметры активизируются итак):

Остальные параметры в Панели управления малоинтересны, Вы можете ради любопытства ознакомиться с ними (Информация о системе, Заблокированные IP адреса, AIOWPS.

Настройки

Общие настройки. Тут можно создать резервные копии файлов, о которых я говорил выше. Также отключить функции безопасности и файерволла, если что-то перестало работать.

WP мета-информация. Нажимаем на галочку напротив "Удаление метаданных WP Generator", чтобы не отображать версию WordPress:

Вкладка "Импорт/Экспорт". Здесь можно экспортировать свои настройки, чтобы потом на другом сайте не тратить время на настройки и импортировать в 2 клика все необходимые "галочки".

Администраторы

Пользовательское имя WP. Обязательно (!) смените имя администратора, если оно у вас "admin". Вы не представляете как много и часто подбираются пароли с логином admin. Если еще к тому же пароль очень легкий, ваш сайт легко может быть взломан.

Отображаемое имя. Если на вашем сайте есть аккаунты, у которых имя пользователя и отображаемое имя совпадает, то рекомендуется изменить отображаемое имя (никнейм).

Пароль. Очень интересная вкладка. Тут можно узнать, за какой промежуток времени можно подобрать в автоматическом режиме ваш пароль. Введите свой пароль и сильно удивитесь, насколько быстро его можно взломать. Обязательные условия для усиления безопасности:

• в вашем пароле должны быть как заглавные, так и строчные буквы;
• обязательно наличие хотя бы 1-ой цифры, но никак пароль не должен состоять только из цифр;
• желательно еще наличие какого-либо спецсимвола;
• длина пароля должна быть более 10 символов.

В итоге у вас должен быть максимальный степень безопасности вашего пароля, что-то в этом роде (пароль ниже домашний компьютер взломал бы за 57 337 лет (!)):

Авторизация

Обязательно включите эту функцию. Если пароль в течении 5-ти минут (по умолчанию) введется 3 раза неправильно, то IP блокируется на 60 минут (тоже по умолчанию). Я не рекомендую ставить блокировку больше по времени, а то можно столкнуться с тем, что сами администраторы вводят логин 3 раза неправильно, ставят блокировку на 10 лет и не знают что делать. Оставляем по умолчанию 60 минут и не паримся.

Также я рекомендую поставить галочку напротив "Сразу заблокировать неверные пользовательские имена". К примеру, вы поменяли логин с admin на krutysh, то при вводе логина admin в поле для авторизации, сразу же заблокируется IP адрес. "Уведомлять по email" - тут по мере необходимости. Я не люблю лишний спам, поэтому здесь галочку не ставлю.

Итоговые настройки данной вкладки у меня выглядят так:

Если вам любопытно, можете глянуть список заблокированных IP, ссылка на раздел приводится в данной же вкладке ниже.

Ошибочные попытки авторизации. Вот здесь как раз видны те логины, которые подбираются. Чаще всего у меня сверкают логины admin, root, font. Также видны время "попыток". Обратите внимание, как часто пытаются войти в админку:

Автоматическое разлогинивание пользователей. Рекомендую тоже включить данный чекбокс. Позволяет через определенное количество минут завершить сессию и разлогинить пользователя. Я ставлю 600 минут:

Вкладки "Журнал активности аккаунта" и "Активных сессий" носят информационный характер.

Регистрация пользователей

Ставим галочку напротив "Активировать ручное одобрение новых регистраций":

Да и можно поставить галочку CAPTCHA при регистрации:

Конечно, если нельзя зарегистрироваться другим людям на вашем сайте, верхние 2 пункта просто бесполезны, от них не станет ни лучше, ни хуже. Но, если вы сомневаетесь, лучше поставьте галочки в этих пунктах.

Защита базы данных

Здесь будьте аккуратны во вкладке "Префикс таблиц БД". Прежде чем поставить галочку, обязательно сделайте резервную копию своей базы данных (там же увидите ссылку на создание бэкапа своей БД). Если боитесь, сомневаетесь, лучше оставьте без галочки:

Резервное копирование БД. Здесь уже ставим галочку, выбираем частоту создания бэкапов и их количество. У меня. к примеру, такие цифры:

Защита файловой системы

Доступ к файлам. Здесь в правой части у вас будут кнопки, вам нужно будет изменить права доступа к файлам, нажав на эти кнопки. В результате все строчки у вас должны стать зелеными:

Редактирование файлов PHP. Если вы не правите свои PHP файлы через админку, ставим галочку. Править файлы через админку я не рекомендую хотя бы потому, что у вас нет возможности нажать CTRL+Z в случае чего и вы не сможете вернуть файл в исходное положение:

Доступ к файлам WP. Ставим галочку:

Системные журналы. Оставляем по умолчанию.

WHOIS-поиск

Можете вбить IP адрес, либо домен для получения WHOIS какого-либо домена. А так по сути тут нечего трогать.

Черный список

Если у вас нет недоброжелателей, можете не включать данный пункт. Если какой-то IP адрес постоянно сверкает в комментариях, к примеру, можете включить чекбокс и внести данный IP в черный список.

Файрволл

Базовые правила файрволла. Если вы не делали до этого момента резервную копию htaccess, то обязательно делаем его. И ставим галочки напротив всех пунктов:

Дополнительные правила файерволла. Тут тоже включаем все галочки:

UPDATE: ниже во вкладке "Дополнительная фильтрация символов" я убрал галочку, потому что некоторые комментарии не проходили, отдавали 403 ошибку. Наверное, все-таки, вам тоже я посоветовал бы убрать эту галочку , чтобы не было у пользователей проблем с комментированием.

Настройки 5G файрволл. Тоже включаем:

Интернет-боты. Здесь могут возникнуть проблемы с индексацией, поэтому я рекомендую не включать данный пункт.

Предотвратить хотлинки. Тоже включаем.

Custom Rules. Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.

Защита от брутфорс-атак

Переименовать страницу логина. Включаем. Меняем адрес логина на свой:

Защита от брутфорс-атак с помощью куки. Я не включаю данную функцию, чтобы не было проблем со входом с разных устройств.

CAPTCHA на логин. Можете включить CAPTCHA при авторизации, я же не включаю:

Белый список для логина. Так как я часто захожу на сайт с разных мест, IP у меня разный, поэтому данную опцию я не включаю:

Бочка с медом. Создается дополнительное поле, которое видят только роботы. Поэтому, при заполнении данного поля, робот будет перенаправлен на свой адрес. Включаем:

Защита от SPAM

CAPTCHA в форме комментариев. Я не включаю, так как не люблю усложнять комментирование, а вот функцию "Блокировка спам-ботом от комментирования" рекомендую включить:

Отслеживание IP-адресов по спаму в комментариях. Тут можно глянуть на "частосверкающие" IP по спаму в комментах и занести их в черный список.

BuddyPress. Добавляет CAPTCHA в форме регистрации BuddyPress. Я не использую ее.

Отслеживание изменений в файлах. Рекомендую включить, так как часто при взломе сайтов не совсем понятно, какой файл изменили, где искать вредоносный код. А с помощью этой функции сможете отследить изменения в файлах вашего сайта и быстро найти тот файл, который изменялся в последнее время.

Сканирование от вредоносных программ. Функция платная, стоит от 7$ в месяц.

Режим обслуживания

Позволяет "закрыть" сайт на время, чтобы сделать какие-то правки. То есть посетителям сайта будет предложена "заглушка", что ведутся работы на сайте. Полезно при смене дизайна, проверке работоспособности плагинов.

Разное

Защита от копирования текста и прочее. Здесь я нигде в трех вкладках не ставлю галочки. Тоже рекомендую не ставить.

Итоги

После завершения всех этих настроек, вы можете перейти в "Панель управления" и глянуть показатель уровня безопасности, у вас должно получится что-то вроде этого:

Повторюсь, не нужно необдуманно делать все, чтобы достигнуть максимально возможного балла. Не занимайтесь ненужным вредом для своего сайта, его работоспособности и удобства.

Если возникнут вопросы - пишите. Спасибо отдельное за ретвиты и репосты, за то, что помогаете людям донести эту важную информацию.

WordPress - пожалуй, самая популярная и вместе с тем одна из самых часто взламываемых платформ. Почему-то существует мнение, что если ваш сайт особо никому не интересен, то и взламывать его не будут - зачем? На самом деле угроза взлома есть буквально у каждого сайта (и не только на WordPress), поэтому важно заботиться о защите своей странички. Что можно предпринять - а точнее, какие плагины установить - об этом я и расскажу в этой статье.

Эти советы будут полезны не только в работе с WordPress, но и с любой другой CMS. Они базовые, но, как показывает практика, все равно есть люди, которые о них не знают. Зачем это все делать? Чтобы усложнить жизнь злоумышленнику. Используя данные, которые устанавливаются по умолчанию, хакер может относительно легко взломать ваш сайт, а также вашу базу данных. Поэтому нужно сделать следующее.

1. Измените имя пользователя с admin на другое.

Чтобы это сделать, вам нужно сначала создать нового пользователя в качестве администратора. Сделать это можно вот тут:

После создания пользователя зайдите под его аккаунтом и в списке «Все пользователи» удалите аккаунт “admin”. При этом новый логин постарайтесь сделать каким-нибудь относительно сложным, ну хотя бы состоящим из нескольких слов: vasyapupkin99. Можете свой никнейм использовать, например.

Про пароль писать не буду - лучше воспользоваться тем, который сгенерирует вам Wordpress на стадии создания аккаунта, а не придумывать какой-то свой (который, скорее всего, будет легче).

2. Изменить префикс базы данных с wp на другой.

Существует два пути сделать это: либо самостоятельно правя таблицы в phpMyAdmin (или даже просто в файловом менеджере), либо через плагин. Кратко расскажу об обоих вариантах.

Изменение через phpMyAdmin

Сразу скажу, что это действие требует внимания к деталям и некоторого опыта работы в phpMyAdmin.

Первым делом создайте бэкап базы данных - он поможет вам восстановить информацию, если что-то пошло не так (или вы где-то что-то не то отредактировали).

Теперь зайдите в файловый менеджер и найдите файл wp-config.php, в нем строку $ table_prefix = "wp_";

“wp” надо изменить на что-то другое, менее связанное с WordPress и базами данных. Можно менять даже на произвольный набор букв и цифр (но вам его нужно запомнить или записать).

Внимание. Лучше всего производить это изменение на только что установленном WordPress. На уже запущенных сайтах информации больше - больше данных придется менять.

После этого зайдите в phpMyAdmin (на хостинге Timeweb это можно сделать прямо через панель управления) и найдите базу данных для нужного сайта. Все таблицы этой базы данных нужно переименовать, вместо “wp_” подставляя то, что вы уже написали выше.

Как переименовать: выбираете таблицу в левом столбце, нажимаете вкладку «Операции», далее смотрите блок «Параметры таблицы» и строку «Переименовать таблицу в». После внесения изменений не забудьте нажать «Вперед».

После этого ищите в списке таблицу “…_options”. Выбрав ее, нажмите «Обзор» - в содержимом примерно на второй странице в столбце “meta_key” вы увидите wp_user_roles - измените префикс “wp” на тот, который вы сейчас собираетесь использовать. Сохраните изменение.

Следующая таблица для изменения - “…_usermeta” - аналогичным образом посмотрите ее содержимое и измените все старые префиксы на новые.

Если после редактирования у вас что-то стало работать не так или вообще перестало работать, проверяйте, все ли изменения вы внесли. В крайнем случае используйте бэкап.

Изменение через плагин

Этот плагин не нуждается в представлении, поэтому сразу перейду к тому, что необходимо сделать.

После того, как вы установили и активировали плагин, зайдите в раздел «Защита Базы данных». Там вы увидите строку «Сгенерировать новый префикс таблиц БД» - напишите тот префикс, который хотите поставить (или поставьте галочку около «Отметьте, чтобы плагин сам сгенерировал префикс длиной в 6 случайных символов»), и нажмите «Изменить префикс таблиц». После этого ниже вы увидите отчет от ходе изменения префикса. Чтобы убедиться в том, что ожидаемый результат достигнут, зайдите в phpMyAdmin.

Еще раз напомню, что делать это нужно на новом сайте без статей, так как если на сайте уже есть много информации, плагин может сработать некорректно.

All In One WP Security & Firewall

Раз уж мы уже перешли к использованию этого плагина, то расскажу о других вещах, благодаря которым можно повысить защиту вашего сайта.

В разделе «Настройки» плагина перейдите во вкладку “WP version info” и поставьте галочку рядом с «Удаление мета-данных WP Generator». Так как хакеры зачастую основываются на информации, которую содержат мета-данные, то будет нелишним убрать эту информацию из кода страницы.

Кстати, если вы все еще не поменяли имя администратора (следуя совету выше), то сделать это можно и через этот плагин - во вкладке «Администраторы». Просто напишите новое имя пользователя и еще раз авторизуйтесь в панели (пароль остается прежним).

Здесь же вы можете видеть вкладку «CAPTCHA при регистрации» - тоже активируйте этот пункт.

Теперь переходим в раздел «Файрволл» - здесь ставим галочку в блоках «Основные функции брандмауэра». Остальное можете включить/оставить выключенным по своему желанию.

Раздел «Защита от брутфорс-атак»: вам нужно включить опцию переименования страницы логина и написать желаемый адрес в графе ниже. Тут важно понять - этот адрес будет использоваться для входа в админку, жизненно важно его запомнить !

С этим плагином мы закончили, переходим к следующему.

AntiVirus

Этот плагин сканирует файлы сайта на предмет вредоносного кода. Пользоваться им достаточно просто - после установки зайдите в его настройки и нажмите “Scan the theme templates now”, после этого все файлы вашей темы будут проверены.

Тут же вы можете настроить и ежедневную проверку с отчетом на email.

Во время проверки плагин подсвечивает код, который показался ему подозрительным. При этом все замечания вам лучше проверять внимательно - не всегда речь идет именно о вирусе. Если вы не обладаете навыками в программировании, то можете просто сравнить найденную строчку кода со строчкой в коде этой же темы сайта на вашем компьютере или у разработчика. Если запись присутствует изначально, то опасаться ее не нужно.

Как и другие активные плагины, AntiVirus нагружает сервер (а значит, ваш сайт работает медленнее), поэтому лучше пользоваться им время от времени, чем постоянно держать в активном состоянии.

Wordfence Security

Этот плагин по функционалу схож с предыдущим, ими можно пользоваться параллельно, хуже не будет. Точно так же установите, активируйте, перейдите во вкладку “Scan” и нажмите на большую синюю кнопку “Start a Wordfence Scan”. Кое-какие возможности доступны только для оплаченных (премиум) аккаунтов, но базовый функционал тоже неплох. Если с вашим сайтом все хорошо, то вы увидите зеленую надпись “Congratulations! No security problems were detected by Wordfence”.

Расскажу еще о других плагинах, которые тоже можно использовать для защиты сайта.

Sucuri Security

Вообще Sucuri - это компания, которая специализируется на защите веб-сайтов, поэтому они предоставляют защиту для любого сайта (не только на WordPress). Плагин от этой серьезной компании с внушительной репутацией обладает широким функционалом, представляющим полный цикл защиты сайта, включая предупреждение взлома и атаки на ваш сайт. Можно пользоваться бесплатной версией, а можно купить платную за 16,66$ в месяц - сумма немаленькая, но за такой диапазон защитных инструментов вполне обоснованная.

Для того, чтобы пользоваться бесплатной версией, после установки вам будет необходимо сгенерировать бесплатный ключ (в синем блоке сверху нужно будет нажать кнопку “Generate API Key”, проверить, что введенные данные корректны, и отослать заявку.

iThemes Security

Если Sucuri Security можно назвать лучшим платным плагином защиты, то iThemes Security часто называют лучшим бесплатным плагином, который стоит установить для безопасности вашего сайта. Тем более что сейчас у него более 800 тысяч установок!

Про функционал много писать не буду - как и все другие плагины, iThemes Security направлен на защиту вашего сайта от большинства вещей, которые могут ему угрожать, и в то же время на проверку существующего состояния сайта. Кстати, раньше плагин назывался Better WP Security - возможно, кто-то помнит его по этому названию.

Если в целом говорить об его функциях, то можно выделить следующие стороны этого плагина:

• скрытие и удаление потенциально уязвимых элементов (об этом было написано в начале статьи - смена логина администратора, префикса базы данных и так далее);
• защита сайта от атак (сканирование на наличие уязвимостей, защита от брутфорса, шифрование админки и так далее);
• мониторинг сайта (на наличие внезапных изменений, блокировок и так далее);
• восстановление (резервное копирование на случай непредвиденной ситуации).

Теперь перейдем к самому использованию этого плагина.

Настройка iThemes Security

Начну с того, что у него есть и PRO (то есть более расширенная) платная версия, поэтому в бесплатной версии доступны не все возможности этого плагина (но их все равно много).

После установки активируйте плагин и переходите в раздел «Настройки». В синем блоке сверху вы сможете включить защиту от взлома методом полного перебора (Network Brute Force Protection) - для этого нужно запросить API ключ, который автоматически будет добавлен в настройки (но также отправлен вам на почту).

Нажмите “Security Check ” (самый верхний левый блок или в меню под «Настройки») и нажмите “Secure site”. После этого вы увидите список включенных модулей.

Следующий блок - «Основные настройки » (справа от “Security Check”). Так как плагин почти полностью переведен, каждый пункт имеет свою расшифровку - советую пробежаться по ним всем и посмотреть, что из этого наиболее актуально для вас (даже если не будете пользоваться, будете хотя бы знать, где что находится).

В режиме «Нет на мест е» вы можете установить время, когда административная панель будет недоступна. На постоянной основе этим можно не пользоваться, но вы можете использовать это для подстраховки, когда находитесь далеко от компьютера. При этом настроить можно как на постоянной основе (например, каждую ночь), так и один раз в определенный день и период времени.

Блок «Заблокированные пользователи » - тут все понятно, помещайте сюда всех, кого нужно заблокировать.

“Local Brute Force Protection ” - это блок защищает от взлома путем перебора паролей. У вас он уже включен, настройки можно оставить по умолчанию.

«Резервные копии базы данных » - настройка резервного копирования, в бесплатной версии речь идет только про базы данных.

«Обнаружение изменений файлов » - крайне полезная функция, которая будет следить за всеми изменениями в файлах сайта; можно быстрее отследить внезапно появившуюся на сайте активность. Обязательно включите.

“File Permissions ” - блок показывает права доступа к файлам.

“Network Brute Force Protection ” - сетевая защита от брутфорса заключается в том, что если хакер пытался взломать чей-то другой сайт, доступ к вашему сайту у него будет также заблокирован, даже если он еще не начал атаку на ваш сайт.

“SSL ” - вы можете настроить использование SSL в этом плагине, то если у вас сайт на хостинге Timeweb, я советую использовать настройки в панели управления сайтом.

“Strong Password Enforcement ” - если ваш сайт предполагает регистрацию других пользователей (форум, блог…), тогда это настройка будет полезной, пользователям придется выбирать только сложные пароли для своих аккаунтов. В остальных случаях ее можно не использовать.

«Тонкая подстройка системы » и «Подстройка WordPress » - эти дополнительные настройки нужны для того, чтобы еще больше усилить защиту вашего сайта. Но есть один нюанс - включение некоторых настроек может повлиять на работу плагинов. Поэтому не стоит выбирать все сразу - включайте по одному пункту и проверяйте работоспособность вашего сайта.

Наконец, «WordPress Соли » - настройка позволяет добавить к паролю секретный ключ, подобрать который будет намного сложнее, чем пароль отдельно. Обычно это случайный набор символов, который добавляется при хэшировании. Периодически пользуйтесь этой настройкой («Изменить WordPress Соли») для того, чтобы сменить соль.

О разделах все. В платной версии их больше, но и этих вполне хватает для того, чтобы защитить сайт от многих популярных видов взлома.

Заключение

Плагины - это существенный элемент безопасности вашего сайта, но хочу напомнить, что он не единственный. Не забывайте следить за обновлениями WordPress и плагинов, регулярно меняйте пароли и делайте бэкапы.

Я уже рассматривал плагин по комплексной защите блога WordPress iThemes Security , но решил потестить еще один All In One WP Security & Firewall. Ну и оставить на своих сайтах лучший вариант. Итак, устанавливаем.

Переходим на главную страницу плагина All In One WP Security & Firewall. Видим следующую картину. И сразу же видим «Измеритель уровня безопасности». Мой сайт набрал 50 баллов из 470-ти возможных. Что же, не густо. Возможно после его настройки уровень подрастет. Но не следует стремится получить максимально возможный балл, так как это может вызвать проблемы работы с сайтом. В правой части видим «Диаграмму безопасности нашего сайта».

Настройки

Администраторы

Пользовательское имя WP

При установке WordPress автоматически присваивает администратору имя пользователя «admin» (если Вы вручную не измените его). Многие хакеры пытаются воспользоваться этой информацией, применяя для нападения «Брутфорс-атаку», когда они систематично подбирают пароль, используя слово «admin» в качестве имени пользователя. Поэтому рекомендуется его изменить на любое другое.

Отображаемое имя

Когда Вы публикуете пост или отвечаете на комментарий, WordPress обычно отображает Ваш «никнейм». По умолчанию отображаемое имя пользователя идентично логину аккаунта. Для безопасности рекомендуется поменять его, чтобы никто не мог узнать под каким логином вы авторизуетесь.

Пароль

Плохой пароль — это наиболее распространенная уязвимость на большинстве сайтов, и, как правило, первое, что будет делать хакер, чтобы проникнуть на сайт — попытается подобрать пароль. В данном разделе можно проверить надежность пароля, используемого вами. Если хакер будет подбирать ваш пароль, то здесь можно прикинуть время, которое он затратит.

Авторизация

Один из распространенных способов, используемых хакерами для проникновения на сайт, является Брутфорс-атака. Так называются многократные попытки входа методом подбора паролей. Помимо выбора надежных паролей, мониторинга и блокирования IP-адресов, участвующих в повторных неудачных попытках входа в течение короткого периода времени, блокировка количества попыток авторизации и ограничение периода времени для таких попыток, является очень эффективным способом противодействия этим типам атак.

Блокировка авторизаций

• Включить опции блокировки попыток авторизации . Ставим галочку.
• Допускать запросы на разблокирование . Не совсем понял, что означает данная функция. Я не стал ее включать.
• Максимальное количество попыток входа . Установите значение для максимального количества попыток входа, после чего IP-адрес будет заблокирован. Я оставил три попытки по умолчанию.
• Ограничение времени попыток авторизации (минуты) . По умолчанию пять минут. Три попытки из предыдущего пункта приведут к блокировке пользователя, если попытки будут выполнены в указанный здесь промежуток времени.
• Период блокирования (минуты) . Укажите период времени, на который будут блокироваться IP-адреса
• Выводить сообщения об ошибках авторизации . Отметьте эту опцию, если Вы хотите, чтобы при неудачных попытках авторизации отображалось сообщение об ошибке. Я не стал ее ставить. Ни к чему злоумышленнику получать информацию об ошибках.
• Сразу заблокировать неверные пользовательские имена . Я не стал включать эту опцию из-за того, что я сам могу неверно ввести логин и буду заблокирован на час. Также и другие могут ошибиться.
• Instantly Lockout Specific Usernames . Мгновенная блокировка конкретных пользователей. Чаще всего пытаются взломать логины «admin» и «administrator». Поэтому, если вы их не используете — можно добавить их в список.
• Уведомлять по Email . Если у вас слабопосещаемый сайт можете поставить галочку. В противном случае вас может засыпать данными уведомлениями.

Здесь отображаются записи о безуспешных попытках входа на Ваш сайт. Приведенная ниже информация может пригодиться, если Вам нужно провести исследование попыток авторизации — здесь отображается диапазон IP, имя пользователя и ID (если возможно) и время/дата неуспешной попытки входа на сайт.

Опции автоматического разлогирования пользователя

Установка ограничения срока действия сессии администрирования — это простой способ защиты от несанкционированного доступа к Вашему сайту с Вашего компьютера. Эта опция позволяет установить временной период, после истечения которого сессия администратора истекает и пользователю надо будет авторизоваться заново.

• Включить авторазлогинивание . Отметьте эту опцию, чтобы автоматически прекращать авторизационную сессию пользователей по истечении определенного периода времени. Ставьте галочку, если вам это нужно. Думаю, если вы заходите только со своего домашнего компьютера — в этом нет необходимости.
• Разлогинить пользователя через . Пользователь автоматически будет разлогинен по истечении этого периода времени.

Здесь отображается активность администраторов на Вашем сайте. Приведенная ниже информация может пригодиться, если Вы будете проводить исследование пользовательской активности, так как здесь будут показаны последние 50 событий авторизации с данными имени пользователя, IP-адресом и временем входа.

Здесь отображаются все пользователи, которые в настоящий момент авторизованы на Вашем сайте. Если Вы подозреваете, что в системе есть активный пользователь, которого не должно быть, тогда Вы можете их заблокировать, проверив их адрес IP в списке внизу, и добавив их в черный список.

Регистрация пользователя

Подтверждение в ручную

Если Ваш сайт позволяет людям самим создавать свои аккаунты через регистрационную форму WordPress, тогда можете свести количество СПАМ и левых регистраций до минимума, подтверждая каждую регистрацию вручную. Данная функция автоматически помечает аккаунты новых регистраций как «pending/в ожидании» пока администратор их не активирует. В этом случае нежеланные зарегистрировавшиеся не могут логиниться не имея Вашего подтверждения. Все недавно зарегистрированные аккаунты Вы можете увидеть в удобной таблице внизу, и также там можно одновременно выполнить активацию, деактивацию или удаление нескольких аккаунтов.

• Активировать ручное одобрение новых регистраций . Поставьте галочку тут, если хотите, чтобы все новые аккаунты автоматически создавались неактивными и Вы их могли подтверждать вручную.

Captca при регистрации

Данная функция позволяет Вам добавить поле CAPTCHA на странице регистрации WordPress. Кроме того, пользователи, которые пытаются зарегистрироваться, должны ответить на простой математический вопрос. Если ответ неверный, плагин не даст им зарегистрироваться. Так как у меня уже установлена каптча от гугла — я не стал активировать данную функцию.

Защита Базы данных

Резервное копирование БД

• Включить автоматическое создание бэкапов . Включите этот чекбокс, чтобы система автоматически создавала резервные копии базы данных по расписанию.
• Частота создания бэкапов . Зависит от вашей мнительности и частоты обновления вашего сайта. Я поставил создание копии БД один раз в неделю.
• Количество бэкапов для хранения . Укажите в этом поле количество резервных копий, которые должны храниться в бэкап-директории плагина. Я оставил значение по умолчанию — две копии.
• Пересылать бэкап на Email . Включите этот чекбокс, если хотите получать бэкап базы данных на свой Email. Рекомендую включить.

Защита Файловой системы

Доступ к файлам

Установки разрешений на чтение/запись для файлов и папок WordPress, позволяющие управлять доступом к этим файлам. При первоначальной установке WordPress автоматически присваивает разумные права доступа к своей файловой системе. Однако, иногда люди или плагины изменяют разрешения на определенные директории и файлы, снижая таким образом уровень безопасности своего сайта, установив неверные права доступа. Эта опция сканирует все важные директории и файлы ядра WordPress и подсвечивает все небезопасные настройки.

Редактирование файлов PHP

По умолчанию из панели администрирования WordPress позволяется редактировать PHP-файлы плагинов и тем. Это первейшее подспорье хакеру, получившему доступ в консоль администратора, предоставляющее ему возможность выполнить любой код на Вашем сервере.
Данная опция отключает возможность редактирования файлов из панели администратора.

• Отключить возможность редактирования PHP-файлов . Отметьте этот чекбокс, чтобы запретить редактирование PHP-файлов из админ-панели WordPress.

На мой взгляд — это не очень полезная функция. Ведь тот же хакер может в этом же плагине снять галочку, если получит доступ к вашему профилю администратора. В результате вам будут доставлены неудобства, так как для вставки кода того же счетчика, придется лезть на хостинг.

Доступ к файлам WP

Данная опция запретит доступ к таким файлам как readme.html, license.txt и wp-config-sample.php, которые создаются во время установки WordPress и не несут в себе системной нагрузки, но ограничение доступа к этим файлам позволит Вам скрыть от хакеров важную информацию (такую как версия WordPress).

• Запретить доступ к информационным файлам, создаваемых по умолчанию при установке WordPress. Отметьте этот чекбокс.

Системные журналы

Ваш сервер периодически может публиковать отчеты об ошибках в специальных файлах, которые называются «error_log». В зависимости от характера и причин ошибки, Ваш сервер может создать несколько файлов журналов в различных каталогах Вашей установки WordPress. Просматривая время от времени эти журналы, Вы будете в курсе любых основных проблем на Вашем сайте и сможете воспользоваться этой информацией для их решения.

WHOIS-поиск

Эта функция позволяет получить детальную информацию об IP-адресе или домене. Удобная функция, так как вам будет любопытно узнать информацию об адресах злоумышленников. Не потребуется лезть в Интернет в поисках подобных сервисов.

Функция «Черный список» позволяет блокировать определенные IP-адреса, диапазоны и юзер-агенты, отказывая в доступе к сайту тем пользователям и ботам, которые использовали эти IP-адреса для спама или по другим причинам. Данная функция реализуется добавлением в файл.htaccess определенных правил.

• Вести Черный список . Отметьте этот чекбокс, если Вы хотите иметь возможнось банить указанные IP-адреса или юзер-агенты.
• Введите IP-адреса . Каждый адрес с новой строки.
• Введите названия юзер-агентов . Каждый юзер-агент прописывайте в отдельной строке.

Чтобы получить возможность включить данную опцию и получить 15 баллов безопасности, необходимо ввести хотя бы один ip-адрес или юзер-агент.

Файрволл

Базовые правила файрволла

Опции в этой вкладке позволяют применить некоторые базовые правила защиты для Вашего сайта. Данная функциональность брандмауэра достигается методом добавления в Ваш файл.htaccess некоторых специальных директив. Активация этих опций не должна иметь никакого влияния на общую функциональность Вашего сайта, но при желании Вы можете создать backup Вашего.htaccess файла, перед тем, как включите эти настройки.

• Активировать основные функции брандмауэра . Отметьте этот чекбокс, чтобы активировать основные функции файрволла на Вашем сайте. Рекомендую поставить.

Эта опция запустит следующий базовый механизм защиты на Вашем сайте:

1. Защитит файл htaccess от несанкционированного доступа.
2. Отключит сигнатуру сервера в ответах на запросы.
3. Ограничит лимит на размер загружаемых файлов до 10Мб.
4. Защитит Ваш файл wp-config.php от несанкционированного доступа.

Вышеперечисленная функциональность будет достигнута методом добавления в файл.htaccess определенных директив и не должна повлиять на общую работоспособность Вашего сайта. Однако, просто на всякий случай, рекомендуется предварительно сделать резервную копию файла.htaccess.

WordPress XMLRPC & Pingback Vulnerability Protection

• Completely Block Access To XMLRPC . Рекомендую поставить. Один из моих сайтов перезагружали такими запросами и хостер меня засыпал жалобами о перегрузке сервера.

Данная функция необходима тем, кто через смартфоны публикует и редактирует записи на своем блоге. Если вам это не нужно — смело отключайте. Таким образом злоумышленник не сможет:

1. Перегрузить сервер запросами и вывести тем самым его из строя (DoS-атака).
2. Взломать внутренние маршрутизаторы.
3. Просканировать порты внутренней сети, чтобы получить информацию от различных хостов на сервере.

Помимо усиления защиты сайта, эта опция поможет значительно снизить нагрузку на Ваш сервер, особенно если Ваш сайт получает много нежелательного трафика, нацеленного на XML-RPC API.

• Disable Pingback Functionality From XMLRPC . Ставьте галочку. Пингбэк-защита.

Block access to Debug Log File

• Block Access to debug.log File. Блокировка доступа к отладочному лог-файлу. Поставьте галочку.

Дополнительные правила файрволла

В этой вкладке Вы можете активировать дополнительные настройки файрволла для защиты Вашего сайта. Эти опции реализуются методом добавления определенных правил в Ваш файл.htaccess. В силу определенных особенностей, эти правила могут нарушить функциональность некоторых плагинов, поэтому рекомендуется до их включения сделать backup файла.htaccess.

• Просмотр содержимого директорий . Включите этот чекбокс, чтобы предотвратить свободный просмотр директорий на Вашем сайте. Для того, чтобы эта функция работала, в Вашем файле httpd.conf должна быть включена директива «AllowOverride». Если у Вас нет доступа к файлу httpd.conf, обратитесь к своему хостинг-провайдеру.
• HTTP-трассировка . Отметьте этот чекбокс, чтобы защититься от HTTP-трассировки. Атаки на основе HTTP-трассировки (межсайтовой трассировки, или XST), применяются, чтобы получить информацию из возвращаемых сервером http-заголовков и похитить куки и другую информацию. Эта хакерская технология обычно применяется в сочетании с межсайтовым скриптингом (XSS). Данная опция предназначена для защиты от этого типа атак.
• Запретить комментарии через прокси . Отметьте этот чекбокс, чтобы запретить комментирование через прокси. Запретить вредоносные строки в запросах. Эта опция предназначена для защиты от ввода вредоносного кода при XSS-атаках. ВНИМАНИЕ: Некоторые из блокируемых строк могут использоваться в каких-то плагинах или Вашей теме, и, следовательно, данная опция может нарушить их функциональность. Обязательно сделайте резервную копию.htaccess до установки данной опции.
• Запретить вредоносные строки в запросах . Эта опция предназначена для защиты от ввода вредоносного кода при XSS-атаках. ВНИМАНИЕ: Некоторые из блокируемых строк могут использоваться в каких-то плагинах или Вашей теме, и, следовательно, данная опция может нарушить их функциональность. ОБЯЗАТЕЛЬНО СДЕЛАЙТЕ РЕЗЕРВНУЮ КОПИЮ ВАШЕГО.HTACCESS-ФАЙЛА.
• Активировать дополнительную фильтрацию символов . Это дополнительная фильтрация символов для блокировки вредоносных команд, используемых в XSS-атаках (межсайтовый скриптинг). Данная опция фиксирует распространенные образцы вредоносного кода и эксплойты и вернет хакеру сообщение об ошибке 403 (доступ запрещен). ВНИМАНИЕ: Некоторые директивы в этих установках могут нарушить функциональность сайта (это зависит от хостинг-провайдера). ОБЯЗАТЕЛЬНО СДЕЛАЙТЕ РЕЗЕРВНУЮ КОПИЮ ВАШЕГО.HTACCESS-ФАЙЛА.

6G Blacklist Firewall Rules

Включите данные опции, если хотите выполнить:

1. Блокировку запрещенных символов, обычно используемых в хакерских атаках.
2. Блокировку вредоносных закодированных строк в URL, таких как «.css» и т.п.
3. Защиту от распространенных шаблонов вредоносного кода и специфических эксплойтов (последовательностей команд, использующих известные уязвимости) в URL.
4. Блокировку запрещенных символов в параметрах запросов.

Enable 6G Firewall Protection . Эта опция активирует 6G-защиту на Вашем сайте.

Enable legacy 5G Firewall Protection . Эта опция активирует 5G-защиту на Вашем сайте.

Интернет-боты

• Блокировать ложные Googlebots . Отметьте этот чекбокс, если хотите блокировать все ложные Google-боты.

Данная функция проверяет, содержит ли поле User Agent information строчку «Googlebot». В таком случае, функция выполняет несколько тестов для того, чтобы убедится, действительно ли это — бот от Google. Если да, тогда позволяет боту работать дальше. Отнеситесь к данной функции с осторожностью, чтобы не получить проблем с индексацией в случае ошибки.

Предотвратить хотлинки

Хотлинк — когда кто-то на своем сайте показывает изображение, которое, на самом деле, находится на Вашем сайте, используя прямую ссылку на исходник изображения на Вашем сервере. Так как изображение, которое показывается на чужом сайте, предоставляется с Вашего сайта, для Вас это может привести к потерям скорости и ресурсов, потому что Вашему серверу приходится передавать эту картину людям, которые видят ее на чужом сайте. Данная функция предотвращает прямые хотлинки на изображения с Ваших страниц, добавив несколько инструкций в Ваш файл.htaccess.

• Предотвратить хотлинки на изображения . Отметьте этот чекбокс, чтобы предотвратить использование изображений этого сайта на страницах чужих сайтов (хотлинкс).

Детектирование 404

Ошибка 404 или «Страница не найдена» возникает, когда кто-то запрашивает страницу, которой нет на Вашем сайте. Большинство ошибок 404 случаются, когда посетитель написал URL страницы с ошибкой или использовал старую ссылку на страницу, которой уже нет. Однако, иногда можно заметить большое количество ошибок 404 подряд за относительно короткое время с одного и того же адреса IP, с запросами URL страниц, которых нет. Такое поведение может означать, что хакер пытается найти какую-то специальную страницу или URL со злым умыслом.

• Enable 404 IP Detection and Lockout . Отметьте этот чекбокс, если Вы хотите иметь возможнось банить указанные IP-адреса.
• Период блокирования из-за ошибок 404 (минуты) . Укажите период времени, на который будут блокироваться IP-адреса.
• URL перенаправления при ошибке 404 . Заблокированный посетитель автоматически будет переадресован на указанный вами адрес URL.

Вы можете заблокировать любые IP-адреса, которые записаны в таблице «Логи ошибок 404» внизу. Для того, чтобы заблокировать адрес IP, наведите мышь на графу ID и нажмите на ссылку «Заблокировать временно» для соответствующего адреса IP.

Custom rules

Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.

Защита от брутфорс-атак

Переименовать страницу логина

Эффективная мера защиты от перебора паролей — изменение адреса страницы логина. Обычно, для того, чтобы логиниться в WordPress, Вы набираете базовый адрес сайта, и затем wp-login.php (или wp-admin).

• Включить опцию переименования страницы логина . Ставьте галочку, если хотите активировать функцию переименования страницы логина.
• Адрес (URL) страницы логина . Укажите новый путь к админке.

Защита от брутфорс-атак с помощью куки

• Активировать защиту от брутфорс-атак . Эта функция запретит доступ к Вашей странице авторизации любому пользователю, у которого в браузере нет специального куки-файла.
• Секретное слово . Введите секретное слово, состоящее из буквенно-цифровых символов (буквы латинские), которое будет трудно разгадать. Это слово будет использовано, чтобы создать для Вас специальный URL для доступа к странице авторизации (смотрите следующий пункт).
• URL перенаправления . Введите URL, на который будет перенаправляться хакер при попытках получить доступ к Вашей форме авторизации. Вы можете проявить фантазию и перенаправлять хакеров, например, на сайт ЦРУ или ФСБ.
• На моем сайте есть посты или страницы, закрытые встроенной функцией WordPress для защиты контента паролем . В случае, если Вы защищаете свои посты и страницы паролями, используя соответствующую встроенную функцию WordPress, в файл.htaccess необходимо добавить некоторые дополнительные директивы. Включение этой опции добавит в файл.htaccess необходимые правила, чтобы люди, пытающиеся получить доступ к этим страницам, не были автоматически заблокированы.
• На этом сайте есть тема или плагин, которые используют AJAX . Поставьте галочку, если Ваш сайт использует функциональность AJAX.

Captcha на логин

Данная функция позволяет Вам добавить поле CAPTCHA на странице логина WordPress.

• Включить CAPTCHA на странице логина . Включите этот чекбокс, чтобы добавить CAPTCHA на странице логина Вашего сайта.
• Активировать форму CAPTCHA на измененной странице логина . Поставьте галочку тут, чтобы добавить CAPTCHA в специальную форму логина, которая генерируется функцией wp_login_form()
• Активировать CAPTCHA на странице «потерянного пароля» . Поставьте галочку тут, чтобы добавить CAPTCHA на странице восстановления пароля.

Белый список для логина

Функция белого списка All In One WP Security дает возможность открыть доступ на страницу логина WordPress только с определенных адресов или диапазонов IP. Добавьте список белых ip-адресов или диапазонов ip. Все остальные адреса будут заблокированы, как только пытаются открыть страницу логина.

Бочка с медом (honey pot)

Данная функция позволяет добавить специальное, скрытое поле «honeypot» на странице логина. Оно будет видно только роботам. Т.к. роботы обычно заполняют все поля в форме логина, они отправят и какое-то значение в специальном, скрытом поле медового бочка (honey pot). Поэтому, если плагин видит, что данное поле было заполнено, робот, который пытается логиниться на Вашем сайте, будет перенаправлен на свой собственный адрес, а именно — http://127.0.0.1.

• Активировать медовый боченок (honey pot) на странице логина . Включите этот чекбокс, чтобы активировать функция медовый бачок / honeypot на странице логина.

Защита от SPAM

Спам в комментариях

• Активировать CAPTCHA в формах для комментариев . Отметьте этот чекбокс, чтобы вставить поле CAPTCHA в форму для комментариев.
• Блокировать спам-ботов от комментирования . Отметьте этот чекбокс, чтобы активировать правила файрволла для блокировки комментарии от спам-ботов.Данная функция создаст правило файрволла, который блокирует попытки записать комментарий, если запрос не пришел со страницы Вашего домена. Честный комментарий всегда отправлен человеком, который заполняет форму комментирования и кликает на кнопку «Отправить». В таком случае, поле HTTP_REFERRER всегда имеет значение, которые ссылается на Ваш домен. Комментарий от спам-бота отправляется сразу запросом на файл comments.php, это обычно означает, что поле HTTP_REFERRER может быть пустым, или ссылается на чужой домен. Данная функция проверяет и блокирует комментарии, которые не пришли с Вашего домена. Это сильно снижает общее количество СПАМА и PHP-запросов на Вашем сервера при обработке спам-запросов.

Отслеживание IP-адресов по спаму в комментариях

Должен быть установлен плагин Akismet.

• Enable Auto Block of SPAM Comment IPs . Установите для автоматической блокировки ip-адресов с которых идет впам в комментарии.
• Minimum number of SPAM comments . Укажите минимальное количество спам-комментариев для одного IP-адреса после чего он будет заблокирован.
• Минимальное количество спам-комментариев на каждый IP . Эта информация может быть полезна для определения IP-адресов или их диапазонов, наиболее стабильно использующихся спаммерами. Анализ этой информации позволит Вам быстро определить, какие адреса или диапазоны следует заблокировать, добавив их в черный список.

BuddyPress

Данная функция добавит CAPTCHA с простой математической задачей в форму регистрации BuddyPress. Добавление поле CAPTCHA в регистрационной форме — простой способ значительно снизить количество спам-регистраций от роботов, без изменения правил в файле.htaccess.

Сканнер

• Активировать автоматическое сканирование изменений файлов . Включите этот чекбокс, чтобы система автоматически проверяла, есть ли изменения в файлах, на основе настроек ниже.
• Частота сканирования . Укажите периодичность сканирования.
• Игнорировать файлы следующих типов . Прежде всего введите файлы изображений, которые могут часто изменяться без ущерба для безопасности сайта: jpg, jpeg, png, bmp.
• Игнорировать определенные файлы и папки . В первую очередь укажите папку с кешем.

Режим обслуживания

Эта опция позволяет перевести Ваш сайт в режим обслуживания, сделав невозможным просмотр сайта посетителями, за исключением администраторов. Это может быть очень полезным, если Вы что-то настраиваете, меняете дизайн, проверяете работу плагинов и т.д. и т.п.

Разное

• Активировать защиту от копирования . Включите эту опцию, если Вы хотите блокировать функции «Правая кнопка», «Пометка текста» и «Копировать», на публичных страницах Вашего сайта.
• Активировать iframe-защиту . Отметьте, если Вы хотите, чтобы другие сайты не могли показывать Ваш контент внутри frame или iframe.
• Disable Users Enumeration. Эта функция позволяет предотвратить пользователям/ботам извлекать информацию пользователя типа «/?Автор=1». При включении, эта функция будет выдавать ошибку, а не предоставлять информацию о пользователе.

Оценить статью

Плагин безопасности All In One WP Security & Firewall для WordPress

4.3 (86.67%) 3 голос[ов]