Урок 399 All In One WP Security – лучший плагин для безопасности для WordPress. Wordpress security

All In One WP Security

Привет, ребята! Когда твой сайт становится немного раскрученным, появляются постоянные читатели, получаешь огромное удовольствие. Вроде бы все круто. Растет и поток денег, и отклик получаешь от аудитории, увеличивается узнаваемость. Но существует и обратная сторона медали. Это завистники, это внимание со стороны недоброжелателей.

Чтобы вы представляли, о чем идет речь: мой блог только за прошлую неделю взламывали 2 раза. Постоянные посетители, думали, заметили. Ребята, я настоятельно рекомендую ознакомиться с данным уроком, потратить время на внедрение советов, о которых говорю, чтобы больше обезопасить свой сайт и сэкономить время, деньги и нервы.

Существует довольно много плагинов, связанных с улучшением безопасности, я пробовал многие, но все что-то не то. Либо блог "падал" непонятно из-за чего, либо сложно было понять, как работать. И все же, благодаря советам ребят, с которыми общаюсь на марафоне, удалось найти достойный, похвальный плагин, который очень сильно понравился. Абсолютно всем. Поэтому сразу же спешу поделиться с вами этой информацией.

All In One WP Security - это самый необходимый плагин для увеличения безопасности в WordPress. Ставить его нужно всем, кто владеет сайтом на Вордпресс. Всем без исключения.

Если мой любимый плагин Yoast SEO - это комбайн в сфере SEO для WordPress, то плагин WP Security - аналог в сфере безопасности. То есть, если благодаря Yoast SEO я перестал нуждаться в нескольких SEO плагинах, то здесь точно также, благодаря All In One WP Security можно избавиться от других плагинов, которые лишь частично выполняют функции данного. Например, как:

• Login Lockdown;
• WordPress Database Backup;
• Anti-XSS attack;
• и другие подобные.

Огромные плюсы плагина All In One WP Security:

• бесплатный;
• настраивается очень просто;
• практически все переведено на русский язык, поэтому понятно о чем идет речь.

Настройка плагина All In One WP Security

Обязательно сделайте бэкап (резервную копию) перед началом работы (на всякий случай) следующих файлов:

• база данных;
• файл wp-config;
• файл htaccess.

Кстати, резервные копии этих трех файлов можно сделать прямо в данном же плагине, просто в админке перейдите в WP Security - Настройки:

Панель управления

Тут есть очень крутой информер, который показывает уровень защищенности вашего сайта:

Этот показатель поможет держать руку на пульсе и понимать, что еще нужно сделать для улучшения безопасности. Не рекомендую делать все, ради достижения максимальных баллов. Могут быть плохие последствия, ваш сайт может упасть, ошибочно функционировать.

Текущий статус самых важных функций. В этом блоке можно активировать самый необходимый функционал по безопасности вашего сайта (можете пока не трогать их, в ходе настроек по уроку, данные параметры активизируются итак):

Остальные параметры в Панели управления малоинтересны, Вы можете ради любопытства ознакомиться с ними (Информация о системе, Заблокированные IP адреса, AIOWPS.

Настройки

Общие настройки. Тут можно создать резервные копии файлов, о которых я говорил выше. Также отключить функции безопасности и файерволла, если что-то перестало работать.

WP мета-информация. Нажимаем на галочку напротив "Удаление метаданных WP Generator", чтобы не отображать версию WordPress:

Вкладка "Импорт/Экспорт". Здесь можно экспортировать свои настройки, чтобы потом на другом сайте не тратить время на настройки и импортировать в 2 клика все необходимые "галочки".

Администраторы

Пользовательское имя WP. Обязательно (!) смените имя администратора, если оно у вас "admin". Вы не представляете как много и часто подбираются пароли с логином admin. Если еще к тому же пароль очень легкий, ваш сайт легко может быть взломан.

Отображаемое имя. Если на вашем сайте есть аккаунты, у которых имя пользователя и отображаемое имя совпадает, то рекомендуется изменить отображаемое имя (никнейм).

Пароль. Очень интересная вкладка. Тут можно узнать, за какой промежуток времени можно подобрать в автоматическом режиме ваш пароль. Введите свой пароль и сильно удивитесь, насколько быстро его можно взломать. Обязательные условия для усиления безопасности:

• в вашем пароле должны быть как заглавные, так и строчные буквы;
• обязательно наличие хотя бы 1-ой цифры, но никак пароль не должен состоять только из цифр;
• желательно еще наличие какого-либо спецсимвола;
• длина пароля должна быть более 10 символов.

В итоге у вас должен быть максимальный степень безопасности вашего пароля, что-то в этом роде (пароль ниже домашний компьютер взломал бы за 57 337 лет (!) ):

Авторизация

Блокировка авторизаций. Обязательно включите эту функцию. Если пароль в течении 5-ти минут (по умолчанию)  введется 3 раза неправильно, то IP блокируется на 60 минут (тоже по умолчанию). Я не рекомендую ставить блокировку больше по времени, а то можно столкнуться  с тем, что сами администраторы вводят логин 3 раза неправильно, ставят блокировку на 10 лет и не знают что делать. Оставляем по умолчанию 60 минут и не паримся.

Также я рекомендую поставить галочку напротив "Сразу заблокировать неверные пользовательские имена". К примеру, вы поменяли логин с admin на krutysh, то при вводе логина admin в поле для авторизации, сразу же заблокируется IP адрес. "Уведомлять по email" - тут по мере необходимости. Я не люблю лишний спам, поэтому здесь галочку не ставлю.

Итоговые настройки данной вкладки у меня выглядят так:

Если вам любопытно, можете глянуть список заблокированных IP, ссылка на раздел приводится в данной же вкладке ниже.

Ошибочные попытки авторизации. Вот здесь как раз видны те логины, которые подбираются. Чаще всего у меня сверкают логины admin, root, font. Также видны время "попыток". Обратите внимание, как часто пытаются войти в админку:

Автоматическое разлогинивание пользователей. Рекомендую тоже включить данный чекбокс. Позволяет через определенное количество минут завершить сессию и разлогинить пользователя. Я ставлю 600 минут:

Вкладки "Журнал активности аккаунта" и "Активных сессий" носят информационный характер.

Регистрация пользователей

Ставим галочку напротив "Активировать ручное одобрение новых регистраций":

Да и можно поставить галочку CAPTCHA при регистрации:

Конечно, если нельзя зарегистрироваться другим людям на вашем сайте, верхние 2 пункта просто бесполезны, от них не станет ни лучше, ни хуже. Но, если вы сомневаетесь, лучше поставьте галочки в этих пунктах.

Защита базы данных

Здесь будьте аккуратны во вкладке "Префикс таблиц БД". Прежде чем поставить галочку, обязательно сделайте резервную копию своей базы данных (там же увидите ссылку на создание бэкапа своей БД). Если боитесь, сомневаетесь, лучше оставьте без галочки:

Резервное копирование БД. Здесь уже ставим галочку, выбираем частоту создания бэкапов и их количество. У меня. к примеру, такие цифры:

Если вы не так категорически относитесь к чистоте в почте как я, то можете включить чекбокс для отправки бэкапов на свой электронный ящик.

Защита файловой системы

Доступ к файлам. Здесь в правой части у вас будут кнопки, вам нужно будет изменить права доступа к файлам, нажав на эти кнопки. В результате все строчки у вас должны стать зелеными:

Редактирование файлов PHP. Если вы не правите свои PHP файлы через админку, ставим галочку. Править файлы через админку я не рекомендую хотя бы потому, что у вас нет возможности нажать CTRL+Z в случае чего и вы не сможете вернуть файл в исходное положение:

Доступ к файлам WP.  Ставим галочку:

Системные журналы. Оставляем по умолчанию.

WHOIS-поиск

Можете вбить IP адрес, либо домен для получения WHOIS какого-либо домена. А так по сути тут нечего трогать.

Черный список

Если у вас нет недоброжелателей, можете не включать данный пункт. Если какой-то IP адрес постоянно сверкает в комментариях, к примеру, можете включить чекбокс и внести данный IP в черный список.

Файрволл

Базовые правила файрволла. Если вы не делали до этого момента резервную копию htaccess, то обязательно делаем его. И ставим галочки напротив всех пунктов:

Дополнительные правила файерволла. Тут тоже включаем все галочки:

UPDATE: ниже во вкладке "Дополнительная фильтрация символов" я убрал галочку, потому что некоторые комментарии не проходили, отдавали 403 ошибку. Наверное, все-таки, вам тоже я посоветовал бы убрать эту галочку, чтобы не было у пользователей проблем с комментированием.

Настройки 5G файрволл. Тоже включаем:

Интернет-боты. Здесь могут возникнуть проблемы с индексацией, поэтому я рекомендую не включать данный пункт.

Предотвратить хотлинки. Тоже включаем.

Детектирование 404. Рекомендую включить. А время ставить минут 5.

Custom Rules. Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.

Защита от брутфорс-атак

Переименовать страницу логина. Включаем. Меняем адрес логина на свой:

Защита от брутфорс-атак с помощью куки. Я не включаю данную функцию, чтобы не было проблем со входом с разных устройств.

CAPTCHA на логин. Можете включить CAPTCHA при авторизации, я же не включаю:

Белый список для логина. Так как я часто захожу на сайт с разных мест, IP у меня разный, поэтому данную опцию я не включаю:

Бочка с медом. Создается дополнительное поле, которое видят только роботы. Поэтому, при заполнении данного поля, робот будет перенаправлен на свой адрес. Включаем:

Защита от SPAM

CAPTCHA в форме комментариев. Я не включаю, так как не люблю усложнять комментирование, а вот функцию "Блокировка спам-ботом от комментирования" рекомендую включить:

Отслеживание IP-адресов по спаму в комментариях. Тут можно глянуть на "частосверкающие" IP по спаму в комментах и занести их в черный список.

BuddyPress. Добавляет CAPTCHA в форме регистрации BuddyPress. Я не использую ее.

Сканер

Отслеживание изменений в файлах. Рекомендую включить, так как часто при взломе сайтов не совсем понятно, какой файл изменили, где искать вредоносный код. А с помощью этой функции сможете отследить изменения в файлах вашего сайта и быстро найти тот файл, который изменялся в последнее время.

Сканирование от вредоносных программ. Функция платная, стоит от 7$ в месяц.

Режим обслуживания

Позволяет "закрыть" сайт на время, чтобы сделать какие-то правки. То есть посетителям сайта будет предложена "заглушка", что ведутся работы на сайте. Полезно при смене дизайна, проверке работоспособности плагинов.

Разное

Защита от копирования текста и прочее. Здесь я нигде в трех вкладках не ставлю галочки. Тоже рекомендую не ставить.

Итоги

После завершения всех этих настроек, вы можете перейти в "Панель управления" и глянуть показатель уровня безопасности, у вас должно получится что-то вроде этого:

Повторюсь, не нужно необдуманно делать все, чтобы достигнуть максимально возможного балла. Не занимайтесь ненужным вредом для своего сайта, его работоспособности и удобства.

На этом все, плагин рекомендую ставить всем, действительно очень классный "комбайн" в плане безопасности для WordPress.

Если возникнут вопросы - пишите. Спасибо отдельное за ретвиты и репосты, за то, что помогаете людям донести эту важную информацию.

wpnew.ru

iThemes Security (ранее Better WP Security)

iThemes Security is the #1 WordPress Security Plugin

iThemes Security (formerly Better WP Security) gives you over 30+ ways to secure and protect your WordPress site. On average, 30,000 new websites are hacked each day. WordPress sites can be an easy target for attacks because of plugin vulnerabilities, weak passwords and obsolete software.

Most WordPress admins don’t know they’re vulnerable, but iThemes Security works to lock down WordPress, fix common holes, stop automated attacks and strengthen user credentials. With advanced features for experienced users, our WordPress security plugin can help harden WordPress.

Maintained and Supported by iThemes

iThemes has been building and supporting WordPress tools since 2008 like BackupBuddy, our WordPress backup plugin. With our full range of WordPress plugins, themes and training, WordPress security is the next step in providing you with everything you need to build the WordPress web.

Get Plugin Support and Pro Features

Get added peace of mind with professional support from our expert team and pro features to take your site’s security to the next level with iThemes Security Pro.

Расширенные возможности (PRO):

• Two-Factor Authentication — Use a mobile app such as Google Authenticator or Authy to generate a code or have a generated code emailed to you.
• WordPress Salts & Security Keys — The iThemes Security plugin makes updating your WordPress keys and salts easy.
• Malware Scan Scheduling — Have your site scanned for malware automatically each day. If an issue is found, an email is sent with the details.
• Защита паролем — Создание надежных паролей прямо из вашего профиля.
• Password Expiration — Set a maximum password age and force users to choose a new password. You can also force all users to choose a new password immediately (if needed).
• Google reCAPTCHA — Protect your site against spammers.
• User Action Logging — Track when users edit content, login or logout.
• Import/Export Settings — Saves time setting up multiple WordPress sites.
• Dashboard Widget — Manage important tasks such as user banning and system scans right from the WordPress dashboard.
• Online File Comparison — When a file change is detected it will scan the origin of the files to determine if the change was malicious or not. Currently works only in WordPress core but plugins and themes are coming.
• Temporary Privilege Escalation — give a contractor or someone else temporary admin or editor access to your site that will automatically reset itself.
• wp-cli Integration — Manage your site’s security from the command line.

iThemes Sync Integration

Manage more than one WordPress site? Manage Away Mode, release lockouts and keep your themes, plugins and WordPress core up to date from one dashboard with iThemes Sync. Start managing 10 WordPress sites for free with iThemes Sync.

iThemes Brute Force Attack Protection Network

iThemes Security takes brute force attack protection to the next level by banning users who have tried to break into other sites from breaking into yours. The iThemes Brute Force Attack Protection Network will automatically report IP addresses of failed login attempts and will block them for a length of time necessary to protect your site based on the number of sites that have seen a similar attack.

Защита

iThemes Security работает, чтобы защитить ваш сайт путем блокировки плохих пользователей и повышения безопасности паролей и другой важной

ru.wordpress.org

Плагины WordPress для безопасности - 11 бесплатных плагинов.

Поделитесь пожалуйста

Плагины WordPress для безопасности

Плагины WordPress для безопасности - 11 бесплатных плагинов.

WordPress является самой популярной системой управления контентом в интернете, в основном из-за своей гибкости с почти 50 000 плагинами.

Для Вашего сайта на WordPress обязательно нужно добавить дополнительный уровень безопасности, чтобы Ваш сайт был максимально защищен от злоумышленников. Выберите и добавьте на свой сайт нужные плагины WordPress для безопасности.

Плагины WordPress для безопасности, здесь список из 11 плагинов. Есть плагины с брандмауэром, защита от спама, двухфакторная аутентификация и многое другое. Все эти плагины бесплатны, хотя некоторые предлагают дополнительные платные функции.

Wordfence

Wordfence Security - возможно лучший плагин для безопасности WordPress.

Wordfence - популярный плагин безопасности с более чем 22 миллионами загрузок. Брандмауэр останавливает вредоносный трафик и блокирует злоумышленников, прежде чем они смогут получить доступ к Вашему сайту WordPress. Его функция “threat defense feed” автоматически обновляет правила брандмауэра, который защищает Вас от новейших угроз. Сканер Wordfence сканирует Ваш сайт на вредоносный код и подозрительные изменения и быстро предупреждает Вас в том случае, если Ваш сайт находится под угрозой.

Плагин Wordfence Security, имеет очень большое количество функций для защиты сайтов на WordPress, даже в бесплатной версии.

Так Плагин Wordfence Security, защищает форму входа и после нескольких ошибок, блокирует на некоторое время IP такого пользователя. В настройках плагина Вы можете внести свои изменения.

Плагин Wordfence Security, защищает сайт от ddos атак, блокируя IP адреса с которых производится атака. И еще многое другое, что умеет делать плагин Wordfence Security для защиты сайтов на WordPress.

В платной версии плагин Wordfence Security, может блокировать по странам, обновляется в режиме реального времени и предоставляет для безопасности сайта другие функции, но и в бесплатной версии, он не заменимый помощник для блогеров.

Цена: бесплатно, есть платная версия.

IThemes Security

IThemes Security предлагает более тридцати удобных способов защиты WordPress. Цена: бесплатно, есть платная версия.

All In One WP Security & Firewall

All In One WP Security & Firewall предлагает самые последние рекомендации и методы обеспечения безопасности WordPress в качестве простых в использовании функций. All In One WP Security & Firewall также использует систему оценки точек безопасности для оценки того, насколько хорошо Вы защищаете свой сайт на основе активированных функций безопасности. Добавляет дополнительные функции безопасности для учетных записей пользователей, имени входа и регистрации. Запрещает пользователей по IP. Блокирует при переборе (атак грубой силы, так называемых "brute force attacks"). Присылает Вам предупреждения, когда Ваши файлы меняются. Имеет планировщик создания автоматических резервных копий с уведомлением по электронной почте.

Цена: бесплатно.

WP-SpamShield

WP-SpamShield - плагин (антиспам) для защиты от спама в WordPress, который устраняет спам в комментариях, спам в контактной форме, спам в регистрации, спам в ответ на спам и любой другой тип спама в WordPress. Этот плагин работает как брандмауэр, чтобы гарантировать, что Ваши комментаторы действительно люди, и что эти люди не спамят Вам. WP-SpamShield обеспечивает автоматическую защиту от нежелательной почты для всех основных контактных форм плагинов, включая Contact Form 7 forms, Gravity Forms, Ninja Forms, and Jetpack.

Цена: бесплатно.

Really Simple SSL

Really Simple SSL автоматически определяет параметры и настраивает Ваш сайт, чтобы работать по протоколу https. Чтобы сделать его простым, опции сведены к минимуму. Все входящие запросы будут перенаправлены на https. URL-адреса сайта и адрес домашней страницы меняются на https.

Цена: бесплатно.

Shield WordPress Security

Shield WordPress Security - это комплексное решение для обеспечения безопасности без каких-либо ограничений. Блокируйте вредоносные URL-адреса и запросы и блокируйте все комментарии спам-ботов. Предотвращает попытки перебора грубой силы при входе в систему и попытки автоматического входа в систему. Проверяет подлинности пользователя с помощью двухфакторной проверки подлинности на основе электронной почты. Показывает все основные действия, которые произошли на Вашем сайте WordPress всеми пользователями. Скрывает страницу администратора и входа в WordPress. Простой в использовании переключатель временно отключает функции брандмауэра, не отключая плагин.

Цена: бесплатно.

Hide My WordPress

Hide My WordPress - это плагин для изменения и скрытия URL-адресов администратора и входа в WordPress. Скрывает страницы администратора и входа в систему и перенаправьте хакеров на страницу 404. Защищакт от атак методом перебора "грубая сила", атак SQL-инъекций и межсайтового скриптинга.

Цена: бесплатно.

Sucuri Security

Sucuri Security плагин для WordPress - это набор инструментов для мониторинга целостности системы безопасности, обнаружения вредоносных программ, ведения журнала аудита, и усиление безопасности. Отслеживает все события, связанные с безопасностью на Вашем WordPress сайте. Предоставляет доступ к нескольким черным спискам, чтобы проверить репутацию Вашего сайта.Предоставляет помощь, если Ваш сайт взломан. Предоставляет доступ к CloudProxy брандмауэру корпоративного уровня от Sucuril.

Цена: бесплатно. Брандмауэр CloudProxy - это премиум дополнение.

WP Antivirus Site Protection

WP Antivirus Site Protection - плагин безопасности для предупреждения, обнаружения и удаления вирусов и подозрительных кодов. Он обнаруживает бэкдоры, руткиты, трояны, черви, инструменты мошенничества, рекламное ПО, шпионские программы, скрытые ссылки, перенаправление и многое другое. WP Antivirus Site Protection сканирует не только файлы тем, но также все файлы Вашего сайта WordPress. Предоставляет оповещения по электронной почте и просматривайте отчеты по безопасности в Интернете.

Цена: Базовая версия бесплатна. Смотри сайт для платных функций.

miniOrange Two Factor Authenticator

miniOrange Two Factor Authenticator добавляет второй уровень защиты к Вашим учетным записям WordPress, двухфакторная проверка подлинности (аутентификация Google) вместо того, чтобы полагаться только на пароль, который может быть узнан с помощью фишинга или просто угадан. Он защищает Ваш сайт от взломов и несанкционированных попыток входа.

Цена: бесплатно.

Плагины WordPress для безопасности, конечно не ограничиваются, этим списком, их очень много. В этом списке плагины WordPress для безопасности с большим количеством загрузок и хорошими отзывами.

«Автор: Леонид Никитин»

Простые практики защиты WordPress от взлома.

Как Подтвердить права собственности на сайт в поисковых системах, простая пошаговая инструкция.

Нужные плагины WordPress, которые желательно установить после создания блога.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

leonnik.com

Better WP Security — мощная защита блога за 5 минут. Как настроить и на что обратить внимание?

Привет, друзья IdeaFox!

Обновление:  Теперь плагин выпускается под названием iThemes Security, о чем писал вот здесь: https://ideafox.ru/pro-blog/ithemes-security.html. Учтите этот момент, когда будете искать его в репозитории WordPress для установки.

Скажу сразу, что я немного помешан на безопасности и уделяю этому вопросу серьезное внимание. Посудите сами: ты развиваешь блог, добиваешься результата. И в любой момент все может закончиться, так как на сайт залили вирус и поисковые системы его пессимизируют. Да, потом можно будет выбраться из этой ситуации, но это будет дорого стоить.

И нервы потратите и деньги потеряете. Поэтому подумайте о безопасности заранее, прежде чем неистово писать новые статьи : — )

Ранее на своем блоге я писал статью по этому вопросу и некоторые приемы я возьму из нее.

https://ideafox.ru/pro-blog/zashhita-wordpress.html

Кое-какая информация из этой заметки уже устарела. Например, плагин Limit Login Attempts может некорректно работать с версией WP 3.5.1 Читал об этом факте, но сам не сталкивался, так как давно использую другой плагин, о котором пойдет речь ниже (+ свои приемы защиты)

Итак, на что нужно обратить внимание, для повышения безопасности блога:

Мой курс по безопасности WordPress

Уважаемые блогеры!

Обратите внимание на мой курс по безопасности WordPress, который так и называется:

«Защита блога на движке WordPress за два часа»

В этом небольшом курсе я систематизировал наиболее простые, но надежные методы защиты блога на WP от вирусов и хакеров.

Он будет полезен как начинающим, так и продвинутым блогерам.

Я сам пользуюсь этими методами на всех своих проектах.

Посмотрите вот это небольшое обзорное видео о курсе:

Для того, чтобы более подробно познакомиться с этим курсом, достаточно пройти регистрацию на моем закрытом сайте для блогеров:

Защищайте свои блоги!

1. Делаем резервные копии регулярно. Дело в том, что если блог взломал профи, то иногда легче сделать откат на старую версию и закрыть дыры, чем днями и ночами лазить по форумам и искать вредоносный код. Мало того, о том, что ваш блог взломали, можете узнать  через некоторое время.

Посудите сами: заразили даже такого монстра, как КтоНаНовенького. Почитайте, очень поучительная история:

http://ktonanovenkogo.ru/web-obzory/kak-proverit-sajt-na-virusy-proverka-onlajn-zarazheniya.html

2. Используем сложные пароли. Навроде Vfhf%%ajyxbr1312# Забудьте про простые пароли типа 123456

3. Устанавливаем только те плагины, которые регулярно обновляются.

4. Вы не должны заходить в админку Вордпресс как admin. Задайте имя посложнее. Например, adminmonstr12

Как изменить имя, я писал вот здесь.

https://ideafox.ru/pro-blog/zashhita-wordpress.html

Или же просто создайте нового пользователя в админке. Но там, насколько я помню, какая-то проблема с записями. Они будут перенесены на нового пользователя.

5. Своевременно обновляем и Вордпресс и плагины. (Обязательно делаем резервную копию перед такими операциями!)

6. По возможности избегайте использование FTP-клиентов. FileZilla, например, хранит пароли в открытом XML-файле. Который очень любят сканировать вирусы-трояны.

7. Ваш компьютер должен быть защищен нормальным антивирусом. Не бесплатной фигней для гиков, а нормальным антивирусом. Из долгого опыта поддержки пользователей у меня сложилось очень положительное отношение к антивирусу от Касперского. Наименьшее количество проблем я наблюдаю именно на тех машинах, где он установлен.

Повторюсь, что бесплатные решения подойдут для технически очень грамотных пользователей.

Вот здесь писал как получить КАВ его на полгода бесплатно:

https://ideafox.ru/malenkie-khitrosti/antivirus-kasperskogo-ot-yandex.html

8. Удалите лишние плагины.

9. Меняем префиксы в базе данных.

10. Закрываем каталоги от просмотров и очень много других действий.

11. Не используйте ворованные шаблоны или изо всяких файлопомоек.

Нормальный шаблон на themeforest стоит от 20 до 40 долларов. Это нормальная цена за отличный дизайн.

12. Естественно, пароль должен быть сложным и для входа на сам хостинг.

Соблюдая эти простые правила вы достаточно хорошо защитите свой блог. Но придется поработать руками и головой.

Когда я заморозил два прежних своих ГС, то мне не хотелось опять все делать вручную и стал искать плагин, который решил бы эту проблему побыстрее. В мои цели не входило со всем разбираться вручную (как здесь) и долго искал.

Я их попробовал штук пять (четыре раза блог падал!), но вот на пятый раз мне повезло.

Better WP Security

Очень хороший плагин, который в пару кликов делают работу, которую в ручном режиме опытный спец делает пару часов, а новичок пару дней.

Внимание: обязательно нужно сделать резервную копию перед установкой этого плагина.

Если не уверены, что сможете восстановиться из резервной копии, то не ставьте Better WP Security.

Этот плагин может конфликтовать с теми, которые установлены на ваших блогах. Поэтому даже если установка прошла удачно, погоняйте блог, посмотрите разные страницы — вдруг что-то вылезет.

Он может тормозить блог на слишком слабом виртуальном хостинге. (так называемые «однодолларовые хостинги») 

Самое главное: убедитесь, что помните свой логин и пароль к админке. По умолчанию, он настраивается так, что дается 5 (пять) попыток на ввод верного пароля. На шестой раз следует бан.

Итак, как установить и настроить этот плагин:

Обновление

Инструкция по установке и настройке iThemes Security

Вернулся к статье и добавил небольшое видео. Дело в том, что теперь плагин называется iThemes Security и появилось несколько новых функций. Особое внимание обратите на настройку, связанную с блокировкой русских символов.

Уже обращалось несколько человек, которые видят «белые экраны смерти» в админке своего блога..

Видео писал без дублей, с первого раза. Есть некоторые заминки и слова-сорняки : ) Но основной смысл понятен : )

У меня есть видеоурок по безопасности, который рекомендую посмотреть, и все станет понятно. (Речь идет о старой версии Беттер Вп Секьюрити и не только)Этот урок входит в бесплатный курс «Надежный блог за один вечер» и полную версию курса можно получить на этой странице.

Если лень смотреть видео, то внимательно прочитайте инструкцию ниже.

1. Делаем резервную копию блога. (как это делается, писал вот здесь)

2. Удаляем всякий хлам в виде плагинов, которые не используете. Или пользуетесь, но видите, что толку от них нет.

3. Установка стандартная:

После установки у вас на блоге должно появиться такое меню “Безопасность”:

И потребуется простая настройка, которая сразу же решит кучу проблем безопасности:

1. Заходим в меню “Безопасность и видим следующий экран:

Так как у вас есть резервная копия блога (так ведь? : ), то жмем на кнопку “Нет, спасибо. У меня уже есть резервная копия”

Переходим к следующему экрану:

Жмем на кнопку “Разрешить этому плагину изменять основные файлы WordPress”

И видим следующий экран:

Жмем на кнопку “Защитить мой сайт от базовых атак”

Блог задумается на некоторое время и показывает следующий экран:

В принципе, на этом можно остановиться, так как от большинства проблем Вы защитились.

Те, кто не разбираются хорошо в Вордпресс или боится – не двигайтесь дальше, пожалуйста. Иначе пара бессонных ночей будет обеспечена.

Для тех, кто уверен в себе и знает английский, двигаемся дальше:

Если строки синие, оранжевые или зеленые, то проблем нет. Но в идеале, они должны быть все зеленого цвета.

Давайте убирать “Красные строки”, которые означают потенциальную угрозу.

1. Я сразу изменил админа на другое имя поэтому у меня надпись “The admin user has been removed.” подсвечена зеленым. Если красным, то просто измените имя на другое, но только не admin

2. “А user with id 1 still exists” подсвечено красным. Жмем на надпись “Click here to change user ID…”

На след. экране Вам будет предложено изменить ID. Соглашайтесь.

К сожалению, скриншота нет этого окна.

3. Следующая строка: “Ваш префикс не должен быть wp” Жмем на надписи рядом “Кликните здесь, чтобы переименовать его”

Этот простой шаг снизит вероятность успеха SQL-атаки.

Так как у вас есть резервная копия, то жмем на кнопку “Изменение префикса таблицы базы данных”

Префикс автоматически будет сгенерирован. Не такой же, как в моем примере, конечно.

В моем примере префикс получился mvr9m_ В Вашем случае он может быть другим. Например, cvd7t_ (Понятно, что сейчас он совсем другой и я не “свечу” его на скриншотах”)

4. Your installation is not acti

ideafox.ru

All In One WP Security - настройка безопасности | WPNICE

Доброго дня всем читателям, обсудим сегодня еще раз вопрос безопасности сайта на WordPress. Но не абстрактно, а на примере настройки отличного плагина All In One WP Security & Firewall который я вполне успешно использую на ряде своих сайтов и могу смело порекомендовать вам.

All In One WP Security & Firewall относится к числу универсальных защитников WordPress о которых вы можете почитать здесь. Этакий «гвардеец на все руки» и в принципе, осуществляет комплексную защиту по очень многим параметрам. У плагина хороший рейтинг пользователей и он совершенно бесплатен.

Одно из важных достоинств в том, что All In One WP Security & Firewall прекрасно переведен на русский язык и освоение всех его особенностей не представляет труда для тех кто не слишком хорошо изучал иностранные языки в школе. Перевод полный — то есть не только основных функций, но почти всех подсказок к ним. Именно они дадут вам полное представление и понимание необходимости и важности тех или иных настроек.

Структурно плагин состоит из нескольких десятков опций, которые вы вольны задействовать или оставить выключенными. Включение тех или иных опций отображается в специальных флажках. Там же виден приоритет данной опции.

Целью данной статьи я ставлю не столько перечисление настроек (их вы и так сможете легко увидеть, изучить и понять), а своё видение того, что стоит включать, а чем можно по тем или иным причинам, пренебречь. Приступим.

Настройка All In One WP Security & Firewall

Панель управления

• Информационные виджеты с наглядным индикатором защиты, диаграмма всех очков защиты, показ активных сессий и заблокированных IP. Особое внимание стоит уделить виджету — Текущий статус самых важных функций. Тут вы можете сразу, не углубляясь в настройки включить самые важные элементы защиты.
• Информация о системе. Выводится инфо о сайте, версии PHP и всех установленных плагинах. Таб — Заблокированные IP адреса и таб с логами плагина. В начале в этих табах у вас разумеется всё будет пусто.
• Табы — Заблокированные IP и логи. Тут ничего настраивать не надо.

Настройки

• Табы с общими настройками. Ничего не настраивается, но зато можно сразу сделать резервные копии .htaccess, базы данных и wp-config.php. Тут же можно одним махом вырубить все настройки если что-то пошло не так и появились проблемы.
• WP мета информация. Включаем.

Администраторы

• Пользовательское имя WP. Если ваш логин не Admin, то все в порядке. В противном случае — надо обязательно его поменять. Это реально важная «фишка». Если в дальнейшем вы укажите, что бы вам на почту приходили уведомления о временно заблокированных пользователях которые пытались войти с логином Admin — будете неприятно удивлены. У меня это как минимум по 2-5 писем в сутки (см. Блокировка авторизаций).
• Отображаемое имя. Показывает всех зарегистрированных пользователей у кого логин совпадает с именем (ником). Если у вас нет никого кроме вас — список будет пустой. Если есть пользователи, можете заняться исправлением ников. Не слишком важная функция — можно не трогать.
• Пароль. Занятный инструмент который визуально покажет вам надежность любого пароля. Судя по нему имеет смысл задавать сложные пароли длинной не менее 10 знаков.

Авторизация

• Блокировка авторизаций. Полезная функция от подбора паролей. Обязательно включите и настройте на свой вкус параметры или оставьте как есть по умолчанию. Рекомендую, по крайней мере на время, включить уведомления о сработавших блокировках на емейл. Просто, что бы понять, насколько важна эта функция.
• Ошибочные авторизации. Тут статистика. Ничего не надо настраивать.
• Автоматическое разлогинивание пользователей. Не удобная для ваших пользователей штука и при этом дает мало очков безопасности. Можно не включать.
• Журнал активности и Активные сессии — информация и логи.

Регистрация пользователей

• Подтверждение вручную. В общем, вполне полезная функция если у вас на сайте не особо частые регистрации и если они вообще разрешены. Можно включить.
• Капча при регистрации. Устанавливает простую, цифровую капчу на форму регистрации. Мне, честно говоря, не понравилось как она работает. Я использую отдельную — Math Captcha. Вроде бы во всем похожа, но в отличии от встроенной, работает на порядок лучше. Решайте сами, что выбрать.

База данных

• Изменение префикса таблиц вашей базы данных. Стоит включить, но всё таки, советую обязательно сделать заранее бекап БД.
• Резервное копирование БД. Рекомендую включить. Обычно БД не занимают много места и лишним это не будет даже если вы используете еще какой то бекап для сайта.

Файловая система

• Доступ к файловой системе. Установите нужное значение для доступа к папкам в колонке Рекомендуемое действие так, что бы весь список стал зеленым.
• Редактирование фалов PHP. Можно включить запрет на редактирование из админки, если конечно, вы сами не правите файлы таким образом.
• WP доступ к файлам. Запрет доступа к readme.html, license.txt и wp-config-sample.php. Включаем.
• Системный журнал. Настройка формирование лога. Ничего не трогаем.

WHOIS поиск

• Ручная проверка IP адресов. Ничего не настраивается, да и работает почему-то не всегда.

Чёрный список

• Забанить пользователей. Включаем. Как вы понимаете, актуально только в случае если вы сами введете туда какие то IP адреса. Бывает полезно когда нужно быстро забанить очередного идиота хулиганящего в комментах.

Файерволл

• Базовые правила. Почитайте подсказки и включите обе галочки. Стоит перед этим сделать бекап своего файла .htaccess
• Дополнительные правила. Стоит включить все. Однако авторы плагина предупреждают о возможной несовместимости с некоторыми плагинами.
• Настройка 5G. Насколько я понял, включает некий дополнительный брандмаузер. Включайте. Проблем после включения данной опции я не замечал.
• Интернет роботы. По идее, блокирует ложных гугло роботов. Во избежании проблем с полезными роботами, я этот чекбокс на всякий случай, не включал.
• Предотвратить хотлинки. Что это такое — читайте в подсказке. Включаем.
• Отслеживание ошибок 404. Стоит включить, но время блокировки сделайте небольшим. Например, минут 5-10.

Защита от брутфорс атак

• Переименовать страницу логина. Опция полезная, но имейте ввиду, что может возникнуть проблема в том случае если вы разрешили регистрацию на сайте. Например, когда пользователь захочет восстановить потерянный пароль. В целом, стоит хорошенько потестировать после включения. К тому же, некоторые хостинг провайдеры используют эту защиту по умолчанию. Решайте по обстоятельствам.
• Защита от брутфорс-атак, основанная на использовании куки. Как и с предыдущим пунктом, настройка строго индивидуальна. Внимательно читайте подсказки и решайте сами.
• Капча на логин. Если все-таки используете встроенную капчу, то всё лучше всё включить.
• Белый список. Запретит доступ у логину всем кроме тех кто будет указан в списке. Для истинных маньяков, можно не включать.
• Бочка с мёдом. Читайте детально описание этой интересной функции в подсказке. Как мне кажется — можно смело включать.

Защита от СПАМА

• Спам в комментах. Капча в комментариях — включите если используете встроенную капчу. Блокировка спам роботов — помогите своему Акисмету бороться со спам роботами — включайте.
• Отслеживание IP. Можете тут вычислить самых активных спамеров и занести их в черный список.
• BuddyPress. Актуально если у вас стоит этот плагин социальной сети.

Сканнер

• Отслеживание любых изменений в файлах. Как мене кажется, больше предназначено для особо озабоченных, так как изменения в файлах непременно будут иногда происходить. Если хотите всё это постоянно отслеживать и контролировать — включайте.
• Сканирование от вредоносных программ. Платная функция — от 5$ в месяц.

Режим обслуживания

• Тут можно включить «режим обслуживания» для сайта и настроить внешний вид страницы с предупреждением для читателей. Дополнительно читайте вот здесь.

Разное

• Защита контента от копирования и вставки внутри фрейма. Включение этих никак прямо не влияет на защиту сайта.

Выводы

All In One WP Security мне в целом, вполне понравился и я его использую на некоторых сайтах. По моему, если не лучший, то уж точно — один из лучших подобных плагинов. Справедливости ради отмечу, что ни в коей мере не являюсь экспертом в вопросах безопасности. Всё вышеописанное только результат моего опыта использования и личного мнения. Так что, если у опытных читателей есть свои мысли по настройкам данного плагина или лучшие варианты альтернатив ему, прошу высказываться. На вкус цвет, как говорится…

Официальная страница плагина

wpnice.ru

All In One WP Security

Статьи в этой же категории

 

А сегодня, друзья мои, будем защищаться.

Да. Именно так. От кого? От тех товарищей-подонков, которые будут покушаться на наше «блогосостояние». Кто эти люди я не могу сказать, но они есть и не могу взять в толк, почему под их ногами не горит земля. Почему на их головы не идет каменный дождь и они не захлебываются слюной своего злорадства.

А коли такие люди существуют, то от них нужно адекватно защищаться. И мы сегодня поставим вам супер-клевый плагин для защиты вашего блога.

Будьте уверены, не одна сука не проникнет в ваш блог и не напакостит вам, после того как вы его поставите.

А плагин этот All In One WP Security.

Я раньше пользовался конечно плагинами защиты и как-то особо не беспокоился о безопасности, логин естественно ADMIN, пароль из пяти букв, и естественно это было до поры до времени. В плагины и не заглядывал никогда, ну стоит, да стоит, значит охраняет. Короче в темную все.

А когда хакерская атака прорвала эту защиту и начала перегружать хост, то тут я задумался… И совершенно случайно надкнулся на плагинчик, который мне показался очень милым и доброжелательным. И в то же время очень серьезным охранником, послушав которого и выполнив его указания вы будете под надежной защитой.

Конечно, пока вы будете молодой блогер и пока ваш путь будет в стадии развития, беспечность прокатит. Но когда вы наберете вес и станете локтями расталкивать конкурентов, освобождая место под солнцем, у вас появятся завистники и недоброжелатели. Поэтому с самого начала возьмите в привычку хорошо защищаться.

Так чем же хорош этот плагин All In One WP Security?

• Надежный;
• Бесплатный;
• Русcифицированный;
• Простой.

Установить его на WordPress нужно по стандартной схеме: Плагины-Добавить новый, в поиск вбиваем All In One WP Security, Enter, первый, и это не случайно, будет он родимый…

Перейдем к настройке плагина All In One WP Security

Советую перед установкой сделать копию с вашей Базы данных. 1. Сама База данных. 2. Файл файл wp-config. 3. файл .htaccess.

И все это, как все-таки удобно, можно сделать в настройках самого плагина.

 

Панель управления

В меню админки находим WP Security, подменю плагина Панель управления. 

Первое что бросается в глаза, это этакий манометр нашей защищенности и диаграмма проделанной работы плагина. Это вообще круто.

Что хочу сказать. ВАЖНО! Не увлекайтесь защитой до максимума. Не доводите давление защиты до критического. Чревато последствиями сбоем в работе сайта. Так говорят, сам не испытывал никаких проблем, наверное просто потому что просто держу чуть больше половины положенного.

Здесь в панели управления больше ничего не делаем и переходим в настройки.

 

Настройки

 

Вот именно здесь мы делаем копии нашего сайта и Базы данных. Здесь же мы будем, при необходимости отключать Файервол, если понадобится.

Во вкладке WP мета информации поставьте галочку

 

Во вкладке «Импорт/Экспорт» делаются действия по экспорту ваших настроек в какой-то другой сайт, если у вас есть, чтобы не ставить все галочки, которые мы сейчас будем проставлять. В два клика все будет сделано.

 

Администраторы

 

Пользовательское имя WP. 

Здесь меняйте имя администратора и это сделать НАДО. По умолчанию admin или wp-admin. Измените на другое, к примеру myblog-admin, или Ja-Vasja-Ivanov. И вообще забудьте слово admin раз и на всегда.

Отображаемое имя.

Придумайте любое имя, кроме admin. И еще советую если у вас сайте несколько аккаунтов, делайте отображаемые имена разными.

Пароль.

Самая интересная вкладочка. С нашим монометром, на котором в секунду можно определить степень взламываемости вашего пароля. Просто вписывайте предпологаемый пароль в строку прибора, он сразу же будет выдавать вам время, за которое он может быть взломан. В нашем случае 9 лет 6 месяцев.

Авторизация

Блокировка авторизаций. 

Включите так, как скриншоте. Разумно ставить значения, которые сообразны со здравым смыслом. Например если за 5 минут неправильный пароль был набран 3 раза, то ваш IP заблокируется на час. Так стоит по умолчанию. Я соглашаюсь с таким раскладом. Вы можете изменить, только в разумных пределах.

Заблокированные IP можно посмотреть ниже.

 

Ошибочные попытки авторизации. 

 

Вот здесь видно тварей. Отслеживайте кто часто лезет и принимайте меры. У меня пока один, это потому что недавно очистил список.

Автоматическое разлогинивание пользователей.

 

Включаем и ставим время 600 минут, через которые пользователь будет отключен.

 

Журнал активности аккаунта» и Активных сессий информативные.

 

Регистрация пользователей

 

В Подтверждении вручную и CAPTCHA при регистрации ставьте галочки в чекбоксы.

 

Защита Базы данных

Префикс таблиц БД.

Я не стал ставить здесь ставить галку, но если вы захотите поставить, то сделайте сначала резервную копию своей Базы данных. На всякяий случай.

Резервное копирование. 

Ставим галку и назначаем частоту их создания. Так же назначаем количество этих бэкапов, которые будут храниться в специальной директории плагина.

Защита Файловой системы

Доступе к файлам. 

В столбце Рекомендуемые действия нажимайте на кнопки там где нужно, плагин все сделает так как надо, и в итоге все строки в таблице должны выглядеть зелеными, вот так как у меня.

Редактирование файлов PHP.

 

Это для тех, кто правит файлы через админку. Ставьте, если не правите, не ставьте, если правите. Но вообще не рекомендуют править файлы в админке. Хотя дело каждого. Хотя если что накосячите, у вас не будет возможности все быстро вернуть клавишами CTRL Z.

Доступ к файлам WP.

 

Ставим Галю, тем самым запрещаем доступ к информ-файлам WordPress

Системные журналы.

Как есть, так и оставляем

 

WHOIS-поиск

 

Я ничего не делал. Не нужно мне узнавать какую-либо информацию о том или ином IP.

 

Черный список

 

Это для тех, кто часто светится на вашем сайте с подозрительными намерениями, вы их можете увидеть в (Авторизация — блокировка авторизаций — заблокированные IP). Если такие есть, то ставьте галку и прописывайте эти IP.

Файрволл

Базовые правила файрволла.

В первую очередь делайте копию файла .htaccess если вы еще не сделали ее и ставьте галочку.

 

Дополнительные правила файрвола.

Ставим

 

А в Дополнительной фильтрации символов не ставим галку. Могут проходить не все комментарии, выдавая ошибку 403, что тоже не очень хорошо.

Настройки 5G

Включаем

Интернет-боты.

Не включайте чекбокс

Предотвратить хотлинки.

Включаем

Детектирование 404.

Включаем и ставим время 5 минут

Защита от брутфорс-атак

 

Ставим галку и здесь вот мы и меняем адрес страницы для логина. Здесь вы можете изменить адрес страницы входа в админку.

Защита от брутфорс-атак с помощью куки.

Не включать, если не хотите испытывать проблемы с разного рода устройствами.

CAPTCHA на логин.

Не знаю как вы, если хотите капчу включить, включайте. Я этого не сделал.

Белый список для логина.

Не включайте. Наверняка будете входить на свой блог с разных устройств, мест и IP.

 

Бочка с медом.

Включаем

Защита от SPAM

Спам в комментариях.

CAPTCHA в форме комментариев — Не ставим. Блокировка комментариев от спам-ботов — Ставим

BuddyPress.

Добавляет CAPTCHA в форме BuddyPress. Нет надобности использовать.

 

Сканер

 

Я так понимаю процесс порчи при взломе. Хакеры меняют какие-то файлы в системе, не найдя которые попытки восстановить сайт не увенчаются успехом. Так вот при помощи этой функции можно отследить что именно изменялось в ближнем времени. Я просто восхищаюсь… Включаем автоматическое сканирование файлов.

Сканирование от вредоносных программ.

За это нужно платить.

 

Режим обслуживания

 

Прошу обратить внимание на смысл этого сервиса. Включить режим обслуживания означает выключить ваш сайт вообще. Он не будет виден никому, в том числе и роботам, соответственно и не будет индексироваться. Поэтому имейте это ввиду и не ставьте без острой необходимости эту галку.

Ваш покорный слуга отключил сайт на 2 дня, пока не заметил падения посещаемости и поиск причины.

В текстовом поле напишите что будут видеть посетители на время отключения сайта.

Разное

Здесь я понимаю только защиту от копирования. Галку не ставлю, пусть копируют все, это же так приятно)))

Результат

 

Плагин мы настроили. Зайдем в панель управления и посмотрим  новый уровень безопасности. Уверен, он стал намного выше, чем был. Теперь вы можете быть спокойным за безопасность вашего сайта.

А еще, что характерно, будете сюда заглядывать регулярно, чего не делали раньше с подобного рода плагинами.

Пользуйтесь, живите и работайте спокойно и продуктивно.

Порекомендуйте знакомым этот плагин. Можете дать ссылку на мой сайт

До встречи в сети!

rwix.ru

iThemes Security — Better WP Security. Настройка плагина

iThemes Security = Better WP Security — это плагин комплексной безопасности WordPress. Он представляет собой чек-лист возможных уязвимостей сайта с отображением проблем в защите сайта. Поговорим об оптимальных настройках плагина.

Установка iThemes Security (Better WP Security).

Не будем подробно останавливаться на установке плагина. Для этого достаточно в админ. панели WordPress перейти в «Плагины» --> «Добавить новый» --> в строку поиска вписать --> «Better WP Security» и нажать «Поиск плагинов». Далее нажимаете кнопку «Установить» и затем «Активировать плагин».

Переходим к настройкам плагина: стоит отметить настройки первостепенной важности и менее значимые параметры, а также безопасные настройки и настройки, которые могут в теории нарушить работу сайта.

Настройка iThemes Security (Better WP Security).

Первостепенные настройки плагина Better WP Security.

Мы установили и активировали плагин.  Теперь слева в административном меню у нас появилась кнопка «Безопасность».

Нажимаем на эту кнопку и видим вот это:

Плагин Better WP Security предлагает нам создать резервную копию базы данных. Нажимаем «Создать резервную копию базы».

Также рекомендую Вам выполнить резервное копирование с помощью специализированного плагина — прочтите статью. Полный бекап сайта тут точно не помешает.

После выполнения резервного копирования возвращаемся к плагину защиты WordPress Better WP Security и видим такое окно:

Нам предлагают «Защитить мой сайт от базовых атак». Это безопасная опция и при нажатии данной кнопки Вы не рискуете что-либо нарушить в работе сайта. Потому давайте нажмем кнопку «Защитить мой сайт от базовых атак».

Better WP Security — Статус системы.

После этого нам отображают чек-лист безопасности нашего сайта, вот такая картина будет для только что установленного сайта на WordPress:

Мы видим, что многие пункты из этого чек-листа требуют исправления. Но не все пункты можно безопасно исправить, требуется индивидуальный подход.

Вверху страницы Вы видите вкладки: Dashboard, Пользователь, Away, Ban, Dir, Backup, Prefix, Hide, Detect, Login, SSL, Tweaks, Logs.

Все настройки сгруппированы по этим вкладкам. Далее мы подробно рассмотрим каждый пункт настройки.

Какие пункты можно исправить без риска испортить сайт?

1. Вы не применяете надежные пароли.

Вкладка Tweaks --> Strong Password Tweaks

Первый пункт сообщает нам о том, что необходимо использовать надежные пароли. Нажимаем исправить:

Суть этого твика в том, что вы указываете группу пользователей, начиная с которой требуется использовать сильные пароли (много символов, разного регистра, включать в пароль цифры и другие символы).

Включение сильных паролей требуется если на сайте несколько пользователей с правами администратора или есть админ и редакторы. Если же Вы один имеете доступ в админ. панель, то просто проверьте Ваш пароль — если он надежный, можете пропустить эту опцию.

2. Your WordPress header is still revealing some information to users.

Вкладка Tweaks --> Header Tweaks

Второй пункт настроек Better WP Security предлагает нам убрать из кода header.php (Заголовка) всю лишнюю информацию. Что там лишнего?

• Мета-тег генератор — сообщает версию системы WordPress, может быть использован злоумышленниками для взлома системы (сбор информации по уязвимостям версии).
• Заголовки Windows Live Writer — он никем почти не используется, смело убираем.
• Заголовки RSD — тоже нам не нужны, отключаем. Эти заголовки нужны только тем, кто добавляет статьи в блог с помощью программ-клиентов для планшетов и мобильных телефонов. Если же вы пишете статьи обычно через браузер — смело удаляйте заголовки RSD.

Выбираем все три чекбокса и сохраняем изменения.

3. Не администраторы могут видеть доступные обновления.

Вкладка Tweaks --> Панель настроек

Этот пункт настроек позволяет запретить отображение доступных обновлений плагинов, тем, системы для не администраторов, имеющих доступ в панель управления (например, для редакторов статей).

4. The admin user still exists.

Вкладка Пользователь

Обычно по умолчанию в системе WordPress администратор имеет логин admin. Это небезопасно, такие админки проще взломать. Нужно изменить имя пользователя администратора. Для этого кликаем на данный пункт настроек Better WP Security.

Вводим новое имя пользователя для администратора и меняем ID.

5. A user with id 1 still exists.

Вкладка Пользователь

ID администратора мы уже изменили — см. чуть выше.

6. Ваш префикс таблиц не должно быть wp_.

Вкладка Prefix

Стандартный префикс таблиц базы данных WordPress wp_. В целях безопасности изменим его. Используйте только латинский алфавит и цифры.

Нажмите на кнопку «Изменить префикс таблиц базы данных» и новый префикс будет сгенерирован автоматически.

Предупреждение гласит: сделайте бекап перед применением настройки префикса базы данных.

7. Вы не планировали регулярного резервного копирования базы данных WordPress.

Вкладка Backup

С помощью этого пункта настроек Better WP Security вы можете задать регулярное автоматическое резервное копирование базы данных.

Отмечаете чекбокс «Включить архивацию по расписанию», устанавливаете интервал и настраиваете отправку бекапов на e-mail.

Примечание: бекап на электронную почту может не приходить, поэтому не полагайтесь на эту опцию. Если резервные копии перестали приходить, зайдите в настройках Better WP Security на вкладку Logs (Логи) и в блоке «Очистить базу данных» отметьте все чекбоксы, затем нажмите кнопку «Удаление данных». Может помочь решить проблему с отправкой бекапов на почту.

Помните: лучше проводить резервное копирование с помощью специальных плагинов. Делайте бекапы перед внесением изменений на сайте, перед обновление и установкой плагинов и после добавления новых статей. Бекапы скачивайте и храните в надежном месте.

Прочтите статью о способах резервного копирования сайта на WordPress.

8. Доступность админки 24 часа 7 дней в неделю.

Вкладка Away

Этот пункт не имеет критического значения — его рассмотрим в статье по дополнительным настройкам.

9. You are not blocking known bad hosts and agents with HackRepair.com's blacklist.

Вкладка Ban

Этот пункт позволяет блокировать хакреские агенты и «плохие» хосты.

Поставьте галочку в чекбокс «Enable Default Banned List» и нажмите кнопку «Add Hosts and Agents Blacklist» и хакерские агенты будут автоматически добавлены в черный список.

Если Вы читали в сети, что плагин добавляет в черный список Яндекс-бота, то на официальном сайте есть информация, что, начиная с версии плагина 3.4.2 Яндекс удален из списка плохих хостов. Проблемы нет, можете проверить в сервисе Яндекс-вебмастер.

10. Ваш логин защищен от перебора / Your login area is not protected from brute force attacks.

Вкладка Login

Необходимо защитить вход в систему от перебора комбинаций логин-пароль. Для этих целей лучше установите капчу (наберите в плагинах добавление нового и поищите captcha).

Мы настроим защиту так, чтобы нельзя было подобрать пароль к админке WordPress — ограничим число попыток входа, включим черный список для защиты от брутфорса и уведомление на e-mail о попытках входа в админку.

Пояснения к параметрам:

• Enable Login Limits — включение лимита попыток входа в админку сайта.
• Max Login Attempts Per Host — максимальное число попыток входа в админку для хоста (IP-адреса).
• Max Login Attempts Per User — максимальное число попыток входа в админку для имени пользователя (логина). Эта опция важна, т.к. хакеры обычно атакуют с множества компьютеров и баном по IP тут не обойтись. Однако если они узнают Ваш настоящий логин админа, то Ваша учетная запись админа может быть временно заблокирована.
• Login Time Period (minutes) — период времени, на который запоминается неверный логин, введенный пользователем.
• Lockout Time Period (minutes) — период времени, на который блокируется доступ к сайту при превышении числа попыток авторизации (ввода пароля и логина)
• Blacklist Repeat Offender — это черный список IP адресов, с которых был достигнут предел попыток входа на сайт.
• Blacklist Threshold — количество временных блокировок IP-адреса, прежде чем занести его в постоянный бан-лист.
• Уведомления по электронной почте — пришлет Вам (админу сайта) на почту уведомление о блокировке хоста или пользователя.
• Адрес электронной почты — тот самый email, куда будут отсылаться письма.

11. Ваша WordPress админка не скрыта.

Вкладка Hide

Этот пункт позволяет скрыть адрес вашей админки, но он не критичен — его рассмотрим в статье по дополнительным настройкам.

Серверные параметры безопасности — Server Tweaks.

12. Your .htaccess file is NOT secured.

Вкладка Tweaks --> Server Tweaks

Этот пункт настроек плагина Better WP Security позволяет защитить файл .htaccess от несанкционированного доступа.

Данные настройки включают такие параметры:

• Защита файлов от несанкционированного доступа
• Отключение листинга директорий (просмотра всех файлов и папок в директории)
• Фильтрация небезопасных запросов в адресной строке
• Фильтрация не латинских символов

Отмечаем все опции и сохраняем настройки.

Активное противодействие хакерам.

13. Your installation is actively blocking attackers trying to scan your site for vulnerabilities.

Вкладка Detect

Данный пункт запрещает хакерам сканировать уязвимости Вашего сайта. При базовой настройке безопасности он уже активирован.

14. Your installation is not actively looking for changed files.

Вкладка Detect --> File Change Detection

Отслеживание измененных файлов. Эта настройка позволяет вести логи измененных файлов на сервере. Включайте ее только только если понимаете, какие изменения опасны, а какие нет (обновление кеш-файлов, к примеру). Подробнее в в статье по дополнительным настройкам.

 15. Your installation accepts long (over 255 character) URLS. This can lead to vulnerabilities.

Вкладка Tweaks --> Другие хитрости

Позволяет запретить ссылки длиной более 255 символов. Обычно длинные ссылки используют хакеры для вредоносных действий через адресную строку.

Если Вы думаете «А вдруг у меня будут ссылки длиннее 255 символов»? Посмотрите, вот этот ряд букв «а» как раз 255 знаков:

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

Не думаю, что у Вас будут ссылки такой длины. Потому включайте опцию смело.

 16. You are allowing users to edit theme and plugin files from the WordPress backend.

Вкладка Tweaks --> Другие хитрости

Позволяет запретить пользователям редактирование плагинов и тем в админ. панели WordPress.

Если Вы не редактируете темы оформления и плагины через админку — можно активировать данную настройку.

Для этого поставьте галочку у пункта «Отключить редактор файлов в WordPress Back-end».

17. Better WP Security is allowed to write to wp-config.php and .htaccess.

Вкладка Tweaks --> Другие хитрости

Этот пункт задает разрешение плагину Better WP Security на запись в файлах wp-config.php и .htaccess. Если у плагина нет разрешения на запись данных файлов — он не сможет внести полноценно защитить Ваш сайт. Включаем данную опцию.

При базовой защите опция уже активирована.

18. Wp-config.php and .htacess are writeable.

Вкладка Tweaks --> Другие хитрости

Файл конфигурации WordPress — wp-confg.php и файл серверных инструкций .htacess не должны быть доступны на запись (всем кроме плагина Better WP Security), поэтому включим данную опцию.

19. Users may still be able to get version information from various plugins and themes.

Вкладка Tweaks --> Другие хитрости

Говорит о том, что пользователи все еще могут видеть информацию о версиях плагинов и тем.

При включении этого чекбокса пользователям будут отображаться случайные номера версий плагинов и тем.

20. You should rename the wp-content directory of your site.

Вкладка Dir

Эта настройка позволяет изменять имя папки wp-content, однако она не критична — рассмотрим в статье по дополнительным настройкам.

21. You are not requiring a secure connection for logins or for the admin area.

Вкладка SSL

Позволяет включить защищенное соединение с админкой — посредством использования шифрования, SSL.

Поддерживается не всеми серверами. Рассмотрим в статье по дополнительным настройкам.

Поделитесь этой записью с друзьями, буду благодарен!

maxtop.org

---

Смотрите также

• 
  Wordpress опросы
• 
  Wordpress cookie
• 
  Wordpress modx
• 
  Modx wordpress
• 
  Vk wordpress
• 
  Компания wordpress
• 
  Проблемы wordpress
• 
  Wordpress проблемы
• 
  Wordpress pack
• 
  Оплата wordpress
• 
  Wordpress контакты

Prostoy-Site | Все права защищены © 2018 | Карта сайта