Защита WordPress: плагины защиты от спама, вирусов и взлома. Wordpress защита


17 шагов, чтобы защитить ваш сайт на Wordpress от хакеров

Сегодня мы поговорим о такой замечательной штуке как защита Ваших сайтов на популярном движке WordPress от хакеров и прочих злоумышленников.wordpress

wordpress Вас ждут простые, интересные и, самое главное, рабочие советы. Приступим.
  1. Смените ваш логинОн у вас всё ещё admin? При создании сайта его ставят чаще всего. Это первое, что проверяют боты, ищущие прорехи в безопасности. Войдите в административную часть и создайте новую административную учётную запись с каким-нибудь другим именем. Затем выйдите из системы управления, войдите вновь и удалите аккаунт admin.
  2. Необычный парольНикто не хочет запоминать по 20 разных паролей, но жизненно важно, чтобы для вашего блога он был уникальный. Используйте прописные, строчные буквы, знаки пунктуации и пр.Пример: Vg8uB6Z.<4 – это отличный пароль.Есть программы, хранящие и генерирующие пароли – это то, что вам нужно. К примеру, Password Agent.
  3. Обновляйте WordPressОдним из самых часто встречающихся случаев взлома сайта является использование устаревших скриптов. WordPress уведомит вас о выходе своей новой версии прямо в панели управления. Обновите его. Потеряв минуту, вы сэкономите часы в дальнейшем – новая разработка сайтов стоит и денег и времени.
  4. Избегайте бесплатных темМножество сайтов предлагают вам скачать уже готовые темы для оформления вашего веб-ресурса. В некоторых их них есть неприятные скрытые «сюрпризы». Используйте только доверенные сайты, вроде WordPress.org для скачивания тем или создавайте свою собственную с помощью бесплатных фреймворков.
  5. Бойтесь плагиновКонечно, плагины дают вам отличную от базовой функциональность, однако, некоторые из них открывают двери для хакеров. Скачивайте их только с официального сайта Вордпресса и обращайте внимание на все появляющиеся предупреждения. Также, не забывайте обновлять плагины.
  6. Храните только то, что вам нужноУ вас есть несколько неиспользуемых плагинов? Даже будучи неактивированными, они могут представлять угрозу. Удалите все неиспользуемые плагины, темы, файл readme из корня сайта. Есть простое правило: меньше скриптов, меньше уязвимостей.
  7. Делайте резервные копииНе все хакерские атаки могут повредить вам, но даже одна успешная испортит вам жизнь. Делайте регулярные резервные копии своего сайта! У многих хостеров эта функция включена по умолчанию и в случае проблем вам можно будет восстановить сайт из копии месячной, недельной, вчерашней «свежести».
  8. Проверьте свой компьютер на наличии вирусовНужно следить не только за своим сайтом на WordPress, но и за собственным компьютером. У вас должен быть часто обновляемый антивирус. Не хотите же вы заразить свой сайт, разместив там несколько вирусных файлов?
  9. SFTP это не ФТПВсе загрузки файлов на ваш сайт должны происходить через SFTP, если ваш провайдер позволяет это делать. Если нет, перейдите к более защищённому хостеру. Соединение будет происходить по защищённому протоколу и «плохие парни» не смогут его перехватить.
  10. Защитите свои конфигурационный файлыДобавив специальный файл .htaccess в корень сайта, вы существенно повысите безопасность. Если у вас нет этого файла, создайте текстовой с этим именем и переименуйте его (расширения нет!). Код, представленный ниже, не даст злоумышленнику логин от базы данных в случае неполадок с PHP.<Files wp-config.php>order allow, denydeny from all</Files><IfModule mod_rewrite.c>RewriteEngine OnRewriteBase /RewriteRule ^index\.php$ - [L]RewriteCond %{REQUEST_FILENAME} !-fRewriteCond %{REQUEST_FILENAME} !-dRewriteRule . /index.php [L]</IfModule>
  11. Смените префикс у таблиц в базе данныхЭтот шаг только для новых установок (первоначальное создание сайтов, Пермь)(см. код ниже для уже существующих сайтов). Убрав префикс wp по умолчанию, вы значительно осложните поиск для злоумышленников. Откройте файл wp-config.php и найдите строки, касающиеся префикса. Смените его на что-либо другое.К примеру, $table-prefix=’movie_’;Как сменить префикс у уже работающих сайтов? Вам понадобится PHPMyAdmin и Dreamweaver (скачать дамп базы данных, произвести поиск/замену, закачать дамп снова).Если это выглядит слишком сложным для вас, в конце статьи будет описан более лёгкий способ.
  12. Защитите каталоги от просмотраЧтобы хакеры не смогли просмотреть папки на вашем сервере, набрав их полный путь, защитите их с помощью .htaccess (добавьте туда Options -Indexes) или поместите в директорию пустой файл index.html
  13. Защитите файл .htaccessВыглядит немного странным, что кто-то будет менять этот файл, но это самое сердце вашей защиты, поэтому, лучше о нём позаботиться заранее. Заприте каждую дверь, какую сможете. Поместите туда код: <files .htaccess>order allow, denydeny from all</files>
  14. Ограничения по IP адресу  Если у вас статичный IP-адрес, вы можете ограничить доступ к административной части сайта. Это отличный способ обезопасить себя. В файл .htaccess добавьте следующие строки:AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName "Access Control"AuthType Basicorder deny, allowdeny from allallow from ??.???.???.???
  15. Ограничение попыток входаОбычно хакеры, подбирая пароль, делают множество попыток входа. Можно настроить систему так, что после 2й неудачной попытки ip-адрес злоумышленника будет заблокирован на несколько часов.
  16. Запрет отслеживания HTTP заголовкаДобавьте в .htaccess эти строки:RewriteEngine OnRewriteCond %{REQUEST_METHOD} ^TRACERewriteRule .* - [F]
  17. Защита от SQL-инъекцийЭто самая часто встречающаяся форма атак на WordPress сайты. Многие хостеры закрывают эти возможные «дыры» в защите, но вам не мешает защититься и самим. Опять же, добавьте в .htaccess эти строки:RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC, OR]RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0 - 9A-Z]{0, 2}) [OR]RewriteCond %{QUERY_STRING}  _REQUEST(=|\[|\%[0 - 9A-Z] {0,2})RewriteRule ^(.*)$ index.php [F.L]

А чтобы не мучиться со всем этим, просто поставьте плагин Better WP Security. Он может всё вышеперечисленное и даже больше.

Хотите знать и уметь, больше и сами?

Мы предлагаем Вам скачать бесплатные книги от автора. Компьютеры, программы, администрирование, сервера, сети и другое. Не является рекламой. Предложение от sonikelf.ru

Скачать книги

sonikelf.ru

Как защитить сайт на wordpress: от всевозможных угроз

Всем привет!

Ребята, скажите, Вас когда-нибудь взламывали, а быть может Ваш сайт подвергался хакерским атакам? Если да, то эта статья предназначена именно для Вас.

Сегодня дам вам ответы на вопрос, как защитить сайт на WordPress?

В предыдущих статьях я уже очень много рассказал о создании сайта на вордпресс, сейчас необходимо подумать и о его защите.

Хотели бы Вы иметь на своем сайте только уникальную информацию? Чтобы на других сайтах не встречалось информации, идентичной вашей? Задумывались ли Вы над защитой вашего контента от воровства? Да — тогда немедленно прочитайте данный материал.

На интернет-ресурсах чаще всего предусматривается защита  от:

  1. Копирования текстов;
  2. Вирусов;
  3. Спама;
  4. Хакеров и взлома;
  5. Ddos атак;
  6. Рекламы.

Защита от копирования текста

Как же защитить сайт от копирования текста? Это под силу каждому, в том числе и новичкам.

Но сначала определитесь, действительно ли Вы хотите ограничить доступ к копированию текстов. Зачастую многих пользователей это раздражает. Если Вы все-таки решились, установите плагин «WP Content Copy Protection». Для этого перейдите по ссылке.

Скачайте с сайта плагин, затем установите его и активируйте. Нет ничего сложного в настройках. В случае если Вы выбираете базовый, т.е бесплатный функционал, тогда Вам ничего не придется делать. Что же гарантирует установленный плагин:

  1. Защита контента от выделения и копирования;
  2. Невозможно сохранить рисунки;
  3. При нажатии правой кнопки мыши отсутствует контекстное меню;
  4. Блокировка комбинаций клавиш: CTRL+A, CTRL+C, CTRL+X, CTRL+S, CTRL+V.

Кроме того существуют и другие аналоги, подобные описанному выше плагину:

Лично я не сторонник защиты контента. Ведь много вполне нормальных адекватных читателей просто хотят скопировать инструкцию или интересную мысль, чтобы не забыть. А недобросовестные «воры» всё равно найдут способ скопировать.

Защита от вирусов

Инструменты по защите от вирусов делятся на два типа:

К внешним относят сервисы, которые постоянно проверяют ваши страницы на наличие чужих скриптов и вредоносных кодов. Один из таких сервисов «На замок».

Сервис NaZamok

Принцип работы заключается в том, что робот индексирует сайт, запоминает для каждой страницы все ссылки, скрипты, определяет количество проиндексированных страниц. Все эти данные будут являться исходными, затем он проверяет сайт и сравнивает его с исходными данными.

В случае обнаружения вредоносных ссылок, скриптов Вы будете оповещены по смс или по почте после окончательной проверки. Далее вам предстоит убрать вредоносный код со страниц сайта. Проделать это можно самостоятельно или обратится за помощью к специалистам.

Сервис платный, но цены очень адекватные. Тариф «Начальный» — всего 25 рублей в месяц

К внутренним инструментам защиты относят такие плагины, как:

В WordPress Antivirus подвергаются сканированию файлы только активной темы, в то время как Wordfence Security сканирует все файлы в том числе и картинки.

Оба плагина работают одинаково, особых различий нет. Можете выбрать любой.

Принцип работы заключается в сканировании файлов на вредоносный код. В случае если плагин найдет что-то подозрительное, то Вы получите уведомление. У плагинов может встречаться ложное срабатывание, тогда Вам необходимо каждое предупреждение проверять вручную.

Данные плагины устанавливаются быстро и легко. Работа с ними доступна в разделе «Настройки». Предоставляется возможность ежедневно сканировать файлы, для этого установите флажок в поле «Daily malware scan». Для сканирования достаточно нажать на кнопку «Scan the theme templates now».

Плагин antivirus

В поле «Email addres for notification» введите свою почту, для того чтобы получать оповещения о результатах проверки.

Лично я использую эти оба плагина, но в основном они в отключенном состоянии. Периодически включаю их и проверяю блог на вирусы.

Результат проверки плагином antivirus

В данный момент плагин как раз нашел что-то похожее на вирус. Сейчас посмотрю что это. Нашел я этот код в файле functions.php — к счастью ничего страшного в нем нет. Когда настраивал скрипт Лайнбро для продажи рекламных строчек на своем блоге, я добавил этот код для работы php кода в виджетах.

Защита от спама

Желаете ли Вы защитить свой сайт от спама? Если да, то смело используйте антиспам-плагины, ведь спам создает некоторые неудобства и  многие болезненно реагируют на него.

Предлагаю  установить плагин «Invisible capture».  Плагин используют миллионы людей, к тому же  для персонального использования он бесплатный.

Установка и активация стандартна и проста. После активации плагина перейдите в его настройки. Затем выберите действие, когда комментарий уже определен как спам:

После выбора действия нажмите на кнопку «Сохранить настройки».Ну что же, Вы сумели настроить плагин, теперь вы надежно защищены от спама.

Помимо Invisible capturet имеются и аналоги:

На своем блоге я использую невидимое поле для защиты от спама. Смысл в том, что читатели его не видят, а роботы-спамеры видят и заполняют на автомате. Если это поле заполнено, значит это спам. У плагина Invisible capture тот же принцип.

Защита от взлома и хакеров

Многие владельцы сайтов иногда сталкиваются со взломами и хакерскимми атаками. Если Ваш сайт / блог набирает популярность, то необходимо подумать о средствах защиты. Если Вы сможете обезопасить себя всеми возможными способами, тогда шанс взломать Вас будет намного ниже.

Существует несколько полезных способов обезопасить Ваш сайт:

Защита от Ddos-атак

Приходилось ли Вам когда-нибудь бороться с ddos-атаками? Говорят, весьма неприятно.

Но можно всего этого избежать, если заранее позаботиться о средствах защиты.

Многие используют метод Блэкхолинг — метод, который позволяет защитить не только объект, который подвергается атаке, но и весь ресурс в целом.

Смысл в том, что весь поступающий на атакуемый ресурс трафик перенаправляется на несуществующий сервер, как принято называть, в «чёрную дыру».

Второй распространенный метод — Фильтрация. Суть данного метода заключается в том, что трафик фильтруется согласно правилам, которые задаются при установке фильтров.

В таком сложном вопросе лучше довериться  специалисту. Один из таких помощников — StormWall.pro. Предлагаются тарифы, которые обеспечивают надежную защиту от Ddos-атак.

Защита от рекламы

Установите программы по ее блокировке. Ниже представлен список программ:

Эти программы, конечно же, защищают не конкретно ваш сайт от рекламы. Их действие распространяется на все страницы, открытые в браузере.

Если Вы желаете, чтобы ваш сайт работал в бесперебойном режиме, то вы просто обязаны использовать необходимые средства защиты.

Если Вам понравилась статья, рекомендуйте прочитать друзьям в социальных сетях, а также не забывайте подписываться на обновления блога.

Всем пока и до скорых встреч!

С уважением! Абдуллин Руслан

Понравился блог? Подпишись, чтобы получать новые статьи на почту и быть в курсе всех событий!

abdullinru.ru

Защита Wordpress. Защита админки Wordpress |

Защита админки wordpress

Приветствую Вас на блоге inetmi.ru! Тема дня — Защита wordpress. Защита админки WordPress от взлома.

Недавно мой блог пытались взломать, путём подбора логина и пароля, используемый метод  называется «Брутфорс атака». Что это такое?

Представьте себе тот момент, когда Вы вызываете панель для входа в свою админку, набираете адрес в браузерной строке  -  Ваш сайт/wp-admin или вместо wp-admin прописывается /wp-login.php – это не важно.  Появляется поле для ввода данных... Любой, кто знает название Вашего блога, легко получает доступ к панели ввода логина и пароля — стандартная защита админки wordpress…

Методом подбора логина и пароля, взламывается блог. Только не нужно недооценивать взломщиков, думая, что никогда не подберут Вашу заветную фразу, уверяю, это лишь вопрос времени. Зайдя на страницу с формой для ввода данных, злоумышленник активирует программу по перебору или подбору логина и пароля. Маленькие «лапки» роботов будут делать своё дело… Читайте далее и всё поймёте!

Сейчас есть плагины, которые блокируют доступ, после нескольких неудачных попыток ввода логина и пароля. До сих пор многие используют  плагины типа «Login LockDown» и другие похожие ему .Казалось бы, установи плагин и всё, полная изоляция,  защита wordpress на высоте, можно ставить точку, но давайте пока не будем спешить…

Я уже говорил о том, что мой блог атаковали путём подбора логина и пароля. Всё дело в том, что обычные плагины от Брутфорс вторжений уже непригодны! Они блокируют нападающего по IP, после определённого количества попыток. Например, Какой-то хакер Вася три раза ввел неправильно данные, плагин запомнил его IP и на час-два закрыл ему доступ. Вася курит…

Сейчас вся фишка в новых видах атак! Как правило — это статичный IP адресс, то есть с одного места идёт вторжение. Но представьте себе на минуту, когда на тебя градом сыплются тысячи различных IPшек – и все адреса разные… Идёт около ста подборов в минуту! Защита админки wordpress построенная на стандартном плагине от брутфорс атак просто не реагирует! Даже если изменить настройки плагина, поставить блокировку на первую неудавшуюся попытку входа, всё равно плагин будет стоять в сторонке. Адреса то ведь разные! Смотрите скрин ниже.

Защита wordpress

Жаль, не смогу показать  всего списка, тогда точно сказали бы– дружище это всемирный заговор против тебя!

Перед глазами мелькали десятки флажков различных стран. Моя «бывшая» защита wordpress блога смотрела вместе со мной на весь этот беспредел — мы злились! Как это объяснить? Очень просто! Все действия происходят за одним компьютером, который управляет тысячами зомби-буков, расположенными Бог знает где. При помощи заданных программ идут целенаправленные попытки «вскрыть» очередную жертву – сегодня выбрали меня, а завтра кого?..

Итак, друзья, предлагаю перейти от теории к практике!

Надёжная защита WordPress. Защита админки WordPress — плагины

Сейчас, дорогие друзья предлагаю Вам рассмотреть несколько вариантов по защите wordpress, какой выбрать – решать Вам. Оба варианта исключают возможность подбора логина и пароля «роботами».

Защита WordPress при помощи — Captcha

Плагин так и называется – Captcha… Скачать его и проверить можно через свою админку, как это сделать написано здесь — Установка плагинов WordPress. Как проверить плагин

Защита админки блога

После активации, перейдём к настройкам, где всё на русском, но всё же поясню…

Защита админки wordpress

 

В самих настройках нужно поставить метку в чекбоксе «Форма логина». Остальные пункты на Ваш вкус. Интересным, на мой взгляд, является пункт – «Заголовок для капчи в форме», введите здесь фразу или предложение и это будет отображаться на самой форме ввода данных. Скриншот ниже.

Защита админки блога

Пункты с арифметикой и уровнем сложности – на Ваше усмотрение… После всех отметок не забываем нажать кнопку «Сохранить…»

Роботы не умеют читать картинки (пока ещё), поэтому они не могут заполнить поле с капчей, следовательно, подбор логина и пароля превращается в бессмысленную возню. Взломщик это понимает и отступает, хотя на его место всегда придёт другой…

Защита WordPress с помощью плагина Protected wp-login

Это очень простое и эффективное решение проблемы, связанное с подбором логина и пароля к админке блога. Особенностью данного плагина является – создание отдельной, секретной страницы для ввода логина и пароля! То есть, та страница, с формой ввода данных, которая есть сейчас, будет для хакеров :) — она стандартная и видна всем, другая же будет появляться при наборе Вашего секретного кода (!), только для Вас лично.

Сейчас объясню детальней…

Для начала скачайте плагин из админки блога и активируйте его.

Защита админки блога

В боковой панели, в параметрах выбираем «Защищённый вход»

Защита входа в админку

Здесь в одно единственное поле, нам нужно ввести придуманный Вами ключ, я для примера написал 111. Нажимаем «сохранить…»

Защита админки wordpress

На скриншоте видно сформированную ссылку, она служит для вывода секретной страницы, где будем прописывать свой логин и пароль — «Сохраняем».

worpress защита

Внимание! Скопируйте и сохраните ссылку (не мою, а свою), или запишите себе на бумагу – это Ваш ключ, или можно сказать пропуск. Теперь каждый раз, перед вводом логина и пароля, Вы должны сначала вставить ключ в браузерную строку и нажать «Enter»… Вставили? Нажали? Открывается похожая страница. Появляется точно такое же аналогичное поле для ввода личных данных – оно Ваше и никто не будет знать об этом!

Что будет, если попробовать ввести свой логин и пароль в поле ввода, без использования ключа? Смотрите скрин ниже…

Защита админки

Ну, вот и всё, вроде разобрались… Хочу сказать следующее – Уделяйте внимание построению защиты Вашего же блога, используйте новые решения безопасности… Тем, кто не знаком ещё, могу предложить свою статью — Защита wordpress от взлома. Там я рассказываю о новом защитном механизме, который блокирует огромное количество угроз!

На этой теме – «Защита wordpress. Защита админки WordPress» мы пока остановимся. На данный момент мною тестируется новый плагин комплексной защиты блога, вскоре будет статья на эту тему, или же книга в эл. формате – что именно будет ещё не решил. Скоро!..  Если у Вас возникнут какие-то вопросы или пожелания – пишите в комментариях, обговорим… Не забывайте подписываться по e-mail, что бы в дальнейшем не пропустить выхода новых и интересных статей!

На этом всё, до скорого!

 

Обратите внимание на следующие статьи...

inetmi.ru

Защита WordPress от базовых угроз, вирусов и атак

 

CMS WordPress является хорошо защищенной системой, но в любой системе можно найти уязвимые места. Разработчики WordPress стараются сделать защиту CMS более надежной с каждым новым выпуском, но злоумышленники также не сидят сложа руки. Поэтому, для защиты своего сайта от взлома, вирусов и атак вам придется принимать некоторые меры самостоятельно.

Я могу дать несколько практических советов по защите WordPress, которые помогут вам защитить WordPress сайт от базовых угроз, вирусов и атак.

Основные меры по защите WordPress

Защитить WordPress от базовых угроз не сложно, для этого достаточно предпринять некоторые меры. Для того, чтобы упростить  поставленный задачи, я рекомендую воспользоваться плагином "Better WP Security".

После установки и активации плагина на WordPress, пройдите в админку сайта на страницу настроек "Better WP Security", и создайте резервную копию базы данных, на всякий случай.

Создание резервной копии с помощью плагина better wp security

Затем, для того чтобы позволить плагину производить изменения в файлах вашего сайта и движка, вы должны дать разрешение, нажатием на соответствующую кнопку.

Разрешить плагину изменять файлы WordPress - защита WordPress

На следующей станице, для того чтобы защитить сайт от базовых атак, необходимо включить эту опцию нажатием на соответствующую кнопку.

Защищаем WordPress т базовых атак

Но то еще не все. После того как вы выполните первые требования плагина, перед вами откроется таблица, в которой будут указаны все потенциальные точки уязвимости вашего сайта. Для защиты вашего WordPress сайта необходимо исправить все недочеты в защите.

Устранение уязвимостей WordPress

Перед вами откроется примерно следующая таблица уязвимостей, в которой красным цветом подсвечены критические уязвимости, а желтым и синим подсвечены не критические уязвимости, но их также нужно устранять.

Для примера, я взял стандартный незащищенный блог на WordPress. Давайте вместе устраним все известные нам уязвимости в WordPress.

Таблица уязвимостей WordPress сайта
1. Проверка сложности пароля для всех пользователей

Для того чтобы обеспечить сложными паролями всех пользователей, нужно исправить первую уязвимость. Пройдите по ссылке "Нажмите, чтобы исправить" и на открывшейся странице выберите пункт как на рисунке снизу "Strong Password Role - Subscriber". Тем самым, пароли всех ваших пользователей будут проходить проверку сложности.

Установить сложные пароли для всех пользователей WordPress
2. Убираем дополнительную информацию из заголовка WordPress

WordPress по умолчанию публикует в заголовке сайта много дополнительной информации, которой могут воспользоваться злоумышленники. Для удаления подобной информации поставьте галочку в соответствующем поле. Но будьте внимательны, это действие может повлечь за собой неработоспособность некоторых приложений и сервисов, которые каким либо образом обращаются к вашему блогу через протокол XML-RPC.

Удаляем лишнюю информациюю из заголовков WordPress сайта
3. Скрываем обновления от не администраторов

Третий пункт у нас в порядке, если у вас не так, то рекомендую вам скрыть доступные обновления от не администраторов. Вашим пользователям эта информация все равно будет бесполезной, а вот злоумышленники могут ею воспользоваться.

4. Поменять логин администратора

Аккаунт администратора WordPress по умолчанию имеет логин admin, и об этом все знают. Поэтому ваш сайт взломать проще. Для того чтобы усложнить взлом сайта, рекомендую переименовать ваш администраторский аккаунт. Для этого перейдите по ссылке "Кликните здесь, чтобы переименовать администратора" и введите новое имя администратора в соответствующее поле.

Поменять имя администратора в WordPress
5. Поменяйте ID администратора

Аккаунту администратора по умолчанию присваивается и ID=1, что также заведомо известно злоумышленникам, поэтому этот параметр нужно поменять. Плагин better wp security поменяет ID администратора за один клик.

6. Поменять префикс таблиц базы данных WordPress

По умочанию таблицы базы данных WordPress имеют префикс wp_. Рекомендуется поменять префикс на любой другой. Даже если ваша база данных уже наполнена информацией, то плагин better wp security поменяет префикс таблиц вашей базы без потери данных. Рекомендовано перед этим действием сделать резервную копию базы данных, что мы и сделали в самом начале.

Изменить префикс таблиц базы данных в WordPress
7. Спланируйте создание резервных копий

Для регулярного создания резервной копии вашей базы данных, задайте некоторые условия и введите ваш e-mail, куда будут отправляться копии базы данных. Тем самым вы в любое время сможете восстановить базу данных из копии, при необходимости.

Планирование бэкапов на WordPress
8. Запретить доступ к админке в определенное время

Этот параметр не является критическим, но, все же, если вы переживаете за безопасность вашего WordPress сайта, то пожалуй стоит запретить хаотичный доступ к админке, и разрешить доступ только в определенное время, например в то время, когда вы собираетесь работать с сайтом.

9. Заблокируйте подозрительные хосты

Если вы знаете IP адреса подозрительных хостов, с которых может быть произведена атака на ваш сайт, то занесите эти IP адреса в бан лист, и доступ к сайту с этих IP будет закрыт.

10. Защитить логин от перебора

По умолчанию плагин защищает логин от перебора и после 3-х неудачных попыток блокирует IP адрес.

11. Скрыть админку WordPress

Этот пункт не является критическим, но все же будет полезно скрыть админку WordPress. Скрытие WordPress админки происходит путем переименования директории с админ панелью. Физически админ панель будет лежать в той же папке, но по адресу http://ваш_сайт.ru/wp-admin она будет недоступна.

Изменить директорию админ панели WordPress - скрть админку

Скройте админ панель WordPress, для этого введите новые имена для директорий в соответствующие поля и поставьте галочку для включения данной опции.

Скрываем админку WordPress с помощью плагина
12. Защитить файл .htaccess и скрыть каталоги от просмотра

Рекомендую вам скрыть каталоги сайта от свободного просмотра, а также защитить файл .htaccess. Также вы можете запретить выполнять различные запросы к сайту через адресную строку. Напоминаю, что данные действия могут вызвать конфликт с некоторыми плагинами и темами.

Защитить файл .htaccess и скрыть каталоги от просотра
18. Запрещаем запись файлов wp-config.php и .htaccess

Некоторые пункты были по умолчанию выполнены, поэтому предлагаю вам выполнить наиболее важный 18 пункт защиты, который поможет запретить перезапись файлов wp-config.php и .htacces. Этот пункт очень важен, потому что от сохранности файлов wp-config.php и .htacces может зависеть работоспособность вашего сайта.

Запретить запись файлов wp-config.php и .htaccess
20. Переименовать папку с содержимым wp-content

Также вы можете переименовать папку с основным содержимым сайта wp-content. Нестандартное размещение файлов усложнит злоумышленникам доступ к ним.

21. Установка безопасного соединения с WordPress

Для работы с WordPress вы можете использовать безопасное соединение SSL, но для начала удостоверьтесь, что данный протокол поддерживается сервером, на котором размещается ваш сайт.

 

Вот таким образом, с помощью плагина "better wp security" вы можете защитить WordPress от базовых угроз, вирусов и атак.

www.onwordpress.ru

Плагин для защиты WordPress

плагин защиты вордпресс

Защита сайта всегда является важным аспектом в его создании и в продолжительном использовании. Несмотря на высокий уровень безопасности WordPress, можно и даже нужно вносить свою лепту, чтобы максимально себя огородить от нежелательных угроз. И не стоит пренебрегать всеми возможными вариантами, учитывая, что постоянно есть опасность потенциальных атак и вирусов.

Первые меры, которые можно принять по защите WordPress – установка плагинов безопасности. К счастью, в официальном репозитории их насчитывается большое количество как платных, так и бесплатных. Нам остается только выбрать какой именно использовать, исходя из его функциональности. В сегодняшнем обзоре предлагаю рассмотреть мощный плагин для защиты WordPress — All In One WP Security & Firewall с большим набором функций.

Краткое описание плагина All In One WP Security & Firewall

Плагин объединяет в себя большой список инструментов, с помощью которых можно решать от самых мелких до больших задач. Это значительно может уменьшить риск опасности и перейти на новый уровень безопасности. All In One WP Security весьма прост в использовании и имеет три степени сложности – от простого до продвинутого.

В настоящий момент плагин переведен на несколько языков, включая русский. Правда, местами можно обнаружить неполный перевод, но таких мест очень мало. Несмотря на многочисленные функционал, плагин использует минимум ресурсов, что позволяет не нагружать сайт. И при всех его возможностях он совершенно бесплатный.

Настройка плагина All In One WP Security & Firewall

Предлагаю пропустить перечень всех его функций, а сразу перейти к настройкам, где в подробностях разберем каждый пункт. Это как раз и будет «прайс-лист» плагина, только с одновременным разбором.

После установки и активации плагина в панели инструментов у вас добавится новая вкладка «WP Security».

WP Security

Вот все пункты, с которыми постараемся познакомиться.

Панель управления

Здесь выводится сбор информации об уровни защиты вашего сайта, диаграмма безопасности, статус самых важных функций. Остальные вкладки, на этой же странице, соответственно показывают инфу о системе, заблокированных IP-адресов, черный список и лог файлов. Для наблюдения запомните, какой у вас текущий балл надежности и сравните его с полученным после всех настроек.

панель WP Security

Настройки

настройка

Вначале, перед активацией каких-либо функций, нам советуют сделать резервную копию важных файлов и БД. Такие меры предосторожности будут весьма кстати, так что не поленитесь выполнить их. Две последующие вкладки как раз помогут сделать резервную копию файлов. На вкладке «Общие настройки» чуть ниже находятся настройки сброса некоторых параметров. Воспользуйтесь ими если заметите некорректность в работе сайта. Предпоследняя вкладка «WP Version info» поможет отключить мета-теги, которые WordPress автоматически выводит на всех страницах сайта.

значение вкладок

Обратите внимание на два элемента с флажками, выделенные на скриншоте. Первый показывает уровень сложности функции, а второй – очки безопасности. Чем больше будет баллов, тем выше степень важности. Поставьте галочку и нажмите кнопку «Сохраните настройки», но только в том случае, если вы раньше сами не удаляли теги.

Последняя вкладка «Импорт/Экспорт» поможет избавиться от необходимости вновь настраивать плагин, если вам придется его переустанавливать или ставить на новый сайт. Достаточно лишь экспортировать настройки в виде отдельного файла, а затем просто импортировать их.

Внимание! В конце статьи вы сможете найти ссылку на скачивание файла настроек плагина All In One WP Security & Firewall с данного урока.

Администраторы

Этот раздел отвечает за использования имени администратора и отображение имени админа на сайте. Как известно, нельзя применять одинаковый логин и имя, которое выводится в посту как автор статьи. Если у вас имеется такая проблема, то плагин выдаст сообщение и попросит сменить имя на корректное. Последняя вкладка «Пароль» проверяет надежность пароля и покажет приблизительное время для его подбора.

Авторизация

Один из множества способов взлома сайта является многократные попытки подбора паролей или, другими словами, называют Брутфорс-атака. Наша задача состоит в том, чтобы ограничить количество попыток ввода, а также принять последующие меры по отношению к IP-адресов взломщиков. Отметьте галочками пункты, как показано на скриншоте, и нажмите кнопку «Сохранить».

Все остальные вкладки в этом разделе показывают общую информацию по уже заблокированным IP-адресам и неудачным попыткам входа. Можно еще обратить внимание на вкладку «Автоматическое разлогинивание пользователей». Ставьте здесь галочку, дабы через указанное время заканчивалась сессия авторизации админа (выход из аккаунта). Это полезно тогда, когда вашим компьютером или ноутбуком пользуется кто-то еще, кроме вас.

блокировки процесса авторизации

Регистрация пользователя

Этот раздел больше относится к тем сайтам, у которых открыта форма регистрации. Здесь можете поставить галочку для ручного подтверждения регистрации пользователя, а также добавить капку на страницу регистрации.

Защита Базы данных

Лакомый кусочек для недоброжелателя – это доступ к Базе данных где хранятся все настройки и контент. Одним из способов усилить защиту БД от SQL-инъекций является смена стандартного префикса баз данных «wp_» на уникальный. Об этом я уже говорил в статье «Советы безопасности для ВордПресс».

Отмечаем галочкой пункт и жмем «Изменить префикс таблиц». После чего начнется процесс смены и обновления некоторых файлов. Во второй вкладке настраиваем автоматическое создание бэкапа БД.

Префикс таблиц БД

Изменение префикса таблиц

Резервное копирование БД

бэкап бд

Защита файловой системы

Отключаем права на редактирование файлов из админ-панели, закрываем доступ к файлам и сменяем разрешения папок\файлов на рекомендуемые.

WHOIS-поиск

Просмотр детальной информации о домене. Подробнее «Что такое WHOIS?».

Черный список

С этой функцией нужно быть осторожней, так как есть вероятность блокировки вашего IP к доступу админ входа. Активируйте по желанию.

Файрволл

Здесь настраиваются более серьезные функции, отдельные из которых могут даже нарушить работоспособность сайта. Возле каждого параметра есть краткое описание, объясняющее принцип их работы. Я отметил следующие пункты, а последнюю вкладку оставил без изменений.

Баз. правила файрволла

Настройки файрволла (брандмауэра)

Доп. правила файрволла

функции брандмауэра

6G Blacklist Firewall Rules

брандмауэра

Интернет-боты

Настройки по интернет-ботам

Предотвратить хотлинки

Предотвратить хотлинки на изображения

Детектирование 404

отслеживания ошибок 404

Защита от брутфорс-атак

Продолжаем борьбу с брутфорс-атаками. На этот раз задействуем эффективный способ, а именно – изменим адрес страницы входа. Нам предлагают для этого два варианта: либо через куки, либо обычным путем. Обращаю ваше внимание на то, что эти две функции одновременно не могут быть активированы.

Если вы пользуетесь только одним браузером для входа в админ-панель, то вам подойдет смена на основе куки. Соответственно, если заходите с разных браузеров и мест, то подойдет обычная смена адреса. На вкладке «Капча» включается вывод дополнительного поля на странице логина с математической задачей.

На последней вкладке находится очень интересная функция – «Бочка с медом» (сладкий термин). Суть ее очень проста: на страницу входа добавляется новое поле заполнения, которое видят только роботы. А робот, в свою очередь, как правило, заполняет все возможные поля и отправляет запрос. И тем самым выдает себя (ведь настоящий пользователь не видит это поле), вследствие чего происходит обычное перенаправление робота на свой IP-адрес.

Переименовать страницу логина

логин

Бочка с медом

Honeypot

Важно! Если вы воспользуйтесь файлом настроек из этой статьи, то после импорта непременно зайдите в раздел «Защита от брутфорс-атак» на вкладку «Переименовать страницу логина». Смените адрес входа на свой, более сложный и неугадываемый. Только не забудьте запомнить или записать его!

Защита от спама

Дополнительные меры по борьбе со спамом в комментариях путем блокирования спам-ботов и отслеживание IP-адресов. Кто считает нужным, может активировать еще и капчу.

Спам в комментариях

Настройки по СПАМ-комментариям

Отслеживание IP-адресов

блок ай пи

Сканнер

Сканнер поможет отслеживать изменение файлов и показывать точную дату и время, когда это случилось. Можете установить автоматическое сканирование, указав определенную частоту на выбранный период времени. Вкладка «Сканирование от вредоносных программ» — это отдельный сервис.

Функция «Сканирование базы данных» временно является деактивированной. Разработчики обещают в ближайшее время ее переделать и представить в рабочем состоянии.

Режим обслуживания

Закрывается доступ пользователям к сайту, кроме админа, и включается технический режим обслуживания сайта WordPress.

Разное

В последнем разделе все функции менее важные и могут быть активированы по своему усмотрению.

Заключение

Как и обещал вначале, даю ссылку для скачивания файла настроек (скачать здесь). Он импортируется в разделе «Настройки» на вкладке «Импорт/Экспорт».

All In One WP Security & Firewall

wordsmall.ru

3 лучших плагина для защиты Wordpress

Привет, друзья. Сегодня мы поговорим о безопасности нашего бизнеса в Интернете. В жизни случается всякое и наши ресурсы не застрахованы от различных неприятностей и неожиданностей. Информация нематериальна, поэтому легко может быть испорчена или уничтожена. Есть риски связанные с оборудованием, на котором размещаются сайты, где-то мы сами можем «накосячить», также никто не застрахован от злых умыслов посторонних.

защита wordpress, плагины защиты для wordpress

За время ведения своего блога я сталкивался и с первым и со вторым и с третьим. И хакеры ломали мои сайты и сам, бывало, делал что-то не так. Но, к счастью, все обошлось благодаря заранее организованной защите.

В своем блоге я использую несколько плагинов, которые помогают снизить риски. О них я вам сейчас расскажу. Про первый я уже рассказывал в своем курсе по созданию сайта, а 2 других освещаю впервые.

Плагины защиты для WordPress

Конечно, защита wordpress может быть организована и другими способами и плагинами, но я пользуюсь этими. Про установку плагинов я рассказывать не буду, так как уже рассказал об этом тут (найдите в статье необходимый видео урок) буду показывать лишь то, как осуществить их настройку.

1. Плагин WordPress Database Backup

Этот плагин позволяет сохранять резервные копии базы данных вашего сайта как в автоматическом, так и в ручном режиме. Их можно скачивать напрямую на компьютер или отправлять себе по электронной почте. Для того, чтобы вы лучше понимали. Этот плагин полностью сохраняет информационную часть сайта – тексты, их оформление, данные о пользователях и других компонентах сайта, но он не сохраняет сами файлы. Картинки и темы оформления вам стоит сохранять самостоятельно.

Этот плагин не обязательно скачивать к себе на компьютер, он есть в базе плагинов для wordpress, поэтому легко устанавливается через администраторскую панель, через поиск плагинов.

Видео урок по настройке WordPress Database Backup

Если вам не удобно смотреть видео, я продублирую настройку текстом и скриншотами.

Как установить WordPress Database Backup

Для начала войдите в админке вашего блога в раздел установка плагинов и выберите раздел поиск плагинов. В окне поиска введите «wp db backup».

как установить плагин wordpress database backupВ списке плагинов он должен появиться на первом месте, если не так, то пролистайте чуть ниже. Вод название плагина будет кнопка установить. С ее помощью устанавливаете плагин. После установки нажимаете на ссылку активировать.

После этого приступаем к его настройкам. Для этого в панели управления блогом нужно найти вкладку инструменты и в ней ссылку Резервное копирование. Нажимайте на нее.

Какие таблицы сохранять?

В начале настройки нам предлагается выбрать те таблицы базы данных, которые будут копироваться. Среди них есть те, которые сохраняются всегда и те, которые мы можем сохранять дополнительно. Если даже вы оставите все по умолчанию — будет нормально. Если понимаете, что значат и какие функции выполняют те или иные таблицы – проставьте нужные галочки.

какие таблицы сохраняет плагин wp-db-backup

Сохранение копии «здесь и сейчас»

Следующий пункт «Настройки резервного копирования» отвечает за резервное копирование «здесь и сейчас». Это тот самый ручной режим, когда мы можем прямо в данный момент сделать резервную копию базы данных. По большому счету, все, что мы может тут настроить – это место для сохранения резервной копии. Первый пункт сохраняет файл на сервере хостинг провайдера. Второй пункт скачивает его на компьютер. Третий вариант позволяет отправить на электронную почту.

Кнопка «создать архив», начинает сохранение.

Если вам нужно сделать срочное копирование, например, перед большими изменениями сайта, то используйте эту функцию.

настройки резервного копирования

Резервное копирование по расписанию

Резервное копирование базы данных плагином WordPress Database Backup по расписанию – это как раз то, за что я его люблю. В жизни постоянно крутишься в делах и из-за суеты можешь забыть что-то сделать, или просто не хватит времени. А с помощью этой функции сайт сам все делает с заданной периодичностью.

Можно настроить копирование на разные интервалы времени от одного часа до двух раз в месяц. Все зависит от того, как часто вы добавляете новые посты на сайт. Пишете часто – делайте резервную копию чаще, а если у вас выходит одна статья в неделю, то и раз в неделю достаточно.

Кроме того, для автоматического копирования есть отдельный список сохраняемых таблиц. Одним словом, указываете периодичность, выбираете нужные таблицы, указываете свой почтовый ящик, куда будут приходить копии, и жмете «запомнить расписание».

настройка резервного копирования по расписаниюНа этом настройка этого плагина закончена. Переходим к следующему.

2. Плагин для защиты админки Login LockDown

Этот плагин для wordpress защищает администраторскую часть сайта от взлома, когда злоумышленники пытаются подобрать пароль простым перебором. Login LockDown устанавливает ограничение на количество попыток ввода пароля. То есть, если кто-то попытается подобрать пароль и ошибется несколько раз (вы сами указываете сколько), то админка заблокируется и попасть в нее будет нельзя.

Кстати, кроме самого проникновения внутрь сайта, такие попытки несанкционированного входя приводят к повышению нагрузки на сервер, так как, как правило, сопровождаются большим количеством запросов. В некоторых случаях это может привести к перегрузке и потери работоспособности. Классифицировать такую проблему можно как DoS атака. Здесь я писал что такое DoS и DDoS атаки и как от них защититься.

Перед тем как рассказать о настройке плагина, хочу дать одну рекомендацию, относящуюся к этой же теме. Не используйте стандартный логин администратора, который дает wordpress, так как он легко угадывается. Если у вас будет логин отличающийся от стандартного, получить доступ к админке будет намного сложнее.

Установка и настройка плагина Login LockDown

Как и в случае с прошлым плагином, Login LockDown находится в базе вордпресс, поэтому он устанавливается также через поиск плагинов. Находим, устанавливаем, активируем.

плагин для защиты админки wordpress login lockdownПосле этого через закладку параметры заходим в Login LockDownнастройка плагина login lockdownТам есть несколько полей, в которых по умолчанию проставлены значения всех параметров.параметры wordpress плагина login lockdownВ принципе, можно ничего не менять. Если захотите настроить плагин под себя, то поля означают следующее:

Max Login Retries – максимальное количество попыток ввода логина/пароля до блокировки. Если указано 3 и вы 3 раза ввели неверный пароль – админка блокируется.

Retry Time Period Restriction (minutes) – время, на которое блокируется админка при неверном вводе пароля.

Lockout Length (minutes) – время, на которое блокируется админка при максимально допустимом количестве неверных вводов логина. Обратите внимание, здесь отслеживается неверный ввод логина. То есть тот кто вводит данные не знает логин.

Lockout Invalid Usernames? – включать или не включать усиленную блокировку из предыдущего пункта.

Mask Login Errors? – скрывать или нет сообщение о том, что неверно введен логин.

Устанавливаете нужные вам значения и жмете кнопку подтверждения – Update Setting.

3. Плагин для wordpress — AntiVirus

Название этого плагина говорит само за себя. Он ищет вирусы и разные шпионские добавки в коде шаблона вашего сайта. Он не имеет такого навороченного функционала, как антивирусные программы для персональных компьютеров. Работает AntiVirus очень просто – сканирует файлы и, если находит подозрительные коды, сообщает о них владельцу через электронную почту и в админ панели.

Автоматически защитить файлы wordpress он не может, вы уже сами должны проверить все что он заподозрил и либо оставить, либо удалить.

Установка и настройка AntiVirus

Уже по традиции мы через админку входим в поиск плагинов. Он есть в базе wordpress, поэтому устанавливается быстро и легко.

плагин для защиты wordpress от вирусов AntiVirusНастроек он никаких не требует. И начинает работать сразу после активации. Единственное, что вы можете сделать руками – это сиюминутно просканировать свой сайт. Для этого после активации, необходимо в администраторской панели открыть закладку AntiVirus. Там будет кнопка «Scan the Theme Templates now» — она запускает мгновенную проверку.Как настроить плагин AntivirusТакже, на этой странице можно указать почтовый ящик, на который плагин будет отправлять сообщения. Если этого не сделать, все письма будут отправляться на адрес администратора сайта.

В результатах сканирования подсвечиваются все подозрительные коды. Но не нужно сразу бросаться их удалять. Подозрительные не значит вредоносные. Каждый элемент стоит проверить. Если вы разбираетесь в php, для вас не составит труда разобраться с проблемой.

Но если вы не специалист в программировании (я тоже не специалист) – не отчаивайтесь. Вы можете просто сравнить те файлы, которые AntiVirus отметил как подозрительные с исходными файлами вашего шаблона – они должны быть либо на вашем компьютере, либо на официальном сайте создателя темы. Если эти участки кода есть в оригинале, значит все в порядке.

Каждый проверенный элемент вам нужно подтвердить, нажав кнопку «There is no virus» — больше плагин не будет воспринимать этот элемент как подозрительный.

проверить сайт на вирусыКак и все дополнительные плагины для wordpress, AntiVirus нагружает сервер и снижает скорость работы сайта, поэтому я рекомендую не держать его в активном состоянии постоянно, периодически включайте его для проверки.

Резюме

Защита wordpress на самом деле не является таким уж трудным занятием. Конечно, на 100% от всех случаев жизни не застраховаться никак — постоянно хакеры находят новые лазейки, а ты натыкаешься на новые решения проблем, но небольшие меры предосторожности и несколько полезных плагинов позволят вам спать спокойно, не переживая за работу вашего сайта.

  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(8 голосов, в среднем: 4.5 из 5)

biznessystem.ru

плагины для защиты от спама, вирусов и взлома

WordPress (которую многие просто называют WP) – самая популярная и широко используемая платформа не только для блогов, но и для многих других сайтов, в том числе для полноценных корпоративных сайтов, журналов и интернет-магазинов. На ней работает больше 52% сайтов, созданных на CMS, а это больше 18 миллионов маленьких и больших веб-сайтов! В общей доле всех существующих сайтов WordPress занимает больше четверти рынка. Побочным эффектом такой популярности стала уязвимость системы со стороны хакеров и спамеров, которые тоже проявляют интерес к этой системе. Только не совсем хороший интерес. Эту статью я специально подготовил для тех, кто использует эту CMS и переживает за то, чтобы защита WordPress их не подвела.

Сегодня я коротко расскажу о том, почему вам не стоит бояться использовать Вордпресс. Для этого я представлю десяток премиум и даже несколько бесплатных плагинов, с которыми у вас без проблем получится снизить до минимума риск взлома своего сайта недоброжелателями. Все они содержат необходимые функции для защиты вашего сайта от различного рода уязвимостей. В обзоре вы найдете плагины для управления доступом, обеспечения безопасности входа на сайт, защиты от спама, защиты контента от злоумышленников, резервного копирования и даже плагины для защиты от двойной регистрации на сайте членства (membership).

Вам не нужно больше искать другие варианты, ведь все топовые плагины уже есть в этой статье и готовы к использованию. И большинство из них поддерживает русский язык. Также обратите внимание на мою подборку безопасных шаблонов WordPress, которые помогут вам создать надежный сайт.

Защита WordPress: плагины для защиты от спама, вирусов, взлома и копирования

Премиум плагины для защиты и безопасности WordPress сайта

Hide My WP – самый популярный плагин защита сайта WordPress

защита WordPress: плагины для защиты от спама, вирусов, взлома и копирования 01защита WordPress: плагины для защиты от спама, вирусов, взлома и копирования 01

Имея рейтинг 4,5/5 от 20 тысяч довольных покупателей, плагин Hide My WP без сомнений должен был попасть в начало нашего списка плагинов для защиты. В нем реализована мощная система обнаружения и устранения вторжений с правилами, которые можно настроить самостоятельно. С помощью встроенного файрвола получать уведомления о любых потенциально опасных операциях с полной информацией о нарушителе, включая дату и IP-адрес, будет совсем не сложно.

Особенность этого плагина заключается в возможности скрыть тот факт, что ваш сайт создан на WordPress, не изменяя при этом файловой структуры и папок. В целях безопасности можно самому удалить или заменить любую строчку в исходном коде. К примеру, есть возможность удалить раздел с комментариями и сжать HTML-файлы. Также можно удалить мета-информацию из шапки и лент.

В плагине есть WordPress защита от спама, отключение списка директории, блокировка доступа к PHP-файлам, возможность изменения отправителя email-писем по умолчанию и возможность минификации CSS/HTML.

Если вы хотите получить действительно надежное решение для сайта Вордпресс, выберите Hide My WP!

Посмотреть подробнее / Скачать

Smart Security Tools – мощный плагин для повышения уровня защиты сайта на WordPress

защита WordPress: плагины для защиты от спама, вирусов, взлома и копирования 02

inbenefit.com


Смотрите также

Prostoy-Site | Все права защищены © 2018 | Карта сайта