Как настроить плагин Better WP Security. Wp security wordpress
Как настроить плагин Better WP Security
Как настроить плагин Better WP Security
5 (100%) 2 votes
Один из лучших на сегодняшний день плагинов защиты WordPress – Better WP Security.
Better WP Security соединяет лучшие из методов защиты WordPress в одном плагине, закрывая тем самым великое множество дыр в безопасности.Большинство проблем решается одним щелчком мыши, есть и также расширенные функции для опытных пользователей.Но у него есть одна фишка, которая может стоить Вам исключения из индексации Яндекса. Однако, даже несмотря на его подвох, использовать его можно и нужноТолько настроить соответственно.
Итак, скачиваем плагин Better WP Security, установка стандартна.
Для начала Better WP Security заботливо поинтересуется: создать ли копию базы данных – вдруг не заладится у вас любовь или Вы уже предохранились?
Создайте, конечно. Пусть копия будет.
На втором шаге он спросит у Вас, не против ли Вы, если он будет менять основные файлы вордпресс – согласитесь. В частности, речь идет о .htaccess и wp-config.php, куда он будет заносить директивы запретов на IP адреса слишком навязчивых товарищей.
Третий и последний предварительный вопрос деликатного плагина касается защиты от базовых атак: не будете ли Вы против, если он защитит Вас от них? Это разрешение не касается изменений файлов. Великодушно разрешаем.
После разрешения Better WP Security Вам показывает все, что он уже успел натворить и то, что предстоит сделать, подсвечивая изменения разным цветом:
- зеленый – хорошо защищено,
- желтый – частично,
- красный – вообще не защищено,
- синий – не защищено, но если включите его защиту, может вызвать конфликт с некоторыми плагинами.
Ниже идут все сведения о Вашей системе, начиная с IP адреса
Вот сейчас и будем разбираться, что и как защищать
Переходить будем не по рекомендациям плагина Better WP Security, а по вкладкам его меню наверху
Вкладка первая User
Здесь Вы можете изменить логин администратора. Если Вы ставили вордпресс вручную, то, скорее всего, Вам тут ничего делать не нужно, Вы уже позаботились об уникальном имени, если же Вы воспользовались автоматической установкой, которую предоставляют хостинги, то Ваш логин – admin. А это не есть гуд, потому что злоумышленнику думать на один пункт меньше.
В поле Enter Username пишем (латиницей!) новый логин позамысловатее. Только сами его не забудьте.
Когда Вы нажмете кнопку Применить, плагин Вас поздравит с первым самостоятельным действием, но для совершения других Вам придется заново войти в админку уже с новым логином
Второе поле - это цифровой идентификатор пользователя. По умолчанию ID администратора тоже без затей значится 1.. Достаточно нажать на кнопку Change
Идем дальше
Вторая вкладка Away
Очень своеобразная настройка – давать доступ к сайту только в определенные дни или часы. Т.е., если Вы в гостях или на работе, или, предположим, в отпуск отчалили, доступ к админке в это время будет задраен наглухо.
Ну, не знаю, может кому-то и нужно, только с настройками времени не ошибитесь, а то сами попасть не сможете.
Следующая вкладка Ban
Обратите самое пристальное внимание на эту картинку. Если Вы поставите тут галочку – будете иметь головную боль с Яндексом.
Вообще, это хороший пункт, но Вам он пригодится, только если Вы воочию видите, что на сайт идет ddos атака – т.е. количество запросов к сайту превышено в с
mailbird.kartauspeha.ru
Определение безопасности блога - плагин WP Security Scan
Чтобы установить модуль просто скопируйте его установочные файлы (целиком всю директорию wp-security-scan) туда, где располагаются остальные ваши плагины — wp-content/plugins/. После этого заходите в меню Plugins и активируете его — появится новый раздел Security.
Рассмотрим все нюансы безопасности, которые анализирует данный модуль.
Своевременное обновление. Запомните, установка последней версии системы — первый и самый основной ключ к обеспечению безопасной работы всего сайта. Разработчики постоянно трудятся над устранением багов и дыр, поэтому каждый новый релиз содержит исправления львиной доли прорех в защите. Последняя доступная на данный момент версия системы — WordPress 2.5.1. Обновитесь, кто еще не успел! Стыд мне и позор, но я принадлежу именно к таким людям, о чем свидетельствует предупреждение WP Security Scan.
Таблицы в базе данных. Все таблицы в базе данных имеют префикс wp_ — wp_comments, wp_posts и т.д. Дабы обезопасить себя от SQL инъекций лучше его сменить. Чем меньше злоумышленник знает о настройках вашей системы — тем сложнее ему будет навредить. Для данного дела в разделе Security имеется специальная закладка — Database.
Внимание! Перед сменой префикса очень рекомендуется сделать бэкап (резервную копию) базы. Для успешного завершение процесса требуется чтобы файл настроек wp-config.php имел права на запись, а пользователь БД — возможность выполнять команду ALTER.Если все эти условия у вас выполняются, то в форме на странице указываем префикс, на который мы хотим заменить стандартный, и нажимаем кнопку Start Renaming.
Теперь, зайдя в phpmyadmin, вы обнаружите новые названия таблиц. Кстати, разработчики плагина говорят, что бывали случаи, когда WP Security Scan на срабатывал, поэтому в документации (на англ.) описаны действия для ручного изменения префикса.
Отображение версии системы. Опять же, меньше информации — лучше защита. Если злоумышленник узнает версию системы, то сможет понять какие прорехи у вас есть. Зачем давать каждому понять, что вы еще не обновились. Версию системы убрать очень просто — в файле шаблона header.php (где содержится информация из блока HEAD) убираем META тэг generator или указываем в нем, например, номер последней версии.
Другие. К сожалению, не совсем понял на что влияют указанные элементы защиты «WordPress DB Errors turned off.» и «WP ID META tag removed form WordPress core» — у меня они сразу были «в норме». Первый параметр WordPress DB Errors по идее можно поискать в настройках системы (Options), а второй в исходном коде.
Защита директории wp-admin. С помощью .htaccess файла можно запретить вход в админку всем неизвестным ip адресам, чтобы заходить могли только вы со своего домашнего и (или) рабочего компьютера. Считаю, это действительно очень хороший способ себя обезопасить, дабы ни у кого и в мыслях не было угадывать пароли. Чтобы реализовать данный метод создаете файл .htaccess, где пишете следующий текст:
AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName «Access Control»AuthType Basicorder deny,allowdeny from allallow from 91.250.120.20
В принципе, можно работать и без первых 4-х строк, но в некоторых примерах видел именно такую комбинацию. Что конкретно означают эти команды не разбирался, но информацию о них в Интернете я встречал. Строка deny from all запрещает любой доступ к директории wp-admin, а следующая как бы задает исключение для вашего ip адреса. Кстати, если у вас динамический айпишник, то запись в примере выглядела бы так:
allow from 91.250.120. (в конце строки должна быть точка, что символизирует «пустой» последний параметр).
После создания файла не забудьте записать его на фтп в директорию wp-admin!
Кроме того, в плагине WP Security Scan есть еще 2 опции: сканер и механизм проверки прочности паролей. Находятся они в соответствующих пунктах меню раздела Security. Если по второму пункту все понятно, то скажу немного слов о сканере. Он проверяет права пользователя, установленные на разные директории вашего сайта, и сравнивает их с требуемыми значениями. Когда все ок, то получится такая приятная картинка:
На достигнутом разработчики не останавливаются, и уже в следующих версиях плагина планируют добавить ряд нововведений, среди которых: изменение прав файлов/директорий одним кликом, тест на XSS уязвимость, отслеживание неверных попыток входа в систему, проверка .htaccess файла и многое другое.
В общем, плагин мне здоров пригодился, я практически могу спать спокойно. В принципе, после прочтения этой статьи можно его и не устанавливать, все основные моменты я рассмотрел, а также привел способы нейтрализации прорех безопасности. Советую использовать вместе все пункты, описанные выше — это сведет риск взлома блога к минимуму.
P.S. Открыл для себя еще одну систему продажи ссылок на сайтах — Setlinks. С сапой тягаться, конечно, пока рано, по попробовать поработать с ней будет интересно. Пользователей, кстати, там 23 тыс.
При поддержке:
tods-blog.com.ua
Better WP Security. Дополнительные настройки
Продолжаем разговор о комплексной безопасности сайта на WordPress и о плагине Better WP Security.
В прошлой статье мы рассмотрели основные настройки плагина Better WP Security. Сейчас рассмотрим дополнительные настройки, которые не столь важны, и Вы можете включить их по желанию.
Во-первых можно сделать административную панель сайта доступной только в определенное время:
8. Доступность админки 24 часа 7 дней в неделю.
Вкладка Away
Открываем восьмой пункт чек-листа безопасности и видим такую страницу:
Можете включить опцию «Enable Away mode» — включить режим отсутствия. Данный режим позволяет отключать доступ к административной панели сайта в определенное время. Например, Вы можете отключить доступ к админке ночью. Можно установить опцию «Daily» — режим будет включаться каждый день по заданным настройкам.
Внимание: включив опцию «Enable Away mode», вы и любой другой администратор/редактор сайта не сможет попасть в админку сайта в указанный в настройках промежуток времени!
Примечание: проверьте настройку часовых поясов Вашего сайта. Для этого в даминке WordPress зайдите в «Параметры» --> «Общие» --> «Часовой пояс». Тут же проверьте «Местное время». Плагин ориентируется на указанное в этих настройках время и если часовой пояс выбран неправильно, то админка будет заблокирована в неудобные для Вас интервалы времени.
11. Ваша WordPress админка не скрыта.
Вкладка Hide
Этот пункт позволяет скрыть адрес вашей админки. При этом вход в админ. панель не будет доступен по адресу вида:
http://maxtop.org/wp-admin/ или http://maxtop.org/wp-login/
Важно: необходимо включить WordPress permalinks для использования этой функции. Они включаются в настройках WordPress в пункте «Настройки постоянных ссылок» — укажите, например, «Название записи».
После включения постоянных ссылок Вы увидите панель изменения адреса админки:
В текстовых полях укажите новые адреса для административного и пользовательского входа, сохраните изменения.
- Login slug позволяет изменить адрес входа не-администраторов (простых юзеров),
- Admin slug — адрес входа в панель администрирования для админов,
- Register slug — адрес ссылки регистрации пользователей.
Например, стандартная ссылка для авторизации администратора имеет вид http://maxtop.org/wp-admin/
Если мы В поле ввода Admin slug напишем administrator, то ссылка входа на сайт для админов станет http://maxtop.org/administrator/
14. Your installation is not actively looking for changed files.
Вкладка Detect --> File Change Detection
Отслеживание измененных файлов с помощью плагина Better WP Security. Эта настройка позволяет вести логи измененных файлов на сервере. Включайте ее только только если понимаете, какие изменения опасны, а какие нет (обновление кеш-файлов, к примеру).
Будьте внимательны, далеко не все изменения файлов являются вторжением на сайт. Например, Вы сами можете обновить плагины, добавить или удалить медиа-контент, очистить кеш. Все эти изменения будут в логе плагина Better WP Security.
20. You should rename the wp-content directory of your site.
Вкладка Tweaks --> Другие хитрости
Эта настройка позволяет изменять имя папки wp-content, чтобы злоумышленник не смог так просто найти Вашу папку контента.
Во-первых, эта опция небезопасна. особенно для сайтов, имеющих множество плагинов и сложные настраиваемые темы оформления. При изменении имени папки wp-content плагины и темы могут получать ошибочные адреса при подключении скриптов и других действиях — это может привести к некорректной работе сайта.
Не советую включать данную опцию на «живом» работающем сайте.
Лучше всего сделать бекап сайта, развернуть его на локальном сервере Denwer (как это сделать — читайте: 1) сделать бекап, 2) локальный сервер Denwer)
Даже когда все проверили и все работает — не забудьте сделать бекап сайта — всех файлов и базы данных перед изменением имени папки wp-content.
Мы рассмотрели дополнительные настройки плагина Better WP Security.
21. You are not requiring a secure connection for logins or for the admin area.
Вкладка SSL
Позволяет включить защищенное соединение с админкой — посредством использования шифрования, SSL. Нужно ли включать эту опцию?
SSL (Secure Sockets Layer) — криптографический протокол, который обеспечивает безопасность связи сервера и клиента.Протокол SSL позволяет общаться клиенту с сервером в сети, предотвращая перехват или фальсификацию передаваемых данных.Во-первых, не все хостинги и не все тарифные планы позволяют использовать услугу шифрования трафика. Поэтому проконсультируйтесь с поддержкой Вашего хостинга.
Во-вторых, даже если такая опция поддерживается, ее нужно включить в панели управления хостинга (как это сделать — тоже спросите техподдержку).
В большинстве случаев шифрование не требуется. Включайте только по личным убеждениям и наличии поддержки протокола Вашим хостингом.
Поделитесь этой записью с друзьями, буду благодарен!
maxtop.org
