Плагин wp security. Мощный плагин для защиты WordPress

Защита сайта всегда является важным аспектом в его создании и в продолжительном использовании. Несмотря на высокий уровень безопасности WordPress, можно и даже нужно вносить свою лепту, чтобы максимально себя огородить от нежелательных угроз. И не стоит пренебрегать всеми возможными вариантами, учитывая, что постоянно есть опасность потенциальных атак и вирусов.

Первые меры, которые можно принять по защите WordPress – установка плагинов безопасности. К счастью, в официальном репозитории их насчитывается большое количество как платных, так и бесплатных. Нам остается только выбрать какой именно использовать, исходя из его функциональности. В сегодняшнем обзоре предлагаю рассмотреть мощный плагин для защиты WordPress — All In One WP Security & Firewall с большим набором функций.

Краткое описание плагина All In One WP Security & Firewall

Плагин объединяет в себя большой список инструментов, с помощью которых можно решать от самых мелких до больших задач. Это значительно может уменьшить риск опасности и перейти на новый уровень безопасности. All In One WP Security весьма прост в использовании и имеет три степени сложности – от простого до продвинутого.

В настоящий момент плагин переведен на несколько языков, включая русский. Правда, местами можно обнаружить неполный перевод, но таких мест очень мало. Несмотря на многочисленные функционал, плагин использует минимум ресурсов, что позволяет не нагружать сайт. И при всех его возможностях он совершенно бесплатный.

Настройка плагина All In One WP Security & Firewall

Предлагаю пропустить перечень всех его функций, а сразу перейти к настройкам, где в подробностях разберем каждый пункт. Это как раз и будет «прайс-лист» плагина, только с одновременным разбором.

После установки и активации плагина в панели инструментов у вас добавится новая вкладка «».

Вот все пункты, с которыми постараемся познакомиться.

Панель управления

Здесь выводится сбор информации об уровни защиты вашего сайта, диаграмма безопасности, статус самых важных функций. Остальные вкладки, на этой же странице, соответственно показывают инфу о системе, заблокированных IP-адресов, черный список и лог файлов. Для наблюдения запомните, какой у вас текущий балл надежности и сравните его с полученным после всех настроек.

Настройки

Вначале, перед активацией каких-либо функций, нам советуют сделать резервную копию важных файлов и БД. Такие меры предосторожности будут весьма кстати, так что не поленитесь выполнить их. Две последующие вкладки как раз помогут сделать резервную копию файлов. На вкладке «Общие настройки » чуть ниже находятся настройки сброса некоторых параметров. Воспользуйтесь ими если заметите некорректность в работе сайта. Предпоследняя вкладка «WP Version info » поможет , которые WordPress автоматически выводит на всех страницах сайта.

Обратите внимание на два элемента с флажками, выделенные на скриншоте. Первый показывает уровень сложности функции, а второй – очки безопасности. Чем больше будет баллов, тем выше степень важности. Поставьте галочку и нажмите кнопку «Сохраните настройки », но только в том случае, если вы раньше сами не удаляли теги.

Последняя вкладка «Импорт/Экспорт » поможет избавиться от необходимости вновь настраивать плагин, если вам придется его переустанавливать или ставить на новый сайт. Достаточно лишь экспортировать настройки в виде отдельного файла, а затем просто импортировать их.

Внимание! В конце статьи вы сможете найти ссылку на скачивание файла настроек плагина All In One WP Security & Firewall с данного урока.

Администраторы

Этот раздел отвечает за использования имени администратора и отображение имени админа на сайте. Как известно, нельзя применять одинаковый логин и имя, которое выводится в посту как автор статьи. Если у вас имеется такая проблема, то плагин выдаст сообщение и попросит сменить имя на корректное. Последняя вкладка «Пароль » проверяет надежность пароля и покажет приблизительное время для его подбора.

Один из множества способов взлома сайта является многократные попытки подбора паролей или, другими словами, называют Брутфорс-атака. Наша задача состоит в том, чтобы ограничить количество попыток ввода, а также принять последующие меры по отношению к IP-адресов взломщиков. Отметьте галочками пункты, как показано на скриншоте, и нажмите кнопку «Сохранить ».

Все остальные вкладки в этом разделе показывают общую информацию по уже заблокированным IP-адресам и неудачным попыткам входа. Можно еще обратить внимание на вкладку «Автоматическое разлогинивание пользователей ». Ставьте здесь галочку, дабы через указанное время заканчивалась сессия авторизации админа (выход из аккаунта). Это полезно тогда, когда вашим компьютером или ноутбуком пользуется кто-то еще, кроме вас.

Регистрация пользователя

Этот раздел больше относится к тем сайтам, у которых открыта форма регистрации. Здесь можете поставить галочку для ручного подтверждения регистрации пользователя, а также добавить капку на страницу регистрации.

Защита Базы данных

Лакомый кусочек для недоброжелателя – это доступ к Базе данных где хранятся все настройки и контент. Одним из способов усилить защиту БД от SQL-инъекций является смена стандартного префикса баз данных « wp_ » на уникальный. Об этом я уже говорил в статье « ».

Отмечаем галочкой пункт и жмем «Изменить префикс таблиц ». После чего начнется процесс смены и обновления некоторых файлов. Во второй вкладке настраиваем автоматическое создание бэкапа БД.

Префикс таблиц БД

Резервное копирование БД

Защита файловой системы

Отключаем права на редактирование файлов из админ-панели, закрываем доступ к файлам и сменяем разрешения папок\файлов на рекомендуемые.

WHOIS-поиск

Черный список

С этой функцией нужно быть осторожней, так как есть вероятность блокировки вашего IP к доступу админ входа. Активируйте по желанию.

Файрволл

Здесь настраиваются более серьезные функции, отдельные из которых могут даже нарушить работоспособность сайта. Возле каждого параметра есть краткое описание, объясняющее принцип их работы. Я отметил следующие пункты, а последнюю вкладку оставил без изменений.

Баз. правила файрволла

Доп. правила файрволла

6G Blacklist Firewall Rules

Интернет-боты

Предотвратить хотлинки

Детектирование 404

Защита от брутфорс-атак

Продолжаем борьбу с брутфорс-атаками. На этот раз задействуем эффективный способ, а именно – изменим адрес страницы входа. Нам предлагают для этого два варианта: либо через куки, либо обычным путем. Обращаю ваше внимание на то, что эти две функции одновременно не могут быть активированы.

Если вы пользуетесь только одним браузером для входа в админ-панель, то вам подойдет смена на основе куки. Соответственно, если заходите с разных браузеров и мест, то подойдет обычная смена адреса. На вкладке «Капча » включается вывод дополнительного поля на странице логина с математической задачей.

На последней вкладке находится очень интересная функция – «Бочка с медом » (сладкий термин). Суть ее очень проста: на страницу входа добавляется новое поле заполнения, которое видят только роботы. А робот, в свою очередь, как правило, заполняет все возможные поля и отправляет запрос. И тем самым выдает себя (ведь настоящий пользователь не видит это поле), вследствие чего происходит обычное перенаправление робота на свой IP-адрес.

Отслеживание IP-адресов

Сканнер

Сканнер поможет отслеживать изменение файлов и показывать точную дату и время, когда это случилось. Можете установить автоматическое сканирование, указав определенную частоту на выбранный период времени. Вкладка «Сканирование от вредоносных программ » — это отдельный сервис.

Функция «Сканирование базы данных » временно является деактивированной. Разработчики обещают в ближайшее время ее переделать и представить в рабочем состоянии.

Режим обслуживания

Закрывается доступ пользователям к сайту, кроме админа, и .

Разное

В последнем разделе все функции менее важные и могут быть активированы по своему усмотрению.

Заключение

Статьи в этой же категории

А сегодня, друзья мои, будем защищаться.

Да. Именно так. От кого? От тех товарищей-подонков, которые будут покушаться на наше «блогосостояние». Кто эти люди я не могу сказать, но они есть и не могу взять в толк, почему под их ногами не горит земля. Почему на их головы не идет каменный дождь и они не захлебываются слюной своего злорадства.

А коли такие люди существуют, то от них нужно адекватно защищаться. И мы сегодня поставим вам супер-клевый плагин для защиты вашего блога.

Будьте уверены, не одна сука не проникнет в ваш блог и не напакостит вам, после того как вы его поставите.

А плагин этот All In One WP Security.

Я раньше пользовался конечно плагинами защиты и как-то особо не беспокоился о безопасности, логин естественно ADMIN, пароль из пяти букв, и естественно это было до поры до времени. В плагины и не заглядывал никогда, ну стоит, да стоит, значит охраняет. Короче в темную все.

А когда хакерская атака прорвала эту защиту и начала перегружать хост, то тут я задумался… И совершенно случайно надкнулся на плагинчик, который мне показался очень милым и доброжелательным. И в то же время очень серьезным охранником, послушав которого и выполнив его указания вы будете под надежной защитой.

Конечно, пока вы будете молодой блогер и пока ваш путь будет в стадии развития, беспечность прокатит. Но когда вы наберете вес и станете локтями расталкивать конкурентов, освобождая место под солнцем, у вас появятся завистники и недоброжелатели. Поэтому с самого начала возьмите в привычку хорошо защищаться.

Так чем же хорош этот плагин All In One WP Security?

• Надежный;
• Бесплатный;
• Русcифицированный;
• Простой.

Установить его на WordPress нужно по стандартной схеме: Плагины-Добавить новый, в поиск вбиваем All In One WP Security, Enter, первый, и это не случайно, будет он родимый…

Перейдем к настройке плагина All In One WP Security

Советую перед установкой сделать копию с вашей Базы данных. 1. Сама База данных. 2. Файл файл wp-config. 3. файл.htaccess.

И все это, как все-таки удобно, можно сделать в настройках самого плагина.

Панель управления

В меню админки находим WP Security, подменю плагина Панель управления.

Первое что бросается в глаза, это этакий манометр нашей защищенности и диаграмма проделанной работы плагина. Это вообще круто.

Что хочу сказать. ВАЖНО! Не увлекайтесь защитой до максимума. Не доводите давление защиты до критического. Чревато последствиями сбоем в работе сайта. Так говорят, сам не испытывал никаких проблем, наверное просто потому что просто держу чуть больше половины положенного.

Здесь в панели управления больше ничего не делаем и переходим в настройки.

Настройки

Вот именно здесь мы делаем копии нашего сайта и Базы данных. Здесь же мы будем, при необходимости отключать Файервол, если понадобится.

Во вкладке WP мета информации поставьте галочку

Во вкладке «Импорт/Экспорт» делаются действия по экспорту ваших настроек в какой-то другой сайт, если у вас есть, чтобы не ставить все галочки, которые мы сейчас будем проставлять. В два клика все будет сделано.

Администраторы

Пользовательское имя WP.

Здесь меняйте имя администратора и это сделать НАДО. По умолчанию admin или wp-admin. Измените на другое, к примеру myblog-admin, или Ja-Vasja-Ivanov. И вообще забудьте слово admin раз и на всегда.

Отображаемое имя .

Придумайте любое имя, кроме admin. И еще советую если у вас сайте несколько аккаунтов, делайте отображаемые имена разными.

Пароль.

Самая интересная вкладочка. С нашим монометром, на котором в секунду можно определить степень взламываемости вашего пароля. Просто вписывайте предпологаемый пароль в строку прибора, он сразу же будет выдавать вам время, за которое он может быть взломан. В нашем случае 9 лет 6 месяцев.

Авторизация

Блокировка авторизаций.

Включите так, как скриншоте. Разумно ставить значения, которые сообразны со здравым смыслом. Например если за 5 минут неправильный пароль был набран 3 раза, то ваш IP заблокируется на час. Так стоит по умолчанию. Я соглашаюсь с таким раскладом. Вы можете изменить, только в разумных пределах.

Заблокированные IP можно посмотреть ниже.

Ошибочные попытки авторизации.

Вот здесь видно тварей. Отслеживайте кто часто лезет и принимайте меры. У меня пока один, это потому что недавно очистил список.

Автоматическое разлогинивание пользователей.

Включаем и ставим время 600 минут, через которые пользователь будет отключен.

Журнал активности аккаунта » и Активных сессий информативные.

Регистрация пользователей

В Подтверждении вручную и CAPTCHA при регистрации ставьте галочки в чекбоксы.

Префикс таблиц БД .

Я не стал ставить здесь ставить галку, но если вы захотите поставить, то сделайте сначала резервную копию своей Базы данных. На всякяий случай.

Резервное копирование.

Ставим галку и назначаем частоту их создания. Так же назначаем количество этих бэкапов, которые будут храниться в специальной директории плагина.

Защита Файловой системы

Доступе к файлам.

Редактирование файлов PHP.

Это для тех, кто правит файлы черезадминку. Ставьте, если не правите, не ставьте, если правите. Но вообще не рекомендуют править файлы в админке. Хотя дело каждого. Хотя если что накосячите, у вас не будет возможности все быстро вернуть клавишами CTRL Z.

Доступ к файлам WP.

Ставим Галю, тем самым запрещаем доступ к информ-файлам WordPress

Системные журналы.

Как есть, так и оставляем

WHOIS-поиск

Я ничего не делал. Не нужно мне узнавать какую-либо информацию о том или ином IP.

Черный список

Это для тех, кто часто светится на вашем сайте с подозрительными намерениями, вы их можете увидеть в (Авторизация — блокировка авторизаций — заблокированные IP). Если такие есть, то ставьте галку и прописывайте эти IP.

Файрволл

Базовые правила файрволла .

В первую очередь делайте ко пию файла.htaccess если вы еще не сделали ее и ставьте галочку.

Дополнительные правила файрвола.

А в Дополнительной фильтрации символов не ставим галку. Могут проходить не все комментарии, выдавая ошибку 403, что тоже не очень хорошо.

Настройки 5G

Включаем

Интернет-боты.

Не включайте чекбокс

Предотвратить хотлинки.

Включаем

Детектирование 404.

Включаем и ставим время 5 минут

Защита от брутфорс-атак

Защита от брутфорс-атак с помощью куки.

Не включать, если не хотите испытывать проблемы с разного рода устройствами.

CAPTCHA на логин.

Не знаю как вы, если хотите капчу включить, включайте. Я этого не сделал.

Белый список для логина.

Не включайте. Наверняка будете входить на свой блог с разных устройств, мест и IP.

Бочка с медом.

Включаем

Защита от SPAM

Спам в комментариях.

CAPTCHA в форме комментариев — Не ставим. Блокировка комментариев от спам-ботов — Ставим

BuddyPress.

Добавляет CAPTCHA в форме BuddyPress. Нет надобности использовать.

Сканер

Я так понимаю процесс порчи при взломе. Хакеры меняют какие-то файлы в системе, не найдя которые попытки восстановить сайт не увенчаются успехом. Так вот при помощи этой функции можно отследить что именно изменялось в ближнем времени. Я просто восхищаюсь… Включаем автоматическое сканирование файлов.

Сканирование от вредоносных программ.

За это нужно платить.

Режим обслуживания

Прошу обратить внимание на смысл этого сервиса. Включить режим обслуживания означает выключить ваш сайт вообще. Он не будет виден никому, в том числе и роботам, соответственно и не будет индексироваться. Поэтому имейте это ввиду и не ставьте без острой необходимости эту галку.

Ваш покорный слуга отключил сайт на 2 дня, пока не заметил падения посещаемости и поиск причины.

В текстовом поле напишите что будут видеть посетители на время отключения сайта.

Разное

Здесь я понимаю только защиту от копирования. Галку не ставлю, пусть копируют все, это же так приятно)))

Результат

Плагин мы настроили. Зайдем в панель управления и посмотрим новый уровень безопасности. Уверен, он стал намного выше, чем был. Теперь вы можете быть спокойным за безопасность вашего сайта.

А еще, что характерно, будете сюда заглядывать регулярно, чего не делали раньше с подобного рода плагинами.

Пользуйтесь, живите и работайте спокойно и продуктивно.

До встречи в сети!

Каждый день огромное количество сайтов подвергаются успешным хакерским атакам. не являются исключением и могут стать легкой мишенью для атаки из-за уязвимости тем и плагинов, слабых паролей и устаревшего программного обеспечения. Поэтому в сегодняшней статье мы решили уделить внимание такой теме, как защита WordPress.

Стоимость Bulletproof Security Pro: $59,95 (разовая оплата).
Официальный сайт — http://affiliates.ait-pro.com/

All in One Security and Firewall

Известный плагин для защиты от взлома WordPress. Он включает дополнительные брандмауэры для сайта, предоставляет различные методы защиты и дает по ним отчет.

Настройки файервола этого плагина разделены на три уровня «basic», «intermediate» и «advanced», что позволяет применять правила файервола постепенно, не нарушая работу сайта.

Функций у этого плагина (впрочем, как и у остальных в этой подборке) огромное количество — потянет на отдельную статью. Приведу здесь основные:

1. Защита аккаунтов:

• определяет аккаунт «admin» и предлагает поменять его на другой на ваше усмотрение;
• определяет и сообщает об аккаунтах, в которых логин и имя пользователя совпадают — такие аккаунты взломать легче;
• генерирует сильные пароли.

2. Защита входа в систему и регистраций на сайте:

• опция Login Lockdown — блокирует пользователей за определенное количество неверных попыток входа в систему;
• делает принудительный выход из системы для всех пользователей через установленное время;
• отслеживает активность в аккаунтах всех пользователей путем логирования информации;
• дает отчет о полном списке пользователей, которые выполнили вход в систему на данный момент;
• добавляет captcha в форму логина и форму регистрации;
• позволяет вручную подтверждать каждую новую регистрацию на сайте.

3. Защита базы данных:

• изменяет WP-префикс базы данных на любой другой;
• настраивает автоматическое резервное копирование.

4. Защита файловой системы:

• определяет папки и файлы с небезопасными правами доступа и меняет их на безопасные значения;
• запрещает редактировать файлы с PHP-кодом из администраторской панели управления;
• запрещает доступ к readme.html, license.txt и wp-config-sample.php файлам.

5. Функция файервола позволяет использовать защиту с помощью.htaccess файла. Этот файл обрабатывается вашим веб-сервером еще до обработки любого кода сайта, поэтому правила файервола останавливают вредоносные скрипты еще до того, как у них появится возможность достичь WP-кода.

6. Предотвращение брутфорс-атак.

7. Сканирование безопасности:

• отслеживание файловых изменений и уведомления об этом;
• сканирование таблиц базы данных на подозрительные строки, javascript и html код в базовых таблицах WordPress.

8. Защита от спам-комментариев:

• отслеживание наиболее активных IP, которые постоянно делают спам-комментарии и их блокировка;
• добавление captcha в форму комментариев WordPress.

9. Защита контента от копирования.

Стоимость: бесплатно.

Wordfence

Этот плагин безопасности WordPress сразу же после установки запустит автоматическое сканирование, чтобы проверить, не заражен ли уже ваш сайт. Поддерживает WordPress-мультисайты. Основные функции:

1. Файервол:

• защищает от взлома, распознавая вредоносный трафик и блокируя подозрительные попытки вторжения в систему;
• блокирует общие распространенные угрозы безопасности, например, Google-боты, вредоносное сканирование хакерами и ботнеты.

2. Блокировка:

• блокирует целые вредоносные сети. Включает проверку IP и домена при помощи сервиса WHOIS и блокирует вредоносные IP с помощью файервола;
• блокирует такие угрозы, как агрессивные поисковые роботы, скреперы и боты;
• блокирует и контролирует пользователей, которые нарушают правила безопасности на вашем сайте.

3. Безопасность входа на сайт:

• вход в аккаунт с помощью двухфакторной аутентификации;
• позволяет использовать только сложные пароли администраторам и пользователям;
• предотвращает брутфорс-атаки.

4. Сканирование безопасности:

• проверяет сайт на уязвимости типа Heartbleed;
• проверяет базовые файлы, темы и плагины по репозиторию версий WordPress.org на целостность и безопасность;
• позволяет просмотреть изменения в файлах и исправить их, если есть угроза безопасности;
• проверяет на наличие «черных ходов», которые создают дыры в безопасности (C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx и многие другие);
• сканирует на наличие вредоносных программ и фишинговых URL по Google Safe Browsing List во всех ваших комментариях, постах и файлах;
• сканирует на наличие троянских программ, подозрительного кода и прочих угроз.

5. Мониторинг:

• просматривает весь ваш трафик в режиме реального времени и создает отчет о потенциальных угрозах;
• отслеживает безопасность неавторизированных изменений;
• отслеживает дисковое пространство. Много DDoS-атак нацелены на потребление всего дискового пространства, чтобы спровоцировать отказ в работе сервиса.

Стоимость: бесплатно , но есть Премиум версия, которая включает: vip-поддержку, установку графика сканирования, аудит паролей, а также проверку IP-адреса сайта по Spamvertized.

Цена Премиум подписки – $8,25 в месяц. При оплате на год и более предоставляется скидка.

Sucuri Security

Sucuri Inc – это известная организация, которая занимается вопросами веб-безопасности, со специализацией в WordPress-безопасности.

Плагин Sucuri Security включает следующие возможности:

1. Аудит безопасности.
Отслеживает все события, связанные с безопасностью сайта. Любое изменение, которое может быть квалифицировано как угроза безопасности, плагин записывает. Регистрация действий происходит в SucuriCloud-сервисе для большей сохранности. Это гарантирует, что никто не сможет стереть данные отчетов. Если злоумышленнику удалось обойти систему безопасности вашего сайта, то вся информация о действиях будет сохранена в Sucuri Security Operations Center (SOC).

Эта функция особенно нужна для администраторов сайта и экспертов по безопасности, которым нужно понять, что и когда происходит с сайтом. Можно настроить уведомления о безопасности сайта на email.

2. Контроль целостности файлов.
Плагин проверяет соответствие оригинального (утвержденного) файла с текущим и если он отличается, то возможно безопасность под угрозой. Проверка осуществляется для всех базовых файлов, плагинов и тем.

3. Удаленное сканирование вредоносных программ.
Эта опция осуществляется при помощи инструмента Sucuri, который можно найти на бесплатном сканнере безопасности — SiteCheck.

4. Мониторинг «черного списка».
Плагин проверяет различные «черные списки», включая:

• Sucuri Labs
• Google Safe Browsing
• Norton
• Phish Tank
• McAfee Site Advisor
• Yandex
• SpamHaus
• Bitdefender

Это одни из самых больших списков, которые содержат сайты с проблемами в безопасности. Если ваш сайт был найден в таком списке, то Sucuri предлагает дополнительную опцию за отдельную плату – помощь в том, чтобы удалить ваш сайт из «черного списка» при помощи Website AntiVirus.

5. Эффективное усиление безопасности.
Плагин обеспечивает безопасность сайта с помощью: защиты.htacess, ограничений доступа к wp-includes папке, проверки ключей безопасности, верификации версии PHP, изменения префикса базы данных, удаления readme.html файла и прочего.

6. Действия по безопасности после взлома.
Если взлом сайта всё же произошел, плагин предложит:
обновить ключи безопасности;
обновить пароли всех пользователей;
обновить плагины.

7. Файервол (дополнительная функция за отдельную плату).
Это определенно лучшая функция, которую предлагает Sucuri. Файервол от:

• DoS и DDoS-атак;
• уязвимостей программного обеспечения;
• брутфорс-атак.

Стоимость: бесплатно , есть платные пакеты от $199 в год.

А какую защиту для WordPress-сайта используете вы и чем именно она вам нравится?

Всем привет! Сегодня поговорим про безопасность WordPress. Недавно я опубликовал статью, в которой рассказал про . Сегодня от слов к действию. . А в данной статье я расскажу про плагин All In One WP Security & Firewall. Этот плагин обеспечивает большинство пунктов безопасности сайта. Что сводит практически всю настройку безопасности блога к настройке одного плагина. А еще он практически весь русифицирован, что немаловажно для многих пользователей.

Первое что нужно сделать – создать полную резервную копию сайта. Данный плагин достаточно большой и серьезный. Установите плагин обычным способом. Зайдите в админ-панель блога, перейдите в плагины, кликните по кнопке «Добавить новый». В строке поиска введите «WP Security». Установите нужный плагин. Затем активируйте его (Рис 1).

Рис. 1. Установка плагина All In One WP Security & Firewall.

Панель управления

После установки плагин появляется в меню админки под названием «WP Security». Первое подменю — «Панель управления». Здесь собрана сводная информация по безопасности сайта (Рис 2).

Давайте разберемся более детально. На данной странице есть несколько закладок.
Панель управления. Первая закладка, одноименная с подменю. Здесь приводится сводная статистика. Уровень безопасности сайта измеряется в баллах («Измеритель уровня безопасности»). За каждый правильно настроенный сегмент присваиваются баллы. Суммарно можно набрать 480 баллов. Это значит, что Вы сделали всё, что только можно. Это не всегда требуется. Например, в этом плагине есть возможность настроить резервное копирование базы данных. Если Вы настроили специальный плагин для резервного копирования, то здесь Вам дополнительно этого делать не нужно. Мой блог из примера с хорошим пользователем (логин не admin, отображаемое имя отличное от ника), и при установке движка я изменил префикс таблиц. Вот за это сразу имею 30 баллов из 480.
Следующий инструмент «Диаграмма безопасности Вашего сайта». Все набранные баллы представлены в виде диаграммы. Можно видеть какой процент от общего количества баллов составляет та или иная настройка.
Следующие два блока бесполезны: «Расскажите друзьям» и «Get to known the developers», что переводится как – получите больше информации о разработчиках.
«Последние 5 авторизаций». В этом окошке будет список пяти последних входов на блог с информацией о том, кто входил и когда.
«Активных сессий». Это окошко отображает, кто сейчас находится на сайте (в админке) с правами больше, чем обычный посетитель.
«Текущий статус самых важных функций». Окошко отображает функции, которые должны быть включены.
«Режим обслуживания». В данном окне есть выключатель, чтобы выключить сайт. Посетители будут видеть информационный текст вместо сайта. Эта функция нужна, если Вы проводите какие-нибудь технические работы на сайте.
«Заблокированные IP-адреса». Когда Вы настроите блокировку IP адресов, здесь будут отображаться заблокированные IP.
Информация о системе. Здесь представлена информация о сайте, о системе, на которой работает движок, а так же список активных плагинов.
Заблокированные IP-адреса. Детально расписаны заблокированные IP-адреса и информация о них.
Permanent Block List. Список временно заблокированных IP-адресов. Например, можно заблокировать IP на час за 3 неудачные попытки ввода пароля входа в админку, чтобы избежать подбора пароля.

Настройки

В этом подменю несколько закладок.
Общие настройки. В самом начале нам предложены несколько ссылочек, которые создают резервные копии базы данных и некоторых файлов. А дальше 2 кнопки отключения функций безопасности и фаервола. Этими кнопками удаляются все настройки плагина, сделанные на блоге, для повышения безопасности. По сути — это откат в исходное состояние, до настроек плагина на сайте.
.htaccess Файл. В этой закладке всё просто. Создание резервной копии файла.htaccess и восстановление.
wp-config.php Файл. Так же, как и в предыдущем пункте. Создание резервной копии файла и восстановление из нее.
WP Version Info. С этого момента начинается настоящая настройка безопасности блога. Если помните, в статье про безопасность WordPress я рассказывал, что движок выводит информацию о версии в мета-тег блога. Если поставите галочку «Удаление мета-данных WP Generator», то информация о версии движка не будет выводиться на страницах блога. И получите +5 баллов к безопасности.
Импорт/Экспорт. Настройки плагина можно сохранить отдельно и восстановить в случае необходимости или для переноса на другой блог.

Администраторы

Пользовательское имя WP. я рекомендовал не использовать стандартные логины. Плагин рекомендует то же. Если у Вас логин admin, создайте нового администратора, а admin удалите.
Отображаемое имя. В настройках учетной записи нужно настроить так, чтобы отображаемое имя не совпадало с логином.
Пароль. Интересный калькулятор. Можете ввести свой пароль и узнаете, сколько времени потребуется домашнему компьютеру для его подбора. Но учтите, что обычно используются серверы, а иногда группа серверов (кластеры), что значительно ускоряет процесс подбора пароля.

Авторизация

Блокировка авторизаций. А вот моя самая любимая закладка. Поставьте галочку «Включить опции блокировки попыток авторизации», чтобы блокировать неудачные попытки входа – подбор паролей. Все настройки интуитивно понятные. Настраивается, сколько неверных попыток за промежуток времени считается попыткой взлома. И санкции на это. Можете сразу заблокировать пользователя с неверным логином (я так и делаю). Обычно начинается именно с подбора логина. И укажите свою почту. При неудачных попытках входа будет приходить письмо. Также настраиваются белые списки для логина и IP, если Вы заходите с постоянного IP, можете настроить.

Вот на этом этапе рекомендую остановиться и понаблюдать несколько дней за ситуацией. Если Вам интересно, насколько Ваш блог интересен для взлома, и ведется ли подбор пароля к Вашему блогу, то не настраивайте остальные настройки некоторое время. Лично я был удивлен, когда к моему новому сайту был очень сильный интерес.

Ошибочные попытки авторизации. Закладка, на которой представлена информация об ошибочных авторизациях. Лог ошибок входа.
Автоматическое разлогинивание пользователей. Здесь можно настроить время, через которое будет разлогинивание. Немного неудобно, но зато если из Вашего браузера своруют куки (достаточно распространенный тип взлома), то с авторазлогиниванием куками не смогут воспользоваться, так как они будут устаревшими, а сессии входа по ним закрыты. Кто не понял, ничего страшного, просто поверьте, что так безопаснее.
Журнал активности аккаунта. Очень полезная закладка. Заглядывайте сюда время от времени. Кто, когда, откуда залогинивался на блог.
Активных сессий. А эта закладка отображает, авторизованных пользователей, которые сейчас на сайте.

Регистрация пользователей

Подтверждение вручную. Если на сайте есть возможность зарегистрироваться (Вы, кстати, можете об этом не знать), можно сделать ручное одобрение регистраций.
CAPTCHA при регистрации. Поставьте галочку для использования каптчи при регистрации.
Registration Honeypot. Некая закладка на странице регистрации, на которую отреагирует только бот. Человек оставит без внимания.

Защита Базы данных

Префикс таблиц БД. Если во время установки WordPress Вы не изменили префикс таблиц, то плагин поможет Вам это сделать. Только сделайте резервную копию перед преобразованием.
Резервное копирование БД. Плагин предлагает создавать резервные копии базы данных по расписанию. Считаю большим недостатком плагина то, что он может бэкапить только базу. Поэтому предпочитаю другими средствами создавать полные резервные копии. Но данный плагин исправно делает бэкапы базы данных и шлет их на почту.

Защита Файловой системы

Доступ к файлам. На данной закладке нужно настроить права доступа к файлам, чтобы из под скриптов нельзя было изменить важные файлы.
Редактирование файлов PHP. На Ваше усмотрение. Лично я отключаю возможность редактирования PHP из админ-панели. Предпочитаю .
Доступ к файлам WP. В данной закладке запрещается доступ к файлам readme.html, license.txt и wp-config-sample.php. Файлы readme.html, license.txt лучше вообще удалить.
Системные журналы. На этой закладке можно не заходя на хостинг, а прямо из админ-панели просматривать системные журналы. Нужно только уточнить у хостера, где они лежат и как называются.

WHOIS-поиск

Смысл такой. У плагина есть база геолокации. При анализе угроз сайту, у нас есть информация с какого IP-адреса происходило действие (атака). На данной закладке можно посмотреть подробную информацию о IP.

Черный список

Забанить пользователей. Будьте осторожны с данной опцией. Очень много пользователей выходят в интернет под динамическими адресами. И то, что с какого-либо IP происходит атака, совершенно не означает, что через неделю этот IP не будет назначен другому пользователю, который не сможет попасть к Вам на сайт. У меня такое было. Я не мог зарегистрироваться на сайте, потому что мой IP был в черном списке. Пришлось через поддержку сайта решать. А мой IP выдается мне провайдером, и периодически изменяется.

Файрволл

Базовые правила файрволла. На данной странице активируются основные функции файерволла, а так же отключается удаленный вызов процедур XMLRPC. Это технология в основном нужна для взаимодействия мобильных приложений и блога. Если Вы ей не пользуетесь, смело отключайте.
Дополнительные правила файрволла. На этой закладке я не все включаю. Например, зачем запрещать комментарии через прокси. Вполне нормальная ситуация, что у посетителя интернет через прокси. Остальные же настройки нужны. Запрет ввода в строке адреса запрещенных символов — это нужная опция. Обычным пользователям не нужно вводить не стандартные запросы.
6G Blacklist Firewall Rules. Набор стандартных правил защиты блога. Я не хочу вдаваться в подробности, что это, зачем это. Если Вы не понимаете что это значит, просто активируйте стандартные правила файрволла.
Интернет-боты. Некоторые сканеры выдают себя за google ботов, которым разрешено сканирование сайта. Файрволл в большинстве случаев может это отследить.
Предотвратить хотлинки. Очень полезная опция. Иногда в статье делается ссылка на изображение, которое лежит на Вашем сайте. Пользователь кликает по картинке, а фактически трафик идет с Вашего блога, а не с того, где был клик по картинке. Нужно избавить себя от такой лишней нагрузки.
Детектирование 404. Когда начинается анализ сайта и подбор параметров, часто злоумышленник попадает на страницу 404. Это связано с тем, что подбираются некие параметры уязвимости в скриптах. И как правило, это целая последовательность попаданий на несуществующую страницу, можно даже сказать шквал. Такое поведение отслеживается и блокируется.
Custom Rules. Можно вручную прописать правило.

Защита от брутфорс-атак

Переименовать страницу логина. Некоторые хостинг-провайдеры сами переименовывают страницу входа в админ-панель. Это очень важный пункт. Рекомендую переименовать:

Адрес (URL) страницы логина: http://Ваш_сайт.ru/secretpage

Теперь, чтобы попасть в админку вместо:
http://Ваш_сайт.ru/wp-admin

Используйте
http://Ваш_сайт.ru/secretpage

Защита от брутфорс-атак с помощью куки. Плагин использует куки для отслеживания большого количества ошибочных авторизаций. Можно заблокировать такие попытки.
CAPTCHA на логин. Можно использовать каптчу на различных страницах. Я не пользуюсь данной опцией плагина, использую отдельный плагин каптчи. Мне не очень понравилась каптча плагина – слишком примитивная.
Белый список для логина. Если у Вас статический IP-адрес (имеется ввиду адрес компьютера, с которого Вы заходите в админку), то можете прописать свой IP в белый список и к нему не будут применяться никакие санкции плагина.
Бочка с медом (Honeypot). Некий скрытый объект (поле), на которое отреагирует только бот, от человека это поле скрыто.

Защита от SPAM

Спам в комментариях. Можно использовать каптчу в комментариях. А так же есть интересная и полезная функция блокирования спам-ботов. Спам-боты — это обычно скрипты, которые выполняются где-то не на Вашем сайте. А пользователь заполняет форму комментария на Вашем сайте. Это очень легко отследить и отсечь.
Отслеживание IP-адресов по спаму в комментариях. Плагин может самостоятельно принимать решение, что комментарий – спам и блокировать IP-адрес. Сложно сказать, на сколько это правильно. Если небольшое количество комментариев, то можно и вручную отсеять.
BuddyPress. Интеграция с плагином BuddyPress.

Сканнер

Отслеживание изменений в файлах. Классная функция. Мне она очень нравится. Любое изменение любого файла при сканировании будет обнаружено и отправлено на почту в виде отчета. Просмотрев изменения можно понять, что произошло.

Режим обслуживания

Блокирование доступа посетителей к сайту. Можно прекратить доступ к сайту, и вывести какой-нибудь текст. Например, при технических работах.

Разное

Защита от копирования. Интересная функция. Если хотите, можете заблокировать правую кнопку мыши на сайте.
Фреймы. При попытке отобразить сайт, как часть другого сайта в фрейме – плагин заблокирует такое действие. Обратите внимание, что данная настройка влияет на работу вебвизора Яндекс.Метрики.
Users Enumeration. Можно узнать пользователя через запрос вида:
http://Ваш_домен.ru?author=1
Данная опция ограничивает такие запросы.

Немного юмора
Жена звонит мужу на работу, чтобы поболтать.
Муж: - Извини, дорогая, но у меня сегодня дел по горло.
Жена: - Но, милый, у меня есть для тебя новости: хорошая и плохая.
Муж: - Ладно, у меня нет времени сейчас, скажи мне только хорошую новость.
Жена: - Нуу… в общем… подушка безопасности работает.

Удачного освоения материала.

Раскрученный сайт в сети, масса поклонников ресурса, положительные отзывы от аудитории – все эти факторы становятся основой успешного бизнеса в интернете, приносящего отличный доход.


Создатель сайта радуется своим достижением, но в самый неподходящий момент возникают определенные проблемы, которые, как правило, основывают недоброжелатели. Чтобы защитить свой сайт от взлома, потребуется найти хорошую программу, обеспечивающую достойную защиту ресурса даже от самых серьезных хакерских атак.

Существует три важных направления, гарантирующих безопасность созданного ресурса:

1. Защита от спама.
2. Защита от вирусов ().
3. Защита от взломов.

О первых двух направлениях мы поговорим в следующий раз, а сегодня рассмотрим вопрос –

В интернете достаточно много программ, обеспечивающих защиту сайтам. Почему мы рекомендуем All In One WP Security? Этот выбор обоснован особыми преимуществами:

• плагин устанавливается бесплатно;
• легкая система настроек, позволяющая каждому новичку быстро установить необходимые параметры, гарантирующие достойную защиту;
• наличие русскоязычной версии, что особо актуально для жителей РФ и других стран СНГ.

All In One WP Security

– самый важные критерии, обеспечивающие эффективную работу в сети с получением регулярного дохода.

– отличный плагин для этой цели, а чтобы активировать его защитную функцию, рекомендуем выполнить следующие действия:

1. Перед проведением настроек, желательно произвести резервную копию некоторых файлов (htaccess, wp-config и базы данных). Сделать это можно в самом плагине: выбираем в админке папку «настройки» и выполняем сохранение.
2. Далее, переходим в панель управления. Здесь функционирует довольно удобный измеритель, по которому можно легко определить уровень защиты сайта. Если параметры будут низкими, пользователь может предпринять некоторые действия для повышения этих показателей. Но мы не рекомендуем стремиться к достижению максимального уровня, так как в такой ситуации есть некоторые риски, не совсем приятные для создателя ресурса (сайт может упасть в рейтинге или же программа начнет функционировать с определенными сбоями).
3. Для активации необходимого функционала, обеспечивающего защиту от взлома, переходим в блок текущего статуса.

Общие настройки плагина для защиты WordPress

В общих настройках пользователь может отключать фейерволл, блокировать функции безопасности, что особо актуально, если в системе что-то перестало функционировать в нужном режиме. Здесь также можно создавать резервные копии.

Чтобы скрыть WordPress, необходимо выбрать «Удаление метаданных WP Generator » и отметить данный пункт. А для экспортирования личных настроек переходим во вкладку «Импорт/экспорт», где с помощью всего двух кликов вам удастся установить все необходимые галочки.

Защита от взлома будет достаточно качественной, если вы не поленитесь изменить имя админа. Стандартный профиль с простым паролем легко взламывается хакерами, поэтому грамотно продумайте секретный код и отображаемый ник. Очень хорошо, если он не будет совпадать с именами других пользователей. В любом случае, изменить данную информацию можно всегда.

Отдельное внимание следует уделить вкладке «пароль». В данном плагине функционирует очень интересная функция, позволяющая пользователю проследить оперативность автоматического подбора пароля. То есть, вы придумываете секретный код, вводите его в строку и смотрите, сколько времени уйдет для рассекречивания задуманных символов. Этот поиск выполняется автоматически. Если программа быстро определит ваш пароль, значит, риски взлома достаточно высоки.

Как создать качественный пароль?

• В секретном коде обязательно используйте строчные и заглавные буквы, можно даже в хаотичном порядке;
• пароль должен состоять из букв и цифр;
• для надежности, также можно добавить в задуманный код некоторые символы;
• также не рекомендуется создавать пароль с малым количеством символов (желательно от 10 и более).

Теперь проверяем уровень безопасности нового пароля. Очень хорошо, если автоматическая программа определила возможность взлома за десятки лет! Такая защита точно будет надежной и максимально эффективной!

Авторизация

Переходим к следующему этапу настроек – «Авторизация». Выбираем «Блокировку» и подключаем эту функцию на определенный промежуток времени. Как это работает? Например, вы три раза ввели неправильный пароль, после чего произойдет автоматическая блокировка доступа на заданный период.

Во вкладке «Ошибочные попытки авторизации» можно просмотреть легко подбираемые логины. Также здесь можно наблюдать за количеством попыток взлома с точной датой и временем.
Мы рекомендуем поставить установку «автоматического разлогинивония пользователей» на определенное время (например, 600 минут) и активировать «ручное одобрение новых регистраций».

Дополнительная защита сайта от взлома:

Следующий этап настроек защитного плагина All In One WP Security предусматривает следующие установки:

1. Защита от брутфорс-атак. Для ее активации необходимо переименовать адрес страницы для логина (сменить на свой). Также можно подключить функцию защиты с помощью куки, но помните, при ее активации вы не сможете использовать другие устройства для входа на сайт. Именно поэтому мы не рекомендуем производить настройку данного режима.
2. Мы также не советуем подключать «CAPTCHA».
3. А вот «белый список для логина» многим может пригодиться, но только при условии, если вы совершаете вход с одного ip;
4. Последний шаг – активация медового боченка (ставим галочку).

Эти настройки позволят подключить качественную защиту WordPress от брутфорс-атак.