All in one wp security отзывы. Плагин iThemes Security (Better WP Security) — самый эффективный способ защиты WordPress

WordPress - пожалуй, самая популярная и вместе с тем одна из самых часто взламываемых платформ. Почему-то существует мнение, что если ваш сайт особо никому не интересен, то и взламывать его не будут - зачем? На самом деле угроза взлома есть буквально у каждого сайта (и не только на WordPress), поэтому важно заботиться о защите своей странички. Что можно предпринять - а точнее, какие плагины установить - об этом я и расскажу в этой статье.

Эти советы будут полезны не только в работе с WordPress, но и с любой другой CMS. Они базовые, но, как показывает практика, все равно есть люди, которые о них не знают. Зачем это все делать? Чтобы усложнить жизнь злоумышленнику. Используя данные, которые устанавливаются по умолчанию, хакер может относительно легко взломать ваш сайт, а также вашу базу данных. Поэтому нужно сделать следующее.

1. Измените имя пользователя с admin на другое.

Чтобы это сделать, вам нужно сначала создать нового пользователя в качестве администратора. Сделать это можно вот тут:

После создания пользователя зайдите под его аккаунтом и в списке «Все пользователи» удалите аккаунт “admin”. При этом новый логин постарайтесь сделать каким-нибудь относительно сложным, ну хотя бы состоящим из нескольких слов: vasyapupkin99. Можете свой никнейм использовать, например.

Про пароль писать не буду - лучше воспользоваться тем, который сгенерирует вам Wordpress на стадии создания аккаунта, а не придумывать какой-то свой (который, скорее всего, будет легче).

2. Изменить префикс базы данных с wp на другой.

Существует два пути сделать это: либо самостоятельно правя таблицы в phpMyAdmin (или даже просто в файловом менеджере), либо через плагин. Кратко расскажу об обоих вариантах.

Изменение через phpMyAdmin

Сразу скажу, что это действие требует внимания к деталям и некоторого опыта работы в phpMyAdmin.

Первым делом создайте бэкап базы данных - он поможет вам восстановить информацию, если что-то пошло не так (или вы где-то что-то не то отредактировали).

Теперь зайдите в файловый менеджер и найдите файл wp-config.php, в нем строку $ table_prefix = "wp_";

“wp” надо изменить на что-то другое, менее связанное с WordPress и базами данных. Можно менять даже на произвольный набор букв и цифр (но вам его нужно запомнить или записать).

Внимание. Лучше всего производить это изменение на только что установленном WordPress. На уже запущенных сайтах информации больше - больше данных придется менять.

После этого зайдите в phpMyAdmin (на хостинге Timeweb это можно сделать прямо через панель управления) и найдите базу данных для нужного сайта. Все таблицы этой базы данных нужно переименовать, вместо “wp_” подставляя то, что вы уже написали выше.

Как переименовать: выбираете таблицу в левом столбце, нажимаете вкладку «Операции», далее смотрите блок «Параметры таблицы» и строку «Переименовать таблицу в». После внесения изменений не забудьте нажать «Вперед».

После этого ищите в списке таблицу “…_options”. Выбрав ее, нажмите «Обзор» - в содержимом примерно на второй странице в столбце “meta_key” вы увидите wp_user_roles - измените префикс “wp” на тот, который вы сейчас собираетесь использовать. Сохраните изменение.

Следующая таблица для изменения - “…_usermeta” - аналогичным образом посмотрите ее содержимое и измените все старые префиксы на новые.

Если после редактирования у вас что-то стало работать не так или вообще перестало работать, проверяйте, все ли изменения вы внесли. В крайнем случае используйте бэкап.

Изменение через плагин

Этот плагин не нуждается в представлении, поэтому сразу перейду к тому, что необходимо сделать.

После того, как вы установили и активировали плагин, зайдите в раздел «Защита Базы данных». Там вы увидите строку «Сгенерировать новый префикс таблиц БД» - напишите тот префикс, который хотите поставить (или поставьте галочку около «Отметьте, чтобы плагин сам сгенерировал префикс длиной в 6 случайных символов»), и нажмите «Изменить префикс таблиц». После этого ниже вы увидите отчет от ходе изменения префикса. Чтобы убедиться в том, что ожидаемый результат достигнут, зайдите в phpMyAdmin.

Еще раз напомню, что делать это нужно на новом сайте без статей, так как если на сайте уже есть много информации, плагин может сработать некорректно.

All In One WP Security & Firewall

Раз уж мы уже перешли к использованию этого плагина, то расскажу о других вещах, благодаря которым можно повысить защиту вашего сайта.

В разделе «Настройки» плагина перейдите во вкладку “WP version info” и поставьте галочку рядом с «Удаление мета-данных WP Generator». Так как хакеры зачастую основываются на информации, которую содержат мета-данные, то будет нелишним убрать эту информацию из кода страницы.

Кстати, если вы все еще не поменяли имя администратора (следуя совету выше), то сделать это можно и через этот плагин - во вкладке «Администраторы». Просто напишите новое имя пользователя и еще раз авторизуйтесь в панели (пароль остается прежним).

Здесь же вы можете видеть вкладку «CAPTCHA при регистрации» - тоже активируйте этот пункт.

Теперь переходим в раздел «Файрволл» - здесь ставим галочку в блоках «Основные функции брандмауэра». Остальное можете включить/оставить выключенным по своему желанию.

Раздел «Защита от брутфорс-атак»: вам нужно включить опцию переименования страницы логина и написать желаемый адрес в графе ниже. Тут важно понять - этот адрес будет использоваться для входа в админку, жизненно важно его запомнить !

С этим плагином мы закончили, переходим к следующему.

AntiVirus

Этот плагин сканирует файлы сайта на предмет вредоносного кода. Пользоваться им достаточно просто - после установки зайдите в его настройки и нажмите “Scan the theme templates now”, после этого все файлы вашей темы будут проверены.

Тут же вы можете настроить и ежедневную проверку с отчетом на email.

Во время проверки плагин подсвечивает код, который показался ему подозрительным. При этом все замечания вам лучше проверять внимательно - не всегда речь идет именно о вирусе. Если вы не обладаете навыками в программировании, то можете просто сравнить найденную строчку кода со строчкой в коде этой же темы сайта на вашем компьютере или у разработчика. Если запись присутствует изначально, то опасаться ее не нужно.

Как и другие активные плагины, AntiVirus нагружает сервер (а значит, ваш сайт работает медленнее), поэтому лучше пользоваться им время от времени, чем постоянно держать в активном состоянии.

Wordfence Security

Этот плагин по функционалу схож с предыдущим, ими можно пользоваться параллельно, хуже не будет. Точно так же установите, активируйте, перейдите во вкладку “Scan” и нажмите на большую синюю кнопку “Start a Wordfence Scan”. Кое-какие возможности доступны только для оплаченных (премиум) аккаунтов, но базовый функционал тоже неплох. Если с вашим сайтом все хорошо, то вы увидите зеленую надпись “Congratulations! No security problems were detected by Wordfence”.

Расскажу еще о других плагинах, которые тоже можно использовать для защиты сайта.

Sucuri Security

Вообще Sucuri - это компания, которая специализируется на защите веб-сайтов, поэтому они предоставляют защиту для любого сайта (не только на WordPress). Плагин от этой серьезной компании с внушительной репутацией обладает широким функционалом, представляющим полный цикл защиты сайта, включая предупреждение взлома и атаки на ваш сайт. Можно пользоваться бесплатной версией, а можно купить платную за 16,66$ в месяц - сумма немаленькая, но за такой диапазон защитных инструментов вполне обоснованная.

Для того, чтобы пользоваться бесплатной версией, после установки вам будет необходимо сгенерировать бесплатный ключ (в синем блоке сверху нужно будет нажать кнопку “Generate API Key”, проверить, что введенные данные корректны, и отослать заявку.

iThemes Security

Если Sucuri Security можно назвать лучшим платным плагином защиты, то iThemes Security часто называют лучшим бесплатным плагином, который стоит установить для безопасности вашего сайта. Тем более что сейчас у него более 800 тысяч установок!

Про функционал много писать не буду - как и все другие плагины, iThemes Security направлен на защиту вашего сайта от большинства вещей, которые могут ему угрожать, и в то же время на проверку существующего состояния сайта. Кстати, раньше плагин назывался Better WP Security - возможно, кто-то помнит его по этому названию.

Если в целом говорить об его функциях, то можно выделить следующие стороны этого плагина:

скрытие и удаление потенциально уязвимых элементов (об этом было написано в начале статьи - смена логина администратора, префикса базы данных и так далее);
защита сайта от атак (сканирование на наличие уязвимостей, защита от брутфорса, шифрование админки и так далее);
мониторинг сайта (на наличие внезапных изменений, блокировок и так далее);
восстановление (резервное копирование на случай непредвиденной ситуации).

Теперь перейдем к самому использованию этого плагина.

Настройка iThemes Security

Начну с того, что у него есть и PRO (то есть более расширенная) платная версия, поэтому в бесплатной версии доступны не все возможности этого плагина (но их все равно много).

После установки активируйте плагин и переходите в раздел «Настройки». В синем блоке сверху вы сможете включить защиту от взлома методом полного перебора (Network Brute Force Protection) - для этого нужно запросить API ключ, который автоматически будет добавлен в настройки (но также отправлен вам на почту).

Нажмите “Security Check ” (самый верхний левый блок или в меню под «Настройки») и нажмите “Secure site”. После этого вы увидите список включенных модулей.

Следующий блок - «Основные настройки » (справа от “Security Check”). Так как плагин почти полностью переведен, каждый пункт имеет свою расшифровку - советую пробежаться по ним всем и посмотреть, что из этого наиболее актуально для вас (даже если не будете пользоваться, будете хотя бы знать, где что находится).

В режиме «Нет на мест е» вы можете установить время, когда административная панель будет недоступна. На постоянной основе этим можно не пользоваться, но вы можете использовать это для подстраховки, когда находитесь далеко от компьютера. При этом настроить можно как на постоянной основе (например, каждую ночь), так и один раз в определенный день и период времени.

Блок «Заблокированные пользователи » - тут все понятно, помещайте сюда всех, кого нужно заблокировать.

“Local Brute Force Protection ” - это блок защищает от взлома путем перебора паролей. У вас он уже включен, настройки можно оставить по умолчанию.

«Резервные копии базы данных » - настройка резервного копирования, в бесплатной версии речь идет только про базы данных.

«Обнаружение изменений файлов » - крайне полезная функция, которая будет следить за всеми изменениями в файлах сайта; можно быстрее отследить внезапно появившуюся на сайте активность. Обязательно включите.

“File Permissions ” - блок показывает права доступа к файлам.

“Network Brute Force Protection ” - сетевая защита от брутфорса заключается в том, что если хакер пытался взломать чей-то другой сайт, доступ к вашему сайту у него будет также заблокирован, даже если он еще не начал атаку на ваш сайт.

“SSL ” - вы можете настроить использование SSL в этом плагине, то если у вас сайт на хостинге Timeweb, я советую использовать настройки в панели управления сайтом.

“Strong Password Enforcement ” - если ваш сайт предполагает регистрацию других пользователей (форум, блог…), тогда это настройка будет полезной, пользователям придется выбирать только сложные пароли для своих аккаунтов. В остальных случаях ее можно не использовать.

«Тонкая подстройка системы » и «Подстройка WordPress » - эти дополнительные настройки нужны для того, чтобы еще больше усилить защиту вашего сайта. Но есть один нюанс - включение некоторых настроек может повлиять на работу плагинов. Поэтому не стоит выбирать все сразу - включайте по одному пункту и проверяйте работоспособность вашего сайта.

Наконец, «WordPress Соли » - настройка позволяет добавить к паролю секретный ключ, подобрать который будет намного сложнее, чем пароль отдельно. Обычно это случайный набор символов, который добавляется при хэшировании. Периодически пользуйтесь этой настройкой («Изменить WordPress Соли») для того, чтобы сменить соль.

О разделах все. В платной версии их больше, но и этих вполне хватает для того, чтобы защитить сайт от многих популярных видов взлома.

Заключение

Плагины - это существенный элемент безопасности вашего сайта, но хочу напомнить, что он не единственный. Не забывайте следить за обновлениями WordPress и плагинов, регулярно меняйте пароли и делайте бэкапы.

Каждый день огромное количество сайтов подвергаются успешным хакерским атакам. не являются исключением и могут стать легкой мишенью для атаки из-за уязвимости тем и плагинов, слабых паролей и устаревшего программного обеспечения. Поэтому в сегодняшней статье мы решили уделить внимание такой теме, как защита WordPress.

Стоимость Bulletproof Security Pro: $59,95 (разовая оплата).
Официальный сайт — http://affiliates.ait-pro.com/

All in One Security and Firewall

Известный плагин для защиты от взлома WordPress. Он включает дополнительные брандмауэры для сайта, предоставляет различные методы защиты и дает по ним отчет.

Настройки файервола этого плагина разделены на три уровня «basic», «intermediate» и «advanced», что позволяет применять правила файервола постепенно, не нарушая работу сайта.

Функций у этого плагина (впрочем, как и у остальных в этой подборке) огромное количество — потянет на отдельную статью. Приведу здесь основные:

1. Защита аккаунтов:

определяет аккаунт «admin» и предлагает поменять его на другой на ваше усмотрение;
определяет и сообщает об аккаунтах, в которых логин и имя пользователя совпадают — такие аккаунты взломать легче;
генерирует сильные пароли.

2. Защита входа в систему и регистраций на сайте:

опция Login Lockdown — блокирует пользователей за определенное количество неверных попыток входа в систему;
делает принудительный выход из системы для всех пользователей через установленное время;
отслеживает активность в аккаунтах всех пользователей путем логирования информации;
дает отчет о полном списке пользователей, которые выполнили вход в систему на данный момент;
добавляет captcha в форму логина и форму регистрации;
позволяет вручную подтверждать каждую новую регистрацию на сайте.

3. Защита базы данных:

изменяет WP-префикс базы данных на любой другой;
настраивает автоматическое резервное копирование.

4. Защита файловой системы:

определяет папки и файлы с небезопасными правами доступа и меняет их на безопасные значения;
запрещает редактировать файлы с PHP-кодом из администраторской панели управления;
запрещает доступ к readme.html, license.txt и wp-config-sample.php файлам.

5. Функция файервола позволяет использовать защиту с помощью.htaccess файла. Этот файл обрабатывается вашим веб-сервером еще до обработки любого кода сайта, поэтому правила файервола останавливают вредоносные скрипты еще до того, как у них появится возможность достичь WP-кода.

6. Предотвращение брутфорс-атак.

7. Сканирование безопасности:

отслеживание файловых изменений и уведомления об этом;
сканирование таблиц базы данных на подозрительные строки, javascript и html код в базовых таблицах WordPress.

8. Защита от спам-комментариев:

отслеживание наиболее активных IP, которые постоянно делают спам-комментарии и их блокировка;
добавление captcha в форму комментариев WordPress.

9. Защита контента от копирования.

Стоимость: бесплатно.

Wordfence

Этот плагин безопасности WordPress сразу же после установки запустит автоматическое сканирование, чтобы проверить, не заражен ли уже ваш сайт. Поддерживает WordPress-мультисайты. Основные функции:

1. Файервол:

защищает от взлома, распознавая вредоносный трафик и блокируя подозрительные попытки вторжения в систему;
блокирует общие распространенные угрозы безопасности, например, Google-боты, вредоносное сканирование хакерами и ботнеты.

2. Блокировка:

блокирует целые вредоносные сети. Включает проверку IP и домена при помощи сервиса WHOIS и блокирует вредоносные IP с помощью файервола;
блокирует такие угрозы, как агрессивные поисковые роботы, скреперы и боты;
блокирует и контролирует пользователей, которые нарушают правила безопасности на вашем сайте.

3. Безопасность входа на сайт:

вход в аккаунт с помощью двухфакторной аутентификации;
позволяет использовать только сложные пароли администраторам и пользователям;
предотвращает брутфорс-атаки.

4. Сканирование безопасности:

проверяет сайт на уязвимости типа Heartbleed;
проверяет базовые файлы, темы и плагины по репозиторию версий WordPress.org на целостность и безопасность;
позволяет просмотреть изменения в файлах и исправить их, если есть угроза безопасности;
проверяет на наличие «черных ходов», которые создают дыры в безопасности (C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx и многие другие);
сканирует на наличие вредоносных программ и фишинговых URL по Google Safe Browsing List во всех ваших комментариях, постах и файлах;
сканирует на наличие троянских программ, подозрительного кода и прочих угроз.

5. Мониторинг:

просматривает весь ваш трафик в режиме реального времени и создает отчет о потенциальных угрозах;
отслеживает безопасность неавторизированных изменений;
отслеживает дисковое пространство. Много DDoS-атак нацелены на потребление всего дискового пространства, чтобы спровоцировать отказ в работе сервиса.

Стоимость: бесплатно , но есть Премиум версия, которая включает: vip-поддержку, установку графика сканирования, аудит паролей, а также проверку IP-адреса сайта по Spamvertized.

Цена Премиум подписки – $8,25 в месяц. При оплате на год и более предоставляется скидка.

Sucuri Security

Sucuri Inc – это известная организация, которая занимается вопросами веб-безопасности, со специализацией в WordPress-безопасности.

Плагин Sucuri Security включает следующие возможности:

1. Аудит безопасности.
Отслеживает все события, связанные с безопасностью сайта. Любое изменение, которое может быть квалифицировано как угроза безопасности, плагин записывает. Регистрация действий происходит в SucuriCloud-сервисе для большей сохранности. Это гарантирует, что никто не сможет стереть данные отчетов. Если злоумышленнику удалось обойти систему безопасности вашего сайта, то вся информация о действиях будет сохранена в Sucuri Security Operations Center (SOC).

Эта функция особенно нужна для администраторов сайта и экспертов по безопасности, которым нужно понять, что и когда происходит с сайтом. Можно настроить уведомления о безопасности сайта на email.

2. Контроль целостности файлов.
Плагин проверяет соответствие оригинального (утвержденного) файла с текущим и если он отличается, то возможно безопасность под угрозой. Проверка осуществляется для всех базовых файлов, плагинов и тем.

3. Удаленное сканирование вредоносных программ.
Эта опция осуществляется при помощи инструмента Sucuri, который можно найти на бесплатном сканнере безопасности — SiteCheck.

4. Мониторинг «черного списка».
Плагин проверяет различные «черные списки», включая:

Sucuri Labs
Google Safe Browsing
Norton
Phish Tank
McAfee Site Advisor
Yandex
SpamHaus
Bitdefender

Это одни из самых больших списков, которые содержат сайты с проблемами в безопасности. Если ваш сайт был найден в таком списке, то Sucuri предлагает дополнительную опцию за отдельную плату – помощь в том, чтобы удалить ваш сайт из «черного списка» при помощи Website AntiVirus.

5. Эффективное усиление безопасности.
Плагин обеспечивает безопасность сайта с помощью: защиты.htacess, ограничений доступа к wp-includes папке, проверки ключей безопасности, верификации версии PHP, изменения префикса базы данных, удаления readme.html файла и прочего.

6. Действия по безопасности после взлома.
Если взлом сайта всё же произошел, плагин предложит:
обновить ключи безопасности;
обновить пароли всех пользователей;
обновить плагины.

7. Файервол (дополнительная функция за отдельную плату).
Это определенно лучшая функция, которую предлагает Sucuri. Файервол от:

DoS и DDoS-атак;
уязвимостей программного обеспечения;
брутфорс-атак.

Стоимость: бесплатно , есть платные пакеты от $199 в год.

А какую защиту для WordPress-сайта используете вы и чем именно она вам нравится?

Друзья, если вы веб-мастер и создаёте свои сайты на WordPress, вы наверняка сталкивались со спамом в комментариях и попытками взлома вашего сайта злоумышленниками. В это статье мы поговорим с вами о том, как защитить свой сайт на WordPress от спама с помощью плагина All in One WP Security & Firewall. Забегая немного вперед, хочу сказать, что данный плагин имеет большое количество настроек и является универсальным средством защиты вашего сайта на WordPress.

Установка плагина.
Настройка плагина
- Общие настройки
- Администраторы
- Аторизация
- Регистрация пользователя
- Защита базы данных
- Защита файловой системы

Итак, приступим к освоению плагина All in One WP Security & Firewall. Для того чтобы установить плагин, необходимо в панели администратора перейти на вкладку плагины и нажать на кнопку «добавить новый».

Обратите внимание, что на скриншоте кнопка не активна и написано «Активен». Это связанно с тем, что плагин уже установлен. У вас же кнопка будет активна и на ней будет написано «Установить». После того, как вы нажмете на кнопку, плагин начнет устанавливаться. После этого, на кнопке будет написано «активировать», жмем на нее, тем самым активируем плагин.

После установки и активации плагина, в левой части панели управления появится вкладка «WP Security». Щелкаем по ней и разбираемся:

Обратите внимание на цифру 340. Таким образом, плагин показывает, на сколько баллов защищен сайт из возможных 500.

Настройки плагина All in One WP Security & Firewall

Настройки

Переходим в настройки,

вкладка «общие настройки».

Здесь вы можете создать резервные копии:

Базы данных;
Файла.htacces;
Файла wp-config.php.

Вкладка.htacces файл. Файл «.htaccess» — это ключевой компонент обеспечения безопасности сайта, который позволяет в значительной степени варьировать механизмы его защиты. В этом разделе Вы можете создать резервную копию файла.htaccess и, при необходимости, восстановить его из резервной копии в будущем.
Вкладка wp-config.php файл. Файл wp-config.php — это один из наиболее важных файлов WordPress, содержащий данные доступа к Вашей базе данных и другие очень ценные настройки. В этом разделе Вы можете создать резервную копию этого файла и, при необходимости, восстановить его в будущем, используя эту резервную копию.
Вкладка WP Version Info. WP Generator автоматически выводит информацию о текущей весии WordPress в специальном мета-теге в секции «head» на всех страницах сайта. Вот пример такого вывода:
Эта информация существенно помогает хакерам и их роботам-паукам определять, не используете ли Вы какую-нибудь устаревшую версию WordPress с уже известными уязвимостями.
Вкладка Импорт/Экспорт. Данная секция позволяет Вам экспортировать или импортироать все настройки All In One WP Security & Firewall. Это может быть удобно, если Вы хотите использовать одинаковые настройки на нескольких сайтах. Внимание: До того, как импортировать, Вы должны понимать, какие настройки Вы пытаетесь импортировать. При слепом импорте настроек, есть риск, что Вы потеряете доступ к Вашему собственному сайту. Например, если какая-нибудь настройка зависит от URL домена, тогда она может не работать правильно при использовании сайта с другим доменом.
Вкладка Advanced Settings. Параметры IP Retrieval позволяют указать, какую глобальную переменную $ _SERVER вы хотите использовать для получения IP-адреса посетителя.По умолчанию этот плагин использует переменную $ _SERVER [‘REMOTE_ADDR’] для получения IP-адреса посетителя. Обычно это самый надежный способ получить IP-адрес. Однако в некоторых настройках, таких как те, которые используют прокси-серверы, балансировщики нагрузки и CloudFlare, может потребоваться использовать другую переменную $ _SERVER. Вы можете использовать приведенные ниже настройки, чтобы настроить, какой глобальный $ _SERVER вы хотите использовать для получения IP-адреса.

Администраторы

Вкладка «Пользовательское им WP». При установке WordPress автоматически присваивает администратору имя пользователя «admin» (если Вы вручную не измените его). Многие хакеры пытаются воспользоваться этой информацией, применяя для нападения «Брутфорс-атаку», когда они систематично подбирают пароль, используя слово «admin» в качестве имени пользователя. По соображениям безопасности, одна из первых и наиболее разумных вещей, которую Вы должны сделать на своем сайте, это изменить имя пользователя «admin», установленное по умолчанию. Этот раздел предназначен для изменения имени пользователя «admin» на более безопасное, по Вашему выбору.
«Отображаемое имя». Когда Вы публикуете пост или отвечаете на комментарий, WordPress обычно отображает Ваш «никнейм». По умолчанию отображаемое имя пользователя идентично логину аккаунта. Из соображений безопасности, этого допускать нельзя, так как это уже на половину облегчает хакеру работу — фактически, Вы сами сообщаете ему логин своего аккаунта. Поэтому, чтобы усилить безопасность сайта, мы рекомендуем Вам изменить свой никнейм и отображаемое имя, чтобы они отличались от Вашего имени пользователя.
«Пароль». Плохой пароль — это наиболее распространенная уязвимость на большинстве сайтов, и, как правило, первое, что будет делать хакер, чтобы проникнуть на сайт — попытается подобрать пароль. Многие люди сами себе ставят ловушку, используя в качестве пароля простое слово или ряд цифр. На подбор такого предсказуемого пароля у опытного хакера уйдет всего несколько минут, так как для этого используются специальные программы с большими базами наиболее распространенных сочетаний букв, слов и цифр. Чем длиннее и сложнее пароль, тем тяжелее будет хакеру его подобрать, потому что это требует гораздо больше вычислительных мощностей и времени. Здесь Вы можете проверить свой пароль на надежность.

Авторизация

Первая вкладка «Блокировка авторизаций». Здесь можно настроить процесс авторизации на вашем сайте.

Отмечаем галочку, если хотим активировать блокировку попыток авторизации.
Далее ставим галочку, если хотим позволить пользователям самостоятельно разблокировать свой аккаунт.
Указываем максимальное количество попыток входа.
Указываем ограничение времени попыток авторизации в минутах.
Устанавливаем период блокирование в минутах.
Ставим галочку, если хотим выводить сообщение об ошибках авторизации (необязательно).
Не рекомендую ставить галочку в пункте «Сразу заблокировать неверные пользовательские имена», так как можно самим ошибиться при вводе имени пользователя.

Далее в поле ввода можно указать имена пользователей, которые не будут блокироваться при неудачных авторизациях
Ниже ставим галочку, если хотим получать уведомления неудачных попытках авторизации и указываем почтовый ящик.

Если вы хотите пользоваться белым списком избранных IP-адресов, то ставим галочку и вводим в поле ниже IP-адреса.

Далее переходим во вкладку «Ошибочные попытки авторизации». Здесь будут отображаться записи о безуспешных попытках авторизации.
Вкладка «Автоматическое разлогинивание пользователей». Здесь ставим галочки, если хотим, чтобы выход пользователя происходил автоматически. Ниже указываем время в минутах каждой сессии.
Вкладка «Журнал активности аккаунта». Здесь отображается информация по активности аккаунтов на вашем сайте.
«Активные сессии» — отображает активные сессии.

Регистрация пользователя

Вкладка «Подтверждение вручную». Если хотим самостоятельно подтверждать регистрацию пользователей на сайте, ставим галочку.
«CAPTCHA при регистрации». Ставим галочку если хотим выводить капчу при регистрации пользователей.
Регистрация «Honeypot». Honeypot с английского – горшочек меда. Представьте себе, медведя, который забрался кому-то в гости. Если он увидит горшочек меда, то обязательно возьмет его, он же медведь! Теперь представьте себе робота, который регистрируется на вашем сайте. Honeypot это некое скрытое поле, которое видит только робот и при регистрации он обязательно заполнит это скрытое поле. Как только плагин обнаружит, что это поле заполнено, то сразу поймет, что это робот и заблокирует регистрацию.

Защита базы данных

«Префикс таблиц БД». По умолчанию префикс таблиц WordPress – “wp_”. Атакам хакеров часто подвергаются базы данных сайта. Для того, чтобы усилить защиту, необходимо поменять префикс таблиц. Это можно сделать автоматически или вручную. Ставим галочку и жмем «Изменить префикс таблиц», чтобы изменить префикс автоматически. Если хотим сделать это вручную, в поле записываем префикс и жмем «Изменить прификс таблиц».
«Резервное копирование БД». Здесь мы настраиваем резервирование базы данных: частоту создания бэкапов и количество хранящихся бэкапов.

Защита файловой системы

«Доступ к файлам». Нажимаем кнопку «Применить рекомендуемые параметры где это необходимо».
«Редактирование файлов PHP». Если хоти запретить редактировать файлы в админ панели, ставим галочку. ВНИМАНИЕ! Установив эту галочку пункт «Редактор» в пункте «Внешний вид» отображаться не будет. Чтобы редактировать файлы например, header.php или style.css, необходимо, зайти на хостинг и редактировать файлы в файловом менеджере.
Доступ к файлам WP. Если хотим запретить доступ к файлам readme.html, license.txt и wp-config-sample.php, ставим галочку.
Системные журналы. Ваш сервер периодически может публиковать отчеты об ошибках в специальных файлах, которые называются «error_log». В зависимости от характера и причин ошибки, Ваш сервер может создать несколько файлов журналов в различных каталогах Вашей установки WordPress. Просматривая время от времени эти журналы, Вы будете в курсе любых основных проблем на Вашем сайте и сможете воспользоваться этой информацией для их решения.

Whois-поиск

Эта функция позволяет получить детальную информацию об IP-адресе или домене. Чтобы получить информацию, введите доменное имя и нажмите «Выполнить поиск по IP или домену».

Черный список

Функция «Черный список» позволяет блокировать определенные IP-адреса, диапазоны и юзер-агенты, отказывая в доступе к сайту тем пользователям и ботам, которые использовали эти IP-адреса для спама или по другим причинам. Данная функция реализуется добавлением в файл.htaccess определенных правил. Блокируя пользователей с помощью директив файла.htaccess, Вы получаете первую линию обороны, которая отбросит нежелательных посетителей сразу же, как только они попытаются создать запрос к Вашему серверу.

Файерволл

Базовые правила файрвола. Опции в этой вкладке позволяют применить некоторые базовые правила защиты для Вашего сайта. Данная функциональность брандмауэра достигается методом добавления в Ваш файл.htaccess некоторых специальных директив.
Активация этих опций не должна иметь никакого влияния на общую функциональность Вашего сайта, но при желании Вы можете создать backupВашего.htaccess файла, перед тем, как включите эти настройки.
- «Активировать основные функции брандмауэра». Ставим галочку, если хотим активировать файерволл.
- «Completely Block Access To XMLRPC». Выберите этот пункт, если вы не используете функциональные возможности WP XML-RPC и хотите полностью заблокировать внешний доступ к XMLRPC.
- «Disable Pingback Functionality From XMLRPC». Если вы используете Jetpack или WP iOS или другие приложения, которым требуется WP XML-RPC, тогда выберите этот пункт. Это позволит защитить от уязвимостей WordPress pingback. НУЖНО ВЫБРАТЬ ЧТО-ТО ОДНО.
- «Block Access to debug.log File». Установите галочку, если вы хотите заблокировать доступ к файлу debug.log, который создает WordPress при включенном ведении журнала отладки.
Дополнительные правила файерволла. В этой вкладке Вы можете активировать дополнительные настройки файрволл для защиты Вашего сайта.
- Отключить возможность просмотра директорий. Отметив этот пункт, мы запретим просмотр директорий сайта.
- Отключить http-трассировку. Ставим галочку, если хотим запретить http-трассировку.

Всем привет! Сегодня поговорим про безопасность WordPress. Недавно я опубликовал статью, в которой рассказал про . Сегодня от слов к действию. . А в данной статье я расскажу про плагин All In One WP Security & Firewall. Этот плагин обеспечивает большинство пунктов безопасности сайта. Что сводит практически всю настройку безопасности блога к настройке одного плагина. А еще он практически весь русифицирован, что немаловажно для многих пользователей.

Первое что нужно сделать – создать полную резервную копию сайта. Данный плагин достаточно большой и серьезный. Установите плагин обычным способом. Зайдите в админ-панель блога, перейдите в плагины, кликните по кнопке «Добавить новый». В строке поиска введите «WP Security». Установите нужный плагин. Затем активируйте его (Рис 1).

Рис. 1. Установка плагина All In One WP Security & Firewall.

Панель управления

После установки плагин появляется в меню админки под названием «WP Security». Первое подменю — «Панель управления». Здесь собрана сводная информация по безопасности сайта (Рис 2).

Рис. 2. Панель управления плагина All In One WP Security & Firewall.

Давайте разберемся более детально. На данной странице есть несколько закладок.
Панель управления. Первая закладка, одноименная с подменю. Здесь приводится сводная статистика. Уровень безопасности сайта измеряется в баллах («Измеритель уровня безопасности»). За каждый правильно настроенный сегмент присваиваются баллы. Суммарно можно набрать 480 баллов. Это значит, что Вы сделали всё, что только можно. Это не всегда требуется. Например, в этом плагине есть возможность настроить резервное копирование базы данных. Если Вы настроили специальный плагин для резервного копирования, то здесь Вам дополнительно этого делать не нужно. Мой блог из примера с хорошим пользователем (логин не admin, отображаемое имя отличное от ника), и при установке движка я изменил префикс таблиц. Вот за это сразу имею 30 баллов из 480.
Следующий инструмент «Диаграмма безопасности Вашего сайта». Все набранные баллы представлены в виде диаграммы. Можно видеть какой процент от общего количества баллов составляет та или иная настройка.
Следующие два блока бесполезны: «Расскажите друзьям» и «Get to known the developers», что переводится как – получите больше информации о разработчиках.
«Последние 5 авторизаций». В этом окошке будет список пяти последних входов на блог с информацией о том, кто входил и когда.
«Активных сессий». Это окошко отображает, кто сейчас находится на сайте (в админке) с правами больше, чем обычный посетитель.
«Текущий статус самых важных функций». Окошко отображает функции, которые должны быть включены.
«Режим обслуживания». В данном окне есть выключатель, чтобы выключить сайт. Посетители будут видеть информационный текст вместо сайта. Эта функция нужна, если Вы проводите какие-нибудь технические работы на сайте.
«Заблокированные IP-адреса». Когда Вы настроите блокировку IP адресов, здесь будут отображаться заблокированные IP.
Информация о системе. Здесь представлена информация о сайте, о системе, на которой работает движок, а так же список активных плагинов.
Заблокированные IP-адреса. Детально расписаны заблокированные IP-адреса и информация о них.
Permanent Block List. Список временно заблокированных IP-адресов. Например, можно заблокировать IP на час за 3 неудачные попытки ввода пароля входа в админку, чтобы избежать подбора пароля.

Настройки

Рис. 3. Настройки плагина All In One WP Security & Firewall.

В этом подменю несколько закладок.
Общие настройки. В самом начале нам предложены несколько ссылочек, которые создают резервные копии базы данных и некоторых файлов. А дальше 2 кнопки отключения функций безопасности и фаервола. Этими кнопками удаляются все настройки плагина, сделанные на блоге, для повышения безопасности. По сути — это откат в исходное состояние, до настроек плагина на сайте.
.htaccess Файл. В этой закладке всё просто. Создание резервной копии файла.htaccess и восстановление.
wp-config.php Файл. Так же, как и в предыдущем пункте. Создание резервной копии файла и восстановление из нее.
WP Version Info. С этого момента начинается настоящая настройка безопасности блога. Если помните, в статье про безопасность WordPress я рассказывал, что движок выводит информацию о версии в мета-тег блога. Если поставите галочку «Удаление мета-данных WP Generator», то информация о версии движка не будет выводиться на страницах блога. И получите +5 баллов к безопасности.
Импорт/Экспорт. Настройки плагина можно сохранить отдельно и восстановить в случае необходимости или для переноса на другой блог.

Администраторы

Пользовательское имя WP. я рекомендовал не использовать стандартные логины. Плагин рекомендует то же. Если у Вас логин admin, создайте нового администратора, а admin удалите.
Отображаемое имя. В настройках учетной записи нужно настроить так, чтобы отображаемое имя не совпадало с логином.
Пароль. Интересный калькулятор. Можете ввести свой пароль и узнаете, сколько времени потребуется домашнему компьютеру для его подбора. Но учтите, что обычно используются серверы, а иногда группа серверов (кластеры), что значительно ускоряет процесс подбора пароля.

Авторизация

Блокировка авторизаций. А вот моя самая любимая закладка. Поставьте галочку «Включить опции блокировки попыток авторизации», чтобы блокировать неудачные попытки входа – подбор паролей. Все настройки интуитивно понятные. Настраивается, сколько неверных попыток за промежуток времени считается попыткой взлома. И санкции на это. Можете сразу заблокировать пользователя с неверным логином (я так и делаю). Обычно начинается именно с подбора логина. И укажите свою почту. При неудачных попытках входа будет приходить письмо. Также настраиваются белые списки для логина и IP, если Вы заходите с постоянного IP, можете настроить.

Вот на этом этапе рекомендую остановиться и понаблюдать несколько дней за ситуацией. Если Вам интересно, насколько Ваш блог интересен для взлома, и ведется ли подбор пароля к Вашему блогу, то не настраивайте остальные настройки некоторое время. Лично я был удивлен, когда к моему новому сайту был очень сильный интерес.

Ошибочные попытки авторизации. Закладка, на которой представлена информация об ошибочных авторизациях. Лог ошибок входа.
Автоматическое разлогинивание пользователей. Здесь можно настроить время, через которое будет разлогинивание. Немного неудобно, но зато если из Вашего браузера своруют куки (достаточно распространенный тип взлома), то с авторазлогиниванием куками не смогут воспользоваться, так как они будут устаревшими, а сессии входа по ним закрыты. Кто не понял, ничего страшного, просто поверьте, что так безопаснее.
Журнал активности аккаунта. Очень полезная закладка. Заглядывайте сюда время от времени. Кто, когда, откуда залогинивался на блог.
Активных сессий. А эта закладка отображает, авторизованных пользователей, которые сейчас на сайте.

Регистрация пользователей

Подтверждение вручную. Если на сайте есть возможность зарегистрироваться (Вы, кстати, можете об этом не знать), можно сделать ручное одобрение регистраций.
CAPTCHA при регистрации. Поставьте галочку для использования каптчи при регистрации.
Registration Honeypot. Некая закладка на странице регистрации, на которую отреагирует только бот. Человек оставит без внимания.

Защита Базы данных

Префикс таблиц БД. Если во время установки WordPress Вы не изменили префикс таблиц, то плагин поможет Вам это сделать. Только сделайте резервную копию перед преобразованием.
Резервное копирование БД. Плагин предлагает создавать резервные копии базы данных по расписанию. Считаю большим недостатком плагина то, что он может бэкапить только базу. Поэтому предпочитаю другими средствами создавать полные резервные копии. Но данный плагин исправно делает бэкапы базы данных и шлет их на почту.

Защита Файловой системы

Доступ к файлам. На данной закладке нужно настроить права доступа к файлам, чтобы из под скриптов нельзя было изменить важные файлы.
Редактирование файлов PHP. На Ваше усмотрение. Лично я отключаю возможность редактирования PHP из админ-панели. Предпочитаю .
Доступ к файлам WP. В данной закладке запрещается доступ к файлам readme.html, license.txt и wp-config-sample.php. Файлы readme.html, license.txt лучше вообще удалить.
Системные журналы. На этой закладке можно не заходя на хостинг, а прямо из админ-панели просматривать системные журналы. Нужно только уточнить у хостера, где они лежат и как называются.

WHOIS-поиск

Смысл такой. У плагина есть база геолокации. При анализе угроз сайту, у нас есть информация с какого IP-адреса происходило действие (атака). На данной закладке можно посмотреть подробную информацию о IP.

Черный список

Забанить пользователей. Будьте осторожны с данной опцией. Очень много пользователей выходят в интернет под динамическими адресами. И то, что с какого-либо IP происходит атака, совершенно не означает, что через неделю этот IP не будет назначен другому пользователю, который не сможет попасть к Вам на сайт. У меня такое было. Я не мог зарегистрироваться на сайте, потому что мой IP был в черном списке. Пришлось через поддержку сайта решать. А мой IP выдается мне провайдером, и периодически изменяется.

Файрволл

Базовые правила файрволла. На данной странице активируются основные функции файерволла, а так же отключается удаленный вызов процедур XMLRPC. Это технология в основном нужна для взаимодействия мобильных приложений и блога. Если Вы ей не пользуетесь, смело отключайте.
Дополнительные правила файрволла. На этой закладке я не все включаю. Например, зачем запрещать комментарии через прокси. Вполне нормальная ситуация, что у посетителя интернет через прокси. Остальные же настройки нужны. Запрет ввода в строке адреса запрещенных символов — это нужная опция. Обычным пользователям не нужно вводить не стандартные запросы.
6G Blacklist Firewall Rules. Набор стандартных правил защиты блога. Я не хочу вдаваться в подробности, что это, зачем это. Если Вы не понимаете что это значит, просто активируйте стандартные правила файрволла.
Интернет-боты. Некоторые сканеры выдают себя за google ботов, которым разрешено сканирование сайта. Файрволл в большинстве случаев может это отследить.
Предотвратить хотлинки. Очень полезная опция. Иногда в статье делается ссылка на изображение, которое лежит на Вашем сайте. Пользователь кликает по картинке, а фактически трафик идет с Вашего блога, а не с того, где был клик по картинке. Нужно избавить себя от такой лишней нагрузки.
Детектирование 404. Когда начинается анализ сайта и подбор параметров, часто злоумышленник попадает на страницу 404. Это связано с тем, что подбираются некие параметры уязвимости в скриптах. И как правило, это целая последовательность попаданий на несуществующую страницу, можно даже сказать шквал. Такое поведение отслеживается и блокируется.
Custom Rules. Можно вручную прописать правило.

Защита от брутфорс-атак

Переименовать страницу логина. Некоторые хостинг-провайдеры сами переименовывают страницу входа в админ-панель. Это очень важный пункт. Рекомендую переименовать:

Адрес (URL) страницы логина: http://Ваш_сайт.ru/secretpage

Теперь, чтобы попасть в админку вместо:
http://Ваш_сайт.ru/wp-admin

Используйте
http://Ваш_сайт.ru/secretpage

Защита от брутфорс-атак с помощью куки. Плагин использует куки для отслеживания большого количества ошибочных авторизаций. Можно заблокировать такие попытки.
CAPTCHA на логин. Можно использовать каптчу на различных страницах. Я не пользуюсь данной опцией плагина, использую отдельный плагин каптчи. Мне не очень понравилась каптча плагина – слишком примитивная.
Белый список для логина. Если у Вас статический IP-адрес (имеется ввиду адрес компьютера, с которого Вы заходите в админку), то можете прописать свой IP в белый список и к нему не будут применяться никакие санкции плагина.
Бочка с медом (Honeypot). Некий скрытый объект (поле), на которое отреагирует только бот, от человека это поле скрыто.

Защита от SPAM

Спам в комментариях. Можно использовать каптчу в комментариях. А так же есть интересная и полезная функция блокирования спам-ботов. Спам-боты — это обычно скрипты, которые выполняются где-то не на Вашем сайте. А пользователь заполняет форму комментария на Вашем сайте. Это очень легко отследить и отсечь.
Отслеживание IP-адресов по спаму в комментариях. Плагин может самостоятельно принимать решение, что комментарий – спам и блокировать IP-адрес. Сложно сказать, на сколько это правильно. Если небольшое количество комментариев, то можно и вручную отсеять.
BuddyPress. Интеграция с плагином BuddyPress.

Сканнер

Отслеживание изменений в файлах. Классная функция. Мне она очень нравится. Любое изменение любого файла при сканировании будет обнаружено и отправлено на почту в виде отчета. Просмотрев изменения можно понять, что произошло.

Режим обслуживания

Блокирование доступа посетителей к сайту. Можно прекратить доступ к сайту, и вывести какой-нибудь текст. Например, при технических работах.

Разное

Защита от копирования. Интересная функция. Если хотите, можете заблокировать правую кнопку мыши на сайте.
Фреймы. При попытке отобразить сайт, как часть другого сайта в фрейме – плагин заблокирует такое действие. Обратите внимание, что данная настройка влияет на работу вебвизора Яндекс.Метрики.
Users Enumeration. Можно узнать пользователя через запрос вида:
http://Ваш_домен.ru?author=1
Данная опция ограничивает такие запросы.

Немного юмора
Жена звонит мужу на работу, чтобы поболтать.
Муж: - Извини, дорогая, но у меня сегодня дел по горло.
Жена: - Но, милый, у меня есть для тебя новости: хорошая и плохая.
Муж: - Ладно, у меня нет времени сейчас, скажи мне только хорошую новость.
Жена: - Нуу… в общем… подушка безопасности работает.

Удачного освоения материала.

Привет, ребята! Когда твой сайт становится немного раскрученным, появляются постоянные читатели, получаешь огромное удовольствие. Вроде бы все круто. Растет и поток денег, и отклик получаешь от аудитории, увеличивается узнаваемость. Но существует и обратная сторона медали. Это завистники, это внимание со стороны недоброжелателей.

Чтобы вы представляли, о чем идет речь: мой блог только за прошлую неделю взламывали 2 раза. Постоянные посетители, думали, заметили. Ребята, я настоятельно рекомендую ознакомиться с данным уроком, потратить время на внедрение советов, о которых говорю, чтобы больше обезопасить свой сайт и сэкономить время, деньги и нервы.

All In One WP Security - это самый необходимый плагин для увеличения безопасности в WordPress. Ставить его нужно всем, кто владеет сайтом на Вордпресс. Всем без исключения.

Если мой любимый - это комбайн в сфере SEO для WordPress, то плагин WP Security - аналог в сфере безопасности. То есть, если благодаря Yoast SEO я перестал нуждаться в нескольких SEO плагинах, то здесь точно также, благодаря All In One WP Security можно избавиться от других плагинов, которые лишь частично выполняют функции данного. Например, как:

Login Lockdown;
WordPress Database Backup;
Anti-XSS attack;
и другие подобные.

Огромные плюсы плагина All In One WP Security:

бесплатный;
настраивается очень просто;
практически все переведено на русский язык, поэтому понятно о чем идет речь.

Настройка плагина All In One WP Security

Обязательно сделайте бэкап (резервную копию) перед началом работы (на всякий случай) следующих файлов:

база данных;
файл wp-config;
файл htaccess.

Кстати, резервные копии этих трех файлов можно сделать прямо в данном же плагине, просто в админке перейдите в WP Security - Настройки:

Панель управления

Тут есть очень крутой информер, который показывает уровень защищенности вашего сайта:

Этот показатель поможет держать руку на пульсе и понимать, что еще нужно сделать для улучшения безопасности. Не рекомендую делать все, ради достижения максимальных баллов. Могут быть плохие последствия, ваш сайт может упасть, ошибочно функционировать.

Текущий статус самых важных функций. В этом блоке можно активировать самый необходимый функционал по безопасности вашего сайта (можете пока не трогать их, в ходе настроек по уроку, данные параметры активизируются итак):

Остальные параметры в Панели управления малоинтересны, Вы можете ради любопытства ознакомиться с ними (Информация о системе, Заблокированные IP адреса, AIOWPS.