В этой статье мы разберем настройки плагина iThemes Security, благодаря которому обеспечивается комплексная защита сайта на WordPress. Плагин учитывает практически все, что необходимо для обеспечения безопасности сайта на WordPress. Плагин iThemes Security предоставляет комплекс услуг, в которые входят защита WordPress от взлома, защита админки WordPress и защита сайта от ботов. iThemes Security лучший бесплатный плагин защиты WordPress. С ним ваш сайт будет достаточно хорошо защищен от различных вирусов и хакерских атак.

Если вдруг сайт перестал работать, не пугайтесь, вам потребуется подключиться через FTP к сайту, или открыть файловый менеджер в панели управления хостинга и переименовать, либо удалить папку с плагином. Это крайняя мера, если вдруг iThemes Security заблокировал админку или после включения какой-либо опции в iThemes Security сайт недоступен или зависает. Скорее всего, сайт восстановит работоспособность. Если нет, восстановите сайт из резервной копии.

Давайте рассмотрим те параметры, которые необходимо задать, чтобы обеспечить комплексную и полноценную безопасность WordPress. Чтобы попасть в настройки плагина, зайдите в административную панель «WordPress» ⇒ «Security» ⇒ «Настройки». Надеюсь, вы уже сделали резервную копию сайта. Первая вкладка настройки «Security Check» (проверка безопасности), нажмите «Configure Settings»:Дальше откроется окно настроек. Если мы нажмем «Secure Site», плагин установит рекомендуемые настройки безопасности:
В принципе, это и есть основные настройки iThemes Security. Можете нажать на эту кнопку, и настройка будет завершена. Но я рекомендую этого не делать, так как может нарушиться работа сайта. Лучше досконально разобраться в настройках, чем нажать на одну кнопку и потерять доступ к сайту.

Следующая вкладка настройки «Основные настройки», нажмите «Configure Settings»:Здесь обязательно нужно поставить галочку напротив надписи «Вносить изменения в файлы» и сохраниться. Чтобы плагин эффективно функционировал, ему нужен доступ к файлам wp-config.php и.htaccess. Ставя галочку, вы предоставляете плагину этот доступ:
Остальные настройки в этой вкладке рекомендую оставить по умолчанию.

Следующая опция это «Отслеживание ошибки 404». Что это такое? Представьте ситуацию, когда пользователь на вашем сайте запрашивает большое количество несуществующих страниц. Если это одна или две страницы, тогда нет ничего страшного, но если эта периодичность повторяется, это говорит о том, что злоумышленник пытается найти уязвимости сайта для его взлома, ведь простой посетитель ищет информацию на реальных страницах. Если iThemes Security замечает активность подобного рода, пользователь блокируется. Чтобы включить эту опцию, нажимайте «Enable». Я рекомендую включить эту настройку (после включения все настройки этой опции оставляйте по умолчанию):Следующая настройка это «Режим «Нет на месте»». Если вы отлучаетесь на определенный период, и у вас не будет возможности заходить в административную панель WordPress, можете включить эту опцию, указав в настройках промежуток времени, который вы будете отсутствовать. В это время ни вы, ни кто-то другой не сможет зайти в панель администратора. Не рекомендую включать эту настройку, так как у вас может возникнуть необходимость зайти в админку, но такой возможности на указанный в настройках период времени не будет:Заблокированные пользователи. Здесь можно указать, с каких ip адресов нельзя заходить на ваш сайт. Рекомендую «Включить черный список от сайта HackRepair.com», здесь собраны ip адреса, с которых замечены хакерские атаки. Также, поставьте галочку напротив надписи «Ban List», здесь можно вручную вписать ip адреса, которым вы хотите запретить доступ к сайту:
Local Brute Force Protection. Это защита от подбора паролей. Нужно включить обязательно. Если плагин замечает, что посетитель большое количество раз пытается подобрать логин и пароль и ему выдает ошибку, это значит что сайт пытаются взломать. По умолчанию установлено 5 попыток неудачного ввода логина или пароля, после чего ip адрес блокируется, рекомендую ничего не менять:
Резервные копии базы данных. Здесь можно настроить автоматическое создание резервной копии базы данных с последующей отправкой на ваш e-mail. Рекомендую включить эту опцию. Нужно настроить создание базы данных по расписанию, для этого включить опцию «Создать расписание резервного копирования базы данных» и выставите периодичность резервного копирования, 3 дня, на мой взгляд, достаточно. Остальные настройки оставляем по умолчанию. После включения этой настройки на вашу почту автоматически будет приходить резервная копия базы данных, что очень удобно:
Обнаружение изменений файлов. Эта опция отслеживает изменения в файлах на предмет наличия уязвимости. Не рекомендую включать эту настройку:File Permissions. Это доступ к файлам. Здесь настраивать ничего не нужно, опция просто показывает степень защищенности тех или иных файлов.

Network Brute Force Protection. Включаем обязательно. Эта опция автоматически запрещает доступ к сайту пользователям, которые совершали попытки взломать вход на другие сайты:SSL. Настройка позволяет включить SSL шифрование для всего или части вашего сайта. Не рекомендую включать эту опцию.

Strong Password Enforcement. Заставляет зарегистрированных пользователей использовать сложные пароли. Бесполезная опция, на мой взгляд, включать не рекомендую.

Тонкая подстройка системы и Подстройка WordPress. Это продвинутые настройки для опытных пользователей. Их активация может привести к ошибкам работы сайта, конфликтам с темами или плагинами. Настоятельно не рекомендую включать эти настройки. Если же вы все таки решитесь настроить эти функции, включайте каждый пункт по отдельности и сразу же проверяйте работоспособность сайта.
WordPress Соли. Позволяет обновлять ключи безопасности WordPress. Еще одна бесполезная функция, не рекомендую ее включать.

Изменить страницу входа в админку WordPress. Очень действенный способ защиты сайта это изменение стандартной страницы входа в WordPress. По умолчанию на всех сайтах войти в WordPress можно по ссылке сайт.ru/wp-admin. При помощи iThemes Security можно спрятать страницу входа на сайт.

Для этого в настройках нажмите «Advanced», на вкладке «Спрятать страницу входа на сайт» нажмите «Configure Settings»:
Затем поставьте галочку напротив надписи «Скрыть страницу входа в систему»:
Затем в поле напротив надписи «Ссылка на страницу входа» введите любое слово латинскими буквами, например vhodnasajt, и сохраните изменения.
. Теперь только вы знаете, по какой ссылке можно войти в админку сайта. Естественно, это повышает безопасность WordPress. Важно! Запишите эту ссылку, если вы ее забудете, восстановить вход на сайт будет очень сложно. Включать эту опцию или нет, решать только вам. Я ее не использую.

iThemes Security Pro. Платная версия плагина, которая обладает расширенными функциями защиты. Позволяет включить двух факторная аутентификация, запланированное сканирование вредоносных программ, интеграцию Google рекапчи, можно будет связаться с технической поддержкой плагина. Если у вас крупный, популярный сайт, возможно, стоит задуматься о покупке pro версии. На мой взгляд, стандартных настроек плагина вполне достаточно для обеспечения безопасности сайта.Если вы ищите плагины, которые могут обеспечить безопасность WordPress, iThemes Security лучшее решение. Благодаря гибким настройкам и широкому функционалу ваш сайт будет максимально защищен от взлома и атак ботов.

Сергей Арсентьев

Безопасность WordPress в 2 клика с помощью All In One WP Security

Безопасности в WordPress уделяется немало внимания, и все равно бывают случаи взломов сайта. Однако можно воспользоваться специальным плагином и значительно увеличить защиту вашего сайта, тем более что сделать это можно буквально в 2 клика.

Зачем вообще нужно повышать безопасность WordPress?
Конечно, чтобы избежать взломов и несанкционированного использования пространства сайта.

Но неужели это так плохо? Ну и пусть ломают - у меня все равно брать нечего!

Дело не в самом взломе, а в его последствиях. Хакеры ломают сайты не просто так, они начинают рассылать от вашего имени спам, расставляют ссылки на другие сомнительные сайты, становятся рассадниками вирусов и прочей заразы. Поисковые системы довольно быстро это распознают и реагируют с помощью уведомлений, предостерегая посетителей, переходящих на сайт примерно такой вот формой:

Редкий смельчак отважится все-таки перейти на заразный сайт, поэтому трафик из поисковых систем взломанных сайтов падает в разы. А вместе с посещаемостью доходы владельцев сайтов также стремительно снижаются.

Поэтому, несмотря на то, что взломать можно любой сайт, но я рекомендую максимально усложнить злоумышленникам эту задачу: в результате, возможно, отпадет желание связываться именно с вашим сайтом, когда вокруг множество менее защищенных и простых для взлома сайтов.

Я устанавливал на сайты разные плагины для повышения безопасности WordPress (они еще часто называются firewall), но порекомендую вам тот, который лично я считаю самым лучшим по большинству параметров, это - All In One WP Security .

Его основные преимущества:

• бесплатный
• удобный русскоязычный интерфейс
• множество вариантов защиты
• частое обновление
• мгновенный импорт и экспорт настроек

Инсталлируется он как обычный плагин Вордпресс (если не знаете как это сделать, то читайте " "). Так что с установкой у вас проблем возникнуть не должно.

Но затем еще нужно будет настроить All In One WP Security, то есть выбрать и активировать параметры защиты. Их много, включать стоит далеко не все, иначе сайт может просто оказаться неработоспособным. Так какие параметры нужно выбрать обязательно, а какими стоит пренебречь?

Ниже в статье я дам ссылку на файл импорта лично моих настроек, которые я использую для повышения безопасности на большинстве сайтов - вы сможете их импортировать и, таким образом, не разбираться с настройками программы, которых очень много. Поэтому если все эти описания настроек вам неинтересны, мотайте вниз до социального замка и получайте ссылку на готовый файл с настройками . Там же будет краткая инструкция по добавлению в свой плагин All In One WP Security.

А я пока в двух словах опишу настройки плагина.

Основные настройки All In One WP Security

Настроек плагина довольно много, они все собраны в панели управления, в пункте WP Security:

Начнем по порядку.

Панель управления

Здесь удобно собрана основная информация по системе: текущий уровень защиты, задействованные основные настройки, версия php сервера, логи заходов пользователей в админку и так далее. То есть на этой вкладке менять нечего - она играет информативную роль.

Стремиться к тому, чтобы у вас было задействовано максимум очков защиты - не стоит. Ведь в этом случае некоторые другие плагины могут быть заблокированными, и сайт может не функционировать должным образом. Важно в целом устранить наиболее уязвимые и очевидные "дыры" не в ущерб удобству и функционалу сайта.

Настройки

Здесь вы можете создать бекапы основных файлов WordPress, в которых плагин меняет параметры безопасности: .htaccess и wp-config. Если, конечно, не сделали еще это через FTP (читайте " "). Обязательно сделайте это перед внесением изменений в настройки плагина.

Важный пункт это "WP мета информация" .
Установите галочку, это уберет из кода сайта информацию, что он создан на базе WordPress, это повысит безопасность от массового сканирования хакерскими роботами версий сайтов.

И последний пункт - это "Импорт и экспорт" .
Именно здесь можно быстро экспортировать и импортировать настройки плагина с сайта на сайт.

Администраторы

В данном пункте речь пойдет про аккаунты зарегистрированных администраторов в панели управления.

Общеизвестно, что нельзя использовать стандартные имена администраторов, например, "admin" в WordPress или "administrator" в Joomla. Это крайне негативно влияет на безопасность, ведь когда логин известен, хакеру остается только подобрать пароль.

Так что если у вас в качестве имени администратора используется стандартное "admin", то мысленно выругайтесь в сторону разработчика и быстренько смените его на что-то более сложное. Чтобы это сделать в Вордпрессе нужно завести новый аккаунт пользователя. Старый удалите, все записи свяжите с новым аккаунтом.

Также важно, чтобы имя пользователя совпадало с логином.
И проверьте сложность пароля. Плохим является пароль вроде "serega", нормальным - "serega1212", идеальным - "dfw&uuhsU2%".

Авторизация

Что делать если кто-то несколько раз ввел неверный пароль при попытке входа в админку? По умолчанию система не делает ничего. А если "Включить опции блокировки попыток авторизации ", то система будет блокировать такие подключения после какого-то количества неудачных попыток в течение определенного времени. Количество попыток, время и другие параметры, вы сами задаете в пунктах ниже.

Остальные вкладки в основном информационные.

Регистрация пользователя

Каптча при регистрации актуальна только если у вас на сайте или блоге есть возможность регистрации новых пользователей.

База данных

Обязательно смените префикс таблиц в базе данных. По умолчанию таблицы в базе данных WordPress начинаются с "wp_" - это плохо для безопасности. Выберите "Сгенерировать новый префикс таблиц БД " и установите флажок, чтобы плагин сам сгенерировал что-то вроде "hwy1e2_".

Хоть я менял префикс на многих сайтах WordPress - все было ок, но осторожность лишней не будет: обязательно сделайте бекап базы данных, можно, кстати, прямо на соседней вкладе это сделать.

Файловая система

На основной вкладке "Доступ к файлам " все пункты должны быть отмечены зеленым цветом. Если это не так - просто кликните на соответствующий пункт.

Отметьте флажки и на следующих вкладка "Редактирование файлов PHP " и "WP доступ к файлам ". Вам вовсе необязательно оставлять возможность вносить любые программные изменения через панель управления - лучше это делать через FTP-доступ, который взломать гораздо сложнее, ведь там безопасностью занимаются профессиональные программисты вашего хостера. Плюс не стоит "светить" важные информационные файлы системы.

Whois-поиск

Тут настроек нет, но если к вам кто-то ломится или какой-то неадекватный пользователь оставляет дурацкие сообщения, то можно попробовать узнать о его провайдере и пожаловаться на неадеквата или просто пригрозить ему в личку.

Конечно, если хакер пользуется IP-анонимайзером, толком вы ничего не узнаете, но все равно функция может оказаться полезной, так как в целом можно быстро получать информацию о владельцах сайтов и их контактах.

Черный список

Допустим, вы "пробили" через whois, что на вашем блоге активно в комментариях распространяется спам с ip-адреса частное лицо. Вы можете добавить его в черный список и он не получит доступ к станицам сайта.

Также можно массово банить "левых" роботов, которые могут прочесывать интернет в поисках уязвимостей.

В основном эта функция имеет смысл, если вам активно кто-то пытается взломать. В большинстве случаев эти поля останутся пустыми.

Файрволл

Ну вот и добрались до основной функции плагина - брандмауера. Эти функции рассредоточены по нескольким вкладкам.

Во вкладке "Базовые правила " рекомендую включить оба флажка: "Основные функции брандмауэра " и "Защита от Пингбэк-уязвимостей ". По каждому пункту там подробно расписываются все функции, которые будут задействованы. Это базовые правила - они, как правило, не влияют на работоспособность сайта.

В "Дополнительных правилах " лично я задействую:

• Просмотр содержимого директорий
• HTTP-трассировка

Остальные пункты:

• Комментарии через Прокси-серверы
• Нежелательные строки в запросах
• Дополнительная фильтрация символов

на тех или иных сайтах вызывали нестабильности в работе, поэтому я не могу однозначно рекомендовать их к применению.

Если же вы захотите их задействовать, то сделайте бекап htaccess, включите и тщательно протестируйте сайт на прежнюю работоспособность. Попробуйте оставить комментарий, скачать файл, зарегистрироваться, выполнить поиск по сайту, отправить форму обратной связи и т.п. Если все в порядке, то ок, вам повезло

Далее во вкладке "5G-файрволл " можно включить комплексную защиту от хакерских атак через URL сайта. Это полезная функция, однако на моем блоге она вызвала ошибку при скачивании файлов пользователями, поэтому я ее отключил и отключаю на всех других сайтах, так как предпочитаю задействовать только те параметры, которые никогда не вызывают нареканий в работе.

Во вкладке "Интернет-роботы " я не включал флажок, так как все же есть опасения как-то помешать основному роботу Google делать свое дело. Если кто-то сможет развеять мои опасения в комментариях, буду признателен.

"Предотвратить хотлинки " я также оставляю отключенным, так как сам загружаю картинки блога с других сайтов. И отмечал что многие мои клиенты также это делают, например, загружают со своего сайта картинки на разные доски объявлений, форумы и так далее. Но если вы уверены, что нигде не задействуете картинки с сайта, то в целях снижения излишней нагрузки на хостинг, конечно, можете поставить флажок.

"Детектирование ошибок 404 " нужно задействовать только если в логах у вас много подозрительных ошибок ненайденных страниц. У меня на всех сайтах все ок, поэтому и нечего вносить в список IP-адресов, которые нужно банить.

Защита от брутфорс-атак

Что такое "брутфорс"? Это грубая атака, которая заключается в простом переборе всех возможных паролей на сайте. То есть робот заходит на страницу со входом в админку и начинает пробовать то один, то другой пароль.

Назовите страницу входа на свое усмотрение, например, /lg-wp и в вашу админку робот для перебора паролей попасть уже не сможет - он ее просто не найдет!

"Защиту на основе куки " я не применяю - так как часто выхожу в сеть с разных браузеров, плюс периодически чищу куки и поэтому процедура залогинивания с этим параметром была бы довольно утомительной. По этой же причине не использую "Каптчу на логин ". Мне и так хватает всяких каптч в интернете, и поэтому на своем сайте стараюсь свести их к минимуму.

"Белый список для логина " - это почти 100% защита от брутфорс-роботов, так как логин и пароль может вводиться только с конкретного IP-адреса. Но я и мои клиенты часто заходят на свои сайты с разных IP-адресов, например, из офиса, с мобильного телефона, из гостей и так далее. В этом случае защита будет избыточной, так как не пустит на сайт самого владельца. Однако если вы работаете на своем сайте стационарно с одним IP-адресом, то можно задействовать данную функцию.

Защита от спама

Эту защиту я не включал, так как у меня прекрасно работает специализированный плагин Antispam Bee (читать " ").

Сканер

Если вдруг какой-то гад все-таки пробрался через все ваши системы защиты и вставил свой вредоносный код или левые ссылки в файлах сайта, то система вас об этом уведомит. И вы сможете более внимательно и пристально взглянуть на эти изменения: вдруг вас и правда, взломали?

Я сканирую сайты раз в 7 дней, игнорирую картинки, личные файлы, бекапы и т.п. Все это есть в настройках, которые вы сможете скачать в конце статьи.

Остальные вкладки вам вряд ли понадобятся.

Режим обслуживания

Это просто утилита, но довольно полезная. Позволяет временно отключить сайт для всех, кроме админов, если на нем ведутся какие-то работы.

Разное

"Защиту от копирования " я не включаю, так как в современных реалиях проверки уникальности текстов она довольно бессмысленна, а жизнь некоторым пользователям затрудняет. А вот включить флажок "Активировать фрейм-защиту " не помешает, так как она не позволит открывать ваш сайт во фрейме какого-то другого сайта.

WordPress - пожалуй, самая популярная и вместе с тем одна из самых часто взламываемых платформ. Почему-то существует мнение, что если ваш сайт особо никому не интересен, то и взламывать его не будут - зачем? На самом деле угроза взлома есть буквально у каждого сайта (и не только на WordPress), поэтому важно заботиться о защите своей странички. Что можно предпринять - а точнее, какие плагины установить - об этом я и расскажу в этой статье.

Эти советы будут полезны не только в работе с WordPress, но и с любой другой CMS. Они базовые, но, как показывает практика, все равно есть люди, которые о них не знают. Зачем это все делать? Чтобы усложнить жизнь злоумышленнику. Используя данные, которые устанавливаются по умолчанию, хакер может относительно легко взломать ваш сайт, а также вашу базу данных. Поэтому нужно сделать следующее.

1. Измените имя пользователя с admin на другое.

Чтобы это сделать, вам нужно сначала создать нового пользователя в качестве администратора. Сделать это можно вот тут:

После создания пользователя зайдите под его аккаунтом и в списке «Все пользователи» удалите аккаунт “admin”. При этом новый логин постарайтесь сделать каким-нибудь относительно сложным, ну хотя бы состоящим из нескольких слов: vasyapupkin99. Можете свой никнейм использовать, например.

Про пароль писать не буду - лучше воспользоваться тем, который сгенерирует вам Wordpress на стадии создания аккаунта, а не придумывать какой-то свой (который, скорее всего, будет легче).

2. Изменить префикс базы данных с wp на другой.

Существует два пути сделать это: либо самостоятельно правя таблицы в phpMyAdmin (или даже просто в файловом менеджере), либо через плагин. Кратко расскажу об обоих вариантах.

Изменение через phpMyAdmin

Сразу скажу, что это действие требует внимания к деталям и некоторого опыта работы в phpMyAdmin.

Первым делом создайте бэкап базы данных - он поможет вам восстановить информацию, если что-то пошло не так (или вы где-то что-то не то отредактировали).

Теперь зайдите в файловый менеджер и найдите файл wp-config.php, в нем строку $ table_prefix = "wp_";

“wp” надо изменить на что-то другое, менее связанное с WordPress и базами данных. Можно менять даже на произвольный набор букв и цифр (но вам его нужно запомнить или записать).

Внимание. Лучше всего производить это изменение на только что установленном WordPress. На уже запущенных сайтах информации больше - больше данных придется менять.

После этого зайдите в phpMyAdmin (на хостинге Timeweb это можно сделать прямо через панель управления) и найдите базу данных для нужного сайта. Все таблицы этой базы данных нужно переименовать, вместо “wp_” подставляя то, что вы уже написали выше.

Как переименовать: выбираете таблицу в левом столбце, нажимаете вкладку «Операции», далее смотрите блок «Параметры таблицы» и строку «Переименовать таблицу в». После внесения изменений не забудьте нажать «Вперед».

После этого ищите в списке таблицу “…_options”. Выбрав ее, нажмите «Обзор» - в содержимом примерно на второй странице в столбце “meta_key” вы увидите wp_user_roles - измените префикс “wp” на тот, который вы сейчас собираетесь использовать. Сохраните изменение.

Следующая таблица для изменения - “…_usermeta” - аналогичным образом посмотрите ее содержимое и измените все старые префиксы на новые.

Если после редактирования у вас что-то стало работать не так или вообще перестало работать, проверяйте, все ли изменения вы внесли. В крайнем случае используйте бэкап.

Изменение через плагин

Этот плагин не нуждается в представлении, поэтому сразу перейду к тому, что необходимо сделать.

После того, как вы установили и активировали плагин, зайдите в раздел «Защита Базы данных». Там вы увидите строку «Сгенерировать новый префикс таблиц БД» - напишите тот префикс, который хотите поставить (или поставьте галочку около «Отметьте, чтобы плагин сам сгенерировал префикс длиной в 6 случайных символов»), и нажмите «Изменить префикс таблиц». После этого ниже вы увидите отчет от ходе изменения префикса. Чтобы убедиться в том, что ожидаемый результат достигнут, зайдите в phpMyAdmin.

Еще раз напомню, что делать это нужно на новом сайте без статей, так как если на сайте уже есть много информации, плагин может сработать некорректно.

All In One WP Security & Firewall

Раз уж мы уже перешли к использованию этого плагина, то расскажу о других вещах, благодаря которым можно повысить защиту вашего сайта.

В разделе «Настройки» плагина перейдите во вкладку “WP version info” и поставьте галочку рядом с «Удаление мета-данных WP Generator». Так как хакеры зачастую основываются на информации, которую содержат мета-данные, то будет нелишним убрать эту информацию из кода страницы.

Кстати, если вы все еще не поменяли имя администратора (следуя совету выше), то сделать это можно и через этот плагин - во вкладке «Администраторы». Просто напишите новое имя пользователя и еще раз авторизуйтесь в панели (пароль остается прежним).

Здесь же вы можете видеть вкладку «CAPTCHA при регистрации» - тоже активируйте этот пункт.

Теперь переходим в раздел «Файрволл» - здесь ставим галочку в блоках «Основные функции брандмауэра». Остальное можете включить/оставить выключенным по своему желанию.

Раздел «Защита от брутфорс-атак»: вам нужно включить опцию переименования страницы логина и написать желаемый адрес в графе ниже. Тут важно понять - этот адрес будет использоваться для входа в админку, жизненно важно его запомнить !

С этим плагином мы закончили, переходим к следующему.

AntiVirus

Этот плагин сканирует файлы сайта на предмет вредоносного кода. Пользоваться им достаточно просто - после установки зайдите в его настройки и нажмите “Scan the theme templates now”, после этого все файлы вашей темы будут проверены.

Тут же вы можете настроить и ежедневную проверку с отчетом на email.

Во время проверки плагин подсвечивает код, который показался ему подозрительным. При этом все замечания вам лучше проверять внимательно - не всегда речь идет именно о вирусе. Если вы не обладаете навыками в программировании, то можете просто сравнить найденную строчку кода со строчкой в коде этой же темы сайта на вашем компьютере или у разработчика. Если запись присутствует изначально, то опасаться ее не нужно.

Как и другие активные плагины, AntiVirus нагружает сервер (а значит, ваш сайт работает медленнее), поэтому лучше пользоваться им время от времени, чем постоянно держать в активном состоянии.

Wordfence Security

Этот плагин по функционалу схож с предыдущим, ими можно пользоваться параллельно, хуже не будет. Точно так же установите, активируйте, перейдите во вкладку “Scan” и нажмите на большую синюю кнопку “Start a Wordfence Scan”. Кое-какие возможности доступны только для оплаченных (премиум) аккаунтов, но базовый функционал тоже неплох. Если с вашим сайтом все хорошо, то вы увидите зеленую надпись “Congratulations! No security problems were detected by Wordfence”.

Расскажу еще о других плагинах, которые тоже можно использовать для защиты сайта.

Sucuri Security

Вообще Sucuri - это компания, которая специализируется на защите веб-сайтов, поэтому они предоставляют защиту для любого сайта (не только на WordPress). Плагин от этой серьезной компании с внушительной репутацией обладает широким функционалом, представляющим полный цикл защиты сайта, включая предупреждение взлома и атаки на ваш сайт. Можно пользоваться бесплатной версией, а можно купить платную за 16,66$ в месяц - сумма немаленькая, но за такой диапазон защитных инструментов вполне обоснованная.

Для того, чтобы пользоваться бесплатной версией, после установки вам будет необходимо сгенерировать бесплатный ключ (в синем блоке сверху нужно будет нажать кнопку “Generate API Key”, проверить, что введенные данные корректны, и отослать заявку.

iThemes Security

Если Sucuri Security можно назвать лучшим платным плагином защиты, то iThemes Security часто называют лучшим бесплатным плагином, который стоит установить для безопасности вашего сайта. Тем более что сейчас у него более 800 тысяч установок!

Про функционал много писать не буду - как и все другие плагины, iThemes Security направлен на защиту вашего сайта от большинства вещей, которые могут ему угрожать, и в то же время на проверку существующего состояния сайта. Кстати, раньше плагин назывался Better WP Security - возможно, кто-то помнит его по этому названию.

Если в целом говорить об его функциях, то можно выделить следующие стороны этого плагина:

• скрытие и удаление потенциально уязвимых элементов (об этом было написано в начале статьи - смена логина администратора, префикса базы данных и так далее);
• защита сайта от атак (сканирование на наличие уязвимостей, защита от брутфорса, шифрование админки и так далее);
• мониторинг сайта (на наличие внезапных изменений, блокировок и так далее);
• восстановление (резервное копирование на случай непредвиденной ситуации).

Теперь перейдем к самому использованию этого плагина.

Настройка iThemes Security

Начну с того, что у него есть и PRO (то есть более расширенная) платная версия, поэтому в бесплатной версии доступны не все возможности этого плагина (но их все равно много).

После установки активируйте плагин и переходите в раздел «Настройки». В синем блоке сверху вы сможете включить защиту от взлома методом полного перебора (Network Brute Force Protection) - для этого нужно запросить API ключ, который автоматически будет добавлен в настройки (но также отправлен вам на почту).

Нажмите “Security Check ” (самый верхний левый блок или в меню под «Настройки») и нажмите “Secure site”. После этого вы увидите список включенных модулей.

Следующий блок - «Основные настройки » (справа от “Security Check”). Так как плагин почти полностью переведен, каждый пункт имеет свою расшифровку - советую пробежаться по ним всем и посмотреть, что из этого наиболее актуально для вас (даже если не будете пользоваться, будете хотя бы знать, где что находится).

В режиме «Нет на мест е» вы можете установить время, когда административная панель будет недоступна. На постоянной основе этим можно не пользоваться, но вы можете использовать это для подстраховки, когда находитесь далеко от компьютера. При этом настроить можно как на постоянной основе (например, каждую ночь), так и один раз в определенный день и период времени.

Блок «Заблокированные пользователи » - тут все понятно, помещайте сюда всех, кого нужно заблокировать.

“Local Brute Force Protection ” - это блок защищает от взлома путем перебора паролей. У вас он уже включен, настройки можно оставить по умолчанию.

«Резервные копии базы данных » - настройка резервного копирования, в бесплатной версии речь идет только про базы данных.

«Обнаружение изменений файлов » - крайне полезная функция, которая будет следить за всеми изменениями в файлах сайта; можно быстрее отследить внезапно появившуюся на сайте активность. Обязательно включите.

“File Permissions ” - блок показывает права доступа к файлам.

“Network Brute Force Protection ” - сетевая защита от брутфорса заключается в том, что если хакер пытался взломать чей-то другой сайт, доступ к вашему сайту у него будет также заблокирован, даже если он еще не начал атаку на ваш сайт.

“SSL ” - вы можете настроить использование SSL в этом плагине, то если у вас сайт на хостинге Timeweb, я советую использовать настройки в панели управления сайтом.

“Strong Password Enforcement ” - если ваш сайт предполагает регистрацию других пользователей (форум, блог…), тогда это настройка будет полезной, пользователям придется выбирать только сложные пароли для своих аккаунтов. В остальных случаях ее можно не использовать.

«Тонкая подстройка системы » и «Подстройка WordPress » - эти дополнительные настройки нужны для того, чтобы еще больше усилить защиту вашего сайта. Но есть один нюанс - включение некоторых настроек может повлиять на работу плагинов. Поэтому не стоит выбирать все сразу - включайте по одному пункту и проверяйте работоспособность вашего сайта.

Наконец, «WordPress Соли » - настройка позволяет добавить к паролю секретный ключ, подобрать который будет намного сложнее, чем пароль отдельно. Обычно это случайный набор символов, который добавляется при хэшировании. Периодически пользуйтесь этой настройкой («Изменить WordPress Соли») для того, чтобы сменить соль.

О разделах все. В платной версии их больше, но и этих вполне хватает для того, чтобы защитить сайт от многих популярных видов взлома.

Заключение

Плагины - это существенный элемент безопасности вашего сайта, но хочу напомнить, что он не единственный. Не забывайте следить за обновлениями WordPress и плагинов, регулярно меняйте пароли и делайте бэкапы.

Доброго дня всем читателям, обсудим сегодня еще раз вопрос безопасности сайта на WordPress. Но не абстрактно, а на примере настройки отличного плагина All In One WP Security & Firewall который я вполне успешно использую на ряде своих сайтов и могу смело порекомендовать вам.

All In One WP Security & Firewall относится к числу универсальных защитников WordPress о которых вы можете почитать . Этакий «гвардеец на все руки» и в принципе, осуществляет комплексную защиту по очень многим параметрам. У плагина хороший рейтинг пользователей и он совершенно бесплатен.

Одно из важных достоинств в том, что All In One WP Security & Firewall прекрасно переведен на русский язык и освоение всех его особенностей не представляет труда для тех кто не слишком хорошо изучал иностранные языки в школе. Перевод полный — то есть не только основных функций, но почти всех подсказок к ним. Именно они дадут вам полное представление и понимание необходимости и важности тех или иных настроек.

Структурно плагин состоит из нескольких десятков опций, которые вы вольны задействовать или оставить выключенными. Включение тех или иных опций отображается в специальных флажках. Там же виден приоритет данной опции.

Целью данной статьи я ставлю не столько перечисление настроек (их вы и так сможете легко увидеть, изучить и понять), а своё видение того, что стоит включать, а чем можно по тем или иным причинам, пренебречь. Приступим.

Настройка All In One WP Security & Firewall

Панель управления

• Информационные виджеты с наглядным индикатором защиты, диаграмма всех очков защиты, показ активных сессий и заблокированных IP. Особое внимание стоит уделить виджету — Текущий статус самых важных функций. Тут вы можете сразу, не углубляясь в настройки включить самые важные элементы защиты.
• Информация о системе. Выводится инфо о сайте, версии PHP и всех установленных плагинах. Таб — Заблокированные IP адреса и таб с логами плагина. В начале в этих табах у вас разумеется всё будет пусто.
• Табы — Заблокированные IP и логи. Тут ничего настраивать не надо.

Настройки

• Табы с общими настройками. Ничего не настраивается, но зато можно сразу сделать резервные копии.htaccess, базы данных и wp-config.php. Тут же можно одним махом вырубить все настройки если что-то пошло не так и появились проблемы.
• WP мета информация. Включаем.

Администраторы

• Пользовательское имя WP. Если ваш логин не Admin, то все в порядке. В противном случае — надо обязательно его поменять. Это реально важная «фишка». Если в дальнейшем вы укажите, что бы вам на почту приходили уведомления о временно заблокированных пользователях которые пытались войти с логином Admin — будете неприятно удивлены. У меня это как минимум по 2-5 писем в сутки (см. Блокировка авторизаций).
• Отображаемое имя. Показывает всех зарегистрированных пользователей у кого логин совпадает с именем (ником). Если у вас нет никого кроме вас — список будет пустой. Если есть пользователи, можете заняться исправлением ников. Не слишком важная функция — можно не трогать.
• Пароль. Занятный инструмент который визуально покажет вам надежность любого пароля. Судя по нему имеет смысл задавать сложные пароли длинной не менее 10 знаков.

Авторизация

• Блокировка авторизаций. Полезная функция от подбора паролей. Обязательно включите и настройте на свой вкус параметры или оставьте как есть по умолчанию. Рекомендую, по крайней мере на время, включить уведомления о сработавших блокировках на емейл. Просто, что бы понять, насколько важна эта функция.
• Ошибочные авторизации. Тут статистика. Ничего не надо настраивать.
• Автоматическое разлогинивание пользователей. Не удобная для ваших пользователей штука и при этом дает мало очков безопасности. Можно не включать.
• Журнал активности и Активные сессии — информация и логи.

Регистрация пользователей

• Подтверждение вручную. В общем, вполне полезная функция если у вас на сайте не особо частые регистрации и если они вообще разрешены. Можно включить.
• Капча при регистрации. Устанавливает простую, цифровую капчу на форму регистрации. Мне, честно говоря, не понравилось как она работает. Я использую отдельную — Math Captcha . Вроде бы во всем похожа, но в отличии от встроенной, работает на порядок лучше. Решайте сами, что выбрать.

База данных

• Изменение префикса таблиц вашей базы данных. Стоит включить, но всё таки, советую обязательно сделать заранее бекап БД.
• Резервное копирование БД. Рекомендую включить. Обычно БД не занимают много места и лишним это не будет даже если вы используете еще какой то бекап для сайта.

Файловая система

• Доступ к файловой системе. Установите нужное значение для доступа к папкам в колонке Рекомендуемое действие так, что бы весь список стал зеленым.
• Редактирование фалов PHP. Можно включить запрет на редактирование из админки, если конечно, вы сами не правите файлы таким образом.
• WP доступ к файлам. Запрет доступа к readme.html, license.txt и wp-config-sample.php. Включаем.
• Системный журнал. Настройка формирование лога. Ничего не трогаем.

WHOIS поиск

• Ручная проверка IP адресов. Ничего не настраивается, да и работает почему-то не всегда.

Чёрный список

• Забанить пользователей. Включаем. Как вы понимаете, актуально только в случае если вы сами введете туда какие то IP адреса. Бывает полезно когда нужно быстро забанить очередного идиота хулиганящего в комментах.

Файерволл

• Базовые правила. Почитайте подсказки и включите обе галочки. Стоит перед этим сделать бекап своего файла.htaccess
• Дополнительные правила. Стоит включить все. Однако авторы плагина предупреждают о возможной несовместимости с некоторыми плагинами.
• Настройка 5G. Насколько я понял, включает некий дополнительный брандмаузер. Включайте. Проблем после включения данной опции я не замечал.
• Интернет роботы. По идее, блокирует ложных гугло роботов. Во избежании проблем с полезными роботами, я этот чекбокс на всякий случай, не включал.
• Предотвратить хотлинки. Что это такое — читайте в подсказке. Включаем.
• Отслеживание ошибок 404. Стоит включить, но время блокировки сделайте небольшим. Например, минут 5-10.

Защита от брутфорс атак

• Переименовать страницу логина. Опция полезная, но имейте ввиду, что может возникнуть проблема в том случае если вы разрешили регистрацию на сайте. Например, когда пользователь захочет восстановить потерянный пароль. В целом, стоит хорошенько потестировать после включения. К тому же, некоторые хостинг провайдеры используют эту защиту по умолчанию. Решайте по обстоятельствам.
• Защита от брутфорс-атак, основанная на использовании куки. Как и с предыдущим пунктом, настройка строго индивидуальна. Внимательно читайте подсказки и решайте сами.
• Капча на логин. Если все-таки используете встроенную капчу, то всё лучше всё включить.
• Белый список. Запретит доступ у логину всем кроме тех кто будет указан в списке. Для истинных маньяков, можно не включать.
• Бочка с мёдом. Читайте детально описание этой интересной функции в подсказке. Как мне кажется — можно смело включать.

Защита от СПАМА

• Спам в комментах. Капча в комментариях — включите если используете встроенную капчу. Блокировка спам роботов — помогите своему Акисмету бороться со спам роботами — включайте.
• Отслеживание IP. Можете тут вычислить самых активных спамеров и занести их в черный список.
• BuddyPress. Актуально если у вас стоит этот плагин социальной сети.

Сканнер

• Отслеживание любых изменений в файлах. Как мене кажется, больше предназначено для особо озабоченных, так как изменения в файлах непременно будут иногда происходить. Если хотите всё это постоянно отслеживать и контролировать — включайте.
• Сканирование от вредоносных программ. Платная функция — от 5$ в месяц.

Режим обслуживания

• Тут можно включить «режим обслуживания» для сайта и настроить внешний вид страницы с предупреждением для читателей. Дополнительно читайте .

Разное

• Защита контента от копирования и вставки внутри фрейма. Включение этих никак прямо не влияет на защиту сайта.

Выводы

All In One WP Security мне в целом, вполне понравился и я его использую на некоторых сайтах. По моему, если не лучший, то уж точно — один из лучших подобных плагинов. Справедливости ради отмечу, что ни в коей мере не являюсь экспертом в вопросах безопасности. Всё вышеописанное только результат моего опыта использования и личного мнения. Так что, если у опытных читателей есть свои мысли по настройкам данного плагина или лучшие варианты альтернатив ему, прошу высказываться. На вкус цвет, как говорится…

Каждый день огромное количество сайтов подвергаются успешным хакерским атакам. не являются исключением и могут стать легкой мишенью для атаки из-за уязвимости тем и плагинов, слабых паролей и устаревшего программного обеспечения. Поэтому в сегодняшней статье мы решили уделить внимание такой теме, как защита WordPress.

Стоимость Bulletproof Security Pro: $59,95 (разовая оплата).
Официальный сайт — http://affiliates.ait-pro.com/

All in One Security and Firewall

Известный плагин для защиты от взлома WordPress. Он включает дополнительные брандмауэры для сайта, предоставляет различные методы защиты и дает по ним отчет.

Настройки файервола этого плагина разделены на три уровня «basic», «intermediate» и «advanced», что позволяет применять правила файервола постепенно, не нарушая работу сайта.

Функций у этого плагина (впрочем, как и у остальных в этой подборке) огромное количество — потянет на отдельную статью. Приведу здесь основные:

1. Защита аккаунтов:

• определяет аккаунт «admin» и предлагает поменять его на другой на ваше усмотрение;
• определяет и сообщает об аккаунтах, в которых логин и имя пользователя совпадают — такие аккаунты взломать легче;
• генерирует сильные пароли.

2. Защита входа в систему и регистраций на сайте:

• опция Login Lockdown — блокирует пользователей за определенное количество неверных попыток входа в систему;
• делает принудительный выход из системы для всех пользователей через установленное время;
• отслеживает активность в аккаунтах всех пользователей путем логирования информации;
• дает отчет о полном списке пользователей, которые выполнили вход в систему на данный момент;
• добавляет captcha в форму логина и форму регистрации;
• позволяет вручную подтверждать каждую новую регистрацию на сайте.

3. Защита базы данных:

• изменяет WP-префикс базы данных на любой другой;
• настраивает автоматическое резервное копирование.

4. Защита файловой системы:

• определяет папки и файлы с небезопасными правами доступа и меняет их на безопасные значения;
• запрещает редактировать файлы с PHP-кодом из администраторской панели управления;
• запрещает доступ к readme.html, license.txt и wp-config-sample.php файлам.

5. Функция файервола позволяет использовать защиту с помощью.htaccess файла. Этот файл обрабатывается вашим веб-сервером еще до обработки любого кода сайта, поэтому правила файервола останавливают вредоносные скрипты еще до того, как у них появится возможность достичь WP-кода.

6. Предотвращение брутфорс-атак.

7. Сканирование безопасности:

• отслеживание файловых изменений и уведомления об этом;
• сканирование таблиц базы данных на подозрительные строки, javascript и html код в базовых таблицах WordPress.

8. Защита от спам-комментариев:

• отслеживание наиболее активных IP, которые постоянно делают спам-комментарии и их блокировка;
• добавление captcha в форму комментариев WordPress.

9. Защита контента от копирования.

Стоимость: бесплатно.

Wordfence

Этот плагин безопасности WordPress сразу же после установки запустит автоматическое сканирование, чтобы проверить, не заражен ли уже ваш сайт. Поддерживает WordPress-мультисайты. Основные функции:

1. Файервол:

• защищает от взлома, распознавая вредоносный трафик и блокируя подозрительные попытки вторжения в систему;
• блокирует общие распространенные угрозы безопасности, например, Google-боты, вредоносное сканирование хакерами и ботнеты.

2. Блокировка:

• блокирует целые вредоносные сети. Включает проверку IP и домена при помощи сервиса WHOIS и блокирует вредоносные IP с помощью файервола;
• блокирует такие угрозы, как агрессивные поисковые роботы, скреперы и боты;
• блокирует и контролирует пользователей, которые нарушают правила безопасности на вашем сайте.

3. Безопасность входа на сайт:

• вход в аккаунт с помощью двухфакторной аутентификации;
• позволяет использовать только сложные пароли администраторам и пользователям;
• предотвращает брутфорс-атаки.

4. Сканирование безопасности:

• проверяет сайт на уязвимости типа Heartbleed;
• проверяет базовые файлы, темы и плагины по репозиторию версий WordPress.org на целостность и безопасность;
• позволяет просмотреть изменения в файлах и исправить их, если есть угроза безопасности;
• проверяет на наличие «черных ходов», которые создают дыры в безопасности (C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx и многие другие);
• сканирует на наличие вредоносных программ и фишинговых URL по Google Safe Browsing List во всех ваших комментариях, постах и файлах;
• сканирует на наличие троянских программ, подозрительного кода и прочих угроз.

5. Мониторинг:

• просматривает весь ваш трафик в режиме реального времени и создает отчет о потенциальных угрозах;
• отслеживает безопасность неавторизированных изменений;
• отслеживает дисковое пространство. Много DDoS-атак нацелены на потребление всего дискового пространства, чтобы спровоцировать отказ в работе сервиса.

Стоимость: бесплатно , но есть Премиум версия, которая включает: vip-поддержку, установку графика сканирования, аудит паролей, а также проверку IP-адреса сайта по Spamvertized.

Цена Премиум подписки – $8,25 в месяц. При оплате на год и более предоставляется скидка.

Sucuri Security

Sucuri Inc – это известная организация, которая занимается вопросами веб-безопасности, со специализацией в WordPress-безопасности.

Плагин Sucuri Security включает следующие возможности:

1. Аудит безопасности.
Отслеживает все события, связанные с безопасностью сайта. Любое изменение, которое может быть квалифицировано как угроза безопасности, плагин записывает. Регистрация действий происходит в SucuriCloud-сервисе для большей сохранности. Это гарантирует, что никто не сможет стереть данные отчетов. Если злоумышленнику удалось обойти систему безопасности вашего сайта, то вся информация о действиях будет сохранена в Sucuri Security Operations Center (SOC).

Эта функция особенно нужна для администраторов сайта и экспертов по безопасности, которым нужно понять, что и когда происходит с сайтом. Можно настроить уведомления о безопасности сайта на email.

2. Контроль целостности файлов.
Плагин проверяет соответствие оригинального (утвержденного) файла с текущим и если он отличается, то возможно безопасность под угрозой. Проверка осуществляется для всех базовых файлов, плагинов и тем.

3. Удаленное сканирование вредоносных программ.
Эта опция осуществляется при помощи инструмента Sucuri, который можно найти на бесплатном сканнере безопасности — SiteCheck.

4. Мониторинг «черного списка».
Плагин проверяет различные «черные списки», включая:

• Sucuri Labs
• Google Safe Browsing
• Norton
• Phish Tank
• McAfee Site Advisor
• Yandex
• SpamHaus
• Bitdefender

Это одни из самых больших списков, которые содержат сайты с проблемами в безопасности. Если ваш сайт был найден в таком списке, то Sucuri предлагает дополнительную опцию за отдельную плату – помощь в том, чтобы удалить ваш сайт из «черного списка» при помощи Website AntiVirus.

5. Эффективное усиление безопасности.
Плагин обеспечивает безопасность сайта с помощью: защиты.htacess, ограничений доступа к wp-includes папке, проверки ключей безопасности, верификации версии PHP, изменения префикса базы данных, удаления readme.html файла и прочего.

6. Действия по безопасности после взлома.
Если взлом сайта всё же произошел, плагин предложит:
обновить ключи безопасности;
обновить пароли всех пользователей;
обновить плагины.

7. Файервол (дополнительная функция за отдельную плату).
Это определенно лучшая функция, которую предлагает Sucuri. Файервол от:

• DoS и DDoS-атак;
• уязвимостей программного обеспечения;
• брутфорс-атак.

Стоимость: бесплатно , есть платные пакеты от $199 в год.

А какую защиту для WordPress-сайта используете вы и чем именно она вам нравится?