Всем привет!
Сегодня поговорим о защите сайта на WordPress.
Уже год, как я пользуюсь отличнейшим плагином для защиты - All In One WP Security.
Возможностями, которые предоставляет плагин, я очень доволен. И его работа по защите восхищает своей надежностью.
Плагин All In One WP Security многофункционален, например, защитит сайт от:
- взлома;
- от неверных попыток входа в систему;
- брутфорс-атак;
- спам-комментариев;
- копирования;
- и многое другое
А теперь я расскажу, как настроить данный плагин!
По измерителю безопасности на тестовом сайте было 15 баллов из 505:
Нужно сделать хотя бы больше половины, чтобы сайт стал хорошо защищенным.
Приступаем к настройкам и к обороне сайта.
Пункт «НАСТРОЙКИ»
Перейдите в админке WordPress «WP Security» => «Настройки»:
На странице «Настройки» перейдите по вкладке «WP Version Info»:
Ставим птичку над пунктом «Удаление мета-данных WP Generator» и жмите на кнопку «Сохранить настройки»:
Таким вот маленьким движением мы убрали с сайта версию WordPress:
Пункт «Администраторы»
Пользовательское имя WP.
Внимание! Обязательно смените имя администратора, если оно у вас «admin», так как часто подбираются пароли с логином «admin».
У меня все ок:
Теперь перейдите на вкладку «Отображаемое имя».
Если вы увидели на этой странице вот такое сообщение:
«Следующие аккаунты на Вашем сайте имеют имя пользователя, совпадающее с отображаемым именем. (Перейдите по ссылке, чтобы внести изменения в соответствующий аккаунт»
Значит, если логин пользователя и отображаемое имя совпадает, то рекомендуется изменить отображаемое имя на другое (никнейм). Например, логин «BlogGood» и имя «BlogGood». Меняем имя «BlogGood» на другое.
Итак, перейдите по ссылке снизу:
И делаем замену в поле «Ник (обязательно)». Потом после сохранения выставляете это имя в поле «Отображать как» и снова сохраняете (жмите «Обновить профиль»).
Смотрим на результат:
Отлично!
Пункт «Авторизация»
- вкладка «блокировка авторизаций».
В случае, если злоумышленник попытается вас взломать и введет неверный логин или пароль определенное количество раз, его ip блокируется тоже на указанное вами время. Очень полезная штука, похожая есть у плагина «Limit logins Attempts».
Отметьте птичкой пункт «Включить опции блокировки попыток авторизации» и «Сразу заблокировать неверные пользовательские имена».
- вкладка «Ошибочные попытки авторизации».
Здесь можно посмотреть на логины, которые вводил взломщик.
- вкладка «Автоматическое разлогинивание пользователей».
Позволяет через определенное количество минут завершить сессию и разлогинить пользователя (то есть, осуществится выход из админки). Я ставлю 600 минут:
- вкладка «Журнал активности аккаунта»
Тут будет информация, которая может пригодиться, если Вы будете проводить исследование пользовательской активности, так как здесь будут показаны последние 50 событий авторизации с данными имени пользователя, IP-адресом и временем входа.
- вкладка «Активных сессий»
Здесь отображаются все пользователи, которые в настоящий момент авторизованы на Вашем сайте.
Если Вы подозреваете, что в системе есть активный пользователь, которого не должно быть, тогда Вы можете их заблокировать, проверив их адрес IP в списке внизу, и добавить их в черный список.
Пункт «Регистрация пользователя»
- вкладка «Подтверждение вручную»
«Активировать ручное одобрение новых регистраций» отмечаете птичкой
- вкладка «CAPTCHA при регистрации».
Если нужно, выставляйте над пунктом: «Активировать CAPTCHA на странице регистрации»:
Пункт «Защита Базы данных»
Вкладка «префикс таблиц БД», если у Вас текущий префикс таблиц БД «wp_».
Я ставлю птичку над пунктом «Сгенерировать новый префикс таблиц БД» и жму «Изменить префикс таблиц БД»:
- Вкладка «Резервное копирование БД»
Здесь можно настроить параметр, когда делать резервную копию БД. Копия автоматически будет отсылаться на email.
Пункт «Защита файловой системы»
Доступ к файлам. Здесь в правой части у вас будут кнопки, вам нужно будет изменить права доступа к файлам, нажав на эти кнопки - «Установить рекомендуемое разрешения».
В конечном счете, все строчки у вас должны стать зелеными:
- Вкладка «Редактирование файлов»
Ставите галочку над пунктом «Отключить возможность редактирования PHP-файлов», если вы не хотите из админки править код.
- Вкладка «Доступ к файлам WP»
Ставим галочку над пунктом «Запретить доступ к информационным файлам, создаваемых по умолчанию при установке WordPress.»
Пункт «Файрволл»
- Вкладка «Базовые правила Файрволл».
Отметьте такие пункты как:
«Активировать основные функции брандмауэра»,
«Disable Pingback Functionality From XMLRPC»,
«Block Access to debug.log File».
Теперь жмите на кнопку «Сохранить основные настройки брандмауэра»
- Вкладка «Дополнительные правила файрволла»
Тут отметьте такие пункты:
«Отключить возможность просмотра директорий»,
«Отключить HTTP-трассировку»,
«Запретить комментарии через прокси»,
«Запретить вредоносные строки в запросах»
- Вкладка «6G Blacklist Firewall Rules»
Отметьте тут птичкой «Enable 6G Firewall Protection»
- Вкладка «Интернет-боты»
Пункт «Блокировать ложные Googlebots» не отмечайте, чтобы случайно не возникли проблемы с индексацией.
Пункт «Защита от брутфорс-атак»
- Вкладка «переименования страницы логина».
Эта функция похожа на плагин «Lockdown WP Admin»
Итак, отметьте строку «Включить опцию переименования страницы логина» птичкой.
Далее в строчке «Адрес (URL) страницы логина» придумайте секретный адрес входа, например, «bloggood»:
В итоге вместо http://адрес_сайта/wp-admin, адрес входа будет http://адрес_сайта/bloggood
- Вкладка «CAPTCHA на логин»
Тут я отметил все поля, а вы смотрите сами, нужна ли вам капча на странице логина или на странице «потерянного пароля».
- вкладка «Бочка с медом (Honeypot)»
Отметьте пункт «Активировать медовый бочонок (honey pot) на странице логина»
Пункт «Защита от SPAM»
- вкладка «Спам в комментариях»
Отметьте птичкой «Блокировать спам-ботов от комментирования»
Пункт «Сканер»
Отслеживание изменений в файлах. Я рекомендую включить, так как вы сможете отследить, какие файлы изменились и где искать вредоносный код после взлома или заражения.
Дорогие мои читатели, считаю важным предупредить вас, что пока я готовил данную статью, в плагине All In One WP Security были внесены дополнения, которые я еще не исследовал на том уровне, чтобы о них вам писать.
Понравился пост? Помоги другим узнать об этой статье, кликни на кнопку социальных сетей ↓↓↓
Последние новости категории:
Похожие статьи
Популярные статьи:
-
Как узнать id компьютера
Дата: 29 марта 2013
Прокомментировано:90
просмотров: 329815 -
Размеры форматов листов А0 – А7
Дата: 23 января 2013
Прокомментировано:3
просмотров: 274370 -
Смешные логические загадки с подвохом, отгадки прилагаются
Дата: 12 ноября 2014
Прокомментировано:5
просмотров: 220443 -
Установка windows 7 на ноутбук
Дата: 18 декабря 2012
Прокомментировано:169
просмотров: 186394 -
Готовые макеты блоков для веб-страниц на HTML и CSS
Дата: 25 июня 2014
Прокомментировано:23
просмотров: 181501
2 Ответов на комментарий - All In One WP Security – крутая защита сайта на WordPress
Добавить комментарий
Метки: wordpress, безопасность
Здравствуй Степан ! Спасибо за, как обычно, разложенную по полочкам инфу !!
Подскажи будь добр.. Как защитить форму обратной связи от спама ?
Форма обратной связи была сделана, как ты написал в своём блоге.
Здравствуйте, Александр.
Спасибо за комментарий.
Можно ссылку на мою статью про форму обратной связи?