Привет, ребята! Когда твой сайт становится немного раскрученным, появляются постоянные читатели, получаешь огромное удовольствие. Вроде бы все круто. Растет и поток денег, и отклик получаешь от аудитории, увеличивается узнаваемость. Но существует и обратная сторона медали. Это завистники, это внимание со стороны недоброжелателей.

Чтобы вы представляли, о чем идет речь: мой блог только за прошлую неделю взламывали 2 раза. Постоянные посетители, думали, заметили. Ребята, я настоятельно рекомендую ознакомиться с данным уроком, потратить время на внедрение советов, о которых говорю, чтобы больше обезопасить свой сайт и сэкономить время, деньги и нервы.

All In One WP Security - это самый необходимый плагин для увеличения безопасности в WordPress. Ставить его нужно всем, кто владеет сайтом на Вордпресс. Всем без исключения.

Если мой любимый - это комбайн в сфере SEO для WordPress, то плагин WP Security - аналог в сфере безопасности. То есть, если благодаря Yoast SEO я перестал нуждаться в нескольких SEO плагинах, то здесь точно также, благодаря All In One WP Security можно избавиться от других плагинов, которые лишь частично выполняют функции данного. Например, как:

• Login Lockdown;
• WordPress Database Backup;
• Anti-XSS attack;
• и другие подобные.

Огромные плюсы плагина All In One WP Security:

• бесплатный;
• настраивается очень просто;
• практически все переведено на русский язык, поэтому понятно о чем идет речь.

Настройка плагина All In One WP Security

Обязательно сделайте бэкап (резервную копию) перед началом работы (на всякий случай) следующих файлов:

• база данных;
• файл wp-config;
• файл htaccess.

Кстати, резервные копии этих трех файлов можно сделать прямо в данном же плагине, просто в админке перейдите в WP Security - Настройки:

Панель управления

Тут есть очень крутой информер, который показывает уровень защищенности вашего сайта:

Этот показатель поможет держать руку на пульсе и понимать, что еще нужно сделать для улучшения безопасности. Не рекомендую делать все, ради достижения максимальных баллов. Могут быть плохие последствия, ваш сайт может упасть, ошибочно функционировать.

Текущий статус самых важных функций. В этом блоке можно активировать самый необходимый функционал по безопасности вашего сайта (можете пока не трогать их, в ходе настроек по уроку, данные параметры активизируются итак):

Остальные параметры в Панели управления малоинтересны, Вы можете ради любопытства ознакомиться с ними (Информация о системе, Заблокированные IP адреса, AIOWPS.

Настройки

Общие настройки. Тут можно создать резервные копии файлов, о которых я говорил выше. Также отключить функции безопасности и файерволла, если что-то перестало работать.

WP мета-информация. Нажимаем на галочку напротив "Удаление метаданных WP Generator", чтобы не отображать версию WordPress:

Вкладка "Импорт/Экспорт". Здесь можно экспортировать свои настройки, чтобы потом на другом сайте не тратить время на настройки и импортировать в 2 клика все необходимые "галочки".

Администраторы

Пользовательское имя WP. Обязательно (!) смените имя администратора, если оно у вас "admin". Вы не представляете как много и часто подбираются пароли с логином admin. Если еще к тому же пароль очень легкий, ваш сайт легко может быть взломан.

Отображаемое имя. Если на вашем сайте есть аккаунты, у которых имя пользователя и отображаемое имя совпадает, то рекомендуется изменить отображаемое имя (никнейм).

Пароль. Очень интересная вкладка. Тут можно узнать, за какой промежуток времени можно подобрать в автоматическом режиме ваш пароль. Введите свой пароль и сильно удивитесь, насколько быстро его можно взломать. Обязательные условия для усиления безопасности:

• в вашем пароле должны быть как заглавные, так и строчные буквы;
• обязательно наличие хотя бы 1-ой цифры, но никак пароль не должен состоять только из цифр;
• желательно еще наличие какого-либо спецсимвола;
• длина пароля должна быть более 10 символов.

В итоге у вас должен быть максимальный степень безопасности вашего пароля, что-то в этом роде (пароль ниже домашний компьютер взломал бы за 57 337 лет (!)):

Авторизация

Обязательно включите эту функцию. Если пароль в течении 5-ти минут (по умолчанию) введется 3 раза неправильно, то IP блокируется на 60 минут (тоже по умолчанию). Я не рекомендую ставить блокировку больше по времени, а то можно столкнуться с тем, что сами администраторы вводят логин 3 раза неправильно, ставят блокировку на 10 лет и не знают что делать. Оставляем по умолчанию 60 минут и не паримся.

Также я рекомендую поставить галочку напротив "Сразу заблокировать неверные пользовательские имена". К примеру, вы поменяли логин с admin на krutysh, то при вводе логина admin в поле для авторизации, сразу же заблокируется IP адрес. "Уведомлять по email" - тут по мере необходимости. Я не люблю лишний спам, поэтому здесь галочку не ставлю.

Итоговые настройки данной вкладки у меня выглядят так:

Если вам любопытно, можете глянуть список заблокированных IP, ссылка на раздел приводится в данной же вкладке ниже.

Ошибочные попытки авторизации. Вот здесь как раз видны те логины, которые подбираются. Чаще всего у меня сверкают логины admin, root, font. Также видны время "попыток". Обратите внимание, как часто пытаются войти в админку:

Автоматическое разлогинивание пользователей. Рекомендую тоже включить данный чекбокс. Позволяет через определенное количество минут завершить сессию и разлогинить пользователя. Я ставлю 600 минут:

Вкладки "Журнал активности аккаунта" и "Активных сессий" носят информационный характер.

Регистрация пользователей

Ставим галочку напротив "Активировать ручное одобрение новых регистраций":

Да и можно поставить галочку CAPTCHA при регистрации:

Конечно, если нельзя зарегистрироваться другим людям на вашем сайте, верхние 2 пункта просто бесполезны, от них не станет ни лучше, ни хуже. Но, если вы сомневаетесь, лучше поставьте галочки в этих пунктах.

Защита базы данных

Здесь будьте аккуратны во вкладке "Префикс таблиц БД". Прежде чем поставить галочку, обязательно сделайте резервную копию своей базы данных (там же увидите ссылку на создание бэкапа своей БД). Если боитесь, сомневаетесь, лучше оставьте без галочки:

Резервное копирование БД. Здесь уже ставим галочку, выбираем частоту создания бэкапов и их количество. У меня. к примеру, такие цифры:

Защита файловой системы

Доступ к файлам. Здесь в правой части у вас будут кнопки, вам нужно будет изменить права доступа к файлам, нажав на эти кнопки. В результате все строчки у вас должны стать зелеными:

Редактирование файлов PHP. Если вы не правите свои PHP файлы через админку, ставим галочку. Править файлы через админку я не рекомендую хотя бы потому, что у вас нет возможности нажать CTRL+Z в случае чего и вы не сможете вернуть файл в исходное положение:

Доступ к файлам WP. Ставим галочку:

Системные журналы. Оставляем по умолчанию.

WHOIS-поиск

Можете вбить IP адрес, либо домен для получения WHOIS какого-либо домена. А так по сути тут нечего трогать.

Черный список

Если у вас нет недоброжелателей, можете не включать данный пункт. Если какой-то IP адрес постоянно сверкает в комментариях, к примеру, можете включить чекбокс и внести данный IP в черный список.

Файрволл

Базовые правила файрволла. Если вы не делали до этого момента резервную копию htaccess, то обязательно делаем его. И ставим галочки напротив всех пунктов:

Дополнительные правила файерволла. Тут тоже включаем все галочки:

UPDATE: ниже во вкладке "Дополнительная фильтрация символов" я убрал галочку, потому что некоторые комментарии не проходили, отдавали 403 ошибку. Наверное, все-таки, вам тоже я посоветовал бы убрать эту галочку , чтобы не было у пользователей проблем с комментированием.

Настройки 5G файрволл. Тоже включаем:

Интернет-боты. Здесь могут возникнуть проблемы с индексацией, поэтому я рекомендую не включать данный пункт.

Предотвратить хотлинки. Тоже включаем.

Custom Rules. Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.

Защита от брутфорс-атак

Переименовать страницу логина. Включаем. Меняем адрес логина на свой:

Защита от брутфорс-атак с помощью куки. Я не включаю данную функцию, чтобы не было проблем со входом с разных устройств.

CAPTCHA на логин. Можете включить CAPTCHA при авторизации, я же не включаю:

Белый список для логина. Так как я часто захожу на сайт с разных мест, IP у меня разный, поэтому данную опцию я не включаю:

Бочка с медом. Создается дополнительное поле, которое видят только роботы. Поэтому, при заполнении данного поля, робот будет перенаправлен на свой адрес. Включаем:

Защита от SPAM

CAPTCHA в форме комментариев. Я не включаю, так как не люблю усложнять комментирование, а вот функцию "Блокировка спам-ботом от комментирования" рекомендую включить:

Отслеживание IP-адресов по спаму в комментариях. Тут можно глянуть на "частосверкающие" IP по спаму в комментах и занести их в черный список.

BuddyPress. Добавляет CAPTCHA в форме регистрации BuddyPress. Я не использую ее.

Отслеживание изменений в файлах. Рекомендую включить, так как часто при взломе сайтов не совсем понятно, какой файл изменили, где искать вредоносный код. А с помощью этой функции сможете отследить изменения в файлах вашего сайта и быстро найти тот файл, который изменялся в последнее время.

Сканирование от вредоносных программ. Функция платная, стоит от 7$ в месяц.

Режим обслуживания

Позволяет "закрыть" сайт на время, чтобы сделать какие-то правки. То есть посетителям сайта будет предложена "заглушка", что ведутся работы на сайте. Полезно при смене дизайна, проверке работоспособности плагинов.

Разное

Защита от копирования текста и прочее. Здесь я нигде в трех вкладках не ставлю галочки. Тоже рекомендую не ставить.

Итоги

После завершения всех этих настроек, вы можете перейти в "Панель управления" и глянуть показатель уровня безопасности, у вас должно получится что-то вроде этого:

Повторюсь, не нужно необдуманно делать все, чтобы достигнуть максимально возможного балла. Не занимайтесь ненужным вредом для своего сайта, его работоспособности и удобства.

Если возникнут вопросы - пишите. Спасибо отдельное за ретвиты и репосты, за то, что помогаете людям донести эту важную информацию.

Совсем недавно состоялись ребрендинг и крупное обновление одного из самых успешных и мощных плагинов для защиты WordPress-сайтов. И, несмотря на предупреждения разработчиков, данный апдейт прошел без сучка и задоринки (по крайней мере, у большинства пользователей) . Даже не потребовалось проводить ручную реактивацию плагина, о необходимости которой нас предупреждали ранее.

Подробно о смене названия и о том, чего нам ожидать от iThemes Security в будущем, я уже писал в . Сейчас же я хочу представить вам инструкцию по детальной его настройке. Особенно полезно данное руководство будет тем пользователям, кто не очень хорошо понимает технический английский (плагин пока еще не переведен на русский язык даже частично, как это было ранее) и некоторые специфические технологии.

Как всегда в своих статьях, прежде чем перейти к процедуре "нажми туда, нажми сюда" , предлагаю ознакомиться с теоретической частью. А точнее с тем, что умеет делать и какие новые функции приобрел iThemes Security. Те, кто уже знаком с данным плагином давно, или те, кому все это не интересно, могут сразу перейти ко второй части инструкции.

Возможности плагина iThemes Security (ex-Better WP Security)

Все знают, что главная задача iThemes Security – это защита блогов на WordPress от всевозможных атак. И защита эта, надо сказать, очень качественная и мощная. На данный момент плагин имеет в своем арсенале более 30 способов обеспечения безопасности. А его разработчики не стесняясь называют свое детище "№ 1" среди подобных плагинов.

Да, сразу же хочу указать на одну важную деталь – безопасность чего бы то ни был, никогда не достигается каким-то одним инструментом. Безопасность – это всегда целый комплекс мер. Следует понимать, что только лишь установка iThemes Security (или любого другого схожего плагина) не может гарантировать вам стопроцентную защиту сайта. Поэтому нужно всегда помнить о базовых принципах защиты – соблюдение интернет-гигиены, содержание в чистоте и превентивная защита компьютера от вредоносного ПО и т.д. и т.п. Также не стоит забывать и о человеческом факторе.

Основной функционал iThemes Security можно поделить на несколько блоков.

Скрытие и удаление (obscure) всего того, что может нести в себе потенциальную опасность

• Смена URL страницы входа в админку - очень полезная функция, и в чем-то даже уникальная (вообще в iThemes Security, как и в раннем Better WP Security, очень много уникальных функций).
• Away Mode – полная блокировка админки в заданное время.
• Удаление заголовков Windows Live Write и RSD.
• Запрет уведомлений об обновлении WP, тем и плагинов.
• Смена логина "admin", если он используется.
• Смена дефолтного ID (1) администратора и префикса (wp_) таблиц БД
• Смена директории wp-content.
• Скрытие вывода ошибок при неверном вводе логина/пароля.
• Отображение для не-админов случайных версий плагинов, тем, ядра.

Защита (protect) WordPress сайта

Сокрытие некоторых частей сайта является очень полезным функционалом, но оно не может предотвратить все атаки. Поэтому среди возможностей iThemes Security имеются, конечно же, и методы защиты - блокировка "плохих" пользователей, повышение безопасности паролей и проч.:

• Сканирование сайта и мгновенное уведомление о слабых местах, имеющих уязвимости, и такое же быстрое их устранение.
• Блокировка проблемных User Agent, ботов и т.п.
• Защита от перебора паролей (brute force) путем блокировки пользователей и хостов, после множественных неудачных попыток входа в админку.
• Общее повышение безопасности веб-сервера.
• Принудительное обеспечение пользователей надежными паролями.
• Шифрование (SSL) админки и любых других страниц и записей (нужен сертификат SSL и поддержка сервером).
• Запрет на редактирование файлов движка, тем и плагинов из адинки.
• Обнаружение и блокировка различных атак на файловую систему и БД сайта.

Обнаружение (detect)

• Мониторинг файловой системы от несанкционированных изменений.
• Обнаружение различных "пауков" и "ботов", которые сканируют сайт в поиске уязвимостей.
• Уведомления по e-mail о случаях блокировки пользователей и хостов.

Восстановление (recovery)

iThemes Security делает регулярные резервные копии базы данных WordPress (по расписанию), что позволяет быстро вернуть исходное состояние сайта в случае его компрометации. К сожалению, базовая версия плагина не поддерживает полный файловый бэкап. Но эта функция имеется в платном сервисе компании iThemes – BackupBuddy.

Другие преимущества

• Возможность создать простую для запоминания страницу входа в админку (можно задать любой адрес, который будет легок для запоминания именно вам).
• Обнаружение ошибок 404, что является важным не только в плане безопасности, но и в плане SEO (битые ссылки на картинки, несуществующие страницы внутри сайта и т.п.)
• Удаление текущей используемой версии jQuery и замена ее на актуальную и безопасную (которая поставляется по умолчанию с WordPress).

Новые функции iThemes Security

• Запрет на выполнение PHP в папке загрузок (uploads).
• Предотвращение создания идентичного логину имени пользователя (отображаемого имени на сайте).
• Скрытие архивов авторов, у которых нет ни единой записи.
• Расширенные возможности по отправке уведомлений
• и др.

Что ж, вот такой вот функционал на данный момент имеется у плагина iThemes Security. Вряд ли у него найдутся серьезные конкуренты. Единственный, на мой взгляд, ближайший конкурент – это . Только он более "капризный" к конфигурации веб-сервера, и предназначен, скорее, для продвинутых пользователей.

Итак, с возможностями плагина разобрались, теперь пора приступить к его настройке.

Советую принять во внимание другую мою статью - , с обзором новых опций, которые не освещены в данной инструкции. Кроме того, относительно недавно я узнал, что замечательная девушка по имени Жанна Лира уже достаточно давно сделала перевод плагина и делится им совершенно безвозмездно с читателями своего блога. Если вам нужна русская локализация, можете взять ее

Установка и настройка плагина iThemes Security (ex-Better WP Security)

Установка для новых пользователей происходит в обычном режиме. Кому как удобней (о различных способах установки плагинов WP можете прочитать ). Страница плагина в репозитории WordPress.org пока что осталась прежней - https://wordpress.org/plugins/better-wp-security/ . Не знаю, изменится ли она в будущем.

При поиске из админки, плагин доступен по названию iThemes Security (formerly Better WP Security) , так что на данный момент его можно найти и по новому имени, и по старому. Как долго будет этот вариант названия, я тоже не знаю.

Итак, находим его, устанавливаем, активируем. И первым делом видим такую картину:

Нас интересует кнопка " Secure Your Site Now " (обезопасьте свой сайт сейчас) . Жмем на нее, и нас встречает окно первичных настроек "I mportant First Steps " (важные первые шаги) :

Все эти базовые настройки можно пропустить, и произвести их позже вручную. Для этого в нижнем правом углу есть ссылка "Dismiss" (отклонить) . Но я рекомендую произвести их именно сейчас, в автоматическом режиме.

Итак, мы видим 4 кнопки:

1. Back up your site – сделайте резервную копию БД сайта. Рекомендуется сделать это еще раз (хотя перед установкой плагина вы уже должны были сделать бэкап самостоятельно). Данная копия будет создана и отправлена на ваш административный e-mail средствами самого плагина.
2. Allow File Updates – разрешить обновление файлов. Речь идет о редактировании файлов wp-config.php и.htaccess, которое требуется для корректной работы плагина. Данная кнопка позволяет ему сделать автоматическое безопасное обновление этих файлов.
3. Secure Your Site – обезопасьте свой сайт. Воспользуйтесь кнопкой One-Click Secure (безопасность в один клик) , чтобы плагин активировал настройки по умолчанию. Причем будут активированы только те функции, которые не должны вызывать конфликтов с другими плагинами. Всё остальное можно будет настроить позже.
4. Help Us Improve – помогите нам стать лучше. Эта кнопка активирует функцию анонимного сбора данных об особенностях вашего сайта (вероятно - версия WP, установленные плагины, возникшие конфликты и т.п.) в целях улучшения плагина в будущем. Еще раз сделаю акцент на том, что сбор статистики анонимен, и компания iThemes не идентифицирует по ней пользователей. Решайте сами, включать эту опцию или нет.

В общем, жмите поочередно, как минимум на три кнопки из четырех (вместо каждой из них появятся уведомления об успешном действии). Затем жмите на "Dismiss", чтобы закрыть это окно.

Теперь необходимо настроить наш iThemes Security более тщательно.

Все настройки плагина находятся в панели управления (Dashboard ):

Сверху, как вы видите, находятся вкладки, по которым осуществляется основная навигация по настройкам. На главной же вкладке - Dashboard - имеется несколько блоков. Для удобства, их можно сворачивать. Также можно менять их местами. Вообще, здесь находится различная обзорная информация и уведомления. А в правой части - рекламные предложения от iThemes.

Сразу скажу, что настраивать iThemes Security мы будем не через кнопки "Fix It", а на следующей вкладке. Но все равно, давайте пробежимся и посмотрим, что тут у нас есть:

Приступая к работе

Здесь находится короткое видео по настройке, а также ссылка на сайт разработчиков, где можно получить помощь или приобрести PRO-версию плагина (а также другие продукты и услуги). Их видео мы смотреть не будем (моя статья вам на кой? =)), тем более, оно на английском. Так что, сворачиваем эту вкладку, чтобы она нам сейчас не мешала, и, перетаскиваем ее в самый низ (если хотите).

Если у вас есть желание и потребность посмотреть русскоязычное видео по обновлению и настройке iThemes Security , зайдите на сайт к Дмитрию по указанной ссылке. Он очень оперативно выпустил актуальную видеоинструкцию, за что ему большой респект от многих блогеров Рунета! (А с меня ссылка в знак искреннего уважения)

Статус безопасности

Это, пожалуй, самый важный блок на данной странице. Остановимся на нем подробней.

В данном блоке тоже имеются вкладки, которые указывают на степень критичности уведомлений – High (высокая), Medium (средняя), Low (низкая). Также есть две вкладки – All (всё на одной странице) и Complete (готовое, т.е. то, что плагин уже сделал/исправил) .

Высокий приоритет (High Priority) - отмечается бледнорозовым цветом и подразумевает необходимость немедленного исправления.

В моем случае, как вы видите, всего одно замечание – это необходимость настроить резервное копирование БД по расписанию.

Что ж, давайте воспользуемся волшебной кнопкой "Fix it" ("пофиксить", исправить) .

Нас тут же перебрасывает на вторую вкладку с основными настройками (Settings ), в раздел настроек резервных копий. И указывается тот пункт, который нужно пофиксить. В моем случае – это Schedule Database Backups (расписание для резервирования БД) . Отмечаем чекбокс (1), указываем интервал (2) и сохраняем изменения кнопкой Save Changes (3).

Раньше расписание можно было настроить так, чтобы резервные копии делались хоть каждый час. Сейчас же минимальный интервал – это 1 день.

После переходим обратно на вкладку Dashboard и видим, что замечаний с высокой критичностью больше нет.

Можно таким же способом пройтись и дальше - по пунктам Medium Priority и Low Priority , и также воспользоваться кнопками Fix it. Но, мы воспользуемся другим методом - будем производить настройку вручную, на вкладке Settings. Если же вам удобней делать это именно отсюда (с Dashboard), то без проблем. Особой разницы нет. Просто на основной странице плагина у всех могут быть разные уведомления. Поэтому я буду настраивать iThemes Security непосредственно через настройки (да и вообще, так удобней и правильней, как мне кажется)

Но перед этим мы быстро пробежимся по остальным информационным блокам Dashboard.

Активные блокировки

Здесь плагин будет информировать нас о том, какие узлы (т.е. IP-адреса ботов или живых людей) или пользователи (те, кто зарегистрирован на сайте) были заблокированы за различные недопустимые действия.

Системная информация

Тут находится информация об активном пользователе (т.е. о вас) - ваш IP-адрес и User Agent. Также здесь указываются:

• Абсолютный адрес сайта и корневая папка на сервере
• Доступны ли на запись файлы.htaccess и wp-config.php
• Информация о БД, сервере и PHP
• Некоторые параметры WordPress
• Используемый билд iThemes Security (версия сборки, которую нужно будет указать при обращении в саппорт; версия билда отличается от той версии, что указывается на странице плагина – это немного разные вещи)

Перезаписанные правила

Здесь будет находиться информация о том, какие именно правила прописал плагин в файл.htaccess

Правила для wp-config.php

Аналогично предыдущему пункту, только уже для другого файла, как вы понимаете.

Я для себя лично немного поменял местами эти блоки и все их свернул. Таким образом, главная страница панели управления плагином у меня теперь выглядит более компактно, да и открывается быстрее:

Все настройки плагина скомпонованы по отдельным блокам (секциям). Для удобства их также можно сворачивать или менять местами. Здесь же имеется и выпадающее меню для быстрой навигации по разделам. Также это меню будет всегда сопровождать вас в правой части области просмотра, в виде плавающего блока с выпадающем списком.

Напомню сразу, что после внесения изменений в любой из секций, необходимо сохраняться (" Save Changes ")

Глобальные настройки

Первым пунктом здесь значится Write to Files - запись в файлы. Этот пункт уже отмечен, и "галочку" снимать ни в коем случае не нужно (!). Иначе вы запретите плагину запись в файлы.htaccess и wp-config.php, тем самым все созданные правила и параметры конфигурации придется прописывать вручную.

Следующие два пункта – это указание e-mail адресов для получения уведомлений (Notification Email) и бэкапов (Backup Delivery Email) . Причем адреса можно указать разные; можно добавить и несколько адресов. Каждый e-mail следует прописывать с новой строки.

В поле " Host Lockout Message " можно указать сообщение, которое будет выводиться тем, кто был заблокирован плагином. По умолчанию лаконично указано "error". Можете проявить креативность и написать что-нибудь оригинальное. Но смысла в этом нет, т.к. в основном будут блокироваться всяческие боты.

В поле " User Lockout Message " можно прописать сообщение, которое будет отображаться для тех зарегистрированных на сайте пользователей, чей аккаунт будет заблокирован за неудачные попытки залогиниться. Можно оставить дефолтное сообщение " You have been locked out due to too many login attempts " ("Вы были заблокированы из-за слишком большого количества попыток входа").

Blacklist Repeat Offender – это черный список "рецидивистов", т.е. тех, кто регулярно пытается подобрать пароль или производит иные запрещенные действия. По умолчанию функция активирована, и я не рекомендую ее отключать.

Blacklist Threshold – порог для внесения IP-адреса в блэклист. То есть, здесь указывается то количество блокировок пользователя или хоста, после которого IP-адрес нарушителя будет перманентно добавлен в черный список. Дефолтное значение = 3. Это значит, что если кто-то получил три блокировки за попытки подобрать пароль к админке, то он отправляется в блэклист.

Blacklist Lookback Period – период, на который нарушитель отправляется в бан. Здесь указывается кол-во дней, которое нарушитель будет находиться в черном списке. Это значение можно увеличить (по умолчанию стоит 7 дней).

Lockout Period – период блокировки. Продолжительность времени (в минутах), в течение которого, хост или пользователь будет заблокирован после первичных нарушений (без внесения в черный список).

Пример : допустим, кто-то пытается подобрать пароль к админке, делает несколько неудачных попыток и временно блокируется на указанное кол-во минут. Если после разблокировки он не прекращает свою атаку, и получает еще две (если в Blacklist Threshold указано значение 3) временные блокировки, тогда он отправляется непосредственно в черный список.

Lockout White List – белый список. Здесь можно указать IP-адреса, которые не будут вноситься в блэклист. Если у вас статический айпишник, то целесообразно прописать его в данное поле, чтобы не возникало никаких потенциальных трудностей с доступом (прописаться в белом списке можно и с динамическим IP-адресом).

Следует отметить, что если вы активировали режим Away Mode (о нем позже), то в указанное в нем время, вы все равно не сможете попасть в админку. Правила Away Mode приоритетней белого списка.

IP-адреса в White List прописываются в стандартном IPv4 формате – например, 123.123.123.123. Также допускается использование символа (*) для указания диапазона адресов. Например, запись вида 123.123.123.* будет означать, что все IP-адреса, начиная с 123.123.123.0 и заканчивая 123.123.123.255, будут разрешенными. Это удобно, если у вас нет статического айпишника.

Каждый IP-адрес или подсеть следует вносить с новой строки.

Email Lockout Notifications – отправка писем, на указанную в поле Notification Email электронную почту, всякий раз, когда какой-либо хост или пользователь сайта будет заблокирован.

Log Type – тип логирования. Здесь можно указать, какие именно журналы будет вести плагин iThemes Security. Варианта три – только БД (Database Only), только файловые логи (File Only) или оба вида (Both).

Каждый из этих вариантов записи событий имеет свои преимущества и недостатки.

• Database Only – в журнал будут записываться все изменения, вносимые в БД, такие, как новый пост, новый комментарий и т.п. Также логироваться будет создание бэкапов. Зачем это нужно рядовому пользователю, я не понимаю. Советую не использовать данный режим.
• File Only – более полезный вариант логирования. Будут записываться разного рода ошибки 404, изменения файлов (при активной опции) и т.п. Рекомендую использовать именно этот режим.

Имейте в виду, что любая запись на диск сервера (а логирование – это, естественно, запись) вызывает дополнительную нагрузку. Ну, и сами логи занимают место, конечно же. Странно, что в плагине нет возможности полностью отключить журналирование

Days to Keep Database Logs – сколько дней хранить журналы БД. Если вы не активировали режим логирования Database Only, то нет никакой разницы, какое кол-во дней указывать в этом поле. Потому что файловый журнал будет все равно храниться неограниченное время, но с одним важным условием – по достижении размера в 10 MB, файл будет перезаписываться. Хорошее нововведение, потому как раньше, у некоторых пользователей логи съедали огромное кол-во дискового пространства, и их (логи) необходимо было чистить с завидной регулярностью. Вручную.

Path to Log Files – путь к файлам логов. Тут все понятно. Есть только одно замечание – указанная директория должна быть доступна для записи, и одна рекомендация – в целях безопасности не следует хранить логи в корне сайта. Короче говоря, оставляем все, как есть.

Allow Data Tracking – разрешить сбор статистики для iThemes. Это то самое, о чем мы уже говорили ранее. Хотите - включайте, хотите - нет. Еще раз напомню, что данные собираются и отправляются анонимно и пойдут они на пользу в развитии плагина.

Что ж, с Global Settings разобрались. Идем дальше. Ох, как много мне еще писать, а вам читать =)

Обнаружение ошибок с кодом 404

Данная функция заключается в сборе информации о том, каким хостам многократно отдается ошибка 404, и в их блокировке соответствующим образом. Этот анализ важен по нескольким причинам, главная из которых – предотвратить сканирование на предмет имеющихся уязвимостей.

Также данная опция дает дополнительное преимущество, помогая вам найти скрытые проблемы, вызывающие ошибки 404. Это могут быть, например, какие-то "битые" картинки или нерабочие внутренние ссылки. Все ошибки будут регистрироваться, а посмотреть их можно на вкладке "Просмотр журналов" (Логи, Logs).

Первым делом в этой секции мы видим некоторую информацию о текущих настройках по блокировкам (все это мы настраивали в блоке глобальных настроек). У меня, например, это выглядит вот так:

Enable 404 detection – собственно, активация данной функции.

Minutes to Remember 404 Error (Check Period ) – количество минут (контрольный период), в течение которого будут засчитываться локауты. Дефолтное значение 5 минут.

Пример: какой-то бот/парсер "долбит" сайт в поиске различных уязвимых файлов и страниц, и, не находя их, получает в ответ ошибки с кодом 404. Делает он это, предположим, в течение минуты, потом останавливается на минуту, и начинает снова. Плагин все эти его действия будет помнить и вскоре тот получит бан.

Если же, допустим, бот "подолбил" 30 секунд и ушел с сайта минут на 10, то при следующем его визите плагин будет считать его уже за вновьприбывшего, а прошлые "заслуги" данного хоста помнить не будет.

Поэтому, дефолтное значение можно немного увеличить (к примеру, до 10 минут).

Error Threshold – порог допустимых ошибок. Кол-во ошибок (в пределах контрольного периода) при достижении которых произойдет блокировка. Если задать значение 0, то запись ошибок будет происходить без блокировок (такой вариант следует использовать только в целях отладки, потому как при нем не будет пресекаться сканирование на уязвимости).

Значение по умолчанию = 20. Не думаю, что стоит его увеличивать, ведь ошибки 404 могут отдаваться не только при подозрительных действиях, но и, например, если у сайта нет favicon, или и т.д.

И вот тут очень кстати в iThemes Security появилось хорошее нововведение – список исключений (white list) для ошибок 404. В него уже добавлены наиболее известные общие файлы, отсутствие которых вызывает данные ошибки:

Этот список можно дополнять и другими известными файлами. Но более правильным решением будет привести все в порядок – создать фавикон, apple-touch-icon.png, robots.txt, sitemap.xml и т.п. Ведь white list не предотвращает запись ошибок сервером. А, как вы уже знаете, любая запись на жесткий диск – это дополнительные нагрузки.

Режим отсутствия / Гостевой режим

Данный режим позволяет полностью отключить доступ к админпанели WordPress в заданные дни или часы. Это может быть весьма полезным, и уж точно не будет лишним в плане дополнительной защиты.

Как это работает? Допустим, вы никогда не заходите в админку ночью и ранним утром. Или, скажем, вы уезжаете в отпуск, и точно знаете, что в это время не будете пользоваться админкой. Почему бы тогда ее вообще не отключить на эти часы или дни? Правильно? Правильно.

Прежде чем активировать и настроить данную опцию, помните, что часовой пояс, используемый на сайте, может отличаться от вашего реального часового пояса. Так что, производите настройки Away Mode, основываясь на глобальных настройках самого сайта.

Итак, чтобы включить гостевой режим, отмечаем чекбокс "Enable away mode" .

Если выбрать Daily, то для указания временного интервала нам будут доступны два параметра - Start Time (стартовое время) и End Time (конечное). Время указывается в 12-часовом формате. AM – до полудня; PM – после полудня.

Пример : если я хочу заблокировать админку в период с 2-х ночи до 7 утра, то я указываю - от 2:00 AM до 7:00 AM. В общем, погуглите, если необходимо. В интернете есть сервисы и таблицы соответствия 24- и 12-часовых форматов.

Если выбрать режим единоразовой блокировки, то нужно указывать дату и время ее начала, и дату и время ее окончания. Все гениальное - просто.

Заблокированные пользователи

Эта функция позволяет полностью запретить доступ к сайту определенным хостам и User Agent, что благоприятно скажется на противодействии спамерам, парсерам и прочим нечистоплотным людям и ботам.

Первым делом нам предлагается подключить базовый черный список известных проблемных User Agent, созданный группой HackRepair.com.

Вообще, что такое User Agent? В нашем случае - это некая информация, по которой (помимо прочего) веб-сервер идентифицирует обратившийся к нему хост. В ней содержится используемый браузер, ОС и проч. У поисковых роботов имеются свои собственные юзер-агенты, у спамерских ботов и различных парсеров свои и т.д. И на основании известных нежелательных User Agent используются подобные Black-листы.

Свой User Agent (UA) вы можете посмотреть, например, на сайте http://whatsmyuseragent.com/ . Попробуйте зайти на эту страницу с разных браузеров и обратить внимание на разницу UA.

Итак, чтобы активировать базовый блэклист отмечаем параметр "Enable HackRepair.com"s blacklist feature" . Если вам нужен самый свежий и полный список "плохих" юзер-агентов и хостов, то его всегда можно взять на странице http://pastebin.com/5Hw9KZnW и самостоятельно добавить в файл.htaccess

Есть одно замечание! Недавно где-то видел инфу, что данную опцию лучше не активировать, т.к. это может повлечь за собой блокировку некоторых поисковых роботов. Лично у меня всегда был подключен этот блэклист и я не наблюдал ни в Я.Вебмастере, ни в Гугл Вебмастере каких-либо проблем с доступом этих пауков к сайту. Так что, рекомендую эту функцию активировать. Кроме того, можно проанализировать данный список и убедиться, что в нем не присутствуют идентификаторы ни Гугла, ни Яндекса.

Помимо дефолтного блэклиста существует возможность и ручной блокировки определенных хостов или UA. Для этого необходимо активировать опцию "Enable ban users" , после чего нам станут доступны три поля для ввода:

• Ban Hosts – блокировка хостов. Сюда всегда можно внести какие-либо IP-адреса, с которых регулярно идут атаки на ваш сайт или спам.
• Ban User Agents – блокировка UA. В большинстве случаев, пополнять этот список вручную нет необходимости, достаточно базового списка с HackRepair.com. Но если вы вдруг обнаружите постоянную атаку с определенных UA, то почему бы и не воспользоваться возможностью их блокировки.
• Whitelist Users – белый список. Можете внести свой IP-адрес.

IP-адреса в эти списки вносятся по такому же принципу, как и в Lockout White List.

Защита от брутфорс атак

Очень важная функция, которая является дополнительным щитом поверх смены URL админки. А если вы не станете использовать подмену страницы входа в админ-панель (об этом чуть позже), то данная функция становится не просто важной, а архиважнейшей. Более того, она позволяет отказаться от дополнительных плагинов, выполняющих ту же самую задачу (Limit Login Attempts, Login Lockdown и др.).

По умолчанию опция уже активирована. А если по какой-то причине "галочка" возле "Enable brute force protection" не установлена, то поставьте ее.

Параметр " Max Login Attempts Per Host " отвечает за максимальное кол-во попыток для одного хоста. Дефолтное значение = 5. Т.е., если кто-то 5 раз подряд неправильно введет логин или пароль, то он будет заблокирован на указанное время.

" Max Login Attempts Per User " отвечает за количество попыток для конкретного пользователя. Т.е., если кто-то вбивает свой логин (или злоумышленник знает существующие на сайте логины), но неверно указывает пароль, то в бан уходит именно этот пользователь (его учетная запись). Значение по умолчанию – 10 попыток.

И заключительный параметр в этом блоке настроек – "Minutes to Remember Bad Login (check period)" – контрольный период, в течение которого плагин будет помнить неудачные попытки залогиниться. Также оставляем 5 минут. При желании, можно увеличить это значение.

Резервные копии (бэкапы) базы данных

Доподлинно известно, что одним из лучших способов защиты и устранения последствий атак являются резервные копии. Каждый блогер или владелец сайта просто обязан иметь ежедневные бэкапы БД.

В большинстве случаев, блогеры перекладывают эту задачу на хостинг. Но, как говорится, Aide toi et le ciel t’aidera. Так что, помимо хостерских бэкапов всегда следует иметь и запасной вариант. Кто-то использует для этого специальные плагины и скрипты, но зачем? Ведь iThemes Security справляется с этой задачей на 5+

Итак, первым параметром здесь является "Backup Full Database" – это режим создания полной резервной копии таблиц сайта. Если активировать данную опцию, то в бэкапы будут добавляться абсолютно все таблицы, которые могут и не относиться непосредственно к сайту (например, какие-то сторонние скрипты и т.п.). На всякий пожарный рекомендую ею воспользоваться, хотя это, в общем-то, и не критично.

• Save Locally and Email – хранить бэкапы на сервере и отправлять их по e-mail
• Email Only – отправлять только по электронной почте
• Save Locally Only – хранить только на сервере

Рекомендую использовать исключительно Email Only (если ваша БД не очень больших размеров). Потому что хранить резервные копии на том же сервере, где расположен сам сайт – это а) бессмысленно; б) трата дискового пространства.

Если же вы решили хранить бэкапы (и) на сервере, то в поле "Backup Location" можете указать директорию для их хранения (или оставить путь по умолчанию). Ни в коем случае не рекомендуется указывать корневую папку сайта для этих целей.

Убедитесь, что у вас отмечен пункт "Compress Backup Files" – это сжатие файлов резервных копий. Таким образом, файл БД будет упакован в ZIP-архив, что значительно уменьшит его размер.

Далее следует указание некоторых специфических таблиц, которые можно исключить из бэкапов (Exclude Tables) . К ним относятся таблицы, создаваемые некоторыми плагинами, и которые не всегда представляют какую-то реальную ценность.

По умолчанию в поле "Excluded Tables" включены таблицы, создаваемые плагином iThemes Security, а в левом поле "Tables for Backup" – те таблицы, которые создаются различными плагинами (в основном – это разные логи), но не относящиеся (как правило ) непосредственно к содержимому сайта.

Если вы уверены, что какие-то таблицы из правого поля не несут пользы для резервирования БД, то можете их исключить из создаваемых бэкапов. Тем самым может значительно уменьшиться размер резервных копий. Если не уверены, то оставляйте все как есть.

В любом случае помните, что данные бэкапы могут отличаться от бэкапов, созданных хостером, потому как на хостинге создаются полные резервные копии БД. Но, это ни в коем случае не означает, что резервные копии, созданные в iThemes Security, будут недееспособны. Отнюдь.

Ну, а далее идет расписание - Schedule Database Backups . О нем мы уже говорили почти в самом начале. Рекомендую ставить минимально возможное значение - 1 день. Таким образом, на вашу почту ежедневно будет приходить бэкап БД сайта.

Обнаружение изменений файлов

Даже самые лучшие решения в области безопасности могут потерпеть неудачу. Как в таком случае узнать, что кто-то получил административный доступ к вашему сайту? Скорее всего, злоумышленник будет менять какие-то файлы, внося в них свой код. Отслеживанием таких изменений и занимается данная функция.

В отличие от других решений, iThemes Security сравнивает файлы локально, с момента последней проверки, а не сверяет их с "заводскими" файлами удаленно.

После каждой проверки вы будете знать, были ли внесены какие-то изменения лично вами, или они появились в результате компрометации. Обращайте внимание, главным образом, на различные системные файлы, которые вдруг изменились без видимой причины (не было никаких обновлений, вы лично не вносили в них изменения и т.п.).

Если так случится, что на вашем сайте вдруг обнаружится вредоносный код, то благодаря данной опции вам проще будет отследить когда и куда он мог быть добавлен.

Нажмите кнопку " File Scan Now " , чтобы произвести добавление файлов и первичное сканирование. Если изменения обнаружатся, то вас перебросит на страницу журналов ("Logs") для просмотра деталей. Журналы изменений файлов находятся в секции :

Возвращаемся обратно к настройкам. Чтобы активировать ежедневную автоматическую проверку изменения файлов, отметьте галочкой пункт "Enable File Change detection" .

Следующим параметром - "Split File Scanning" - можно активировать режим разделения сканируемых файлов на категории. Всего категорий 7. Это плагины, темы, wp - admin , wp - includes , uploads (загрузки), wp - content и последняя – это все то, что не вписывается в предыдущие категории . Проверка этих частей будет разделена равномерно, в течение дня. Из чего следует, что данная настройка приводит к увеличению числа уведомлений, но в то же время она снижает нагрузку на сервер, что особенно актуально на "слабом" хостинге.

Почему это так важно? Раньше, при включенном отслеживании изменений файлов, сыпалось столько уведомлений, что многие просто отключали эту опцию. Связано это было, в том числе и с тем, что при использовании плагинов кэширования файлы на хостинге меняются весьма часто и в большом кол-ве (кэш). Сейчас же подобные кэшированные файлы можно исключить из проверки.

Делается это так (на примере папки с кэшем, которую использует плагин Hyper Cache, другие подобные плагины, скорее всего, используют эту же папку):

Имеется также возможность не исключать определенные файлы и папки, а наоборот включать только выбранные. Для этого в выпадающем меню выберите "Include Selected", и укажите, какие именно файлы и папки вы хотите мониторить.

В поле " Ignore File Types " можно указать различные расширения файлов, которые будут игнорироваться функцией отслеживания изменений. Обычно это файлы картинок и т.п. То есть это НЕ должны быть текстовые файлы (включая php, js и проч.), т.к. именно в них обычно и внедряется вредоносный или иной посторонний код.

Параметр " Email File Change Notifications " отвечает за отправку уведомлений об изменениях на указанный(ые) в глобальных настройках e-mail(ы).

Функцией " Display file change admin warning " можно включить/отключить показ уведомлений в админке.

Имеется возможность выбрать оба режима или какой-то один. Если же отключить их оба, то вы вообще не будете получать никаких уведомлений, но изменения в любом случае можно будет просматривать на вкладке "Logs".

Скрытие страницы входа в админку сайта

Еще одна уникальная функция плагина iThemes Security, благодаря которой можно здорово обезопасить свой сайт от брутфорс атак.

Работает это следующим образом – вместо стандартного URL входа в админку (site.ru/wp-login.php) вы можете указать любую произвольную страницу, например, site.ru/voydi_v_menya . Таким образом, вряд ли кто-то узнает, по какому адресу находится страница входа.

Также данная функция призвана облегчить запоминание адреса бэкенда (так часто называется админка сайта), и отказаться, наконец, от использования виджета META на сайте.

Для включения этого режима поставьте галочку возле "Enable the hide backend feature" .

В поле "Login Slug" (можно перевести, как "Вход для ленивых") укажите желаемый адрес для входа в админку. Это может быть любое удобное и запоминающееся для вас слово (или же набор символов). Само собой здесь нельзя использовать "login", "admin", "dashboard", или "wp-login.php". Также не рекомендую применять для адреса страницы входа какие-то ваши ники в интернете, дату рождения и т.п., потому как все это очень легко вычислить.

Если после скрытия админки у вас возникли проблемы с доступом в нее, то возможной причиной может стать несовместимость с темой. Для того, чтобы исправить это, воспользуйтесь опцией "Enable Theme Compatibility" .

В поле " Theme Compatibility Slug " указывается адрес, который будет выводиться при попытке зайти в админку по стандартному адресу site.ru/wp-login.php (если активирована предыдущая функция).

Ну что, устали? Потерпите, осталось не очень много =)

Шифрование (SSL)

Secure Socket Layers (SSL) - это технология, которая используется для шифрования данных, передаваемых между сервером и посетителями сайта. Если SSL активирован, он делает невозможным перехват данных для злоумышленника (в последнее время идет много споров на этот счет, но все равно технология остается максимально устойчивой). Поэтому рекомендуется использовать шифрование на страницах ввода паролей и иных данных. Любые, более-менее крупные сайты, где используется ввод и передача конфиденциальной информации, используют шифрование (на таких сайтах адрес начинается с https ://)

Однако этот режим требует того, чтобы ваш сервер имел поддержку SSL.

Ни в коем случае не активируйте SSL, если не имеете сертификата, и ваш хостинг не поддерживает данную технологию для клиентских сайтов. Иначе сайт, страница входа в админку или сама админка (в зависимости от выбранных настроек) станут не доступны.

Все это актуально для тех сайтов, где предусмотрена регистрация, имеется разного рода "личка", и, конечно же, для интернет-магазинов и т.д. Для обычных сайтов и блогов SSL-сертификат, как правило, не приобретается. Он попросту не нужен, т.к. все статьи, комментарии и все прочее, итак находятся в открытом доступе. Единственное, где шифрование может оказаться полезным для наших блогов – это страница входа и сама админка (этим мы сможем обезопасить себя, например, от перехвата пароля в момент его ввода).

В общем, в 99% случаев все это блогерами не используется, поэтому подробно рассматривать данную секцию мы не станем.

Надежные пароли

В данном разделе можно включить принудительное использование надежных паролей согласно оценке встроенного в WordPress измерителя паролей.

Данная настройка практически не актуальна для однопользовательских сайтов, где доступ в админку есть только у владельца (администратора), и где не предусмотрена регистрация пользователей. Тем более, вы, мои дорогие читатели, наверняка знаете, и где его хранить (ну, конечно же, в менеджерах паролей, типа , и т.п.)

В остальных случаях рекомендуется указать минимальную роль, для которой будет требоваться надежный пароль. Как правило, это Авторы, Редакторы и Администраторы . Для Участников и Подписчиков требовать сложный пароль не имеет смысла.

Но, опять же, все зависит от сайта. Если у вас, скажем, интернет-магазин, то требовать надежные пароли следует от любого пользователя, который будет в нем регистрироваться.

Что ж, нам осталось разобраться с двумя последними очень интересными секциями...

Тонкая настройка (твики) системы

Это дополнительные настройки, которые могут быть использованы в целях дальнейшего укрепления безопасности вашего WordPress сайта.

Данные настройки указаны, как расширенные, поскольку они блокируют распространенные формы атак, но они также могут блокировать функции легитимных плагинов и тем, которые имеют схожие методы. При активации настроек, указанных ниже, рекомендуется включать их поочередно, дабы проверить, что работа сайта не нарушилась.

Protect System Files – защита системных файлов. Предотвращение публичного доступа к readme . html , readme . txt , wp - config . php , install . php , wp - includes и. htaccess . Эти файлы могут содержать важную информацию о сайте, и публичный доступ к ним не нужен после успешной установки WordPress.

Disable Directory Browsing - отключение просмотра каталогов. Запрещает пользователям видеть список файлов в директориях, даже при отсутствии в них индексного файла (index.php).

Filter Request Methods – фильтрация методов запроса TRACE, DELETE, TRACK. Я не силен ни в PHP, ни в веб-серверных технологиях, но предполагаю, что речь идет о запросах, которые могут нести какую-либо нежелательную функцию (напр., возможность осуществления XSS-атаки). Если кто расскажет в комментариях об этом более подробно или поправит меня, буду очень признателен (да и не только я).

Filter Suspicious Query Strings in the URL - фильтрация подозрительных строк запроса в URL. Это очень частый признак того, что кто-то пытается получить доступ к вашему сайту. Но, следует иметь в виду, что некоторые плагины и темы также могут быть заблокированы при активации данной опции (обязательно проверьте работоспособность сайта после ее включения!) . Будет очень хорошо, если никаких проблем не возникнет, т.к. этот метод защиты очень важен! Если же проблемы все-таки появятся, то лучшим вариантом будет избавиться (по возможности) от несовместимого плагина, чем не активировать данную функцию.

Filter Non-English Characters – фильтрация не англоязычных символов из строки запроса. Этот фильтр работает только в том случае, если активирован предыдущий. Но, если на вашем сайте используется русская адресация (названия статей, рубрик и т.п.), то эту функцию включать не стоит. Иначе сайт может стать недоступным!

Вообще, если вы имеете дело с сайтами, с web, с серверами, линуксами и т.д., то пора уже привыкнуть, что использование не латинских символов в каких-то служебных целях крайне не желательно.

Filter Long URL Strings – фильтрация длинных строк в URL. Ограничивает число символов, которое можно послать в URL (не более 255). Хакеры часто используют длинные URL-адреса для внедрения сторонней информации в БД (SQL-инъекций).

Remove File Writing Permissions – удаление разрешений на запись в файлы. Данная функция запрещает различным скриптам и пользователям запись в файлы wp-config.php и.htaccess. Следует обратить внимание, что в данном случае, как и в случае с другими плагинами, эту защиту можно преодолеть. Но в любом случае, данный запрет укрепляет безопасность указанных файлов.

Если функция активирована, то на эти файлы устанавливаются права 444. В случае отключения, им возвращаются права 644.

Disable PHP in Uploads – запрет на выполнение PHP в папке uploads. Новая функция, которая позволяет предотвратить загрузку вредоносных скриптов в указанную папку.

Итак, мы активировали все (по возможности) эти функции, и переходим к последнему блоку.

Твики WordPress

Это дополнительные настройки, которые могут быть использованы в целях дальнейшего укрепления безопасности вашего WordPress сайта. Как и в случае с системными твиками, из-за некоторых из этих настроек могут возникнуть несовместимости и сбои в работе сайта. Рекомендуется включать их также поочередно.

Remove WordPress Generator Meta Tag – удаление мета-тега Generator. Удаляет из заголовка сайта мета-тег , который указывает используемую на сайте версию WP . Данная функция упразднена с версии 4.9.0.

В любом из мануалов по защите WordPress, первым делом рекомендуется удалять данный мета-тег, т.к. зная версию движка, злоумышленнику проще определить его уязвимости и вектор атак. Когда-то мы проделывали это вручную, теперь же за нас всё делает iThemes Security.

Remove the Windows Live Writer header – удаление заголовка Windows Live Writer. Если вы не пользуетесь WLW или другими платформами для написания и публикации статей на блоге, то данную функцию можно не активировать.

Remove the RSD (Really Simple Discovery) header – удаление заголовка RSD. Если вы не интегрировали свой ​​блог с внешними XML-RPC сервисами, (напр., с Flickr), то функция RSD является для вас в значительной степени бесполезной.

Говоря по-простому, обе предыдущие опции вырезают из header`а сайта примерно такие строки:

XML-RPC – это стандарт (протокол), используемый в т.ч. и WordPress для удаленной публикации статей и др. данных из сторонних программ, платформ и сервисов. Если вы не пользуетесь такими функциями (к ним, кстати, относятся и различные WP-клиенты для Android и iOS), то настоятельно рекомендуется отключить данный протокол. Из-за периодического появления в нем новых уязвимостей.

Недавний случай: в середине марта сего года были зафиксированы очередные мощные DDoS-атаки с использованием уязвимости XML-RPC. Но дидосились не сами WordPress-сайты с XML-RPC, они лишь использовались в качестве ретрансляторов для усиления атак (т.е. выступали в качестве участников ботнета).

Я могу ошибаться, но если память мне не изменяет, было обнаружено более 60 тыс. WP-сайтов, которые выступали в роли ботов для DDoS-атак из-за данной уязвимости. А их владельцы даже и не подозревали об этом. Да многие до сих пор, наверное, и не подозревают. Я даже видел ссылку на специальный сервис, где можно проверить свой сайт, не участвует ли он в подобных DDoS-атаках.

Вот поэтому рекомендуется отключать XML-RPC (если, конечно, вы его не используете). Раньше в админке WordPress была специальная функция для его деактивации. Сейчас же ее нет. Поэтому придется чуточку повозиться вручную (в интернете много информации о том, как это сделать) или же воспользоваться функцией iThemes Security, до которой мы скоро дойдем.

Reduce Comment Spam – уменьшение спама в комментариях. Эта опция позволит сократить кол-во спама, блокируя комментарии от ботов, не имеющих реферера или User Agent. Вряд ли это может повлиять на нормальные комментарии, так что включаем, не задумываясь. Облегчим работу .

Display Random Version – отображение случайной версии WordPress там, где невозможно удалить ее показ полностью. Актуально для многопользовательских сайтов.

Disable File Editor – отключение редактора файлов в админке WP. Не пользуетесь внутренним редактором? Смело отключайте.

Disable XML - RPC – отключение XML-RPC. То самое, о чем мы недавно говорили. Если не пользуетесь средствами удаленной публикации, обязательно отключите XML-RPC.

Enqueue a safe version of jQuery – установка безопасной версии jQuery. Эта функция удаляет текущую используемую версию библиотеки jQuery и заменяет ее на безопасную (которая поставляется по умолчанию с WordPress). Если версия этой библиотеки удовлетворяет требованиям iThemes Security, то ничего делать не нужно:

Disable login error messages – отключение сообщений об ошибках, которые отображаются при неудачной попытке входа в систему.

Force Unique Nickname - принудительное использование уникального ника, отличающегося от логина.

Disable Extra User Archives – отключение архивов пользователей, чье кол-во записей равно 0.

Ну, вот и все по основным настройкам. Теперь можно вновь перейти на вкладку Dashboard, и посмотреть на текущие уведомления. В моем случае сейчас они выглядят так:

Осталось пройтись по оставшимся вкладкам.

Продвинутые (расширенные) настройки

Приведенные ниже настройки являются продвинутыми. Убедитесь, что у вас имеется работоспособная резервная копия сайта перед изменением любого параметра на этой странице. Кроме того, эти установки не будут обращены вспять, даже если вы удалите плагин iThemes Security (!).

Тем не менее, все используемые здесь настройки рекомендуются самим сообществом WordPress.org, и они помогут в улучшении безопасности вашего сайта.

Admin User – удаление пользователя admin, если он имеется. Я никогда не использую дефолтный логин "admin" даже на тестовых сайтах. Поэтому здесь у меня никаких опций нет. Имеется лишь надпись " It looks like you have already removed the admin user . No further action is necessary (Похоже, вы уже удалили пользователя admin . Никаких дополнительных действий не требуется)". Надеюсь, что у вас также.

Change Content Directory – смена контент-директории. Ни в коем случае не экспериментируйте с этой функцией! Ее рекомендуется использовать только на вновь создаваемых сайтах. Иначе вы попросту потеряете все содержимое блога (не физически, конечно). И, как уже говорилось, не поможет даже удаление плагина. Хотя вернуть все на круги своя достаточно просто (нужно немного поправить файл wp-config.php).

Вообще, сменить директорию wp-content можно и на уже работающем сайте, но для этого потребуется вносить изменения в БД, в некоторые плагины, файлы движка т.д. Короче, задачка не для нас – рядовых блогеров. А вот если вы планируете создавать новый сайт, то первым делом установите iThemes Security и попробуйте воспользоваться данной возможностью. В будущем обязательно пригодится.

Change Database Prefix – смена префикса БД. По умолчанию в WordPress используется префикс wp_, что может облегчить задачу для злоумышленника. Рекомендуется менять дефолтный префикс таблиц.

Перед процедурой смены префикса обязательно сделайте резервную копию БД!

Ну что ж, теперь точно все =)

Осталось только сказать, что на вкладке Backups можно в любое время создать резервную копию текущего состояния БД (кнопка " Create Database Backup " ), а также кратко ознакомиться с сервисом BackupBuddy.

Если что-то осталось не понятным, или у вас есть замечания и дополнения, милости прошу в комментарии.

До новых встреч, друзья. Берегите себя и свои сайты!

С уважением, Александр Майер

Я уже рассматривал плагин по комплексной защите блога WordPress iThemes Security , но решил потестить еще один All In One WP Security & Firewall. Ну и оставить на своих сайтах лучший вариант. Итак, устанавливаем.

Переходим на главную страницу плагина All In One WP Security & Firewall. Видим следующую картину. И сразу же видим «Измеритель уровня безопасности». Мой сайт набрал 50 баллов из 470-ти возможных. Что же, не густо. Возможно после его настройки уровень подрастет. Но не следует стремится получить максимально возможный балл, так как это может вызвать проблемы работы с сайтом. В правой части видим «Диаграмму безопасности нашего сайта».

Настройки

Администраторы

Пользовательское имя WP

При установке WordPress автоматически присваивает администратору имя пользователя «admin» (если Вы вручную не измените его). Многие хакеры пытаются воспользоваться этой информацией, применяя для нападения «Брутфорс-атаку», когда они систематично подбирают пароль, используя слово «admin» в качестве имени пользователя. Поэтому рекомендуется его изменить на любое другое.

Отображаемое имя

Когда Вы публикуете пост или отвечаете на комментарий, WordPress обычно отображает Ваш «никнейм». По умолчанию отображаемое имя пользователя идентично логину аккаунта. Для безопасности рекомендуется поменять его, чтобы никто не мог узнать под каким логином вы авторизуетесь.

Пароль

Плохой пароль — это наиболее распространенная уязвимость на большинстве сайтов, и, как правило, первое, что будет делать хакер, чтобы проникнуть на сайт — попытается подобрать пароль. В данном разделе можно проверить надежность пароля, используемого вами. Если хакер будет подбирать ваш пароль, то здесь можно прикинуть время, которое он затратит.

Авторизация

Один из распространенных способов, используемых хакерами для проникновения на сайт, является Брутфорс-атака. Так называются многократные попытки входа методом подбора паролей. Помимо выбора надежных паролей, мониторинга и блокирования IP-адресов, участвующих в повторных неудачных попытках входа в течение короткого периода времени, блокировка количества попыток авторизации и ограничение периода времени для таких попыток, является очень эффективным способом противодействия этим типам атак.

Блокировка авторизаций

• Включить опции блокировки попыток авторизации . Ставим галочку.
• Допускать запросы на разблокирование . Не совсем понял, что означает данная функция. Я не стал ее включать.
• Максимальное количество попыток входа . Установите значение для максимального количества попыток входа, после чего IP-адрес будет заблокирован. Я оставил три попытки по умолчанию.
• Ограничение времени попыток авторизации (минуты) . По умолчанию пять минут. Три попытки из предыдущего пункта приведут к блокировке пользователя, если попытки будут выполнены в указанный здесь промежуток времени.
• Период блокирования (минуты) . Укажите период времени, на который будут блокироваться IP-адреса
• Выводить сообщения об ошибках авторизации . Отметьте эту опцию, если Вы хотите, чтобы при неудачных попытках авторизации отображалось сообщение об ошибке. Я не стал ее ставить. Ни к чему злоумышленнику получать информацию об ошибках.
• Сразу заблокировать неверные пользовательские имена . Я не стал включать эту опцию из-за того, что я сам могу неверно ввести логин и буду заблокирован на час. Также и другие могут ошибиться.
• Instantly Lockout Specific Usernames . Мгновенная блокировка конкретных пользователей. Чаще всего пытаются взломать логины «admin» и «administrator». Поэтому, если вы их не используете — можно добавить их в список.
• Уведомлять по Email . Если у вас слабопосещаемый сайт можете поставить галочку. В противном случае вас может засыпать данными уведомлениями.

Здесь отображаются записи о безуспешных попытках входа на Ваш сайт. Приведенная ниже информация может пригодиться, если Вам нужно провести исследование попыток авторизации — здесь отображается диапазон IP, имя пользователя и ID (если возможно) и время/дата неуспешной попытки входа на сайт.

Опции автоматического разлогирования пользователя

Установка ограничения срока действия сессии администрирования — это простой способ защиты от несанкционированного доступа к Вашему сайту с Вашего компьютера. Эта опция позволяет установить временной период, после истечения которого сессия администратора истекает и пользователю надо будет авторизоваться заново.

• Включить авторазлогинивание . Отметьте эту опцию, чтобы автоматически прекращать авторизационную сессию пользователей по истечении определенного периода времени. Ставьте галочку, если вам это нужно. Думаю, если вы заходите только со своего домашнего компьютера — в этом нет необходимости.
• Разлогинить пользователя через . Пользователь автоматически будет разлогинен по истечении этого периода времени.

Здесь отображается активность администраторов на Вашем сайте. Приведенная ниже информация может пригодиться, если Вы будете проводить исследование пользовательской активности, так как здесь будут показаны последние 50 событий авторизации с данными имени пользователя, IP-адресом и временем входа.

Здесь отображаются все пользователи, которые в настоящий момент авторизованы на Вашем сайте. Если Вы подозреваете, что в системе есть активный пользователь, которого не должно быть, тогда Вы можете их заблокировать, проверив их адрес IP в списке внизу, и добавив их в черный список.

Регистрация пользователя

Подтверждение в ручную

Если Ваш сайт позволяет людям самим создавать свои аккаунты через регистрационную форму WordPress, тогда можете свести количество СПАМ и левых регистраций до минимума, подтверждая каждую регистрацию вручную. Данная функция автоматически помечает аккаунты новых регистраций как «pending/в ожидании» пока администратор их не активирует. В этом случае нежеланные зарегистрировавшиеся не могут логиниться не имея Вашего подтверждения. Все недавно зарегистрированные аккаунты Вы можете увидеть в удобной таблице внизу, и также там можно одновременно выполнить активацию, деактивацию или удаление нескольких аккаунтов.

• Активировать ручное одобрение новых регистраций . Поставьте галочку тут, если хотите, чтобы все новые аккаунты автоматически создавались неактивными и Вы их могли подтверждать вручную.

Captca при регистрации

Данная функция позволяет Вам добавить поле CAPTCHA на странице регистрации WordPress. Кроме того, пользователи, которые пытаются зарегистрироваться, должны ответить на простой математический вопрос. Если ответ неверный, плагин не даст им зарегистрироваться. Так как у меня уже установлена каптча от гугла — я не стал активировать данную функцию.

Защита Базы данных

Резервное копирование БД

• Включить автоматическое создание бэкапов . Включите этот чекбокс, чтобы система автоматически создавала резервные копии базы данных по расписанию.
• Частота создания бэкапов . Зависит от вашей мнительности и частоты обновления вашего сайта. Я поставил создание копии БД один раз в неделю.
• Количество бэкапов для хранения . Укажите в этом поле количество резервных копий, которые должны храниться в бэкап-директории плагина. Я оставил значение по умолчанию — две копии.
• Пересылать бэкап на Email . Включите этот чекбокс, если хотите получать бэкап базы данных на свой Email. Рекомендую включить.

Защита Файловой системы

Доступ к файлам

Установки разрешений на чтение/запись для файлов и папок WordPress, позволяющие управлять доступом к этим файлам. При первоначальной установке WordPress автоматически присваивает разумные права доступа к своей файловой системе. Однако, иногда люди или плагины изменяют разрешения на определенные директории и файлы, снижая таким образом уровень безопасности своего сайта, установив неверные права доступа. Эта опция сканирует все важные директории и файлы ядра WordPress и подсвечивает все небезопасные настройки.

Редактирование файлов PHP

По умолчанию из панели администрирования WordPress позволяется редактировать PHP-файлы плагинов и тем. Это первейшее подспорье хакеру, получившему доступ в консоль администратора, предоставляющее ему возможность выполнить любой код на Вашем сервере.
Данная опция отключает возможность редактирования файлов из панели администратора.

• Отключить возможность редактирования PHP-файлов . Отметьте этот чекбокс, чтобы запретить редактирование PHP-файлов из админ-панели WordPress.

На мой взгляд — это не очень полезная функция. Ведь тот же хакер может в этом же плагине снять галочку, если получит доступ к вашему профилю администратора. В результате вам будут доставлены неудобства, так как для вставки кода того же счетчика, придется лезть на хостинг.

Доступ к файлам WP

Данная опция запретит доступ к таким файлам как readme.html, license.txt и wp-config-sample.php, которые создаются во время установки WordPress и не несут в себе системной нагрузки, но ограничение доступа к этим файлам позволит Вам скрыть от хакеров важную информацию (такую как версия WordPress).

• Запретить доступ к информационным файлам, создаваемых по умолчанию при установке WordPress. Отметьте этот чекбокс.

Системные журналы

Ваш сервер периодически может публиковать отчеты об ошибках в специальных файлах, которые называются «error_log». В зависимости от характера и причин ошибки, Ваш сервер может создать несколько файлов журналов в различных каталогах Вашей установки WordPress. Просматривая время от времени эти журналы, Вы будете в курсе любых основных проблем на Вашем сайте и сможете воспользоваться этой информацией для их решения.

WHOIS-поиск

Эта функция позволяет получить детальную информацию об IP-адресе или домене. Удобная функция, так как вам будет любопытно узнать информацию об адресах злоумышленников. Не потребуется лезть в Интернет в поисках подобных сервисов.

Функция «Черный список» позволяет блокировать определенные IP-адреса, диапазоны и юзер-агенты, отказывая в доступе к сайту тем пользователям и ботам, которые использовали эти IP-адреса для спама или по другим причинам. Данная функция реализуется добавлением в файл.htaccess определенных правил.

• Вести Черный список . Отметьте этот чекбокс, если Вы хотите иметь возможнось банить указанные IP-адреса или юзер-агенты.
• Введите IP-адреса . Каждый адрес с новой строки.
• Введите названия юзер-агентов . Каждый юзер-агент прописывайте в отдельной строке.

Чтобы получить возможность включить данную опцию и получить 15 баллов безопасности, необходимо ввести хотя бы один ip-адрес или юзер-агент.

Файрволл

Базовые правила файрволла

Опции в этой вкладке позволяют применить некоторые базовые правила защиты для Вашего сайта. Данная функциональность брандмауэра достигается методом добавления в Ваш файл.htaccess некоторых специальных директив. Активация этих опций не должна иметь никакого влияния на общую функциональность Вашего сайта, но при желании Вы можете создать backup Вашего.htaccess файла, перед тем, как включите эти настройки.

• Активировать основные функции брандмауэра . Отметьте этот чекбокс, чтобы активировать основные функции файрволла на Вашем сайте. Рекомендую поставить.

Эта опция запустит следующий базовый механизм защиты на Вашем сайте:

1. Защитит файл htaccess от несанкционированного доступа.
2. Отключит сигнатуру сервера в ответах на запросы.
3. Ограничит лимит на размер загружаемых файлов до 10Мб.
4. Защитит Ваш файл wp-config.php от несанкционированного доступа.

Вышеперечисленная функциональность будет достигнута методом добавления в файл.htaccess определенных директив и не должна повлиять на общую работоспособность Вашего сайта. Однако, просто на всякий случай, рекомендуется предварительно сделать резервную копию файла.htaccess.

WordPress XMLRPC & Pingback Vulnerability Protection

• Completely Block Access To XMLRPC . Рекомендую поставить. Один из моих сайтов перезагружали такими запросами и хостер меня засыпал жалобами о перегрузке сервера.

Данная функция необходима тем, кто через смартфоны публикует и редактирует записи на своем блоге. Если вам это не нужно — смело отключайте. Таким образом злоумышленник не сможет:

1. Перегрузить сервер запросами и вывести тем самым его из строя (DoS-атака).
2. Взломать внутренние маршрутизаторы.
3. Просканировать порты внутренней сети, чтобы получить информацию от различных хостов на сервере.

Помимо усиления защиты сайта, эта опция поможет значительно снизить нагрузку на Ваш сервер, особенно если Ваш сайт получает много нежелательного трафика, нацеленного на XML-RPC API.

• Disable Pingback Functionality From XMLRPC . Ставьте галочку. Пингбэк-защита.

Block access to Debug Log File

• Block Access to debug.log File. Блокировка доступа к отладочному лог-файлу. Поставьте галочку.

Дополнительные правила файрволла

В этой вкладке Вы можете активировать дополнительные настройки файрволла для защиты Вашего сайта. Эти опции реализуются методом добавления определенных правил в Ваш файл.htaccess. В силу определенных особенностей, эти правила могут нарушить функциональность некоторых плагинов, поэтому рекомендуется до их включения сделать backup файла.htaccess.

• Просмотр содержимого директорий . Включите этот чекбокс, чтобы предотвратить свободный просмотр директорий на Вашем сайте. Для того, чтобы эта функция работала, в Вашем файле httpd.conf должна быть включена директива «AllowOverride». Если у Вас нет доступа к файлу httpd.conf, обратитесь к своему хостинг-провайдеру.
• HTTP-трассировка . Отметьте этот чекбокс, чтобы защититься от HTTP-трассировки. Атаки на основе HTTP-трассировки (межсайтовой трассировки, или XST), применяются, чтобы получить информацию из возвращаемых сервером http-заголовков и похитить куки и другую информацию. Эта хакерская технология обычно применяется в сочетании с межсайтовым скриптингом (XSS). Данная опция предназначена для защиты от этого типа атак.
• Запретить комментарии через прокси . Отметьте этот чекбокс, чтобы запретить комментирование через прокси. Запретить вредоносные строки в запросах. Эта опция предназначена для защиты от ввода вредоносного кода при XSS-атаках. ВНИМАНИЕ: Некоторые из блокируемых строк могут использоваться в каких-то плагинах или Вашей теме, и, следовательно, данная опция может нарушить их функциональность. Обязательно сделайте резервную копию.htaccess до установки данной опции.
• Запретить вредоносные строки в запросах . Эта опция предназначена для защиты от ввода вредоносного кода при XSS-атаках. ВНИМАНИЕ: Некоторые из блокируемых строк могут использоваться в каких-то плагинах или Вашей теме, и, следовательно, данная опция может нарушить их функциональность. ОБЯЗАТЕЛЬНО СДЕЛАЙТЕ РЕЗЕРВНУЮ КОПИЮ ВАШЕГО.HTACCESS-ФАЙЛА.
• Активировать дополнительную фильтрацию символов . Это дополнительная фильтрация символов для блокировки вредоносных команд, используемых в XSS-атаках (межсайтовый скриптинг). Данная опция фиксирует распространенные образцы вредоносного кода и эксплойты и вернет хакеру сообщение об ошибке 403 (доступ запрещен). ВНИМАНИЕ: Некоторые директивы в этих установках могут нарушить функциональность сайта (это зависит от хостинг-провайдера). ОБЯЗАТЕЛЬНО СДЕЛАЙТЕ РЕЗЕРВНУЮ КОПИЮ ВАШЕГО.HTACCESS-ФАЙЛА.

6G Blacklist Firewall Rules

Включите данные опции, если хотите выполнить:

1. Блокировку запрещенных символов, обычно используемых в хакерских атаках.
2. Блокировку вредоносных закодированных строк в URL, таких как «.css» и т.п.
3. Защиту от распространенных шаблонов вредоносного кода и специфических эксплойтов (последовательностей команд, использующих известные уязвимости) в URL.
4. Блокировку запрещенных символов в параметрах запросов.

Enable 6G Firewall Protection . Эта опция активирует 6G-защиту на Вашем сайте.

Enable legacy 5G Firewall Protection . Эта опция активирует 5G-защиту на Вашем сайте.

Интернет-боты

• Блокировать ложные Googlebots . Отметьте этот чекбокс, если хотите блокировать все ложные Google-боты.

Данная функция проверяет, содержит ли поле User Agent information строчку «Googlebot». В таком случае, функция выполняет несколько тестов для того, чтобы убедится, действительно ли это — бот от Google. Если да, тогда позволяет боту работать дальше. Отнеситесь к данной функции с осторожностью, чтобы не получить проблем с индексацией в случае ошибки.

Предотвратить хотлинки

Хотлинк — когда кто-то на своем сайте показывает изображение, которое, на самом деле, находится на Вашем сайте, используя прямую ссылку на исходник изображения на Вашем сервере. Так как изображение, которое показывается на чужом сайте, предоставляется с Вашего сайта, для Вас это может привести к потерям скорости и ресурсов, потому что Вашему серверу приходится передавать эту картину людям, которые видят ее на чужом сайте. Данная функция предотвращает прямые хотлинки на изображения с Ваших страниц, добавив несколько инструкций в Ваш файл.htaccess.

• Предотвратить хотлинки на изображения . Отметьте этот чекбокс, чтобы предотвратить использование изображений этого сайта на страницах чужих сайтов (хотлинкс).

Детектирование 404

Ошибка 404 или «Страница не найдена» возникает, когда кто-то запрашивает страницу, которой нет на Вашем сайте. Большинство ошибок 404 случаются, когда посетитель написал URL страницы с ошибкой или использовал старую ссылку на страницу, которой уже нет. Однако, иногда можно заметить большое количество ошибок 404 подряд за относительно короткое время с одного и того же адреса IP, с запросами URL страниц, которых нет. Такое поведение может означать, что хакер пытается найти какую-то специальную страницу или URL со злым умыслом.

• Enable 404 IP Detection and Lockout . Отметьте этот чекбокс, если Вы хотите иметь возможнось банить указанные IP-адреса.
• Период блокирования из-за ошибок 404 (минуты) . Укажите период времени, на который будут блокироваться IP-адреса.
• URL перенаправления при ошибке 404 . Заблокированный посетитель автоматически будет переадресован на указанный вами адрес URL.

Вы можете заблокировать любые IP-адреса, которые записаны в таблице «Логи ошибок 404» внизу. Для того, чтобы заблокировать адрес IP, наведите мышь на графу ID и нажмите на ссылку «Заблокировать временно» для соответствующего адреса IP.

Custom rules

Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.

Защита от брутфорс-атак

Переименовать страницу логина

Эффективная мера защиты от перебора паролей — изменение адреса страницы логина. Обычно, для того, чтобы логиниться в WordPress, Вы набираете базовый адрес сайта, и затем wp-login.php (или wp-admin).

• Включить опцию переименования страницы логина . Ставьте галочку, если хотите активировать функцию переименования страницы логина.
• Адрес (URL) страницы логина . Укажите новый путь к админке.

Защита от брутфорс-атак с помощью куки

• Активировать защиту от брутфорс-атак . Эта функция запретит доступ к Вашей странице авторизации любому пользователю, у которого в браузере нет специального куки-файла.
• Секретное слово . Введите секретное слово, состоящее из буквенно-цифровых символов (буквы латинские), которое будет трудно разгадать. Это слово будет использовано, чтобы создать для Вас специальный URL для доступа к странице авторизации (смотрите следующий пункт).
• URL перенаправления . Введите URL, на который будет перенаправляться хакер при попытках получить доступ к Вашей форме авторизации. Вы можете проявить фантазию и перенаправлять хакеров, например, на сайт ЦРУ или ФСБ.
• На моем сайте есть посты или страницы, закрытые встроенной функцией WordPress для защиты контента паролем . В случае, если Вы защищаете свои посты и страницы паролями, используя соответствующую встроенную функцию WordPress, в файл.htaccess необходимо добавить некоторые дополнительные директивы. Включение этой опции добавит в файл.htaccess необходимые правила, чтобы люди, пытающиеся получить доступ к этим страницам, не были автоматически заблокированы.
• На этом сайте есть тема или плагин, которые используют AJAX . Поставьте галочку, если Ваш сайт использует функциональность AJAX.

Captcha на логин

Данная функция позволяет Вам добавить поле CAPTCHA на странице логина WordPress.

• Включить CAPTCHA на странице логина . Включите этот чекбокс, чтобы добавить CAPTCHA на странице логина Вашего сайта.
• Активировать форму CAPTCHA на измененной странице логина . Поставьте галочку тут, чтобы добавить CAPTCHA в специальную форму логина, которая генерируется функцией wp_login_form()
• Активировать CAPTCHA на странице «потерянного пароля» . Поставьте галочку тут, чтобы добавить CAPTCHA на странице восстановления пароля.

Белый список для логина

Функция белого списка All In One WP Security дает возможность открыть доступ на страницу логина WordPress только с определенных адресов или диапазонов IP. Добавьте список белых ip-адресов или диапазонов ip. Все остальные адреса будут заблокированы, как только пытаются открыть страницу логина.

Бочка с медом (honey pot)

Данная функция позволяет добавить специальное, скрытое поле «honeypot» на странице логина. Оно будет видно только роботам. Т.к. роботы обычно заполняют все поля в форме логина, они отправят и какое-то значение в специальном, скрытом поле медового бочка (honey pot). Поэтому, если плагин видит, что данное поле было заполнено, робот, который пытается логиниться на Вашем сайте, будет перенаправлен на свой собственный адрес, а именно — http://127.0.0.1.

• Активировать медовый боченок (honey pot) на странице логина . Включите этот чекбокс, чтобы активировать функция медовый бачок / honeypot на странице логина.

Защита от SPAM

Спам в комментариях

• Активировать CAPTCHA в формах для комментариев . Отметьте этот чекбокс, чтобы вставить поле CAPTCHA в форму для комментариев.
• Блокировать спам-ботов от комментирования . Отметьте этот чекбокс, чтобы активировать правила файрволла для блокировки комментарии от спам-ботов.Данная функция создаст правило файрволла, который блокирует попытки записать комментарий, если запрос не пришел со страницы Вашего домена. Честный комментарий всегда отправлен человеком, который заполняет форму комментирования и кликает на кнопку «Отправить». В таком случае, поле HTTP_REFERRER всегда имеет значение, которые ссылается на Ваш домен. Комментарий от спам-бота отправляется сразу запросом на файл comments.php, это обычно означает, что поле HTTP_REFERRER может быть пустым, или ссылается на чужой домен. Данная функция проверяет и блокирует комментарии, которые не пришли с Вашего домена. Это сильно снижает общее количество СПАМА и PHP-запросов на Вашем сервера при обработке спам-запросов.

Отслеживание IP-адресов по спаму в комментариях

Должен быть установлен плагин Akismet.

• Enable Auto Block of SPAM Comment IPs . Установите для автоматической блокировки ip-адресов с которых идет впам в комментарии.
• Minimum number of SPAM comments . Укажите минимальное количество спам-комментариев для одного IP-адреса после чего он будет заблокирован.
• Минимальное количество спам-комментариев на каждый IP . Эта информация может быть полезна для определения IP-адресов или их диапазонов, наиболее стабильно использующихся спаммерами. Анализ этой информации позволит Вам быстро определить, какие адреса или диапазоны следует заблокировать, добавив их в черный список.

BuddyPress

Данная функция добавит CAPTCHA с простой математической задачей в форму регистрации BuddyPress. Добавление поле CAPTCHA в регистрационной форме — простой способ значительно снизить количество спам-регистраций от роботов, без изменения правил в файле.htaccess.

Сканнер

• Активировать автоматическое сканирование изменений файлов . Включите этот чекбокс, чтобы система автоматически проверяла, есть ли изменения в файлах, на основе настроек ниже.
• Частота сканирования . Укажите периодичность сканирования.
• Игнорировать файлы следующих типов . Прежде всего введите файлы изображений, которые могут часто изменяться без ущерба для безопасности сайта: jpg, jpeg, png, bmp.
• Игнорировать определенные файлы и папки . В первую очередь укажите папку с кешем.

Режим обслуживания

Эта опция позволяет перевести Ваш сайт в режим обслуживания, сделав невозможным просмотр сайта посетителями, за исключением администраторов. Это может быть очень полезным, если Вы что-то настраиваете, меняете дизайн, проверяете работу плагинов и т.д. и т.п.

Разное

• Активировать защиту от копирования . Включите эту опцию, если Вы хотите блокировать функции «Правая кнопка», «Пометка текста» и «Копировать», на публичных страницах Вашего сайта.
• Активировать iframe-защиту . Отметьте, если Вы хотите, чтобы другие сайты не могли показывать Ваш контент внутри frame или iframe.
• Disable Users Enumeration. Эта функция позволяет предотвратить пользователям/ботам извлекать информацию пользователя типа «/?Автор=1». При включении, эта функция будет выдавать ошибку, а не предоставлять информацию о пользователе.

Оценить статью

Плагин безопасности All In One WP Security & Firewall для WordPress

4.3 (86.67%) 3 голос[ов]

Друзья, если вы веб-мастер и создаёте свои сайты на WordPress, вы наверняка сталкивались со спамом в комментариях и попытками взлома вашего сайта злоумышленниками. В это статье мы поговорим с вами о том, как защитить свой сайт на WordPress от спама с помощью плагина All in One WP Security & Firewall. Забегая немного вперед, хочу сказать, что данный плагин имеет большое количество настроек и является универсальным средством защиты вашего сайта на WordPress.

1. Установка плагина.
2. Настройка плагина
   • Общие настройки
   • Администраторы
   • Аторизация
   • Регистрация пользователя
   • Защита базы данных
   • Защита файловой системы

Итак, приступим к освоению плагина All in One WP Security & Firewall. Для того чтобы установить плагин, необходимо в панели администратора перейти на вкладку плагины и нажать на кнопку «добавить новый».

Обратите внимание, что на скриншоте кнопка не активна и написано «Активен». Это связанно с тем, что плагин уже установлен. У вас же кнопка будет активна и на ней будет написано «Установить». После того, как вы нажмете на кнопку, плагин начнет устанавливаться. После этого, на кнопке будет написано «активировать», жмем на нее, тем самым активируем плагин.

После установки и активации плагина, в левой части панели управления появится вкладка «WP Security». Щелкаем по ней и разбираемся:

Обратите внимание на цифру 340. Таким образом, плагин показывает, на сколько баллов защищен сайт из возможных 500.

Настройки плагина All in One WP Security & Firewall

Настройки

1. Переходим в настройки,

вкладка «общие настройки».

Здесь вы можете создать резервные копии:

• Базы данных;
• Файла.htacces;
• Файла wp-config.php.

1. Вкладка.htacces файл. Файл «.htaccess» — это ключевой компонент обеспечения безопасности сайта, который позволяет в значительной степени варьировать механизмы его защиты. В этом разделе Вы можете создать резервную копию файла.htaccess и, при необходимости, восстановить его из резервной копии в будущем.
2. Вкладка wp-config.php файл. Файл wp-config.php — это один из наиболее важных файлов WordPress, содержащий данные доступа к Вашей базе данных и другие очень ценные настройки. В этом разделе Вы можете создать резервную копию этого файла и, при необходимости, восстановить его в будущем, используя эту резервную копию.
3. Вкладка WP Version Info. WP Generator автоматически выводит информацию о текущей весии WordPress в специальном мета-теге в секции «head» на всех страницах сайта. Вот пример такого вывода:
   Эта информация существенно помогает хакерам и их роботам-паукам определять, не используете ли Вы какую-нибудь устаревшую версию WordPress с уже известными уязвимостями.
4. Вкладка Импорт/Экспорт. Данная секция позволяет Вам экспортировать или импортироать все настройки All In One WP Security & Firewall. Это может быть удобно, если Вы хотите использовать одинаковые настройки на нескольких сайтах. Внимание: До того, как импортировать, Вы должны понимать, какие настройки Вы пытаетесь импортировать. При слепом импорте настроек, есть риск, что Вы потеряете доступ к Вашему собственному сайту. Например, если какая-нибудь настройка зависит от URL домена, тогда она может не работать правильно при использовании сайта с другим доменом.
5. Вкладка Advanced Settings. Параметры IP Retrieval позволяют указать, какую глобальную переменную $ _SERVER вы хотите использовать для получения IP-адреса посетителя.По умолчанию этот плагин использует переменную $ _SERVER [‘REMOTE_ADDR’] для получения IP-адреса посетителя. Обычно это самый надежный способ получить IP-адрес. Однако в некоторых настройках, таких как те, которые используют прокси-серверы, балансировщики нагрузки и CloudFlare, может потребоваться использовать другую переменную $ _SERVER. Вы можете использовать приведенные ниже настройки, чтобы настроить, какой глобальный $ _SERVER вы хотите использовать для получения IP-адреса.

Администраторы

1. Вкладка «Пользовательское им WP». При установке WordPress автоматически присваивает администратору имя пользователя «admin» (если Вы вручную не измените его). Многие хакеры пытаются воспользоваться этой информацией, применяя для нападения «Брутфорс-атаку», когда они систематично подбирают пароль, используя слово «admin» в качестве имени пользователя. По соображениям безопасности, одна из первых и наиболее разумных вещей, которую Вы должны сделать на своем сайте, это изменить имя пользователя «admin», установленное по умолчанию. Этот раздел предназначен для изменения имени пользователя «admin» на более безопасное, по Вашему выбору.
2. «Отображаемое имя». Когда Вы публикуете пост или отвечаете на комментарий, WordPress обычно отображает Ваш «никнейм». По умолчанию отображаемое имя пользователя идентично логину аккаунта. Из соображений безопасности, этого допускать нельзя, так как это уже на половину облегчает хакеру работу — фактически, Вы сами сообщаете ему логин своего аккаунта. Поэтому, чтобы усилить безопасность сайта, мы рекомендуем Вам изменить свой никнейм и отображаемое имя, чтобы они отличались от Вашего имени пользователя.
3. «Пароль». Плохой пароль — это наиболее распространенная уязвимость на большинстве сайтов, и, как правило, первое, что будет делать хакер, чтобы проникнуть на сайт — попытается подобрать пароль. Многие люди сами себе ставят ловушку, используя в качестве пароля простое слово или ряд цифр. На подбор такого предсказуемого пароля у опытного хакера уйдет всего несколько минут, так как для этого используются специальные программы с большими базами наиболее распространенных сочетаний букв, слов и цифр. Чем длиннее и сложнее пароль, тем тяжелее будет хакеру его подобрать, потому что это требует гораздо больше вычислительных мощностей и времени. Здесь Вы можете проверить свой пароль на надежность.

Авторизация

1. Первая вкладка «Блокировка авторизаций». Здесь можно настроить процесс авторизации на вашем сайте.

• Отмечаем галочку, если хотим активировать блокировку попыток авторизации.
• Далее ставим галочку, если хотим позволить пользователям самостоятельно разблокировать свой аккаунт.
• Указываем максимальное количество попыток входа.
• Указываем ограничение времени попыток авторизации в минутах.
• Устанавливаем период блокирование в минутах.
• Ставим галочку, если хотим выводить сообщение об ошибках авторизации (необязательно).
• Не рекомендую ставить галочку в пункте «Сразу заблокировать неверные пользовательские имена», так как можно самим ошибиться при вводе имени пользователя.

• Далее в поле ввода можно указать имена пользователей, которые не будут блокироваться при неудачных авторизациях
• Ниже ставим галочку, если хотим получать уведомления неудачных попытках авторизации и указываем почтовый ящик.

• Если вы хотите пользоваться белым списком избранных IP-адресов, то ставим галочку и вводим в поле ниже IP-адреса.

1. Далее переходим во вкладку «Ошибочные попытки авторизации». Здесь будут отображаться записи о безуспешных попытках авторизации.
2. Вкладка «Автоматическое разлогинивание пользователей». Здесь ставим галочки, если хотим, чтобы выход пользователя происходил автоматически. Ниже указываем время в минутах каждой сессии.
3. Вкладка «Журнал активности аккаунта». Здесь отображается информация по активности аккаунтов на вашем сайте.
4. «Активные сессии» — отображает активные сессии.

Регистрация пользователя

1. Вкладка «Подтверждение вручную». Если хотим самостоятельно подтверждать регистрацию пользователей на сайте, ставим галочку.
2. «CAPTCHA при регистрации». Ставим галочку если хотим выводить капчу при регистрации пользователей.
3. Регистрация «Honeypot». Honeypot с английского – горшочек меда. Представьте себе, медведя, который забрался кому-то в гости. Если он увидит горшочек меда, то обязательно возьмет его, он же медведь! Теперь представьте себе робота, который регистрируется на вашем сайте. Honeypot это некое скрытое поле, которое видит только робот и при регистрации он обязательно заполнит это скрытое поле. Как только плагин обнаружит, что это поле заполнено, то сразу поймет, что это робот и заблокирует регистрацию.

Защита базы данных

1. «Префикс таблиц БД». По умолчанию префикс таблиц WordPress – “wp_”. Атакам хакеров часто подвергаются базы данных сайта. Для того, чтобы усилить защиту, необходимо поменять префикс таблиц. Это можно сделать автоматически или вручную. Ставим галочку и жмем «Изменить префикс таблиц», чтобы изменить префикс автоматически. Если хотим сделать это вручную, в поле записываем префикс и жмем «Изменить прификс таблиц».
2. «Резервное копирование БД». Здесь мы настраиваем резервирование базы данных: частоту создания бэкапов и количество хранящихся бэкапов.

Защита файловой системы

1. «Доступ к файлам». Нажимаем кнопку «Применить рекомендуемые параметры где это необходимо».
2. «Редактирование файлов PHP». Если хоти запретить редактировать файлы в админ панели, ставим галочку. ВНИМАНИЕ! Установив эту галочку пункт «Редактор» в пункте «Внешний вид» отображаться не будет. Чтобы редактировать файлы например, header.php или style.css, необходимо, зайти на хостинг и редактировать файлы в файловом менеджере.
3. Доступ к файлам WP. Если хотим запретить доступ к файлам readme.html, license.txt и wp-config-sample.php, ставим галочку.
4. Системные журналы. Ваш сервер периодически может публиковать отчеты об ошибках в специальных файлах, которые называются «error_log». В зависимости от характера и причин ошибки, Ваш сервер может создать несколько файлов журналов в различных каталогах Вашей установки WordPress. Просматривая время от времени эти журналы, Вы будете в курсе любых основных проблем на Вашем сайте и сможете воспользоваться этой информацией для их решения.

Whois-поиск

Эта функция позволяет получить детальную информацию об IP-адресе или домене. Чтобы получить информацию, введите доменное имя и нажмите «Выполнить поиск по IP или домену».

Черный список

Функция «Черный список» позволяет блокировать определенные IP-адреса, диапазоны и юзер-агенты, отказывая в доступе к сайту тем пользователям и ботам, которые использовали эти IP-адреса для спама или по другим причинам. Данная функция реализуется добавлением в файл.htaccess определенных правил. Блокируя пользователей с помощью директив файла.htaccess, Вы получаете первую линию обороны, которая отбросит нежелательных посетителей сразу же, как только они попытаются создать запрос к Вашему серверу.

Файерволл

1. Базовые правила файрвола. Опции в этой вкладке позволяют применить некоторые базовые правила защиты для Вашего сайта. Данная функциональность брандмауэра достигается методом добавления в Ваш файл.htaccess некоторых специальных директив.
   Активация этих опций не должна иметь никакого влияния на общую функциональность Вашего сайта, но при желании Вы можете создать backupВашего.htaccess файла, перед тем, как включите эти настройки.
   • «Активировать основные функции брандмауэра». Ставим галочку, если хотим активировать файерволл.
   • «Completely Block Access To XMLRPC». Выберите этот пункт, если вы не используете функциональные возможности WP XML-RPC и хотите полностью заблокировать внешний доступ к XMLRPC.
   • «Disable Pingback Functionality From XMLRPC». Если вы используете Jetpack или WP iOS или другие приложения, которым требуется WP XML-RPC, тогда выберите этот пункт. Это позволит защитить от уязвимостей WordPress pingback. НУЖНО ВЫБРАТЬ ЧТО-ТО ОДНО.
   • «Block Access to debug.log File». Установите галочку, если вы хотите заблокировать доступ к файлу debug.log, который создает WordPress при включенном ведении журнала отладки.
2. Дополнительные правила файерволла. В этой вкладке Вы можете активировать дополнительные настройки файрволл для защиты Вашего сайта.
   • Отключить возможность просмотра директорий. Отметив этот пункт, мы запретим просмотр директорий сайта.
   • Отключить http-трассировку. Ставим галочку, если хотим запретить http-трассировку.

Всем привет! Безопасность и ещё раз безопасность! Если вы ранее читали на моём блоге статью « », то наверняка заинтересовались дополнительной безопасностью для своего сайта. Да и вообще, любой адекватный вебмастер должен любить и оберегать своё детище. В этой статье я расскажу обо всех опциях плагина All In One WP Security и покажу как их правильно настроить.

Важно

На моём блоге есть серия уроков « ». И если вы настроили безопасность сайта с учётом рекомендаций этих уроков то учтите, что плагин All In One WP Security продублирует функции других плагинов защиты. Например, функции:

• блокировка IP адреса после неверных попыток авторизации
• капча в комментариях
• смена страницы входа в админку и прочее

Поэтому, оставьте всё как есть и не устанавливайте плагин, или по мере настройки плагина All In One WP Security внимательно анализируйте функции защиты, чтобы они не дублировались функциями уже установленных плагинов. И если увидели дубль, то отключайте дублирующий плагин, чтобы все настройки All In One WP Security работали правильно.

Возможно, вы спросите меня, почему в курсе по созданию блога своими руками я порекомендовал настраивать безопасность WordPress через интеграцию кода, отдельными плагинами и прочее? Дело в альтернативе. И между прочим, по моим замерам скорости загрузки и в целом работы сайта, я не заметил разницы между всеми задействованными рекомендациями из трёх частей 13 урока, от плагина All In One WP Security. Среди вас есть личности, которые не поверят мне на слово и будут продолжать интегрировать код в движок, обходя стороной «тяжеловесные плагины», делайте как знаете.

Установка плагина

Итак, приступим. Для начала установим плагин All In One WP Security и активируем его:

После этого в административной панели сайта появится меню плагина:

При наведении на него курсора мыши всплывает контекстное меню:

Панель управления

Думаю вначале лучше познакомиться с панелью управления, для перехода в которую вам необходимо кликнуть по элементу меню плагина в админке, или навести курсор мыши на «WP Security» и кликнуть по «Панель управления». Далее, вы увидите пять вкладок:

Вкладка «Панель управления»

Изначально мы находимся во вкладке «Панель управления». Здесь вы можете увидеть блоки:

• Активных сессий
• Режим обслуживания
• Последних 5 авторизаций
• Заблокированные IP адреса

Измеритель уровня безопасности

Этот блок отображает текущий уровень безопасности на основании всех настроек плагина:

Измеряется он в балах, которые добавляются после активации той или иной настройки. Чем выше текущий показатель безопасности, тем лучше. Но у меня так и не вышло повысить уровень безопасности до максимального значения в 505 баллов (версия плагина на момент написания статьи Версия 4.3.2). Это связано с ненужными функциями для моего блога, которые я не включал.

Диаграмма безопасности Вашего сайта

Эта диаграмма отображает все текущие изменения в настройках:

Это некая статистика, которая позволяет быстро сориентироваться в состоянии настроек.

Блок «Активных сессий»

В этом блоке отображается информация о текущих сессиях в административной панели сайта:

Как правило, блок отображает уведомление: «Сейчас нет активных пользователей, кроме Вас». Разумеется, если нет других аккаунтов с разрешением работать в админке сайта, а по факту вы видите в этом блоке неизвестный аккаунт, то это хакер.

Режим обслуживания

Очень удобная функция:

Я не спорою, что режим обслуживания можно включить редиректом, на ранее созданную страницу, через.htaccess, но в плагине эта опция уже есть, а это значительно облегчает жизнь во время, например, технического обслуживания сайта. В добавок можно настроить страницу обслуживания на свой вкус. Для настройки и включения режима обслуживания кликните по кнопке «on/off». После чего вы попадаете на страницу настроек режима обслуживания. Чтобы включить режим необходимо установить галку в блоке «Включить режим обслуживания» и сохранить настройки. Дополнительно можно настроить отображаемый текст, вставить картинку и прочее. А это можно изменить в блоке «Введите сообщение».

Этот блок содержит информацию о дате и пяти последних IP-адресов, с которых осуществлялся вход в администраторскую зону сайта:

Эта информация пригодится не только в целях безопасности, но и для отслеживания сессий других учётных записей.

Заблокированные IP адреса

В этом блоке отображаются IP адреса, которые были заблокированы плагином All In One WP Security или вами вручную:

На скриншоте записей нет, но в случае блокировки IP адресов записи появится.

Текущий статус самых важных функций

В этом блоке можно увидеть статус критически важных мер безопасности:

Как видим все ползунки изначально состоят в положении «OFF». Я специально создал условия с банальным логином «admin», чтобы рассказать и показать как выполняются минимальные рекомендации для обеспечения защиты вашего сайта.

Администраторы

Пункт настроек «Администраторы» отвечает за контроль учётных записей администраторов сайта. Здесь вы увидите следующие вкладки:

Пользовательское имя WP

В первой вкладке «Пользовательское имя WP» отображается список администраторов. Также здесь можно увидеть предупреждение о логинах, которые могут быть скомпрометированы:

Как видим, плагин считает логин «admin» небезопасным, и предполагает его переименовать. Давайте так и поступим. Для смены логина в пустом поле «Новое имя пользователя для администратора» введите новое имя, к примеру, ещё одна банальщина - «wpadmin». После этого кликните по «Изменить имя пользователя». Далее, система автоматически выйдет из учётной записи для того, чтобы вы залогинились с новыми именем администратора. После этого вы снова окажетесь во вкладке «Пользовательское имя WP».

Теперь, обратите внимание на блок «Изменение имени пользователя Администратора», а именно на баллы:

Поздравляю, вам засчитано 15 баллов из 15 за выполнение одной базовой рекомендации по настройке безопасности WordPress.

Опытные веб-мастера прекрасно знаю, что стандартным функционалом нельзя изменить имя администратора, а вот с помощью плагина All In One WP Security можно. Кто читал первую часть урока «Настройка безопасности WordPress» знает, с какими трудностями можно столкнуться при создании учётной записи администратора с новыми именем и привязки к ней почты от старого аккаунта.

Пароль

Теперь посмотрим во внутрь вкладки «Пароль». В блоке «Проверка надёжности пароля» можно ввести ваш текущий пароль и получить следующую информацию:

Как видим, бот-подборщик паролей, запущенный с обычного компьютера, будет подбирать такой пароль очень и очень долго, даже если обойти защиту плагина.

Отображаемое имя

Вас, наверное, интересует почему я пропустил вкладку «Отображаемое имя». Я его оставил на закуску. Полезность этого пункта рассчитана на совсем новеньких пользователей WordPress. Здесь вы можете увидеть количество балов, как и в каждом меню настроек. А в случае совпадения никнейма с логином администратора вы увидите предупреждение:

Изменить ник вы можете кликнув по логину админа, или наведя курсор мыши на «Пользователи», в меню административной панели, кликнув по пункту «Ваш профиль». Если вы не проходили мой курс по созданию блога, то сперва введите в поле «Ник (обязательно)» видимое имя в качестве автора статей, которое не совпадает с логином админа. Далее, в выпадающем списке «Отображать как» выберите ранее введённый никнейм. После этого сохранитесь. Теперь при посещении меню настроек «Администраторы», плагина All In One WP Security, во вкладке «Отображаемое имя» будет отображаться надпись:

Настройки

Общие настройки

По умолчанию вы находитесь во вкладке «Общие настройки». Здесь вам доступны следующие полезные функции:

• создание резервной копии базы данных
• создание резервной копии файла.htaccess
• создание резервной копии файла wp-config.php

Ещё доступны опции включения и отключения функции безопасности и всех функций файерволла All In One WP Security. Советую всегда, перед изменением настроек плагина читать пояснения к опциям, например:

.htaccess и wp-config.php

Обратите внимание на вкладки «.htaccess Файл» и «wp-config.php Файл». В настройках этих вкладок можно создавать и восстанавливать резервную копию, как вы уже догадались, .htacces и wp-config.php. Это весьма удобно, и не требует FTP-клиента.

WP Version Info

Для меня более интересной вкладкой является следующая - «WP Version Info». Кто не знает, поясняю. WordPress генерирует метатег с атрибутом content, который, в свою очередь, имеет значение текущей версии движка сайта. Это небезопасно, крайне небезопасно! Поэтому, необходимо в блоке «Удаление мета-данных WP Generator» установить галку возле «Check this if you want to remove the version and meta info produced by WP from all pages» и кликнуть «Сохранить настройки».

Импорт/Экспорт

Вкладка Импорт/Экспорт отвечает за создание, так сказать, шаблона настроек. Настроив плагин All In One WP Security на одном из ваших проектов, вы можете перенести настройки на другие сайты. Это весьма удобно даже в том случае, если вы настроили плагин, сделали экспорт настроек, но резко возникла необходимость восстановить бэкап сайта.

Advanced Settings

Последняя вкладка «Advanced Settings» отвечает за метод получения данных об IP адресе каждого из посетителей. Если вы не знакомы с PHP на довольно хорошем уровне, а суперглобальный массив $ _SERVER увеличивает зрачки ваших глаз, то попрошу не приближаться к данной вкладке.

Авторизация

В этом пункте настроек плагина All In One WP Security мы видим следующие вкладки:

Блокировка авторизаций

В описании к этой вкладке вы, наверное, уже прочли наставление разработчиков о Брутфорс-атаках. Далее, вам необходимо отметить галками опции возле блоков:

• Включить опции блокировки попыток авторизации
• Допускать запросы на разблокирование (на тот случай, если вы заблокировали сами себя)
• Выводить сообщения об ошибках авторизации (повышает шансы себя не заблокировать)
• Уведомлять по Email (всегда быть в курсе неудачных попыток входа, что позволяет сразу реагировать на возможные попытки взлома)

Спускаемся ниже к глобальному блоку «Диапазон временно заблокированных IP адресов». Здесь вы можете перейти в статистику заблокированных адресов кликнув по «Locked IP Addresses».
В блоке «Login Lockdown IP Whitelist Settings» можно настроить список белых IP адресов, например, адрес вашего компьютера, к которым не будут применяться настройки блокировки. Для этого в блоке «Enable Login Lockdown IP Whitelist» необходимо отметить галкой пункт активации настройки, а в блоке «Введите IP-адреса для белого списка» ввести свой IP адрес. Не забываем сохраняться, чуть ниже. Но я не рекомендую настраивать белый список. Злоумышленники могут подделать ваш IP адрес.

Ошибочные попытки авторизации

Двигаемся дальше. Во вкладке «Ошибочные попытки авторизации» приведёт список безуспешных попыток авторизации. Эта информация весьма полезна в плане аналитики попыток залогиниться. Кому важна эта статистика, может экспортировать её в файл CSV:

Автоматическое разлогинивание пользователей

Вклада «Автоматическое разлогинивание пользователей» не менее важна чем остальные настройки. Здесь вы можете включить разлогинивание пользователей админки через указанное время бездействия, например, 60 минут:

Журнал активности аккаунта

Далее, переходим в «Журнал активности аккаунта». Здесь вы можете увидеть время входа и выхода с админки конкретного пользователя. Сохраняется лишь 50 запись на все учётные записи. Подобная информация полезна для анализа активности:

Эти данные вы также можете экспортировать в файл CSV.

Активных сессий

В последней вкладке «Активных сессий» отображаются учётные записи в реальном времени, под которыми выполнен вход в администраторскую часть сайта:

Регистрация пользователя

В 99% случаев, настройка «Регистрация пользователя» для блога, в плагине All In One WP Security, упускается. Но я всё равно расскажу об опциях следующих вкладок:

Подтверждение вручную

Если ваш сайт предусматривает регистрацию, а количество оставляемого пользователями спама оставляет желать лучшего, то следует включить ручное утверждение нового пользователя во вкладке «Подтверждение вручную». Это позволит закрыть доступ к авторизации до момента ручного подтверждения регистрации пользователя лично вами. Что это даёт в принципе. Как показывает практика, на одном из моих проектов, встречаются индивиды, которые изначально регистрируют почты по типу: [email protected], [email protected], [email protected] и т.д. Подобные почты используют во время новой регистрации, после того, как я забанил первый аккаунт некой личности. И если я вижу, что недавно попадался на глаза похожая почта спамера, то баню регистрацию. В итоге спамер не может залогиниться и заюзать ту же самую почту повторно для регистрации, хоть он и не успел оставить спам.

Поэтому, если есть необходимость в дополнительной модерации пользователей сразу после регистрации, нужно в блоке «Активировать ручное одобрение новых регистраций» установить галку и сохранить настройки.

CAPTCHA при регистрации

Следующая вкладка «CAPTCHA при регистрации» добавляет капчу на страницу регистрации пользователя. Капчу можно активировать установив галку в блоке «Активировать CAPTCHA на странице регистрации». Я считаю эту функцию необходимой и полезной. Разумеется, если у вас предусмотрена регистрация новых пользователей.

Registration Honeypot

Вкладка «Registration Honeypot» очень полезная функция для блокировки навороченных ботов регистрации. Советую включить эту опцию в блоке «Enable Honeypot On Registration Page». Сохраняемся.

Защита Базы данных

Группа настроек «Защита Базы данных» состоит из двух вкладок:

С настройками в первой вкладке «Префикс таблиц БД» будьте крайне внимательны. Необходимо сразу сделать резервную копию базы данных во вкладке «Резервное копирование БД».

Резервное копирование БД

Рассмотрим вкладку «Резервное копирование БД». Для создания резервной копии базы данных кликните по кнопке «Создать бэкап базы данных сейчас». После успешного создания бэкапа вы увидите следующую информацию:

На скриншоте указано расположение моей базы данных. У вас адрес будет свой.

А также в этой вкладке вы можете настроить регулярное создание копии БД. Для этого установите галку в блоке «Включить автоматическое создание бэкапов». Дополнительно можете настроит как часто создавать копии, сколько копий хранить на сервере и отправку копии по почте. Не забываем сохраняться.

Префикс таблиц БД

Возвращаемся к вкладке «Префикс таблиц БД». Если вы не меняли префикс базы данных, то он имеет значение «wp_». Именно об этом вы и увидите предупреждение:

Чтобы присвоить всем таблицам в базе данных другой префикс вам нужно задать его в поле блока «Сгенерировать новый префикс таблиц БД». После этого кликните по «Изменить префикс таблиц». Если же вы мало разбираетесь в том, какой префикс должен быть, то советую поставить галку возле «Отметьте, чтобы плагин сам сгенерировал префикс длиной в 6 случайных символов», а поле «Введите собственный вариант префикса, используя латинские буквы, цифры и символ подчеркивания» оставить пустым.

Защита Файловой системы

Теперь изучим комплекс настроек «Защита Файловой системы» плагина All In One WP Security. Этот пункт настроек состоит из четырёх вкладок:

Доступ к файлам

По умолчанию мы находимся во вкладке «Доступ к файлам». Если вы сомневаетесь какой CHMOD (права доступа) установить на ту или иную папку на сервере, то плагин All In One WP Security решит всё за вас. Обратите внимание на таблицу в этой вкладке. Если у плагина будет замечание касательно текущих прав доступа, то вы увидите в колонке «Рекомендуемое действие» надпись «Установить рекомендуемые разрешения»:

Если же замечаний нет, то надпись «Действие не требуется». Чтобы применить рекомендуемые настройки CHMOD кликните по «Установить рекомендуемые разрешения».

Редактирование файлов PHP

В этой вкладке устанавливается запрет на редактирование файлов PHP из административной среды. Советую установить галку в блоке «Отключить возможность редактирования PHP-файлов».

Доступ к файлам WP

Обычно, сразу после установки WordPress, я удаляю файлы: readme.html, wp-config-sample.php и т.д. Но бывают случаи, когда новичков спасает образец того же файла конфигурации. Поэтому, рекомендую установить галку в блоке «Запретить доступ к информационным файлам, создаваемых по умолчанию при установке WordPress».

Системные журналы

Эта вкладка рассчитана на опытных вебмастеров. Иначе смотря в лог ошибок сайта вы не сможете разобраться в сути проблемы.

WHOIS-поиск

По моему скромному мнению, это отличный инструмент для получения хоть какой-то информации, например, о заблокированном пользователе. Естественно, вы можете пользоваться сайтом WHOIS, но зачем, если есть WHOIS-поиск в плагине All In One WP Security.

Черный список

Плагин All In One WP Security позволяет заблокировать не только по IP адресу, но и юзер-агентов. Юзер-агентами можно считать разнообразные пауки/боты поисковых систем, различных сервисов аналитики и прочее, которые создают чрезмерную нагрузку на сервер. Эта настройка будет полезна даже в том случае, если вы не желаете чтобы, например, бот гугла сканировал ваш сайт. Все настройки, заданные в пункте «Черный список», будут внесены в.htaccess.

Файрволл

Настройка «Файрволл» состоит из семи вкладок:

Итак, начнём по порядку.

Прежде чем начать вносить настройки в файл.htaccess через плагин All In One WP Security обязательно сделайте резервную копию.htaccess.

Базовые правила файрволла

Если вы не используете, например, плагины автопостинга в социальные сети, то можете смело установить везде галки и сохранить настройки этой вкладки. Но я советую включить лишь следующие пункты:

• Активировать основные функции брандмауэра
• Disable Pingback Functionality From XMLRPC
• Block Access to debug.log File

Думаю с первой настройкой все ясно, а вот две следующих опции носят обязательный характер. «Disable Pingback Functionality From XMLRPC» запретит обратные запросы, например, от сервисов статистики, но оставит разрешёнными запросы к сервисам. Опция «Block Access to debug.log File» запретит доступ к отладочному файлу, который может содержать в себе уязвимую служебную информацию.

Дополнительные правила файрволла

В этой вкладке советую включить все настройки кроме: «Отключить возможность просмотра директорий». Дело в том, что запрет на просмотр директорий задаётся директивой «AllowOverride» в конфигурационном файле httpd.conf на сервере. Внести подобные настройки можно лишь в том случае, если у вас VPS, VDS, арендованные или свой сервер. В противном случае оставьте эту настройку без галки.

Вы можете ознакомиться для чего каждая настройка необходима, кликнув по «+ Подробнее»:

В принципе, практически все настройки файрволла, представленные в плагине All In One WP Security необходимы для обеспечения защиты WordPress.

6G Blacklist Firewall Rules

Файрволл 6G не имеет никакого отношения к мобильной связи. Этот файрволл представляет собой защиту от множества вредоносных запросов URL, плохих ботов, спам-рефереров и других атак. Включение правил файрвола шестого поколения, значительно снизит нагрузку на сервер, разумеется, если подобные запросы будут. Рекомендую включить 6G и 5G защиту.

Интернет-боты

Вкладка «Интернет-боты» блокирует вредоносных ботов, которые маскируются под googlebot. Рекомендую включить опцию «Блокировать ложные Googlebots». Другие поисковые роботы не будут заблокированы.

Предотвратить хотлинки

Опция вкладки «Предотвратить хотлинки» обязательна к активации. Включите опцию и сохранитесь. Это позволит снизить нагрузку на сервер, если ваши ссылки на ваши изображения будут размещены вне вашего сайта. Это никак не влияет на автопостинг в социальные сети и другие места.

Детектирование 404

Предпоследняя вкладка «Детектирование 404» также обязательна к активации. Включите опцию «Enable 404 IP Detection and Lockout». Эта настройка отвечает за блокировку IP адресов, с которых за короткий промежуток времени осуществляют множество запросов на несуществующие страницы. В большинстве случаев это свидетельствует о хакерской атаке, в поиске уязвимой страницы. Вы также можете дополнительно изменить время на которое будет забанен IP адрес злоумышленника. В блоке «URL перенаправления при ошибке 404», как правило, автоматически прописывается адрес главного зеркала сайта. Рекомендую этот адрес не менять. А в таблице «Логи ошибок 404» выводятся данные о посещении несуществующих страниц. Лог можно выгрузить в CSV-файл.

Custom Rules

Последняя вкладка «Custom Rules» выполняет функцию добавления ваших личных правил в фалл.htaccess. Советую без понимания работы настроек.htaccess ничего своего не вносить. Иначе сайт может перестать работать.

Защита от брутфорс-атак

Брутфорс-атаки - это атаки направлены на перебор пароля и логина, пока верный вариант не будет найден. В этой группе настроек есть пять вкладок, начнём с первой:

Переименовать страницу логина

Вкладка «Переименовать страницу логина» содержит два параметра, из которых в первом «Включить опцию переименования страницы логина» нужно установит галку, а во втором «Адрес (URL) страницы логина» прописать адрес входа в админку. Адрес страницы входа должен отличается от стандартного wp-admin, например, thisismysite. Не забудьте сохраниться и запомнить адрес входа в админку. В моём примере он будет mysite.ru/thisismysite, где mysite.ru - это адрес вашего сайта.

Защита от брутфорс-атак с помощью куки

Переходим ко вкладке «Защита от брутфорс-атак с помощью куки». Вы можете включить опцию «На моем сайте есть посты или страницы, закрытые встроенной функцией WordPress для защиты контента паролем» в том случае, если у вас есть страницы защищённые паролем. У меня такие страницы имеются. Касательно опции «На этом сайте есть тема или плагин, которые используют AJAX», то большинство современных тем и плагинов используют технологию AJAX. Поэтому, советую включить и эту опцию. Настройку «Активировать защиту от брутфорс-атак» рекомендую не активировать во избежание блокировки вашего IP адреса со стороны плагина All In One WP Security. Дело в том, что вы можете забыть, и почистить куки-файлы плагина с ключом доступа. И чтобы не решать проблемы, которых можно было избежать, рекомендую не ставить галку возле этой опции, тем более сам плагин предупреждает и лишь со второй попытки даёт возможность активировать эти настройки.

CAPTCHA на логин

Вкладка «CAPTCHA на логин» содержит полезные функции по дополнительной защите страницы входа и восстановления пароля. Рекомендую установить галки напротив:

• Включить CAPTCHA на странице логина
• Активировать форму CAPTCHA на изменённой странице логина
• Активировать CAPTCHA на странице «потерянного пароля»

В блоке «Woocommerce Forms Captcha Settings» галки ставятся лишь при использовании плагина для интернет-магазина «Woocommerce».

Белый список для логина

Двигаемся дальше и переходим к вкладке «Белый список для логина». Этот параметр выступает дополнительной линией обороны, блокирует доступ к странице логина всем IP адресам, которых нет в белом списке. Если есть желание, можете настроить эту опцию. Но, и ещё раз но! Если у вас динамический IP адрес или возникла срочная необходимость зайти в админку, например, с мобильного номера, а провайдер вам выделит другой IP адрес, то случится беда.

Бочка с медом (Honeypot)

Последняя вкладка «Бочка с медом (Honeypot)» из группы настроек «Защита от брутфорс-атак» отвечает за блокировку роботов, которые пытаются заполнить поля авторизации. Как правило, роботы автоматически заполняют все поля, и опция «Бочка с медом» подсовывает боту невидимое для глаз пользователя поле, которое бот автоматически заполняет. Если это происходит, то плагин All In One WP Security автоматически блокирует бота. Рекомендую включить опцию «Активировать медовый боченок (honey pot) на странице логина».

Защита от SPAM

Переходим к следующей группе настроек «Защита от SPAM». Сейчас нам перестоит рассмотреть четыре вкладки:

Спам в комментариях

• Активировать CAPTCHA в формах для комментариев
• Блокировать спам-ботов от комментирования

Отслеживание IP-адресов по спаму в комментариях

Ещё одна вкладка для статистики «Отслеживание IP-адресов по спаму в комментариях». Несомненно, опции в этой вкладке вносят благость. Рекомендую поставить галку возле пункта «Включить автоматический блок IP-адресов Комментарий к спаму». Сохранитесь.

Далее, в поле «Минимальное количество комментариев расценённых как СПАМ» установите значение 5. Обратите внимание на блок «Список IP-адресов спаммеров», который отвечает за фильтрацию комментариев. Если вам нужно найти IP адреса, которые были уличены в спаме хотя бы один раз, установите значение «1» и кликните по «Найти IP-адреса». А если, например, 3 раза, то значение «3» и т.д. Думаю смысл вы уловили. Результаты будут отображены в таблице «Список IP-адресов спаммеров».

BuddyPress и BBPress

Во вкладках «BuddyPress» и «BBPress» можно включить капчу в форме регистрации. BuddyPress и BBPress - это плагины. BuddyPress помогает создать на базе движка WordPress социальную сеть, а плагин BBPress форум. Если вы не пользуетесь этими модификациями, то опции в соответствующих вкладках будут отсутствовать.

Сканер

Предпоследняя группа настроек «Сканер» отвечает за регулярное сканирование сайта на наличие вредоносного кода и файлов. Здесь вы можете увидеть всего две вкладки:

Отслеживание изменений в файлах

В первой вкладке «Отслеживание изменений в файлах» можно просканировать сайт немедленно, кликнув по «Сканировать сейчас».

Уясните одну простую вещь - ни один плагин не сможет защитить ваш сайт от гуру-хакеров! Поэтому, в случае беды, плагин All In One WP Security, после сканирования, сообщит нам о наличии следов взлома. Рекомендую включить опцию «Активировать автоматическое сканирование изменений файлов», а частоту сканирования установить хотя бы каждые два дня. Частота сканирования зависит от текущей нагрузки на ваш сайт. И если время загрузки сайта в пик посещаемости увеличивается, то подумайте о смене тарифного плана или переходе на выделенный сервер, чтобы сканер плагина All In One WP Security не создавал чрезмерную нагрузку на сервер.

Поля «Игнорировать файлы следующих типов» и «Игнорировать определённые файлы и папки» заполняются индивидуально, по вашему желанию. Также советую активировать опцию «Отправить Email когда найдено изменение», чтобы всегда быть в курсе любых изменений в файлах. Можно указать несколько электронных адресов. После настроек сохранитесь.

Сканирование от вредоносных программ

Вторая вкладка «Сканирование от вредоносных программ» предназначена для регистрации на сайте разработчиков плагина, с целью регулярного сканирования сайта на платной основе. Это позволит значительно снизить нагрузку на сервер во время сканирования. Кто желает платить денежку, пожалуйста, это ваше право. Но я не вижу особого смысла заключать договор на подобное обслуживание для блога.

Разное

Последняя группа настроек «Разное» содержит в себе три вкладки:

Защита от копирования

В первой вкладке «Защита от копирования» можно заблокировать следующие функции:

• Правая кнопка
• Пометка текста
• Копировать

Ограничения будут действовать на всех страницах, которые доступны пользователям. Если у вас полезных блог, на котором люди могут много чего почерпнуть себе в кладезь знаний, то не рекомендую включать эту функцию. Лично мне неудобно, когда я не могу скопировать участок текста с важной для меня информацией.

Фреймы

Вкладка «Фреймы» отвечает за блокировку показа содержания вашего сайта между тегами frame и iframe. Которые уже какой год признаны небезопасными и часто подвергаются взлому. Например, 1С Битрикс, по умолчанию, блокирует эти теги.

Users Enumeration

Последняя вкладка и последняя настройка плагина All In One WP Security, которую мы рассмотрим, «Users Enumeration». Рекомендую включить опцию «Отключить перечисление пользователей», чтобы закрыть возможность ботам икать информацию о пользователях, которых можно увидеть, например, в качестве комментаторов. Это в некотором роде создаёт защитный барьер для пользователей сайта, тем самым защищает учётную запись администратора.

На этом разбор полётов с плагином All In One WP Security завершён. Вы только что прочитали огромную статью, которую можно сравнить с десятью обычными статьями. Надеюсь, объяснил доступным языком. Появятся вопросы обаятельно задавайте их в комментариях. Спасибо за внимание.