Настройка All In One WP Security для защиты блога WordPress от взлома. Плагин iThemes Security (Better WP Security) — самый эффективный способ защиты WordPress. Подробная инструкция Скачать плагин all in one wp security

Совсем недавно состоялись ребрендинг и крупное обновление одного из самых успешных и мощных плагинов для защиты WordPress-сайтов. И, несмотря на предупреждения разработчиков, данный апдейт прошел без сучка и задоринки (по крайней мере, у большинства пользователей) . Даже не потребовалось проводить ручную реактивацию плагина, о необходимости которой нас предупреждали ранее.

Подробно о смене названия и о том, чего нам ожидать от iThemes Security в будущем, я уже писал в . Сейчас же я хочу представить вам инструкцию по детальной его настройке. Особенно полезно данное руководство будет тем пользователям, кто не очень хорошо понимает технический английский (плагин пока еще не переведен на русский язык даже частично, как это было ранее) и некоторые специфические технологии.

Как всегда в своих статьях, прежде чем перейти к процедуре "нажми туда, нажми сюда" , предлагаю ознакомиться с теоретической частью. А точнее с тем, что умеет делать и какие новые функции приобрел iThemes Security. Те, кто уже знаком с данным плагином давно, или те, кому все это не интересно, могут сразу перейти ко второй части инструкции.

Возможности плагина iThemes Security (ex-Better WP Security)

Все знают, что главная задача iThemes Security – это защита блогов на WordPress от всевозможных атак. И защита эта, надо сказать, очень качественная и мощная. На данный момент плагин имеет в своем арсенале более 30 способов обеспечения безопасности. А его разработчики не стесняясь называют свое детище "№ 1" среди подобных плагинов.

Да, сразу же хочу указать на одну важную деталь – безопасность чего бы то ни был, никогда не достигается каким-то одним инструментом. Безопасность – это всегда целый комплекс мер. Следует понимать, что только лишь установка iThemes Security (или любого другого схожего плагина) не может гарантировать вам стопроцентную защиту сайта. Поэтому нужно всегда помнить о базовых принципах защиты – соблюдение интернет-гигиены, содержание в чистоте и превентивная защита компьютера от вредоносного ПО и т.д. и т.п. Также не стоит забывать и о человеческом факторе.

Основной функционал iThemes Security можно поделить на несколько блоков.

Скрытие и удаление (obscure) всего того, что может нести в себе потенциальную опасность

• Смена URL страницы входа в админку - очень полезная функция, и в чем-то даже уникальная (вообще в iThemes Security, как и в раннем Better WP Security, очень много уникальных функций).
• Away Mode – полная блокировка админки в заданное время.
• Удаление заголовков Windows Live Write и RSD.
• Запрет уведомлений об обновлении WP, тем и плагинов.
• Смена логина "admin", если он используется.
• Смена дефолтного ID (1) администратора и префикса (wp_) таблиц БД
• Смена директории wp-content.
• Скрытие вывода ошибок при неверном вводе логина/пароля.
• Отображение для не-админов случайных версий плагинов, тем, ядра.

Защита (protect) WordPress сайта

Сокрытие некоторых частей сайта является очень полезным функционалом, но оно не может предотвратить все атаки. Поэтому среди возможностей iThemes Security имеются, конечно же, и методы защиты - блокировка "плохих" пользователей, повышение безопасности паролей и проч.:

• Сканирование сайта и мгновенное уведомление о слабых местах, имеющих уязвимости, и такое же быстрое их устранение.
• Блокировка проблемных User Agent, ботов и т.п.
• Защита от перебора паролей (brute force) путем блокировки пользователей и хостов, после множественных неудачных попыток входа в админку.
• Общее повышение безопасности веб-сервера.
• Принудительное обеспечение пользователей надежными паролями.
• Шифрование (SSL) админки и любых других страниц и записей (нужен сертификат SSL и поддержка сервером).
• Запрет на редактирование файлов движка, тем и плагинов из адинки.
• Обнаружение и блокировка различных атак на файловую систему и БД сайта.

Обнаружение (detect)

• Мониторинг файловой системы от несанкционированных изменений.
• Обнаружение различных "пауков" и "ботов", которые сканируют сайт в поиске уязвимостей.
• Уведомления по e-mail о случаях блокировки пользователей и хостов.

Восстановление (recovery)

iThemes Security делает регулярные резервные копии базы данных WordPress (по расписанию), что позволяет быстро вернуть исходное состояние сайта в случае его компрометации. К сожалению, базовая версия плагина не поддерживает полный файловый бэкап. Но эта функция имеется в платном сервисе компании iThemes – BackupBuddy.

Другие преимущества

• Возможность создать простую для запоминания страницу входа в админку (можно задать любой адрес, который будет легок для запоминания именно вам).
• Обнаружение ошибок 404, что является важным не только в плане безопасности, но и в плане SEO (битые ссылки на картинки, несуществующие страницы внутри сайта и т.п.)
• Удаление текущей используемой версии jQuery и замена ее на актуальную и безопасную (которая поставляется по умолчанию с WordPress).

Новые функции iThemes Security

• Запрет на выполнение PHP в папке загрузок (uploads).
• Предотвращение создания идентичного логину имени пользователя (отображаемого имени на сайте).
• Скрытие архивов авторов, у которых нет ни единой записи.
• Расширенные возможности по отправке уведомлений
• и др.

Что ж, вот такой вот функционал на данный момент имеется у плагина iThemes Security. Вряд ли у него найдутся серьезные конкуренты. Единственный, на мой взгляд, ближайший конкурент – это . Только он более "капризный" к конфигурации веб-сервера, и предназначен, скорее, для продвинутых пользователей.

Итак, с возможностями плагина разобрались, теперь пора приступить к его настройке.

Советую принять во внимание другую мою статью - , с обзором новых опций, которые не освещены в данной инструкции. Кроме того, относительно недавно я узнал, что замечательная девушка по имени Жанна Лира уже достаточно давно сделала перевод плагина и делится им совершенно безвозмездно с читателями своего блога. Если вам нужна русская локализация, можете взять ее

Установка и настройка плагина iThemes Security (ex-Better WP Security)

Установка для новых пользователей происходит в обычном режиме. Кому как удобней (о различных способах установки плагинов WP можете прочитать ). Страница плагина в репозитории WordPress.org пока что осталась прежней - https://wordpress.org/plugins/better-wp-security/ . Не знаю, изменится ли она в будущем.

При поиске из админки, плагин доступен по названию iThemes Security (formerly Better WP Security) , так что на данный момент его можно найти и по новому имени, и по старому. Как долго будет этот вариант названия, я тоже не знаю.

Итак, находим его, устанавливаем, активируем. И первым делом видим такую картину:

Нас интересует кнопка " Secure Your Site Now " (обезопасьте свой сайт сейчас) . Жмем на нее, и нас встречает окно первичных настроек "I mportant First Steps " (важные первые шаги) :

Все эти базовые настройки можно пропустить, и произвести их позже вручную. Для этого в нижнем правом углу есть ссылка "Dismiss" (отклонить) . Но я рекомендую произвести их именно сейчас, в автоматическом режиме.

Итак, мы видим 4 кнопки:

1. Back up your site – сделайте резервную копию БД сайта. Рекомендуется сделать это еще раз (хотя перед установкой плагина вы уже должны были сделать бэкап самостоятельно). Данная копия будет создана и отправлена на ваш административный e-mail средствами самого плагина.
2. Allow File Updates – разрешить обновление файлов. Речь идет о редактировании файлов wp-config.php и.htaccess, которое требуется для корректной работы плагина. Данная кнопка позволяет ему сделать автоматическое безопасное обновление этих файлов.
3. Secure Your Site – обезопасьте свой сайт. Воспользуйтесь кнопкой One-Click Secure (безопасность в один клик) , чтобы плагин активировал настройки по умолчанию. Причем будут активированы только те функции, которые не должны вызывать конфликтов с другими плагинами. Всё остальное можно будет настроить позже.
4. Help Us Improve – помогите нам стать лучше. Эта кнопка активирует функцию анонимного сбора данных об особенностях вашего сайта (вероятно - версия WP, установленные плагины, возникшие конфликты и т.п.) в целях улучшения плагина в будущем. Еще раз сделаю акцент на том, что сбор статистики анонимен, и компания iThemes не идентифицирует по ней пользователей. Решайте сами, включать эту опцию или нет.

В общем, жмите поочередно, как минимум на три кнопки из четырех (вместо каждой из них появятся уведомления об успешном действии). Затем жмите на "Dismiss", чтобы закрыть это окно.

Теперь необходимо настроить наш iThemes Security более тщательно.

Все настройки плагина находятся в панели управления (Dashboard ):

Сверху, как вы видите, находятся вкладки, по которым осуществляется основная навигация по настройкам. На главной же вкладке - Dashboard - имеется несколько блоков. Для удобства, их можно сворачивать. Также можно менять их местами. Вообще, здесь находится различная обзорная информация и уведомления. А в правой части - рекламные предложения от iThemes.

Сразу скажу, что настраивать iThemes Security мы будем не через кнопки "Fix It", а на следующей вкладке. Но все равно, давайте пробежимся и посмотрим, что тут у нас есть:

Приступая к работе

Здесь находится короткое видео по настройке, а также ссылка на сайт разработчиков, где можно получить помощь или приобрести PRO-версию плагина (а также другие продукты и услуги). Их видео мы смотреть не будем (моя статья вам на кой? =)), тем более, оно на английском. Так что, сворачиваем эту вкладку, чтобы она нам сейчас не мешала, и, перетаскиваем ее в самый низ (если хотите).

Если у вас есть желание и потребность посмотреть русскоязычное видео по обновлению и настройке iThemes Security , зайдите на сайт к Дмитрию по указанной ссылке. Он очень оперативно выпустил актуальную видеоинструкцию, за что ему большой респект от многих блогеров Рунета! (А с меня ссылка в знак искреннего уважения)

Статус безопасности

Это, пожалуй, самый важный блок на данной странице. Остановимся на нем подробней.

В данном блоке тоже имеются вкладки, которые указывают на степень критичности уведомлений – High (высокая), Medium (средняя), Low (низкая). Также есть две вкладки – All (всё на одной странице) и Complete (готовое, т.е. то, что плагин уже сделал/исправил) .

Высокий приоритет (High Priority) - отмечается бледнорозовым цветом и подразумевает необходимость немедленного исправления.

В моем случае, как вы видите, всего одно замечание – это необходимость настроить резервное копирование БД по расписанию.

Что ж, давайте воспользуемся волшебной кнопкой "Fix it" ("пофиксить", исправить) .

Нас тут же перебрасывает на вторую вкладку с основными настройками (Settings ), в раздел настроек резервных копий. И указывается тот пункт, который нужно пофиксить. В моем случае – это Schedule Database Backups (расписание для резервирования БД) . Отмечаем чекбокс (1), указываем интервал (2) и сохраняем изменения кнопкой Save Changes (3).

Раньше расписание можно было настроить так, чтобы резервные копии делались хоть каждый час. Сейчас же минимальный интервал – это 1 день.

После переходим обратно на вкладку Dashboard и видим, что замечаний с высокой критичностью больше нет.

Можно таким же способом пройтись и дальше - по пунктам Medium Priority и Low Priority , и также воспользоваться кнопками Fix it. Но, мы воспользуемся другим методом - будем производить настройку вручную, на вкладке Settings. Если же вам удобней делать это именно отсюда (с Dashboard), то без проблем. Особой разницы нет. Просто на основной странице плагина у всех могут быть разные уведомления. Поэтому я буду настраивать iThemes Security непосредственно через настройки (да и вообще, так удобней и правильней, как мне кажется)

Но перед этим мы быстро пробежимся по остальным информационным блокам Dashboard.

Активные блокировки

Здесь плагин будет информировать нас о том, какие узлы (т.е. IP-адреса ботов или живых людей) или пользователи (те, кто зарегистрирован на сайте) были заблокированы за различные недопустимые действия.

Системная информация

Тут находится информация об активном пользователе (т.е. о вас) - ваш IP-адрес и User Agent. Также здесь указываются:

• Абсолютный адрес сайта и корневая папка на сервере
• Доступны ли на запись файлы.htaccess и wp-config.php
• Информация о БД, сервере и PHP
• Некоторые параметры WordPress
• Используемый билд iThemes Security (версия сборки, которую нужно будет указать при обращении в саппорт; версия билда отличается от той версии, что указывается на странице плагина – это немного разные вещи)

Перезаписанные правила

Здесь будет находиться информация о том, какие именно правила прописал плагин в файл.htaccess

Правила для wp-config.php

Аналогично предыдущему пункту, только уже для другого файла, как вы понимаете.

Я для себя лично немного поменял местами эти блоки и все их свернул. Таким образом, главная страница панели управления плагином у меня теперь выглядит более компактно, да и открывается быстрее:

Все настройки плагина скомпонованы по отдельным блокам (секциям). Для удобства их также можно сворачивать или менять местами. Здесь же имеется и выпадающее меню для быстрой навигации по разделам. Также это меню будет всегда сопровождать вас в правой части области просмотра, в виде плавающего блока с выпадающем списком.

Напомню сразу, что после внесения изменений в любой из секций, необходимо сохраняться (" Save Changes ")

Глобальные настройки

Первым пунктом здесь значится Write to Files - запись в файлы. Этот пункт уже отмечен, и "галочку" снимать ни в коем случае не нужно (!). Иначе вы запретите плагину запись в файлы.htaccess и wp-config.php, тем самым все созданные правила и параметры конфигурации придется прописывать вручную.

Следующие два пункта – это указание e-mail адресов для получения уведомлений (Notification Email) и бэкапов (Backup Delivery Email) . Причем адреса можно указать разные; можно добавить и несколько адресов. Каждый e-mail следует прописывать с новой строки.

В поле " Host Lockout Message " можно указать сообщение, которое будет выводиться тем, кто был заблокирован плагином. По умолчанию лаконично указано "error". Можете проявить креативность и написать что-нибудь оригинальное. Но смысла в этом нет, т.к. в основном будут блокироваться всяческие боты.

В поле " User Lockout Message " можно прописать сообщение, которое будет отображаться для тех зарегистрированных на сайте пользователей, чей аккаунт будет заблокирован за неудачные попытки залогиниться. Можно оставить дефолтное сообщение " You have been locked out due to too many login attempts " ("Вы были заблокированы из-за слишком большого количества попыток входа").

Blacklist Repeat Offender – это черный список "рецидивистов", т.е. тех, кто регулярно пытается подобрать пароль или производит иные запрещенные действия. По умолчанию функция активирована, и я не рекомендую ее отключать.

Blacklist Threshold – порог для внесения IP-адреса в блэклист. То есть, здесь указывается то количество блокировок пользователя или хоста, после которого IP-адрес нарушителя будет перманентно добавлен в черный список. Дефолтное значение = 3. Это значит, что если кто-то получил три блокировки за попытки подобрать пароль к админке, то он отправляется в блэклист.

Blacklist Lookback Period – период, на который нарушитель отправляется в бан. Здесь указывается кол-во дней, которое нарушитель будет находиться в черном списке. Это значение можно увеличить (по умолчанию стоит 7 дней).

Lockout Period – период блокировки. Продолжительность времени (в минутах), в течение которого, хост или пользователь будет заблокирован после первичных нарушений (без внесения в черный список).

Пример : допустим, кто-то пытается подобрать пароль к админке, делает несколько неудачных попыток и временно блокируется на указанное кол-во минут. Если после разблокировки он не прекращает свою атаку, и получает еще две (если в Blacklist Threshold указано значение 3) временные блокировки, тогда он отправляется непосредственно в черный список.

Lockout White List – белый список. Здесь можно указать IP-адреса, которые не будут вноситься в блэклист. Если у вас статический айпишник, то целесообразно прописать его в данное поле, чтобы не возникало никаких потенциальных трудностей с доступом (прописаться в белом списке можно и с динамическим IP-адресом).

Следует отметить, что если вы активировали режим Away Mode (о нем позже), то в указанное в нем время, вы все равно не сможете попасть в админку. Правила Away Mode приоритетней белого списка.

IP-адреса в White List прописываются в стандартном IPv4 формате – например, 123.123.123.123. Также допускается использование символа (*) для указания диапазона адресов. Например, запись вида 123.123.123.* будет означать, что все IP-адреса, начиная с 123.123.123.0 и заканчивая 123.123.123.255, будут разрешенными. Это удобно, если у вас нет статического айпишника.

Каждый IP-адрес или подсеть следует вносить с новой строки.

Email Lockout Notifications – отправка писем, на указанную в поле Notification Email электронную почту, всякий раз, когда какой-либо хост или пользователь сайта будет заблокирован.

Log Type – тип логирования. Здесь можно указать, какие именно журналы будет вести плагин iThemes Security. Варианта три – только БД (Database Only), только файловые логи (File Only) или оба вида (Both).

Каждый из этих вариантов записи событий имеет свои преимущества и недостатки.

• Database Only – в журнал будут записываться все изменения, вносимые в БД, такие, как новый пост, новый комментарий и т.п. Также логироваться будет создание бэкапов. Зачем это нужно рядовому пользователю, я не понимаю. Советую не использовать данный режим.
• File Only – более полезный вариант логирования. Будут записываться разного рода ошибки 404, изменения файлов (при активной опции) и т.п. Рекомендую использовать именно этот режим.

Имейте в виду, что любая запись на диск сервера (а логирование – это, естественно, запись) вызывает дополнительную нагрузку. Ну, и сами логи занимают место, конечно же. Странно, что в плагине нет возможности полностью отключить журналирование

Days to Keep Database Logs – сколько дней хранить журналы БД. Если вы не активировали режим логирования Database Only, то нет никакой разницы, какое кол-во дней указывать в этом поле. Потому что файловый журнал будет все равно храниться неограниченное время, но с одним важным условием – по достижении размера в 10 MB, файл будет перезаписываться. Хорошее нововведение, потому как раньше, у некоторых пользователей логи съедали огромное кол-во дискового пространства, и их (логи) необходимо было чистить с завидной регулярностью. Вручную.

Path to Log Files – путь к файлам логов. Тут все понятно. Есть только одно замечание – указанная директория должна быть доступна для записи, и одна рекомендация – в целях безопасности не следует хранить логи в корне сайта. Короче говоря, оставляем все, как есть.

Allow Data Tracking – разрешить сбор статистики для iThemes. Это то самое, о чем мы уже говорили ранее. Хотите - включайте, хотите - нет. Еще раз напомню, что данные собираются и отправляются анонимно и пойдут они на пользу в развитии плагина.

Что ж, с Global Settings разобрались. Идем дальше. Ох, как много мне еще писать, а вам читать =)

Обнаружение ошибок с кодом 404

Данная функция заключается в сборе информации о том, каким хостам многократно отдается ошибка 404, и в их блокировке соответствующим образом. Этот анализ важен по нескольким причинам, главная из которых – предотвратить сканирование на предмет имеющихся уязвимостей.

Также данная опция дает дополнительное преимущество, помогая вам найти скрытые проблемы, вызывающие ошибки 404. Это могут быть, например, какие-то "битые" картинки или нерабочие внутренние ссылки. Все ошибки будут регистрироваться, а посмотреть их можно на вкладке "Просмотр журналов" (Логи, Logs).

Первым делом в этой секции мы видим некоторую информацию о текущих настройках по блокировкам (все это мы настраивали в блоке глобальных настроек). У меня, например, это выглядит вот так:

Enable 404 detection – собственно, активация данной функции.

Minutes to Remember 404 Error (Check Period ) – количество минут (контрольный период), в течение которого будут засчитываться локауты. Дефолтное значение 5 минут.

Пример: какой-то бот/парсер "долбит" сайт в поиске различных уязвимых файлов и страниц, и, не находя их, получает в ответ ошибки с кодом 404. Делает он это, предположим, в течение минуты, потом останавливается на минуту, и начинает снова. Плагин все эти его действия будет помнить и вскоре тот получит бан.

Если же, допустим, бот "подолбил" 30 секунд и ушел с сайта минут на 10, то при следующем его визите плагин будет считать его уже за вновьприбывшего, а прошлые "заслуги" данного хоста помнить не будет.

Поэтому, дефолтное значение можно немного увеличить (к примеру, до 10 минут).

Error Threshold – порог допустимых ошибок. Кол-во ошибок (в пределах контрольного периода) при достижении которых произойдет блокировка. Если задать значение 0, то запись ошибок будет происходить без блокировок (такой вариант следует использовать только в целях отладки, потому как при нем не будет пресекаться сканирование на уязвимости).

Значение по умолчанию = 20. Не думаю, что стоит его увеличивать, ведь ошибки 404 могут отдаваться не только при подозрительных действиях, но и, например, если у сайта нет favicon, или и т.д.

И вот тут очень кстати в iThemes Security появилось хорошее нововведение – список исключений (white list) для ошибок 404. В него уже добавлены наиболее известные общие файлы, отсутствие которых вызывает данные ошибки:

Этот список можно дополнять и другими известными файлами. Но более правильным решением будет привести все в порядок – создать фавикон, apple-touch-icon.png, robots.txt, sitemap.xml и т.п. Ведь white list не предотвращает запись ошибок сервером. А, как вы уже знаете, любая запись на жесткий диск – это дополнительные нагрузки.

Режим отсутствия / Гостевой режим

Данный режим позволяет полностью отключить доступ к админпанели WordPress в заданные дни или часы. Это может быть весьма полезным, и уж точно не будет лишним в плане дополнительной защиты.

Как это работает? Допустим, вы никогда не заходите в админку ночью и ранним утром. Или, скажем, вы уезжаете в отпуск, и точно знаете, что в это время не будете пользоваться админкой. Почему бы тогда ее вообще не отключить на эти часы или дни? Правильно? Правильно.

Прежде чем активировать и настроить данную опцию, помните, что часовой пояс, используемый на сайте, может отличаться от вашего реального часового пояса. Так что, производите настройки Away Mode, основываясь на глобальных настройках самого сайта.

Итак, чтобы включить гостевой режим, отмечаем чекбокс "Enable away mode" .

Если выбрать Daily, то для указания временного интервала нам будут доступны два параметра - Start Time (стартовое время) и End Time (конечное). Время указывается в 12-часовом формате. AM – до полудня; PM – после полудня.

Пример : если я хочу заблокировать админку в период с 2-х ночи до 7 утра, то я указываю - от 2:00 AM до 7:00 AM. В общем, погуглите, если необходимо. В интернете есть сервисы и таблицы соответствия 24- и 12-часовых форматов.

Если выбрать режим единоразовой блокировки, то нужно указывать дату и время ее начала, и дату и время ее окончания. Все гениальное - просто.

Заблокированные пользователи

Эта функция позволяет полностью запретить доступ к сайту определенным хостам и User Agent, что благоприятно скажется на противодействии спамерам, парсерам и прочим нечистоплотным людям и ботам.

Первым делом нам предлагается подключить базовый черный список известных проблемных User Agent, созданный группой HackRepair.com.

Вообще, что такое User Agent? В нашем случае - это некая информация, по которой (помимо прочего) веб-сервер идентифицирует обратившийся к нему хост. В ней содержится используемый браузер, ОС и проч. У поисковых роботов имеются свои собственные юзер-агенты, у спамерских ботов и различных парсеров свои и т.д. И на основании известных нежелательных User Agent используются подобные Black-листы.

Свой User Agent (UA) вы можете посмотреть, например, на сайте http://whatsmyuseragent.com/ . Попробуйте зайти на эту страницу с разных браузеров и обратить внимание на разницу UA.

Итак, чтобы активировать базовый блэклист отмечаем параметр "Enable HackRepair.com"s blacklist feature" . Если вам нужен самый свежий и полный список "плохих" юзер-агентов и хостов, то его всегда можно взять на странице http://pastebin.com/5Hw9KZnW и самостоятельно добавить в файл.htaccess

Есть одно замечание! Недавно где-то видел инфу, что данную опцию лучше не активировать, т.к. это может повлечь за собой блокировку некоторых поисковых роботов. Лично у меня всегда был подключен этот блэклист и я не наблюдал ни в Я.Вебмастере, ни в Гугл Вебмастере каких-либо проблем с доступом этих пауков к сайту. Так что, рекомендую эту функцию активировать. Кроме того, можно проанализировать данный список и убедиться, что в нем не присутствуют идентификаторы ни Гугла, ни Яндекса.

Помимо дефолтного блэклиста существует возможность и ручной блокировки определенных хостов или UA. Для этого необходимо активировать опцию "Enable ban users" , после чего нам станут доступны три поля для ввода:

• Ban Hosts – блокировка хостов. Сюда всегда можно внести какие-либо IP-адреса, с которых регулярно идут атаки на ваш сайт или спам.
• Ban User Agents – блокировка UA. В большинстве случаев, пополнять этот список вручную нет необходимости, достаточно базового списка с HackRepair.com. Но если вы вдруг обнаружите постоянную атаку с определенных UA, то почему бы и не воспользоваться возможностью их блокировки.
• Whitelist Users – белый список. Можете внести свой IP-адрес.

IP-адреса в эти списки вносятся по такому же принципу, как и в Lockout White List.

Защита от брутфорс атак

Очень важная функция, которая является дополнительным щитом поверх смены URL админки. А если вы не станете использовать подмену страницы входа в админ-панель (об этом чуть позже), то данная функция становится не просто важной, а архиважнейшей. Более того, она позволяет отказаться от дополнительных плагинов, выполняющих ту же самую задачу (Limit Login Attempts, Login Lockdown и др.).

По умолчанию опция уже активирована. А если по какой-то причине "галочка" возле "Enable brute force protection" не установлена, то поставьте ее.

Параметр " Max Login Attempts Per Host " отвечает за максимальное кол-во попыток для одного хоста. Дефолтное значение = 5. Т.е., если кто-то 5 раз подряд неправильно введет логин или пароль, то он будет заблокирован на указанное время.

" Max Login Attempts Per User " отвечает за количество попыток для конкретного пользователя. Т.е., если кто-то вбивает свой логин (или злоумышленник знает существующие на сайте логины), но неверно указывает пароль, то в бан уходит именно этот пользователь (его учетная запись). Значение по умолчанию – 10 попыток.

И заключительный параметр в этом блоке настроек – "Minutes to Remember Bad Login (check period)" – контрольный период, в течение которого плагин будет помнить неудачные попытки залогиниться. Также оставляем 5 минут. При желании, можно увеличить это значение.

Резервные копии (бэкапы) базы данных

Доподлинно известно, что одним из лучших способов защиты и устранения последствий атак являются резервные копии. Каждый блогер или владелец сайта просто обязан иметь ежедневные бэкапы БД.

В большинстве случаев, блогеры перекладывают эту задачу на хостинг. Но, как говорится, Aide toi et le ciel t’aidera. Так что, помимо хостерских бэкапов всегда следует иметь и запасной вариант. Кто-то использует для этого специальные плагины и скрипты, но зачем? Ведь iThemes Security справляется с этой задачей на 5+

Итак, первым параметром здесь является "Backup Full Database" – это режим создания полной резервной копии таблиц сайта. Если активировать данную опцию, то в бэкапы будут добавляться абсолютно все таблицы, которые могут и не относиться непосредственно к сайту (например, какие-то сторонние скрипты и т.п.). На всякий пожарный рекомендую ею воспользоваться, хотя это, в общем-то, и не критично.

• Save Locally and Email – хранить бэкапы на сервере и отправлять их по e-mail
• Email Only – отправлять только по электронной почте
• Save Locally Only – хранить только на сервере

Рекомендую использовать исключительно Email Only (если ваша БД не очень больших размеров). Потому что хранить резервные копии на том же сервере, где расположен сам сайт – это а) бессмысленно; б) трата дискового пространства.

Если же вы решили хранить бэкапы (и) на сервере, то в поле "Backup Location" можете указать директорию для их хранения (или оставить путь по умолчанию). Ни в коем случае не рекомендуется указывать корневую папку сайта для этих целей.

Убедитесь, что у вас отмечен пункт "Compress Backup Files" – это сжатие файлов резервных копий. Таким образом, файл БД будет упакован в ZIP-архив, что значительно уменьшит его размер.

Далее следует указание некоторых специфических таблиц, которые можно исключить из бэкапов (Exclude Tables) . К ним относятся таблицы, создаваемые некоторыми плагинами, и которые не всегда представляют какую-то реальную ценность.

По умолчанию в поле "Excluded Tables" включены таблицы, создаваемые плагином iThemes Security, а в левом поле "Tables for Backup" – те таблицы, которые создаются различными плагинами (в основном – это разные логи), но не относящиеся (как правило ) непосредственно к содержимому сайта.

Если вы уверены, что какие-то таблицы из правого поля не несут пользы для резервирования БД, то можете их исключить из создаваемых бэкапов. Тем самым может значительно уменьшиться размер резервных копий. Если не уверены, то оставляйте все как есть.

В любом случае помните, что данные бэкапы могут отличаться от бэкапов, созданных хостером, потому как на хостинге создаются полные резервные копии БД. Но, это ни в коем случае не означает, что резервные копии, созданные в iThemes Security, будут недееспособны. Отнюдь.

Ну, а далее идет расписание - Schedule Database Backups . О нем мы уже говорили почти в самом начале. Рекомендую ставить минимально возможное значение - 1 день. Таким образом, на вашу почту ежедневно будет приходить бэкап БД сайта.

Обнаружение изменений файлов

Даже самые лучшие решения в области безопасности могут потерпеть неудачу. Как в таком случае узнать, что кто-то получил административный доступ к вашему сайту? Скорее всего, злоумышленник будет менять какие-то файлы, внося в них свой код. Отслеживанием таких изменений и занимается данная функция.

В отличие от других решений, iThemes Security сравнивает файлы локально, с момента последней проверки, а не сверяет их с "заводскими" файлами удаленно.

После каждой проверки вы будете знать, были ли внесены какие-то изменения лично вами, или они появились в результате компрометации. Обращайте внимание, главным образом, на различные системные файлы, которые вдруг изменились без видимой причины (не было никаких обновлений, вы лично не вносили в них изменения и т.п.).

Если так случится, что на вашем сайте вдруг обнаружится вредоносный код, то благодаря данной опции вам проще будет отследить когда и куда он мог быть добавлен.

Нажмите кнопку " File Scan Now " , чтобы произвести добавление файлов и первичное сканирование. Если изменения обнаружатся, то вас перебросит на страницу журналов ("Logs") для просмотра деталей. Журналы изменений файлов находятся в секции :

Возвращаемся обратно к настройкам. Чтобы активировать ежедневную автоматическую проверку изменения файлов, отметьте галочкой пункт "Enable File Change detection" .

Следующим параметром - "Split File Scanning" - можно активировать режим разделения сканируемых файлов на категории. Всего категорий 7. Это плагины, темы, wp - admin , wp - includes , uploads (загрузки), wp - content и последняя – это все то, что не вписывается в предыдущие категории . Проверка этих частей будет разделена равномерно, в течение дня. Из чего следует, что данная настройка приводит к увеличению числа уведомлений, но в то же время она снижает нагрузку на сервер, что особенно актуально на "слабом" хостинге.

Почему это так важно? Раньше, при включенном отслеживании изменений файлов, сыпалось столько уведомлений, что многие просто отключали эту опцию. Связано это было, в том числе и с тем, что при использовании плагинов кэширования файлы на хостинге меняются весьма часто и в большом кол-ве (кэш). Сейчас же подобные кэшированные файлы можно исключить из проверки.

Делается это так (на примере папки с кэшем, которую использует плагин Hyper Cache, другие подобные плагины, скорее всего, используют эту же папку):

Имеется также возможность не исключать определенные файлы и папки, а наоборот включать только выбранные. Для этого в выпадающем меню выберите "Include Selected", и укажите, какие именно файлы и папки вы хотите мониторить.

В поле " Ignore File Types " можно указать различные расширения файлов, которые будут игнорироваться функцией отслеживания изменений. Обычно это файлы картинок и т.п. То есть это НЕ должны быть текстовые файлы (включая php, js и проч.), т.к. именно в них обычно и внедряется вредоносный или иной посторонний код.

Параметр " Email File Change Notifications " отвечает за отправку уведомлений об изменениях на указанный(ые) в глобальных настройках e-mail(ы).

Функцией " Display file change admin warning " можно включить/отключить показ уведомлений в админке.

Имеется возможность выбрать оба режима или какой-то один. Если же отключить их оба, то вы вообще не будете получать никаких уведомлений, но изменения в любом случае можно будет просматривать на вкладке "Logs".

Скрытие страницы входа в админку сайта

Еще одна уникальная функция плагина iThemes Security, благодаря которой можно здорово обезопасить свой сайт от брутфорс атак.

Работает это следующим образом – вместо стандартного URL входа в админку (site.ru/wp-login.php) вы можете указать любую произвольную страницу, например, site.ru/voydi_v_menya . Таким образом, вряд ли кто-то узнает, по какому адресу находится страница входа.

Также данная функция призвана облегчить запоминание адреса бэкенда (так часто называется админка сайта), и отказаться, наконец, от использования виджета META на сайте.

Для включения этого режима поставьте галочку возле "Enable the hide backend feature" .

В поле "Login Slug" (можно перевести, как "Вход для ленивых") укажите желаемый адрес для входа в админку. Это может быть любое удобное и запоминающееся для вас слово (или же набор символов). Само собой здесь нельзя использовать "login", "admin", "dashboard", или "wp-login.php". Также не рекомендую применять для адреса страницы входа какие-то ваши ники в интернете, дату рождения и т.п., потому как все это очень легко вычислить.

Если после скрытия админки у вас возникли проблемы с доступом в нее, то возможной причиной может стать несовместимость с темой. Для того, чтобы исправить это, воспользуйтесь опцией "Enable Theme Compatibility" .

В поле " Theme Compatibility Slug " указывается адрес, который будет выводиться при попытке зайти в админку по стандартному адресу site.ru/wp-login.php (если активирована предыдущая функция).

Ну что, устали? Потерпите, осталось не очень много =)

Шифрование (SSL)

Secure Socket Layers (SSL) - это технология, которая используется для шифрования данных, передаваемых между сервером и посетителями сайта. Если SSL активирован, он делает невозможным перехват данных для злоумышленника (в последнее время идет много споров на этот счет, но все равно технология остается максимально устойчивой). Поэтому рекомендуется использовать шифрование на страницах ввода паролей и иных данных. Любые, более-менее крупные сайты, где используется ввод и передача конфиденциальной информации, используют шифрование (на таких сайтах адрес начинается с https ://)

Однако этот режим требует того, чтобы ваш сервер имел поддержку SSL.

Ни в коем случае не активируйте SSL, если не имеете сертификата, и ваш хостинг не поддерживает данную технологию для клиентских сайтов. Иначе сайт, страница входа в админку или сама админка (в зависимости от выбранных настроек) станут не доступны.

Все это актуально для тех сайтов, где предусмотрена регистрация, имеется разного рода "личка", и, конечно же, для интернет-магазинов и т.д. Для обычных сайтов и блогов SSL-сертификат, как правило, не приобретается. Он попросту не нужен, т.к. все статьи, комментарии и все прочее, итак находятся в открытом доступе. Единственное, где шифрование может оказаться полезным для наших блогов – это страница входа и сама админка (этим мы сможем обезопасить себя, например, от перехвата пароля в момент его ввода).

В общем, в 99% случаев все это блогерами не используется, поэтому подробно рассматривать данную секцию мы не станем.

Надежные пароли

В данном разделе можно включить принудительное использование надежных паролей согласно оценке встроенного в WordPress измерителя паролей.

Данная настройка практически не актуальна для однопользовательских сайтов, где доступ в админку есть только у владельца (администратора), и где не предусмотрена регистрация пользователей. Тем более, вы, мои дорогие читатели, наверняка знаете, и где его хранить (ну, конечно же, в менеджерах паролей, типа , и т.п.)

В остальных случаях рекомендуется указать минимальную роль, для которой будет требоваться надежный пароль. Как правило, это Авторы, Редакторы и Администраторы . Для Участников и Подписчиков требовать сложный пароль не имеет смысла.

Но, опять же, все зависит от сайта. Если у вас, скажем, интернет-магазин, то требовать надежные пароли следует от любого пользователя, который будет в нем регистрироваться.

Что ж, нам осталось разобраться с двумя последними очень интересными секциями...

Тонкая настройка (твики) системы

Это дополнительные настройки, которые могут быть использованы в целях дальнейшего укрепления безопасности вашего WordPress сайта.

Данные настройки указаны, как расширенные, поскольку они блокируют распространенные формы атак, но они также могут блокировать функции легитимных плагинов и тем, которые имеют схожие методы. При активации настроек, указанных ниже, рекомендуется включать их поочередно, дабы проверить, что работа сайта не нарушилась.

Protect System Files – защита системных файлов. Предотвращение публичного доступа к readme . html , readme . txt , wp - config . php , install . php , wp - includes и. htaccess . Эти файлы могут содержать важную информацию о сайте, и публичный доступ к ним не нужен после успешной установки WordPress.

Disable Directory Browsing - отключение просмотра каталогов. Запрещает пользователям видеть список файлов в директориях, даже при отсутствии в них индексного файла (index.php).

Filter Request Methods – фильтрация методов запроса TRACE, DELETE, TRACK. Я не силен ни в PHP, ни в веб-серверных технологиях, но предполагаю, что речь идет о запросах, которые могут нести какую-либо нежелательную функцию (напр., возможность осуществления XSS-атаки). Если кто расскажет в комментариях об этом более подробно или поправит меня, буду очень признателен (да и не только я).

Filter Suspicious Query Strings in the URL - фильтрация подозрительных строк запроса в URL. Это очень частый признак того, что кто-то пытается получить доступ к вашему сайту. Но, следует иметь в виду, что некоторые плагины и темы также могут быть заблокированы при активации данной опции (обязательно проверьте работоспособность сайта после ее включения!) . Будет очень хорошо, если никаких проблем не возникнет, т.к. этот метод защиты очень важен! Если же проблемы все-таки появятся, то лучшим вариантом будет избавиться (по возможности) от несовместимого плагина, чем не активировать данную функцию.

Filter Non-English Characters – фильтрация не англоязычных символов из строки запроса. Этот фильтр работает только в том случае, если активирован предыдущий. Но, если на вашем сайте используется русская адресация (названия статей, рубрик и т.п.), то эту функцию включать не стоит. Иначе сайт может стать недоступным!

Вообще, если вы имеете дело с сайтами, с web, с серверами, линуксами и т.д., то пора уже привыкнуть, что использование не латинских символов в каких-то служебных целях крайне не желательно.

Filter Long URL Strings – фильтрация длинных строк в URL. Ограничивает число символов, которое можно послать в URL (не более 255). Хакеры часто используют длинные URL-адреса для внедрения сторонней информации в БД (SQL-инъекций).

Remove File Writing Permissions – удаление разрешений на запись в файлы. Данная функция запрещает различным скриптам и пользователям запись в файлы wp-config.php и.htaccess. Следует обратить внимание, что в данном случае, как и в случае с другими плагинами, эту защиту можно преодолеть. Но в любом случае, данный запрет укрепляет безопасность указанных файлов.

Если функция активирована, то на эти файлы устанавливаются права 444. В случае отключения, им возвращаются права 644.

Disable PHP in Uploads – запрет на выполнение PHP в папке uploads. Новая функция, которая позволяет предотвратить загрузку вредоносных скриптов в указанную папку.

Итак, мы активировали все (по возможности) эти функции, и переходим к последнему блоку.

Твики WordPress

Это дополнительные настройки, которые могут быть использованы в целях дальнейшего укрепления безопасности вашего WordPress сайта. Как и в случае с системными твиками, из-за некоторых из этих настроек могут возникнуть несовместимости и сбои в работе сайта. Рекомендуется включать их также поочередно.

Remove WordPress Generator Meta Tag – удаление мета-тега Generator. Удаляет из заголовка сайта мета-тег , который указывает используемую на сайте версию WP . Данная функция упразднена с версии 4.9.0.

В любом из мануалов по защите WordPress, первым делом рекомендуется удалять данный мета-тег, т.к. зная версию движка, злоумышленнику проще определить его уязвимости и вектор атак. Когда-то мы проделывали это вручную, теперь же за нас всё делает iThemes Security.

Remove the Windows Live Writer header – удаление заголовка Windows Live Writer. Если вы не пользуетесь WLW или другими платформами для написания и публикации статей на блоге, то данную функцию можно не активировать.

Remove the RSD (Really Simple Discovery) header – удаление заголовка RSD. Если вы не интегрировали свой ​​блог с внешними XML-RPC сервисами, (напр., с Flickr), то функция RSD является для вас в значительной степени бесполезной.

Говоря по-простому, обе предыдущие опции вырезают из header`а сайта примерно такие строки:

XML-RPC – это стандарт (протокол), используемый в т.ч. и WordPress для удаленной публикации статей и др. данных из сторонних программ, платформ и сервисов. Если вы не пользуетесь такими функциями (к ним, кстати, относятся и различные WP-клиенты для Android и iOS), то настоятельно рекомендуется отключить данный протокол. Из-за периодического появления в нем новых уязвимостей.

Недавний случай: в середине марта сего года были зафиксированы очередные мощные DDoS-атаки с использованием уязвимости XML-RPC. Но дидосились не сами WordPress-сайты с XML-RPC, они лишь использовались в качестве ретрансляторов для усиления атак (т.е. выступали в качестве участников ботнета).

Я могу ошибаться, но если память мне не изменяет, было обнаружено более 60 тыс. WP-сайтов, которые выступали в роли ботов для DDoS-атак из-за данной уязвимости. А их владельцы даже и не подозревали об этом. Да многие до сих пор, наверное, и не подозревают. Я даже видел ссылку на специальный сервис, где можно проверить свой сайт, не участвует ли он в подобных DDoS-атаках.

Вот поэтому рекомендуется отключать XML-RPC (если, конечно, вы его не используете). Раньше в админке WordPress была специальная функция для его деактивации. Сейчас же ее нет. Поэтому придется чуточку повозиться вручную (в интернете много информации о том, как это сделать) или же воспользоваться функцией iThemes Security, до которой мы скоро дойдем.

Reduce Comment Spam – уменьшение спама в комментариях. Эта опция позволит сократить кол-во спама, блокируя комментарии от ботов, не имеющих реферера или User Agent. Вряд ли это может повлиять на нормальные комментарии, так что включаем, не задумываясь. Облегчим работу .

Display Random Version – отображение случайной версии WordPress там, где невозможно удалить ее показ полностью. Актуально для многопользовательских сайтов.

Disable File Editor – отключение редактора файлов в админке WP. Не пользуетесь внутренним редактором? Смело отключайте.

Disable XML - RPC – отключение XML-RPC. То самое, о чем мы недавно говорили. Если не пользуетесь средствами удаленной публикации, обязательно отключите XML-RPC.

Enqueue a safe version of jQuery – установка безопасной версии jQuery. Эта функция удаляет текущую используемую версию библиотеки jQuery и заменяет ее на безопасную (которая поставляется по умолчанию с WordPress). Если версия этой библиотеки удовлетворяет требованиям iThemes Security, то ничего делать не нужно:

Disable login error messages – отключение сообщений об ошибках, которые отображаются при неудачной попытке входа в систему.

Force Unique Nickname - принудительное использование уникального ника, отличающегося от логина.

Disable Extra User Archives – отключение архивов пользователей, чье кол-во записей равно 0.

Ну, вот и все по основным настройкам. Теперь можно вновь перейти на вкладку Dashboard, и посмотреть на текущие уведомления. В моем случае сейчас они выглядят так:

Осталось пройтись по оставшимся вкладкам.

Продвинутые (расширенные) настройки

Приведенные ниже настройки являются продвинутыми. Убедитесь, что у вас имеется работоспособная резервная копия сайта перед изменением любого параметра на этой странице. Кроме того, эти установки не будут обращены вспять, даже если вы удалите плагин iThemes Security (!).

Тем не менее, все используемые здесь настройки рекомендуются самим сообществом WordPress.org, и они помогут в улучшении безопасности вашего сайта.

Admin User – удаление пользователя admin, если он имеется. Я никогда не использую дефолтный логин "admin" даже на тестовых сайтах. Поэтому здесь у меня никаких опций нет. Имеется лишь надпись " It looks like you have already removed the admin user . No further action is necessary (Похоже, вы уже удалили пользователя admin . Никаких дополнительных действий не требуется)". Надеюсь, что у вас также.

Change Content Directory – смена контент-директории. Ни в коем случае не экспериментируйте с этой функцией! Ее рекомендуется использовать только на вновь создаваемых сайтах. Иначе вы попросту потеряете все содержимое блога (не физически, конечно). И, как уже говорилось, не поможет даже удаление плагина. Хотя вернуть все на круги своя достаточно просто (нужно немного поправить файл wp-config.php).

Вообще, сменить директорию wp-content можно и на уже работающем сайте, но для этого потребуется вносить изменения в БД, в некоторые плагины, файлы движка т.д. Короче, задачка не для нас – рядовых блогеров. А вот если вы планируете создавать новый сайт, то первым делом установите iThemes Security и попробуйте воспользоваться данной возможностью. В будущем обязательно пригодится.

Change Database Prefix – смена префикса БД. По умолчанию в WordPress используется префикс wp_, что может облегчить задачу для злоумышленника. Рекомендуется менять дефолтный префикс таблиц.

Перед процедурой смены префикса обязательно сделайте резервную копию БД!

Ну что ж, теперь точно все =)

Осталось только сказать, что на вкладке Backups можно в любое время создать резервную копию текущего состояния БД (кнопка " Create Database Backup " ), а также кратко ознакомиться с сервисом BackupBuddy.

Если что-то осталось не понятным, или у вас есть замечания и дополнения, милости прошу в комментарии.

До новых встреч, друзья. Берегите себя и свои сайты!

С уважением, Александр Майер

В этой статье мы разберем настройки плагина iThemes Security, благодаря которому обеспечивается комплексная защита сайта на WordPress. Плагин учитывает практически все, что необходимо для обеспечения безопасности сайта на WordPress. Плагин iThemes Security предоставляет комплекс услуг, в которые входят защита WordPress от взлома, защита админки WordPress и защита сайта от ботов. iThemes Security лучший бесплатный плагин защиты WordPress. С ним ваш сайт будет достаточно хорошо защищен от различных вирусов и хакерских атак.

Если вдруг сайт перестал работать, не пугайтесь, вам потребуется подключиться через FTP к сайту, или открыть файловый менеджер в панели управления хостинга и переименовать, либо удалить папку с плагином. Это крайняя мера, если вдруг iThemes Security заблокировал админку или после включения какой-либо опции в iThemes Security сайт недоступен или зависает. Скорее всего, сайт восстановит работоспособность. Если нет, восстановите сайт из резервной копии.

Давайте рассмотрим те параметры, которые необходимо задать, чтобы обеспечить комплексную и полноценную безопасность WordPress. Чтобы попасть в настройки плагина, зайдите в административную панель «WordPress» ⇒ «Security» ⇒ «Настройки». Надеюсь, вы уже сделали резервную копию сайта. Первая вкладка настройки «Security Check» (проверка безопасности), нажмите «Configure Settings»:Дальше откроется окно настроек. Если мы нажмем «Secure Site», плагин установит рекомендуемые настройки безопасности:
В принципе, это и есть основные настройки iThemes Security. Можете нажать на эту кнопку, и настройка будет завершена. Но я рекомендую этого не делать, так как может нарушиться работа сайта. Лучше досконально разобраться в настройках, чем нажать на одну кнопку и потерять доступ к сайту.

Следующая вкладка настройки «Основные настройки», нажмите «Configure Settings»:Здесь обязательно нужно поставить галочку напротив надписи «Вносить изменения в файлы» и сохраниться. Чтобы плагин эффективно функционировал, ему нужен доступ к файлам wp-config.php и.htaccess. Ставя галочку, вы предоставляете плагину этот доступ:
Остальные настройки в этой вкладке рекомендую оставить по умолчанию.

Следующая опция это «Отслеживание ошибки 404». Что это такое? Представьте ситуацию, когда пользователь на вашем сайте запрашивает большое количество несуществующих страниц. Если это одна или две страницы, тогда нет ничего страшного, но если эта периодичность повторяется, это говорит о том, что злоумышленник пытается найти уязвимости сайта для его взлома, ведь простой посетитель ищет информацию на реальных страницах. Если iThemes Security замечает активность подобного рода, пользователь блокируется. Чтобы включить эту опцию, нажимайте «Enable». Я рекомендую включить эту настройку (после включения все настройки этой опции оставляйте по умолчанию):Следующая настройка это «Режим «Нет на месте»». Если вы отлучаетесь на определенный период, и у вас не будет возможности заходить в административную панель WordPress, можете включить эту опцию, указав в настройках промежуток времени, который вы будете отсутствовать. В это время ни вы, ни кто-то другой не сможет зайти в панель администратора. Не рекомендую включать эту настройку, так как у вас может возникнуть необходимость зайти в админку, но такой возможности на указанный в настройках период времени не будет:Заблокированные пользователи. Здесь можно указать, с каких ip адресов нельзя заходить на ваш сайт. Рекомендую «Включить черный список от сайта HackRepair.com», здесь собраны ip адреса, с которых замечены хакерские атаки. Также, поставьте галочку напротив надписи «Ban List», здесь можно вручную вписать ip адреса, которым вы хотите запретить доступ к сайту:
Local Brute Force Protection. Это защита от подбора паролей. Нужно включить обязательно. Если плагин замечает, что посетитель большое количество раз пытается подобрать логин и пароль и ему выдает ошибку, это значит что сайт пытаются взломать. По умолчанию установлено 5 попыток неудачного ввода логина или пароля, после чего ip адрес блокируется, рекомендую ничего не менять:
Резервные копии базы данных. Здесь можно настроить автоматическое создание резервной копии базы данных с последующей отправкой на ваш e-mail. Рекомендую включить эту опцию. Нужно настроить создание базы данных по расписанию, для этого включить опцию «Создать расписание резервного копирования базы данных» и выставите периодичность резервного копирования, 3 дня, на мой взгляд, достаточно. Остальные настройки оставляем по умолчанию. После включения этой настройки на вашу почту автоматически будет приходить резервная копия базы данных, что очень удобно:
Обнаружение изменений файлов. Эта опция отслеживает изменения в файлах на предмет наличия уязвимости. Не рекомендую включать эту настройку:File Permissions. Это доступ к файлам. Здесь настраивать ничего не нужно, опция просто показывает степень защищенности тех или иных файлов.

Network Brute Force Protection. Включаем обязательно. Эта опция автоматически запрещает доступ к сайту пользователям, которые совершали попытки взломать вход на другие сайты:SSL. Настройка позволяет включить SSL шифрование для всего или части вашего сайта. Не рекомендую включать эту опцию.

Strong Password Enforcement. Заставляет зарегистрированных пользователей использовать сложные пароли. Бесполезная опция, на мой взгляд, включать не рекомендую.

Тонкая подстройка системы и Подстройка WordPress. Это продвинутые настройки для опытных пользователей. Их активация может привести к ошибкам работы сайта, конфликтам с темами или плагинами. Настоятельно не рекомендую включать эти настройки. Если же вы все таки решитесь настроить эти функции, включайте каждый пункт по отдельности и сразу же проверяйте работоспособность сайта.
WordPress Соли. Позволяет обновлять ключи безопасности WordPress. Еще одна бесполезная функция, не рекомендую ее включать.

Изменить страницу входа в админку WordPress. Очень действенный способ защиты сайта это изменение стандартной страницы входа в WordPress. По умолчанию на всех сайтах войти в WordPress можно по ссылке сайт.ru/wp-admin. При помощи iThemes Security можно спрятать страницу входа на сайт.

Для этого в настройках нажмите «Advanced», на вкладке «Спрятать страницу входа на сайт» нажмите «Configure Settings»:
Затем поставьте галочку напротив надписи «Скрыть страницу входа в систему»:
Затем в поле напротив надписи «Ссылка на страницу входа» введите любое слово латинскими буквами, например vhodnasajt, и сохраните изменения.
. Теперь только вы знаете, по какой ссылке можно войти в админку сайта. Естественно, это повышает безопасность WordPress. Важно! Запишите эту ссылку, если вы ее забудете, восстановить вход на сайт будет очень сложно. Включать эту опцию или нет, решать только вам. Я ее не использую.

iThemes Security Pro. Платная версия плагина, которая обладает расширенными функциями защиты. Позволяет включить двух факторная аутентификация, запланированное сканирование вредоносных программ, интеграцию Google рекапчи, можно будет связаться с технической поддержкой плагина. Если у вас крупный, популярный сайт, возможно, стоит задуматься о покупке pro версии. На мой взгляд, стандартных настроек плагина вполне достаточно для обеспечения безопасности сайта.Если вы ищите плагины, которые могут обеспечить безопасность WordPress, iThemes Security лучшее решение. Благодаря гибким настройкам и широкому функционалу ваш сайт будет максимально защищен от взлома и атак ботов.

✓

Я уже рассматривал плагин по комплексной защите блога WordPress iThemes Security , но решил потестить еще один All In One WP Security & Firewall. Ну и оставить на своих сайтах лучший вариант. Итак, устанавливаем.

Переходим на главную страницу плагина All In One WP Security & Firewall. Видим следующую картину. И сразу же видим «Измеритель уровня безопасности». Мой сайт набрал 50 баллов из 470-ти возможных. Что же, не густо. Возможно после его настройки уровень подрастет. Но не следует стремится получить максимально возможный балл, так как это может вызвать проблемы работы с сайтом. В правой части видим «Диаграмму безопасности нашего сайта».

Настройки

Администраторы

Пользовательское имя WP

При установке WordPress автоматически присваивает администратору имя пользователя «admin» (если Вы вручную не измените его). Многие хакеры пытаются воспользоваться этой информацией, применяя для нападения «Брутфорс-атаку», когда они систематично подбирают пароль, используя слово «admin» в качестве имени пользователя. Поэтому рекомендуется его изменить на любое другое.

Отображаемое имя

Когда Вы публикуете пост или отвечаете на комментарий, WordPress обычно отображает Ваш «никнейм». По умолчанию отображаемое имя пользователя идентично логину аккаунта. Для безопасности рекомендуется поменять его, чтобы никто не мог узнать под каким логином вы авторизуетесь.

Пароль

Плохой пароль — это наиболее распространенная уязвимость на большинстве сайтов, и, как правило, первое, что будет делать хакер, чтобы проникнуть на сайт — попытается подобрать пароль. В данном разделе можно проверить надежность пароля, используемого вами. Если хакер будет подбирать ваш пароль, то здесь можно прикинуть время, которое он затратит.

Авторизация

Один из распространенных способов, используемых хакерами для проникновения на сайт, является Брутфорс-атака. Так называются многократные попытки входа методом подбора паролей. Помимо выбора надежных паролей, мониторинга и блокирования IP-адресов, участвующих в повторных неудачных попытках входа в течение короткого периода времени, блокировка количества попыток авторизации и ограничение периода времени для таких попыток, является очень эффективным способом противодействия этим типам атак.

Блокировка авторизаций

• Включить опции блокировки попыток авторизации . Ставим галочку.
• Допускать запросы на разблокирование . Не совсем понял, что означает данная функция. Я не стал ее включать.
• Максимальное количество попыток входа . Установите значение для максимального количества попыток входа, после чего IP-адрес будет заблокирован. Я оставил три попытки по умолчанию.
• Ограничение времени попыток авторизации (минуты) . По умолчанию пять минут. Три попытки из предыдущего пункта приведут к блокировке пользователя, если попытки будут выполнены в указанный здесь промежуток времени.
• Период блокирования (минуты) . Укажите период времени, на который будут блокироваться IP-адреса
• Выводить сообщения об ошибках авторизации . Отметьте эту опцию, если Вы хотите, чтобы при неудачных попытках авторизации отображалось сообщение об ошибке. Я не стал ее ставить. Ни к чему злоумышленнику получать информацию об ошибках.
• Сразу заблокировать неверные пользовательские имена . Я не стал включать эту опцию из-за того, что я сам могу неверно ввести логин и буду заблокирован на час. Также и другие могут ошибиться.
• Instantly Lockout Specific Usernames . Мгновенная блокировка конкретных пользователей. Чаще всего пытаются взломать логины «admin» и «administrator». Поэтому, если вы их не используете — можно добавить их в список.
• Уведомлять по Email . Если у вас слабопосещаемый сайт можете поставить галочку. В противном случае вас может засыпать данными уведомлениями.

Здесь отображаются записи о безуспешных попытках входа на Ваш сайт. Приведенная ниже информация может пригодиться, если Вам нужно провести исследование попыток авторизации — здесь отображается диапазон IP, имя пользователя и ID (если возможно) и время/дата неуспешной попытки входа на сайт.

Опции автоматического разлогирования пользователя

Установка ограничения срока действия сессии администрирования — это простой способ защиты от несанкционированного доступа к Вашему сайту с Вашего компьютера. Эта опция позволяет установить временной период, после истечения которого сессия администратора истекает и пользователю надо будет авторизоваться заново.

• Включить авторазлогинивание . Отметьте эту опцию, чтобы автоматически прекращать авторизационную сессию пользователей по истечении определенного периода времени. Ставьте галочку, если вам это нужно. Думаю, если вы заходите только со своего домашнего компьютера — в этом нет необходимости.
• Разлогинить пользователя через . Пользователь автоматически будет разлогинен по истечении этого периода времени.

Здесь отображается активность администраторов на Вашем сайте. Приведенная ниже информация может пригодиться, если Вы будете проводить исследование пользовательской активности, так как здесь будут показаны последние 50 событий авторизации с данными имени пользователя, IP-адресом и временем входа.

Здесь отображаются все пользователи, которые в настоящий момент авторизованы на Вашем сайте. Если Вы подозреваете, что в системе есть активный пользователь, которого не должно быть, тогда Вы можете их заблокировать, проверив их адрес IP в списке внизу, и добавив их в черный список.

Регистрация пользователя

Подтверждение в ручную

Если Ваш сайт позволяет людям самим создавать свои аккаунты через регистрационную форму WordPress, тогда можете свести количество СПАМ и левых регистраций до минимума, подтверждая каждую регистрацию вручную. Данная функция автоматически помечает аккаунты новых регистраций как «pending/в ожидании» пока администратор их не активирует. В этом случае нежеланные зарегистрировавшиеся не могут логиниться не имея Вашего подтверждения. Все недавно зарегистрированные аккаунты Вы можете увидеть в удобной таблице внизу, и также там можно одновременно выполнить активацию, деактивацию или удаление нескольких аккаунтов.

• Активировать ручное одобрение новых регистраций . Поставьте галочку тут, если хотите, чтобы все новые аккаунты автоматически создавались неактивными и Вы их могли подтверждать вручную.

Captca при регистрации

Данная функция позволяет Вам добавить поле CAPTCHA на странице регистрации WordPress. Кроме того, пользователи, которые пытаются зарегистрироваться, должны ответить на простой математический вопрос. Если ответ неверный, плагин не даст им зарегистрироваться. Так как у меня уже установлена каптча от гугла — я не стал активировать данную функцию.

Защита Базы данных

Резервное копирование БД

• Включить автоматическое создание бэкапов . Включите этот чекбокс, чтобы система автоматически создавала резервные копии базы данных по расписанию.
• Частота создания бэкапов . Зависит от вашей мнительности и частоты обновления вашего сайта. Я поставил создание копии БД один раз в неделю.
• Количество бэкапов для хранения . Укажите в этом поле количество резервных копий, которые должны храниться в бэкап-директории плагина. Я оставил значение по умолчанию — две копии.
• Пересылать бэкап на Email . Включите этот чекбокс, если хотите получать бэкап базы данных на свой Email. Рекомендую включить.

Защита Файловой системы

Доступ к файлам

Установки разрешений на чтение/запись для файлов и папок WordPress, позволяющие управлять доступом к этим файлам. При первоначальной установке WordPress автоматически присваивает разумные права доступа к своей файловой системе. Однако, иногда люди или плагины изменяют разрешения на определенные директории и файлы, снижая таким образом уровень безопасности своего сайта, установив неверные права доступа. Эта опция сканирует все важные директории и файлы ядра WordPress и подсвечивает все небезопасные настройки.

Редактирование файлов PHP

По умолчанию из панели администрирования WordPress позволяется редактировать PHP-файлы плагинов и тем. Это первейшее подспорье хакеру, получившему доступ в консоль администратора, предоставляющее ему возможность выполнить любой код на Вашем сервере.
Данная опция отключает возможность редактирования файлов из панели администратора.

• Отключить возможность редактирования PHP-файлов . Отметьте этот чекбокс, чтобы запретить редактирование PHP-файлов из админ-панели WordPress.

На мой взгляд — это не очень полезная функция. Ведь тот же хакер может в этом же плагине снять галочку, если получит доступ к вашему профилю администратора. В результате вам будут доставлены неудобства, так как для вставки кода того же счетчика, придется лезть на хостинг.

Доступ к файлам WP

Данная опция запретит доступ к таким файлам как readme.html, license.txt и wp-config-sample.php, которые создаются во время установки WordPress и не несут в себе системной нагрузки, но ограничение доступа к этим файлам позволит Вам скрыть от хакеров важную информацию (такую как версия WordPress).

• Запретить доступ к информационным файлам, создаваемых по умолчанию при установке WordPress. Отметьте этот чекбокс.

Системные журналы

Ваш сервер периодически может публиковать отчеты об ошибках в специальных файлах, которые называются «error_log». В зависимости от характера и причин ошибки, Ваш сервер может создать несколько файлов журналов в различных каталогах Вашей установки WordPress. Просматривая время от времени эти журналы, Вы будете в курсе любых основных проблем на Вашем сайте и сможете воспользоваться этой информацией для их решения.

WHOIS-поиск

Эта функция позволяет получить детальную информацию об IP-адресе или домене. Удобная функция, так как вам будет любопытно узнать информацию об адресах злоумышленников. Не потребуется лезть в Интернет в поисках подобных сервисов.

Функция «Черный список» позволяет блокировать определенные IP-адреса, диапазоны и юзер-агенты, отказывая в доступе к сайту тем пользователям и ботам, которые использовали эти IP-адреса для спама или по другим причинам. Данная функция реализуется добавлением в файл.htaccess определенных правил.

• Вести Черный список . Отметьте этот чекбокс, если Вы хотите иметь возможнось банить указанные IP-адреса или юзер-агенты.
• Введите IP-адреса . Каждый адрес с новой строки.
• Введите названия юзер-агентов . Каждый юзер-агент прописывайте в отдельной строке.

Чтобы получить возможность включить данную опцию и получить 15 баллов безопасности, необходимо ввести хотя бы один ip-адрес или юзер-агент.

Файрволл

Базовые правила файрволла

Опции в этой вкладке позволяют применить некоторые базовые правила защиты для Вашего сайта. Данная функциональность брандмауэра достигается методом добавления в Ваш файл.htaccess некоторых специальных директив. Активация этих опций не должна иметь никакого влияния на общую функциональность Вашего сайта, но при желании Вы можете создать backup Вашего.htaccess файла, перед тем, как включите эти настройки.

• Активировать основные функции брандмауэра . Отметьте этот чекбокс, чтобы активировать основные функции файрволла на Вашем сайте. Рекомендую поставить.

Эта опция запустит следующий базовый механизм защиты на Вашем сайте:

1. Защитит файл htaccess от несанкционированного доступа.
2. Отключит сигнатуру сервера в ответах на запросы.
3. Ограничит лимит на размер загружаемых файлов до 10Мб.
4. Защитит Ваш файл wp-config.php от несанкционированного доступа.

Вышеперечисленная функциональность будет достигнута методом добавления в файл.htaccess определенных директив и не должна повлиять на общую работоспособность Вашего сайта. Однако, просто на всякий случай, рекомендуется предварительно сделать резервную копию файла.htaccess.

WordPress XMLRPC & Pingback Vulnerability Protection

• Completely Block Access To XMLRPC . Рекомендую поставить. Один из моих сайтов перезагружали такими запросами и хостер меня засыпал жалобами о перегрузке сервера.

Данная функция необходима тем, кто через смартфоны публикует и редактирует записи на своем блоге. Если вам это не нужно — смело отключайте. Таким образом злоумышленник не сможет:

1. Перегрузить сервер запросами и вывести тем самым его из строя (DoS-атака).
2. Взломать внутренние маршрутизаторы.
3. Просканировать порты внутренней сети, чтобы получить информацию от различных хостов на сервере.

Помимо усиления защиты сайта, эта опция поможет значительно снизить нагрузку на Ваш сервер, особенно если Ваш сайт получает много нежелательного трафика, нацеленного на XML-RPC API.

• Disable Pingback Functionality From XMLRPC . Ставьте галочку. Пингбэк-защита.

Block access to Debug Log File

• Block Access to debug.log File. Блокировка доступа к отладочному лог-файлу. Поставьте галочку.

Дополнительные правила файрволла

В этой вкладке Вы можете активировать дополнительные настройки файрволла для защиты Вашего сайта. Эти опции реализуются методом добавления определенных правил в Ваш файл.htaccess. В силу определенных особенностей, эти правила могут нарушить функциональность некоторых плагинов, поэтому рекомендуется до их включения сделать backup файла.htaccess.

• Просмотр содержимого директорий . Включите этот чекбокс, чтобы предотвратить свободный просмотр директорий на Вашем сайте. Для того, чтобы эта функция работала, в Вашем файле httpd.conf должна быть включена директива «AllowOverride». Если у Вас нет доступа к файлу httpd.conf, обратитесь к своему хостинг-провайдеру.
• HTTP-трассировка . Отметьте этот чекбокс, чтобы защититься от HTTP-трассировки. Атаки на основе HTTP-трассировки (межсайтовой трассировки, или XST), применяются, чтобы получить информацию из возвращаемых сервером http-заголовков и похитить куки и другую информацию. Эта хакерская технология обычно применяется в сочетании с межсайтовым скриптингом (XSS). Данная опция предназначена для защиты от этого типа атак.
• Запретить комментарии через прокси . Отметьте этот чекбокс, чтобы запретить комментирование через прокси. Запретить вредоносные строки в запросах. Эта опция предназначена для защиты от ввода вредоносного кода при XSS-атаках. ВНИМАНИЕ: Некоторые из блокируемых строк могут использоваться в каких-то плагинах или Вашей теме, и, следовательно, данная опция может нарушить их функциональность. Обязательно сделайте резервную копию.htaccess до установки данной опции.
• Запретить вредоносные строки в запросах . Эта опция предназначена для защиты от ввода вредоносного кода при XSS-атаках. ВНИМАНИЕ: Некоторые из блокируемых строк могут использоваться в каких-то плагинах или Вашей теме, и, следовательно, данная опция может нарушить их функциональность. ОБЯЗАТЕЛЬНО СДЕЛАЙТЕ РЕЗЕРВНУЮ КОПИЮ ВАШЕГО.HTACCESS-ФАЙЛА.
• Активировать дополнительную фильтрацию символов . Это дополнительная фильтрация символов для блокировки вредоносных команд, используемых в XSS-атаках (межсайтовый скриптинг). Данная опция фиксирует распространенные образцы вредоносного кода и эксплойты и вернет хакеру сообщение об ошибке 403 (доступ запрещен). ВНИМАНИЕ: Некоторые директивы в этих установках могут нарушить функциональность сайта (это зависит от хостинг-провайдера). ОБЯЗАТЕЛЬНО СДЕЛАЙТЕ РЕЗЕРВНУЮ КОПИЮ ВАШЕГО.HTACCESS-ФАЙЛА.

6G Blacklist Firewall Rules

Включите данные опции, если хотите выполнить:

1. Блокировку запрещенных символов, обычно используемых в хакерских атаках.
2. Блокировку вредоносных закодированных строк в URL, таких как «.css» и т.п.
3. Защиту от распространенных шаблонов вредоносного кода и специфических эксплойтов (последовательностей команд, использующих известные уязвимости) в URL.
4. Блокировку запрещенных символов в параметрах запросов.

Enable 6G Firewall Protection . Эта опция активирует 6G-защиту на Вашем сайте.

Enable legacy 5G Firewall Protection . Эта опция активирует 5G-защиту на Вашем сайте.

Интернет-боты

• Блокировать ложные Googlebots . Отметьте этот чекбокс, если хотите блокировать все ложные Google-боты.

Данная функция проверяет, содержит ли поле User Agent information строчку «Googlebot». В таком случае, функция выполняет несколько тестов для того, чтобы убедится, действительно ли это — бот от Google. Если да, тогда позволяет боту работать дальше. Отнеситесь к данной функции с осторожностью, чтобы не получить проблем с индексацией в случае ошибки.

Предотвратить хотлинки

Хотлинк — когда кто-то на своем сайте показывает изображение, которое, на самом деле, находится на Вашем сайте, используя прямую ссылку на исходник изображения на Вашем сервере. Так как изображение, которое показывается на чужом сайте, предоставляется с Вашего сайта, для Вас это может привести к потерям скорости и ресурсов, потому что Вашему серверу приходится передавать эту картину людям, которые видят ее на чужом сайте. Данная функция предотвращает прямые хотлинки на изображения с Ваших страниц, добавив несколько инструкций в Ваш файл.htaccess.

• Предотвратить хотлинки на изображения . Отметьте этот чекбокс, чтобы предотвратить использование изображений этого сайта на страницах чужих сайтов (хотлинкс).

Детектирование 404

Ошибка 404 или «Страница не найдена» возникает, когда кто-то запрашивает страницу, которой нет на Вашем сайте. Большинство ошибок 404 случаются, когда посетитель написал URL страницы с ошибкой или использовал старую ссылку на страницу, которой уже нет. Однако, иногда можно заметить большое количество ошибок 404 подряд за относительно короткое время с одного и того же адреса IP, с запросами URL страниц, которых нет. Такое поведение может означать, что хакер пытается найти какую-то специальную страницу или URL со злым умыслом.

• Enable 404 IP Detection and Lockout . Отметьте этот чекбокс, если Вы хотите иметь возможнось банить указанные IP-адреса.
• Период блокирования из-за ошибок 404 (минуты) . Укажите период времени, на который будут блокироваться IP-адреса.
• URL перенаправления при ошибке 404 . Заблокированный посетитель автоматически будет переадресован на указанный вами адрес URL.

Вы можете заблокировать любые IP-адреса, которые записаны в таблице «Логи ошибок 404» внизу. Для того, чтобы заблокировать адрес IP, наведите мышь на графу ID и нажмите на ссылку «Заблокировать временно» для соответствующего адреса IP.

Custom rules

Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.

Защита от брутфорс-атак

Переименовать страницу логина

Эффективная мера защиты от перебора паролей — изменение адреса страницы логина. Обычно, для того, чтобы логиниться в WordPress, Вы набираете базовый адрес сайта, и затем wp-login.php (или wp-admin).

• Включить опцию переименования страницы логина . Ставьте галочку, если хотите активировать функцию переименования страницы логина.
• Адрес (URL) страницы логина . Укажите новый путь к админке.

Защита от брутфорс-атак с помощью куки

• Активировать защиту от брутфорс-атак . Эта функция запретит доступ к Вашей странице авторизации любому пользователю, у которого в браузере нет специального куки-файла.
• Секретное слово . Введите секретное слово, состоящее из буквенно-цифровых символов (буквы латинские), которое будет трудно разгадать. Это слово будет использовано, чтобы создать для Вас специальный URL для доступа к странице авторизации (смотрите следующий пункт).
• URL перенаправления . Введите URL, на который будет перенаправляться хакер при попытках получить доступ к Вашей форме авторизации. Вы можете проявить фантазию и перенаправлять хакеров, например, на сайт ЦРУ или ФСБ.
• На моем сайте есть посты или страницы, закрытые встроенной функцией WordPress для защиты контента паролем . В случае, если Вы защищаете свои посты и страницы паролями, используя соответствующую встроенную функцию WordPress, в файл.htaccess необходимо добавить некоторые дополнительные директивы. Включение этой опции добавит в файл.htaccess необходимые правила, чтобы люди, пытающиеся получить доступ к этим страницам, не были автоматически заблокированы.
• На этом сайте есть тема или плагин, которые используют AJAX . Поставьте галочку, если Ваш сайт использует функциональность AJAX.

Captcha на логин

Данная функция позволяет Вам добавить поле CAPTCHA на странице логина WordPress.

• Включить CAPTCHA на странице логина . Включите этот чекбокс, чтобы добавить CAPTCHA на странице логина Вашего сайта.
• Активировать форму CAPTCHA на измененной странице логина . Поставьте галочку тут, чтобы добавить CAPTCHA в специальную форму логина, которая генерируется функцией wp_login_form()
• Активировать CAPTCHA на странице «потерянного пароля» . Поставьте галочку тут, чтобы добавить CAPTCHA на странице восстановления пароля.

Белый список для логина

Функция белого списка All In One WP Security дает возможность открыть доступ на страницу логина WordPress только с определенных адресов или диапазонов IP. Добавьте список белых ip-адресов или диапазонов ip. Все остальные адреса будут заблокированы, как только пытаются открыть страницу логина.

Бочка с медом (honey pot)

Данная функция позволяет добавить специальное, скрытое поле «honeypot» на странице логина. Оно будет видно только роботам. Т.к. роботы обычно заполняют все поля в форме логина, они отправят и какое-то значение в специальном, скрытом поле медового бочка (honey pot). Поэтому, если плагин видит, что данное поле было заполнено, робот, который пытается логиниться на Вашем сайте, будет перенаправлен на свой собственный адрес, а именно — http://127.0.0.1.

• Активировать медовый боченок (honey pot) на странице логина . Включите этот чекбокс, чтобы активировать функция медовый бачок / honeypot на странице логина.

Защита от SPAM

Спам в комментариях

• Активировать CAPTCHA в формах для комментариев . Отметьте этот чекбокс, чтобы вставить поле CAPTCHA в форму для комментариев.
• Блокировать спам-ботов от комментирования . Отметьте этот чекбокс, чтобы активировать правила файрволла для блокировки комментарии от спам-ботов.Данная функция создаст правило файрволла, который блокирует попытки записать комментарий, если запрос не пришел со страницы Вашего домена. Честный комментарий всегда отправлен человеком, который заполняет форму комментирования и кликает на кнопку «Отправить». В таком случае, поле HTTP_REFERRER всегда имеет значение, которые ссылается на Ваш домен. Комментарий от спам-бота отправляется сразу запросом на файл comments.php, это обычно означает, что поле HTTP_REFERRER может быть пустым, или ссылается на чужой домен. Данная функция проверяет и блокирует комментарии, которые не пришли с Вашего домена. Это сильно снижает общее количество СПАМА и PHP-запросов на Вашем сервера при обработке спам-запросов.

Отслеживание IP-адресов по спаму в комментариях

Должен быть установлен плагин Akismet.

• Enable Auto Block of SPAM Comment IPs . Установите для автоматической блокировки ip-адресов с которых идет впам в комментарии.
• Minimum number of SPAM comments . Укажите минимальное количество спам-комментариев для одного IP-адреса после чего он будет заблокирован.
• Минимальное количество спам-комментариев на каждый IP . Эта информация может быть полезна для определения IP-адресов или их диапазонов, наиболее стабильно использующихся спаммерами. Анализ этой информации позволит Вам быстро определить, какие адреса или диапазоны следует заблокировать, добавив их в черный список.

BuddyPress

Данная функция добавит CAPTCHA с простой математической задачей в форму регистрации BuddyPress. Добавление поле CAPTCHA в регистрационной форме — простой способ значительно снизить количество спам-регистраций от роботов, без изменения правил в файле.htaccess.

Сканнер

• Активировать автоматическое сканирование изменений файлов . Включите этот чекбокс, чтобы система автоматически проверяла, есть ли изменения в файлах, на основе настроек ниже.
• Частота сканирования . Укажите периодичность сканирования.
• Игнорировать файлы следующих типов . Прежде всего введите файлы изображений, которые могут часто изменяться без ущерба для безопасности сайта: jpg, jpeg, png, bmp.
• Игнорировать определенные файлы и папки . В первую очередь укажите папку с кешем.

Режим обслуживания

Эта опция позволяет перевести Ваш сайт в режим обслуживания, сделав невозможным просмотр сайта посетителями, за исключением администраторов. Это может быть очень полезным, если Вы что-то настраиваете, меняете дизайн, проверяете работу плагинов и т.д. и т.п.

Разное

• Активировать защиту от копирования . Включите эту опцию, если Вы хотите блокировать функции «Правая кнопка», «Пометка текста» и «Копировать», на публичных страницах Вашего сайта.
• Активировать iframe-защиту . Отметьте, если Вы хотите, чтобы другие сайты не могли показывать Ваш контент внутри frame или iframe.
• Disable Users Enumeration. Эта функция позволяет предотвратить пользователям/ботам извлекать информацию пользователя типа «/?Автор=1». При включении, эта функция будет выдавать ошибку, а не предоставлять информацию о пользователе.

Оценить статью

Плагин безопасности All In One WP Security & Firewall для WordPress

4.3 (86.67%) 3 голос[ов]

Каждый день огромное количество сайтов подвергаются успешным хакерским атакам. не являются исключением и могут стать легкой мишенью для атаки из-за уязвимости тем и плагинов, слабых паролей и устаревшего программного обеспечения. Поэтому в сегодняшней статье мы решили уделить внимание такой теме, как защита WordPress.

Стоимость Bulletproof Security Pro: $59,95 (разовая оплата).
Официальный сайт — http://affiliates.ait-pro.com/

All in One Security and Firewall

Известный плагин для защиты от взлома WordPress. Он включает дополнительные брандмауэры для сайта, предоставляет различные методы защиты и дает по ним отчет.

Настройки файервола этого плагина разделены на три уровня «basic», «intermediate» и «advanced», что позволяет применять правила файервола постепенно, не нарушая работу сайта.

Функций у этого плагина (впрочем, как и у остальных в этой подборке) огромное количество — потянет на отдельную статью. Приведу здесь основные:

1. Защита аккаунтов:

• определяет аккаунт «admin» и предлагает поменять его на другой на ваше усмотрение;
• определяет и сообщает об аккаунтах, в которых логин и имя пользователя совпадают — такие аккаунты взломать легче;
• генерирует сильные пароли.

2. Защита входа в систему и регистраций на сайте:

• опция Login Lockdown — блокирует пользователей за определенное количество неверных попыток входа в систему;
• делает принудительный выход из системы для всех пользователей через установленное время;
• отслеживает активность в аккаунтах всех пользователей путем логирования информации;
• дает отчет о полном списке пользователей, которые выполнили вход в систему на данный момент;
• добавляет captcha в форму логина и форму регистрации;
• позволяет вручную подтверждать каждую новую регистрацию на сайте.

3. Защита базы данных:

• изменяет WP-префикс базы данных на любой другой;
• настраивает автоматическое резервное копирование.

4. Защита файловой системы:

• определяет папки и файлы с небезопасными правами доступа и меняет их на безопасные значения;
• запрещает редактировать файлы с PHP-кодом из администраторской панели управления;
• запрещает доступ к readme.html, license.txt и wp-config-sample.php файлам.

5. Функция файервола позволяет использовать защиту с помощью.htaccess файла. Этот файл обрабатывается вашим веб-сервером еще до обработки любого кода сайта, поэтому правила файервола останавливают вредоносные скрипты еще до того, как у них появится возможность достичь WP-кода.

6. Предотвращение брутфорс-атак.

7. Сканирование безопасности:

• отслеживание файловых изменений и уведомления об этом;
• сканирование таблиц базы данных на подозрительные строки, javascript и html код в базовых таблицах WordPress.

8. Защита от спам-комментариев:

• отслеживание наиболее активных IP, которые постоянно делают спам-комментарии и их блокировка;
• добавление captcha в форму комментариев WordPress.

9. Защита контента от копирования.

Стоимость: бесплатно.

Wordfence

Этот плагин безопасности WordPress сразу же после установки запустит автоматическое сканирование, чтобы проверить, не заражен ли уже ваш сайт. Поддерживает WordPress-мультисайты. Основные функции:

1. Файервол:

• защищает от взлома, распознавая вредоносный трафик и блокируя подозрительные попытки вторжения в систему;
• блокирует общие распространенные угрозы безопасности, например, Google-боты, вредоносное сканирование хакерами и ботнеты.

2. Блокировка:

• блокирует целые вредоносные сети. Включает проверку IP и домена при помощи сервиса WHOIS и блокирует вредоносные IP с помощью файервола;
• блокирует такие угрозы, как агрессивные поисковые роботы, скреперы и боты;
• блокирует и контролирует пользователей, которые нарушают правила безопасности на вашем сайте.

3. Безопасность входа на сайт:

• вход в аккаунт с помощью двухфакторной аутентификации;
• позволяет использовать только сложные пароли администраторам и пользователям;
• предотвращает брутфорс-атаки.

4. Сканирование безопасности:

• проверяет сайт на уязвимости типа Heartbleed;
• проверяет базовые файлы, темы и плагины по репозиторию версий WordPress.org на целостность и безопасность;
• позволяет просмотреть изменения в файлах и исправить их, если есть угроза безопасности;
• проверяет на наличие «черных ходов», которые создают дыры в безопасности (C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx и многие другие);
• сканирует на наличие вредоносных программ и фишинговых URL по Google Safe Browsing List во всех ваших комментариях, постах и файлах;
• сканирует на наличие троянских программ, подозрительного кода и прочих угроз.

5. Мониторинг:

• просматривает весь ваш трафик в режиме реального времени и создает отчет о потенциальных угрозах;
• отслеживает безопасность неавторизированных изменений;
• отслеживает дисковое пространство. Много DDoS-атак нацелены на потребление всего дискового пространства, чтобы спровоцировать отказ в работе сервиса.

Стоимость: бесплатно , но есть Премиум версия, которая включает: vip-поддержку, установку графика сканирования, аудит паролей, а также проверку IP-адреса сайта по Spamvertized.

Цена Премиум подписки – $8,25 в месяц. При оплате на год и более предоставляется скидка.

Sucuri Security

Sucuri Inc – это известная организация, которая занимается вопросами веб-безопасности, со специализацией в WordPress-безопасности.

Плагин Sucuri Security включает следующие возможности:

1. Аудит безопасности.
Отслеживает все события, связанные с безопасностью сайта. Любое изменение, которое может быть квалифицировано как угроза безопасности, плагин записывает. Регистрация действий происходит в SucuriCloud-сервисе для большей сохранности. Это гарантирует, что никто не сможет стереть данные отчетов. Если злоумышленнику удалось обойти систему безопасности вашего сайта, то вся информация о действиях будет сохранена в Sucuri Security Operations Center (SOC).

Эта функция особенно нужна для администраторов сайта и экспертов по безопасности, которым нужно понять, что и когда происходит с сайтом. Можно настроить уведомления о безопасности сайта на email.

2. Контроль целостности файлов.
Плагин проверяет соответствие оригинального (утвержденного) файла с текущим и если он отличается, то возможно безопасность под угрозой. Проверка осуществляется для всех базовых файлов, плагинов и тем.

3. Удаленное сканирование вредоносных программ.
Эта опция осуществляется при помощи инструмента Sucuri, который можно найти на бесплатном сканнере безопасности — SiteCheck.

4. Мониторинг «черного списка».
Плагин проверяет различные «черные списки», включая:

• Sucuri Labs
• Google Safe Browsing
• Norton
• Phish Tank
• McAfee Site Advisor
• Yandex
• SpamHaus
• Bitdefender

Это одни из самых больших списков, которые содержат сайты с проблемами в безопасности. Если ваш сайт был найден в таком списке, то Sucuri предлагает дополнительную опцию за отдельную плату – помощь в том, чтобы удалить ваш сайт из «черного списка» при помощи Website AntiVirus.

5. Эффективное усиление безопасности.
Плагин обеспечивает безопасность сайта с помощью: защиты.htacess, ограничений доступа к wp-includes папке, проверки ключей безопасности, верификации версии PHP, изменения префикса базы данных, удаления readme.html файла и прочего.

6. Действия по безопасности после взлома.
Если взлом сайта всё же произошел, плагин предложит:
обновить ключи безопасности;
обновить пароли всех пользователей;
обновить плагины.

7. Файервол (дополнительная функция за отдельную плату).
Это определенно лучшая функция, которую предлагает Sucuri. Файервол от:

• DoS и DDoS-атак;
• уязвимостей программного обеспечения;
• брутфорс-атак.

Стоимость: бесплатно , есть платные пакеты от $199 в год.

А какую защиту для WordPress-сайта используете вы и чем именно она вам нравится?

Каждый, кто впервые сталкивается с настройкой безопасности сайта, задумывается какой всё-таки плагин установить и настроить для этой цели.

Выбор не маленький. Если вбить «Security» в поле поиска плагинов, результат выдачи будет достаточно длинным.

В любом случае, стоит придерживаться самых популярных, активно поддерживаемых и конечно же тех, которые заслужили большее количество оценок.

В этом обзоре я решил установить 4 плагина для защиты WordPress, и выяснить какой же все-таки из них лучше для обычного пользователя:

Первые три предлагают также премиум функционал, но я не буду включать его в обзор.
Пожалуй в про нет таких функций, без которых нельзя прожить, или которые нельзя заменить на бесплатную альтернативу.

Отмечу, что это не детальный обзор всех возможностей, скорости работы кода или требований. Это разбор базового функционала настройки безопасности и уровня работы с ним.

Ограничение попыток входа

• Wordfence Security

Опция включающая защиту аутентификации называется Enable login security . К сожалению, плагин не переведен на русский язык.

В нижней части страницы находится блок настроек: количество попыток входа, время учета попыток, время блокировки и ряд других опций.

• iThemes Security

Модуль защиты входа находится в разделе Local Brute Force Protection . Пользователям этого плагина чуть больше повезло с русской локализацией.

Чуть ниже можно включить модуль сетевой защиты Network Brute Force Protection . Для этого нужно запросить API ключ, и в бан список будут автоматически попадать адреса, которые уже пытались взламывать чужие сайты.

• Shield Security

Защита входа находится на вкладке Login Protection . Перевод на русский язык есть, и в целом хочу отметить очень приятный и логичный интерфейс.

Можно также заметить, что здесь можно использовать reCAPTCHA, настроить двух-факторную аутентификацию, переименовать страницу входа wp-login.php, и даже связать с Yubikey.

• All in One WP Security

Блок настроек для защиты от брутфорса находится на странице User Login . Перевода готового нет. Опции схожи с аналогичными модулями других плагинов.

На соседних вкладках можно посмотреть журналы событий.

Файервол

• Wordfence

Firewall это один из главных функциональных модулей плагина WordFence. Есть два режима Basic и Extended. Последний позволяет блокировать некоторые атаки даже до старта WordPress, но требует более глубокого понимания серверных настроек.

В бесплатной (community) версии правила блокировки обновляются спустя 30 дней после того как они были добавлены в про.

• iThemes Security

Файервола в этом плагине нет. А рекомендует iThemes пользоваться сервисом Sucuri Website Firewall (платно).

• Shield Security

В настройках этого плагина вы не запутаетесь, вкладка Firewall находится на видном месте. В целом, рекомендуется включить все опции.

• All in One WP Security

Страница блокировок выглядит объемной благодаря тому, что функционал разбит по вкладкам. Место занимает справка и значки уровня защиты (хотя зачем нужны последние). Опций немного, их можно включить все по необходимости.

Журнал изменений и действий

• Wordfence

Автоматическое сканирование можно включить на странице Options в пункте Enable automatic scheduled scans , и не забыть указать чуть ниже емайл (Where to email alerts ).

Wordfence предоставляет большой контроль что сканировать, как и когда отправлять отчет.

• iThemes Security

Функционал монитора находится в блоке Обнаружение изменений файлов .
Сканирование происходит по частям. Можно исключить некоторые файлы, папки или типы файлов.

На вкладке Основные настройки можно также включить и настроить отправку уведомлений о блокировке хостов или пользователей.

• Shield Security

Сканирование изменений и журнал действий можно настроить в двух разделах: Hack Protection и Audit Trail .

В первом модуле настраивается сканирование целостности файлов и их исправление, а также сканер неопознанных файлов.

В модуле Audit Trail отслеживается и отправляется отчет по разнообразным событиям в WordPress (активность связанная с плагинами и темами, действия в пользовательских аккаунтах, редактирование и публикация записей и др).

• All in One WP Security

Модуль отслеживания изменений находится на странице Scanner . Там можно произвести сканирование вручную, или настроить расписание.

Вывод, по мониторингу изменений и журналированию действий у нас два победителя: Wordfence и Shield Security . В зависимости от задачи.

Стоит заметить, что сканирование файловой системы довольно интенсивный процесс, поэтому включать и настраивать нужно с умом.

Блокирование хостов

• Wordfence

Wordfence предоставляет гибкий инструмент для блокировки пользователей.

Можно задать ряд условий для наступления блокировки.

Можно блокировать IP вручную. Или использовать более продвинутые способы: блокировать диапазон, юзер-агент и прочее. Функционал блокировки по странам доступен в премиум версии.

• iThemes Security

Функционал находится на вкладке Заблокированные пользователи . Можно включить бан список от сайта HackRepair.com, и запретить доступ отдельным хостам или юзер-агентам.

• Shield Security

Список составляется автоматически , его настройки и включение можно найти в модуле IP Manager . Ручного добавления нет.

• All in One WP Security

Пользовательские IP и юзер-агенты можно вручную блокировать на странице Blacklist Manager .

Победителями по блокировке можно назвать Wordfence за гибкость настраивания условий блокировки, и Shield Security если вы согласны полностью положиться на автоматическую систему блокировок.

Итоговое сравнение плагинов

Рассматривается только общий базовый функционал. Разумеется, у каждого плагина по защите есть ряд своих особенностей. Антиспам, бэкап базы, настройка пользователей, права файлов и каталогов, отключение лишнего функционала и т.д. Но это такие второстепенные вещи, либо их можно реализовать альтернативными решениями более гибко и узконаправлено.

Моя общая оценка исходит из функционала и удобства использования следующих модулей:

• Защита входа;

Отслеживание изменений/аудит;

Блокировка хостов;

По результатам обзора на звание лучшего плагина для защиты WordPress безусловно вырывается вперед Wordfence . Хотя его интерфейс может показаться запутанным на первый взгляд. На официальном сайте есть хорошая документация (на английском).

Очень порадовал в обзоре Shield Security , русифицированный и четкий интерфейс, очевидно направленный на пользователей менее подготовленных или не желающих вникать во все тонкости настроек безопасности.

Из двух оставшихся плагинов я бы отдал предпочтение несомненно iThemes Security , хотя бы за более логичный и чистый интерфейс.

All in One WP Security не могу назвать плохим плагином, он выполняет свою задачу. Но лидером в этой четверке он тоже не является. Здесь как раз показатель того, что плагины с наращиваемым премиум функционалом стараются в большей степени идти с требованиями рынка, и это конечно сказывается на бесплатных версиях.

Функционал у всех перечисленных плагинов модульный, т.е. при необходимости их можно даже настроить на совместную работу. Ну или исключить лишнее, оставить только необходимое.

Если делать по уму, то к безопасности и её настройкам следует подходить индивидуально в зависимости от назначения сайта, технической реализации и условий его работы.