Хоч би що ви робили, вам все одно не вдасться захистити свій інтернет-ресурс на всі 100%. Але за допомогою правильних інструментів та деяких хитрощів ми можемо спробувати наблизитися до цієї цифри та досягти 99.99%. Ви не вірите?
WordPress - це одна з найпопулярніших систем управління контентом у світі і, без жодних сумнівів, одна з найзахищеніших і найбезпечніших платформ в інтернет-просторі. Але все одно навіть вона вимагає додаткового захисту після установки, а нові користувачі можуть турбуватися про атаки хакерів. Саме з цих причин такі важливі плагіни захисту, один з яких ми сьогодні розглянемо.
Дивіться також:
- Підвищуємо безпеку сайту разом із плагіном Better WP Security
- Як захистити сторінку авторизації WordPress від хакерів за допомогою плагіна Rublon
- Як захистити свій WordPress сайт за допомогою Sucuri
Сьогоднішнє керівництво – це огляд одного з найкращих плагінів захисту вашого сайту на WordPress, а саме iThemes Security (В минулому відомого як Better WP Security). Ми розглянемо його налаштування та можливості, а також розповімо про деякі додаткові поради.
Почнемо з установки плагіна iThemes Security.
Установка плагіна iThemes Security
Ви можете завантажити плагін з офіційного каталогу розширень WordPress за цим посиланням.
Якщо ви не знаєте, що таке плагіни і як їх встановлювати, перегляньте цей урок.
Навіть якщо ви створили свій перший сайт тільки сьогодні і ніколи раніше не встановлювали плагіни, зробити це вперше буде зовсім нескладно.
Налагодження та використання
Налаштувати плагін досить легко, напевно, навіть легше, ніж будь-якої з таких же популярних плагінів WordPress. Ми покроково розглянемо встановлення та використання плагіна з огляду на всі нюанси.
Почнемо!
Після успішного встановлення плагіна поверніться на сторінку самого плагіна. Ви побачите таке:
Натиснувши на кнопку Захистити свій сайт зараз (Secure Your Site Now), нижче ви побачите сторінку з модальним боксом:
Ці кроки потрібно пройти користувачам-новачкам:
- Резервне копіювання вашого сайту: створює моментальний знімок вашої установки плагіна на WordPress, що дозволить вам виправити всі помилки під час налаштування плагіна.
- Дозвіл оновлення файлів: дозволяє iThemes Security працювати з основними файлами WordPress, наприклад wp-config.php і .htaccess.
- Безпека вашого сайту: активувати деякі рекомендовані настройки для забезпечення захисту вашого сайту за допомогою одного кліка.
- Поліпшення роботи із сайтом: отримання даних (анонімно) для покращення плагіна.
Після цього можна переходити до дашборду.
Панель керування плагіном
На цій сторінці можна перевірити статус безпеки за допомогою перевірки статусу пунктів, які потрібно задіяти.
Ці пункти поділені на кілька категорій:
- Високопріоритетні
- Середньої пріоритетності
- Низька пріоритетність
- Завершені
Рекомендується звернути особливу увагу на перші два пункти та перевірити пункти з низькою пріоритетністю, щоб переконатися в їхній корисності для безпеки вашого сайту.
Сторінка налаштувань
На цій сторінці достатньо багато інформації для ознайомлення. Не полінуйтеся та вивчіть її всю, розділ за розділом:
- Глобальні налаштування
- Виявлення помилки: сторінки 404
- Режим недоступності «ні на місці»
- Заблоковані користувачі
- Захист пароля сайту на WordPress від злому (Brute Force Protection)
- Резервне копіювання даних
- Виявлення змін файлів
- Приховування поля з логіном
- Протокол захисту даних - Secure Socket Layers (SSL)
- Надійні паролі
- Безкоштовна програма System Tweaks для тонкого налаштування прихованих параметрів системи
- Плагін WordPress Tweaks для детального налаштування движка WP
Налаштовуйте плагін на свій розсуд, включайте/вимикайте потрібні вам параметри та функції.
Розширені настройки
На відміну від "Сторінки налаштувань", яка має безліч маленьких налаштувань, розширені налаштування включають лише три дуже важливі інструменти для підвищення безпеки вашого сайту:
- Зміна адміністратора: адмін на WordPress з номером ID користувача «1» або ім'ям користувача «admin» може нашкодити вашому сайту, якщо він не буде добре захищений у майбутньому. Щоб скоротити ризик злому вашого сайту хакерами невідомими методами хакерів, вам потрібно змінити ім'я користувача адміна за допомогою цього інструменту.
- Зміна папки з контентом: хакери можуть просканувати ваш сайт, як це робить пошукова система, і знайти "вразливі" файли, які можна пошкодити. Наприклад, якщо плагін WordPress не має гарного захисту і ви його встановили, то хакери можуть просканувати ваш сайт паралельно з папками wp-content сайтів на WordPress. Цей інструмент дозволяє змінити назву папки wp-content, щоб її було важче знайти.
- Зміна префіксу бази даних: якщо сервери провайдера хостингу, що використовується вами, «вразливі», то хакери можуть атакувати їх, проникнувши в систему. Як і два попередні, цей інструмент запобігає ймовірності ризику для сайту за допомогою зміни префіксу бази даних wp_. Завдяки цьому хакерам буде складніше знайти таблиці бази даних.
Ці налаштування є досить «крихкими», якщо взагалі можна сказати про налаштування. І з ними можуть виникнути проблеми, як, наприклад, неможливість увійти в систему, або ж повне руйнування бази даних.
Тому варто зробити резервне копіювання бази даних перед тим, як внести до неї подібні зміни. У разі виникнення будь-яких проблем можна скасувати всі дії, відновивши резервну копію.
Додаткові поради щодо безпеки
Ознайомтеся з наступними порадами та, по можливості, використовуйте їх на практиці:
- Виберіть надійного хостинг-провайдера: навіть якщо ви намагаєтеся убезпечити свій сайт усіма можливими способами, то хакери все одно зможуть нашкодити вашому сайту, якщо ваші сервери не є достатньо надійними. Переберіть усі можливі варіанти та віддайте перевагу кращому з них.
- Не нехтуйте протоколом SSL: хоч і плагін дозволяє використання SSL, ви не зможете цього зробити, доки не придбаєте відповідний сертифікат. Зв'яжіться з вашим хостинг-провайдером для активації HTTPS-з'єднання на вашому сайті WordPress.
- Захистіть свій комп'ютер та поштовий обліковий запис: хакери можуть випробувати всі способи, щоб зламати ваші паролі, тим самим впровадити віруси та отримати ваші облікові дані. І щоб захистити свій комп'ютер та email-акаунт, використовуйте якісне програмне забезпечення безпеки та надійного інтернет-провайдера.
- Будьте завжди пильні: плагін iThemes Security робить все можливе, щоб захистити ваш сайт на WordPress. Але все одно не можна повністю довіритися програмі чи будь-якій іншій системі. Завжди перевіряйте все додатково.
Висновок
Як було сказано на початку, повної безпеки сайту досягти не можна, але можна, принаймні, спробувати це зробити. З використанням гарного плагіна, як наприклад, iThemes Security та парою-трійкою інших способів, можна подолати будь-які загрози безпеці вашого сайту.
Коментарі до запису: 5
Дякую. Тільки на мою думку, він зовсім не новий плагін.
Він не новий, я згоден, ще з перейменуванням накинули, що взагалі не доставляє ((ну і налаштування розписана не дуже, мені блог допомагав https://shneider-host.ru/blog/better-wp-security-nastroyka-osnovnyh- parametrov.html, тут все детальніше розписано якось, але загалом за інформацію спасибі!
З використанням цього плагіна і парою-трійкою інших саме способів, можна подолати будь-які загрози безпеці сайту?
А також який саме плагін безпеки WordPress в даний час є найкращим?
Здравствуйте.
Користуюся цим плагіном. Останнім часом почали заходити до адмінки під моїм (помітьте захованим) логіном. І це при тому, що сторінка входу змінена зі стандартної — на свою, особисту, складнішу, та й логін у коментарях прихований. Я вже змінював сторінку входу до вордпресу кілька разів, але спроби зайти все одно продовжуються. Мені на пошту надходить листом новий логін. Я вже подумав, що може зламали скриньку, але начебто нічого такого не було, бо заходжу на пошту, не вводячи пароль. Прошу допомоги, може, підкажіть, що мені можна зробити. Заздалегідь дякую!
Доброго дня! Щодня на Email надходили копії бази даних, а після 3.03.17 р. відправка резервної копії припинилася. Налаштування плагіна iThemes Security не змінювало. Що робити? Підкажіть, будь ласка, буду дуже вдячна, бо я розбираюся в цих справах погано.