Защищен ли мой сайт на WordPress? Этот вопрос, пожалуй, стоило бы задать каждому. Я таким вопросом задался, когда взломали сайт одного моего знакомого. Ничего особого не "хакнули", но "перемешали" все в кучу и подменили главную страницу какой-то другой, разработанной "взломщиками". Все остальные страницы и посты отображались нормально. Просто кто-то немного "поигрался" с файлом .htaccess и файлами темы. Проблему в том случае устранила простая установка новой темы.

После такой ситуации я зашел в панель управления собственного WordPress-сайта и стал просматривать плагины, которые отвечают за обеспечение безопасности сайта. Таких плагинов есть масса, но все они работают по-разному и предназначены для решения разных задач. Но что делать, если вам нужен один-единственный плагин для защиты, который решит большинство задач по безопасности?

И так я выбрал плагин для WordPress, который лучше всего подходит для меня, и большинство задач решает легко и в автоматическом режиме. А называется этот плагин Better WP Security.

Better WP Security — самый простой и эффективный способ для защиты WordPress

У этого плагина есть множество классных параметров. Он исследует уязвимости (что является причиной большинства атак на WordPress), защищает сайт путем блокировки пользователей, которые его атакуют, определяет ботов и т.д. Так что вместо того, чтобы копировать все эти параметры и расписывать их всех в этом посте, предлагаю вам просто посмотреть на страницу плагина и прочесть все о нем (это обязательно, если вы хотите использовать данный плагин). А в этом посте я сосредоточусь на том, как и что надо сделать после установки данного плагина, чтобы сам плагин ничего не нарушил в работе вашего сайта (а такое легко может произойти, есть множество способов "смешать все карты").

Установка плагина

Вы можете скачать плагин из официального каталога расширений WordPress по этой ссылке.

Если вы не знаете, что такое плагины и как их устанавливать, посмотрите этот урок.

Настройка

После установки плагина вы попадете в панель управления WordPress и там увидите приветственное сообщение и запрос от плагина насчет создания резервной копии, которая будет отправлена на ваш электронный адрес в почте. Более чем круто!

Создайте бэкап, отправьте на свой электронный адрес и, получив, сохраните на свой жесткий диск.

Далее вам зададут вопрос с разрешением для редактирования файлов ядра в WordPress (таких, как wp-config.php). Рекомендую вам ответить утвердительно. Но убедитесь, что прочли внимательно сообщение при предоставлении разрешений на определенные операции, и что текст предупреждения похож на приведенный на скриншоте:

И наконец после всего вы получите предложение защитить свой сайт от дальнейших атак кликом одной кнопки. Кликните на кнопке с надписью "Secure My Site From Basic Attacks".

Теперь мы защитились от базовых атак. Но это вовсе не означает, что ваш сайт полностью защищен и не может быть взломан. Перейдя снова в управление WordPress, мы увидим , 19 процедур и операций, которым следует уделить внимание:

Не паникуйте, если вы видите статусы, отмеченные красным или оранжевым, обозначающие, что эти компоненты вашего сайта не защищены от взлома. Как вы видите, здесь есть ссылка "Click here to fix", по которой вы можете перейти к соответствующим настройкам и защитить сайт от указанной уязвимости (в этом ничего сложного нет).

Вопрос лишь в том, стоит ли так защищать все указанные 19 уязвимостей?

И ответ — "Нет", в особенности, если речь идет о старом сайте, а не о новой версии движка.

Список опций

Для всех новичков в использовании WordPress и тех, у кого нет сильной технической подготовки, — я привожу список опций, которые следует исправить при помощи встроенного плагина.

На странице со статусами вы увидите (как на приведенном выше рисунке), что позиции #3, 4, 6, 8, 11, 12, 15 уже "светятся" зеленым. Значит, нам не стоит о них беспокоиться.

  • #1 — оставляем и ничего не меняем, потому что параметр уже задан паролем администратора.
  • #2 — здесь можно исправить уязвимость с помощью данного плагина. Кликните по "Click here to fix", а затем выберите все три доступные опции.

  • #5 — здесь надо быть осторожным. Если у вас новый сайт и свежая версия WordPress, то можно "пофиксить" данную уязвимость; но если у вас давно работающий сайт, то рекомендую данную опцию пропустить, потому что ваш сайт и посты могут прийти в беспорядок.
  • #6 — создание резервной копии БД: параметры создания / планирования бэкапов можно задать слева в колонке настроек плагина. Есть 2 опции: отправка каждого бэкапа по e-mail или отправка созданного бэкапа через FTP-клиент.
  • #7 — советую вам исправить эту уязвимость. Блокируется ваша панель в то время, когда вы ее не используете (к примеру, открыли админку, забыли о ней и ушли спать). Можно включить опцию "Away mode", здесь можно указать интервал времени, по прошествии которого отключается доступ к сайту, и надо будет повторно войти для использования сайта заново. Так что те, кто попытаются использовать вашу ссылку для входа в панель администратора, просто попадут на главную страницу блога.
  • #9 и 10 — исправьте эти уязвимости.

Примечание: если вы исправили #9, то ваши адреса для авторизации и регистрации будут заменены на указанные вами параметры.

Еще одна важная потенциальная уязвимость — это #16, но так как у нас файл .htaccess уже полностью защищен, то можем эту опцию пропустить.

Все остальное можно оставить без изменений, чтобы не создать конфликты в работе плагинов и тем на вашем сайте.

Ограничение попыток входа

Это — один из полезных способов защиты сайта от "brute force" атак. Кто не в курсе: подобные атаки обеспечиваются при помощи специального ПО, которое генерирует множество вариантов логина и пароля во всех возможных комбинациях за крайне короткий промежуток времени. Данный плагин позволит включить блокировку хостов при определенном числе неправильных попыток ввода логина и пароля. Также включите уведомление по электронной почте, чтобы знать, какие хосты и когда были заблокированы.

Ежедневно я получаю до 3-х писем с уведомлениями о блокировке хостов, пытающих использовать брутфорс для подбора логина и пароля. Если один и тот же хост попадает под фильтр по 2-3 раза за несколько дней, значит, кто-то пытается взломать ваш сайт. Советую просто забанить данный хост / IP (сделать это можно в левой панели).

Вы также можете настроить частоту уведомлений по e-mail и форматы уведомлений о любых изменениях в ваших WordPress-файлах.

Источник: ОddBlogger.com

Вам понравился материал?

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.

14 комментариев

сначала новые
по рейтингу сначала новые по хронологии
Вардан

Здравствуйте.
После установки плагина Better WP Security перестал работать поиск по сайту. Ошибка 403. Отключаю плагин - поиск работа.
Никто не сталкивался с такой проблемой?

Dmitriy Medved

Я недавно описывал несколько шагов, для улучшения безопасности сайта на своем блоге. Так вот, очень действенный способ - это установить плагин Better Wp Security, вот ссылка: http://web-jenezis.com/2013/12/25/10-tryukov-dlya-uluchsheniya-bezopastnosti-wp-sajta/

так что я полностью поддерживаю данную идею.

Интересно, для чего разрабы сделали (вернее занесли функцию) добавления или перепрописи в файл .htaccess своих официальных страничек блога - ради продвижения... утверждения... доступа... СэТэРанно... Лично я поудалял эти URL-ы.

Если кому зо гар дас ист интересант, то используя ПО NotePad++ можно убедиться в этом, список небольшой, но с каждой новой версией плашки(плагин) он меняется. Хотя, как очевидное или одно из очевидных, это плата за защиту, что ли. Интересно на каком из показателей это отразится. Плашки, блин. Порой WP напоминает швейцарский сыр: такой же дырявый и такой же "вкусный", но избыток плашек в нём вызывает запор :D, людям, избегающих проблем, его не раскусить, а плагин "Purgen WP" ещё не придумали :D. Но харош, движёк, чертовкси харош. Всё, блин точка - "( . )". Думаю, некоторым есть над чем подумать.

Я тоже обнаружила =). Что называется это нам задаром - "Просто так... Тра-ла-ла-ла тра-ла-ла-ла пум-пурум-пум-пум-пум-пум" - из мультика.

Для нас бесплатный плагин, для них SEO-комфорт через массы =).

Марк Кинчев

Comodo антивир такой же(в хорошем смысле). Пока не наладил настройки антивира, обращённые на понижение агрессивного режима защиты не запустил лицензию игры Crysis 3 - вирус понимаешь ли, что забавно c MSDaRT было тоже :D.

Здесь масса настроек и надстроек на защиту и исправление, если покапаться и изучить, а при этом используя .htaccess и .htpasswd - просто мёд.

Александр Мельник, Большое Спасибо!

=======

P.S.: Последняя версия плагина обладает некоторыми элементами в представлении русского языка.

Очень удобно, большое спасибо!!!

Александра

Хороший плагин.Отличная статья.

После установи плагине не отображает сайт тупо показывает hereloginSITENAME

Делал сайт на тестовой площадке и установил плагин, после переноса плагин начал ругаться на файл wp-includes/login.php в чем может быть причина и как это исправить. Говорит что папка недоступна. После небольшого теста понял что какие-то настройки остались и у меня.

Кто пользовался подскажите какие настройки стоит использовать, а какие могут слететь при обновлении движка или переносе. Может кто исследовал?

Александр

Добрый день! подскажите пожалуйста кто знает, после установки данного плагина, и изменения ряд рекомендаций о настройке WordPress, у меня на сайте перестали видеть мои записи обычные посетители сайта, т.е записи видят только зарегистрированные пользователи, а так как у меня отключена регистрация, записи теперь вижу только я!

Удалось ли это ка-то исправить? А то похоже у меня та же проблема.

Спасибо за материал. Просто, понятно.

наталья

Спасибо, Вы очень помогли...

Отличная статья, спасибо!