Всичко в един wp плъгин за сигурност. Плъгини за сигурност за WordPress

Добре популяризиран уебсайт в Интернет, много фенове на ресурса, положителна обратна връзка от публиката - всички тези фактори се превръщат в основата на успешен онлайн бизнес, който носи отлични приходи.


Създателят на сайта се радва на постижението си, но в най-неподходящия момент възникват определени проблеми, които по правило са причинени от недоброжелатели. За да защитите сайта си от хакване, ще трябва да намерите добра програма, която осигурява адекватна защита на ресурса дори от най-сериозните хакерски атаки.

Има три важни области гарантиране на сигурността на създадения ресурс:

1. Защита срещу спам.
2. Защита от вирус ().
3. Защита срещу взлом.

За първите две посоки ще говорим следващия път, а днес ще разгледаме въпроса -

В интернет има много програми, които осигуряват защита на уебсайтове. Защо препоръчваме All In One WP Security? Този избор е оправдан специални предимства:

• Плъгинът се инсталира безплатно;
• лесна система за настройки, която позволява на всеки начинаещ бързо да зададе необходимите параметри, които гарантират прилична защита;
• наличието на рускоезична версия, което е особено важно за жителите на Руската федерация и други страни от ОНД.

Всичко в едно WP сигурност

– най-важните критерии за осигуряване на ефективна работа в мрежата и генериране на редовен доход.

е отличен плъгин за тази цел и за да активирате неговата защитна функция, препоръчваме да следвате следните стъпки:

1. Преди да направите настройки, препоръчително е да архивирате някои файлове (htaccess, wp-config и база данни). Това може да стане в самия плъгин: изберете папката „настройки“ в административния панел и запазете.
2. След това отидете на контролния панел. Има доста удобен измервателен уред, който може да се използва за лесно определяне на нивото на защита на сайта. Ако параметрите са ниски, потребителят може да предприеме някои действия за подобряване на тези показатели. Но не препоръчваме да се стремите да постигнете максимално ниво, тъй като в такава ситуация има някои рискове, които не са съвсем приятни за създателя на ресурса (сайтът може да падне в класирането или програмата ще започне да функционира с определени проблеми) .
3. За да активирате необходимата функционалност, която осигурява защита срещу хакване, отидете на блока за текущо състояние.

Общи настройки на плъгина за сигурност на WordPress

В общите настройки потребителят може да деактивира защитната стена и да блокира функциите за сигурност, което е особено важно, ако нещо в системата е спряло да функционира в желания режим. Можете също да създавате резервни копия тук.

За да скриете WordPress, трябва да изберете " Премахване на метаданни на WP Generator» и маркирайте този елемент. А за да експортирате лични настройки, отидете в раздела „Импортиране/Експортиране“, където само с две кликвания можете да поставите отметки във всички необходими квадратчета.

Защитата от хакване ще бъде достатъчно качествена, ако отделите време за промяна на администраторското име. Стандартен профил с проста парола лесно се хаква от хакери, така че помислете внимателно за секретния код и показвания псевдоним. Много е добре, ако не съвпада с имената на други потребители. Във всеки случай винаги можете да промените тази информация.

Специално внимание трябва да се обърне на раздела „парола“. Този плъгин има много интересна функция, която позволява на потребителя да следи ефективността на автоматичния избор на парола. Тоест, измисляте таен код, въвеждате го в ред и виждате колко време отнема разсекретяването на предвидените символи. Това търсене се извършва автоматично. Ако програмата бързо определи вашата парола, тогава рисковете от хакване са доста високи.

Как да създадете висококачествена парола?

• В секретния код не забравяйте да използвате малки и главни букви, дори в хаотичен ред;
• паролата трябва да се състои от букви и цифри;
• за надеждност можете също да добавите някои символи към предвидения код;
• Също така не се препоръчва да създавате парола с малък брой знаци (за предпочитане 10 или повече).

Сега проверяваме нивото на сигурност на новата парола. Много е добре, ако автоматична програма е идентифицирала възможността за хакване в продължение на десетилетия! Такава защита определено ще бъде надеждна и най-ефективна!

Упълномощаване

Нека да преминем към следващия етап от настройките - „Упълномощаване“. Изберете „Блокиране“ и активирайте тази функция за определен период от време. Как работи? Например, въвели сте грешна парола три пъти, след което достъпът ще бъде автоматично блокиран за определен период.

В раздела „Опити за фалшива авторизация“ можете да видите лесно избрани влизания. Също така тук можете да следите броя на опитите за хакване с точната дата и час.
Препоръчваме да зададете настройката „автоматично излизане на потребителите“ за определено време (например 600 минути) и да активирате „ръчно одобрение на нови регистрации“.

Допълнителна защита на сайта срещу хакване:

Следващата стъпка в настройката на плъгина за сигурност All In One WP Security предоставя следните настройки:

1. Защита срещу атаки с груба сила. За да го активирате, трябва да преименувате адреса на страницата за вход (променете го на свой собствен). Можете също така да активирате функцията за защита на бисквитките, но не забравяйте, че когато е активирана, няма да можете да използвате други устройства за достъп до сайта. Ето защо не препоръчваме да настройвате този режим.
2. Също така не препоръчваме използването на CAPTCHA.
3. Но „белият списък за влизане“ може да бъде полезен за много, но само ако влезете от един IP;
4. Последната стъпка е да активирате варела за мед (отметнете полето).

Тези настройки ще ви позволят да активирате висококачествена защита на WordPress срещу груби атаки.

Здравейте всички! Безопасност и пак безопасност! Ако преди сте чели статията “” в моя блог, вероятно сте се заинтересували от допълнителна сигурност за вашия сайт. И като цяло, всеки адекватен уебмастър трябва да обича и защитава своето въображение. В тази статия ще говоря за всички опции на плъгина All In One WP Security и ще ви покажа как да ги конфигурирате правилно.

важно

В моя блог има поредица от уроци "". И ако сте конфигурирали сигурността на сайта, като вземете предвид препоръките на тези уроци, имайте предвид, че плъгинът All In One WP Security ще дублира функциите на други плъгини за сигурност. Например функции:

• Блокиране на IP адрес след неправилни опити за авторизация
• captcha в коментарите
• промяна на страницата за вход на администратор и т.н.

Затова оставете всичко както е и не инсталирайте плъгина или докато конфигурирате плъгина All In One WP Security, внимателно анализирайте функциите за защита, така че да не дублират функциите на вече инсталирани плъгини. И ако видите дубликат, деактивирайте дублиращия се плъгин, така че всички настройки за защита на All In One WP да работят правилно.

Може би ме питате защо в курса за блог „Направи си сам“ препоръчах настройка на сигурността на WordPress чрез интегриране на код, отделни добавки и т.н.? Става въпрос за алтернативата. И между другото, според моите измервания на скоростта на зареждане и цялостната производителност на сайта, не забелязах разлика между всички включени препоръки от трите части на урок 13, от приставката All In One WP Security. Има хора сред вас, които няма да приемат думата ми за това и ще продължат да интегрират кода в двигателя, заобикаляйки „тежките плъгини“, правете както искате.

Инсталиране на плъгина

Така че да започваме. Първо, нека инсталираме плъгина All In One WP Security и го активираме:

След това менюто на плъгина ще се появи в административния панел на сайта:

Когато задържите курсора на мишката върху него, се появява контекстно меню:

Контролен панел

Мисля, че първо е по-добре да се запознаете с контролния панел, за да отидете на който трябва да кликнете върху елемента от менюто на приставката в администраторския панел или да поставите курсора на мишката върху „WP Security“ и да кликнете върху „Контролен панел“. След това ще видите пет раздела:

Раздел Контролен панел

Първоначално сме в раздела „Контролен панел“. Тук можете да видите блоковете:

• Активни сесии
• Режим на поддръжка
• Последни 5 влизания
• Блокирани IP адреси

Измервател на нивото на сигурност

Този блок показва текущото ниво на защита въз основа на всички настройки на плъгина:

Измерва се в точки, които се добавят след активиране на определена настройка. Колкото по-висок е текущият резултат за безопасност, толкова по-добре. Но никога не успях да повиша нивото на сигурност до максималната стойност от 505 точки (версията на приставката към момента на писане беше версия 4.3.2). Това се дължи на ненужни функции за моя блог, които не съм включил.

Диаграма на сигурността на вашия уебсайт

Тази диаграма показва всички текущи промени в настройките:

Това е някакъв вид статистика, която ви позволява бързо да навигирате в състоянието на настройките.

Блок „Активни сесии“.

Този блок показва информация за текущите сесии в административния панел на сайта:

Обикновено блокът показва известие: „В момента няма активни потребители освен вас.“ Разбира се, ако в административната област на сайта няма други акаунти с разрешение за работа и всъщност виждате неизвестен акаунт в този блок, тогава това е хакер.

Режим на поддръжка

Много удобна функция:

Не твърдя, че режимът на поддръжка може да бъде активиран чрез пренасочване към предварително създадена страница чрез .htaccess, но приставката вече има тази опция и това прави живота много по-лесен по време, например, на поддръжка на уебсайт. Освен това можете да персонализирате страницата на услугата по ваш вкус. За да конфигурирате и активирате режима на поддръжка, щракнете върху бутона „включване/изключване“. След което ще бъдете отведени до страницата с настройки на режима на поддръжка. За да активирате режима, трябва да поставите отметка в квадратчето „Активиране на режим на поддръжка“ и да запазите настройките. Освен това можете да персонализирате показвания текст, да вмъкнете картина и т.н. И това може да се промени в блока „Въведете съобщение“.

Този блок съдържа информация за датата и последните пет IP адреса, от които сте влезли в административната област на сайта:

Тази информация е полезна не само за целите на сигурността, но и за проследяване на сесии на други акаунти.

Блокирани IP адреси

Този блок показва IP адреси, които са били блокирани от плъгина All In One WP Security или от вас ръчно:

В екранната снимка няма записи, но ако IP адресите са блокирани, ще се появят записи.

Актуално състояние на най-важните функции

В този блок можете да видите състоянието на критичните мерки за сигурност:

Както можете да видите, всички плъзгачи първоначално са в позиция „ИЗКЛЮЧЕНО“. Специално създадох условия с баналното логин „admin“, за да кажа и покажа как се спазват минималните препоръки, за да се гарантира защитата на вашия сайт.

Администратори

Елементът с настройки „Администратори“ отговаря за контролирането на акаунтите на администраторите на сайта. Тук ще видите следните раздели:

WP потребителско име

Първият раздел, WP Custom Name, показва списък с администратори. Можете също да видите предупреждение за влизания, които може да са компрометирани:

Както можете да видите, плъгинът счита влизането „admin“ за опасно и предлага преименуването му. Нека направим точно това. За да промените данните за вход, в празното поле „Ново потребителско име за администратор“ въведете ново име, например друго обичайно - „wpadmin“. След това кликнете върху „Промяна на потребителското име“. След това системата автоматично ще ви излезе от акаунта ви, за да можете да влезете с новото си администраторско име. След това ще се върнете в раздела „WP Custom Name“.

Сега обърнете внимание на блока „Промяна на потребителското име на администратор“, а именно точките:

Поздравления, спечелихте 15 от 15 точки за изпълнение на една основна препоръка за сигурност на WordPress.

Опитните уеб администратори знаят много добре, че стандартната функционалност не може да промени името на администратора, но с помощта на плъгина All In One WP Security можете. Тези, които са прочели първата част от урока „Настройване на сигурността на WordPress“, знаят какви трудности могат да възникнат при създаване на администраторски акаунт с ново име и свързване на поща от стария акаунт към него.

Парола

Сега нека погледнем вътре в раздела "Парола". В блока „Проверете силата на паролата“ можете да въведете текущата си парола и да получите следната информация:

Както можете да видите, бот за отгатване на парола, стартиран от обикновен компютър, ще отнеме много, много дълго време, за да познае такава парола, дори ако заобиколите защитата на плъгина.

Екранно име

Сигурно се чудите защо пропуснах раздела Показвано име. Оставих го за лека закуска. Полезността на този елемент е предназначена за напълно нови потребители на WordPress. Тук можете да видите броя точки, както във всяко меню с настройки. И ако псевдонимът съвпада с данните за вход на администратора, ще видите предупреждение:

Можете да промените псевдонима си, като щракнете върху администраторското име или като задържите курсора на мишката върху „Потребители“ в менюто на административния панел и щракнете върху „Вашият профил“. Ако не сте взели моя курс за създаване на блог, тогава първо въведете в полето „Ник (задължително)“ видимо име като автор на статиите, което не съвпада с входа на администратора. След това в падащия списък „Показване като“ изберете въведения преди това псевдоним. След това запазете. Сега, когато посетите менюто с настройки „Администратори“, приставката за сигурност на All In One WP, следното съобщение ще се покаже в раздела „Показвано име“:

Настройки

Основни настройки

По подразбиране сте в раздела „Общи настройки“. Следните полезни функции са достъпни за вас тук:

• създаване на резервно копие на база данни
• създаване на резервно копие на файла .htaccess
• създаване на резервно копие на файла wp-config.php

Налични са и опции за активиране или деактивиране на защитната функция и всички функции на защитната стена на All In One WP Security. Винаги ви съветвам да прочетете обясненията на опциите, преди да промените настройките на приставката, например:

.htaccess и wp-config.php

Обърнете внимание на разделите „.htaccess File“ и „wp-config.php File“. В настройките на тези раздели можете да създадете и възстановите резервно копие на, познахте, .htacces и wp-config.php. Това е много удобно и не изисква FTP клиент.

Информация за версията на WP

За мен по-интересният раздел е следващият - “WP Version Info”. За тези, които не знаят, ще обясня. WordPress генерира мета таг с атрибута content, който от своя страна има стойността на текущата версия на двигателя на сайта. Това не е безопасно, изключително опасно! Следователно трябва да поставите отметка в квадратчето до „Отметнете това, ако искате да премахнете версията и мета информацията, създадена от WP от всички страници“ в блока „Премахване на метаданни на WP Generator“ и щракнете върху „Запазване на настройките“.

Внос износ

Разделът Импортиране/Експортиране е отговорен за създаването, така да се каже, шаблон за настройки. След като настроите плъгина All In One WP Security на един от вашите проекти, можете да прехвърлите настройките на други сайтове. Това е много удобно, дори ако сте конфигурирали приставката и сте експортирали настройките, но изведнъж има нужда да възстановите резервно копие на сайта.

Разширени настройки

Последният раздел „Разширени настройки“ отговаря за метода за получаване на данни за IP адреса на всеки посетител. Ако не сте запознати с PHP на доста добро ниво и суперглобалният масив $_SERVER разширява зениците на очите ви, тогава ви моля да не се доближавате до този раздел.

Упълномощаване

В този елемент за настройки на приставката за сигурност All In One WP виждаме следните раздели:

Блокиране на разрешения

В описанието на този раздел вероятно вече сте прочели инструкциите на разработчиците относно Brute-force атаките. След това трябва да поставите отметки в квадратчетата до блоковете:

• Активирайте опциите за блокиране на опити за оторизация
• Разрешаване на заявки за деблокиране (в случай че сте се блокирали)
• Показване на съобщения за грешка при оторизация (увеличава шансовете да не бъдете блокирани)
• Уведомяване по имейл (винаги внимавайте за неуспешни опити за влизане, което ви позволява незабавно да реагирате на възможни опити за хакване)

Нека да слезем до глобалния блок „Диапазон от временно блокирани IP адреси“. Тук можете да отидете до статистиката на блокираните адреси, като щракнете върху „Заключени IP адреси“.
В блока „Login Lockdown IP Whitelist Settings“ можете да конфигурирате списък с бели IP адреси, например адреса на вашия компютър, към който няма да се прилагат настройките за блокиране. За да направите това, в блока „Активиране на IP бял списък за заключване при влизане“ трябва да поставите отметка в квадратчето, за да активирате настройката, а в блока „Въведете IP адреси за белия списък“ въведете своя IP адрес. Не забравяйте да запазите, точно отдолу. Но не препоръчвам да създавате бял списък. Нападателите могат да подправят вашия IP адрес.

Неуспешни опити за оторизация

Да продължим. Разделът „Неуспешни опити за авторизация“ ще покаже списък с неуспешни опити за авторизация. Тази информация е много полезна по отношение на анализирането на опитите за влизане. Всеки, който се интересува от тези статистики, може да ги експортира в CSV файл:

Автоматично излизане на потребителите

Разделът „Автоматично излизане на потребителите“ е не по-малко важен от другите настройки. Тук можете да разрешите на администраторските потребители да излизат след определен период на неактивност, например 60 минути:

Дневник на активността на акаунта

След това отидете на „Дневник на активността на акаунта“. Тук можете да видите времето за влизане и излизане за конкретен потребител. За всички акаунти се запазват само 50 записа. Информация като тази е полезна за анализ на дейността:

Можете също да експортирате тези данни в CSV файл.

Активни сесии

Последният раздел на „Активни сесии“ показва акаунти в реално време, под които сте влезли в административната част на сайта:

Регистрация на потребител

В 99% от случаите настройката „Регистрация на потребител“ за блог в плъгина All In One WP Security е пропусната. Но все пак ще говоря за опциите в следните раздели:

Ръчно потвърждение

Ако вашият сайт предвижда регистрация и количеството спам, оставен от потребителите, оставя много да се желае, тогава трябва да активирате ръчно одобрение на нов потребител в раздела „Ръчно потвърждение“. Това ще ви позволи да блокирате достъпа до оторизация, докато ръчно не потвърдите лично регистрацията на потребителя. Какво дава това по принцип? Както показва практиката, в един от моите проекти има хора, които първоначално регистрират поща по тип: [имейл защитен], [имейл защитен], [имейл защитен]и т.н. Такива имейли се използват при нова регистрация, след като съм баннал първия акаунт на дадено лице. И ако видя, че наскоро съм попаднал на подобен имейл от спамер, тогава забранявам регистрацията. В резултат на това спамерът не може да влезе и да използва същия имейл отново, за да се регистрира, въпреки че не е имал време да остави спам.

Следователно, ако има нужда от допълнително модериране на потребителите веднага след регистрацията, трябва да поставите отметка в квадратчето в блока „Активиране на ръчно одобрение на нови регистрации“ и да запазите настройките.

CAPTCHA по време на регистрация

Следващият раздел „CAPTCHA по време на регистрация“ добавя captcha към страницата за регистрация на потребителя. Captcha може да се активира, като поставите отметка в квадратчето „Активиране на CAPTCHA на страницата за регистрация“. Намирам тази функция за необходима и полезна. Разбира се, ако имате регистрация на нови потребители.

Регистрация Honeypot

Разделът „Registration Honeypot“ е много полезна функция за блокиране на сложни ботове за регистрация. Съветвам ви да активирате тази опция в блока „Активиране на Honeypot на страницата за регистрация“. Да спестяваме.

Защита на бази данни

Групата с настройки „Защита на база данни“ се състои от два раздела:

Бъдете изключително внимателни с настройките в първия раздел „Префикс на таблицата на базата данни“. Трябва незабавно да направите резервно копие на базата данни в раздела „DB Backup“.

Архивиране на база данни

Нека да разгледаме раздела "DB Backup". За да създадете резервно копие на база данни, щракнете върху бутона „Създаване на резервно копие на база данни сега“. След като създадете успешно резервно копие, ще видите следната информация:

Екранната снимка показва местоположението на моята база данни. Ще имате свой собствен адрес.

Освен това в този раздел можете да конфигурирате редовно създаване на копие на базата данни. За да направите това, поставете отметка в квадратчето „Активиране на автоматично създаване на резервни копия“. Освен това можете да конфигурирате колко често да създавате копия, колко копия да съхранявате на сървъра и как да изпращате копия по пощата. Не забравяйте да запазите.

Префикс на таблицата на базата данни

Върнете се към раздела „Префикс на таблицата на базата данни“. Ако не сте променили префикса на базата данни, той има стойността „wp_“. Точно за това ще видите предупреждение:

За да присвоите различен префикс на всички таблици в базата данни, трябва да го посочите в полето на блока „Генериране на нов префикс на таблици в базата данни“. След това кликнете върху „Промяна на префикса на таблицата“. Ако не знаете много за това какъв трябва да бъде префиксът, тогава ви съветвам да поставите отметка в квадратчето до „Проверете, така че самият плъгин да генерира префикс от 6 произволни знака по дължина“ и полето „Въведете своя собствена версия на префиксът с латински букви, цифри и долна черта” оставете празно.

Защита на файловата система

Сега нека проучим набора от настройки „Защита на файловата система“ на плъгина All In One WP Security. Този елемент за настройки се състои от четири раздела:

Достъп до файлове

По подразбиране сме в раздела „Достъп до файлове“. Ако се съмнявате какво CHMOD (права за достъп) да зададете на определена папка на сървъра, тогава плъгинът All In One WP Security ще реши всичко вместо вас. Обърнете внимание на таблицата в този раздел. Ако плъгинът има коментар относно текущите права за достъп, ще видите надписа „Задайте препоръчани разрешения“ в колоната „Препоръчано действие“:

Ако няма коментари, тогава надписът „Не е необходимо действие“. За да приложите препоръчителните настройки на CHMOD, щракнете върху „Задаване на препоръчани разрешения“.

Редактиране на PHP файлове

Този раздел задава забрана за редактиране на PHP файлове от административната среда. Съветвам ви да поставите отметка в квадратчето „Деактивирайте възможността за редактиране на PHP файлове“.

Достъп до WP файлове

Обикновено веднага след инсталиране на WordPress изтривам файловете: readme.html, wp-config-sample.php и др. Но има моменти, когато новобранците се спасяват от извадка от същия конфигурационен файл. Затова препоръчвам да поставите отметка в квадратчето „Забранете достъпа до информационни файлове, създадени по подразбиране при инсталиране на WordPress“.

Системни регистрационни файлове

Този раздел е предназначен за опитни уеб администратори. В противен случай, гледайки регистъра на грешките на сайта, няма да можете да разберете същността на проблема.

WHOIS търсене

По мое скромно мнение това е отличен инструмент за получаване на поне малко информация, например за блокиран потребител. Естествено, можете да използвате уебсайта WHOIS, но защо, ако има WHOIS търсене в плъгина All In One WP Security.

Черен списък

Плъгинът All In One WP Security ви позволява да блокирате не само по IP адрес, но и потребителски агенти. Потребителските агенти могат да се считат за различни паяци/ботове на търсачки, различни услуги за анализ и др., Които създават прекомерно натоварване на сървъра. Тази настройка ще бъде полезна, дори ако не искате например ботът на Google да обхожда вашия сайт. Всички настройки, посочени в елемента „Черен списък“, ще бъдат въведени в .htaccess.

Защитна стена

Настройката на защитната стена се състои от седем раздела:

И така, нека започнем по ред.

Преди да започнете да правите корекции на файла .htaccess чрез плъгина All In One WP Security, не забравяйте да направите резервно копие на .htaccess.

Основни правила на защитната стена

Ако не използвате, например, плъгини за автоматично публикуване в социалните мрежи, тогава можете безопасно да инсталирате квадратчетата за отметка навсякъде и да запазите настройките за този раздел. Но ви съветвам да включите само следните точки:

• Активирайте основните функции на защитната стена
• Деактивирайте функцията Pingback от XMLRPC
• Блокирайте достъпа до файла debug.log

Мисля, че всичко е ясно с първата настройка, но следващите две опции са задължителни. „Деактивиране на функцията Pingback от XMLRPC“ ще забрани обратните заявки, например от статистическите услуги, но ще остави позволени заявките към услугите. Опцията „Блокиране на достъпа до файла debug.log“ ще откаже достъп до файла за отстраняване на грешки, който може да съдържа информация за уязвима услуга.

Допълнителни правила за защитна стена

В този раздел ви съветвам да активирате всички настройки с изключение на: „Деактивиране на възможността за разглеждане на директории“. Факт е, че забраната за преглед на директории се задава от директивата „AllowOverride“ в конфигурационния файл httpd.conf на сървъра. Можете да направите такива настройки само ако имате VPS, VDS, нает или собствен сървър. В противен случай оставете тази настройка без отметка.

Можете да разберете защо е необходима всяка настройка, като щракнете върху „+ Още подробности“:

По принцип почти всички настройки на защитната стена, предоставени в плъгина All In One WP Security, са необходими, за да се гарантира сигурността на WordPress.

6G Черен списък Правила за защитна стена

6G защитната стена няма нищо общо с мобилните комуникации. Тази защитна стена осигурява защита срещу различни злонамерени URL заявки, лоши ботове, спам референти и други атаки. Активирането на правилата за защитна стена от шесто поколение значително ще намали натоварването на сървъра, разбира се, ако има такива заявки. Препоръчвам да включите 6G и 5G защита.

Интернет ботове

Разделът „Интернет ботове“ блокира злонамерени ботове, които се маскират като googlebot. Препоръчвам да включите опцията „Блокиране на фалшиви Googlebots“. Други роботи за търсене няма да бъдат блокирани.

Предотвратяване на горещи връзки

Опцията в раздела „Предотвратяване на горещи връзки“ трябва да е активирана. Активирайте опцията и запазете. Това ще намали натоварването на сървъра, ако вашите връзки към вашите изображения се хостват извън вашия сайт. Това по никакъв начин не засяга автоматичното публикуване в социални мрежи и други места.

404 откриване

Предпоследният раздел „404 Detection“ също трябва да бъде активиран. Активирайте опцията „Активиране на 404 IP откриване и заключване“. Тази настройка е отговорна за блокиране на IP адреси, от които се правят много заявки към несъществуващи страници за кратък период от време. В повечето случаи това означава хакерска атака в търсене на уязвима страница. Можете също така допълнително да промените времето, за което IP адресът на атакуващия ще бъде забранен. В блока „URL за пренасочване за грешка 404“ по правило адресът на основното огледало на сайта се записва автоматично. Препоръчвам да не променяте този адрес. А таблицата „404 Error Logs“ показва данни за посещения на несъществуващи страници. Дневникът може да бъде качен в CSV файл.

Персонализирани правила

Последният раздел „Персонализирани правила“ изпълнява функцията за добавяне на вашите лични правила към файла htaccess. Съветвам ви да не добавяте нищо свое, без да разберете как работят настройките на .htaccess. В противен случай сайтът може да спре да работи.

Защита срещу атаки с груба сила

Атаките с груба сила са атаки, насочени към парола и влизане с груба сила, докато се намери правилната опция. Има пет раздела в тази група настройки, нека започнем с първия:

Преименуване на страницата за вход

Разделът „Преименуване на страницата за вход“ съдържа два параметъра, от които в първия „Активиране на опцията за преименуване на страницата за вход“ трябва да поставите отметка в квадратчето, а във втория „Адрес (URL) на страницата за вход“ трябва да въведете адреса за вход в админ панела. Адресът на страницата за вход трябва да е различен от стандартния wp-admin, например thisismysite. Не забравяйте да запазите и запомните адреса за вход на администратора. В моя пример това ще бъде mysite.ru/thisismysite, където mysite.ru е адресът на вашия сайт.

Защита срещу груби атаки чрез използване на бисквитки

Отидете в раздела „Защита срещу атаки с груба сила чрез бисквитки“. Можете да активирате опцията „Моят сайт има публикации или страници, които са заключени от вградената функция за защита на съдържанието с парола на WordPress“, ако имате страници, защитени с парола. Имам такива страници. Що се отнася до опцията „Този ​​сайт има тема или плъгин, който използва AJAX“, повечето модерни теми и плъгини използват технологията AJAX. Затова ви съветвам да активирате тази опция. Препоръчвам да не активирате настройката „Активиране на защита срещу атаки с груба сила“, за да избегнете блокиране на вашия IP адрес от плъгина All In One WP Security. Факт е, че можете да забравите и изчистите бисквитките на приставката с ключа за достъп. И за да не решавате проблеми, които биха могли да бъдат избегнати, препоръчвам да не поставяте отметка в квадратчето до тази опция, особено след като самият плъгин предупреждава и само при втория опит дава възможност за активиране на тези настройки.

CAPTCHA за влизане

Разделът “Login CAPTCHA” съдържа полезни функции за допълнителна защита на страницата за вход и възстановяване на парола. Препоръчвам да поставите отметки в квадратчетата отсреща:

• Активирайте CAPTCHA на страницата за вход
• Активирайте формата CAPTCHA на променена страница за вход
• Активирайте CAPTCHA на страницата „загубена парола“.

В блока „Woocommerce Forms Captcha Settings“ квадратчетата за отметка се поставят само при използване на приставката за онлайн магазина „Woocommerce“.

Бял списък за влизане

Да продължим и да отидем в раздела „Бял списък за влизане“. Този параметър действа като допълнителна линия на защита и блокира достъпа до страницата за вход на всички IP адреси, които не са в белия списък. Ако желаете, можете да конфигурирате тази опция. Но, и пак но! Ако имате динамичен IP адрес или има спешна нужда да влезете в административната зона, например от мобилен номер, и вашият доставчик ви присвои различен IP адрес, тогава ще се случи бедствие.

Бъчва с мед (Honeypot)

Последният раздел „Honeypot“ от групата настройки „Защита срещу атаки с груба сила“ е отговорен за блокиране на роботи, които се опитват да попълнят полетата за оторизация. По правило роботите автоматично попълват всички полета, а опцията „Бъчва с мед“ плъзга поле в бота, което е невидимо за очите на потребителя, което ботът автоматично попълва. Ако това се случи, приставката All In One WP Security автоматично блокира бота. Препоръчвам да активирате опцията „Активиране на меда на страницата за вход“.

Защита срещу спам

Нека да преминем към следващата група настройки „Защита от СПАМ“. Сега ще спрем да разгледаме четири раздела:

Спам в коментарите

• Активирайте CAPTCHA във формулярите за коментари
• Блокирайте спам ботовете да коментират

Проследяване на IP адрес за спам в коментарите

Друг раздел за статистика „Проследяване на IP адреси за спам в коментари“. Несъмнено опциите в този раздел носят добро. Препоръчвам да поставите отметка в квадратчето до „Активиране на автоматично блокиране на IP адреси, коментари за спам“. Запазване.

След това в полето „Минимален брой коментари, класифицирани като СПАМ“ задайте стойност на 5. Обърнете внимание на блока „Списък на IP адресите на спамърите“, който отговаря за филтрирането на коментари. Ако трябва да намерите IP адреси, които са били открити като спам поне веднъж, задайте стойността на „1“ и щракнете върху „Намиране на IP адреси“. И ако например 3 пъти, тогава стойността е „3“ и т.н. Мисля, че разбирате. Резултатите ще бъдат показани в таблицата „Списък с IP адреси на спамъри“.

BuddyPress и BBPress

В разделите „BuddyPress“ и „BBPress“ можете да активирате captcha във формата за регистрация. BuddyPress и BBPress са плъгини. BuddyPress помага за създаването на социална мрежа, базирана на двигателя на WordPress, и плъгина BBPress за форум. Ако не използвате тези модификации, тогава опциите в съответните раздели няма да са налични.

Скенер

Предпоследната група настройки, „Скенер“, отговаря за редовното сканиране на сайта за зловреден код и файлове. Тук можете да видите само два раздела:

Проследяване на промените във файловете

В първия раздел „Проследяване на промените във файловете“ можете незабавно да сканирате сайта, като щракнете върху „Сканирай сега“.

Разберете едно просто нещо - нито един плъгин не може да защити вашия сайт от гуру хакери! Следователно, в случай на проблем, плъгинът All In One WP Security след сканиране ще ни уведоми за наличието на признаци на хакване. Препоръчвам да активирате опцията „Активиране на автоматично сканиране на промените във файловете“ и да зададете честотата на сканиране поне на всеки два дни. Честотата на сканиране зависи от текущото натоварване на вашия сайт. И ако времето за зареждане на сайта по време на пиков трафик се увеличи, тогава помислете за промяна на тарифния план или преминаване към специален сървър, така че скенерът на плъгина All In One WP Security да не създава прекомерно натоварване на сървъра.

Полетата „Игнориране на следните типове файлове“ и „Игнориране на определени файлове и папки“ се попълват индивидуално, според вашите желания. Също така ви съветвам да активирате опцията „Изпращане на имейл при открита промяна“, за да сте винаги наясно с всички промени във файловете. Можете да посочите няколко имейл адреса. След настройките запазете.

Сканиране срещу зловреден софтуер

Вторият раздел, „Сканиране за злонамерен софтуер“, е предназначен за регистрация на уебсайта на разработчиците на плъгини, за да сканирате редовно сайта срещу заплащане. Това значително ще намали натоварването на сървъра по време на сканиране. Моля, който иска да плати пари, това е ваше право. Но не виждам много смисъл в сключването на договор за такива услуги за блог.

Разни

Последната група настройки „Разни“ съдържа три раздела:

Защита срещу копиране

В първия раздел „Защита срещу копиране“ можете да блокирате следните функции:

• Десен бутон
• Маркиране на текст
• копие

Ограниченията ще важат за всички страници, които са достъпни за потребителите. Ако имате полезен блог, където хората могат да научат много за знанията си, тогава не препоръчвам да активирате тази функция. Лично аз се чувствам неудобно, когато не мога да копирам част от текста с важна за мен информация.

Рамки

Разделът „Рамки“ е отговорен за блокирането на показването на съдържанието на вашия сайт между таговете frame и iframe. Които вече няколко години са признати за опасни и често биват хакнати. Например 1C Bitrix по подразбиране блокира тези тагове.

Изброяване на потребителите

Последният раздел и последната настройка на приставката All In One WP Security, която ще разгледаме, е „Изброяване на потребителите“. Препоръчвам да включите опцията „Деактивиране на списъка с потребители“, за да попречите на ботовете да търсят информация за потребители, които могат да се видят например като коментатори. Това по някакъв начин създава защитна бариера за потребителите на сайта, като по този начин защитава администраторския акаунт.

Това приключва разбора с плъгина All In One WP Security. Току-що прочетохте огромна статия, която е сравнима с десет обикновени статии. Дано съм го обяснил на достъпен език. Ако имате въпроси, задайте ги очарователно в коментарите. Благодаря за вниманието.

Защитата на уебсайт винаги е важен аспект при неговото създаване и продължителна употреба. Въпреки високото ниво на сигурност на WordPress, вие можете и дори трябва да дадете своя принос, за да се защитите възможно най-много от нежелани заплахи. И не бива да пренебрегвате всички възможни опции, като се има предвид, че винаги има опасност от потенциални атаки и вируси.

Първите стъпки, които можете да предприемете, за да защитите WordPress, е да инсталирате добавки за сигурност. За щастие има голям брой от тях в официалното хранилище, както платени, така и безплатни. Просто трябва да изберем кой да използваме въз основа на неговата функционалност. В днешния преглед предлагам да разгледаме мощен плъгин за защита на WordPress - Всичко в едно WP сигурност и защитна стенас широк набор от функции.

Кратко описание на плъгина All In One WP Security & Firewall

Плъгинът комбинира голям списък от инструменти, с които можете да разрешите от най-малките до големи проблеми. Това може значително да намали риска от опасност и да премине към ново ниво на безопасност. All In One WP Security е много лесен за използване и има три нива на трудност - от просто до напреднало.

В момента плъгинът е преведен на няколко езика, включително руски. Вярно е, че на места можете да намерите непълен превод, но такива места са много малко. Въпреки многобройната си функционалност, плъгинът използва минимум ресурси, което му позволява да не натоварва сайта. И с всичките си възможности, той е напълно безплатен.

Настройване на плъгина All In One WP Security & Firewall

Предлагам да пропуснете списъка с всички негови функции и да отидете направо в настройките, където ще анализираме всеки елемент в детайли. Това ще бъде „ценоразписът“ на плъгина, само с едновременен анализ.

След инсталиране и активиране на плъгина, нов раздел ще бъде добавен към вашата лента с инструменти “ ».

Ето всички точки, с които ще се опитаме да се запознаем.

Контролен панел

Тук можете да видите колекция от информация за нивата на сигурност на вашия сайт, диаграма на сигурността и състоянието на най-важните функции. Останалите раздели на същата страница съответно показват информация за системата, блокирани IP адреси, черен списък и регистрационни файлове. За да наблюдавате, запомнете какъв е текущият ви резултат за надеждност и го сравнете с този, който сте получили след всички настройки.

Настройки

Първо, преди да активирате каквито и да е функции, препоръчваме да направим резервно копие на важни файлове и бази данни. Такива предпазни мерки ще бъдат много полезни, така че не бъдете мързеливи да ги вземете. Следващите два раздела ще ви помогнат да направите резервно копие на вашите файлове. На " Основни настройки» точно по-долу са настройките за нулиране на някои параметри. Използвайте ги, ако забележите неправилна работа на сайта. Предпоследен раздел " Информация за версията на WP» ще помогне, което WordPress автоматично показва на всички страници на сайта.

Обърнете внимание на двете квадратчета за отметка, маркирани на екранната снимка. Първият показва нивото на трудност на функцията, а вторият показва точките за сигурност. Колкото повече точки има, толкова по-висока е степента на важност. Поставете отметка в квадратчето и щракнете върху „ Запазете настройките“, но само ако не сте изтрили таговете сами преди това.

Последен раздел " Внос износ» ще ви помогне да се отървете от необходимостта да конфигурирате приставката отново, ако трябва да я преинсталирате или инсталирате на нов сайт. Всичко, което трябва да направите, е да експортирате настройките като отделен файл и след това просто да ги импортирате.

внимание! В края на статията можете да намерите връзка за изтегляне на файла с настройки на приставката All In One WP Security & Firewall от този урок.

Администратори

Този раздел е отговорен за използването на администраторското име и показването на администраторското име на сайта. Както знаете, не можете да използвате същото логин и име, което се показва в публикацията като автора на статията. Ако имате такъв проблем, плъгинът ще покаже съобщение и ще ви помоли да промените името на правилното. Последен раздел " Парола» проверява силата на паролата и ще покаже приблизителното време за отгатването й.

Един от многото начини за хакване на уебсайт е чрез повтарящи се опити за отгатване на пароли или, с други думи, наречена атака с груба сила. Нашата цел е да ограничим броя на опитите за въвеждане и също така да предприемем последващи действия срещу IP адресите на хакерите. Поставете отметки в квадратчетата, както е показано на екранната снимка, и щракнете върху „ Запазване».

Всички други раздели в този раздел показват обща информация за вече блокирани IP адреси и неуспешни опити за влизане. Можете също да обърнете внимание на раздела „ Автоматично излизане на потребителите" Поставете отметка в квадратчето тук, така че сесията за оторизация на администратора да приключи след определеното време (излезте от акаунта). Това е полезно, когато вашият компютър или лаптоп се използва от някой друг, а не от вас.

Регистрация на потребител

Този раздел е по-подходящ за онези сайтове, които имат отворена форма за регистрация. Тук можете да поставите отметка в квадратчето, за да потвърдите ръчно регистрацията на потребителя, както и да добавите captcha към страницата за регистрация.

Защита на бази данни

Вкусна хапка за недоброжелател е достъпът до базата данни, където се съхраняват всички настройки и съдържание. Един от начините за укрепване на защитата на базата данни от SQL инжекции е да промените стандартния префикс на базата данни „wp_“ на уникален. Вече говорих за това в статията „”.

Поставете отметка в квадратчето и щракнете върху „ Промяна на префикса на таблицата" След което ще започне процесът на промяна и актуализиране на някои файлове. Във втория раздел конфигурираме автоматичното създаване на резервно копие на база данни.

Префикс на таблицата на базата данни

Архивиране на база данни

Защита на файловата система

Деактивираме правата за редактиране на файлове от административния панел, затваряме достъпа до файлове и променяме разрешенията на папки/файлове към препоръчаните.

WHOIS търсене

Черен списък

Трябва да внимавате с тази функция, тъй като има вероятност вашият IP да бъде блокиран за достъп до администраторското име. Активирайте по желание.

Защитна стена

Тук се конфигурират по-сериозни функции, някои от които дори могат да нарушат функционалността на сайта. До всеки параметър има кратко описание, обясняващо как работят. Проверих следните точки и оставих последния раздел непроменен.

Баз. правила на защитната стена

Добавете. правила на защитната стена

6G Черен списък Правила за защитна стена

Интернет ботове

Предотвратяване на горещи връзки

404 откриване

Защита срещу атаки с груба сила

Продължаваме да се борим с атаките с груба сила. Този път ще използваме ефективен метод, а именно ще променим адреса на страницата за вход. Предлагат ни се две възможности за това: или чрез бисквитки, или по обичайния начин. Моля, имайте предвид, че тези две функции не могат да бъдат активирани едновременно.

Ако използвате само един браузър за влизане в административния панел, тогава промяната, базирана на бисквитки, е подходяща за вас. Съответно, ако влизате от различни браузъри и местоположения, тогава редовната промяна на адреса ще свърши работа. На " Captcha» разрешава показването на допълнително поле на страницата за вход с математически проблем.

Последният раздел съдържа много интересна функция - “ Бъчва с мед“ (сладък термин). Същността му е много проста: към страницата за вход се добавя ново поле за попълване, което само роботите могат да видят. А роботът от своя страна обикновено попълва всички възможни полета и изпраща заявка. И по този начин се представя за себе си (в края на краищата реалният потребител не вижда това поле), в резултат на което роботът обикновено пренасочва към своя IP адрес.

Проследяване на IP адреси

Скенер

Скенерът ще ви помогне да проследите промените във файла и ще покаже точната дата и час, когато това се е случило. Можете да зададете автоматично сканиране, като посочите конкретна честота за избран период от време. Раздел " Сканиране срещу зловреден софтуер“ е отделна услуга.

функция " Сканиране на база данни» е временно деактивиран. Разработчиците обещават да го преработят и да го представят в работно състояние в близко бъдеще.

Режим на поддръжка

Достъпът до сайта е отказан на потребители, с изключение на администратора и.

Разни

В последния раздел всички функции са по-малко важни и могат да бъдат активирани по ваша преценка.

Заключение

В тази статия ще разгледаме настройките на плъгина за iThemes Security, който осигурява цялостна защита за уебсайт на WordPress. Плъгинът взема предвид почти всичко, което е необходимо, за да се гарантира сигурността на един WordPress сайт. Плъгинът за сигурност на iThemes предоставя набор от услуги, които включват защита на WordPress от хакване, защита на административната област на WordPress и защита на сайта от ботове. iThemes Security е най-добрият безплатен плъгин за сигурност на WordPress. С него вашият сайт ще бъде доста добре защитен от различни вируси и хакерски атаки.

Ако сайтът внезапно спре да работи, не се тревожете, ще трябва да се свържете чрез FTP към сайта или да отворите файловия мениджър в контролния панел на хостинга и да преименувате или изтриете папката с приставката. Това е крайна мярка, ако внезапно iThemes Security е блокирал административния панел или след активиране на която и да е опция в iThemes Security сайтът е недостъпен или замръзва. Най-вероятно сайтът ще възстанови функционалността. Ако не, възстановете сайта от резервно копие.

Нека да разгледаме параметрите, които трябва да бъдат зададени, за да се гарантира цялостна и пълна сигурност на WordPress. За да стигнете до настройките на плъгина, отидете в административния панел “WordPress” ⇒ “Сигурност” ⇒ “Настройки”. Надявам се, че вече сте направили резервно копие на сайта. Първият раздел за конфигурация е „Проверка на сигурността“, щракнете върху „Конфигуриране на настройки“: След това ще се отвори прозорецът с настройки. Ако щракнете върху „Защитен сайт“, плъгинът ще инсталира препоръчителните настройки за сигурност:
По принцип това са основните настройки на iThemes Security. Можете да щракнете върху този бутон и настройката ще бъде завършена. Но препоръчвам да не правите това, тъй като работата на сайта може да бъде нарушена. По-добре е да разберете напълно настройките, отколкото да щракнете върху един бутон и да загубите достъп до сайта.

Следващият раздел с настройки е „Основни настройки“, щракнете върху „Конфигуриране на настройки“: Тук трябва да поставите отметка в квадратчето до „Извършване на промени във файлове“ и да запазите. За да функционира ефективно приставката, тя се нуждае от достъп до файловете wp-config.php и .htaccess. Като поставите отметка в квадратчето, вие предоставяте на приставката този достъп:
Препоръчвам да оставите останалите настройки в този раздел по подразбиране.

Следващата опция е „Проследяване на грешка 404“. Какво е? Представете си ситуация, при която потребител на вашия сайт изисква голям брой несъществуващи страници. Ако това са една или две страници, тогава няма за какво да се притеснявате, но ако тази честота се повтаря, това показва, че атакуващият се опитва да намери уязвимости в сайта, за да го хакне, защото обикновен посетител търси информация за реални страници. Ако iThemes Security забележи този тип дейност, потребителят се блокира. За да активирате тази опция, щракнете върху „Активиране“. Препоръчвам да активирате тази настройка (след като активирате, оставете всички настройки на тази опция по подразбиране): Следващата настройка е „Режим навън“. Ако ще отсъствате за определен период от време и няма да можете да влезете в административния панел на WordPress, можете да активирате тази опция, като посочите в настройките периода от време, през който ще отсъствате. През това време нито вие, нито някой друг ще можете да влезете в админ панела. Не препоръчвам да активирате тази настройка, тъй като може да се наложи да влезете в административния панел, но тази опция няма да е налична за периода от време, посочен в настройките: Блокирани потребители. Тук можете да посочите от кои IP адреси вашият сайт не може да бъде достъпен. Препоръчвам „Активиране на черния списък от сайта HackRepair.com“, тук са IP адресите, от които са забелязани хакерски атаки. Също така поставете отметка в квадратчето до „Списък с забрани“, тук можете ръчно да въведете IP адресите, които искате да блокирате достъпа до сайта:
Локална защита от груба сила. Това е защита срещу отгатване на парола. Трябва да се включи. Ако плъгинът забележи, че посетител се опитва да познае потребителско име и парола много пъти и му даде грешка, това означава, че се опитва да хакне сайта. По подразбиране има 5 неуспешни опита за въвеждане на потребителско име или парола, след което IP адресът се блокира, препоръчвам да не променяте нищо:
Архивиране на бази данни. Тук можете да настроите автоматично създаване на резервно копие на база данни и последващо изпращане до вашия имейл. Препоръчвам да активирате тази опция. Трябва да конфигурирате създаването на база данни по график; за да направите това, активирайте опцията „Създаване на график за архивиране на база данни“ и задайте честотата на архивиране, 3 дни според мен са достатъчни. Оставяме останалите настройки по подразбиране. След като активирате тази настройка, резервно копие на базата данни автоматично ще бъде изпратено до вашия имейл, което е много удобно:
Откриване на промяна на файл. Тази опция следи промените във файловете за уязвимости. Не препоръчвам да активирате тази настройка: Разрешения за файлове. Това е достъп до файлове. Тук не е необходимо да конфигурирате нищо; опцията просто показва степента на сигурност на определени файлове.

Мрежова защита от груба сила. Определено го включваме. Тази опция автоматично отказва достъп до сайта на потребители, които са се опитали да хакнат влизания в други сайтове: SSL. Настройката ви позволява да активирате SSL криптиране за целия или част от вашия сайт. Не препоръчвам да активирате тази опция.

Силно прилагане на парола. Принуждава регистрираните потребители да използват сложни пароли. Безполезна опция, според мен, не препоръчвам да я активирате.

Фина настройка на системата и настройка на WordPress. Това са разширени настройки за напреднали потребители. Активирането им може да доведе до грешки в сайта и конфликти с теми или добавки. Силно не препоръчвам да активирате тези настройки. Ако решите да настроите тези функции, активирайте всеки елемент поотделно и веднага проверете функционалността на сайта.
WordPress соли. Позволява ви да актуализирате ключовете за сигурност на WordPress. Друга безполезна функция, не препоръчвам да я включвате.

Променете страницата за вход на администратор на WordPress. Много ефективен начин да защитите сайта си е да промените страницата за вход в WordPress по подразбиране. По подразбиране във всички сайтове можете да влезете в WordPress чрез връзката site.ru/wp-admin. Използвайки iThemes Security, можете да скриете страницата за вход в сайта.

За да направите това, в настройките щракнете върху „Разширени“, в раздела „Скриване на страницата за влизане в сайта“ щракнете върху „Конфигуриране на настройки“:
След това поставете отметка в квадратчето до „Скриване на страницата за вход“:
След това в полето срещу надписа „Връзка към страница за вход“ въведете всяка дума с латински букви, например vhodnasajt, и запазете промените.
. Сега само вие знаете коя връзка можете да използвате, за да влезете в административната зона на сайта. Естествено, това повишава сигурността на WordPress. важно! Запишете тази връзка; ако я забравите, ще бъде много трудно да възстановите влизането си в сайта. Дали да активирате тази опция или не зависи от вас. Не го ползвам.

iThemes Security Pro. Платена версия на плъгина, която има разширени функции за сигурност. Позволява ви да активирате двуфакторно удостоверяване, планирано сканиране за злонамерен софтуер, интегриране на Google recaptcha и можете да се свържете с техническата поддръжка на плъгина. Ако имате голям популярен сайт, може да обмислите закупуването на професионалната версия. Според мен стандартните настройки на плъгина са напълно достатъчни, за да гарантират сигурността на сайта. Ако търсите добавки, които могат да поддържат WordPress защитен, iThemes Security е най-доброто решение. Благодарение на гъвкавите настройки и широката функционалност, вашият уебсайт ще бъде максимално защитен от хакерски и бот атаки.

WordPress е може би най-популярната и в същото време една от най-често хакваните платформи. По някаква причина има мнение, че ако никой не се интересува особено от вашия сайт, тогава няма да го хакнат - защо? Всъщност буквално всеки уебсайт (и не само WordPress) е изложен на риск от хакване, така че е важно да се погрижите за защитата на вашата страница. Какво можете да направите - или по-скоро какви плъгини да инсталирате - ще говоря за това в тази статия.

Тези съвети ще бъдат полезни не само при работа с WordPress, но и с всяка друга CMS. Те са основни, но както показва практиката, все още има хора, които не знаят за тях. Защо да правим всичко това? Да затрудни живота на нападателя. Използвайки данните по подразбиране, хакер може да хакне вашия сайт, както и вашата база данни, с относителна лекота. Следователно трябва да направите следното.

1. Променете потребителското име от admin на нещо друго.

За да направите това, първо трябва да създадете нов потребител като администратор. Можете да направите това тук:

След като създадете потребител, влезте в неговия акаунт и в списъка „Всички потребители“ изтрийте акаунта „admin“. В същото време се опитайте да направите новото влизане нещо сравнително сложно или поне състоящо се от няколко думи: vasyapupkin99. Можете да използвате псевдонима си, например.

Няма да пиша за паролата - по-добре е да използвате тази, която Wordpress ще генерира за вас на етапа на създаване на акаунт, вместо да измисляте своя (което най-вероятно ще бъде по-лесно).

2. Променете префикса на базата данни от wp на друг.

Има два начина да направите това: или като редактирате сами таблиците в phpMyAdmin (или дори само във файловия мениджър), или чрез плъгин. Ще говоря накратко и за двата варианта.

Промяна чрез phpMyAdmin

Веднага трябва да кажа, че това действие изисква внимание към детайла и известен опит в phpMyAdmin.

Първо, създайте резервно копие на вашата база данни - това ще ви помогне да възстановите информацията, ако нещо се обърка (или сте редактирали нещо нередно някъде).

Сега отидете на файловия мениджър и намерете файла wp-config.php, в него реда $ table_prefix = "wp_";

„wp“ трябва да се промени на нещо друго, по-малко свързано с WordPress и базите данни. Можете дори да го промените на произволен набор от букви и цифри (но трябва да го запомните или запишете).

внимание.Най-добре е да направите тази промяна на прясно инсталиран WordPress. Има повече информация за вече стартирани сайтове - още данни ще трябва да се променят.

След това отидете на phpMyAdmin (на Timeweb хостинг това може да стане директно през контролния панел) и намерете базата данни за желания сайт. Всички таблици в тази база данни трябва да бъдат преименувани, заменяйки „wp_“ с това, което вече сте написали по-горе.

Как да преименувате: изберете таблицата в лявата колона, щракнете върху раздела „Операции“, след това погледнете блока „Опции на таблицата“ и реда „Преименуване на таблицата на“. След като направите промени, не забравяйте да щракнете върху „Напред“.

След това потърсете таблицата „…_options“ в списъка. След като го изберете, щракнете върху „Преглед“ - в съдържанието има приблизително второв колоната „meta_key“ ще видите wp_user_roles - променете префикса „wp“ на този, който ще използвате сега. Запазете промяната.

Следващата таблица, която трябва да промените, е “…_usermeta” - по същия начин погледнете нейното съдържание и сменете всички стари префикси с нови.

Ако след редактиране нещо започне да работи погрешно за вас или спре да работи напълно, проверете дали сте направили всички промени. В краен случай използвайте резервно копие.

Промяна чрез плъгин

Този плъгин няма нужда от представяне, така че ще премина направо към това, което трябва да се направи.

След като сте инсталирали и активирали приставката, отидете на секцията „Защита на базата данни“. Там ще видите реда „Генериране на нов префикс на таблици на база данни“ - напишете префикса, който искате да поставите (или поставете отметка в квадратчето до „Проверете, така че самият плъгин да генерира префикс от 6 произволни знака по дължина“) и щракнете върху „Промяна на префикса на таблицата“. След това по-долу ще видите отчет за напредъка на промяната на префикса. За да сте сигурни, че очакваният резултат е постигнат, влезте в phpMyAdmin.

Нека ви напомня още веднъж, че това трябва да се направи на нов сайт без статии, тъй като ако сайтът вече има много информация, плъгинът може да не работи правилно.

Всичко в едно WP сигурност и защитна стена

Тъй като вече преминахме към използването на този плъгин, ще ви разкажа за други неща, които могат да помогнат за повишаване на сигурността на вашия сайт.

В секцията „Настройки“ на приставката отидете в раздела „Информация за версията на WP“ и поставете отметка в квадратчето до „Премахване на метаданни на WP Generator“. Тъй като хакерите често разчитат на информацията, съдържаща се в метаданните, би било добра идея да премахнете тази информация от кода на страницата.

Между другото, ако все още не сте променили името на администратора (следвайки съветите по-горе), тогава можете да направите това чрез този плъгин - в раздела „Администратори“. Просто напишете ново потребителско име и влезте отново в панела (паролата остава същата).

Тук можете да видите раздела „CAPTCHA по време на регистрация“ - също активирайте този елемент.

Сега отидете в секцията „Защитна стена“ - тук поставяме отметка в блоковете „Основни функции на защитната стена“. Останалите могат да се включват/изключват по ваше желание.

Раздел „Защита срещу груби атаки“: трябва да активирате опцията за преименуване на страницата за вход и да напишете желания адрес в колоната по-долу. Тук е важно да разберете - този адрес ще се използва за влизане в админ панела, жизненоважно е да го запомните!

Приключихме с този плъгин, нека преминем към следващия.

Антивирусна програма

Този плъгин сканира файловете на уебсайта за злонамерен код. Използването му е доста просто - след инсталирането отидете на настройките му и щракнете върху „Сканиране на шаблоните за теми сега“, след което всичките ви файлове с теми ще бъдат сканирани.

Можете също да настроите ежедневна проверка с отчет по имейл.

По време на сканирането плъгинът подчертава кода, който намира за подозрителен. В същото време по-добре проверявайте внимателно всички коментари - те не винаги говорят за вирус. Ако нямате умения за програмиране, можете просто да сравните намерения ред код с реда в кода на същата тема на уебсайта на вашия компютър или от разработчика. Ако записът присъства първоначално, тогава няма нужда да се страхувате от него.

Подобно на други активни добавки, AntiVirus зарежда сървъра (което означава, че вашият сайт работи по-бавно), така че е по-добре да го използвате от време на време, отколкото да го поддържате активен през цялото време.

Сигурност на Wordfence

Този плъгин е подобен по функционалност на предишния, те могат да се използват паралелно, няма да е по-лошо. Инсталирайте, активирайте по същия начин, отидете в раздела „Сканиране“ и щракнете върху големия син бутон „Стартиране на сканиране на Wordfence“. Някои функции са налични само за платени (премиум) акаунти, но основната функционалност също е добра. Ако всичко е наред с вашия сайт, тогава ще видите зеления надпис „Поздравления! „Не са открити проблеми със сигурността от Wordfence.“

Ще ви разкажа за други добавки, които също могат да се използват за защита на вашия сайт.

Sucuri Security

Като цяло Sucuri е компания, специализирана в защитата на уебсайтове, така че те осигуряват защита за всеки уебсайт (не само WordPress). Плъгинът на тази сериозна компания с впечатляваща репутация има широка функционалност, която представлява пълния цикъл на защита на сайта, включително предотвратяване на хакерски атаки и атаки към вашия сайт. Можете да използвате безплатната версия или можете да закупите платена версия за $16,66 на месец - доста голяма сума, но доста разумна за такава гама от инструменти за сигурност.

За да използвате безплатната версия, след инсталиране ще трябва да генерирате безплатен ключ (в синия блок в горната част ще трябва да щракнете върху бутона „Генериране на API ключ“, да проверите дали въведените данни са правилни и да изпратите приложение.

Сигурност на iThemes

Докато Sucuri Security може да се нарече най-добре платената добавка за сигурност, iThemes Security често се нарича най-добрата безплатна добавка, която си струва да инсталирате, за да защитите уебсайта си. Освен това сега има повече от 800 хиляди инсталации!

Няма да пиша много за функционалността - както всички други плъгини, iThemes Security има за цел да защити вашия сайт от повечето неща, които биха могли да го застрашат, като в същото време проверява съществуващото състояние на сайта. Между другото, плъгинът преди това се наричаше Better WP Security - може би някой го помни под това име.

Ако говорим за неговите функции като цяло, можем да подчертаем следните аспекти на този плъгин:

• скриване и премахване на потенциално уязвими елементи (това беше написано в началото на статията - промяна на входа на администратора, префикса на базата данни и т.н.);
• защита на сайта от атаки (сканиране за уязвимости, защита от груба сила, криптиране на администраторския панел и т.н.);
• наблюдение на сайта (за внезапни промени, блокиране и др.);
• възстановяване (резервно копие в случай на спешност).

Сега нека да преминем към използването на самия този плъгин.

Настройване на iThemes Security

Позволете ми да започна с факта, че има и PRO (т.е. по-разширена) платена версия, така че не всички функции на този плъгин са налични в безплатната версия (но все още има много от тях).

След инсталирането активирайте приставката и отидете в секцията „Настройки“. В синия блок в горната част можете да активирате защитата от груба сила (Network Brute Force Protection) - за да направите това, трябва да поискате API ключ, който автоматично ще бъде добавен към настройките (но също така ще ви бъде изпратен по имейл).

Щракнете върху „ Проверка за безопасност” (горен ляв блок или в менюто под „Настройки”) и щракнете върху „Защитен сайт”. След това ще видите списък с активирани модули.

Следващият блок е „ основни настройки"(вдясно от „Проверка за сигурност“). Тъй като плъгинът е почти изцяло преведен, всеки елемент има свое собствено обяснение - съветвам ви да прегледате всички и да видите кой от тях е най-подходящ за вас (дори и да не го използвате, поне ще знаете къде се намира всичко е).

в " Няма свободни места e" можете да зададете времето, когато административният панел да бъде недостъпен. Не е необходимо да използвате това редовно, но можете да го използвате като предпазна мрежа, когато сте далеч от компютъра си. В този случай можете да го конфигурирате или постоянно (например всяка вечер), или веднъж в определен ден и период от време.

блокирай " Блокирани потребители„-тук всичко е ясно, поставете всички, които трябва да бъдат блокирани тук.

“Локална защита от груба сила” - този блок предпазва от хакване чрез грубо налагане на пароли. Вече сте го активирали, настройките могат да бъдат оставени по подразбиране.

« Архивиране на бази данни"- настройка на архивиране; в безплатната версия говорим само за бази данни.

« Откриване на промяна на файла"- изключително полезна функция, която ще следи всички промени във файловете на сайта; Можете бързо да проследите активността, която внезапно се появява на сайта. Не забравяйте да го включите.

“Разрешения за файлове” - блокът показва права за достъп до файлове.

“Мрежова защита от груба сила” - мрежовата защита срещу груба сила е, че ако хакер се опита да хакне нечий друг сайт, достъпът му до вашия сайт също ще бъде блокиран, дори ако той все още не е предприел атака срещу вашия сайт.

“SSL” - можете да конфигурирате използването на SSL в този плъгин, след което, ако имате сайт, хостван от Timeweb, препоръчвам да използвате настройките в контролния панел на сайта.

“Силно прилагане на парола” - ако вашият сайт изисква регистрация на други потребители (форум, блог...), тогава тази настройка ще бъде полезна, потребителите ще трябва да избират само сложни пароли за своите акаунти. В други случаи не може да се използва.

« Фина настройка на системата" И " Промяна на WordPress"- тези допълнителни настройки са необходими, за да подобрите допълнително защитата на вашия сайт. Но има едно предупреждение - активирането на някои настройки може да повлияе на работата на добавките. Следователно не трябва да избирате всичко наведнъж - активирайте един елемент наведнъж и проверете ефективността на вашия сайт.

накрая, " WordPress соли"- настройката ви позволява да добавите таен ключ към паролата, който ще бъде много по-труден за намиране от паролата отделно. Това обикновено е произволен набор от знаци, който се добавя по време на хеширането. Периодично използвайте тази настройка („Промяна на солите на WordPress“), за да промените солта.

Всичко за секциите. Има повече от тях в платената версия, но те са напълно достатъчни, за да предпазят сайта от много популярни видове хакване.

Заключение

Добавките са основен елемент от сигурността на вашия сайт, но искам да ви напомня, че не са единствените. Не забравяйте да следите актуализациите на WordPress и приставките, да променяте паролите си редовно и да правите резервни копия.