<
  • Главная
Статьи

Повышаем безопасность сайта вместе с Better WP Security

Опубликовано: 01.09.2018

Защищен ли мой сайт на WordPress? Этот вопрос, пожалуй, стоило бы задать каждому. Я таким вопросом задался, когда взломали сайт одного моего знакомого. Ничего особого не "хакнули", но "перемешали" все в кучу и подменили главную страницу какой-то другой, разработанной "взломщиками". Все остальные страницы и посты отображались нормально. Просто кто-то немного "поигрался" с файлом .htaccess и файлами темы. Проблему в том случае устранила простая установка новой темы.

После такой ситуации я зашел в панель управления собственного WordPress-сайта и стал просматривать плагины, которые отвечают за обеспечение безопасности сайта . Таких плагинов есть масса, но все они работают по-разному и предназначены для решения разных задач. Но что делать, если вам нужен один-единственный плагин для защиты, который решит большинство задач по безопасности?

И так я выбрал плагин для WordPress, который лучше всего подходит для меня, и большинство задач решает легко и в автоматическом режиме. А называется этот плагин Better WP Security .

— самый простой и эффективный способ для защиты WordPress

У этого плагина есть множество классных параметров. Он исследует уязвимости (что является причиной большинства атак на WordPress), защищает сайт путем блокировки пользователей, которые его атакуют, определяет ботов и т.д. Так что вместо того, чтобы копировать все эти параметры и расписывать их всех в этом посте, предлагаю вам просто посмотреть на страницу плагина и прочесть все о нем (это обязательно, если вы хотите использовать данный плагин). А в этом посте я сосредоточусь на том, как и что надо сделать после установки данного плагина, чтобы сам плагин ничего не нарушил в работе вашего сайта (а такое легко может произойти, есть множество способов "смешать все карты").

Установка плагина

Вы можете  скачать плагин  из официального каталога расширений WordPress по  этой ссылке .

Если вы не знаете, что такое плагины и как их устанавливать, посмотрите  этот урок .

Настройка

После установки плагина вы попадете в панель управления WordPress и там увидите приветственное сообщение и запрос от плагина насчет создания резервной копии, которая будет отправлена на ваш электронный адрес в почте. Более чем круто!

Создайте бэкап , отправьте на свой электронный адрес и, получив, сохраните на свой жесткий диск.

Далее вам зададут вопрос с разрешением для редактирования файлов ядра в WordPress (таких, как wp-config.php ). Рекомендую вам ответить утвердительно. Но убедитесь, что прочли внимательно сообщение при предоставлении разрешений на определенные операции, и что текст предупреждения похож на приведенный на скриншоте:

И наконец после всего вы получите предложение защитить свой сайт от дальнейших атак кликом одной кнопки. Кликните на кнопке с надписью " Secure My Site From Basic Attacks ".

Теперь мы защитились от базовых атак . Но это вовсе не означает, что ваш сайт полностью защищен и не может быть взломан. Перейдя снова в управление WordPress, мы увидим ,  19 процедур и операций , которым следует уделить внимание:

Не паникуйте, если вы видите статусы, отмеченные красным или оранжевым, обозначающие, что эти компоненты вашего сайта не защищены от взлома. Как вы видите, здесь есть ссылка " Click here to fix ", по которой вы можете перейти к соответствующим настройкам и защитить сайт от указанной уязвимости (в этом ничего сложного нет).

Вопрос лишь в том, стоит ли так защищать все указанные 19 уязвимостей?

И ответ — " Нет ", в особенности, если речь идет о старом сайте, а не о новой версии движка.

Список опций

Для всех новичков в использовании WordPress и тех, у кого нет сильной технической подготовки, — я привожу список опций, которые следует исправить при помощи встроенного плагина.

На странице со статусами вы увидите (как на приведенном выше рисунке), что позиции #3 , 4 , 6 , 8 , 11 , 12 , 15 уже "светятся" зеленым. Значит, нам не стоит о них беспокоиться.

#1 — оставляем и ничего не меняем, потому что параметр уже задан паролем администратора. #2 — здесь можно исправить уязвимость с помощью данного плагина. Кликните по " Click here to fix ", а затем выберите все три доступные опции.

#5 — здесь надо быть осторожным. Если у вас новый сайт и свежая версия WordPress, то можно "пофиксить" данную уязвимость; но если у вас давно работающий сайт, то рекомендую данную опцию пропустить , потому что ваш сайт и посты могут прийти в беспорядок. #6 — создание резервной копии БД: параметры создания / планирования бэкапов можно задать слева в колонке настроек плагина. Есть 2 опции : отправка каждого бэкапа по e-mail или отправка созданного бэкапа через FTP-клиент. #7 — советую вам исправить эту уязвимость. Блокируется ваша панель в то время, когда вы ее не используете (к примеру, открыли админку, забыли о ней и ушли спать). Можно включить опцию " Away mode ", здесь можно указать интервал времени, по прошествии которого отключается доступ к сайту, и надо будет повторно войти для использования сайта заново. Так что те, кто попытаются использовать вашу ссылку для входа в панель администратора, просто попадут на главную страницу блога. #9 и 10 — исправьте эти уязвимости.

Примечание : если вы исправили #9 , то ваши адреса для авторизации и регистрации будут заменены на указанные вами параметры.

Еще одна важная потенциальная уязвимость — это #16 , но так как у нас файл .htaccess уже полностью защищен, то можем эту опцию пропустить.

Все остальное можно оставить без изменений, чтобы не создать конфликты в работе плагинов и тем на вашем сайте.

Ограничение попыток входа

Это — один из полезных способов защиты сайта от "brute force" атак. Кто не в курсе: подобные атаки обеспечиваются при помощи специального ПО, которое генерирует множество вариантов логина и пароля во всех возможных комбинациях за крайне короткий промежуток времени. Данный плагин позволит включить блокировку хостов при определенном числе неправильных попыток ввода логина и пароля. Также включите уведомление по электронной почте, чтобы знать, какие хосты и когда были заблокированы.

Ежедневно я получаю до 3-х писем с уведомлениями о блокировке хостов, пытающих использовать брутфорс для подбора логина и пароля. Если один и тот же хост попадает под фильтр по 2-3 раза за несколько дней, значит, кто-то пытается взломать ваш сайт. Советую просто забанить данный хост / IP (сделать это можно в левой панели).

Вы также можете настроить частоту уведомлений по e-mail и форматы уведомлений о любых изменениях в ваших WordPress-файлах.

Источник:


Новости
    Без плагина
    На сайте WordPress имеется файл, именуемый как .htaccess. Многие пользователи не предают ему особого внимания и не используют все его возможности. На самом деле файл .htaccess – это дополнительные конфигурации

    Плагин подписки wordpress
    Очень трудно найти один плагин подписки wordpress , который объединил бы в себе все виды подписок, которые так необходимы сайту. Именно поэтому я решил сделать подборку лучших плагинов, которые смогут

    Слайд-шоу с помощью плагина для WordPress UnPointZero Slider
    Плагин для cms WordPress UnPointZero Slider – новостной слайдер. Он отражает в форме слайд-шоу изображения со ссылками на ваши статьи и краткие выдержки оттуда. Его можно установить и на новостной сайт,

    Плагины для Wordpress
    С помощью этого плагина вы легко сможете интегрировать Google диск на ваш WordPress сайт или блог . Gravity Forms — лучший плагин для создания форм на WordPress, от самых простых (например, форма

    Подписки плагином JetPack: размещение и редакция формы подписки
    Вступление Здравствуйте! В этой статье я покажу, как использовать плагин JetPack для создания пользовательской формы подписки и как эту формы подписки плагином JetPack добавлять в статьи сайта, а при

    Чистка сайта WordPress плагином WP-optimize
    От автора Со временем использования система WordPress накапливает не нужные файлы, комментарии и неиспользуемые данные в базе данных. Эти файлы и данные создаются в процессе работы и нужны для этого,

    Возможности Jetpack плагина
    Вступление Возможности Jetpack плагина это более 30 функциональных модуля плагина, делающего его универсальным плагином WordPress, заменяющего аналогичные сторонние плагины. Jetpack один заменяет десятки

    Резервное копирование WordPress сайта без плагинов
    Вступление Резервное копирование WordPress это второе, что нужно научиться делать после установки WordPress. Можно сколько угодно говорить о безопасности сайта и его защите, но лучшего варианта защиты

    Плагины на приват для Майнкрафт ПЕ
    > > Плагины на приват для Майнкрафт ПЕ Порой всем нам хочется попробовать себя в роли администратора сервера и испытать эту ответственность, но, к сожалению, вы не всегда все знаете о создании

    Плагин WordPress Database Backup. Архивация базы данных блога на WordPress
    Привет друзья! Сегодня на очереди еще один простой, НО, необходимый и полезный плагин — плагин WordPress Database Backup , который с легкостью и самостоятельно произведет процесс, который научно называется:

  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью

rss