Повышаем безопасность сайта вместе с Better WP Security
Опубликовано: 01.09.2018
Защищен ли мой сайт на WordPress? Этот вопрос, пожалуй, стоило бы задать каждому. Я таким вопросом задался, когда взломали сайт одного моего знакомого. Ничего особого не "хакнули", но "перемешали" все в кучу и подменили главную страницу какой-то другой, разработанной "взломщиками". Все остальные страницы и посты отображались нормально. Просто кто-то немного "поигрался" с файлом .htaccess и файлами темы. Проблему в том случае устранила простая установка новой темы.
После такой ситуации я зашел в панель управления собственного WordPress-сайта и стал просматривать плагины, которые отвечают за обеспечение безопасности сайта . Таких плагинов есть масса, но все они работают по-разному и предназначены для решения разных задач. Но что делать, если вам нужен один-единственный плагин для защиты, который решит большинство задач по безопасности?
И так я выбрал плагин для WordPress, который лучше всего подходит для меня, и большинство задач решает легко и в автоматическом режиме. А называется этот плагин Better WP Security .
— самый простой и эффективный способ для защиты WordPress
У этого плагина есть множество классных параметров. Он исследует уязвимости (что является причиной большинства атак на WordPress), защищает сайт путем блокировки пользователей, которые его атакуют, определяет ботов и т.д. Так что вместо того, чтобы копировать все эти параметры и расписывать их всех в этом посте, предлагаю вам просто посмотреть на страницу плагина и прочесть все о нем (это обязательно, если вы хотите использовать данный плагин). А в этом посте я сосредоточусь на том, как и что надо сделать после установки данного плагина, чтобы сам плагин ничего не нарушил в работе вашего сайта (а такое легко может произойти, есть множество способов "смешать все карты").
Установка плагина
Вы можете скачать плагин из официального каталога расширений WordPress по этой ссылке .
Если вы не знаете, что такое плагины и как их устанавливать, посмотрите этот урок .
Настройка
После установки плагина вы попадете в панель управления WordPress и там увидите приветственное сообщение и запрос от плагина насчет создания резервной копии, которая будет отправлена на ваш электронный адрес в почте. Более чем круто!
Создайте бэкап , отправьте на свой электронный адрес и, получив, сохраните на свой жесткий диск.
Далее вам зададут вопрос с разрешением для редактирования файлов ядра в WordPress (таких, как wp-config.php ). Рекомендую вам ответить утвердительно. Но убедитесь, что прочли внимательно сообщение при предоставлении разрешений на определенные операции, и что текст предупреждения похож на приведенный на скриншоте:
И наконец после всего вы получите предложение защитить свой сайт от дальнейших атак кликом одной кнопки. Кликните на кнопке с надписью " Secure My Site From Basic Attacks ".
Теперь мы защитились от базовых атак . Но это вовсе не означает, что ваш сайт полностью защищен и не может быть взломан. Перейдя снова в управление WordPress, мы увидим , 19 процедур и операций , которым следует уделить внимание:
Не паникуйте, если вы видите статусы, отмеченные красным или оранжевым, обозначающие, что эти компоненты вашего сайта не защищены от взлома. Как вы видите, здесь есть ссылка " Click here to fix ", по которой вы можете перейти к соответствующим настройкам и защитить сайт от указанной уязвимости (в этом ничего сложного нет).
Вопрос лишь в том, стоит ли так защищать все указанные 19 уязвимостей?
И ответ — " Нет ", в особенности, если речь идет о старом сайте, а не о новой версии движка.
Список опций
Для всех новичков в использовании WordPress и тех, у кого нет сильной технической подготовки, — я привожу список опций, которые следует исправить при помощи встроенного плагина.
На странице со статусами вы увидите (как на приведенном выше рисунке), что позиции #3 , 4 , 6 , 8 , 11 , 12 , 15 уже "светятся" зеленым. Значит, нам не стоит о них беспокоиться.
#1 — оставляем и ничего не меняем, потому что параметр уже задан паролем администратора. #2 — здесь можно исправить уязвимость с помощью данного плагина. Кликните по " Click here to fix ", а затем выберите все три доступные опции.
Примечание : если вы исправили #9 , то ваши адреса для авторизации и регистрации будут заменены на указанные вами параметры.
Еще одна важная потенциальная уязвимость — это #16 , но так как у нас файл .htaccess уже полностью защищен, то можем эту опцию пропустить.
Все остальное можно оставить без изменений, чтобы не создать конфликты в работе плагинов и тем на вашем сайте.
Ограничение попыток входа
Это — один из полезных способов защиты сайта от "brute force" атак. Кто не в курсе: подобные атаки обеспечиваются при помощи специального ПО, которое генерирует множество вариантов логина и пароля во всех возможных комбинациях за крайне короткий промежуток времени. Данный плагин позволит включить блокировку хостов при определенном числе неправильных попыток ввода логина и пароля. Также включите уведомление по электронной почте, чтобы знать, какие хосты и когда были заблокированы.
Ежедневно я получаю до 3-х писем с уведомлениями о блокировке хостов, пытающих использовать брутфорс для подбора логина и пароля. Если один и тот же хост попадает под фильтр по 2-3 раза за несколько дней, значит, кто-то пытается взломать ваш сайт. Советую просто забанить данный хост / IP (сделать это можно в левой панели).
Вы также можете настроить частоту уведомлений по e-mail и форматы уведомлений о любых изменениях в ваших WordPress-файлах.