5 плагинов брандмауэра WordPress


Содержание материала:

Firewall для безопасности WordPress

WordPress составляют большую часть веб и широко используется как крупными корпорациями, так и DYI (do it yourself) блогерами. Поэтому данная CMS более всего подвержена для хакерских атак. Для обеспечения безопасности сайтов используют так называемые фаерволы (Firewall). Фаервол, вопреки распространенному негативному мнению о бессмысленном запрете доступа к наилучшим сайтам интернета, на самом деле является ценной мерой для обеспечения безопасности получения входящего и исходящего трафика, для защиты сетей, серверов и веб-сайтов, а также самых компьютеров.

Работа фаервола реализована на следующих принципах:

Фильтрация: все пакетные данные, которые поступают анализируются набором фильтров.

Прокси: «посредник» между веб сайтом и интернетом. Прокси-сервер осуществляет соединения защищенной и внешней сетью. Для обеспечения связи внутренняя (защищенная) сеть посылает прокси запросы, которые сравниваются с базой каких-либо правил. Если запрос соответствует правилу в базе и разрешен, то прокси отправляет запрос внешней сети и возвращает ответ.

Контроль (Inspection): производится дополнительная проверка пакетов принадлежащих текущему соединению. Проверка выполняется на корректность и в случае некорректности входящего пакета (например, адрес отправителя не равен адресу, к которому посылается запрос или же номер пакета не соответствует ожидаемому), то такой пакет блокируется и запись о событии производится в лог. Тем самым позволяется дополнительно защититься от атак.

Вашему вниманию предлагается наиболее популярные плагины для WordPress для обеспечения безопасности поддерживаемых веб-сайтов.

Sucuri firewall

Sucuri имеет наиболее высокий уровень защиты WordPress. Его firewall создает прокси-сервер, который делает Sucuri посредником между вашим сайтом и остальным пространством сети, тем самым заботясь обо всех вредоносных атаках и самого трафика. Данный плагин позволяет просматривать нарушения в безопасности в логе активности, сканировать сайт на выявление каких-либо несоответствий в файловой системе, тем самым быстро восстановить поврежденный файл.

Также Sucuri за дополнительную сумму позволяет установить мощный сетевой экран Sucuri Website Firewall.

Цена: от $ 9.99 в месяц | Дополнительная информация

WordPress Simple Security Firewall

WordPress Simple Security Firewall — новый плагин для безопасности WordPress все более набирающий обороты по популярности. Разработчики плагина обещают сохранить ваши данные как можно более безопасным методом без излишних надоедливых сообщениях об изменении вашего файла .htaccess. Простота в использовании, настройки и регулярное обновление плагина с добавлением новых функций и надежности делает его на заменимым помощником для безопасности веб сайта.

Более подробная информация доступна по ссылке ниже.

All In One WP Security & Firewall

За последние несколько лет плагин All in One WP Security&Firewall стал одним из самых популярных плагинов безопасности WordPress. Он предлагает полный набор функций для обеспечения безопасности веб-сайта настолько, насколько это возможно, основой чего является функция межсетевого экрана.

Плагин имеет несколько режимов: базовый, средний, продвинутый. Все они предназначены для обработки вредоносного кода вашего сайта. После установки плагина вы можете легко настроить их в меню WP Admin.

NinjaFirewall

NinjaFirewall — автономный firewall, который произведет сканирование любого запрос HTTP/HTTPS сценария PHP прежде чем он достигнет WordPress или любого из его плагинов. Этот плагин имеет все, что нужно для мониторинга и защиты вашего сайта.

Wordfence

Wordfence зарекомендовала себя как монстр в WordPress безопасности. Этот бесплатный плагин WordPress безопасности предлагает отличный сервис с широким выбором функций. Одним из них является сам firewall.

Wordfence firewall предназначен для блокировки общих угроз безопасности, такие как вредоносное сканирование от хакеров и ботов и все, что может вызвать серьезные проблемы с веб-сайтом, ухудшить его рейтинг в поисковиках и многое другое.

BulletProof Security

Еще один популярный плагин WordPress, так же как и перечисленные выше предлагают широкий спектр возможностей. BulletProof заявляют, что их плагин будет защищать от 100,000 различных атак.

Заключение

Безопасность WordPress главный момент для обеспечения стабильной работы веб-сайтов, к чему необходимо отнестись серьезно. Если не страховаться, но появляется большая вероятность, что ваш сайт будет взломан, в результате чего сайт может попасть в черный список из-за рассылки спама или же вовсе потерять все данные.

Мощный плагин для защиты WordPress

Защита сайта всегда является важным аспектом в его создании и в продолжительном использовании. Несмотря на высокий уровень безопасности WordPress, можно и даже нужно вносить свою лепту, чтобы максимально себя огородить от нежелательных угроз. И не стоит пренебрегать всеми возможными вариантами, учитывая, что постоянно есть опасность потенциальных атак и вирусов.

Первые меры, которые можно принять по защите WordPress – установка плагинов безопасности. К счастью, в официальном репозитории их насчитывается большое количество как платных, так и бесплатных. Нам остается только выбрать какой именно использовать, исходя из его функциональности. В сегодняшнем обзоре предлагаю рассмотреть мощный плагин для защиты WordPress — All In One WP Security & Firewall с большим набором функций.

Краткое описание плагина All In One WP Security & Firewall

Плагин объединяет в себя большой список инструментов, с помощью которых можно решать от самых мелких до больших задач. Это значительно может уменьшить риск опасности и перейти на новый уровень безопасности. All In One WP Security весьма прост в использовании и имеет три степени сложности – от простого до продвинутого.

В настоящий момент плагин переведен на несколько языков, включая русский. Правда, местами можно обнаружить неполный перевод, но таких мест очень мало. Несмотря на многочисленные функционал, плагин использует минимум ресурсов, что позволяет не нагружать сайт. И при всех его возможностях он совершенно бесплатный.

Настройка плагина All In One WP Security & Firewall

Предлагаю пропустить перечень всех его функций, а сразу перейти к настройкам, где в подробностях разберем каждый пункт. Это как раз и будет «прайс-лист» плагина, только с одновременным разбором.

После установки и активации плагина в панели инструментов у вас добавится новая вкладка «WP Security».

Вот все пункты, с которыми постараемся познакомиться.

Панель управления

Здесь выводится сбор информации об уровни защиты вашего сайта, диаграмма безопасности, статус самых важных функций. Остальные вкладки, на этой же странице, соответственно показывают инфу о системе, заблокированных IP-адресов, черный список и лог файлов. Для наблюдения запомните, какой у вас текущий балл надежности и сравните его с полученным после всех настроек.

Настройки

Вначале, перед активацией каких-либо функций, нам советуют сделать резервную копию важных файлов и БД. Такие меры предосторожности будут весьма кстати, так что не поленитесь выполнить их. Две последующие вкладки как раз помогут сделать резервную копию файлов. На вкладке «Общие настройки» чуть ниже находятся настройки сброса некоторых параметров. Воспользуйтесь ими если заметите некорректность в работе сайта. Предпоследняя вкладка «WP Version info» поможет отключить мета-теги, которые WordPress автоматически выводит на всех страницах сайта.

Обратите внимание на два элемента с флажками, выделенные на скриншоте. Первый показывает уровень сложности функции, а второй – очки безопасности. Чем больше будет баллов, тем выше степень важности. Поставьте галочку и нажмите кнопку «Сохраните настройки», но только в том случае, если вы раньше сами не удаляли теги.

Последняя вкладка «Импорт/Экспорт» поможет избавиться от необходимости вновь настраивать плагин, если вам придется его переустанавливать или ставить на новый сайт. Достаточно лишь экспортировать настройки в виде отдельного файла, а затем просто импортировать их.

Администраторы

Этот раздел отвечает за использования имени администратора и отображение имени админа на сайте. Как известно, нельзя применять одинаковый логин и имя, которое выводится в посту как автор статьи. Если у вас имеется такая проблема, то плагин выдаст сообщение и попросит сменить имя на корректное. Последняя вкладка «Пароль» проверяет надежность пароля и покажет приблизительное время для его подбора.

Авторизация

Один из множества способов взлома сайта является многократные попытки подбора паролей или, другими словами, называют Брутфорс-атака. Наша задача состоит в том, чтобы ограничить количество попыток ввода, а также принять последующие меры по отношению к IP-адресов взломщиков. Отметьте галочками пункты, как показано на скриншоте, и нажмите кнопку «Сохранить».

Все остальные вкладки в этом разделе показывают общую информацию по уже заблокированным IP-адресам и неудачным попыткам входа. Можно еще обратить внимание на вкладку «Автоматическое разлогинивание пользователей». Ставьте здесь галочку, дабы через указанное время заканчивалась сессия авторизации админа (выход из аккаунта). Это полезно тогда, когда вашим компьютером или ноутбуком пользуется кто-то еще, кроме вас.

Регистрация пользователя

Этот раздел больше относится к тем сайтам, у которых открыта форма регистрации. Здесь можете поставить галочку для ручного подтверждения регистрации пользователя, а также добавить капку на страницу регистрации.

Защита Базы данных

Лакомый кусочек для недоброжелателя – это доступ к Базе данных где хранятся все настройки и контент. Одним из способов усилить защиту БД от SQL-инъекций является смена стандартного префикса баз данных « wp_ » на уникальный. Об этом я уже говорил в статье «Советы безопасности для ВордПресс».

Отмечаем галочкой пункт и жмем «Изменить префикс таблиц». После чего начнется процесс смены и обновления некоторых файлов. Во второй вкладке настраиваем автоматическое создание бэкапа БД.

Префикс таблиц БД

Резервное копирование БД

Защита файловой системы

Отключаем права на редактирование файлов из админ-панели, закрываем доступ к файлам и сменяем разрешения папок\файлов на рекомендуемые.

WHOIS-поиск

Просмотр детальной информации о домене. Подробнее «Что такое WHOIS?».

Черный список

С этой функцией нужно быть осторожней, так как есть вероятность блокировки вашего IP к доступу админ входа. Активируйте по желанию.

Файрволл

Здесь настраиваются более серьезные функции, отдельные из которых могут даже нарушить работоспособность сайта. Возле каждого параметра есть краткое описание, объясняющее принцип их работы. Я отметил следующие пункты, а последнюю вкладку оставил без изменений.

ТОП 5 обязательных плагинов для установки на WordPress

Когда я только-только начинал заниматься вебмастерингом, я и понятия не имел какие именно плагины нужны для более-менее нормального полета сайта на WordPress в начале его существования. Структурированной информации тогда в интернете было мало, и мне пришлось разбираться самому. Сегодня я решил избавить некоторых читателей от такой проблемы, рассказав о 5 плагинах, которые обязательны для установки на вордпресс. Итак, 5 обязательных плагинов для установки на вордпресс в 2020 году.

Yoast SEO

Начнем мы с SEO-плагина, который просто обязателен для установки на сайт с ВП. Без него вы не сможете выполнять ряд нужных действий для поисковой оптимизации.

С помощью плагина вы сможете:

    Анализировать ваши посты на читабельность и SEO- оптимизацию Выставлять мета-теги к записям, страницам, архивам Настраивать тайтл и разделитель главной страницы Использовать “хлебные крошки” Редактировать robots.txt и htaccess прямо из админки Создать карту сайта sitemap.xml И многое другое

Можно отдать предпочтение и другому плагину для сео. Но Yoast – самый известный, а это значит, что совместимость с разными темами и другими плагинами на уровне.

Скачать и установить Yoast SEO можно прямо из каталога WordPress.

Akismet Antispam

Почти сразу же после создания сайта, он попадает в листы рассылки спама. Это значит, что боты будут заходить на ваш ресурс и оставлять комментарии со спамными, вредоносными ссылками. По умолчанию ВП настроен таким образом, что комментарии не публикуются автоматически. Администратор должен собственноручно утвердить каждый из них, что при большом объеме может вызывать проблемы.

Вы можете не дожидаться этого, и просто установить Akismet Anti-Spam из каталога WordPress. Плагин работает полностью самостоятельно, удаляя большую часть спама.

После установки вам понадобится зарегистрироваться на сайте разработчиков и получить там токен, который в последствии вставить в окно настроек. Для личных блогов Akismet поставляется бесплатно, но если вы хотите, то можете приобрести платную подписку.

WP Translitera/Cyr-to-Lat

WordPress любит ставить ссылки на записи на языке, который установлен для админки по умолчанию. Если вы используете админку на русском языке, то и все ссылки будут тоже на русском. Это пагубно влияет на SEO-оптимизацию, поэтому нам нужен плагин, который может пофиксить эту проблему.

Их два: Cyr to Lat Reloaded и WP Translitera – каждый работает вполне нормально, и я не возьмусь говорить какой лучше. Скажу лишь, что Cyr to Lat появился позже, чем его прямой конкурент. Но обновления для обоих продуктов выпускаются примерно с одинаковой периодичностью.

Оба плагина есть в каталоге, нужно лишь ввести название одного из них в поиск.

UpdraftPlus WordPress Backup Plugin

С помощью UpdraftPlus вы сможете создавать бэкапы своего сайта, и при необходимости быстро откатить изменения. Полезно на первых этапах создания сайта, т.к при активной настройке можно допустить большое количество ошибок, и даже сломать сайт. Вовремя сделанный бэкап позволит вернуть все на место в один клик.

Функции плагина:

    Создание бэкапов в любое время (Базы данных, записи и страницы, темы, плагины) Автоматическая выгрузка бэкапов по FTP или на GoogleDisk Запланированное создание резервной копии раз час, день или неделю

WP Super Cache

Плагин кэширования, который ускорит работу вашего сайта. Он сохраняет страницы в статичные файлы небольшого размера, и именно они используются для загрузки страниц пользователями. Очень полезен при больших нагрузках, но и на молодом проекте кэширование тоже важно. Чем быстрее пользователи будут открывать страницы ресурса, тем лучше будет для поискового продвижения и поведенческих факторов.

Заключение

Вот такой у меня получился топ 5 обязательных плагинов для установки на WordPress. Их я всегда ставлю первым делом, сразу после установки WordPress. Вы можете найти альтернативные варианты и написать о них в комментариях к этому посту.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

6 лучших плагинов для безопасности

WordPress является одной из наиболее известных платформ для блогов. Ещё более она известна из-за своих удивительных плагинов. Однако имеется небольшой недостаток — это безопасность WordPress, в принципе как и любая cms.

Следовательно, для многих пользователей и разработчиков WordPress есть угроза, что их WordPress сайт может быть легко взломан. Поэтому пользователям предлагается использовать для своих блогов плагины для защиты, чтобы обезопасить свой контент.

Здесь предлагается список 6 лучших WordPress плагинов для защиты, которые являются известными и абсолютно надёжными.

Вы можете использовать любой из нижеперечисленных WordPress плагинов для защиты и сделать ваш блог полностью защищённым от попыток взлома.

[urlspan]1. iThemes Security[/urlspan]

[wp-pic type=»plugin» slug=»better-wp-security» layout=»large» ]

iThemes Security, прежде известный как Better WP Security, является одним из лучших WordPress плагинов для защиты от взлома. Он проверяет многие важные области вашего блога и старается обеспечить их защиту.

Он защищает ваш сайт более чем 30 способами. Он легко скрывает вашу личную информацию, такую, как пароль, логин и т.д. Это полный пакет, который делает ваш блог безопасным и защищённым.

[urlspan]2. Acunetix WP Security[/urlspan]

[wp-pic type=»plugin» slug=»wp-security-scan» layout=»large» ]

Acunetix WP Security – это бесплатный WordPress плагин для защиты. Он поможет вам сделать ваш WordPress блог полностью защищённым и безопасным.

Он также предлагает меры безопасности для вашего блога, которые заключаются в том, что он выделяет области и предлагает вам сделать их более безопасными.

Он делает безопасной установку вашего WordPress, обеспечивает защиту аккаунта и регистрационных данных вашего блога. Это совершенно бесплатный плагин.

[urlspan]3. BulletProof Security[/urlspan]

[wp-pic type=»plugin» slug=»bulletproof-security» layout=»large» ]

BulletProof Security – ещё один известный и удивительный WordPress плагин для защиты. Он защищает ваш WordPress блог от RFI, CRLF, Base64, Code Injection, SQL Injection, XSS и эффективно блокирует и останавливает попытки взлома.

Он может защищать ваши настройки, установки, логины, пароли и все элементы, которые могут быть объектами для взлома. Он поддерживает версии WP 3.0 или выше.

[urlspan]4. All in One Security and Firewall[/urlspan]

[wp-pic type=»plugin» slug=»all-in-one-wp-security-and-firewall» layout=»large» ]

Это ещё один отличный и по-настоящему заметный плагин для защиты от взлома. All in One Security and Firewall включает дополнительные брандмауэры, чтобы защитить ваш блог. Говорят, что этот плагин защищает ваш сайт со всех сторон.

Он предоставляет вам различные меры и даёт отчёт о мерах безопасности вашего блога. Удивительным является то, что он не влияет на скорость вашего блога и при этом совершенно бесплатен.

[urlspan]5. Wordfence[/urlspan]

[wp-pic type=»plugin» slug=»wordfence» layout=»large» ]

Wordfence – также бесплатный WordPress плагин для защиты. Wordfence защищает ваш блог и, наряду с этим, он делает ваш блог в 50 раз более быстрым.

Когда вы устанавливаете этот плагин на свой блог, он начинает автоматическое сканирование, чтобы проверить, не является ли уже ваш сайт заражённым.

Этот плагин бесплатный, но вы можете также купить премиум версию, в которой можете наслаждаться многими другими функциями.

[urlspan]6. Antivirus[/urlspan]

[wp-pic type=»plugin» slug=»antivirus» layout=»large» ]

Antivirus – последний в этом списке удивительных и лучших WordPress плагинов для защиты. Он проверяет вашу тему, установки WordPress и другие инструменты и плагины на предмет заражения.

Он предназначен для борьбы с вредоносными программами, уязвимостями и спамом. Он имеет чрезвычайно много функций и может быть очень полезен в том, чтобы сохранить вашу работу и защитить ваш блог.

Так же можно проверить ваш сайт на наличие вирусов с помощью скрипта [urlspan]Ай-болит[/urlspan]. Плюс можно скачать версию под Windows и проверять файлы сайта, шаблона или плагина у себя на компьютере.

Заключение

Это список 6 лучших WordPress плагинов для защиты. Их можно порекомендовать использовать для своего блога, просто, чтобы обеспечить его безопасность и сохранность своего труда.

Если у вас есть вопросы, можете задавать их нам, мы постараемся на них ответить как можно скорее. Не забывайте поделиться WordPress плагинами для защиты с вашими друзьями и знакомыми, чтобы помочь им также сделать свои блоги более безопасными.

Плагины безопасности для WordPress

WordPress – пожалуй, самая популярная и вместе с тем одна из самых часто взламываемых платформ. Почему-то существует мнение, что если ваш сайт особо никому не интересен, то и взламывать его не будут – зачем? На самом деле угроза взлома есть буквально у каждого сайта (и не только на WordPress), поэтому важно заботиться о защите своей странички. Что можно предпринять – а точнее, какие плагины установить – об этом я и расскажу в этой статье.

Общие советы

Эти советы будут полезны не только в работе с WordPress, но и с любой другой CMS. Они базовые, но, как показывает практика, все равно есть люди, которые о них не знают. Зачем это все делать? Чтобы усложнить жизнь злоумышленнику. Используя данные, которые устанавливаются по умолчанию, хакер может относительно легко взломать ваш сайт, а также вашу базу данных. Поэтому нужно сделать следующее.

1. Измените имя пользователя с admin на другое.

Чтобы это сделать, вам нужно сначала создать нового пользователя в качестве администратора. Сделать это можно вот тут:

После создания пользователя зайдите под его аккаунтом и в списке «Все пользователи» удалите аккаунт “admin”. При этом новый логин постарайтесь сделать каким-нибудь относительно сложным, ну хотя бы состоящим из нескольких слов: vasyapupkin99. Можете свой никнейм использовать, например.

Про пароль писать не буду – лучше воспользоваться тем, который сгенерирует вам WordPress на стадии создания аккаунта, а не придумывать какой-то свой (который, скорее всего, будет легче).

2. Изменить префикс базы данных с wp на другой.

Существует два пути сделать это: либо самостоятельно правя таблицы в phpMyAdmin (или даже просто в файловом менеджере), либо через плагин. Кратко расскажу об обоих вариантах.

Изменение через phpMyAdmin

Сразу скажу, что это действие требует внимания к деталям и некоторого опыта работы в phpMyAdmin.

Первым делом создайте бэкап базы данных – он поможет вам восстановить информацию, если что-то пошло не так (или вы где-то что-то не то отредактировали).

Теперь зайдите в файловый менеджер и найдите файл wp-config.php, в нем строку $ table_prefix = ‘wp_’;

“wp” надо изменить на что-то другое, менее связанное с WordPress и базами данных. Можно менять даже на произвольный набор букв и цифр (но вам его нужно запомнить или записать).

Внимание. Лучше всего производить это изменение на только что установленном WordPress. На уже запущенных сайтах информации больше – больше данных придется менять.

После этого зайдите в phpMyAdmin (на хостинге Timeweb это можно сделать прямо через панель управления) и найдите базу данных для нужного сайта. Все таблицы этой базы данных нужно переименовать, вместо “wp_” подставляя то, что вы уже написали выше.

Как переименовать: выбираете таблицу в левом столбце, нажимаете вкладку «Операции», далее смотрите блок «Параметры таблицы» и строку «Переименовать таблицу в». После внесения изменений не забудьте нажать «Вперед».

После этого ищите в списке таблицу “…_options”. Выбрав ее, нажмите «Обзор» — в содержимом примерно на второй странице в столбце “meta_key” вы увидите wp_user_roles – измените префикс “wp” на тот, который вы сейчас собираетесь использовать. Сохраните изменение.

Следующая таблица для изменения – “…_usermeta” – аналогичным образом посмотрите ее содержимое и измените все старые префиксы на новые.

Все, на этом изменения префикса можно считать выполненными!

Если после редактирования у вас что-то стало работать не так или вообще перестало работать, проверяйте, все ли изменения вы внесли. В крайнем случае используйте бэкап.

Этот плагин не нуждается в представлении, поэтому сразу перейду к тому, что необходимо сделать.

После того, как вы установили и активировали плагин, зайдите в раздел «Защита Базы данных». Там вы увидите строку «Сгенерировать новый префикс таблиц БД» — напишите тот префикс, который хотите поставить (или поставьте галочку около «Отметьте, чтобы плагин сам сгенерировал префикс длиной в 6 случайных символов»), и нажмите «Изменить префикс таблиц». После этого ниже вы увидите отчет от ходе изменения префикса. Чтобы убедиться в том, что ожидаемый результат достигнут, зайдите в phpMyAdmin.

Топ-пост этого месяца:  Yii2 валидация. Валидация форм в Yii2

Еще раз напомню, что делать это нужно на новом сайте без статей, так как если на сайте уже есть много информации, плагин может сработать некорректно.

All In One WP Security & Firewall

Раз уж мы уже перешли к использованию этого плагина, то расскажу о других вещах, благодаря которым можно повысить защиту вашего сайта.

В разделе «Настройки» плагина перейдите во вкладку “WP version info” и поставьте галочку рядом с «Удаление мета-данных WP Generator». Так как хакеры зачастую основываются на информации, которую содержат мета-данные, то будет нелишним убрать эту информацию из кода страницы.

Кстати, если вы все еще не поменяли имя администратора (следуя совету выше), то сделать это можно и через этот плагин – во вкладке «Администраторы». Просто напишите новое имя пользователя и еще раз авторизуйтесь в панели (пароль остается прежним).

В разделе «Авторизация» необходимо включить опции блокировки попыток авторизации, отметив этот пункт галочкой.

Дальше идет раздел «Регистрация пользователей» — тут нужно активировать ручное одобрение новых регистраций (чтобы на сайте не плодились спамеры и другие нехорошие личности).

Здесь же вы можете видеть вкладку «CAPTCHA при регистрации» — тоже активируйте этот пункт.

Теперь переходим в раздел «Файрволл» — здесь ставим галочку в блоках «Основные функции брандмауэра». Остальное можете включить/оставить выключенным по своему желанию.

Раздел «Защита от брутфорс-атак»: вам нужно включить опцию переименования страницы логина и написать желаемый адрес в графе ниже. Тут важно понять – этот адрес будет использоваться для входа в админку, жизненно важно его запомнить!

С этим плагином мы закончили, переходим к следующему.

AntiVirus

Этот плагин сканирует файлы сайта на предмет вредоносного кода. Пользоваться им достаточно просто – после установки зайдите в его настройки и нажмите “Scan the theme templates now”, после этого все файлы вашей темы будут проверены.

Тут же вы можете настроить и ежедневную проверку с отчетом на email.

Во время проверки плагин подсвечивает код, который показался ему подозрительным. При этом все замечания вам лучше проверять внимательно – не всегда речь идет именно о вирусе. Если вы не обладаете навыками в программировании, то можете просто сравнить найденную строчку кода со строчкой в коде этой же темы сайта на вашем компьютере или у разработчика. Если запись присутствует изначально, то опасаться ее не нужно.

Как и другие активные плагины, AntiVirus нагружает сервер (а значит, ваш сайт работает медленнее), поэтому лучше пользоваться им время от времени, чем постоянно держать в активном состоянии.

Wordfence Security

Этот плагин по функционалу схож с предыдущим, ими можно пользоваться параллельно, хуже не будет. Точно так же установите, активируйте, перейдите во вкладку “Scan” и нажмите на большую синюю кнопку “Start a Wordfence Scan”. Кое-какие возможности доступны только для оплаченных (премиум) аккаунтов, но базовый функционал тоже неплох. Если с вашим сайтом все хорошо, то вы увидите зеленую надпись “Congratulations! No security problems were detected by Wordfence”.

Расскажу еще о других плагинах, которые тоже можно использовать для защиты сайта.

Sucuri Security

Вообще Sucuri – это компания, которая специализируется на защите веб-сайтов, поэтому они предоставляют защиту для любого сайта (не только на WordPress). Плагин от этой серьезной компании с внушительной репутацией обладает широким функционалом, представляющим полный цикл защиты сайта, включая предупреждение взлома и атаки на ваш сайт. Можно пользоваться бесплатной версией, а можно купить платную за 16,66$ в месяц – сумма немаленькая, но за такой диапазон защитных инструментов вполне обоснованная.

Для того, чтобы пользоваться бесплатной версией, после установки вам будет необходимо сгенерировать бесплатный ключ (в синем блоке сверху нужно будет нажать кнопку “Generate API Key”, проверить, что введенные данные корректны, и отослать заявку.

iThemes Security

Если Sucuri Security можно назвать лучшим платным плагином защиты, то iThemes Security часто называют лучшим бесплатным плагином, который стоит установить для безопасности вашего сайта. Тем более что сейчас у него более 800 тысяч установок!

Про функционал много писать не буду – как и все другие плагины, iThemes Security направлен на защиту вашего сайта от большинства вещей, которые могут ему угрожать, и в то же время на проверку существующего состояния сайта. Кстати, раньше плагин назывался Better WP Security – возможно, кто-то помнит его по этому названию.

Если в целом говорить об его функциях, то можно выделить следующие стороны этого плагина:

  • скрытие и удаление потенциально уязвимых элементов (об этом было написано в начале статьи – смена логина администратора, префикса базы данных и так далее);
  • защита сайта от атак (сканирование на наличие уязвимостей, защита от брутфорса, шифрование админки и так далее);
  • мониторинг сайта (на наличие внезапных изменений, блокировок и так далее);
  • восстановление (резервное копирование на случай непредвиденной ситуации).

Теперь перейдем к самому использованию этого плагина.

Настройка iThemes Security

Начну с того, что у него есть и PRO (то есть более расширенная) платная версия, поэтому в бесплатной версии доступны не все возможности этого плагина (но их все равно много).

После установки активируйте плагин и переходите в раздел «Настройки». В синем блоке сверху вы сможете включить защиту от взлома методом полного перебора (Network Brute Force Protection) – для этого нужно запросить API ключ, который автоматически будет добавлен в настройки (но также отправлен вам на почту).

Нажмите “Security Check” (самый верхний левый блок или в меню под «Настройки») и нажмите “Secure site”. После этого вы увидите список включенных модулей.

Следующий блок – «Основные настройки» (справа от “Security Check”). Так как плагин почти полностью переведен, каждый пункт имеет свою расшифровку – советую пробежаться по ним всем и посмотреть, что из этого наиболее актуально для вас (даже если не будете пользоваться, будете хотя бы знать, где что находится).

Далее переходим к «Отслеживание ошибки 404» — так как ошибка может быть на руку взломщикам, то есть смысл включить эту защиту. Изначальные настройки можно не менять – они оптимальны.

В режиме «Нет на месте» вы можете установить время, когда административная панель будет недоступна. На постоянной основе этим можно не пользоваться, но вы можете использовать это для подстраховки, когда находитесь далеко от компьютера. При этом настроить можно как на постоянной основе (например, каждую ночь), так и один раз в определенный день и период времени.

Блок «Заблокированные пользователи» — тут все понятно, помещайте сюда всех, кого нужно заблокировать.

Local Brute Force Protection” – это блок защищает от взлома путем перебора паролей. У вас он уже включен, настройки можно оставить по умолчанию.

«Резервные копии базы данных» — настройка резервного копирования, в бесплатной версии речь идет только про базы данных.

«Обнаружение изменений файлов» — крайне полезная функция, которая будет следить за всеми изменениями в файлах сайта; можно быстрее отследить внезапно появившуюся на сайте активность. Обязательно включите.

File Permissions” – блок показывает права доступа к файлам.

Network Brute Force Protection” – сетевая защита от брутфорса заключается в том, что если хакер пытался взломать чей-то другой сайт, доступ к вашему сайту у него будет также заблокирован, даже если он еще не начал атаку на ваш сайт.

SSL” – вы можете настроить использование SSL в этом плагине, то если у вас сайт на хостинге Timeweb, я советую использовать настройки в панели управления сайтом.

Strong Password Enforcement” – если ваш сайт предполагает регистрацию других пользователей (форум, блог…), тогда это настройка будет полезной, пользователям придется выбирать только сложные пароли для своих аккаунтов. В остальных случаях ее можно не использовать.

«Тонкая подстройка системы» и «Подстройка WordPress» – эти дополнительные настройки нужны для того, чтобы еще больше усилить защиту вашего сайта. Но есть один нюанс – включение некоторых настроек может повлиять на работу плагинов. Поэтому не стоит выбирать все сразу – включайте по одному пункту и проверяйте работоспособность вашего сайта.

Наконец, «WordPress Соли» – настройка позволяет добавить к паролю секретный ключ, подобрать который будет намного сложнее, чем пароль отдельно. Обычно это случайный набор символов, который добавляется при хэшировании. Периодически пользуйтесь этой настройкой («Изменить WordPress Соли») для того, чтобы сменить соль.

О разделах все. В платной версии их больше, но и этих вполне хватает для того, чтобы защитить сайт от многих популярных видов взлома.

Заключение

Плагины – это существенный элемент безопасности вашего сайта, но хочу напомнить, что он не единственный. Не забывайте следить за обновлениями WordPress и плагинов, регулярно меняйте пароли и делайте бэкапы.

50+ лучших плагинов для WordPress сайта

Не удивительно, что WordPress является фаворитом среди владельцев и разработчиков сайтов, ведь в системе можно найти множество плагинов для расширения возможностей ваших проектов. Причем подавляющее большинство таких модулей бесплатны и просты в установке. Они помогут с решением разнообразных задач — от улучшения функционала и юзабилити веб-страниц до привлечения клиентов, повышения безопасности сайта, его ускорения, «социализации» и т.п.

На официальном портале wordpress.org в архиве плагинов можно найти более 45 тысяч разных решений на любой вкус. В данном блоге я уже несколько раз составлял списки плагинов под те или иные задачи. Сегодня будет еще один пост в похожем стиле — рассмотрим подборку из 50-ти интересных WP модулей. Практически все они бесплатные за исключением парочки полезных премиум решений. Скачать их можно, пройдя по соответствующим ссылкам, или с помощью поиска по названию в админке вордпресс.

Contact Form 7 — простой и удобный плагин контактной формы, один из самых популярных в системе. Использую его регулярно для корпоративных проектов. При работе вам также может пригодиться решение с модальным окном для Contact Form 7.

Logaster Logo Generator

Logaster Logo Generator — интересный модуль, позволяющий создать качественный, недорогой логотип и всю брэндовую продукцию в режиме онлайн быстро и без каких-либо навыков дизайнера.

Jetpack — плагин-сборник разных решений для улучшения вашего сайта. С его помощью сможете увеличивать трафик, просматривать статистику, ускорять и защищать свой сайт, работать с соц.сервисами, модифицировать внешний вид и многое другое. Заинтересованным пользователям советую почитать обзор плагина Jetpack для WordPress.

FONDY — плагин для приема онлайн платежей

Сам по себе WooCommerce содержит большинство функций для интернет-магазина, но при этом не умеет получать оплату от клиентов. Это можно и нужно исправить с помощью плагина FONDY для приема онлайн-платежей. После его подключения покупатели смогут оплачивать товар во время оформления заказа с помощью карточек VISA и MasterCard, интернет-банкингов или мобильных кошельков Apple Pay и Google Pay в той валюте, которую вы укажете (доступно больше 100 валют).

Полученные деньги можно направить на свою банковскую карту, счет предпринимателя или организации. Плагин FONDY полностью бесплатен и доступен в магазине расширений WordPress. Также можете глянуть детальный обзор системы Fondy в блоге.

All In One SEO Pack

All In One SEO Pack — одно из самых востребованных решений в системе вордпресс (около 30 миллионов установок). Используется для оптимизации сайта в поисковых системах.

С помощью плагина W3 Total Cache вы можете ускорить свой WordPress сайт. Модуль сократит время загрузки страниц проекта за счет кеширования файлов.

Slider Revolution — один из наиболее функциональных и лучших WordPress слайдеров с большим количеством настроек для переходов, эффектов и анимации. Часто встречается в премиум шаблонах.

WP Super Cache — еще один модуль кэширования для WordPress, который создает статические HTML-файлы вместо динамических страниц. После публикации статьи о плагинах кэширования ставил его практически на все свои сайты.

Visual Composer — самый популярный визуальный конструктор внешних и внутренних страниц для WordPress. Он позволяет легко добавлять на сайт разные элементы дизайна.


WooCommerce — мощный, расширяемый плагин для электронной коммерции, помогающий вам продать на сайте что угодно. Работаю с ним время от времени и стараюсь делиться полезной информацией — в блоге ему посвящен специальный раздел. Решение бесплатное и очень функциональное.

Вспоминая его, нельзя не упомянуть Booster for WooCommerce.

Это творение разработчиков чем-то напоминает Jetpack, поскольку тоже содержит множество дополнений «под одной крышей». Вы найдете около 90 функций по оформлению заказов, корзине, рассылке, ценам, доставке и т.п.

WP Pagenavi — простой плагин для реализации постраничной навигации в вордпресс. Ставлю его на 95% разных сайтов будь то блоги или проекты с новостной лентой. Легкий в установке, удобный для посетителей.

LayerSlider — многофункциональный слайдер для создания галереи изображений, слайдов и слайд-шоу с крутыми эффектами. Решение поможет выделить ваши посты и страницы на WordPress.

Модуль Finteza Analytics позволяет встроить на сайт одноименный сервис аналитики. Данный проект предоставляет функции и метрики для оценки вашего трафика + включает инструменты по улучшению эффективности рекламных кампаний. С его помощью вы можете просматривать данные по конверсиям, источникам переходов, воронкам продаж, качеству посетителей, анализировать свою аудиторию и многое другое. Для полноты картины советую почитать обзор Finteza в блоге.

Yoast Google Analytics For WordPress

С помощью Yoast Google Analytics вы можете объединить данные Google Analytics и WordPress, добавив свой код отслеживания. Пользователям, которые не хотят заниматься правкой шаблонов с размещением скриптов, пригодится. Да, и вообще статистика — штука полезная.

Плагин фотогалереи для WordPress Nextgen Gallery является лучшим не только среди конкурентов, но и одним из самых популярных за всё время (более чем 14 миллионов установок). Я в основном занимался реализацией простых галерей, для которых хватает базовых возможностей системы или небольших модулей, Nextgen — же мощное функциональное решение. В нем даже есть собственный механизм размещения водяного знака watermark на фото.

WordPress Popular Posts

WordPress Popular Posts — настраиваемый, простой в использовании виджет, который отображает самые популярные записи вашего сайта. Отличный функциональный элемент для сайдбара блога.

Google Analyticator — еще одно решение интеграции сервиса Google Analytics в WordPress. Оно позволяет просматривать статистику из своего GA аккаунта в реальном времени внутри системы. Также упрощает процесс добавления кода отслеживания в шаблон.

WP Polls — предлагает неплохую систему опросов для вашего блога на AJAX. С помощью модуля легко сможете добавить опросы в сайдбаре, в посте или странице сайта. Для детального ознакомления советую глянуть мой обзор WP Polls.

Mailchimp For WP

Mailchimp For WP — с лёгкостью добавляйте своих поситителей с WordPress в базу подписчиков для MailChimp (популярный сервис рассылок). Плагин позволяет легко интегрировать функцию подписки в разные вордпресс формы.

Shareaholic — лидирующий универсальный плагин для распространения контента, который поможет вам увеличить трафик сайта за счет привлечения аудитории соц.сетей. Сам по себе Shareaholic — это отдельный сервис, а модуль позволяет встроить его в WordPress сайт. В данном, блоге, кстати, он как раз и используется. Мне нравится возможность создания плавающего блока кнопок.

WordPress Multilingual Plugin

WPML позволяет легко создавать многоязычные сайты. Модуль очень функциональный, когда-то даже делал обзор плагина WPML. К сожалению, с недавних пор он стал платным. Авторов разработки можно понять — 40 сотрудников нужно как-то кормить:) В качестве альтернативы можете попробовать qTranslate X или Poedit. Больше информации найдете по тегу локализация.

Simple Social Icons

Плагин Simple Social Icons помогает вставлять социальные иконки в любом месте блога виджетов. Максимально простое решение в настройке.

Q2w3 Fixed Widget

Q2W3 Fixed Widget выполняет достаточно интересную функцию с точки зрения юзабилити сайта. Он позволяет зафиксировать определенные виджеты при прокрутке страницы вниз. Как вариант, может также использоваться для создания фиксированного блока рекламы.

MailPoet Newsletters — с легкостью рассылайте информационные письма, уведомления о новых публикациях и автоответы с WordPress. Приступайте к привлечению подписчиков с данным удобным виджетом уже сейчас.

Yet Another Related Posts Plugin

Yet Another Related Posts Plugin — отображайте список похожих тематических постов в вашем блоге. Это отличный вариант для перелинковки. Разработчики также упоминают о заработке на показах спонсорского контента, но я такое не пробовал. Для блока связных постов «еще почитать» — отличное решение.

Tablepress — помогает с созданием красивых и многофункциональных таблиц. Причем вообще без необходимости разбираться в HTML коде. Модуль может пригодиться при создании сайтов на заказ для пользователей с нулевыми знаниями в HTML. Неплохое решение.

MailChimp List Subscribe Form

Плагин MailChimp List Subscribe Form позволяет быстро и просто добавить ваших посетителей в список рассылки сервиса MailChimp. По функциональности напоминает Mailchimp For WP, хотя у последнего больше настроек.

Gravity Forms — плагин для легкого создания самых разнообразных форм, используется более 1 миллионом пользователей WordPress. Изначально модуль был бесплатным, однако с развитием функциональности и ростом команды разработчиков, его перевели на платный тариф. Для простых форм хватает Contact Form 7, но когда нужно что-то сложное и комплексное, обратите внимание на Gravity Forms.

BBPress — это плагин форума, разработан создателями WordPress. Если требуется добавить на сайте раздел с обсуждениями и дискуссиям (то есть форум), смело используйте данное решение. Когда-то в блоге был небольшой обзор Bbpress, но с тех пор модуль значительно улучшился.

Digg Digg — универсальный плагин для добавления плавающего меню с социальными кнопками на ваш блог. По стилистике похож на решение с сайта Mashable. Если вам нужны плавающие кнопки и вы не хотите связываться со сторонним сервисом Shareaholic, можно попробовать этот модуль.

Плагин Captcha — простой вариант внедрения защиты от спама для полей ввода на сайте WordPress. Помнится, рассматривал модуль в обзорной статье лучших плагинов для каптчи, после которой и остановил свой выбор на нем. Однако позже нашел еще один классный вариант — каптчу от Google. Оба плагина сделала компания BestWebSoft.

Disqus Comment System

Плагин Disqus заменяет стандартную систему комментариев WordPress на более функциональную. После этого все ваши комментарии будут сохраняться на серверах Disqus. Обзор модуля также был в блоге, хотя с тех пор там случилось очень много интересных доработок. Пригодится, если вы хотите внести в форму комментариев разные дополнительные функции.

Cookie Law Info

Cookie Law Info — плагин помогает привести сайт к актуальным требованиям законодательства ЕС, которое обязывает владельцев сайтов показывать пользователям уведомление об использовании cookies. С помощью модуля можно стилизировать данное сообщение под дизайн вашего сайта и быстро организовать функцию принятия согласия.

Плагин Akismet с помощью одноименного веб-сервиса позволяет защитить ваш блог от спама в комментариях. Он проверяет комментарии и выявляет спам, который автоматически удаляется в корзину. Если вы новичок в WP, то может пригодиться статья о получении API ключа в Akismet. Решение бесплатное.

AddThis Share Buttons добавляет на сайт социальные иконки, чем способствует увеличению количества публикаций вашего контента в социальных сетях и повышению посещаемости. Помнится, изучал данное решение вместе с Shareaholic, но здесь, насколько я помню, были представлены не все нужные мне соц.сервисы. Есть горизонтальное расположение и плавающий блок для кнопок.

Easy FancyBox — дает гибкое и эстетическое Lightbox решение для всех медиа ссылок сайта, открывающихся во всплывающем окне. Создано на jQuery, поддерживает вставку iFrame и Flash.

Social Media Widget

Social Media Widget — добавьте кнопки-ссылки на ваши профили в социальных сетях. Тысячи иконок доступны в 3 размерах, 4 стилях и 4 анимациях. С их помощью вы можете привлекать новых подписчиков в соответствующие аккаунты разных соц.сетей.

Add To Any — еще одно решение для добавления социальных иконок на WordPress: Facebook, WhatsApp, Twitter, Pinterest, Одноклассников, Google+ и многих других. Есть много разных функций: плавающий блок, счетчики, векторные картинки, хотя все они, в принципе, традиционны для подобных модулей.

BWP Minify — объединяет и минимизирует ваши CSS и JS файлы, ускоряя загрузку страницы. Плагин может пригодиться в процессе оптимизации веб-проекта.

WP Retina 2x — позволит вашему сайту четко и красиво отображается на современных Retina экранах, показывая изображения соответствующего разрешения. Модуль поддерживается версией WordPress 4.4 и выше. Для веб-разработки это сейчас достаточно актуальная задача.

Contact Form Plugin

Contact Form Plugin — простая контактная форма на вашем WordPress сайте. По идее, она может отображаться во всплывающем окне и использоваться для сбора отзывов пользователей о проекте или какой-то услуге (фидбэк). Хотя, конечно, лучше искать более подходящие по теме решения — можете почитать отдельно как сделать отзывы на WordPress сайте.

Click To Tweet By Todaymade

Модуль Click To Tweet By Todaymade позволяет размещать красивые кнопки «Click To Tweet» в любой точке вашего блога. Данные небольшие «сообщения для твиттера» можно, например, добавлять в посты блога, стимулируя пользователей создавать соответствующие твитты.

Video Thumbnails — автоматическое генерирование превью для видео на сайте. Считываемые картинки затем подставляются в качестве Thumbnails миниатюры записи и позволяют создавать видеогалереи в WP. Поддерживаются ролики с YouTube, DailyMotion, Vimeo и других.

Powerpress — один из лучших плагинов для ведения подкаста на сайте WordPress. Найдете здесь простой и продвинутый режимы, плееры, инструменты оформления подписки и еще много чего другого. Поддерживает iTunes, Google Play, Stitcher.

Lightbox Plus используется для увеличенных версий изображений на текущей странице, которые открываются с определенными эффектами. Допускается создание простого слайд-шоу. Раньше сталкивался с модулем достаточно часто, но позже его забросили, и пришлось перейти на вариант с Easy Fancybox.

Instagram Feed — позволяет отображать на сайте красивые настраиваемые ленты Instagram изображений. Модуль поддерживает адаптивность и работу с несколькими Инстаграм аккаунтами. Учитывая то, что данный сервис сейчас, весьма популярный, думаю, плагин пригодится.

WP Rocket — относительная новинка среди плагинов кэширования, позволяющая увеличить скорость вашего WordPress сайта. По сравнению с другими решениями может похвастаться бОльшей функциональностью и множеством настроек для пользователей. Видимо, поэтому модуль и является платным.

WP Postratings — добавляет рейтинговую систему оценивания постов/страниц на AJAX. Потестировать и посмотреть результаты его работы можете внизу под этим постом. Детальный обзор WP-PostRatings уже публиковался на страницах блога. Использую его достаточно давно.

OptinMonster — плагин для привлечение клиентов, позволяет конвертировать посетителей сайта в подписчиков и покупателей. Если вы хотите эффективно работать со своей аудиторией, то можете попробовать это решение.

Responsive Lightbox — для просмотра изображений в высоком разрешении с эффектом лайтбокс. Основной плюс плагина — корректная работа на мобильных устройствах. У модуля достаточно много разных настроек, в том числе и выбор из 6-ти вариантов скрипта Lightbox.

WordPress 23 Related Posts Plugin

WordPress Related Posts — плагин, который добавляет под публикацией перечень похожих тематических постов. Поддерживает кэширование, корректно работает на мобильных девайсах. Хорошее решение для создания перелинковке в блоге как и YARPP.

Yoast WordPress SEO Plugin

Yoast SEO — для настройки SEO параметров в вашем WordPress сайте. Не смотря на то, что модуль расположен последним в списке, он является одним из наиболее полезных здесь. Оптимизация и продвижения сайтов — актуальная нынче задачи, и Yoast SEO помогает с ними справиться. Настроек действительно много: МЕТА теги, XML Sitemap, хлебные крошки, опции индексации и т.п. — обо всем этом можно почитать в обзоре WordPress SEO by Yoast.

Данных 50-ти модулей должно хватить на первый раз дабы освоится в системе WordPress. Полезных решений, конечно, гораздо больше, но искать их приходится при возникновении той или иной специфической задачи. Собственно, обо всех подобных ситуациях и решениях я пишу в разделе Плагины.

Топ-пост этого месяца:  Курс по jQuery. Манипуляции с элементами и их содержимым

Если знаете еще какие-то интересные и полезные WP модули, без которых хорошему сайту просто не обойтись, пишите названия в комментариях.

Урок 9 Самая лучшая защита WordPress сайта – плагин All In One WP Security

Меня взломали. Знаете как страницу во ВКонтакте. Но они не клянчили денег, а насоздавали множество “левых” страниц с ссылками на разные сайты. Тогда я задумался над защитой своего блога. И я нашел идеальное решение.

Первое что я сделал это обратился в техподдержку своего хостинга с просьбой восстановить мой сайт за день до взлома и уже через десять минут у меня был мой нормальный блог.

Потом я установил множество плагинов для защиты ВордПресса от взлома. Но блог стал жутко тормозить. Страницы грузились по пять десять секунд. Это очень долго.

Я начал искать плагины которые не так сильно нагружают систему. Читал отзывы по этим плагинами и все чаще стал натыкаться на All In One WP Security. По описанию он мне очень понравился и я решил поставить его себе на блог. И он защищает меня до сих пор, так как ничего лучше я не встречал.

Что умеет All In One WP Security (защита wordpress всё в одном):

  • Делает резервные копии базы данных, файла конфигурации wp-config. и файла .htaccess
  • Смена адреса страницы авторизации
  • Скрывает информацию о версии WordPress
  • Защита админки – блокировка при неправильной авторизации
  • Защита от роботов
  • И ещё много чего полезного

Я смело могу сказать, что плагин безопасности All In One WP Security – это лучшая защита wordpress сайта.

Настройка All In One WP Security

Зайдя в отдел Настройки, первым делом нужно сделать резервные копии:

  • база данных;
  • файл wp-config;
  • файл htaccess

Делается это на первой странице настройки плагина All In One WP Security.

сделайте бэкап (резервную копию) перед началом работы

Пройдусь только по самым важным пунктам.

пункты настройки плагина all in one wp security

Панель управления

Тут нас встречает счетчик “Измеритель безопасности”. Он показывает уровень защиты сайта. Ваш сайт должен быть как минимум в зеленой зоне. Не надо гнаться за максимальной планкой – лишние настройки могут нарушить функционал сайта. Добейтесь золотой середины.

Счетчик защиты сайта на wordpress

Когда вы будете изменять настройки защиты плагина, то увидете в каждом пункте зелёный щит с цифрами – это и есть те цифры которые прибавляются к общему счету безопасности.

цифра прибавляется к общему счету безопасности

Настройки

Вкладка WP Version Info

Чекаем галочку Удаление метаданных WP Generator.

Удаление метаданных WP Generator

Делается это для того, чтобы в коде не отображалась установленная у вас версия движка WordPress. Злоумышленники знают в какой версии есть уязвимости, и зная установленную у вас версию ВордПресса смогут быстрее взломать ваш сайт.

Администраторы

Пользовательское имя WP

Если у вас логин для входа в админку admin, то обязательно меняем его. Admin это самый популярный логин. Многие ЦМСки предлагают его по умолчанию, а людям просто лень его менять.
Злоумышленники используют различные программы для взлома сайтов. Эти программы подбирают логины и пароли пока не найдут подходящую комбинацию.
Поэтому не используйте логин admin.

Отображаемое имя

Если ваш ник совпадает с логином, то обязательно меняем логин или ник.

Пароль

Если ввести тут свой пароль, то плагин покажет за какое время можно взломать ваш сайт.
Рекомендации по усилению надёжности пароля:

  • Пароль должен состоять из букв и цифр
  • Используйте строчные и прописанные буквы
  • Не используйте короткие пароли (минимум 6 символов)
  • Желательно наличие в пароле спецсимволов (% # _ * @ $ и подробных)

Сложность пароля

Авторизация

вкладка Блокировка авторизаций

Обязательно включаем. Если в течении 5 минут кто-то неправильно введёт пароль 3 раза, то IP заблокируется на 60 минут. Можно поставить и больше, но лучше этого не делать. Может случится так, что вы сами неправильно введёте пароль и будете потом ждать месяцы или даже годы 🙂
Отмечаем галочку “Сразу заблокировать неверные пользовательские имена”.
Допустим ваш логин hozyainsayta, и если кто-то введёт другой логин (например login), то его IP адрес автоматически заблокируется.

опции блокировки авторизации

Автоматическое разлогинивание пользователей

Ставим галочку. Если вы зайдёте в админку сайта с другого компьютера и забудете выйти из админки, то через указанный промежуток времени система сама вас разлогинит.
Я ставлю 1440 минут (это 24 часа).

Опции автоматического разлогинивания пользователей

Регистрация пользователей

Подтверждение вручную

Чекаем “Активировать ручное одобрение новых регистраций”

Ручное одобрение новых регистраций

CAPTCHA при регистрации

Тоже ставим галочку. Это отсекает попытки зарегистрироваться боту-роботу, так как роботы не справляются с капчей.

Registration Honeypot (бочка мёда)

Отмечаем. И не оставляем роботам не единого шанса. Эта настройка создает дополнительное невидимое поле (типа Введите сюда текст). Это поле видят только роботы. Так как они автоматически заполняют все поля, то и в это поле что-то напишут. Система автоматически блокирует те попытки регистрации у которых будет заполнено это поле.

Защита базы данных

Префикс таблиц БД

Если ваш сайт существует уже достаточно давно и на нем много информации, то изменять префикс базы данных следует с максимальной осторожностью

Если вы только что создали свой сайт, то можете смело менять префикс.

Префикс таблиц Базы данных

Резервное копирование базы данных

Включаем автоматическое создание бэкапов.
Выбираем частоту создание резервных копий.
И количество файлов с этими резервными копиями, которые будут храниться. Потом они начнут перезаписывается.
Если вы хотите, чтобы эти файлы дополнительно посылались на вашу электронную почту, то отмечаем соответствующую галочку. У меня для этих целей в почтовом ящике заведена отдельная папка, туда пересылаются все бекапы (моих и клиентских сайтов).

Настройки резервного копирования Базы данных

Защита файловой системы

Доступ к файлам

Тут меняем права доступа к файлам, чтобы все было зелёным.

Доступ к файлам

Редактирование файлов php

Ставим в том случае, если вы не редактируете файлы через админку. Вообще вносить какие либо изменения в файлы нужно через программы ftp-менеджеры (типо файлзилла). Так в случае какого либо “косяка” всегда можно отменить предыдущее действие.

Доступ к файлам wp

Запрещаем доступ. Этим действием мы сможем скрыть важную для хакеров информацию.

Черный список

Если у вас уже есть IP адреса которым вы хотите запретить доступ к сайту, то включайте эту опцию.

Блокировка пользователей по IP

Файрволл

Базовые правила файрволла.

Файрволл и брандмауэр это программный комплекс представляющий собой фильтр несанкционированного трафика.

Теперь можно проставить нужные галочки:

Активировать основные функции брандмауэра Защита от уязвимости XMLRPC и Pingback WordPress Блокировать доступ к debug.log

Дополнительные правила файрволла

На этой вкладке отмечаем следующие галочки:

  • Отключить возможность просмотра директорий
  • Отключить HTTP-трассировку
  • Запретить комментарии через прокси
  • Запретить вредоносные строки в запросах (Может нарушить функциональность других плагинов)
  • Активировать дополнительную фильтрацию символов (Тоже действуем с осторожностью, надо смотреть как влияет на работоспособность сайта)
      У каждого пункта есть кнопка “+ Подробнее” там вы можете почитать подробно про каждую опцию.

6G Blacklist Firewall Rules

Отмечаем оба пункта. Это проверенный список правил который дает плагин для безопасности wordpress сайта.

Настройки файрволла (брандмауэра)

Интернет-боты

Могут появиться проблемы с индексацией сайта. Я данную опцию не включаю.

Предотвратить хотлинки

Ставим галочку. Что-бы изображения с вашего сайта не показывались на других сайтах по прямой ссылке. Эта функция снижает нагрузку с сервера.

Детектирование 404

Ошибка 404 (такой страницы нет) появляется при ошибочном вводе адреса страницы. Хакеры перебором пытаются найти страницы с уязвимостями и поэтому вводят много несуществующих урлов в короткий промежуток времени.
Такие попытки взлома будут заноситься в таблицу на этой странице и чекнув галочку – вы сможете блокировать их IP адреса на указанное время.

Настройки отслеживания ошибок 404

Защита от брутфорс-атак

Переименовать страницу логина

По умолчанию у всех сайтов на Вордпрессе одинаковый адрес страницы авторизации. И поэтому злоумышленники точно знают где начать взламывать сайт.
Эта опция позволяет изменить адрес этой страницы. Это очень хорошая защита wordpress сайта. Обязательно меняем адрес. Я эту галочку не отметил, потому-что мой хостинг автоматически изменил мне эту страницу во время установки системы.

Переименовать страницу логина

Защита от брутфорс-атак с помощью куки

Я не стал включать эту настройку, так как есть вероятность блокировки самого себя при входе с разных устройств.

CAPTCHA на логин

Если на вашем сайте много пользователей или у вас интернет-магазин, то можете включать Капчу при авторизации во всех пунктах.

Защита капчей при авторизации

Белый список для логина

Заходите в админку только с домашнего компа и вы единственный пользователь своего сайта? Тогда впишите свой АйПи адрес и всем остальным доступ к странице авторизации будет закрыт.

Только указанные в списке IP имеют доступ к сайту

Бочка с медом (Honeypot)

Таже знакомая нам Бочка с мёдом – скрытое поле для роботов, но теперь для страницы авторизации.

Защита от роботов при попытке авторизации

Защита от SPAM

Вкладка Спам в комментариях

Капчу в формах для комментариев я не активирую, так как не хочу усложнять комментирование. Терпеть не могу когда приходится выполнять целый квест, что-бы написать пару строчек.
А вот блокировку спам-ботов от комментирования включаем обязательно.

Сканнер

Отслеживание изменений в файлах

Конечно ставим галочку.
Если защита wordpress плагина All In One WP Security все же пропустит хакера, то вы сможете узнать какие именно файлы изменил взломщик. Тогда вы сможете восстановить эти файлы из резервной копии.

Отслеживание изменений в файлах

Режим обслуживания

Защиты сайту не прибавит, но позволит создать заглушку на время пока вы “ремонтируете” сайт, тогда посетители поймут, что сайт не сломан, а идут профилактические работы.

Разное

Здесь может быть полезным только одна вкладка – Защита от копирования. Включив эту опцию – на сайте нельзя будет выделить и скопировать текст.

Защита от копирования текста

Настройка плагина безопасности WordPress All In One WP Security завершена.
Теперь самое время вернуться к пункту Панель управления и посмотреть, сколько балов показывает счетчик защиты.

Мой сайт защищен на 290 балов

Это был один из серии уроков про лучшие бесплатные плагины wordpress, так что подписывайся на новые статьи и читай только полезные уроки.
Шутка дня:
Если Вы проснулись на улице, значит Вы там заснули

Безопасность WordPress в 2 клика с помощью All In One WP Security

Безопасности в WordPress уделяется немало внимания, и все равно бывают случаи взломов сайта. Однако можно воспользоваться специальным плагином и значительно увеличить защиту вашего сайта, тем более что сделать это можно буквально в 2 клика.

Зачем вообще нужно повышать безопасность WordPress?
Конечно, чтобы избежать взломов и несанкционированного использования пространства сайта.

Но неужели это так плохо? Ну и пусть ломают — у меня все равно брать нечего!

Дело не в самом взломе, а в его последствиях. Хакеры ломают сайты не просто так, они начинают рассылать от вашего имени спам, расставляют ссылки на другие сомнительные сайты, становятся рассадниками вирусов и прочей заразы. Поисковые системы довольно быстро это распознают и реагируют с помощью уведомлений, предостерегая посетителей, переходящих на сайт примерно такой вот формой:

Редкий смельчак отважится все-таки перейти на заразный сайт, поэтому трафик из поисковых систем взломанных сайтов падает в разы. А вместе с посещаемостью доходы владельцев сайтов также стремительно снижаются.

Поэтому, несмотря на то, что взломать можно любой сайт, но я рекомендую максимально усложнить злоумышленникам эту задачу: в результате, возможно, отпадет желание связываться именно с вашим сайтом, когда вокруг множество менее защищенных и простых для взлома сайтов.

Плагин All In One WP Security

Я устанавливал на сайты разные плагины для повышения безопасности WordPress (они еще часто называются firewall), но порекомендую вам тот, который лично я считаю самым лучшим по большинству параметров, это — All In One WP Security.

Его основные преимущества:

  • бесплатный
  • удобный русскоязычный интерфейс
  • множество вариантов защиты
  • частое обновление
  • мгновенный импорт и экспорт настроек

Я рекомендую обязательно использовать этот плагин на любом сайте/блоге под WordPress.

Инсталлируется он как обычный плагин Вордпресс (если не знаете как это сделать, то читайте «Как установить плагин WordPress за 5 минут»). Так что с установкой у вас проблем возникнуть не должно.

Но затем еще нужно будет настроить All In One WP Security, то есть выбрать и активировать параметры защиты. Их много, включать стоит далеко не все, иначе сайт может просто оказаться неработоспособным. Так какие параметры нужно выбрать обязательно, а какими стоит пренебречь?

Ниже в статье я дам ссылку на файл импорта лично моих настроек, которые я использую для повышения безопасности на большинстве сайтов — вы сможете их импортировать и, таким образом, не разбираться с настройками программы, которых очень много. Поэтому если все эти описания настроек вам неинтересны, мотайте вниз до социального замка и получайте ссылку на готовый файл с настройками. Там же будет краткая инструкция по добавлению в свой плагин All In One WP Security.

А я пока в двух словах опишу настройки плагина.

Основные настройки All In One WP Security

Настроек плагина довольно много, они все собраны в панели управления, в пункте WP Security:

Начнем по порядку.

Панель управления

Здесь удобно собрана основная информация по системе: текущий уровень защиты, задействованные основные настройки, версия php сервера, логи заходов пользователей в админку и так далее. То есть на этой вкладке менять нечего — она играет информативную роль.

Стремиться к тому, чтобы у вас было задействовано максимум очков защиты — не стоит. Ведь в этом случае некоторые другие плагины могут быть заблокированными, и сайт может не функционировать должным образом. Важно в целом устранить наиболее уязвимые и очевидные «дыры» не в ущерб удобству и функционалу сайта.

Настройки

Здесь вы можете создать бекапы основных файлов WordPress, в которых плагин меняет параметры безопасности: .htaccess и wp-config. Если, конечно, не сделали еще это через FTP (читайте «Как зайти на сайт через FTP»). Обязательно сделайте это перед внесением изменений в настройки плагина.

Важный пункт это «WP мета информация».
Установите галочку, это уберет из кода сайта информацию, что он создан на базе WordPress, это повысит безопасность от массового сканирования хакерскими роботами версий сайтов.

И последний пункт — это «Импорт и экспорт».
Именно здесь можно быстро экспортировать и импортировать настройки плагина с сайта на сайт.


Администраторы

В данном пункте речь пойдет про аккаунты зарегистрированных администраторов в панели управления.

Общеизвестно, что нельзя использовать стандартные имена администраторов, например, «admin» в WordPress или «administrator» в Joomla. Это крайне негативно влияет на безопасность, ведь когда логин известен, хакеру остается только подобрать пароль.

Так что если у вас в качестве имени администратора используется стандартное «admin», то мысленно выругайтесь в сторону разработчика и быстренько смените его на что-то более сложное. Чтобы это сделать в Вордпрессе нужно завести новый аккаунт пользователя. Старый удалите, все записи свяжите с новым аккаунтом.

Также важно, чтобы имя пользователя совпадало с логином.
И проверьте сложность пароля. Плохим является пароль вроде «serega», нормальным — «serega1212», идеальным — «dfw&uuhsU2%».

Авторизация

Что делать если кто-то несколько раз ввел неверный пароль при попытке входа в админку? По умолчанию система не делает ничего. А если «Включить опции блокировки попыток авторизации«, то система будет блокировать такие подключения после какого-то количества неудачных попыток в течение определенного времени. Количество попыток, время и другие параметры, вы сами задаете в пунктах ниже.

Также рекомендую включить «Уведомление на емейл» о блокировках, так вы будете в курсе, что кто-то ломится в вашу уже закрытую дверь.

Остальные вкладки в основном информационные.

Регистрация пользователя

Я бы рекомендовал в любом случае поставить галочку: «Активировать ручное одобрение новых регистраций«. Вам ведь не нужны никакие «левые» регистрации.

Каптча при регистрации актуальна только если у вас на сайте или блоге есть возможность регистрации новых пользователей.

База данных

Обязательно смените префикс таблиц в базе данных. По умолчанию таблицы в базе данных WordPress начинаются с «wp_» — это плохо для безопасности. Выберите «Сгенерировать новый префикс таблиц БД» и установите флажок, чтобы плагин сам сгенерировал что-то вроде «hwy1e2_».

Хоть я менял префикс на многих сайтах WordPress — все было ок, но осторожность лишней не будет: обязательно сделайте бекап базы данных, можно, кстати, прямо на соседней вкладе это сделать.

Файловая система

На основной вкладке «Доступ к файлам» все пункты должны быть отмечены зеленым цветом. Если это не так — просто кликните на соответствующий пункт.

Отметьте флажки и на следующих вкладка «Редактирование файлов PHP» и «WP доступ к файлам«. Вам вовсе необязательно оставлять возможность вносить любые программные изменения через панель управления — лучше это делать через FTP-доступ, который взломать гораздо сложнее, ведь там безопасностью занимаются профессиональные программисты вашего хостера. Плюс не стоит «светить» важные информационные файлы системы.

Whois-поиск

Тут настроек нет, но если к вам кто-то ломится или какой-то неадекватный пользователь оставляет дурацкие сообщения , то можно попробовать узнать о его провайдере и пожаловаться на неадеквата или просто пригрозить ему в личку.

Конечно, если хакер пользуется IP-анонимайзером, толком вы ничего не узнаете, но все равно функция может оказаться полезной, так как в целом можно быстро получать информацию о владельцах сайтов и их контактах.

Черный список

Допустим, вы «пробили» через whois, что на вашем блоге активно в комментариях распространяется спам с ip-адреса частное лицо. Вы можете добавить его в черный список и он не получит доступ к станицам сайта.

Также можно массово банить «левых» роботов, которые могут прочесывать интернет в поисках уязвимостей.

В основном эта функция имеет смысл, если вам активно кто-то пытается взломать. В большинстве случаев эти поля останутся пустыми.

Файрволл

Ну вот и добрались до основной функции плагина — брандмауера. Эти функции рассредоточены по нескольким вкладкам.

Во вкладке «Базовые правила» рекомендую включить оба флажка: «Основные функции брандмауэра» и «Защита от Пингбэк-уязвимостей«. По каждому пункту там подробно расписываются все функции, которые будут задействованы. Это базовые правила — они, как правило, не влияют на работоспособность сайта.

В «Дополнительных правилах» лично я задействую:

  • Просмотр содержимого директорий
  • HTTP-трассировка
  • Комментарии через Прокси-серверы
  • Нежелательные строки в запросах
  • Дополнительная фильтрация символов

на тех или иных сайтах вызывали нестабильности в работе, поэтому я не могу однозначно рекомендовать их к применению.

Если же вы захотите их задействовать, то сделайте бекап htaccess, включите и тщательно протестируйте сайт на прежнюю работоспособность. Попробуйте оставить комментарий, скачать файл, зарегистрироваться, выполнить поиск по сайту, отправить форму обратной связи и т.п. Если все в порядке, то ок, вам повезло

Далее во вкладке «5G-файрволл» можно включить комплексную защиту от хакерских атак через URL сайта. Это полезная функция, однако на моем блоге Moytop.com она вызвала ошибку при скачивании файлов пользователями, поэтому я ее отключил и отключаю на всех других сайтах, так как предпочитаю задействовать только те параметры, которые никогда не вызывают нареканий в работе.

Во вкладке «Интернет-роботы» я не включал флажок, так как все же есть опасения как-то помешать основному роботу Google делать свое дело. Если кто-то сможет развеять мои опасения в комментариях, буду признателен.

«Предотвратить хотлинки» я также оставляю отключенным, так как сам загружаю картинки блога с других сайтов. И отмечал что многие мои клиенты также это делают, например, загружают со своего сайта картинки на разные доски объявлений, форумы и так далее. Но если вы уверены, что нигде не задействуете картинки с сайта, то в целях снижения излишней нагрузки на хостинг, конечно, можете поставить флажок.

«Детектирование ошибок 404» нужно задействовать только если в логах у вас много подозрительных ошибок ненайденных страниц. У меня на всех сайтах все ок, поэтому и нечего вносить в список IP-адресов, которые нужно банить.

Защита от брутфорс-атак

Что такое «брутфорс»? Это грубая атака, которая заключается в простом переборе всех возможных паролей на сайте. То есть робот заходит на страницу со входом в админку и начинает пробовать то один, то другой пароль.

Поэтому я рекомендую обязательно «Переименовать страницу логина«. Стандартное /wp-admin ничего хорошего в плане безопасности вашего WordPress-сайта не даст.

Назовите страницу входа на свое усмотрение, например, /lg-wp и в вашу админку робот для перебора паролей попасть уже не сможет — он ее просто не найдет!

«Защиту на основе куки» я не применяю — так как часто выхожу в сеть с разных браузеров, плюс периодически чищу куки и поэтому процедура залогинивания с этим параметром была бы довольно утомительной. По этой же причине не использую «Каптчу на логин«. Мне и так хватает всяких каптч в интернете, и поэтому на своем сайте стараюсь свести их к минимуму.

«Белый список для логина» — это почти 100% защита от брутфорс-роботов, так как логин и пароль может вводиться только с конкретного IP-адреса. Но я и мои клиенты часто заходят на свои сайты с разных IP-адресов, например, из офиса, с мобильного телефона, из гостей и так далее. В этом случае защита будет избыточной, так как не пустит на сайт самого владельца. Однако если вы работаете на своем сайте стационарно с одним IP-адресом, то можно задействовать данную функцию.

«Бочку с медом» — рекомендую включить. Это интересная приманка для роботов, которая быстро и безболезненно позволяет отсечь многие попытки брутфорса.

Защита от спама

Эту защиту я не включал, так как у меня прекрасно работает специализированный плагин Antispam Bee (читать «Обзор плагина защиты от спама на WordPress»).

Сканер

Если вдруг какой-то гад все-таки пробрался через все ваши системы защиты и вставил свой вредоносный код или левые ссылки в файлах сайта, то система вас об этом уведомит. И вы сможете более внимательно и пристально взглянуть на эти изменения: вдруг вас и правда, взломали?

Я сканирую сайты раз в 7 дней, игнорирую картинки, личные файлы, бекапы и т.п. Все это есть в настройках, которые вы сможете скачать в конце статьи.

Остальные вкладки вам вряд ли понадобятся.

Режим обслуживания

Это просто утилита, но довольно полезная. Позволяет временно отключить сайт для всех, кроме админов, если на нем ведутся какие-то работы.

Разное

«Защиту от копирования» я не включаю, так как в современных реалиях проверки уникальности текстов она довольно бессмысленна, а жизнь некоторым пользователям затрудняет. А вот включить флажок «Активировать фрейм-защиту» не помешает, так как она не позволит открывать ваш сайт во фрейме какого-то другого сайта.

Вот, собственно и все настройки.

Безопасность сайта на WordPress — в ваших руках!

Если у вас есть сайт на WordPress, то я настоятельно рекомендую принять все возможные меры для его безопасности. Поверьте, очень неприятно, например, получать письмо от хостера о том, что ваш сайт блокируется, так как он распространяет вирусы.

А потом бегать в мыле и искать толкового программиста, который все вычистит, найдет дыры, залатает и в конце концов установит вам файрволл.

Лучше побеспокоиться обо всем заранее и как минимум установить этот простой и надежный плагин, тем более, что вы можете даже не разбираться в тонкостях его настройки, а просто использовать мой готовый файл с импортом настроек.

Кстати, как и обещал вы можете бесплатно скачать все настройки для All In One WP Security одним файлом и затем запустить у себя, таким образом, обеспечив безопасность WordPress сайта буквально в 2 клика. Внутри найдете инструкцию по их импорту.

Топ-пост этого месяца:  DLE MySQL Error. Ошибка MySQL Error на сайте DLE

Бонус

Полезный совет: Как можно быстро добавить полезную статью в закладки своего браузера: просто нажмите на клавиатуре «CTRL + D» и кнопку «Готово», это работает в большинстве браузеров, проверьте сейчас!

Урок 399 All In One WP Security – лучший плагин для безопасности для WordPress

Привет, ребята! Когда твой сайт становится немного раскрученным, появляются постоянные читатели, получаешь огромное удовольствие. Вроде бы все круто. Растет и поток денег, и отклик получаешь от аудитории, увеличивается узнаваемость. Но существует и обратная сторона медали. Это завистники, это внимание со стороны недоброжелателей.

Чтобы вы представляли, о чем идет речь: мой блог только за прошлую неделю взламывали 2 раза. Постоянные посетители, думали, заметили. Ребята, я настоятельно рекомендую ознакомиться с данным уроком, потратить время на внедрение советов, о которых говорю, чтобы больше обезопасить свой сайт и сэкономить время, деньги и нервы.

Существует довольно много плагинов, связанных с улучшением безопасности, я пробовал многие, но все что-то не то. Либо блог «падал» непонятно из-за чего, либо сложно было понять, как работать. И все же, благодаря советам ребят, с которыми общаюсь на марафоне, удалось найти достойный, похвальный плагин, который очень сильно понравился. Абсолютно всем. Поэтому сразу же спешу поделиться с вами этой информацией.

All In One WP Security — это самый необходимый плагин для увеличения безопасности в WordPress. Ставить его нужно всем, кто владеет сайтом на Вордпресс. Всем без исключения.

Если мой любимый плагин Yoast SEO — это комбайн в сфере SEO для WordPress, то плагин WP Security — аналог в сфере безопасности. То есть, если благодаря Yoast SEO я перестал нуждаться в нескольких SEO плагинах, то здесь точно также, благодаря All In One WP Security можно избавиться от других плагинов, которые лишь частично выполняют функции данного. Например, как:

  • Login Lockdown;
  • WordPress Database Backup;
  • Anti-XSS attack;
  • и другие подобные.

Огромные плюсы плагина All In One WP Security:

  • бесплатный;
  • настраивается очень просто;
  • практически все переведено на русский язык, поэтому понятно о чем идет речь.

Настройка плагина All In One WP Security

Обязательно сделайте бэкап (резервную копию) перед началом работы (на всякий случай) следующих файлов:

  • база данных;
  • файл wp-config;
  • файл htaccess.

Кстати, резервные копии этих трех файлов можно сделать прямо в данном же плагине, просто в админке перейдите в WP Security — Настройки:

Панель управления

Тут есть очень крутой информер, который показывает уровень защищенности вашего сайта:

Этот показатель поможет держать руку на пульсе и понимать, что еще нужно сделать для улучшения безопасности. Не рекомендую делать все, ради достижения максимальных баллов. Могут быть плохие последствия, ваш сайт может упасть, ошибочно функционировать.

Текущий статус самых важных функций. В этом блоке можно активировать самый необходимый функционал по безопасности вашего сайта (можете пока не трогать их, в ходе настроек по уроку, данные параметры активизируются итак):

Остальные параметры в Панели управления малоинтересны, Вы можете ради любопытства ознакомиться с ними (Информация о системе, Заблокированные IP адреса, AIOWPS.

Настройки

Общие настройки. Тут можно создать резервные копии файлов, о которых я говорил выше. Также отключить функции безопасности и файерволла, если что-то перестало работать.

WP мета-информация. Нажимаем на галочку напротив «Удаление метаданных WP Generator», чтобы не отображать версию WordPress:

Вкладка «Импорт/Экспорт». Здесь можно экспортировать свои настройки, чтобы потом на другом сайте не тратить время на настройки и импортировать в 2 клика все необходимые «галочки».

Администраторы

Пользовательское имя WP. Обязательно (!) смените имя администратора, если оно у вас «admin». Вы не представляете как много и часто подбираются пароли с логином admin. Если еще к тому же пароль очень легкий, ваш сайт легко может быть взломан.

Отображаемое имя. Если на вашем сайте есть аккаунты, у которых имя пользователя и отображаемое имя совпадает, то рекомендуется изменить отображаемое имя (никнейм).

Пароль. Очень интересная вкладка. Тут можно узнать, за какой промежуток времени можно подобрать в автоматическом режиме ваш пароль. Введите свой пароль и сильно удивитесь, насколько быстро его можно взломать. Обязательные условия для усиления безопасности:

  • в вашем пароле должны быть как заглавные, так и строчные буквы;
  • обязательно наличие хотя бы 1-ой цифры, но никак пароль не должен состоять только из цифр;
  • желательно еще наличие какого-либо спецсимвола;
  • длина пароля должна быть более 10 символов.

В итоге у вас должен быть максимальный степень безопасности вашего пароля, что-то в этом роде (пароль ниже домашний компьютер взломал бы за 57 337 лет (!) ):

Авторизация

Блокировка авторизаций. Обязательно включите эту функцию. Если пароль в течении 5-ти минут (по умолчанию) введется 3 раза неправильно, то IP блокируется на 60 минут (тоже по умолчанию). Я не рекомендую ставить блокировку больше по времени, а то можно столкнуться с тем, что сами администраторы вводят логин 3 раза неправильно, ставят блокировку на 10 лет и не знают что делать. Оставляем по умолчанию 60 минут и не паримся.

Также я рекомендую поставить галочку напротив «Сразу заблокировать неверные пользовательские имена». К примеру, вы поменяли логин с admin на krutysh, то при вводе логина admin в поле для авторизации, сразу же заблокируется IP адрес. «Уведомлять по email» — тут по мере необходимости. Я не люблю лишний спам, поэтому здесь галочку не ставлю.

Итоговые настройки данной вкладки у меня выглядят так:

Если вам любопытно, можете глянуть список заблокированных IP, ссылка на раздел приводится в данной же вкладке ниже.

Ошибочные попытки авторизации. Вот здесь как раз видны те логины, которые подбираются. Чаще всего у меня сверкают логины admin, root, font. Также видны время «попыток». Обратите внимание, как часто пытаются войти в админку:

Автоматическое разлогинивание пользователей. Рекомендую тоже включить данный чекбокс. Позволяет через определенное количество минут завершить сессию и разлогинить пользователя. Я ставлю 600 минут:

Вкладки «Журнал активности аккаунта» и «Активных сессий» носят информационный характер.

Регистрация пользователей

Ставим галочку напротив «Активировать ручное одобрение новых регистраций»:

Да и можно поставить галочку CAPTCHA при регистрации:

Конечно, если нельзя зарегистрироваться другим людям на вашем сайте, верхние 2 пункта просто бесполезны, от них не станет ни лучше, ни хуже. Но, если вы сомневаетесь, лучше поставьте галочки в этих пунктах.

Защита базы данных

Здесь будьте аккуратны во вкладке «Префикс таблиц БД». Прежде чем поставить галочку, обязательно сделайте резервную копию своей базы данных (там же увидите ссылку на создание бэкапа своей БД). Если боитесь, сомневаетесь, лучше оставьте без галочки:

Резервное копирование БД. Здесь уже ставим галочку, выбираем частоту создания бэкапов и их количество. У меня. к примеру, такие цифры:

Если вы не так категорически относитесь к чистоте в почте как я, то можете включить чекбокс для отправки бэкапов на свой электронный ящик.

Защита файловой системы

Доступ к файлам. Здесь в правой части у вас будут кнопки, вам нужно будет изменить права доступа к файлам, нажав на эти кнопки. В результате все строчки у вас должны стать зелеными:

Редактирование файлов PHP. Если вы не правите свои PHP файлы через админку, ставим галочку. Править файлы через админку я не рекомендую хотя бы потому, что у вас нет возможности нажать CTRL+Z в случае чего и вы не сможете вернуть файл в исходное положение:

Доступ к файлам WP. Ставим галочку:

Системные журналы. Оставляем по умолчанию.

WHOIS-поиск

Можете вбить IP адрес, либо домен для получения WHOIS какого-либо домена. А так по сути тут нечего трогать.

Черный список

Если у вас нет недоброжелателей, можете не включать данный пункт. Если какой-то IP адрес постоянно сверкает в комментариях, к примеру, можете включить чекбокс и внести данный IP в черный список.

Файрволл

Базовые правила файрволла. Если вы не делали до этого момента резервную копию htaccess, то обязательно делаем его. И ставим галочки напротив всех пунктов:

Дополнительные правила файерволла. Тут тоже включаем все галочки:

UPDATE: ниже во вкладке «Дополнительная фильтрация символов» я убрал галочку, потому что некоторые комментарии не проходили, отдавали 403 ошибку. Наверное, все-таки, вам тоже я посоветовал бы убрать эту галочку, чтобы не было у пользователей проблем с комментированием.

Настройки 5G файрволл. Тоже включаем:

Интернет-боты. Здесь могут возникнуть проблемы с индексацией, поэтому я рекомендую не включать данный пункт.

Предотвратить хотлинки. Тоже включаем.

Детектирование 404. Рекомендую включить. А время ставить минут 5.

Custom Rules. Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.

Защита от брутфорс-атак

Переименовать страницу логина. Включаем. Меняем адрес логина на свой:

Защита от брутфорс-атак с помощью куки. Я не включаю данную функцию, чтобы не было проблем со входом с разных устройств.

CAPTCHA на логин. Можете включить CAPTCHA при авторизации, я же не включаю:

Белый список для логина. Так как я часто захожу на сайт с разных мест, IP у меня разный, поэтому данную опцию я не включаю:

Бочка с медом. Создается дополнительное поле, которое видят только роботы. Поэтому, при заполнении данного поля, робот будет перенаправлен на свой адрес. Включаем:

Защита от SPAM

CAPTCHA в форме комментариев. Я не включаю, так как не люблю усложнять комментирование, а вот функцию «Блокировка спам-ботом от комментирования» рекомендую включить:

Отслеживание IP-адресов по спаму в комментариях. Тут можно глянуть на «частосверкающие» IP по спаму в комментах и занести их в черный список.

BuddyPress. Добавляет CAPTCHA в форме регистрации BuddyPress. Я не использую ее.

Сканер

Отслеживание изменений в файлах. Рекомендую включить, так как часто при взломе сайтов не совсем понятно, какой файл изменили, где искать вредоносный код. А с помощью этой функции сможете отследить изменения в файлах вашего сайта и быстро найти тот файл, который изменялся в последнее время.

Сканирование от вредоносных программ. Функция платная, стоит от 7$ в месяц.

Режим обслуживания

Позволяет «закрыть» сайт на время, чтобы сделать какие-то правки. То есть посетителям сайта будет предложена «заглушка», что ведутся работы на сайте. Полезно при смене дизайна, проверке работоспособности плагинов.

Разное

Защита от копирования текста и прочее. Здесь я нигде в трех вкладках не ставлю галочки. Тоже рекомендую не ставить.

Итоги

После завершения всех этих настроек, вы можете перейти в «Панель управления» и глянуть показатель уровня безопасности, у вас должно получится что-то вроде этого:

Повторюсь, не нужно необдуманно делать все, чтобы достигнуть максимально возможного балла. Не занимайтесь ненужным вредом для своего сайта, его работоспособности и удобства.

На этом все, плагин рекомендую ставить всем, действительно очень классный «комбайн» в плане безопасности для WordPress.

Если возникнут вопросы — пишите. Спасибо отдельное за ретвиты и репосты, за то, что помогаете людям донести эту важную информацию.

Плагины безопасности для WordPress

WordPress – пожалуй, самая популярная и вместе с тем одна из самых часто взламываемых платформ. Почему-то существует мнение, что если ваш сайт особо никому не интересен, то и взламывать его не будут – зачем? На самом деле угроза взлома есть буквально у каждого сайта (и не только на WordPress), поэтому важно заботиться о защите своей странички. Что можно предпринять – а точнее, какие плагины установить – об этом я и расскажу в этой статье.

Общие советы

Эти советы будут полезны не только в работе с WordPress, но и с любой другой CMS. Они базовые, но, как показывает практика, все равно есть люди, которые о них не знают. Зачем это все делать? Чтобы усложнить жизнь злоумышленнику. Используя данные, которые устанавливаются по умолчанию, хакер может относительно легко взломать ваш сайт, а также вашу базу данных. Поэтому нужно сделать следующее.

1. Измените имя пользователя с admin на другое.

Чтобы это сделать, вам нужно сначала создать нового пользователя в качестве администратора. Сделать это можно вот тут:

После создания пользователя зайдите под его аккаунтом и в списке «Все пользователи» удалите аккаунт “admin”. При этом новый логин постарайтесь сделать каким-нибудь относительно сложным, ну хотя бы состоящим из нескольких слов: vasyapupkin99. Можете свой никнейм использовать, например.

Про пароль писать не буду – лучше воспользоваться тем, который сгенерирует вам WordPress на стадии создания аккаунта, а не придумывать какой-то свой (который, скорее всего, будет легче).

2. Изменить префикс базы данных с wp на другой.

Существует два пути сделать это: либо самостоятельно правя таблицы в phpMyAdmin (или даже просто в файловом менеджере), либо через плагин. Кратко расскажу об обоих вариантах.

Изменение через phpMyAdmin

Сразу скажу, что это действие требует внимания к деталям и некоторого опыта работы в phpMyAdmin.

Первым делом создайте бэкап базы данных – он поможет вам восстановить информацию, если что-то пошло не так (или вы где-то что-то не то отредактировали).

Теперь зайдите в файловый менеджер и найдите файл wp-config.php, в нем строку $ table_prefix = ‘wp_’;

“wp” надо изменить на что-то другое, менее связанное с WordPress и базами данных. Можно менять даже на произвольный набор букв и цифр (но вам его нужно запомнить или записать).

Внимание. Лучше всего производить это изменение на только что установленном WordPress. На уже запущенных сайтах информации больше – больше данных придется менять.

После этого зайдите в phpMyAdmin (на хостинге Timeweb это можно сделать прямо через панель управления) и найдите базу данных для нужного сайта. Все таблицы этой базы данных нужно переименовать, вместо “wp_” подставляя то, что вы уже написали выше.

Как переименовать: выбираете таблицу в левом столбце, нажимаете вкладку «Операции», далее смотрите блок «Параметры таблицы» и строку «Переименовать таблицу в». После внесения изменений не забудьте нажать «Вперед».

После этого ищите в списке таблицу “…_options”. Выбрав ее, нажмите «Обзор» — в содержимом примерно на второй странице в столбце “meta_key” вы увидите wp_user_roles – измените префикс “wp” на тот, который вы сейчас собираетесь использовать. Сохраните изменение.

Следующая таблица для изменения – “…_usermeta” – аналогичным образом посмотрите ее содержимое и измените все старые префиксы на новые.

Все, на этом изменения префикса можно считать выполненными!

Если после редактирования у вас что-то стало работать не так или вообще перестало работать, проверяйте, все ли изменения вы внесли. В крайнем случае используйте бэкап.

Этот плагин не нуждается в представлении, поэтому сразу перейду к тому, что необходимо сделать.

После того, как вы установили и активировали плагин, зайдите в раздел «Защита Базы данных». Там вы увидите строку «Сгенерировать новый префикс таблиц БД» — напишите тот префикс, который хотите поставить (или поставьте галочку около «Отметьте, чтобы плагин сам сгенерировал префикс длиной в 6 случайных символов»), и нажмите «Изменить префикс таблиц». После этого ниже вы увидите отчет от ходе изменения префикса. Чтобы убедиться в том, что ожидаемый результат достигнут, зайдите в phpMyAdmin.

Еще раз напомню, что делать это нужно на новом сайте без статей, так как если на сайте уже есть много информации, плагин может сработать некорректно.

All In One WP Security & Firewall

Раз уж мы уже перешли к использованию этого плагина, то расскажу о других вещах, благодаря которым можно повысить защиту вашего сайта.

В разделе «Настройки» плагина перейдите во вкладку “WP version info” и поставьте галочку рядом с «Удаление мета-данных WP Generator». Так как хакеры зачастую основываются на информации, которую содержат мета-данные, то будет нелишним убрать эту информацию из кода страницы.

Кстати, если вы все еще не поменяли имя администратора (следуя совету выше), то сделать это можно и через этот плагин – во вкладке «Администраторы». Просто напишите новое имя пользователя и еще раз авторизуйтесь в панели (пароль остается прежним).

В разделе «Авторизация» необходимо включить опции блокировки попыток авторизации, отметив этот пункт галочкой.

Дальше идет раздел «Регистрация пользователей» — тут нужно активировать ручное одобрение новых регистраций (чтобы на сайте не плодились спамеры и другие нехорошие личности).

Здесь же вы можете видеть вкладку «CAPTCHA при регистрации» — тоже активируйте этот пункт.

Теперь переходим в раздел «Файрволл» — здесь ставим галочку в блоках «Основные функции брандмауэра». Остальное можете включить/оставить выключенным по своему желанию.

Раздел «Защита от брутфорс-атак»: вам нужно включить опцию переименования страницы логина и написать желаемый адрес в графе ниже. Тут важно понять – этот адрес будет использоваться для входа в админку, жизненно важно его запомнить!

С этим плагином мы закончили, переходим к следующему.

AntiVirus

Этот плагин сканирует файлы сайта на предмет вредоносного кода. Пользоваться им достаточно просто – после установки зайдите в его настройки и нажмите “Scan the theme templates now”, после этого все файлы вашей темы будут проверены.

Тут же вы можете настроить и ежедневную проверку с отчетом на email.

Во время проверки плагин подсвечивает код, который показался ему подозрительным. При этом все замечания вам лучше проверять внимательно – не всегда речь идет именно о вирусе. Если вы не обладаете навыками в программировании, то можете просто сравнить найденную строчку кода со строчкой в коде этой же темы сайта на вашем компьютере или у разработчика. Если запись присутствует изначально, то опасаться ее не нужно.

Как и другие активные плагины, AntiVirus нагружает сервер (а значит, ваш сайт работает медленнее), поэтому лучше пользоваться им время от времени, чем постоянно держать в активном состоянии.

Wordfence Security

Этот плагин по функционалу схож с предыдущим, ими можно пользоваться параллельно, хуже не будет. Точно так же установите, активируйте, перейдите во вкладку “Scan” и нажмите на большую синюю кнопку “Start a Wordfence Scan”. Кое-какие возможности доступны только для оплаченных (премиум) аккаунтов, но базовый функционал тоже неплох. Если с вашим сайтом все хорошо, то вы увидите зеленую надпись “Congratulations! No security problems were detected by Wordfence”.

Расскажу еще о других плагинах, которые тоже можно использовать для защиты сайта.

Sucuri Security

Вообще Sucuri – это компания, которая специализируется на защите веб-сайтов, поэтому они предоставляют защиту для любого сайта (не только на WordPress). Плагин от этой серьезной компании с внушительной репутацией обладает широким функционалом, представляющим полный цикл защиты сайта, включая предупреждение взлома и атаки на ваш сайт. Можно пользоваться бесплатной версией, а можно купить платную за 16,66$ в месяц – сумма немаленькая, но за такой диапазон защитных инструментов вполне обоснованная.

Для того, чтобы пользоваться бесплатной версией, после установки вам будет необходимо сгенерировать бесплатный ключ (в синем блоке сверху нужно будет нажать кнопку “Generate API Key”, проверить, что введенные данные корректны, и отослать заявку.

iThemes Security

Если Sucuri Security можно назвать лучшим платным плагином защиты, то iThemes Security часто называют лучшим бесплатным плагином, который стоит установить для безопасности вашего сайта. Тем более что сейчас у него более 800 тысяч установок!

Про функционал много писать не буду – как и все другие плагины, iThemes Security направлен на защиту вашего сайта от большинства вещей, которые могут ему угрожать, и в то же время на проверку существующего состояния сайта. Кстати, раньше плагин назывался Better WP Security – возможно, кто-то помнит его по этому названию.

Если в целом говорить об его функциях, то можно выделить следующие стороны этого плагина:

  • скрытие и удаление потенциально уязвимых элементов (об этом было написано в начале статьи – смена логина администратора, префикса базы данных и так далее);
  • защита сайта от атак (сканирование на наличие уязвимостей, защита от брутфорса, шифрование админки и так далее);
  • мониторинг сайта (на наличие внезапных изменений, блокировок и так далее);
  • восстановление (резервное копирование на случай непредвиденной ситуации).

Теперь перейдем к самому использованию этого плагина.

Настройка iThemes Security

Начну с того, что у него есть и PRO (то есть более расширенная) платная версия, поэтому в бесплатной версии доступны не все возможности этого плагина (но их все равно много).

После установки активируйте плагин и переходите в раздел «Настройки». В синем блоке сверху вы сможете включить защиту от взлома методом полного перебора (Network Brute Force Protection) – для этого нужно запросить API ключ, который автоматически будет добавлен в настройки (но также отправлен вам на почту).

Нажмите “Security Check” (самый верхний левый блок или в меню под «Настройки») и нажмите “Secure site”. После этого вы увидите список включенных модулей.

Следующий блок – «Основные настройки» (справа от “Security Check”). Так как плагин почти полностью переведен, каждый пункт имеет свою расшифровку – советую пробежаться по ним всем и посмотреть, что из этого наиболее актуально для вас (даже если не будете пользоваться, будете хотя бы знать, где что находится).

Далее переходим к «Отслеживание ошибки 404» — так как ошибка может быть на руку взломщикам, то есть смысл включить эту защиту. Изначальные настройки можно не менять – они оптимальны.

В режиме «Нет на месте» вы можете установить время, когда административная панель будет недоступна. На постоянной основе этим можно не пользоваться, но вы можете использовать это для подстраховки, когда находитесь далеко от компьютера. При этом настроить можно как на постоянной основе (например, каждую ночь), так и один раз в определенный день и период времени.

Блок «Заблокированные пользователи» — тут все понятно, помещайте сюда всех, кого нужно заблокировать.

Local Brute Force Protection” – это блок защищает от взлома путем перебора паролей. У вас он уже включен, настройки можно оставить по умолчанию.

«Резервные копии базы данных» — настройка резервного копирования, в бесплатной версии речь идет только про базы данных.

«Обнаружение изменений файлов» — крайне полезная функция, которая будет следить за всеми изменениями в файлах сайта; можно быстрее отследить внезапно появившуюся на сайте активность. Обязательно включите.

File Permissions” – блок показывает права доступа к файлам.

Network Brute Force Protection” – сетевая защита от брутфорса заключается в том, что если хакер пытался взломать чей-то другой сайт, доступ к вашему сайту у него будет также заблокирован, даже если он еще не начал атаку на ваш сайт.

SSL” – вы можете настроить использование SSL в этом плагине, то если у вас сайт на хостинге Timeweb, я советую использовать настройки в панели управления сайтом.

Strong Password Enforcement” – если ваш сайт предполагает регистрацию других пользователей (форум, блог…), тогда это настройка будет полезной, пользователям придется выбирать только сложные пароли для своих аккаунтов. В остальных случаях ее можно не использовать.

«Тонкая подстройка системы» и «Подстройка WordPress» – эти дополнительные настройки нужны для того, чтобы еще больше усилить защиту вашего сайта. Но есть один нюанс – включение некоторых настроек может повлиять на работу плагинов. Поэтому не стоит выбирать все сразу – включайте по одному пункту и проверяйте работоспособность вашего сайта.

Наконец, «WordPress Соли» – настройка позволяет добавить к паролю секретный ключ, подобрать который будет намного сложнее, чем пароль отдельно. Обычно это случайный набор символов, который добавляется при хэшировании. Периодически пользуйтесь этой настройкой («Изменить WordPress Соли») для того, чтобы сменить соль.

О разделах все. В платной версии их больше, но и этих вполне хватает для того, чтобы защитить сайт от многих популярных видов взлома.

Заключение

Плагины – это существенный элемент безопасности вашего сайта, но хочу напомнить, что он не единственный. Не забывайте следить за обновлениями WordPress и плагинов, регулярно меняйте пароли и делайте бэкапы.

Добавить комментарий
21 декабря 2015