Мошенники могут попытаются атаковать сайт, чтобы взломать админку, украсть пароли пользователей, изменить код сайта, получить доступ к конфиденциальной информации, разместить скрытые ссылки или еще как-то навредить ресурсу. Из-за таких атак можно потерять клиентов, позиции в выдаче, репутацию или даже сам сайт.
WordPress сам по себе достаточно защищенный движок, но базовой защиты недостаточно.
Статистика заражений за 2017 год
Повысить безопасность сайта помогут специальные плагины, они не сделают сайт полностью неуязвимым для любых атак, но будут препятствовать злоумышленникам.
Плагины для защиты сайта на WordPress
All In One WP Security & Firewall
Плагин защищает учетные записи пользователей, файлы кода, делает безопаснее вход на сайт через личные кабинеты, делает резервные копии баз данных.
Что делает плагин:
- добавляет капчу на страницу регистрации и в форму входа на сайт, чтобы оградить от спама;
- блокирует вход пользователям с определенным IP на время или навсегда и дает временный блок после нескольких неудачных попыток войти;
- дает просматривать активности учетных записей пользователей;
- делает резервные копии базы данных автоматически;
- создает резервные копии исходных файлов.htaccess и wp-config.php;
- обнаруживает уязвимости в учетных записях, к примеру, с одинаковым именем и логином;
- генерирует сложные пароли;
- отключает редактирование некоторых файлов из админки, чтобы защитить PHP-код;
- закрывает доступ к файлам readme.html, license.txt и wp-config-sample.php;
- устанавливает межсетевые экраны для защиты от вредоносных скриптов.
Панель управления плагином
Понятно о настройке плагина:
All In One WP Security & Firewall переведен на русский язык, установка бесплатна.
BulletProof Security
Плагин сканирует вредоносный код, защищает авторизацию на сайте, не пропускает спам, делает резервные копии.
Что делает плагин:
- защищает файлы wp-config.php, php.ini и php5.ini через файл.htaccess;
- включает режим технических работ;
- проверяет права на редактирование папок и файлов в админке;
- не пропускает спам с помощью функции JTC-Lite;
- создает резервные копии автоматически или вручную, отправляет архивы по e-mail;
- ведет журналы ошибок и журнал безопасности.
Подробнее о функциях безопасности на странице плагина.
Сканер вредоносного кода
Плагин переведен на русский язык. Он бесплатный, есть премиум версия с расширенными возможностями защиты сайта и предупреждения атак.
Wordfence Security
Защищает CMS от взлома и атак вредоносного ПО благодаря защите входа в систему сайта, сканированию изменений кода, попыток входа и уведомлениям о подозрительных активностях.
Что делает плагин:
- сравнивает основные темы и плагины с тем, что находится в репозитории WordPress.org и при расхождениях сообщает владельцу сайта;
- выполняет функции антивируса, проверяет сайт на уязвимости;
- проверяет сообщения и комментарии на подозрительный контент и ссылки.
В бесплатной версии доступны и другие функции.
Премиум версия дает чуть больше:
- проверяет, попал ли сайт или IP в черный список спама или сайтов с проблемами в безопасности;
- включает двухфакторную идентификацию для входа;
- составляет черный список и блокирует все запросы от IP из базы.
Подробнее о функциях безопасности на странице плагина.
Сканер безопасности
Не переведен на русский, базовую версию можно скачать бесплатно.
Disable XML-RPC Pingback
Сайт закрывает возможную уязвимость XML-RPC, через которую мошенники могут атаковать другие сайты и замедлять работу вашего ресурса.
Что делает плагин:
- Удаляет pingback.ping и pingback.extensions.getPingbacks из интерфейса XML-RPC;
- удаляет X-Pingback из HTTP-заголовков.
Установка плагина
Плагин на английском языке, установка бесплатна.
iThemes Security
Старое название - Better WP Security. Плагин защищает при входе в панель администратора, выполняет функции антивируса.
Что делает плагин:
- включает двухфакторную авторизацию при входе в администраторскую панель;
- сканирует код сайта и сигнализирует, если находит подозрительные изменения;
- мониторит сайт на автоматизированные атаки и блокирует их;
- генерирует сложные пароли;
- отслеживает активность аккаунтов пользователей;
- включает Google reCAPTCHA при входе на сайт;
- дает возможность создавать временные доступы в админке;
- ограничивает редактирование файлов в админке.
Подробнее о функциях безопасности на странице плагина.
Настройки плагина
Переведен на русский язык и доступен бесплатно.
Sucuri Security
Комплексный плагин, отслеживающий изменения в файлах сайта и выполняющий функции антивируса.
Что делает плагин:
- проверяет код сайта на подозрительные изменения и присылает уведомления;
- сканирует вредоносные программы и запрещает доступ;
- создает черный список IP и запрещает им взаимодействие с сайтом;
- фиксирует IP посетителей, которые безуспешно пытаются войти на сайт, и блокируют их на ограниченное время;
- автоматически проверяет сайт на вирусы и отправляет отчеты на e-mail.
В премиум-версии создает сетевой экран для дополнительной защиты от атак. Подробнее о функциях безопасности на странице плагина.
Сообщения о подозрительных активностях
Плагин не переведен на русский язык, доступен для бесплатного скачивания.
Keyy Two Factor Authentication
Плагин для защиты панели администратора от злоумышленников, делает доступ в админку удобнее и быстрее.
Что делает плагин:
- защищает сайт от взломов;
- хранит защищенный пароль на устройстве, его не нужно вводить при входе;
- позволяет ходить в админку по отпечатку пальца;
- администраторам нескольких сайтов дает переключаться между панелями в один клик.
Пример работы
Плагин не переведен, доступен бесплатно.
WWPass Two-Factor Authentication
Плагин для защиты от проникновения злоумышленников в панель администратора.
Что делает плагин:
- добавляет QR-код для сканирования при попытке войти в админку;
- дает доступ к бесплатному использованию менеджера паролей PassHub .
Пример работы плагина
Доступно бесплатное скачивание версии на английском.
Если злоумышленникам удалось что-то сделать с сайтом, и нужно восстановить его прежнее состояние, помогут бэкапы. Обычно хостеры периодически делают резервные копии, но на всякий случай лучше делать бэкапы самому. Некоторые плагины из подборки могут делать копии, а также есть отдельные решения для бэкапов.
Плагины для бэкапов сайта на WordPress
BackWPup – WordPress Backup Plugin
Плагин для создания резервных копий и восстановления прежних версий сайта.
Что делает плагин:
- делает бэкапы полного сайта с контентом;
- экспортирует XML WordPress;
- собирает установленные плагины в файл;
- отсылает копии на внешние облачные хранилища, email или передает по FTP.
Платная PRO-версия шифрует архивы с бэкапами и восстанавливает резервные копии за пару кликов.
Управление архивами резервных копий
Доступен бесплатно, есть платная PRO-версия, не переведен на русский.
UpdraftPlus WordPress Backup Plugin
Что делает плагин:
- копирует и восстанавливает данные в один клик;
- делает автоматические резервные копии по расписанию;
- проверяет и восстанавливает базы данных;
- отправляет бэкапы в облако, на Google-диск и в другие места хранения по выбору.
Расширенная версия дает больший выбор мест для хранения копий и другие дополнительные функции.
Настройка хранения резервных копий
Не переведен на русский, доступен бесплатно.
VaultPress
Еще один плагин для резервного копирования и надежного хранения копий.
Что делает плагин:
- ежедневно автоматически копирует все файлы сайта с контентом и комментариями;
- восстанавливает сайт из копии по клику;
- защищает сайт от атак и вредоносного ПО.
Работает бесплатно для одного сайта, хранит данные 30 дней. За дополнительную плату можно наблюдать за несколькими сайтами из одной панели и хранить данные дольше.
Рабочая панель
Плагин не переведен на русский язык, доступен для установки бесплатно.
Сайтам необходима защита от злоумышленников, чтобы они не смогли получить доступ к секретной информации, использовать ваш ресурс для атак на другие сайты, рассылать письма клиентам и нарушать стабильную работу ресурса. Плагины ставят мошенникам препятствия, защищают пользовательские данные и код сайта, а системы резервного копирования откатят сайт до прежнего состояния, если злоумышленникам все-таки удалось навредить.
CMS WordPress является хорошо защищенной системой, но в любой системе можно найти уязвимые места. Разработчики WordPress стараются сделать защиту CMS более надежной с каждым новым выпуском, но злоумышленники также не сидят сложа руки. Поэтому, для защиты своего сайта от взлома, вирусов и атак вам придется принимать некоторые меры самостоятельно.
Я могу дать несколько практических советов по защите WordPress, которые помогут вам защитить WordPress сайт от базовых угроз, вирусов и атак .
Основные меры по защите WordPress
Защитить WordPress от базовых угроз не сложно, для этого достаточно предпринять некоторые меры. Для того, чтобы упростить поставленный задачи, я рекомендую воспользоваться плагином "Better WP Security".
После установки и активации плагина на WordPress, пройдите в админку сайта на страницу настроек "Better WP Security", и создайте резервную копию базы данных, на всякий случай.
Затем, для того чтобы позволить плагину производить изменения в файлах вашего сайта и движка, вы должны дать разрешение, нажатием на соответствующую кнопку.
На следующей станице, для того чтобы защитить сайт от базовых атак , необходимо включить эту опцию нажатием на соответствующую кнопку.
Но то еще не все. После того как вы выполните первые требования плагина, перед вами откроется таблица, в которой будут указаны все потенциальные точки уязвимости вашего сайта. Для защиты вашего WordPress сайта необходимо исправить все недочеты в защите.
Устранение уязвимостей WordPress
Перед вами откроется примерно следующая таблица уязвимостей, в которой красным цветом подсвечены критические уязвимости, а желтым и синим подсвечены не критические уязвимости, но их также нужно устранять.
Для примера, я взял стандартный незащищенный блог на WordPress. Давайте вместе устраним все известные нам уязвимости в WordPress.
1. Проверка сложности пароля для всех пользователей
Для того чтобы обеспечить сложными паролями всех пользователей, нужно исправить первую уязвимость. Пройдите по ссылке "Нажмите, чтобы исправить" и на открывшейся странице выберите пункт как на рисунке снизу "Strong Password Role - Subscriber". Тем самым, пароли всех ваших пользователей будут проходить проверку сложности.
2. Убираем дополнительную информацию из заголовка WordPress
WordPress по умолчанию публикует в заголовке сайта много дополнительной информации, которой могут воспользоваться злоумышленники. Для удаления подобной информации поставьте галочку в соответствующем поле. Но будьте внимательны, это действие может повлечь за собой неработоспособность некоторых приложений и сервисов, которые каким либо образом обращаются к вашему блогу через протокол XML-RPC.
3. Скрываем обновления от не администраторов
Третий пункт у нас в порядке, если у вас не так, то рекомендую вам скрыть доступные обновления от не администраторов. Вашим пользователям эта информация все равно будет бесполезной, а вот злоумышленники могут ею воспользоваться.
4. Поменять логин администратора
Аккаунт администратора WordPress по умолчанию имеет логин admin, и об этом все знают. Поэтому ваш сайт взломать проще. Для того чтобы усложнить взлом сайта, рекомендую переименовать ваш администраторский аккаунт. Для этого перейдите по ссылке "Кликните здесь, чтобы переименовать администратора" и введите новое имя администратора в соответствующее поле.
5. Поменяйте ID администратора
Аккаунту администратора по умолчанию присваивается и ID=1, что также заведомо известно злоумышленникам, поэтому этот параметр нужно поменять. Плагин better wp security поменяет ID администратора за один клик.
6. Поменять префикс таблиц базы данных WordPress
По умочанию таблицы базы данных WordPress имеют префикс wp_. Рекомендуется поменять префикс на любой другой. Даже если ваша база данных уже наполнена информацией, то плагин better wp security поменяет префикс таблиц вашей базы без потери данных. Рекомендовано перед этим действием сделать резервную копию базы данных, что мы и сделали в самом начале.
7. Спланируйте создание резервных копий
Для регулярного создания резервной копии вашей базы данных, задайте некоторые условия и введите ваш e-mail, куда будут отправляться копии базы данных. Тем самым вы в любое время сможете восстановить базу данных из копии, при необходимости.
8. Запретить доступ к админке в определенное время
Этот параметр не является критическим, но, все же, если вы переживаете за безопасность вашего WordPress сайта, то пожалуй стоит запретить хаотичный доступ к админке, и разрешить доступ только в определенное время, например в то время, когда вы собираетесь работать с сайтом.
9. Заблокируйте подозрительные хосты
Если вы знаете IP адреса подозрительных хостов, с которых может быть произведена атака на ваш сайт, то занесите эти IP адреса в бан лист, и доступ к сайту с этих IP будет закрыт.
10. Защитить логин от перебора
По умолчанию плагин защищает логин от перебора и после 3-х неудачных попыток блокирует IP адрес.
11. Скрыть админку WordPress
Этот пункт не является критическим, но все же будет полезно скрыть админку WordPress. Скрытие WordPress админки происходит путем переименования директории с админ панелью. Физически админ панель будет лежать в той же папке, но по адресу http://ваш_сайт.ru/wp-admin она будет недоступна.
Скройте админ панель WordPress, для этого введите новые имена для директорий в соответствующие поля и поставьте галочку для включения данной опции.
12. Защитить файл.htaccess и скрыть каталоги от просмотра
Рекомендую вам скрыть каталоги сайта от свободного просмотра, а также защитить файл.htaccess. Также вы можете запретить выполнять различные запросы к сайту через адресную строку. Напоминаю, что данные действия могут вызвать конфликт с некоторыми плагинами и темами.
18. Запрещаем запись файлов wp-config.php и.htaccess
Некоторые пункты были по умолчанию выполнены, поэтому предлагаю вам выполнить наиболее важный 18 пункт защиты, который поможет запретить перезапись файлов wp-config.php и.htacces. Этот пункт очень важен, потому что от сохранности файлов wp-config.php и.htacces может зависеть работоспособность вашего сайта.
20. Переименовать папку с содержимым wp-content
Также вы можете переименовать папку с основным содержимым сайта wp-content. Нестандартное размещение файлов усложнит злоумышленникам доступ к ним.
WordPress – одна из самых популярных систем управления контентом, использующаяся в самых различных целях: от ведения блогов до электронной коммерции. Существует широкий выбор плагинов и тем для WordPress . Случается, что какие-то из этих расширений попадают в руки вебмастеров после того, как некий злоумышленник потрудился над ними.
Ради своей выгоды он мог оставить в них рекламные ссылки или код, с помощью которого он будет управлять вашим сайтом. Многие пользователи WordPress не имеют большого опыта в веб-программировании и не знают, как действовать в такой ситуации.
Для них я сделал обзор девяти наиболее эффективных инструментов для обнаружения вредоносных изменений в коде работающего сайта или устанавливаемых дополнений.
1. Theme Authenticity Checker (TAC)
Theme Authenticity Checker (инспектор аутентичности тем, TAC) – WordPress -плагин, который сканирует каждую установленную тему на наличие подозрительных элементов вроде невидимых ссылок или кода, зашифрованного с помощью Base64 .
Обнаружив такие элементы, TAC сообщает о них администратору WordPress , позволяя ему самостоятельно проанализировать и при необходимости исправить исходные файлы тем:
2. Exploit Scanner
Exploit Scanner сканирует весь исходный код вашего сайта и содержимое базы данных WordPress на наличие сомнительных включений. Так же, как и TAC , этот плагин не предотвращает атаки и не борется с их последствиями в автоматическом режиме.
Он только показывает обнаруженные симптомы заражения администратору сайта. Если вы хотите удалить вредоносный код, придётся это сделать вручную:
3. Sucuri Security
Sucuri – хорошо известное решение в области безопасности WordPress . Плагин Sucuri Security осуществляет мониторинг файлов, загружаемых на WordPress -сайт, ведёт собственный список известных угроз, а также позволяет удалённо просканировать сайт при помощи бесплатного сканера Sucuri SiteCheck Scanner . За абонентскую плату можно дополнительно укрепить защиту сайта, установив мощный сетевой экран Sucuri Website Firewall :
4. Anti-Malware
Anti-Malware – плагин для WordPress, который способен находить и удалять троянские скрипты, бэкдоры и прочий вредоносный код.
Параметры сканирования и удаления могут настраиваться. Этот плагин можно использовать после бесплатной регистрации на gotmls .
Плагин регулярно обращается к сайту производителя, передавая ему статистику обнаружения зловредов и получая обновления. Поэтому если вы не хотите устанавливать на свой сайт плагины, отслеживающие его работу, то вам стоит избегать использования Anti-Malware :
5. WP Antivirus Site Protection
WP Antivirus Site Protection – это плагин, сканирующий все загружаемые на сайт файлы, в том числе WordPress -темы.
Плагин имеет собственную базу сигнатур, автоматически обновляемую через Сеть. Он умеет удалять угрозы в автоматическом режиме, оповещать администратора сайта по электронной почте и много другое.
Плагин устанавливается и функционирует бесплатно, но имеет несколько платных дополнений , на которые стоит обратить внимание:
6. AntiVirus для WordPress
AntiVirus для WordPress – простой в использовании плагин, который способен осуществлять регулярное сканирование вашего сайта и отправлять оповещение о проблемах безопасности по электронной почте. Плагин имеет настраиваемый «белый список » и другие функции:
7. Quterra Web Malware Scanner
Сканер от Quterra проверяет сайт на наличие уязвимостей, внедрений стороннего кода, вирусов, бэкдоров и т.д. Сканер обладает такими интересными возможностями, как эвристическое сканирование, обнаружение внешних ссылок.
Базовые функции сканера бесплатны, в то время как некоторый дополнительный сервис обойдётся вам в $60 за год:
8. Wordfence
Если вы ищете комплексное решение проблем безопасности вашего сайта, обратите внимание на Wordfence .
Этот плагин обеспечивает постоянную защиту WordPress от известных типов атак, двухфакторную аутентификацию, поддержку «чёрного списка » IP-адресов компьютеров и сетей, используемых взломщиками и спамерами, сканирование сайта на наличие известных бэкдоров.
Этот плагин бесплатен в своей базовой версии, но имеет и премиум-функционал, за который производитель запрашивает скромную абонентскую плату.
Wordfence Security выполняет глубокую и тщательную проверку сайта на предмет уязвимостей как в самом ядре Wordpress, так и в темах и плагинах.Он использует сервисы WHOIS для мониторинга соединений и способен блокировать целые сети благодаря встроенному брендмауэру . При выявлении новых атак (даже если им подвергся другой сайт с установленным WordFence) происходит автоматическое обновление набора правил брендмауэра для наиболее эффективного противостояния угрозам.
Wordfence Security бесплатен и имеет открытый код, однако предлагаемая подписка позволит еще больше защитить ваш сайт благодаря обновлению брендмауэра, malware-сигнатур и списка «черных» IP-адресов в режиме реального времени
Стоимость премиум-подписки: до $99 в год (имеются значительные скидки при приобретении нескольких ключей или на более длительный срок)
AntiVirus
AntiVirus работает так же, как обычный антивирус - выполняет ежедневное сканирование всего сайта (в том числе тем, и баз данных), отправляя отчет на заданный e-mail. Сканирование и очистка следов выполняются также при удалении плагинов.При обнаружении подозрительных или опасных действий уведомления об этом направляются на тот же электронный адрес и отображаются в админпанели.
Quttera Web Malware Scanner
Очень мощный сканер , который выполняет поиск таких уязвимостей, как вредоносные скрипты, трояны, бэкдоры, черви, программы-шпионы, эксплойты, вредоносные iframes, редиректы, обфускацию и другие нежелательные или опасные изменения кода. Кроме того, плагин проверяет не попал ли ваш сайт в черные списки.Стоимость: бесплатно, однако расширенные возможности, такие как устранение обнаруженных уязвимостей и очистка от вредоносных файлов предоставляется на платной основе (от $119 в год)
Anti-Malware
Anti-Malware сканирует и обезвреживает известные на данный момент уязвимости, включая backdoor-скрипты. Автоматически обновляет антивирусные базы, что позволяет обнаруживать самые свежие вирусы и эксплойты. Встроенный файерволл блокирует внедрение в слайдеры и некоторые другие плагины вируса SoakSoak и других эксплойтов.WP Antivirus Site Protection
WP Antivirus Site Protection сканирует все важные, с точки зрения безопасности, файлы, включая темы, плагины и загружаемые файлы в папке uploads. Найденные зловреды и вирусы будут немедленно удалены или перемещены в карантин.
Exploit Scanner
Exploit Scanner не удаляет подозрительный код - он оставляет это «грязное» дело администратору. Но зато он хорошо выполняет не менее важную и более трудоемкую операцию по его поиску . И будьте уверены он его найдет, будь он в базе данных или в обычных файлах.
Centrora Security
Плагин Centrora Security выполнен по принципу «швейцарского ножа» - это комплексный инструмент для всесторонней защиты сайта от всех типов угроз. Он имеет встроенный firewall , модуль резервного копирования и ряд сканеров, выполняющих проверку прав доступа, поиск зловредного кода, спама, SQL-инъекций и прочих уязвимостей.
Меня взломали. Знаете как страницу во ВКонтакте. Но они не клянчили денег, а насоздавали множество “левых” страниц с ссылками на разные сайты. Тогда я задумался над защитой своего блога. И я нашел идеальное решение.
Первое что я сделал это обратился в техподдержку с просьбой восстановить мой сайт за день до взлома и уже через десять минут у меня был мой нормальный блог.
Потом я установил множество плагинов для защиты ВордПресса от взлома. Но блог стал жутко тормозить. Страницы грузились по пять десять секунд. Это очень долго.
Я начал искать плагины которые не так сильно нагружают систему. Читал отзывы по этим плагинами и все чаще стал натыкаться на All In One WP Security. По описанию он мне очень понравился и я решил поставить его себе на блог. И он защищает меня до сих пор, так как ничего лучше я не встречал.
Что умеет All In One WP Security (защита wordpress всё в одном):
- Делает резервные копии базы данных, файла конфигурации wp-config. и файла.htaccess
- Смена адреса страницы авторизации
- Скрывает информацию о версии WordPress
- Защита админки – блокировка при неправильной авторизации
- Защита от роботов
- И ещё много чего полезного
Я смело могу сказать, что плагин безопасности All In One WP Security – это лучшая защита wordpress сайта.
Настройка All In One WP Security
Зайдя в отдел Настройки, первым делом нужно сделать резервные копии:
- база данных;
- файл wp-config;
- файл htaccess
Делается это на первой странице настройки плагина All In One WP Security.
Сделайте бэкап (резервную копию) перед началом работы
Пройдусь только по самым важным пунктам.
пункты настройки плагина all in one wp security
Панель управления
Тут нас встречает счетчик “Измеритель безопасности”. Он показывает уровень защиты сайта. Ваш сайт должен быть как минимум в зеленой зоне. Не надо гнаться за максимальной планкой – лишние настройки могут нарушить функционал сайта. Добейтесь золотой середины.
Счетчик защиты сайта на wordpress
Когда вы будете изменять настройки защиты плагина, то увидете в каждом пункте зелёный щит с цифрами – это и есть те цифры которые прибавляются к общему счету безопасности.
цифра прибавляется к общему счету безопасности
Настройки
Вкладка WP Version Info
Чекаем галочку Удаление метаданных WP Generator.
Удаление метаданных WP Generator
Делается это для того, чтобы в коде не отображалась установленная у вас версия движка WordPress. Злоумышленники знают в какой версии есть уязвимости, и зная установленную у вас версию ВордПресса смогут быстрее взломать ваш сайт.
Администраторы
Пользовательское имя WP
Если у вас логин для входа в админку admin, то обязательно меняем его. Admin это самый популярный логин. Многие ЦМСки предлагают его по умолчанию, а людям просто лень его менять.
Злоумышленники используют различные программы для взлома сайтов. Эти программы подбирают логины и пароли пока не найдут подходящую комбинацию.
Поэтому не используйте логин admin.
Отображаемое имя
Если ваш ник совпадает с логином, то обязательно меняем логин или ник.
Пароль
Если ввести тут свой пароль, то плагин покажет за какое время можно взломать ваш сайт.
Рекомендации по усилению надёжности пароля:
- Пароль должен состоять из букв и цифр
- Используйте строчные и прописанные буквы
- Не используйте короткие пароли (минимум 6 символов)
- Желательно наличие в пароле спецсимволов (% # _ * @ $ и подробных)
Сложность пароля
Авторизация
вкладка Блокировка авторизаций
Обязательно включаем. Если в течении 5 минут кто-то неправильно введёт пароль 3 раза, то IP заблокируется на 60 минут. Можно поставить и больше, но лучше этого не делать. Может случится так, что вы сами неправильно введёте пароль и будете потом ждать месяцы или даже годы:)
Отмечаем галочку “Сразу заблокировать неверные пользовательские имена”.
Допустим ваш логин hozyainsayta, и если кто-то введёт другой логин (например login), то его IP адрес автоматически заблокируется.
опции блокировки авторизации
Автоматическое разлогинивание пользователей
Ставим галочку. Если вы зайдёте в админку сайта с другого компьютера и забудете выйти из админки, то через указанный промежуток времени система сама вас разлогинит.
Я ставлю 1440 минут (это 24 часа).
Опции автоматического разлогинивания пользователей
Регистрация пользователей
Подтверждение вручную
Чекаем “Активировать ручное одобрение новых регистраций”
Ручное одобрение новых регистраций
CAPTCHA при регистрации
Тоже ставим галочку. Это отсекает попытки зарегистрироваться боту-роботу, так как роботы не справляются с капчей.
Registration Honeypot (бочка мёда)
Отмечаем. И не оставляем роботам не единого шанса. Эта настройка создает дополнительное невидимое поле (типа Введите сюда текст). Это поле видят только роботы. Так как они автоматически заполняют все поля, то и в это поле что-то напишут. Система автоматически блокирует те попытки регистрации у которых будет заполнено это поле.
Защита базы данных
Префикс таблиц БД
Если ваш сайт существует уже достаточно давно и на нем много информации, то изменять префикс базы данных следует с максимальной осторожностью
обязательно сделайте резервную копию БД
Если вы только что создали свой сайт, то можете смело менять префикс.
Префикс таблиц Базы данных
Резервное копирование базы данных
Включаем автоматическое создание бэкапов.
Выбираем частоту создание резервных копий.
И количество файлов с этими резервными копиями, которые будут храниться. Потом они начнут перезаписывается.
Если вы хотите, чтобы эти файлы дополнительно посылались на вашу электронную почту, то отмечаем соответствующую галочку. У меня для этих целей в почтовом ящике заведена отдельная папка, туда пересылаются все бекапы (моих и клиентских сайтов).
Настройки резервного копирования Базы данных
Защита файловой системы
Тут меняем права доступа к файлам, чтобы все было зелёным.
Редактирование файлов php
Ставим в том случае, если вы не редактируете файлы через админку. Вообще вносить какие либо изменения в файлы нужно через программы ftp-менеджеры (типо файлзилла). Так в случае какого либо “косяка” всегда можно отменить предыдущее действие.
Запрещаем доступ. Этим действием мы сможем скрыть важную для хакеров информацию.
Черный список
Если у вас уже есть IP адреса которым вы хотите запретить доступ к сайту, то включайте эту опцию.
Блокировка пользователей по IP
Файрволл
Базовые правила файрволла.
Файрволл и брандмауэр это программный комплекс представляющий собой фильтр несанкционированного трафика.
Эти правила вносятся в файл.htaccess, поэтому сначала делаем его резервную копию.
Теперь можно проставить нужные галочки:
Активировать основные функции брандмауэра
Защита от уязвимости XMLRPC и Pingback WordPress
Блокировать доступ к debug.log
Дополнительные правила файрволла
На этой вкладке отмечаем следующие галочки:
- Отключить возможность просмотра директорий
- Отключить HTTP-трассировку
- Запретить комментарии через прокси
- Запретить вредоносные строки в запросах (Может нарушить функциональность других плагинов)
- Активировать дополнительную фильтрацию символов (Тоже действуем с осторожностью, надо смотреть как влияет на работоспособность сайта)
- У каждого пункта есть кнопка “+ Подробнее” там вы можете почитать подробно про каждую опцию.
6G Blacklist Firewall Rules
Отмечаем оба пункта. Это проверенный список правил который дает плагин для безопасности wordpress сайта.
Настройки файрволла (брандмауэра)
Интернет-боты
Могут появиться проблемы с индексацией сайта. Я данную опцию не включаю.
Предотвратить хотлинки
Ставим галочку. Что-бы изображения с вашего сайта не показывались на других сайтах по прямой ссылке. Эта функция снижает нагрузку с сервера.
Детектирование 404
Ошибка 404 (такой страницы нет) появляется при ошибочном вводе адреса страницы. Хакеры перебором пытаются найти страницы с уязвимостями и поэтому вводят много несуществующих урлов в короткий промежуток времени.
Такие попытки взлома будут заноситься в таблицу на этой странице и чекнув галочку – вы сможете блокировать их IP адреса на указанное время.
Настройки отслеживания ошибок 404
Защита от брутфорс-атак
По умолчанию у всех сайтов на Вордпрессе одинаковый адрес страницы авторизации. И поэтому злоумышленники точно знают где начать взламывать сайт.
Эта опция позволяет изменить адрес этой страницы. Это очень хорошая защита wordpress сайта. Обязательно меняем адрес. Я эту галочку не отметил, потому-что мой автоматически изменил мне эту страницу во время установки системы.
Защита от брутфорс-атак с помощью куки
Я не стал включать эту настройку, так как есть вероятность блокировки самого себя при входе с разных устройств.
CAPTCHA на логин
Если на вашем сайте много пользователей или у вас интернет-магазин, то можете включать Капчу при авторизации во всех пунктах.
Защита капчей при авторизации
Белый список для логина
Заходите в админку только с домашнего компа и вы единственный пользователь своего сайта? Тогда впишите свой АйПи адрес и всем остальным доступ к странице авторизации будет закрыт.
