Плагин iThemes Security. Лучший способ защиты WordPress

Классный плагин для защиты вашего сайта/блога от злоумышленников. Многофункциональный, масса настроек. Практически не имеет аналогов. Обязательно поставьте. Ниже рассмотрим описание и настройку всех бесплатных возможностей плагина.

Плагин iThemes Security. Лучший способ защиты WordPress

Security Check

Сканирование настроек безопасности. Вам будут показаны настройки, которые необходимо срочно поменять. Должно быть вот так. Все зеленое.

Security Check

Основные настройки

Здесь нам предстоит настроить базовые настройки безопасности нашего wordpress-сайта. Здесь речь идет о блокировки неудачных попыток входа в систему.

  • Вносить изменения в файлы. Оставляем пункт включенным, чтобы плагин записывал правила безопасности в файлы «wp-config.php» и «.htaccess».
  • Email с уведомлением. Адрес(а) электронной почты, куда будут отправлены все уведомления безопасности. Можно указать несколько адресов по одному в строке.
  • Отправлять Email с кратким обзором. Рекомендую поставить, так как в период атак вас может засыпать сообщениями.
  • Email для отправки резервной копии. Укажите почтовые адреса для отправки резервной копии БД.
  • Сообщение при блокировке хоста. Сообщение будет отображаться, когда компьютер (хост) был заблокирован. Можете оставить значение по умолчанию «ошибка».
  • Сообщение при блокировке пользователя. Сообщение для отображения пользователю, когда его аккаунт был заблокирован.
  • Сообщение заблокированному сообществу. Сообщение, которое будет выдаваться заблокированному ip-адресу.
  • Черный список рецидивистов. Рекомендую включить флажок, чтобы после указанного ниже количества блокировок, ip-адрес атакующего заносился в черный список навсегда.
  • Порог черного списка. Трех блокировок будет вполне достаточно. Потом поменяете значение, если захотите.
  • Черный список контрольного периода. Количество блокировок из «порога черного списка» должны быть выполнены в течении указанного количества дней, затем они не учитываются. Короче, оставьте семь дней по умолчанию.
  • Период блокировки. При достижении заданного количества неверных логинов/паролей, пользователь будет заблокирован на данное время. Оставьте по умолчанию 15 минут.
  • Белый список блокировки. Здесь можете добавить белые айпи-адреса, которые никогда не будут блокироваться. Рекомендуется указать свои ip, чтобы вас случайно не заблочили.
  • Уведомление о блокировке по Email. Включить Email уведомления блокировки учетных записей.
  • Тип журнала событий. Можете оставить по умолчанию хранение логов в БД, но если у вас большой посещаемый сайт, то рекомендуется хранить логи в файле.
  • Сколько дней хранить журналы базы данных. Данная настройка будет работать только для логов, хранимых в БД. Если у вас выбрано хранение в файлах, то у вас чиститься данные автоматически не будут. Но будут сменяться при достижении файлом 10MB.
  • Путь до лог файлов. Оставьте значение по умолчанию.
  • Разрешить отслеживание данных. Если вы доверяете разработчикам данного плагина — можете включить анонимное отслеживание данных. Ну это как с антивирусами.
  • Отключить Блокирование файла. Включение этой опции позволит предотвратить ошибки, связанные с файлом блокировки, однако, может привести к тому, что операции будут выполняться два раза. Разработчики плагина не рекомендуют ставить галочку на данной опции.
  • Отключить обнаружение прокси. Если вы не используете сервис прокси, такой как Varnish, Cloudflare или другой, то разработчики рекомендуют не отключать данную функцию, так как она может привести к более точному определению IP.
  • Скрыть меню безопасности в админ панели. Можете скрыть можете оставить. По умолчанию в верхней панели показывается менюшка плагина.
  • Show Error Codes. Каждое сообщение об ошибке в безопасности iThemes имеет соответствующий код ошибки, который может помочь диагностировать проблему. Изменение этого параметра на «да» приведет к отображению данных кодов. В общем оставьте нет.

Отслеживание ошибки 404

Смысл этого раздела в том, чтобы выявлять пользователей, получающих большое количество ошибок 404, то есть открывающих несуществующие страницы. Предполагается, что такие пользователи пользуются сканерами по поиску уязвимостей и что их необходимо блокировать. Даже если они ничего не найдут, то сильно нагрузят сервер. И если у вас хостинг с ограниченным процессорным временем, то одно такое сканирование может вызвать его перегрузку. При частых перегрузках ваш сайт могут отключить. Отчет об ошибках доступен на странице журналов.

  • Сколько минут хранить информацию об ошибках 404 (проверочное время). Сколько минут должна храниться информация об ошибке 404 для учета с возможностью последующей блокировки.
  • Порог ошибки. Количество ошибок (в течение проверочного периода), запускающее блокировку. Поставьте ноль (0), чтобы записывать ошибки 404, не блокируя пользователей. Это может быть полезно для разрешения проблем с контентом и других ошибок. Значение по умолчанию — 20.
  • Белый список файлов и папок для ошибки 404. Здесь следует указать общедоступные файлы, к которым могут часто обращаться, но которых нет или может не быть. К примеру, если у вас нет роботса, то поисковики будут постоянного его искать и как результат поисковые пауки могут быть забанены. По умолчанию уже составлен список. Со временем можно будет его дополнить.
  • Игнорировать типы файлов. Здесь следует указать расширения файлов, отсутствие которых не приведет к блокировки. В первую очередь следует указать все используемые на сайте расширения изображений. Но в журнал такие ошибки будут прописаны.

Режим «Нет на месте»

Так, как большинство сайтов обновляются только в определенное время дня, то не всегда необходимо иметь доступ к консоли WordPress 24 часа в сутки, 7 дней в неделю. Параметры, приведенные ниже позволят вам отключить доступ к консоли WordPress в указанное время.

  • Тип ограничения доступа. Можно выбрать одноразовое ограничение, указав дату/время начала и дату/время окончания действия ограничения. Этот вариант может быть полезен, когда вы уезжаете в отпуск или отлучаетесь по каким-то делам на несколько дней. Вариант «Сутки» будет полезно при ограничении по времени каждый день. К примеру, когда вы работаете на офлайн работе или когда спите.

Заблокированные пользователи

Любому IP-адресу или значению User-Agent, указному в списке ниже, будет отказано в доступе к вашему сайту. В данном разделе вы можете заблокировать напрямую неугодных вам пользователей.

  • Черный список по умолчанию. Поставив галочку, вы заблокируете черный список айпи-адресов, которые подобрал разработчик данного плагина.
  • Ban Lists. Поставьте галочку, чтобы список адресов, указанных ниже, действовал.
  • Запретить доступ хостам. Здесь укажите список ip-адресов, которым вы запрещаете доступ к вашему сайту. Они будут видеть изображение ниже. Каждый адрес должен начинаться с новой строки.
  • Запретить доступ клиентским приложениям (User agent). Здесь можете запретить по юзер-агенту доступ каких-нибудь роботов, пользователей с определенных браузеров и пр.

Заблокированные пользователи

Local Brute Force Protection

Здесь можно указать правила блокировок пользователей, подбирающих пароль в админку сайта. Можете оставить значения по умолчанию, потом поменяете.

  • Максимальное количество попыток входа для одного хоста. Сколько попыток входа может сделать пользователь, прежде чем его хост или компьютер будут заблокированы системой. Поставьте 0, чтобы вести учет неудачных попыток входа без блокировки хоста.
  • Максимальное количество попыток входа для одного пользователя. Количество попыток входа пользователя, прежде чем логин пользователя будет заблокирован системой.
  • Сколько минут хранить информацию о неудачной попытке входа (период проверки). То есть блокировка хоста или логина пользователя будет происходить в случае, если количество неудачных попыток, указанных выше, произойдет в указанный здесь промежуток времени.
  • Автоматически запретить пользователя «admin». Можно поставить галочку, только предварительно убедитесь, что вы сами не авторизуетесь под админом.

Резервные копии базы данных

Если что-то пойдет не так, вы сможете вернуть свой сайт, восстановив базу данных из резервной копии и заменив файлы новыми.

  • Резервная копия всей базы данных. Если установить этот флажок, скрипт резервного копирования будет создавать резервную копию всех таблиц в вашей базе данных, даже если они не являются частью этого сайта на WordPress. Поставьте тут галочку, чтобы быть уверенным, что создаться копия всей базы.
  • Способ хранения резервной копии. Выберите способ хранения резервных копий. Вы можете выбрать отправку на Email, локальное сохранение или оба способа сразу. Я поставил «только на Email».
  • Количество резервных копий. Это значение следует выставлять, если вы выбрали в предыдущем пункте локальное хранение. В таком случае выберите, к примеру, 3 копии. Много не ставьте, чтобы не загромождать место на сервере.
  • Сжимать файлы резервных копий. Поставьте галочку в целях экономии места, так как базы очень хорошо сжимаются.
  • Исключить таблицы. Здесь можно исключить таблицы для резервного копирования. К примеру, таблицы с ведением логов или какой-нибудь статистики.
  • Создать расписание резервного копирования базы данных. Можно оставить значение по умолчанию в три дня. Если вы паникер — поставьте значение в один день.

Обнаружение изменений файлов

Нажмите на кнопку ниже, чтобы просканировать файлы сайта на предмет изменений. Если изменения будут найдены, вы будете перенаправлены на страницу журнала событий для просмотра детальной информации. Это необходимо для того, чтобы найти подобные файлы, изучить их. Возможно злоумышленник смог вписать вредоносный код или залить шелл.

Обнаружение изменений файлов

  • Разделить сканирование файла. Разбивает проверку файлов на 7 этапов (плагины, темы, wp-admin, wp-includes, папка uploads, прочая часть папки wp-content и все, что еще осталось) и распределяет их равномерно по времени на день. Это может привести к росту числа оповещений, но позволит сканировать большие сайты даже на маломощных хостингах.
  • Включить/Исключить файлы и папки. Нужная функция. Если вы используете плагин кеширования, то обязательно исключите папку с кешем. До этого использовал плагин belavir, который просто задрал простынями сообщений об изменении файлов. В основном это изменение в кеше.
  • Список файлов и папок. Укажите файлы и папки, которые будут включаться или исключаться из сканирования, в зависимости от выбранного варианта выше.
  • Игнорирование типов файлов. Так как атака ведется в основном на файлы с кодом, то здесь можно указать, а вернее оставить значения по умолчанию: картинок, логов, файлов переводов.
  • Сообщение на E-mail об изменениях файлов. Уведомления будут отправлены по всем эл. адресам, указанным на странице основных настроек в пункте \»Адреса для уведомлений\».
  • Показать Администратору предупреждение об изменении файлов. Отключите эту функцию, если не хотите, чтобы уведомление об измененных файлах выводилось на панели управления WordPress для администратора сайта. Внимание: если вы отключите и вывод сообщения об ошибке, и уведомление по эл. почте, вы не будете оповещены об измененных файлах. В этом случае вы сможете узнать об изменениях в файлах, только если самостоятельно просмотрите журнал событий.

File Permissions

Здесь будут показаны разрешения на доступ к файлам. Если вы только начали настраивать данный плагин, то пока ничего не предпринимайте, даже если увидите предупреждения такого плана.

File Permissions

Позже разберетесь с этим. В идеале статусы должны быть все зеленые и картина должна выглядеть следующим образом.

File Permissions

Network Brute Force Protection

Сравнение сетевой и местной защиты от атаки полным перебором. Местная защита от атаки полным перебором принимает во внимание только попытки получить доступ к вашему сайту и запрещает доступ пользователям в соответствии с правилом блокировок, установленном на сайте. Сетевая защита от атак полным перебором идет на шаг дальше и запрещает доступ к сайту пользователям, которые совершали попытки взломать вход на другие сайты. Сетевая защита автоматически сообщает iThemes IP-адреса неудачных попыток входа и блокирует их на промежуток времени необходимый для того, чтобы защитить ваш сайт, в зависимости от количества других сайтов, подвергшихся схожей атаке.

  • Email. Чтобы начала работать данная защита, для начала укажите вашу почту, чтобы создать сайт с API-ключом.
  • Receive Email Updates. Поставьте галочку, если хотите получать обновления по электронной почте о безопасности WordPress от iThemes.

И сразу же пришел на почту API-ключ. Делать вам ничего не нужно. Просто вас оповестили, что он сформирован для вашего сайта.

Network Brute Force Protection

SSL

Хоть и плагин позволяет использование SSL, вы не сможете этого сделать, пока не приобретете соответствующий сертификат. Свяжитесь с вашим хостинг-провайдером для активации HTTPS-соединения на вашем сайте на WordPress. В первую очередь протокол необходим для интернет-магазинов и сайтов передающих конфиденциальную информацию.

Ни в коем случае не активируйте SSL, если не имеете сертификата, и ваш хостинг не поддерживает данную технологию для клиентских сайтов. Иначе сайт, страница входа в админку или сама админка (в зависимости от выбранных настроек) станут не доступны.

Strong Password Enforcement

Здесь вы можете заставить пользователей использовать надежные пароли согласно рейтингу WordPress в индикации пароля.

  • Выберите роль для надежных паролей. Минимальная роль пользователя, для которой необходимо выбирать сложный пароль. Если у вас открыта свободная регистрация, то имейте ввиду, что эти заморочки со сложными паролями будут сильно раздражать пользователей низкого уровня.

Тонкая подстройка системы

Это расширенные настройки для еще большей защиты вашего сайта. Внимание: эти настройки находятся в разделе расширенных, потому что они блокируют распространенные формы атак, однако, могут также заблокировать работу некоторых плагинов и тем, которые используют те же технологии. Активировать перечисленные ниже настройки лучше всего по очереди и после включения каждой настройки проверять, что все элементы сайта работают, как положено. Не забывайте, что некоторые из этих настроек могут конфликтовать с плагинами и темами, поэтому проверяйте ваш сайт после включения каждой настройки.

  • Системные файлы. Защита системных файлов. Предотвратить свободный доступ к файлам readme.html, readme.txt, wp-config.php, install.php, wp-includes и .htaccess. Эти файлы не нужны пользователям Интернета после того, как WordPress был успешно установлен и настроен. Они могут раскрывать важную информацию о вашем сайте.
  • Просмотр каталогов. Не показывать посетителям список файлов в папках если там нет индексного файла. Полезная возможность, чтобы никто не шарился в списках ваших изображений или других файлов.
  • Отсеивать методы запроса. Запрет на запросы TRACE, DELETE, TRACK.
  • Подозрительные строки запроса. Такие запросы часто сигнализируют о том, что кто-то пытается получить доступ к вашему сайту, однако, при включении этой функции некоторые плагины и темы могут быть заблокированы. Поставьте галочку для обнаружения подозрительных запросов в URL.
  • Неанглийские символы. Фильтровать нелатинские символы из строки запроса. Не нужно использовать эту настройку на сайтах, которые используют не только английский язык. Будет работать только при включении «Фильтровать подозрительные запросы».
  • Длинные строки URL. Запрет на использование адреса длиннее 255 символов.
  • Права на запись в свойствах файла. Не дает скриптам и пользователям вносить изменения в файлы wp-config.php и .htaccess. Имейте в виду, этот плагин и многие другие плагины могут обходить данный запрет, тем не менее, это повышает уровень защиты файлов.
  • PHP in Uploads. Функция запрещает работу скриптам в папке uploads.
  • PHP in Plugins. Отключить выполнение PHP в папке плагинов. Функция блокирует запросы к PHP-файлах внутри директории плагина, которые могут быть использованы злоумышленниками.
  • PHP in Themes. Научимся отключать выполнение (или исполнение) PHP в каталоге-директории шаблона сайта. Очень важная штука, которая отрубит запросы к исполнению php в файлах внутри шаблона.

Подстройка WordPress

Это расширенные настройки для еще большей защиты вашего сайта. Внимание: эти настройки находятся в разделе расширенных, потому что они блокируют распространенные формы атак, однако, могут также заблокировать работу некоторых плагинов и тем, которые используют те же технологии. Необходимо активировать перечисленные ниже настройки по очереди и после включения каждой настройки проверять, что все элементы сайта работают, как положено.

  • Ссылка для Windows Live Writer. Ссылка для подключения Windows Live Writer не нужна вам, если вы не используете редактор блогов Windows Live или другие клиентские приложения, которым для работы необходим этот файл.
  • Ссылка EditURI. Убирает RSD (Really Simple Discovery) из заголовка. Если вы не интегрировали блог с внешними XML-RPC сервисами, например Flickr, то скорее всего «RSD» Вам не нужно.
  • Спам в комментариях. Эта функция уменьшает спам в комментариях, отклоняя комментарии от ботов без реферера или без пользовательского агента.
  • Редактор файлов. После включения этой функции вы не сможете редактировать файлы темы и другие файлы в панели управления WordPress, для изменения файлов вам придется использовать другие инструменты.
  • XML-RPC. Отключайте. Я уже писал о проблема которая у меня была из-за этого API.
  • Множественные попытки авторизации запросом XML-RPC. Блокирует XML-RPC запросы с множественными попытками авторизации. Очень рекомендуется.
  • REST API. API-интерфейс rest предоставляет способ для разработчиков, чтобы вытащить дополнительную информацию из сайта.
  • Заменить jQuery безопасной версией. Удалить существующую версию jQuery и заменить ее безопасной версией (версией, которая по умолчанию используется в WordPress).
  • Сообщения при неудачной попытке входа. Пользователь не будет видеть сообщение об ошибке при неудачной попытке войти на сайт.
  • Требовать уникальные ники. Требование задавать уникальный ник (отличный от имени пользователя) при создании или редактировании профиля не даст ботам и взломщикам возможность с легкостью находить имена пользователей в исходном коде или на странице автора. Однако, включение этой функции не позволит автоматически изменить настройки уже существующих аккаунтов, потому что это привело бы к изменению адресов фидов для архивов авторов, если таковые используются.
  • Отключает дополнительные пользовательские архивы. Если вы отключите архивы записей для пользователей, которые не создают записи на вашем сайте, ботам будет сложнее узнать имена пользователей.
  • Protect Against Tabnapping. Включение этой функции поможет защитить посетителей этого сайта (в том числе зарегистрированных пользователей) от фишинг-атак на связанных сайтах.

WordPress Соли

В файле wp-config.php есть ряд констант содержащих уникальные наборы символов, которые добавляются при регистрации и аутентификации пользователя и усложняют возможность взлома его аккаунта. Замените их значение на уникальные, если же нет желания придумывать самостоятельно, воспользуйтесь специальным сервисом от разработчиков https://api.wordpress.org/secret-key/1.1/salt/

Оценить статью

Плагин iThemes Security. Лучший способ защиты WordPress
5 (100%) 1 голос[ов]

Оставить отзыв

Please Login to comment
Войти с помощью: 
  Подписка  
Подписка