post
Бесплатная школа YouTube 3.0

Продолжаем разговор о комплексной безопасности сайта на WordPress и о плагине Better WP Security.

В прошлой статье мы рассмотрели основные настройки плагина Better WP Security. Сейчас рассмотрим дополнительные настройки, которые не столь важны, и Вы можете включить их по желанию.

Во-первых можно сделать административную панель сайта доступной только в определенное время:

8. Доступность админки 24 часа 7 дней в неделю.

Вкладка Away

Открываем восьмой пункт чек-листа безопасности и видим такую страницу:

better wp security дополнительные настройки

Можете включить опцию «Enable Away mode» — включить режим отсутствия. Данный режим позволяет отключать доступ к административной панели сайта в определенное время. Например, Вы можете отключить доступ к админке ночью. Можно установить опцию «Daily» — режим будет включаться каждый день по заданным настройкам.

Внимание: включив опцию «Enable Away mode», вы и любой другой администратор/редактор сайта не сможет попасть в админку сайта в указанный в настройках промежуток времени!

Примечание: проверьте настройку часовых поясов Вашего сайта. Для этого в даминке WordPress зайдите в «Параметры» --> «Общие» --> «Часовой пояс». Тут же проверьте «Местное время». Плагин ориентируется на указанное в этих настройках время и если часовой пояс выбран неправильно, то админка будет заблокирована в неудобные для Вас интервалы времени.

 11. Ваша WordPress админка не скрыта.

Вкладка Hide

Этот пункт позволяет скрыть адрес вашей админки. При этом вход в админ. панель не будет доступен по адресу вида:

http://maxtop.org/wp-admin/ или http://maxtop.org/wp-login/

Важно: необходимо включить WordPress permalinks для использования этой функции. Они включаются в настройках WordPress в пункте «Настройки постоянных ссылок» — укажите, например, «Название записи».

После включения постоянных ссылок Вы увидите панель изменения адреса админки:

скрыть адрес админки wordpress

В текстовых полях укажите новые адреса для административного и пользовательского входа, сохраните изменения.

  • Login slug позволяет изменить адрес входа не-администраторов (простых юзеров),
  • Admin slug — адрес входа в панель администрирования для админов,
  • Register slug — адрес ссылки регистрации пользователей.

Например, стандартная ссылка для авторизации администратора имеет вид http://maxtop.org/wp-admin/

Если мы В поле ввода Admin slug напишем administrator, то ссылка входа на сайт для админов станет http://maxtop.org/administrator/

14. Your installation is not actively looking for changed files.

Вкладка Detect --> File Change Detection

Отслеживание измененных файлов с помощью плагина Better WP Security. Эта настройка позволяет вести логи измененных файлов на сервере. Включайте ее только только если понимаете, какие изменения опасны, а какие нет (обновление кеш-файлов, к примеру).

Будьте внимательны, далеко не все изменения файлов являются вторжением на сайт. Например, Вы сами можете обновить плагины, добавить или удалить медиа-контент, очистить кеш. Все эти изменения будут в логе плагина Better WP Security.

20. You should rename the wp-content directory of your site.

Вкладка Tweaks --> Другие хитрости

Эта настройка позволяет изменять имя папки wp-content, чтобы злоумышленник не смог так просто найти Вашу папку контента.

изменить имя папки wp-content

Во-первых, эта опция небезопасна. особенно для сайтов, имеющих множество плагинов и сложные настраиваемые темы оформления. При изменении имени папки wp-content плагины и темы могут получать ошибочные адреса при подключении скриптов и других действиях — это может привести к некорректной работе сайта.

Не советую включать данную опцию на «живом» работающем сайте.

Лучше всего сделать бекап сайта, развернуть его на локальном сервере Denwer (как это сделать — читайте: 1) сделать бекап, 2) локальный сервер Denwer)

Даже когда все проверили и все работает — не забудьте сделать бекап сайта — всех файлов и базы данных перед изменением имени папки wp-content.

Мы рассмотрели дополнительные настройки плагина Better WP Security.

21. You are not requiring a secure connection for logins or for the admin area.

Вкладка SSL

Позволяет включить защищенное соединение с админкой — посредством использования шифрования, SSL. Нужно ли включать эту опцию?

SSL (Secure Sockets Layer) — криптографический протокол, который обеспечивает безопасность связи сервера и клиента.Протокол SSL позволяет общаться клиенту с сервером в сети, предотвращая перехват или фальсификацию передаваемых данных.

Во-первых, не все хостинги и не все тарифные планы позволяют использовать услугу шифрования трафика. Поэтому проконсультируйтесь с поддержкой Вашего хостинга.

Во-вторых, даже если такая опция поддерживается, ее нужно включить в панели управления хостинга (как это сделать — тоже спросите техподдержку).

В большинстве случаев шифрование не требуется. Включайте только по личным убеждениям и наличии поддержки протокола Вашим хостингом.

Бесплатная школа YouTube 3.0

Поделитесь этой записью с друзьями, буду благодарен!

18 thoughts on “Better WP Security. Дополнительные настройки

  1. Здравствуйте!

    Замечательные статьи!

    У меня вопрос: при попытке сменить адрес входа в админку для администратора в Admin slug. При этом на втором браузере вход в админку продолжается по адресу site/wp.admin

    И можно поподробнее про Backend? Гуглил, но не понял ((ъ

    С уважением,

    Андрей

    • После смены адреса админки разлогиньтесь во всех браузерах и почистите кеш.

      Если Вы авторизовались на сайте, то админка доступна по адресу site/wp-admin

      Скажите, пожалуйста, что именно хотите уточнить про Backend?

      • Ну вот как сделать так, чтобы адреса страниц сайта (а их много и на эти страницы ссылается много сайтов. Например есть страница site.ru/?p=6117

        При смене постоянных ссылок страница меняет адрес, например, на site.ru/2013/11/13/sample-post/

        или

        site.ru/sample-post/

        Что я делаю неправильно? Как надо менять постоянные ссылки?

  2. Ну вот как сделать так, чтобы адреса страниц сайта (а их много и на эти страницы ссылается много сайтов) оставались неизменными?. Например у меня на сайте есть страница site.ru/?p=6117

    При смене постоянных ссылок эта страница меняет адрес, например, на site.ru/2013/11/13/sample-post/

    или

    site.ru/sample-post/

    Что я делаю неправильно? Как надо менять постоянные ссылки?

    • Очень не рекомендую изменять уже проиндексированные адреса ссылок — Ваш сайт потеряет позиции в поиске и может потерять ссылочную массу. При изменении настроек постоянных ссылок будут изменены существующие ссылки, это так. Поэтому не рекомендую что-то здесь менять.

      • То есть сменить адрес админки иным способом нельзя?

      • Вы пишете про постоянные ссылки, а теперь задаете вопрос по адресу админки. Они же никак не связаны между собой. Поясните, пожалуйста, что Вы имеете в виду?

    • Так. Теперь уточните: если Вы меняете адрес админки — у Вас изменяются еще и ссылки страниц сайта?

  3. Вы не поняли. Чтобы изменить адрес админки (согласно информации на Вашем сайте), надо:

    включить WordPress permalinks для использования этой функции. Они включаются в настройках WordPress в пункте «Настройки постоянных ссылок» — укажите, например, «Название записи».

    Про пермалинкс у меня в настройках постоянных ссылок ни слова, зато масса вариантов изменения вида адреса страниц

    • Проверьте, в Вашем файле .htaccess включен ли mod rewrite?

      RewriteEngine On

      RewriteBase /

      RewriteRule ^index\.php$ — [L]

      RewriteCond %{REQUEST_FILENAME} !-f

      RewriteCond %{REQUEST_FILENAME} !-d

      RewriteRule . /index.php [L]

  4. После обновдления на последнию Версию 4.0.5 теперь не работает поиск когда пишешь кирилицей и выдаёт ффорбиден((( когда латиницей всё норм. Подскажите в чём именно приична, понятно что в плагине, но не хочу от него избавляться, может какой функционал отключить?

    • Зайдите в раздел «Settings» (Настройки) и там в System Tweaks (прокрутите страницу вниз). Найдите чекбокс «Non-English Characters» и снимите с него галочку. Поиск будет работать.

  5. Здравствуйте Денис. Если знаете, подскажите, что нужно делать? После последнего обновления better-wp-security меня выкинуло из админки сайта и перестало вообще туда пускать. Набираю в админке логин-пароль, а меня выводит на основную страницу сайта. На хостинге посоветовали изменить название директории плагина better-wp-security, что я успешно сделал через FTP и тогда вошел в админку. Естественно этот плагин оказался деактивированным — «Плагин better-wp-security/better-wp-security.php был деактивирован из-за ошибки: Файл плагина не найден.» Что делать дальше? Жалко остаться без такого плагина. Почему его обновление привело к такому результату, что охранник перестал пускать хозяина?

    • Здравствуйте, Андрей!

      Вероятно, ошибка связана с тем, что некоторые параметры плагина не работают на вашем хостинге. Нужно искать те параметры, возле которых стоит отметка «Может вызвать проблемы на вашем хостинге».

      Попробуйте удалить плагин и затем установить его снова и последовательно настроить.

  6. По FTP я полностью удалил плагин с хоста. Начал устанавливать по-новой, но нашел поиском в WordPress только iThemes Security (formerly Better WP Security) — это он? Настройки такие же?

    • Да, плагин этот. Его просто переименовали, чем внесли путаницу. Настройки такие же, только интерфейс изменился. Придется писать новую статью-обзор)

  7. Попробую сделать, если не получится, обращусь к Вам за помощью. Спасибо.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *