iThemes Security = Better WP Security — это плагин комплексной безопасности WordPress. Он представляет собой чек-лист возможных уязвимостей сайта с отображением проблем в защите сайта. Поговорим об оптимальных настройках плагина.
Установка iThemes Security (Better WP Security).
Не будем подробно останавливаться на установке плагина. Для этого достаточно в админ. панели WordPress перейти в «Плагины» --> «Добавить новый» --> в строку поиска вписать --> «Better WP Security» и нажать «Поиск плагинов». Далее нажимаете кнопку «Установить» и затем «Активировать плагин».
Переходим к настройкам плагина: стоит отметить настройки первостепенной важности и менее значимые параметры, а также безопасные настройки и настройки, которые могут в теории нарушить работу сайта.
Настройка iThemes Security (Better WP Security).
Первостепенные настройки плагина Better WP Security.
Мы установили и активировали плагин. Теперь слева в административном меню у нас появилась кнопка «Безопасность».
Нажимаем на эту кнопку и видим вот это:
Плагин Better WP Security предлагает нам создать резервную копию базы данных. Нажимаем «Создать резервную копию базы».
Также рекомендую Вам выполнить резервное копирование с помощью специализированного плагина — прочтите статью. Полный бекап сайта тут точно не помешает.
После выполнения резервного копирования возвращаемся к плагину защиты WordPress Better WP Security и видим такое окно:
Нам предлагают «Защитить мой сайт от базовых атак». Это безопасная опция и при нажатии данной кнопки Вы не рискуете что-либо нарушить в работе сайта. Потому давайте нажмем кнопку «Защитить мой сайт от базовых атак».
Better WP Security — Статус системы.
После этого нам отображают чек-лист безопасности нашего сайта, вот такая картина будет для только что установленного сайта на WordPress:
Мы видим, что многие пункты из этого чек-листа требуют исправления. Но не все пункты можно безопасно исправить, требуется индивидуальный подход.
Вверху страницы Вы видите вкладки: Dashboard, Пользователь, Away, Ban, Dir, Backup, Prefix, Hide, Detect, Login, SSL, Tweaks, Logs.
Все настройки сгруппированы по этим вкладкам. Далее мы подробно рассмотрим каждый пункт настройки.
Какие пункты можно исправить без риска испортить сайт?
1. Вы не применяете надежные пароли.
Вкладка Tweaks --> Strong Password Tweaks
Первый пункт сообщает нам о том, что необходимо использовать надежные пароли. Нажимаем исправить:
Суть этого твика в том, что вы указываете группу пользователей, начиная с которой требуется использовать сильные пароли (много символов, разного регистра, включать в пароль цифры и другие символы).
Включение сильных паролей требуется если на сайте несколько пользователей с правами администратора или есть админ и редакторы. Если же Вы один имеете доступ в админ. панель, то просто проверьте Ваш пароль — если он надежный, можете пропустить эту опцию.
2. Your WordPress header is still revealing some information to users.
Вкладка Tweaks --> Header Tweaks
Второй пункт настроек Better WP Security предлагает нам убрать из кода header.php (Заголовка) всю лишнюю информацию. Что там лишнего?
- Мета-тег генератор — сообщает версию системы WordPress, может быть использован злоумышленниками для взлома системы (сбор информации по уязвимостям версии).
- Заголовки Windows Live Writer — он никем почти не используется, смело убираем.
- Заголовки RSD — тоже нам не нужны, отключаем. Эти заголовки нужны только тем, кто добавляет статьи в блог с помощью программ-клиентов для планшетов и мобильных телефонов. Если же вы пишете статьи обычно через браузер — смело удаляйте заголовки RSD.
Выбираем все три чекбокса и сохраняем изменения.
3. Не администраторы могут видеть доступные обновления.
Вкладка Tweaks --> Панель настроек
Этот пункт настроек позволяет запретить отображение доступных обновлений плагинов, тем, системы для не администраторов, имеющих доступ в панель управления (например, для редакторов статей).
4. The admin user still exists.
Вкладка Пользователь
Обычно по умолчанию в системе WordPress администратор имеет логин admin. Это небезопасно, такие админки проще взломать. Нужно изменить имя пользователя администратора. Для этого кликаем на данный пункт настроек Better WP Security.
Вводим новое имя пользователя для администратора и меняем ID.
5. A user with id 1 still exists.
Вкладка Пользователь
ID администратора мы уже изменили — см. чуть выше.
6. Ваш префикс таблиц не должно быть wp_.
Вкладка Prefix
Стандартный префикс таблиц базы данных WordPress wp_. В целях безопасности изменим его. Используйте только латинский алфавит и цифры.
Нажмите на кнопку «Изменить префикс таблиц базы данных» и новый префикс будет сгенерирован автоматически.
Предупреждение гласит: сделайте бекап перед применением настройки префикса базы данных.
7. Вы не планировали регулярного резервного копирования базы данных WordPress.
Вкладка Backup
С помощью этого пункта настроек Better WP Security вы можете задать регулярное автоматическое резервное копирование базы данных.
Отмечаете чекбокс «Включить архивацию по расписанию», устанавливаете интервал и настраиваете отправку бекапов на e-mail.
Примечание: бекап на электронную почту может не приходить, поэтому не полагайтесь на эту опцию. Если резервные копии перестали приходить, зайдите в настройках Better WP Security на вкладку Logs (Логи) и в блоке «Очистить базу данных» отметьте все чекбоксы, затем нажмите кнопку «Удаление данных». Может помочь решить проблему с отправкой бекапов на почту.
Помните: лучше проводить резервное копирование с помощью специальных плагинов. Делайте бекапы перед внесением изменений на сайте, перед обновление и установкой плагинов и после добавления новых статей. Бекапы скачивайте и храните в надежном месте.
Прочтите статью о способах резервного копирования сайта на WordPress.
8. Доступность админки 24 часа 7 дней в неделю.
Вкладка Away
Этот пункт не имеет критического значения — его рассмотрим в статье по дополнительным настройкам.
9. You are not blocking known bad hosts and agents with HackRepair.com's blacklist.
Вкладка Ban
Этот пункт позволяет блокировать хакреские агенты и «плохие» хосты.
Поставьте галочку в чекбокс «Enable Default Banned List» и нажмите кнопку «Add Hosts and Agents Blacklist» и хакерские агенты будут автоматически добавлены в черный список.
Если Вы читали в сети, что плагин добавляет в черный список Яндекс-бота, то на официальном сайте есть информация, что, начиная с версии плагина 3.4.2 Яндекс удален из списка плохих хостов. Проблемы нет, можете проверить в сервисе Яндекс-вебмастер.
10. Ваш логин защищен от перебора / Your login area is not protected from brute force attacks.
Вкладка Login
Необходимо защитить вход в систему от перебора комбинаций логин-пароль. Для этих целей лучше установите капчу (наберите в плагинах добавление нового и поищите captcha).
Мы настроим защиту так, чтобы нельзя было подобрать пароль к админке WordPress — ограничим число попыток входа, включим черный список для защиты от брутфорса и уведомление на e-mail о попытках входа в админку.
Пояснения к параметрам:
- Enable Login Limits — включение лимита попыток входа в админку сайта.
- Max Login Attempts Per Host — максимальное число попыток входа в админку для хоста (IP-адреса).
- Max Login Attempts Per User — максимальное число попыток входа в админку для имени пользователя (логина). Эта опция важна, т.к. хакеры обычно атакуют с множества компьютеров и баном по IP тут не обойтись. Однако если они узнают Ваш настоящий логин админа, то Ваша учетная запись админа может быть временно заблокирована.
- Login Time Period (minutes) — период времени, на который запоминается неверный логин, введенный пользователем.
- Lockout Time Period (minutes) — период времени, на который блокируется доступ к сайту при превышении числа попыток авторизации (ввода пароля и логина)
- Blacklist Repeat Offender — это черный список IP адресов, с которых был достигнут предел попыток входа на сайт.
- Blacklist Threshold — количество временных блокировок IP-адреса, прежде чем занести его в постоянный бан-лист.
- Уведомления по электронной почте — пришлет Вам (админу сайта) на почту уведомление о блокировке хоста или пользователя.
- Адрес электронной почты — тот самый email, куда будут отсылаться письма.
11. Ваша WordPress админка не скрыта.
Вкладка Hide
Этот пункт позволяет скрыть адрес вашей админки, но он не критичен — его рассмотрим в статье по дополнительным настройкам.
Серверные параметры безопасности — Server Tweaks.
12. Your .htaccess file is NOT secured.
Вкладка Tweaks --> Server Tweaks
Этот пункт настроек плагина Better WP Security позволяет защитить файл .htaccess от несанкционированного доступа.
Данные настройки включают такие параметры:
- Защита файлов от несанкционированного доступа
- Отключение листинга директорий (просмотра всех файлов и папок в директории)
- Фильтрация небезопасных запросов в адресной строке
- Фильтрация не латинских символов
Отмечаем все опции и сохраняем настройки.
Активное противодействие хакерам.
13. Your installation is actively blocking attackers trying to scan your site for vulnerabilities.
Вкладка Detect
Данный пункт запрещает хакерам сканировать уязвимости Вашего сайта. При базовой настройке безопасности он уже активирован.
14. Your installation is not actively looking for changed files.
Вкладка Detect --> File Change Detection
Отслеживание измененных файлов. Эта настройка позволяет вести логи измененных файлов на сервере. Включайте ее только только если понимаете, какие изменения опасны, а какие нет (обновление кеш-файлов, к примеру). Подробнее в в статье по дополнительным настройкам.
15. Your installation accepts long (over 255 character) URLS. This can lead to vulnerabilities.
Вкладка Tweaks --> Другие хитрости
Позволяет запретить ссылки длиной более 255 символов. Обычно длинные ссылки используют хакеры для вредоносных действий через адресную строку.
Если Вы думаете «А вдруг у меня будут ссылки длиннее 255 символов»? Посмотрите, вот этот ряд букв «а» как раз 255 знаков:
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
Не думаю, что у Вас будут ссылки такой длины. Потому включайте опцию смело.
16. You are allowing users to edit theme and plugin files from the WordPress backend.
Вкладка Tweaks --> Другие хитрости
Позволяет запретить пользователям редактирование плагинов и тем в админ. панели WordPress.
Если Вы не редактируете темы оформления и плагины через админку — можно активировать данную настройку.
Для этого поставьте галочку у пункта «Отключить редактор файлов в WordPress Back-end».
17. Better WP Security is allowed to write to wp-config.php and .htaccess.
Вкладка Tweaks --> Другие хитрости
Этот пункт задает разрешение плагину Better WP Security на запись в файлах wp-config.php и .htaccess. Если у плагина нет разрешения на запись данных файлов — он не сможет внести полноценно защитить Ваш сайт. Включаем данную опцию.
При базовой защите опция уже активирована.
18. Wp-config.php and .htacess are writeable.
Вкладка Tweaks --> Другие хитрости
Файл конфигурации WordPress — wp-confg.php и файл серверных инструкций .htacess не должны быть доступны на запись (всем кроме плагина Better WP Security), поэтому включим данную опцию.
19. Users may still be able to get version information from various plugins and themes.
Вкладка Tweaks --> Другие хитрости
Говорит о том, что пользователи все еще могут видеть информацию о версиях плагинов и тем.
При включении этого чекбокса пользователям будут отображаться случайные номера версий плагинов и тем.
20. You should rename the wp-content directory of your site.
Вкладка Dir
Эта настройка позволяет изменять имя папки wp-content, однако она не критична — рассмотрим в статье по дополнительным настройкам.
21. You are not requiring a secure connection for logins or for the admin area.
Вкладка SSL
Позволяет включить защищенное соединение с админкой — посредством использования шифрования, SSL.
Поддерживается не всеми серверами. Рассмотрим в статье по дополнительным настройкам.
Поделитесь этой записью с друзьями, буду благодарен!
Всё хорошо, но стандартная настройка защиты блокирует возможность коментариев к товару в woocommerce, подскажите как это исправить?
Подскажите что делать, товарищи. Я выставил SSL галочки безопасного входа в настройках плагина. Сайт на хостинге джино. Теперь не могу войти в админ панель сайта. Пишет страница недоступна. Что это значит и что делать?
Значит хостинг не поддерживает безопасное соединение по ssl. Варианты: 1) восстановить сайт из бекапа, 2) скачать файлы и базу данных, развернуть сайт на хостинге, который поддерживает ssl и отключить опцию, 3) зайти в php MyAdmin и найти там, где задается параметр включения ssl — отключить его.
Здравствуйте! У меня после установки этого плагина и его настройке, пропал визуальный редактор на Вордпрессе...причем когда отключаю плагин все работает и редактор появляется, как только включаю плагин, редактор пропадает...как быть? Какие настройки нужно убрать,чтобы и сайт защитить, и редактор не пропадал? Спасибо.
А визуальный редактор у Вас стандартный или TinyMCE Advanced?
Я не видел, чтобы возникали проблемы с редактором. Попробуйте указанный выше редактор поставить, он удобный. А по конфликту с плагином Better WP Security могу рекомендовать отключать поочередно те настройки, которые в плагине отмечены желтым фоном (могут вызывать конфликт с другими плагинами).
Поставил плагин выставил SSL, сайт перестал работать, удалил его теперь не могу зайти в админку, постоянно выдает ошибки сайт не работает
Найдите строчки с текстом ssl в файле wp-config.php и удалите их. Должно заработать.
Хороший плагин, жаль что работает в основном на серверах апачи, создавая правила в .htacess файлах, а если у вас на сервере стоит nginx или lighttpd (как в моём случае), толку от плагина мало :(
А существует плагин для защиты сайта, но без .htacess файлов?
п.с. У вас опечатка тут.
18. Wp-config.php and .htacess are writeable.
Файл конфигурации WordPress — wp-cinfg.php
Этот плагин — один из лучших для защиты сайта на WordPress. Без .htaccess — не знаю...Ошибку исправил, спасибо.
Поставила этот плагин еще весной.Радовалась.Правда смущало, что он постоянно обновлялся. В какой-то момент перестали приходить по почте бэкапы. Писал , что ошибка. Я его удалила. Установила плагин, но он тоже не захотел делать бэкапы. Не знаю, что делать.Посмотрела.А плагин внутри сайта их в папку складывает. 14 штук. Как вы думаете, что можно предпринять в этой ситуации?
Бекапы лучше делать при помощи плагина Duplicator. А плагин iThemes Sucurity больше подходит именно для комплексной защиты сайта.
Пришлось удалить плагин. Он у меня начал Яндекс боту выдавать ошибку 403. Увидела не сразу.Пришлось убрать.Понимаю, что необходимо сайт защитить.Подскажите пожалуйста.Является ли защита по ip-адресу в файле .htaccess оптимальной.Я общалась на своем хостинге с техподдержкой .Мне сказали, что это защищает только вход в админку.Тогда как мастер который смотрел мой сайт посоветовал именно защиту по ip.А как думаете вы?
Защита по ip решает очень малый круг задач — только если с одного конкретного адреса или диапазона адресов ip кто-то пытается взломать вашу админ. панель. От прочих угроз защита по ip никак не поможет. Так что данный плагин был бы намного эффективнее в плане защиты, но его нужно правильно и аккуратно настраивать. При верной настройке никаких проблем не будет возникать.
Доброго времени суток! Установила плагин, изменила адрес входа в админку. Но зайти никак не получается, перенаправляет на главную страницу сайта. В чем может быть проблема? И как исправить?
Подключитесь по FTP, зайдите в папку плагинов (/wp-content/plugins) и переименуйте или удалите папку better-wp-security