Продолжаем разговор о комплексной безопасности сайта на WordPress и о плагине Better WP Security.
В прошлой статье мы рассмотрели основные настройки плагина Better WP Security. Сейчас рассмотрим дополнительные настройки, которые не столь важны, и Вы можете включить их по желанию.
Во-первых можно сделать административную панель сайта доступной только в определенное время:
8. Доступность админки 24 часа 7 дней в неделю.
Вкладка Away
Открываем восьмой пункт чек-листа безопасности и видим такую страницу:
Можете включить опцию «Enable Away mode» — включить режим отсутствия. Данный режим позволяет отключать доступ к административной панели сайта в определенное время. Например, Вы можете отключить доступ к админке ночью. Можно установить опцию «Daily» — режим будет включаться каждый день по заданным настройкам.
Внимание: включив опцию «Enable Away mode», вы и любой другой администратор/редактор сайта не сможет попасть в админку сайта в указанный в настройках промежуток времени!
Примечание: проверьте настройку часовых поясов Вашего сайта. Для этого в даминке WordPress зайдите в «Параметры» --> «Общие» --> «Часовой пояс». Тут же проверьте «Местное время». Плагин ориентируется на указанное в этих настройках время и если часовой пояс выбран неправильно, то админка будет заблокирована в неудобные для Вас интервалы времени.
11. Ваша WordPress админка не скрыта.
Вкладка Hide
Этот пункт позволяет скрыть адрес вашей админки. При этом вход в админ. панель не будет доступен по адресу вида:
http://maxtop.org/wp-admin/ или http://maxtop.org/wp-login/
Важно: необходимо включить WordPress permalinks для использования этой функции. Они включаются в настройках WordPress в пункте «Настройки постоянных ссылок» — укажите, например, «Название записи».
После включения постоянных ссылок Вы увидите панель изменения адреса админки:
В текстовых полях укажите новые адреса для административного и пользовательского входа, сохраните изменения.
- Login slug позволяет изменить адрес входа не-администраторов (простых юзеров),
- Admin slug — адрес входа в панель администрирования для админов,
- Register slug — адрес ссылки регистрации пользователей.
Например, стандартная ссылка для авторизации администратора имеет вид http://maxtop.org/wp-admin/
Если мы В поле ввода Admin slug напишем administrator, то ссылка входа на сайт для админов станет http://maxtop.org/administrator/
14. Your installation is not actively looking for changed files.
Вкладка Detect --> File Change Detection
Отслеживание измененных файлов с помощью плагина Better WP Security. Эта настройка позволяет вести логи измененных файлов на сервере. Включайте ее только только если понимаете, какие изменения опасны, а какие нет (обновление кеш-файлов, к примеру).
Будьте внимательны, далеко не все изменения файлов являются вторжением на сайт. Например, Вы сами можете обновить плагины, добавить или удалить медиа-контент, очистить кеш. Все эти изменения будут в логе плагина Better WP Security.
20. You should rename the wp-content directory of your site.
Вкладка Tweaks --> Другие хитрости
Эта настройка позволяет изменять имя папки wp-content, чтобы злоумышленник не смог так просто найти Вашу папку контента.
Во-первых, эта опция небезопасна. особенно для сайтов, имеющих множество плагинов и сложные настраиваемые темы оформления. При изменении имени папки wp-content плагины и темы могут получать ошибочные адреса при подключении скриптов и других действиях — это может привести к некорректной работе сайта.
Не советую включать данную опцию на «живом» работающем сайте.
Лучше всего сделать бекап сайта, развернуть его на локальном сервере Denwer (как это сделать — читайте: 1) сделать бекап, 2) локальный сервер Denwer)
Даже когда все проверили и все работает — не забудьте сделать бекап сайта — всех файлов и базы данных перед изменением имени папки wp-content.
Мы рассмотрели дополнительные настройки плагина Better WP Security.
21. You are not requiring a secure connection for logins or for the admin area.
Вкладка SSL
Позволяет включить защищенное соединение с админкой — посредством использования шифрования, SSL. Нужно ли включать эту опцию?
SSL (Secure Sockets Layer) — криптографический протокол, который обеспечивает безопасность связи сервера и клиента.Протокол SSL позволяет общаться клиенту с сервером в сети, предотвращая перехват или фальсификацию передаваемых данных.Во-первых, не все хостинги и не все тарифные планы позволяют использовать услугу шифрования трафика. Поэтому проконсультируйтесь с поддержкой Вашего хостинга.
Во-вторых, даже если такая опция поддерживается, ее нужно включить в панели управления хостинга (как это сделать — тоже спросите техподдержку).
В большинстве случаев шифрование не требуется. Включайте только по личным убеждениям и наличии поддержки протокола Вашим хостингом.
Поделитесь этой записью с друзьями, буду благодарен!
Здравствуйте!
Замечательные статьи!
У меня вопрос: при попытке сменить адрес входа в админку для администратора в Admin slug. При этом на втором браузере вход в админку продолжается по адресу site/wp.admin
И можно поподробнее про Backend? Гуглил, но не понял ((ъ
С уважением,
Андрей
После смены адреса админки разлогиньтесь во всех браузерах и почистите кеш.
Если Вы авторизовались на сайте, то админка доступна по адресу site/wp-admin
Скажите, пожалуйста, что именно хотите уточнить про Backend?
Ну вот как сделать так, чтобы адреса страниц сайта (а их много и на эти страницы ссылается много сайтов. Например есть страницаsite.ru/?p=6117
При смене постоянных ссылок страница меняет адрес, например, наsite.ru/2013/11/13/sample-post/
или
Что я делаю неправильно? Как надо менять постоянные ссылки?
Ну вот как сделать так, чтобы адреса страниц сайта (а их много и на эти страницы ссылается много сайтов) оставались неизменными?. Например у меня на сайте есть страница site.ru/?p=6117
При смене постоянных ссылок эта страница меняет адрес, например, на site.ru/2013/11/13/sample-post/
или
site.ru/sample-post/
Что я делаю неправильно? Как надо менять постоянные ссылки?
Очень не рекомендую изменять уже проиндексированные адреса ссылок — Ваш сайт потеряет позиции в поиске и может потерять ссылочную массу. При изменении настроек постоянных ссылок будут изменены существующие ссылки, это так. Поэтому не рекомендую что-то здесь менять.
То есть сменить адрес админки иным способом нельзя?
Вы пишете про постоянные ссылки, а теперь задаете вопрос по адресу админки. Они же никак не связаны между собой. Поясните, пожалуйста, что Вы имеете в виду?
См. 11. Ваша WordPress админка не скрыта.
Так. Теперь уточните: если Вы меняете адрес админки — у Вас изменяются еще и ссылки страниц сайта?
Вы не поняли. Чтобы изменить адрес админки (согласно информации на Вашем сайте), надо:
включить WordPress permalinks для использования этой функции. Они включаются в настройках WordPress в пункте «Настройки постоянных ссылок» — укажите, например, «Название записи».
Про пермалинкс у меня в настройках постоянных ссылок ни слова, зато масса вариантов изменения вида адреса страниц
Проверьте, в Вашем файле .htaccess включен ли mod rewrite?
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ — [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
После обновдления на последнию Версию 4.0.5 теперь не работает поиск когда пишешь кирилицей и выдаёт ффорбиден((( когда латиницей всё норм. Подскажите в чём именно приична, понятно что в плагине, но не хочу от него избавляться, может какой функционал отключить?
Зайдите в раздел «Settings» (Настройки) и там в System Tweaks (прокрутите страницу вниз). Найдите чекбокс «Non-English Characters» и снимите с него галочку. Поиск будет работать.
Здравствуйте Денис. Если знаете, подскажите, что нужно делать? После последнего обновления better-wp-security меня выкинуло из админки сайта и перестало вообще туда пускать. Набираю в админке логин-пароль, а меня выводит на основную страницу сайта. На хостинге посоветовали изменить название директории плагина better-wp-security, что я успешно сделал через FTP и тогда вошел в админку. Естественно этот плагин оказался деактивированным — «Плагин better-wp-security/better-wp-security.php был деактивирован из-за ошибки: Файл плагина не найден.» Что делать дальше? Жалко остаться без такого плагина. Почему его обновление привело к такому результату, что охранник перестал пускать хозяина?
Здравствуйте, Андрей!
Вероятно, ошибка связана с тем, что некоторые параметры плагина не работают на вашем хостинге. Нужно искать те параметры, возле которых стоит отметка «Может вызвать проблемы на вашем хостинге».
Попробуйте удалить плагин и затем установить его снова и последовательно настроить.
По FTP я полностью удалил плагин с хоста. Начал устанавливать по-новой, но нашел поиском в WordPress только iThemes Security (formerly Better WP Security) — это он? Настройки такие же?
Да, плагин этот. Его просто переименовали, чем внесли путаницу. Настройки такие же, только интерфейс изменился. Придется писать новую статью-обзор)
Попробую сделать, если не получится, обращусь к Вам за помощью. Спасибо.