1

Защита сайта от взлома. Плагин All in one wp security

all in one wp securityВ статье Защита сайта от взлома. Простые шаги мы разобрали, как изменить логин и пароль для входа в админ панель WordPress. Сегодня мы разберем более мощный инструмент защиты сайта — это плагин All in one wp security. И для начала нам понадобится установить этот плагин на сайт.

Установка плагина All-in-one-wp-security на сайт

Все легко и просто!

Заходим в админ панель WordPress и жмем на вкладку Плагины. Открывается страница с плагинами, которые уже установлены на сайт. Кстати, сразу удаляем плагин Hello Dolly потому что он совсем не нужен для работы сайта. У меня даже есть подозрения, что его специально устанавливают на сайт, чтобы научить людей пользоваться функцией удаления плагинов…

В общем жмем на красную надпись удалить под этим плагином, затем подтверждаем это действие. Все, плагин удален.

Внимание!

Помимо явной пользы, плагины так же влияют на скорость загрузки вашего сайта. А на это, в свою очередь, обращают внимание поисковые роботы при индексации. Соответственно это прямым образом влияет на продвижение сайта.

Поэтому не перегружайте сайт ненужными плагинами, устанавливайте только необходимые.

Но плагин All in one wp security нам необходим, поэтому мы жмем на кнопку Добавить новый.

All in one wp security

В открывшемся окне в форму поиска плагина вводим нужное нам название, как на картинке ниже. Ждем, когда обновится страница. Затем находим нужный нам плагин и жмем Установить

установка плагина All in one wp security

Ждем, когда кнопка Установить превратится в кнопку Активировать и жмем на нее. После чего снова откроется страница с вашими плагинами и вы увидите, что в списке установленных появился плагин All in one wp security. 

Поздравляю! Вы только что сделали три важные вещи:

  1. Научились удалять плагины;
  2. Научились устанавливать и активировать плагины на сайт;
  3. Установили и активировали очень хороший и полезный плагин на свой сайт.

Ну что ж, все было просто, не так ли? А теперь переходим к следующему шагу…

Настройка плагина All-in-one-wp-security

Слева в панели WordPress находим наш плагин, он выглядит так WP Security и жмем на него.

wp security

Откроется Панель управления, а под надписью WP Security развернется консоль с опциями и настройками плагина All in one wp security.

настройка All in one wp security

Внимание!

 

Я расскажу только о тех настройках, которые сам применяю. Остальные настройки вы тоже можете менять, но только если точно знаете, что делаете. Разбираться в этом плагине "методом тыка" не рекомендуется, т.к. не понимая, что делаешь, можно навредить и даже насовсем потерять доступ к своему сайту!

Но не нужно пугаться 🙂 Плагин действительно очень мощный и нужный. И сейчас мы сначала идем в пункт…

Настройки

Тут мы открываем вкладку WP Version Info и удаляем мета-данные WP Generator — это информация о вашей текущей версии WordPress. Очень часто злоумышленники пользуются этой информацией для взлома сайта.

Ставим галочку в чекбокс и жмем сохранить настройки

мета-данные WP Generator

Затем во вкладке .htaccess Файл жмем на кнопку Создать и скачать резервную копию файла .htaccess.

Файл «.htaccess» — это ключевой компонент обеспечения безопасности сайта, который позволяет в значительной степени варьировать механизмы его защиты.

Следующий пункт…

Авторизация

Обязательно включите функцию Блокировки попыток авторизации.

блокировка авторизаций

Максимальное количество попыток входа по умолчанию 3, можно так и оставить. Ограничение времени попыток авторизации по умолчанию 5 минут, тоже оставляем так же. Период блокирования по умолчанию 60 минут, можете увеличить его (я поставил на своем сайте 160 минут). В итоге, если в течении 5 минут кто-либо (в том числе и вы) введет неправильный пароль 3 раза, то его IP заблокируется данным плагином на 60 (у меня на 160) минут. Это значит, что со своего компьютера данный пользователь в течении этого времени не сможет получить доступ к админ панели вашего сайта, даже если введет правильный пароль.

Тут еще есть такой интересный пункт — Сразу заблокировать неверные пользовательские имена. Я поставил в нем галочку и вам советую. Но…

Отнеситесь очень внимательно к настройкам Авторизации и особенно к этому пункту. Потому, что если вы ошибетесь с вводом логина, то этот великолепный плагин сразу же заблокирует вам вход на сайт на то время, которое вы указали в Периоде блокировки!

Зато подобрать пароли к вашему сайту будет практически невозможно, по крайней мере за срок жизни среднестатистического человека… И это радует 🙂

Во вкладке Автоматическое разлогинивание пользователей поставьте галочку в чекбокс в пункт Включить авторазлогинивание и ниже задайте временной интервал.

автоматическое разлогинивание

Это функция будет автоматически закрывать вашу админ панель, если вы не работаете в ней, через то время, которое вы зададите. Таким образом, если вы забудете на работе или дома выйти из админ панели, то за вас это сделает плагин All in one wp security.

Следующий пункт…

Регистрация пользователя

Для начала хочу посоветовать вам не создавать ни каких возможностей регистрации на вашем сайте никому. Если вы будете единственным человеком, кто будет управлять и редактировать ваш сайт, то вам больше и не нужно никого. так как любая возможность регистрации на сайте дает лазейки злоумышленникам. Но если вам по специфике сайта будет необходима регистрация, то примите меры предосторожности в этом пункте.

Только не путайте Регистрацию на сайте с Подпиской на рассылки. Это разные вещи. При регистрации на сайте пользователь получит аккаунт именно на вашем сайте. А при подписке на рассылку пользователь регистрируется на стороннем сервисе.

В любом случае давайте настроим этот пункт и повысим защиту нашего сайта. Во вкладке Подтверждение вручную отмечаем чекбокс, как на картинке ниже и жмем Сохранить настройки.

регистрация пользователей

Далее идем во вкладку CAPTCHA при регистрации и тоже ставим галочку, как на картинке ниже и сохраняем настройки.

captcha

Таким образом любой, кто будет регистрироваться на ваш сайт обязательно будет вводить Капчу (защита от ботов) и только после вашего подтверждения сможет получить доступ к аккаунту. То есть все под контролем!

Далее жмем на  пункт…

Защита Базы данных

Простыми словами База данных (БД) — это все содержимое вашего сайта, картинки, тексты, видео и т.д., а так же настройки сайта.

Если вы уже наполнили ваш сайт контентом, то перед выполнением этих настроек рекомендуется сделать Резервную копию вашей БД. Для этого во вкладке Резервное копирование БД нажмите синюю кнопку Создать бэкап базы данных сейчас. 

Бэкап — это и есть резервное копирование.

Резервная копия простыми словами — это копия вашего сайта на конкретный момент времени. В случае каких-то неполадок или ошибок сайт может перестать нормально функционировать, а резервная копия поможет вам реанимировать ваш сайт.

Если у вас пока пустой сайт, то смело переходите к настройкам. Раз уж начали с вкладки Резервное копирование БД, то продолжим в ней.

Отметим чекбокс Включить автоматическое создание бэкапов, это будет автоматически создавать резервные копии через определенные промежутки времени, которые вы сами зададите ниже. Я так же включил чекбокс Пересылать бэкап на Email, но это не обязательно, на ваш выбор.

бэкап базы данных

Сохраняем настройки и идем во вкладку Префикс таблиц БД. По умолчанию в WordPress префикс БД: wp_

Простыми словами префикс БД — это имя вашей базы данных.

Его нужно изменить, т.к. зная это префикс, злоумышленник может использовать это для взлома сайта. Более подробно прочитаете об этом прямо во вкладке Префикс таблиц БД (выделено синим цветом шрифта).

Либо придумайте сами новый префикс из латинских букв, либо поставьте галочку в чекбокс Сгенерировать новый префикс таблиц БД и жмите Изменить префикс таблиц.

префикс таблиц

Затем идем в пункт…

Защита файловой системы

Тут во вкладке доступ к файлам WP ставим галочку в чекбокс, как на рисунке ниже и сохраняем настройки. Это закроет доступ к некоторым файлам, содержащим важную информацию о вашем сайте.

файлы wp

Далее во вкладке Редактирование файлов PHP рекомендую поставить галочку в чекбокс Отключить возможность редактирования PHP-файлов и сохранить настройки. Если вы сами не знаете язык PHP, то вам и не нужно иметь возможность редактировать такие файлы, потому что случайное их изменение может «убить» сайт.

Теперь следуем в пункт…

Файрволл

Во вкладке Базовые правила файрволла отмечаем все чекбоксы и сохраняем. Выдает желтое предупреждение о том, что в случае неправильной работы сайта нужно снять галочки во второй и третьей строчке. У меня все работает нормально, поэтому я оставил все галочки.

Во вкладке Предотвратить хотлинки отмечаем чекбокс Предотвратить хотлинки на изображения, чтобы некоторые товарищи не перегружали ваш сайт, выкладывая ссылки на ваши картинки на своих сайтах.

Во вкладке Детектирование 404 отмечаете чекбокс Enable 404 IP Detection and Lockou, только уменьшите время в пункте Период блокирования из-за ошибок 404. Я поставил 5 минут. Для чего это делается прочитаете во вкладке, но если ничего не поймете, не заморачивайтесь, просто поверьте, что так надо.

Переходим в пункт…

Защита от брутфорс-атак

Брутфорс-атака — это подбор паролей к вашему сайту.

Открываем вкладку Переименовать страницу логина. Это очень важный пункт настроек и настоятельно рекомендую подойти к нему очень ответственно! В этом пункте вы переименовываете адрес, по которому вы переходите в админ панель WordPress вашего сайта. Как мы уже разбирали в статье Защита сайта от взлома. Простые шаги по умолчанию адрес доступа на сайт http://domen.ru/wp-admin/ где domen.ru — это адрес вашего сайта. Так вот сейчас мы изменим этот адрес, так чтобы ни один злоумышленник не смог найти эту страницу.

Отмечаем чекбокс Включить опцию переименования страницы логина и в строке Адрес (URL) страницы логина сразу после адреса вашего сайта в специальное поле вводим окончание ссылки на вашу админку. Вы должны его сами придумать (на латинице). Далее жмем Сохранить настройки.

страница логина

Внимание!

Вы только что изменили адрес страницы входа в админ панель WordPress вашего сайта! Обязательно сохраните новый адрес, иначе вы потеряете доступ на свой сайт!

Теперь идем во вкладку CAPTCHA на логин и в строке Включить CAPTCHA на странице логина включаем чекбокс, затем идем вниз и сохраняем настройки.

капча на логин

Затем во вкладке Бочка с медом (honeypot) включаем чекбокс Активировать медовый боченок (honey pot) на странице логина и сохраняем настройки.

Теперь следуем в пункт…

Сканер

Тут во вкладке Отслеживание изменений в файлах включаем чекбокс Активировать автоматическое сканирование изменений файлов. Частоту сканирования я поставил 3 дня. Если хотите получать информацию на емейл, то включите еще и чекбокс Отправить Email когда найдено изменение. А в строке Игнорировать файлы следующих типов можете прописать в разных строчках файлы, как на картинке ниже, т.к. данный тип файлов не несет опасности вашему сайту.

сканер

Ну все, можете выдыхать 🙂 Ваш сайт сейчас под надежной защитой.

На этом рекомендую оставить настройки плагина All in one wp security, чтобы не навредить сайту.

Кроме того, не пренебрегайте простыми правилами:

  • Не сохраняйте пароли в вашем браузере;
  • Ни кому не передавайте пароли и логины от сайта;
  • Пользуйтесь антивирусом и периодически проверяйте компьютер;

P.S.: Вопросы безопасности мы закрыли. В следующей статье разберем, как настроить внешний вид сайта и установим тему.

Не переключайтесь!

Сделайте доброе дело, поделитесь этой записью с друзьями.


Хотите получить от меня секретный бонус?

(лайф-хак по поиску неочевидных мест обитания трафика)

Тогда жмите на кнопку ниже

Получить секретный бонус

Дмитрий Чернышов

One Comment

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *