iThemes Security Настройка плагина и защита сайта WordPress
Сразу предупреждаю, настроек много. Мы рассмотрим все модули. Так что наберитесь терпения. Сделать это очень важно. Мы же не хотим отдать свой ресурс в руки недоброжелателей?
Поэтому сделаем обзор, разберём подробную инструкцию, выполним настройки плагина и будем спать спокойно.
Установка iThemes Security
Для начала сделаем установку плагина защиты. Как обычно, заходим в админке в раздел Плагины → Добавить новый. И в строке поиска вводим название iThemes Security. Появится наш защитник:
Нажимаем кнопку Установить и сразу Активировать. После этого он появится в виде отдельного раздела под названием Security. Наводим курсор и в выпадающем меню выбираем Настройки.
Security Check
И открываем первый модуль Security Check, нажав на кнопку Показать детали.
Собственно, он для быстрой настройки плагина. Если в открывшемся окне нажать Secure Site, то выполнится подключение основных функций защиты. Они перечислены, и также будут в отдельных разделах ниже.
Но я не рекомендую включать быструю активацию защиты. А лучше будет рассмотреть всё, чтобы настроить индивидуально под свой сайт. И в дальнейшем избежать проблем. Поэтому просто нажимаем на кнопку Close или крестик и закрываем этот раздел.
Основные настройки
Чтобы открыть следующую вкладку, жмём Configure Settings.
Для удобства окно основных настроек я поделила на блоки.
Сообщение при блокировке пользователя. Я оставила текст по умолчанию.
Сообщение заблокированному сообществу. Также можно оставить по умолчанию.
На этом основные настройки закончены. Жмём кнопку Save Settings. И переходим в следующий раздел.
Notification Center
Менеджер настроек уведомлений по электронной почте от iThemes Security, связанных с работой модулей.
Далее сохраняем настройки и переходим к следующему модулю.
Отслеживание ошибки 404
В разделе подробно описывается данная функция и само значение ошибки 404, поэтому сразу перейдём к настройкам.
Задаём 5 минут для хранения информации об ошибке 404 и порог с количеством по умолчанию 20. Но можно установить 0, чтобы записывать и не блокировать при этом.
Пользователь с правами администратора
Модуль содержит предупреждение о возможном конфликте с другими плагинами. Поэтому при использовании данной функции предварительно необходимо создать резервную копию.
Позволяет заменить логин admin на уникальное имя при авторизации на сайте.
Режим «Нет на месте»
Данные параметры позволят вам отключить доступ к консоли WordPress в указанное время.
Заблокированные пользователи
Изменить место хранения контента
Расширенная функция переименования каталога wp-content на другое имя.
Но перед началом работы с данным модулем необходимо хорошо ознакомиться с предупреждениями о возможных последствиях. Это очень важно. Поэтому, в случае несоответствия требованиям, лучше не трогайте этот раздел.
Change Database Table Prefix
Здесь можно изменить префикс таблицы базы данных, который использует WordPress.
Также рекомендуется максимально осторожно использовать эту функцию, сделав копию сайта. Или не использовать вовсе.
Резервные копии базы данных
Этот модуль позволит вам создавать резервные копии сайта вручную или по заданному расписанию.
Обнаружение изменений файлов
Наверху имеется синяя кнопка для сканирования файлов в любое удобное время. А ниже идёт список файлов и папок, который вы можете изменить, исключив ненужные.
Кроме того, можно сделать фильтрацию по типу файлов.
File Permissions
Данный модуль является информационным и настройки не требует. Он показывает степень защищённости файлов.
Спрятать страницу входа на сайт
Этот раздел позволяет скрыть страницу входа, изменив её имя и запретив доступ к wp-login.php и wp-admin.
Используйте на своё усмотрение. Только новый адрес надо хорошо запомнить, а лучше, записать.
Local Brute Force Protection
Защита от злоумышленников, пытающихся угадать пароль для входа.
Network Brute Force Protection
Модуль даёт возможность вашему плагину iThemes Security распознавать IP-адреса, с которых уже были приняты попытки взломов по отношению к другим пользователям. И, конечно же, запретить им доступ к вашему сайту.
Для этого необходимо установить API-ключ и галочкой активировать данную опцию.
Password Requirements
Управление и настройка требований к паролям для пользователей.
Активировав опцию, вы заставите пользователя придумать надёжный пароль. Именно так, как того требуют стандарты WordPress.
Также выбираете минимальную роль. То есть, уровень, для кого будет работать требование сложного пароля.
Настройка использования SSL для обеспечения безопасности связи между браузерами и сервером.
Есть подробная статья о настройках при переходе с http на https при установке сертификата безопасности SSL на сайт. Так вот, в этом разделе можно настроить редирект со всех адресов http на https.
При выборе значения Advanced откроются дополнительные настройки:
Тонкая подстройка системы
Дополнительные параметры, повышающие безопасность путём изменения конфигурации сервера для данного сайта.
Внимательно читаем предупреждения и рекомендации и смотрим, какие возможности у нас есть:
Замечательные функции, которые позволяют блокировать хакерские атаки. Но использовать нужно с максимальной осторожностью.
WordPress Соли
Добавление секретного ключа. Эта функция делает ваш сайт более трудным для взлома и доступа, добавляя случайные элементы к паролю.
Подстройка WordPress
Расширенные настройки, которые улучшают безопасность, изменяя поведение WordPress по умолчанию. И позволяют блокировать распространённые формы хакерских атак. Также используем с осторожностью, проверяя периодически работу сайта.
Можете оставить значение по умолчанию.
Server Config Rules
Правила конфигурации сервера. Данный модуль содержит правила, которые можно скопировать и вставить в файл конфигурации сервера. Это на тот случай, когда нужно внести данные вручную.
Но если у вас нет определённых навыков и понимания написанного, лучше не трогать этот модуль.
Правила wp-config.php
То же самое, что в предыдущем разделе, но касается правил wp-config.php.
Логи iThemes Security
На этом с настройками покончено. Остальные в платной версии. А кроме этого, у вас будет возможность отслеживать работу плагина. Все действия можно посмотреть в журнале.
Например, там будут записываться ошибки 404 и IP-адреса. Для этого зайдите в раздел Логи, это одна из вкладок плагина iThemes Security. Или нажмите наверху в разделе модулей кнопку Просмотр журналов.
А пока всё. Увидимся на следующих уроках! 😉
Полезна будет также установка на сайт формы подписки на рассылку с плагином WP Email Capture.
А ускорить свой ресурс вы сможете, легко настроив a3 Lazy Load.
Источник
Защищаем блог с помощью Ithemes Security. Часть 1
Всем привет! В данной статье я подробно расскажу о классном плагине для защиты сайта или блога на WordPress — IThemes Security. Ранее он назывался Better WP Security.
Я уже записывала про него видео. Но я, например, предпочитаю получать информацию именно в формате статьи. И многие из Вас, думаю, тоже.
Пошаговая настройка IThemes Security
Самый первый шаг состоит в установке Ithemes Security к себе на сайт. Для этого зайдите в раздел Плагины → Добавить новый, и в строке поиска укажите его название.
Перед установкой обратите внимание на рейтинг, количество скачиваний и последнее обновление. Это касается не только Ithemes Security, но любого плагина. Особенно важным я считаю время последнего обновления.
Если плагин давно не обновлялся, то он может представлять угрозу для Вашего блога. Через него хакеры могут взломать Ваш ресурс. Проверьте все Ваши плагины и замените старые более современными аналогами.
Кстати, именно по этой причине я отказалась от Invisible Captcha. К счастью, я нашла более эффективный способ защиты от спама без плагина. Об этом читайте в статье.
Но вернемся к нашей теме. Итак, Вы устанавливаете и активируете плагин.
И у Вас появятся следующая надпись:
На первую строку Вы пока не обращайте внимание, данной настройкой мы займемся позже. Нас на данный момент интересует кнопка Secure Your Site Now. Нажимаете ее и Вы увидите следующее всплывающее окно.
В итоге, у Вас должно получиться следующее:
Не страшно, если Вы вдруг забудете нажать на какую-либо кнопку, все это Вы сможете сделать и позже в настройках.
Закрывайте окно и переходите в меню настроек. Кстати, обратите внимание, что в панели управления у Вас появился новый раздел Security для доступа к настройкам плагина.
Сначала Вы окажетесь во вкладке Dashboard.
Во-первых, сразу же добавьте Ваш Ip в белый список:
Далее спускайтесь вниз и Вы увидите список уязвимостей Вашего блога. Они разделены на 4 категории:
В первом списке у меня 3 пункта. У Вас их может быть больше или меньше.
Приступаем к защите Вашего сайта. В первом пункте нажимаем на Fix it (исправить). Вы окажетесь во вкладке Advanced (Продвинутые настройки). С нее и начнем.
В данном разделе Вы можете:
Для смены логина активируйте чек-бокс Enable Change Login User, введите новый логин (запомните его или запишите), и активируйте чек-бокс «Change User Id 1».
Сохраните. Вас автоматически выбросит из админ панели и Вам нужно будет заново зайти, но уже используя новый логин.
Кстати, обратите внимание, что плагин предупреждает о необходимости сначала сделать резервную копию, мало ли что. Не забывайте об этом.
Логин также Вы можете поменять 2 другими способами, о которых я рассказала в своем курсе:
Изменение имени директории возможно для только что созданных сайтов, но и в этом случае могут привести к проблемам. Поэтому данный пункт предлагаю не трогать.
А вот изменить префикс базы данных, если он у Вас wp- советую. Просто ставите галочку и сохраняете изменения.
Продвинутые настройки на этом закончены. Переходим к обычным (Settings).
Общие настройки Global Settings
В принципе здесь вносить каких-либо изменений не требуется. Но я все же поясню, что означают данные настройки.
1. Данный пункт Вы активировали в самом начале. Он позволяет плагину вносить изменения в файлы. Галочку не убирайте. Данная настройка необходима для корректной работы плагина. Чтобы заблокировать пользователя, который пытается взломать Ваш ресурс, плагин должен прописать соответствующую команду в htaccess и именно для этого ему и нужен доступ.
2. Укажите e-mail, на который Вы хотите получать уведомления.
3. Активируйте информационную рассылку от разработчиков плагина. По желанию.
4. Укажите адрес для получения резервных копий.
Далее идут варианты сообщений, которые увидят заблокированные пользователи. Если есть желание, то можете придумать собственные.
5. Активируйте черный список.
6. Количество попыток ввода данных до полного бана. То есть, пользователь ввел несколько раз неправильные данные и был заблокирован на указанное время, например, на 15 минут. По их истечении он сможет повторить свои попытки. Но после третьей блокировки он уже будет забанен на более длительный срок.
7. Период хранения информации о заблокированном пользователе.
8. Период блокировки пользователя. Его можно и увеличить.
9. Белый список. Сюда можно добавить свой IP.
10. Ithemes Security ведет журнал изменений. Здесь Вы можете выбрать тип журнала, то есть куда плагин будет записывать информацию: в базу данных или в файлы сайта.
Для небольших сайтов предпочтительнее первый вариант, а для больших оптимальнее выбрать второй.
11. Количество дней для хранения логов.
12. Путь к папке с журналом.
13. Активировав этот пункт, Вы разрешите плагину собирать данные о Вашем сайте. Это один из 4 пунктов, который Вы видели в самом начале.
14. Отключить блокировку файлов. Активируйте только в том случае, если возникают какие-то ошибки.
Если Вы пользуетесь прокси, то отметьте чек-бокс Disable Proxy Ip Detection. А последний пункт позволяет убрать раздел с настройками плагина из верхнего меню WordPress.
Уф, с общими настройками закончили. Кстати, к каждому пункту есть пояснения, правда на английском. Но если Вы им владеете, то для Вас настройка плагина не составит проблем.
404 Detection
Иногда хакеры сканируют Вас сайт в поисках уязвимостей. И в этом случае они часто попадают на несуществующие страницы.
Для предотвращения подобного скака активируйте определение 404 ошибки.
Отметьте чек-бокс. У вас появятся дополнительные настройки.
Время можно немного увеличить, а количество страниц оставить без изменений. Если за 5 минут хакер введет более 20 адресов на страницу 404, он будет забанен.
С этой опцией стоит быть осторожными, если Вы меняете структуру сайта или делаете еще какие-либо преобразования, например, избавляетесь от дублей, которые приведут к появлению большого количества несуществующих страниц.
Поэтому перед активацией посетите инструменты вебмастеров и убедитесь, что страниц с ошибками у Вас нет или их всего несколько.
Away Mode
Если Вы планируете отправиться в отпуск и забыть на это время о существования блога и Интернета вообще, возможно, стоит активировать «Away mode».
Он скроет вход админку и никто, в том числе и Вы не сможете, попасть в панель управления, пока не пройдет указанное время.
Существует 2 варианта настройки данной опции. Вы можете скрывать страницу входа каждый день в определенное время, например ночью. Для этого в «Type of Restriction» выберите «Daily» и укажите время.
Если Вы хотите ограничить вход на определенный период, то выберите «One time» и укажите желаемую дату и время.
Banned Users
Здесь Вы можете самостоятельно указывать тех пользователей, которых хотите заблокировать. Например, особо надоедливых спамеров или тех, кто крадет Ваш контент и публикует Ваши статьи у себя на сайте.
Здесь есть 2 возможности:
Итак, мы уже значительно усилили защиту блога. И об остальных настройках Ithemes Security я расскажу в следующей статье. Не пропустите!
Источник