Сергей Арсентьев

Безопасность WordPress в 2 клика с помощью All In One WP Security

Безопасности в WordPress уделяется немало внимания, и все равно бывают случаи взломов сайта. Однако можно воспользоваться специальным плагином и значительно увеличить защиту вашего сайта, тем более что сделать это можно буквально в 2 клика.

Зачем вообще нужно повышать безопасность WordPress?
Конечно, чтобы избежать взломов и несанкционированного использования пространства сайта.

Но неужели это так плохо? Ну и пусть ломают - у меня все равно брать нечего!

Дело не в самом взломе, а в его последствиях. Хакеры ломают сайты не просто так, они начинают рассылать от вашего имени спам, расставляют ссылки на другие сомнительные сайты, становятся рассадниками вирусов и прочей заразы. Поисковые системы довольно быстро это распознают и реагируют с помощью уведомлений, предостерегая посетителей, переходящих на сайт примерно такой вот формой:

Редкий смельчак отважится все-таки перейти на заразный сайт, поэтому трафик из поисковых систем взломанных сайтов падает в разы. А вместе с посещаемостью доходы владельцев сайтов также стремительно снижаются.

Поэтому, несмотря на то, что взломать можно любой сайт, но я рекомендую максимально усложнить злоумышленникам эту задачу: в результате, возможно, отпадет желание связываться именно с вашим сайтом, когда вокруг множество менее защищенных и простых для взлома сайтов.

Я устанавливал на сайты разные плагины для повышения безопасности WordPress (они еще часто называются firewall), но порекомендую вам тот, который лично я считаю самым лучшим по большинству параметров, это - All In One WP Security .

Его основные преимущества:

• бесплатный
• удобный русскоязычный интерфейс
• множество вариантов защиты
• частое обновление
• мгновенный импорт и экспорт настроек

Инсталлируется он как обычный плагин Вордпресс (если не знаете как это сделать, то читайте " "). Так что с установкой у вас проблем возникнуть не должно.

Но затем еще нужно будет настроить All In One WP Security, то есть выбрать и активировать параметры защиты. Их много, включать стоит далеко не все, иначе сайт может просто оказаться неработоспособным. Так какие параметры нужно выбрать обязательно, а какими стоит пренебречь?

Ниже в статье я дам ссылку на файл импорта лично моих настроек, которые я использую для повышения безопасности на большинстве сайтов - вы сможете их импортировать и, таким образом, не разбираться с настройками программы, которых очень много. Поэтому если все эти описания настроек вам неинтересны, мотайте вниз до социального замка и получайте ссылку на готовый файл с настройками . Там же будет краткая инструкция по добавлению в свой плагин All In One WP Security.

А я пока в двух словах опишу настройки плагина.

Основные настройки All In One WP Security

Настроек плагина довольно много, они все собраны в панели управления, в пункте WP Security:

Начнем по порядку.

Панель управления

Здесь удобно собрана основная информация по системе: текущий уровень защиты, задействованные основные настройки, версия php сервера, логи заходов пользователей в админку и так далее. То есть на этой вкладке менять нечего - она играет информативную роль.

Стремиться к тому, чтобы у вас было задействовано максимум очков защиты - не стоит. Ведь в этом случае некоторые другие плагины могут быть заблокированными, и сайт может не функционировать должным образом. Важно в целом устранить наиболее уязвимые и очевидные "дыры" не в ущерб удобству и функционалу сайта.

Настройки

Здесь вы можете создать бекапы основных файлов WordPress, в которых плагин меняет параметры безопасности: .htaccess и wp-config. Если, конечно, не сделали еще это через FTP (читайте " "). Обязательно сделайте это перед внесением изменений в настройки плагина.

Важный пункт это "WP мета информация" .
Установите галочку, это уберет из кода сайта информацию, что он создан на базе WordPress, это повысит безопасность от массового сканирования хакерскими роботами версий сайтов.

И последний пункт - это "Импорт и экспорт" .
Именно здесь можно быстро экспортировать и импортировать настройки плагина с сайта на сайт.

Администраторы

В данном пункте речь пойдет про аккаунты зарегистрированных администраторов в панели управления.

Общеизвестно, что нельзя использовать стандартные имена администраторов, например, "admin" в WordPress или "administrator" в Joomla. Это крайне негативно влияет на безопасность, ведь когда логин известен, хакеру остается только подобрать пароль.

Так что если у вас в качестве имени администратора используется стандартное "admin", то мысленно выругайтесь в сторону разработчика и быстренько смените его на что-то более сложное. Чтобы это сделать в Вордпрессе нужно завести новый аккаунт пользователя. Старый удалите, все записи свяжите с новым аккаунтом.

Также важно, чтобы имя пользователя совпадало с логином.
И проверьте сложность пароля. Плохим является пароль вроде "serega", нормальным - "serega1212", идеальным - "dfw&uuhsU2%".

Авторизация

Что делать если кто-то несколько раз ввел неверный пароль при попытке входа в админку? По умолчанию система не делает ничего. А если "Включить опции блокировки попыток авторизации ", то система будет блокировать такие подключения после какого-то количества неудачных попыток в течение определенного времени. Количество попыток, время и другие параметры, вы сами задаете в пунктах ниже.

Остальные вкладки в основном информационные.

Регистрация пользователя

Каптча при регистрации актуальна только если у вас на сайте или блоге есть возможность регистрации новых пользователей.

База данных

Обязательно смените префикс таблиц в базе данных. По умолчанию таблицы в базе данных WordPress начинаются с "wp_" - это плохо для безопасности. Выберите "Сгенерировать новый префикс таблиц БД " и установите флажок, чтобы плагин сам сгенерировал что-то вроде "hwy1e2_".

Хоть я менял префикс на многих сайтах WordPress - все было ок, но осторожность лишней не будет: обязательно сделайте бекап базы данных, можно, кстати, прямо на соседней вкладе это сделать.

Файловая система

На основной вкладке "Доступ к файлам " все пункты должны быть отмечены зеленым цветом. Если это не так - просто кликните на соответствующий пункт.

Отметьте флажки и на следующих вкладка "Редактирование файлов PHP " и "WP доступ к файлам ". Вам вовсе необязательно оставлять возможность вносить любые программные изменения через панель управления - лучше это делать через FTP-доступ, который взломать гораздо сложнее, ведь там безопасностью занимаются профессиональные программисты вашего хостера. Плюс не стоит "светить" важные информационные файлы системы.

Whois-поиск

Тут настроек нет, но если к вам кто-то ломится или какой-то неадекватный пользователь оставляет дурацкие сообщения, то можно попробовать узнать о его провайдере и пожаловаться на неадеквата или просто пригрозить ему в личку.

Конечно, если хакер пользуется IP-анонимайзером, толком вы ничего не узнаете, но все равно функция может оказаться полезной, так как в целом можно быстро получать информацию о владельцах сайтов и их контактах.

Черный список

Допустим, вы "пробили" через whois, что на вашем блоге активно в комментариях распространяется спам с ip-адреса частное лицо. Вы можете добавить его в черный список и он не получит доступ к станицам сайта.

Также можно массово банить "левых" роботов, которые могут прочесывать интернет в поисках уязвимостей.

В основном эта функция имеет смысл, если вам активно кто-то пытается взломать. В большинстве случаев эти поля останутся пустыми.

Файрволл

Ну вот и добрались до основной функции плагина - брандмауера. Эти функции рассредоточены по нескольким вкладкам.

Во вкладке "Базовые правила " рекомендую включить оба флажка: "Основные функции брандмауэра " и "Защита от Пингбэк-уязвимостей ". По каждому пункту там подробно расписываются все функции, которые будут задействованы. Это базовые правила - они, как правило, не влияют на работоспособность сайта.

В "Дополнительных правилах " лично я задействую:

• Просмотр содержимого директорий
• HTTP-трассировка

Остальные пункты:

• Комментарии через Прокси-серверы
• Нежелательные строки в запросах
• Дополнительная фильтрация символов

на тех или иных сайтах вызывали нестабильности в работе, поэтому я не могу однозначно рекомендовать их к применению.

Если же вы захотите их задействовать, то сделайте бекап htaccess, включите и тщательно протестируйте сайт на прежнюю работоспособность. Попробуйте оставить комментарий, скачать файл, зарегистрироваться, выполнить поиск по сайту, отправить форму обратной связи и т.п. Если все в порядке, то ок, вам повезло

Далее во вкладке "5G-файрволл " можно включить комплексную защиту от хакерских атак через URL сайта. Это полезная функция, однако на моем блоге она вызвала ошибку при скачивании файлов пользователями, поэтому я ее отключил и отключаю на всех других сайтах, так как предпочитаю задействовать только те параметры, которые никогда не вызывают нареканий в работе.

Во вкладке "Интернет-роботы " я не включал флажок, так как все же есть опасения как-то помешать основному роботу Google делать свое дело. Если кто-то сможет развеять мои опасения в комментариях, буду признателен.

"Предотвратить хотлинки " я также оставляю отключенным, так как сам загружаю картинки блога с других сайтов. И отмечал что многие мои клиенты также это делают, например, загружают со своего сайта картинки на разные доски объявлений, форумы и так далее. Но если вы уверены, что нигде не задействуете картинки с сайта, то в целях снижения излишней нагрузки на хостинг, конечно, можете поставить флажок.

"Детектирование ошибок 404 " нужно задействовать только если в логах у вас много подозрительных ошибок ненайденных страниц. У меня на всех сайтах все ок, поэтому и нечего вносить в список IP-адресов, которые нужно банить.

Защита от брутфорс-атак

Что такое "брутфорс"? Это грубая атака, которая заключается в простом переборе всех возможных паролей на сайте. То есть робот заходит на страницу со входом в админку и начинает пробовать то один, то другой пароль.

Назовите страницу входа на свое усмотрение, например, /lg-wp и в вашу админку робот для перебора паролей попасть уже не сможет - он ее просто не найдет!

"Защиту на основе куки " я не применяю - так как часто выхожу в сеть с разных браузеров, плюс периодически чищу куки и поэтому процедура залогинивания с этим параметром была бы довольно утомительной. По этой же причине не использую "Каптчу на логин ". Мне и так хватает всяких каптч в интернете, и поэтому на своем сайте стараюсь свести их к минимуму.

"Белый список для логина " - это почти 100% защита от брутфорс-роботов, так как логин и пароль может вводиться только с конкретного IP-адреса. Но я и мои клиенты часто заходят на свои сайты с разных IP-адресов, например, из офиса, с мобильного телефона, из гостей и так далее. В этом случае защита будет избыточной, так как не пустит на сайт самого владельца. Однако если вы работаете на своем сайте стационарно с одним IP-адресом, то можно задействовать данную функцию.

Защита от спама

Эту защиту я не включал, так как у меня прекрасно работает специализированный плагин Antispam Bee (читать " ").

Сканер

Если вдруг какой-то гад все-таки пробрался через все ваши системы защиты и вставил свой вредоносный код или левые ссылки в файлах сайта, то система вас об этом уведомит. И вы сможете более внимательно и пристально взглянуть на эти изменения: вдруг вас и правда, взломали?

Я сканирую сайты раз в 7 дней, игнорирую картинки, личные файлы, бекапы и т.п. Все это есть в настройках, которые вы сможете скачать в конце статьи.

Остальные вкладки вам вряд ли понадобятся.

Режим обслуживания

Это просто утилита, но довольно полезная. Позволяет временно отключить сайт для всех, кроме админов, если на нем ведутся какие-то работы.

Разное

"Защиту от копирования " я не включаю, так как в современных реалиях проверки уникальности текстов она довольно бессмысленна, а жизнь некоторым пользователям затрудняет. А вот включить флажок "Активировать фрейм-защиту " не помешает, так как она не позволит открывать ваш сайт во фрейме какого-то другого сайта.

Каждый день огромное количество сайтов подвергаются успешным хакерским атакам. не являются исключением и могут стать легкой мишенью для атаки из-за уязвимости тем и плагинов, слабых паролей и устаревшего программного обеспечения. Поэтому в сегодняшней статье мы решили уделить внимание такой теме, как защита WordPress.

Стоимость Bulletproof Security Pro: $59,95 (разовая оплата).
Официальный сайт — http://affiliates.ait-pro.com/

All in One Security and Firewall

Известный плагин для защиты от взлома WordPress. Он включает дополнительные брандмауэры для сайта, предоставляет различные методы защиты и дает по ним отчет.

Настройки файервола этого плагина разделены на три уровня «basic», «intermediate» и «advanced», что позволяет применять правила файервола постепенно, не нарушая работу сайта.

Функций у этого плагина (впрочем, как и у остальных в этой подборке) огромное количество — потянет на отдельную статью. Приведу здесь основные:

1. Защита аккаунтов:

• определяет аккаунт «admin» и предлагает поменять его на другой на ваше усмотрение;
• определяет и сообщает об аккаунтах, в которых логин и имя пользователя совпадают — такие аккаунты взломать легче;
• генерирует сильные пароли.

2. Защита входа в систему и регистраций на сайте:

• опция Login Lockdown — блокирует пользователей за определенное количество неверных попыток входа в систему;
• делает принудительный выход из системы для всех пользователей через установленное время;
• отслеживает активность в аккаунтах всех пользователей путем логирования информации;
• дает отчет о полном списке пользователей, которые выполнили вход в систему на данный момент;
• добавляет captcha в форму логина и форму регистрации;
• позволяет вручную подтверждать каждую новую регистрацию на сайте.

3. Защита базы данных:

• изменяет WP-префикс базы данных на любой другой;
• настраивает автоматическое резервное копирование.

4. Защита файловой системы:

• определяет папки и файлы с небезопасными правами доступа и меняет их на безопасные значения;
• запрещает редактировать файлы с PHP-кодом из администраторской панели управления;
• запрещает доступ к readme.html, license.txt и wp-config-sample.php файлам.

5. Функция файервола позволяет использовать защиту с помощью.htaccess файла. Этот файл обрабатывается вашим веб-сервером еще до обработки любого кода сайта, поэтому правила файервола останавливают вредоносные скрипты еще до того, как у них появится возможность достичь WP-кода.

6. Предотвращение брутфорс-атак.

7. Сканирование безопасности:

• отслеживание файловых изменений и уведомления об этом;
• сканирование таблиц базы данных на подозрительные строки, javascript и html код в базовых таблицах WordPress.

8. Защита от спам-комментариев:

• отслеживание наиболее активных IP, которые постоянно делают спам-комментарии и их блокировка;
• добавление captcha в форму комментариев WordPress.

9. Защита контента от копирования.

Стоимость: бесплатно.

Wordfence

Этот плагин безопасности WordPress сразу же после установки запустит автоматическое сканирование, чтобы проверить, не заражен ли уже ваш сайт. Поддерживает WordPress-мультисайты. Основные функции:

1. Файервол:

• защищает от взлома, распознавая вредоносный трафик и блокируя подозрительные попытки вторжения в систему;
• блокирует общие распространенные угрозы безопасности, например, Google-боты, вредоносное сканирование хакерами и ботнеты.

2. Блокировка:

• блокирует целые вредоносные сети. Включает проверку IP и домена при помощи сервиса WHOIS и блокирует вредоносные IP с помощью файервола;
• блокирует такие угрозы, как агрессивные поисковые роботы, скреперы и боты;
• блокирует и контролирует пользователей, которые нарушают правила безопасности на вашем сайте.

3. Безопасность входа на сайт:

• вход в аккаунт с помощью двухфакторной аутентификации;
• позволяет использовать только сложные пароли администраторам и пользователям;
• предотвращает брутфорс-атаки.

4. Сканирование безопасности:

• проверяет сайт на уязвимости типа Heartbleed;
• проверяет базовые файлы, темы и плагины по репозиторию версий WordPress.org на целостность и безопасность;
• позволяет просмотреть изменения в файлах и исправить их, если есть угроза безопасности;
• проверяет на наличие «черных ходов», которые создают дыры в безопасности (C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx и многие другие);
• сканирует на наличие вредоносных программ и фишинговых URL по Google Safe Browsing List во всех ваших комментариях, постах и файлах;
• сканирует на наличие троянских программ, подозрительного кода и прочих угроз.

5. Мониторинг:

• просматривает весь ваш трафик в режиме реального времени и создает отчет о потенциальных угрозах;
• отслеживает безопасность неавторизированных изменений;
• отслеживает дисковое пространство. Много DDoS-атак нацелены на потребление всего дискового пространства, чтобы спровоцировать отказ в работе сервиса.

Стоимость: бесплатно , но есть Премиум версия, которая включает: vip-поддержку, установку графика сканирования, аудит паролей, а также проверку IP-адреса сайта по Spamvertized.

Цена Премиум подписки – $8,25 в месяц. При оплате на год и более предоставляется скидка.

Sucuri Security

Sucuri Inc – это известная организация, которая занимается вопросами веб-безопасности, со специализацией в WordPress-безопасности.

Плагин Sucuri Security включает следующие возможности:

1. Аудит безопасности.
Отслеживает все события, связанные с безопасностью сайта. Любое изменение, которое может быть квалифицировано как угроза безопасности, плагин записывает. Регистрация действий происходит в SucuriCloud-сервисе для большей сохранности. Это гарантирует, что никто не сможет стереть данные отчетов. Если злоумышленнику удалось обойти систему безопасности вашего сайта, то вся информация о действиях будет сохранена в Sucuri Security Operations Center (SOC).

Эта функция особенно нужна для администраторов сайта и экспертов по безопасности, которым нужно понять, что и когда происходит с сайтом. Можно настроить уведомления о безопасности сайта на email.

2. Контроль целостности файлов.
Плагин проверяет соответствие оригинального (утвержденного) файла с текущим и если он отличается, то возможно безопасность под угрозой. Проверка осуществляется для всех базовых файлов, плагинов и тем.

3. Удаленное сканирование вредоносных программ.
Эта опция осуществляется при помощи инструмента Sucuri, который можно найти на бесплатном сканнере безопасности — SiteCheck.

4. Мониторинг «черного списка».
Плагин проверяет различные «черные списки», включая:

• Sucuri Labs
• Google Safe Browsing
• Norton
• Phish Tank
• McAfee Site Advisor
• Yandex
• SpamHaus
• Bitdefender

Это одни из самых больших списков, которые содержат сайты с проблемами в безопасности. Если ваш сайт был найден в таком списке, то Sucuri предлагает дополнительную опцию за отдельную плату – помощь в том, чтобы удалить ваш сайт из «черного списка» при помощи Website AntiVirus.

5. Эффективное усиление безопасности.
Плагин обеспечивает безопасность сайта с помощью: защиты.htacess, ограничений доступа к wp-includes папке, проверки ключей безопасности, верификации версии PHP, изменения префикса базы данных, удаления readme.html файла и прочего.

6. Действия по безопасности после взлома.
Если взлом сайта всё же произошел, плагин предложит:
обновить ключи безопасности;
обновить пароли всех пользователей;
обновить плагины.

7. Файервол (дополнительная функция за отдельную плату).
Это определенно лучшая функция, которую предлагает Sucuri. Файервол от:

• DoS и DDoS-атак;
• уязвимостей программного обеспечения;
• брутфорс-атак.

Стоимость: бесплатно , есть платные пакеты от $199 в год.

А какую защиту для WordPress-сайта используете вы и чем именно она вам нравится?

Каждый, кто впервые сталкивается с настройкой безопасности сайта, задумывается какой всё-таки плагин установить и настроить для этой цели.

Выбор не маленький. Если вбить «Security» в поле поиска плагинов, результат выдачи будет достаточно длинным.

В любом случае, стоит придерживаться самых популярных, активно поддерживаемых и конечно же тех, которые заслужили большее количество оценок.

В этом обзоре я решил установить 4 плагина для защиты WordPress, и выяснить какой же все-таки из них лучше для обычного пользователя:

Первые три предлагают также премиум функционал, но я не буду включать его в обзор.
Пожалуй в про нет таких функций, без которых нельзя прожить, или которые нельзя заменить на бесплатную альтернативу.

Отмечу, что это не детальный обзор всех возможностей, скорости работы кода или требований. Это разбор базового функционала настройки безопасности и уровня работы с ним.

Ограничение попыток входа

• Wordfence Security

Опция включающая защиту аутентификации называется Enable login security . К сожалению, плагин не переведен на русский язык.

В нижней части страницы находится блок настроек: количество попыток входа, время учета попыток, время блокировки и ряд других опций.

• iThemes Security

Модуль защиты входа находится в разделе Local Brute Force Protection . Пользователям этого плагина чуть больше повезло с русской локализацией.

Чуть ниже можно включить модуль сетевой защиты Network Brute Force Protection . Для этого нужно запросить API ключ, и в бан список будут автоматически попадать адреса, которые уже пытались взламывать чужие сайты.

• Shield Security

Защита входа находится на вкладке Login Protection . Перевод на русский язык есть, и в целом хочу отметить очень приятный и логичный интерфейс.

Можно также заметить, что здесь можно использовать reCAPTCHA, настроить двух-факторную аутентификацию, переименовать страницу входа wp-login.php, и даже связать с Yubikey.

• All in One WP Security

Блок настроек для защиты от брутфорса находится на странице User Login . Перевода готового нет. Опции схожи с аналогичными модулями других плагинов.

На соседних вкладках можно посмотреть журналы событий.

Файервол

• Wordfence

Firewall это один из главных функциональных модулей плагина WordFence. Есть два режима Basic и Extended. Последний позволяет блокировать некоторые атаки даже до старта WordPress, но требует более глубокого понимания серверных настроек.

В бесплатной (community) версии правила блокировки обновляются спустя 30 дней после того как они были добавлены в про.

• iThemes Security

Файервола в этом плагине нет. А рекомендует iThemes пользоваться сервисом Sucuri Website Firewall (платно).

• Shield Security

В настройках этого плагина вы не запутаетесь, вкладка Firewall находится на видном месте. В целом, рекомендуется включить все опции.

• All in One WP Security

Страница блокировок выглядит объемной благодаря тому, что функционал разбит по вкладкам. Место занимает справка и значки уровня защиты (хотя зачем нужны последние). Опций немного, их можно включить все по необходимости.

Журнал изменений и действий

• Wordfence

Автоматическое сканирование можно включить на странице Options в пункте Enable automatic scheduled scans , и не забыть указать чуть ниже емайл (Where to email alerts ).

Wordfence предоставляет большой контроль что сканировать, как и когда отправлять отчет.

• iThemes Security

Функционал монитора находится в блоке Обнаружение изменений файлов .
Сканирование происходит по частям. Можно исключить некоторые файлы, папки или типы файлов.

На вкладке Основные настройки можно также включить и настроить отправку уведомлений о блокировке хостов или пользователей.

• Shield Security

Сканирование изменений и журнал действий можно настроить в двух разделах: Hack Protection и Audit Trail .

В первом модуле настраивается сканирование целостности файлов и их исправление, а также сканер неопознанных файлов.

В модуле Audit Trail отслеживается и отправляется отчет по разнообразным событиям в WordPress (активность связанная с плагинами и темами, действия в пользовательских аккаунтах, редактирование и публикация записей и др).

• All in One WP Security

Модуль отслеживания изменений находится на странице Scanner . Там можно произвести сканирование вручную, или настроить расписание.

Вывод, по мониторингу изменений и журналированию действий у нас два победителя: Wordfence и Shield Security . В зависимости от задачи.

Стоит заметить, что сканирование файловой системы довольно интенсивный процесс, поэтому включать и настраивать нужно с умом.

Блокирование хостов

• Wordfence

Wordfence предоставляет гибкий инструмент для блокировки пользователей.

Можно задать ряд условий для наступления блокировки.

Можно блокировать IP вручную. Или использовать более продвинутые способы: блокировать диапазон, юзер-агент и прочее. Функционал блокировки по странам доступен в премиум версии.

• iThemes Security

Функционал находится на вкладке Заблокированные пользователи . Можно включить бан список от сайта HackRepair.com, и запретить доступ отдельным хостам или юзер-агентам.

• Shield Security

Список составляется автоматически , его настройки и включение можно найти в модуле IP Manager . Ручного добавления нет.

• All in One WP Security

Пользовательские IP и юзер-агенты можно вручную блокировать на странице Blacklist Manager .

Победителями по блокировке можно назвать Wordfence за гибкость настраивания условий блокировки, и Shield Security если вы согласны полностью положиться на автоматическую систему блокировок.

Итоговое сравнение плагинов

Рассматривается только общий базовый функционал. Разумеется, у каждого плагина по защите есть ряд своих особенностей. Антиспам, бэкап базы, настройка пользователей, права файлов и каталогов, отключение лишнего функционала и т.д. Но это такие второстепенные вещи, либо их можно реализовать альтернативными решениями более гибко и узконаправлено.

Моя общая оценка исходит из функционала и удобства использования следующих модулей:

• Защита входа;

Отслеживание изменений/аудит;

Блокировка хостов;

По результатам обзора на звание лучшего плагина для защиты WordPress безусловно вырывается вперед Wordfence . Хотя его интерфейс может показаться запутанным на первый взгляд. На официальном сайте есть хорошая документация (на английском).

Очень порадовал в обзоре Shield Security , русифицированный и четкий интерфейс, очевидно направленный на пользователей менее подготовленных или не желающих вникать во все тонкости настроек безопасности.

Из двух оставшихся плагинов я бы отдал предпочтение несомненно iThemes Security , хотя бы за более логичный и чистый интерфейс.

All in One WP Security не могу назвать плохим плагином, он выполняет свою задачу. Но лидером в этой четверке он тоже не является. Здесь как раз показатель того, что плагины с наращиваемым премиум функционалом стараются в большей степени идти с требованиями рынка, и это конечно сказывается на бесплатных версиях.

Функционал у всех перечисленных плагинов модульный, т.е. при необходимости их можно даже настроить на совместную работу. Ну или исключить лишнее, оставить только необходимое.

Если делать по уму, то к безопасности и её настройкам следует подходить индивидуально в зависимости от назначения сайта, технической реализации и условий его работы.

Раскрученный сайт в сети, масса поклонников ресурса, положительные отзывы от аудитории – все эти факторы становятся основой успешного бизнеса в интернете, приносящего отличный доход.


Создатель сайта радуется своим достижением, но в самый неподходящий момент возникают определенные проблемы, которые, как правило, основывают недоброжелатели. Чтобы защитить свой сайт от взлома, потребуется найти хорошую программу, обеспечивающую достойную защиту ресурса даже от самых серьезных хакерских атак.

Существует три важных направления, гарантирующих безопасность созданного ресурса:

1. Защита от спама.
2. Защита от вирусов ().
3. Защита от взломов.

О первых двух направлениях мы поговорим в следующий раз, а сегодня рассмотрим вопрос –

В интернете достаточно много программ, обеспечивающих защиту сайтам. Почему мы рекомендуем All In One WP Security? Этот выбор обоснован особыми преимуществами:

• плагин устанавливается бесплатно;
• легкая система настроек, позволяющая каждому новичку быстро установить необходимые параметры, гарантирующие достойную защиту;
• наличие русскоязычной версии, что особо актуально для жителей РФ и других стран СНГ.

All In One WP Security

– самый важные критерии, обеспечивающие эффективную работу в сети с получением регулярного дохода.

– отличный плагин для этой цели, а чтобы активировать его защитную функцию, рекомендуем выполнить следующие действия:

1. Перед проведением настроек, желательно произвести резервную копию некоторых файлов (htaccess, wp-config и базы данных). Сделать это можно в самом плагине: выбираем в админке папку «настройки» и выполняем сохранение.
2. Далее, переходим в панель управления. Здесь функционирует довольно удобный измеритель, по которому можно легко определить уровень защиты сайта. Если параметры будут низкими, пользователь может предпринять некоторые действия для повышения этих показателей. Но мы не рекомендуем стремиться к достижению максимального уровня, так как в такой ситуации есть некоторые риски, не совсем приятные для создателя ресурса (сайт может упасть в рейтинге или же программа начнет функционировать с определенными сбоями).
3. Для активации необходимого функционала, обеспечивающего защиту от взлома, переходим в блок текущего статуса.

Общие настройки плагина для защиты WordPress

В общих настройках пользователь может отключать фейерволл, блокировать функции безопасности, что особо актуально, если в системе что-то перестало функционировать в нужном режиме. Здесь также можно создавать резервные копии.

Чтобы скрыть WordPress, необходимо выбрать «Удаление метаданных WP Generator » и отметить данный пункт. А для экспортирования личных настроек переходим во вкладку «Импорт/экспорт», где с помощью всего двух кликов вам удастся установить все необходимые галочки.

Защита от взлома будет достаточно качественной, если вы не поленитесь изменить имя админа. Стандартный профиль с простым паролем легко взламывается хакерами, поэтому грамотно продумайте секретный код и отображаемый ник. Очень хорошо, если он не будет совпадать с именами других пользователей. В любом случае, изменить данную информацию можно всегда.

Отдельное внимание следует уделить вкладке «пароль». В данном плагине функционирует очень интересная функция, позволяющая пользователю проследить оперативность автоматического подбора пароля. То есть, вы придумываете секретный код, вводите его в строку и смотрите, сколько времени уйдет для рассекречивания задуманных символов. Этот поиск выполняется автоматически. Если программа быстро определит ваш пароль, значит, риски взлома достаточно высоки.

Как создать качественный пароль?

• В секретном коде обязательно используйте строчные и заглавные буквы, можно даже в хаотичном порядке;
• пароль должен состоять из букв и цифр;
• для надежности, также можно добавить в задуманный код некоторые символы;
• также не рекомендуется создавать пароль с малым количеством символов (желательно от 10 и более).

Теперь проверяем уровень безопасности нового пароля. Очень хорошо, если автоматическая программа определила возможность взлома за десятки лет! Такая защита точно будет надежной и максимально эффективной!

Авторизация

Переходим к следующему этапу настроек – «Авторизация». Выбираем «Блокировку» и подключаем эту функцию на определенный промежуток времени. Как это работает? Например, вы три раза ввели неправильный пароль, после чего произойдет автоматическая блокировка доступа на заданный период.

Во вкладке «Ошибочные попытки авторизации» можно просмотреть легко подбираемые логины. Также здесь можно наблюдать за количеством попыток взлома с точной датой и временем.
Мы рекомендуем поставить установку «автоматического разлогинивония пользователей» на определенное время (например, 600 минут) и активировать «ручное одобрение новых регистраций».

Дополнительная защита сайта от взлома:

Следующий этап настроек защитного плагина All In One WP Security предусматривает следующие установки:

1. Защита от брутфорс-атак. Для ее активации необходимо переименовать адрес страницы для логина (сменить на свой). Также можно подключить функцию защиты с помощью куки, но помните, при ее активации вы не сможете использовать другие устройства для входа на сайт. Именно поэтому мы не рекомендуем производить настройку данного режима.
2. Мы также не советуем подключать «CAPTCHA».
3. А вот «белый список для логина» многим может пригодиться, но только при условии, если вы совершаете вход с одного ip;
4. Последний шаг – активация медового боченка (ставим галочку).

Эти настройки позволят подключить качественную защиту WordPress от брутфорс-атак.

Совсем недавно состоялись ребрендинг и крупное обновление одного из самых успешных и мощных плагинов для защиты WordPress-сайтов. И, несмотря на предупреждения разработчиков, данный апдейт прошел без сучка и задоринки (по крайней мере, у большинства пользователей) . Даже не потребовалось проводить ручную реактивацию плагина, о необходимости которой нас предупреждали ранее.

Подробно о смене названия и о том, чего нам ожидать от iThemes Security в будущем, я уже писал в . Сейчас же я хочу представить вам инструкцию по детальной его настройке. Особенно полезно данное руководство будет тем пользователям, кто не очень хорошо понимает технический английский (плагин пока еще не переведен на русский язык даже частично, как это было ранее) и некоторые специфические технологии.

Как всегда в своих статьях, прежде чем перейти к процедуре "нажми туда, нажми сюда" , предлагаю ознакомиться с теоретической частью. А точнее с тем, что умеет делать и какие новые функции приобрел iThemes Security. Те, кто уже знаком с данным плагином давно, или те, кому все это не интересно, могут сразу перейти ко второй части инструкции.

Возможности плагина iThemes Security (ex-Better WP Security)

Все знают, что главная задача iThemes Security – это защита блогов на WordPress от всевозможных атак. И защита эта, надо сказать, очень качественная и мощная. На данный момент плагин имеет в своем арсенале более 30 способов обеспечения безопасности. А его разработчики не стесняясь называют свое детище "№ 1" среди подобных плагинов.

Да, сразу же хочу указать на одну важную деталь – безопасность чего бы то ни был, никогда не достигается каким-то одним инструментом. Безопасность – это всегда целый комплекс мер. Следует понимать, что только лишь установка iThemes Security (или любого другого схожего плагина) не может гарантировать вам стопроцентную защиту сайта. Поэтому нужно всегда помнить о базовых принципах защиты – соблюдение интернет-гигиены, содержание в чистоте и превентивная защита компьютера от вредоносного ПО и т.д. и т.п. Также не стоит забывать и о человеческом факторе.

Основной функционал iThemes Security можно поделить на несколько блоков.

Скрытие и удаление (obscure) всего того, что может нести в себе потенциальную опасность

• Смена URL страницы входа в админку - очень полезная функция, и в чем-то даже уникальная (вообще в iThemes Security, как и в раннем Better WP Security, очень много уникальных функций).
• Away Mode – полная блокировка админки в заданное время.
• Удаление заголовков Windows Live Write и RSD.
• Запрет уведомлений об обновлении WP, тем и плагинов.
• Смена логина "admin", если он используется.
• Смена дефолтного ID (1) администратора и префикса (wp_) таблиц БД
• Смена директории wp-content.
• Скрытие вывода ошибок при неверном вводе логина/пароля.
• Отображение для не-админов случайных версий плагинов, тем, ядра.

Защита (protect) WordPress сайта

Сокрытие некоторых частей сайта является очень полезным функционалом, но оно не может предотвратить все атаки. Поэтому среди возможностей iThemes Security имеются, конечно же, и методы защиты - блокировка "плохих" пользователей, повышение безопасности паролей и проч.:

• Сканирование сайта и мгновенное уведомление о слабых местах, имеющих уязвимости, и такое же быстрое их устранение.
• Блокировка проблемных User Agent, ботов и т.п.
• Защита от перебора паролей (brute force) путем блокировки пользователей и хостов, после множественных неудачных попыток входа в админку.
• Общее повышение безопасности веб-сервера.
• Принудительное обеспечение пользователей надежными паролями.
• Шифрование (SSL) админки и любых других страниц и записей (нужен сертификат SSL и поддержка сервером).
• Запрет на редактирование файлов движка, тем и плагинов из адинки.
• Обнаружение и блокировка различных атак на файловую систему и БД сайта.

Обнаружение (detect)

• Мониторинг файловой системы от несанкционированных изменений.
• Обнаружение различных "пауков" и "ботов", которые сканируют сайт в поиске уязвимостей.
• Уведомления по e-mail о случаях блокировки пользователей и хостов.

Восстановление (recovery)

iThemes Security делает регулярные резервные копии базы данных WordPress (по расписанию), что позволяет быстро вернуть исходное состояние сайта в случае его компрометации. К сожалению, базовая версия плагина не поддерживает полный файловый бэкап. Но эта функция имеется в платном сервисе компании iThemes – BackupBuddy.

Другие преимущества

• Возможность создать простую для запоминания страницу входа в админку (можно задать любой адрес, который будет легок для запоминания именно вам).
• Обнаружение ошибок 404, что является важным не только в плане безопасности, но и в плане SEO (битые ссылки на картинки, несуществующие страницы внутри сайта и т.п.)
• Удаление текущей используемой версии jQuery и замена ее на актуальную и безопасную (которая поставляется по умолчанию с WordPress).

Новые функции iThemes Security

• Запрет на выполнение PHP в папке загрузок (uploads).
• Предотвращение создания идентичного логину имени пользователя (отображаемого имени на сайте).
• Скрытие архивов авторов, у которых нет ни единой записи.
• Расширенные возможности по отправке уведомлений
• и др.

Что ж, вот такой вот функционал на данный момент имеется у плагина iThemes Security. Вряд ли у него найдутся серьезные конкуренты. Единственный, на мой взгляд, ближайший конкурент – это . Только он более "капризный" к конфигурации веб-сервера, и предназначен, скорее, для продвинутых пользователей.

Итак, с возможностями плагина разобрались, теперь пора приступить к его настройке.

Советую принять во внимание другую мою статью - , с обзором новых опций, которые не освещены в данной инструкции. Кроме того, относительно недавно я узнал, что замечательная девушка по имени Жанна Лира уже достаточно давно сделала перевод плагина и делится им совершенно безвозмездно с читателями своего блога. Если вам нужна русская локализация, можете взять ее

Установка и настройка плагина iThemes Security (ex-Better WP Security)

Установка для новых пользователей происходит в обычном режиме. Кому как удобней (о различных способах установки плагинов WP можете прочитать ). Страница плагина в репозитории WordPress.org пока что осталась прежней - https://wordpress.org/plugins/better-wp-security/ . Не знаю, изменится ли она в будущем.

При поиске из админки, плагин доступен по названию iThemes Security (formerly Better WP Security) , так что на данный момент его можно найти и по новому имени, и по старому. Как долго будет этот вариант названия, я тоже не знаю.

Итак, находим его, устанавливаем, активируем. И первым делом видим такую картину:

Нас интересует кнопка " Secure Your Site Now " (обезопасьте свой сайт сейчас) . Жмем на нее, и нас встречает окно первичных настроек "I mportant First Steps " (важные первые шаги) :

Все эти базовые настройки можно пропустить, и произвести их позже вручную. Для этого в нижнем правом углу есть ссылка "Dismiss" (отклонить) . Но я рекомендую произвести их именно сейчас, в автоматическом режиме.

Итак, мы видим 4 кнопки:

1. Back up your site – сделайте резервную копию БД сайта. Рекомендуется сделать это еще раз (хотя перед установкой плагина вы уже должны были сделать бэкап самостоятельно). Данная копия будет создана и отправлена на ваш административный e-mail средствами самого плагина.
2. Allow File Updates – разрешить обновление файлов. Речь идет о редактировании файлов wp-config.php и.htaccess, которое требуется для корректной работы плагина. Данная кнопка позволяет ему сделать автоматическое безопасное обновление этих файлов.
3. Secure Your Site – обезопасьте свой сайт. Воспользуйтесь кнопкой One-Click Secure (безопасность в один клик) , чтобы плагин активировал настройки по умолчанию. Причем будут активированы только те функции, которые не должны вызывать конфликтов с другими плагинами. Всё остальное можно будет настроить позже.
4. Help Us Improve – помогите нам стать лучше. Эта кнопка активирует функцию анонимного сбора данных об особенностях вашего сайта (вероятно - версия WP, установленные плагины, возникшие конфликты и т.п.) в целях улучшения плагина в будущем. Еще раз сделаю акцент на том, что сбор статистики анонимен, и компания iThemes не идентифицирует по ней пользователей. Решайте сами, включать эту опцию или нет.

В общем, жмите поочередно, как минимум на три кнопки из четырех (вместо каждой из них появятся уведомления об успешном действии). Затем жмите на "Dismiss", чтобы закрыть это окно.

Теперь необходимо настроить наш iThemes Security более тщательно.

Все настройки плагина находятся в панели управления (Dashboard ):

Сверху, как вы видите, находятся вкладки, по которым осуществляется основная навигация по настройкам. На главной же вкладке - Dashboard - имеется несколько блоков. Для удобства, их можно сворачивать. Также можно менять их местами. Вообще, здесь находится различная обзорная информация и уведомления. А в правой части - рекламные предложения от iThemes.

Сразу скажу, что настраивать iThemes Security мы будем не через кнопки "Fix It", а на следующей вкладке. Но все равно, давайте пробежимся и посмотрим, что тут у нас есть:

Приступая к работе

Здесь находится короткое видео по настройке, а также ссылка на сайт разработчиков, где можно получить помощь или приобрести PRO-версию плагина (а также другие продукты и услуги). Их видео мы смотреть не будем (моя статья вам на кой? =)), тем более, оно на английском. Так что, сворачиваем эту вкладку, чтобы она нам сейчас не мешала, и, перетаскиваем ее в самый низ (если хотите).

Если у вас есть желание и потребность посмотреть русскоязычное видео по обновлению и настройке iThemes Security , зайдите на сайт к Дмитрию по указанной ссылке. Он очень оперативно выпустил актуальную видеоинструкцию, за что ему большой респект от многих блогеров Рунета! (А с меня ссылка в знак искреннего уважения)

Статус безопасности

Это, пожалуй, самый важный блок на данной странице. Остановимся на нем подробней.

В данном блоке тоже имеются вкладки, которые указывают на степень критичности уведомлений – High (высокая), Medium (средняя), Low (низкая). Также есть две вкладки – All (всё на одной странице) и Complete (готовое, т.е. то, что плагин уже сделал/исправил) .

Высокий приоритет (High Priority) - отмечается бледнорозовым цветом и подразумевает необходимость немедленного исправления.

В моем случае, как вы видите, всего одно замечание – это необходимость настроить резервное копирование БД по расписанию.

Что ж, давайте воспользуемся волшебной кнопкой "Fix it" ("пофиксить", исправить) .

Нас тут же перебрасывает на вторую вкладку с основными настройками (Settings ), в раздел настроек резервных копий. И указывается тот пункт, который нужно пофиксить. В моем случае – это Schedule Database Backups (расписание для резервирования БД) . Отмечаем чекбокс (1), указываем интервал (2) и сохраняем изменения кнопкой Save Changes (3).

Раньше расписание можно было настроить так, чтобы резервные копии делались хоть каждый час. Сейчас же минимальный интервал – это 1 день.

После переходим обратно на вкладку Dashboard и видим, что замечаний с высокой критичностью больше нет.

Можно таким же способом пройтись и дальше - по пунктам Medium Priority и Low Priority , и также воспользоваться кнопками Fix it. Но, мы воспользуемся другим методом - будем производить настройку вручную, на вкладке Settings. Если же вам удобней делать это именно отсюда (с Dashboard), то без проблем. Особой разницы нет. Просто на основной странице плагина у всех могут быть разные уведомления. Поэтому я буду настраивать iThemes Security непосредственно через настройки (да и вообще, так удобней и правильней, как мне кажется)

Но перед этим мы быстро пробежимся по остальным информационным блокам Dashboard.

Активные блокировки

Здесь плагин будет информировать нас о том, какие узлы (т.е. IP-адреса ботов или живых людей) или пользователи (те, кто зарегистрирован на сайте) были заблокированы за различные недопустимые действия.

Системная информация

Тут находится информация об активном пользователе (т.е. о вас) - ваш IP-адрес и User Agent. Также здесь указываются:

• Абсолютный адрес сайта и корневая папка на сервере
• Доступны ли на запись файлы.htaccess и wp-config.php
• Информация о БД, сервере и PHP
• Некоторые параметры WordPress
• Используемый билд iThemes Security (версия сборки, которую нужно будет указать при обращении в саппорт; версия билда отличается от той версии, что указывается на странице плагина – это немного разные вещи)

Перезаписанные правила

Здесь будет находиться информация о том, какие именно правила прописал плагин в файл.htaccess

Правила для wp-config.php

Аналогично предыдущему пункту, только уже для другого файла, как вы понимаете.

Я для себя лично немного поменял местами эти блоки и все их свернул. Таким образом, главная страница панели управления плагином у меня теперь выглядит более компактно, да и открывается быстрее:

Все настройки плагина скомпонованы по отдельным блокам (секциям). Для удобства их также можно сворачивать или менять местами. Здесь же имеется и выпадающее меню для быстрой навигации по разделам. Также это меню будет всегда сопровождать вас в правой части области просмотра, в виде плавающего блока с выпадающем списком.

Напомню сразу, что после внесения изменений в любой из секций, необходимо сохраняться (" Save Changes ")

Глобальные настройки

Первым пунктом здесь значится Write to Files - запись в файлы. Этот пункт уже отмечен, и "галочку" снимать ни в коем случае не нужно (!). Иначе вы запретите плагину запись в файлы.htaccess и wp-config.php, тем самым все созданные правила и параметры конфигурации придется прописывать вручную.

Следующие два пункта – это указание e-mail адресов для получения уведомлений (Notification Email) и бэкапов (Backup Delivery Email) . Причем адреса можно указать разные; можно добавить и несколько адресов. Каждый e-mail следует прописывать с новой строки.

В поле " Host Lockout Message " можно указать сообщение, которое будет выводиться тем, кто был заблокирован плагином. По умолчанию лаконично указано "error". Можете проявить креативность и написать что-нибудь оригинальное. Но смысла в этом нет, т.к. в основном будут блокироваться всяческие боты.

В поле " User Lockout Message " можно прописать сообщение, которое будет отображаться для тех зарегистрированных на сайте пользователей, чей аккаунт будет заблокирован за неудачные попытки залогиниться. Можно оставить дефолтное сообщение " You have been locked out due to too many login attempts " ("Вы были заблокированы из-за слишком большого количества попыток входа").

Blacklist Repeat Offender – это черный список "рецидивистов", т.е. тех, кто регулярно пытается подобрать пароль или производит иные запрещенные действия. По умолчанию функция активирована, и я не рекомендую ее отключать.

Blacklist Threshold – порог для внесения IP-адреса в блэклист. То есть, здесь указывается то количество блокировок пользователя или хоста, после которого IP-адрес нарушителя будет перманентно добавлен в черный список. Дефолтное значение = 3. Это значит, что если кто-то получил три блокировки за попытки подобрать пароль к админке, то он отправляется в блэклист.

Blacklist Lookback Period – период, на который нарушитель отправляется в бан. Здесь указывается кол-во дней, которое нарушитель будет находиться в черном списке. Это значение можно увеличить (по умолчанию стоит 7 дней).

Lockout Period – период блокировки. Продолжительность времени (в минутах), в течение которого, хост или пользователь будет заблокирован после первичных нарушений (без внесения в черный список).

Пример : допустим, кто-то пытается подобрать пароль к админке, делает несколько неудачных попыток и временно блокируется на указанное кол-во минут. Если после разблокировки он не прекращает свою атаку, и получает еще две (если в Blacklist Threshold указано значение 3) временные блокировки, тогда он отправляется непосредственно в черный список.

Lockout White List – белый список. Здесь можно указать IP-адреса, которые не будут вноситься в блэклист. Если у вас статический айпишник, то целесообразно прописать его в данное поле, чтобы не возникало никаких потенциальных трудностей с доступом (прописаться в белом списке можно и с динамическим IP-адресом).

Следует отметить, что если вы активировали режим Away Mode (о нем позже), то в указанное в нем время, вы все равно не сможете попасть в админку. Правила Away Mode приоритетней белого списка.

IP-адреса в White List прописываются в стандартном IPv4 формате – например, 123.123.123.123. Также допускается использование символа (*) для указания диапазона адресов. Например, запись вида 123.123.123.* будет означать, что все IP-адреса, начиная с 123.123.123.0 и заканчивая 123.123.123.255, будут разрешенными. Это удобно, если у вас нет статического айпишника.

Каждый IP-адрес или подсеть следует вносить с новой строки.

Email Lockout Notifications – отправка писем, на указанную в поле Notification Email электронную почту, всякий раз, когда какой-либо хост или пользователь сайта будет заблокирован.

Log Type – тип логирования. Здесь можно указать, какие именно журналы будет вести плагин iThemes Security. Варианта три – только БД (Database Only), только файловые логи (File Only) или оба вида (Both).

Каждый из этих вариантов записи событий имеет свои преимущества и недостатки.

• Database Only – в журнал будут записываться все изменения, вносимые в БД, такие, как новый пост, новый комментарий и т.п. Также логироваться будет создание бэкапов. Зачем это нужно рядовому пользователю, я не понимаю. Советую не использовать данный режим.
• File Only – более полезный вариант логирования. Будут записываться разного рода ошибки 404, изменения файлов (при активной опции) и т.п. Рекомендую использовать именно этот режим.

Имейте в виду, что любая запись на диск сервера (а логирование – это, естественно, запись) вызывает дополнительную нагрузку. Ну, и сами логи занимают место, конечно же. Странно, что в плагине нет возможности полностью отключить журналирование

Days to Keep Database Logs – сколько дней хранить журналы БД. Если вы не активировали режим логирования Database Only, то нет никакой разницы, какое кол-во дней указывать в этом поле. Потому что файловый журнал будет все равно храниться неограниченное время, но с одним важным условием – по достижении размера в 10 MB, файл будет перезаписываться. Хорошее нововведение, потому как раньше, у некоторых пользователей логи съедали огромное кол-во дискового пространства, и их (логи) необходимо было чистить с завидной регулярностью. Вручную.

Path to Log Files – путь к файлам логов. Тут все понятно. Есть только одно замечание – указанная директория должна быть доступна для записи, и одна рекомендация – в целях безопасности не следует хранить логи в корне сайта. Короче говоря, оставляем все, как есть.

Allow Data Tracking – разрешить сбор статистики для iThemes. Это то самое, о чем мы уже говорили ранее. Хотите - включайте, хотите - нет. Еще раз напомню, что данные собираются и отправляются анонимно и пойдут они на пользу в развитии плагина.

Что ж, с Global Settings разобрались. Идем дальше. Ох, как много мне еще писать, а вам читать =)

Обнаружение ошибок с кодом 404

Данная функция заключается в сборе информации о том, каким хостам многократно отдается ошибка 404, и в их блокировке соответствующим образом. Этот анализ важен по нескольким причинам, главная из которых – предотвратить сканирование на предмет имеющихся уязвимостей.

Также данная опция дает дополнительное преимущество, помогая вам найти скрытые проблемы, вызывающие ошибки 404. Это могут быть, например, какие-то "битые" картинки или нерабочие внутренние ссылки. Все ошибки будут регистрироваться, а посмотреть их можно на вкладке "Просмотр журналов" (Логи, Logs).

Первым делом в этой секции мы видим некоторую информацию о текущих настройках по блокировкам (все это мы настраивали в блоке глобальных настроек). У меня, например, это выглядит вот так:

Enable 404 detection – собственно, активация данной функции.

Minutes to Remember 404 Error (Check Period ) – количество минут (контрольный период), в течение которого будут засчитываться локауты. Дефолтное значение 5 минут.

Пример: какой-то бот/парсер "долбит" сайт в поиске различных уязвимых файлов и страниц, и, не находя их, получает в ответ ошибки с кодом 404. Делает он это, предположим, в течение минуты, потом останавливается на минуту, и начинает снова. Плагин все эти его действия будет помнить и вскоре тот получит бан.

Если же, допустим, бот "подолбил" 30 секунд и ушел с сайта минут на 10, то при следующем его визите плагин будет считать его уже за вновьприбывшего, а прошлые "заслуги" данного хоста помнить не будет.

Поэтому, дефолтное значение можно немного увеличить (к примеру, до 10 минут).

Error Threshold – порог допустимых ошибок. Кол-во ошибок (в пределах контрольного периода) при достижении которых произойдет блокировка. Если задать значение 0, то запись ошибок будет происходить без блокировок (такой вариант следует использовать только в целях отладки, потому как при нем не будет пресекаться сканирование на уязвимости).

Значение по умолчанию = 20. Не думаю, что стоит его увеличивать, ведь ошибки 404 могут отдаваться не только при подозрительных действиях, но и, например, если у сайта нет favicon, или и т.д.

И вот тут очень кстати в iThemes Security появилось хорошее нововведение – список исключений (white list) для ошибок 404. В него уже добавлены наиболее известные общие файлы, отсутствие которых вызывает данные ошибки:

Этот список можно дополнять и другими известными файлами. Но более правильным решением будет привести все в порядок – создать фавикон, apple-touch-icon.png, robots.txt, sitemap.xml и т.п. Ведь white list не предотвращает запись ошибок сервером. А, как вы уже знаете, любая запись на жесткий диск – это дополнительные нагрузки.

Режим отсутствия / Гостевой режим

Данный режим позволяет полностью отключить доступ к админпанели WordPress в заданные дни или часы. Это может быть весьма полезным, и уж точно не будет лишним в плане дополнительной защиты.

Как это работает? Допустим, вы никогда не заходите в админку ночью и ранним утром. Или, скажем, вы уезжаете в отпуск, и точно знаете, что в это время не будете пользоваться админкой. Почему бы тогда ее вообще не отключить на эти часы или дни? Правильно? Правильно.

Прежде чем активировать и настроить данную опцию, помните, что часовой пояс, используемый на сайте, может отличаться от вашего реального часового пояса. Так что, производите настройки Away Mode, основываясь на глобальных настройках самого сайта.

Итак, чтобы включить гостевой режим, отмечаем чекбокс "Enable away mode" .

Если выбрать Daily, то для указания временного интервала нам будут доступны два параметра - Start Time (стартовое время) и End Time (конечное). Время указывается в 12-часовом формате. AM – до полудня; PM – после полудня.

Пример : если я хочу заблокировать админку в период с 2-х ночи до 7 утра, то я указываю - от 2:00 AM до 7:00 AM. В общем, погуглите, если необходимо. В интернете есть сервисы и таблицы соответствия 24- и 12-часовых форматов.

Если выбрать режим единоразовой блокировки, то нужно указывать дату и время ее начала, и дату и время ее окончания. Все гениальное - просто.

Заблокированные пользователи

Эта функция позволяет полностью запретить доступ к сайту определенным хостам и User Agent, что благоприятно скажется на противодействии спамерам, парсерам и прочим нечистоплотным людям и ботам.

Первым делом нам предлагается подключить базовый черный список известных проблемных User Agent, созданный группой HackRepair.com.

Вообще, что такое User Agent? В нашем случае - это некая информация, по которой (помимо прочего) веб-сервер идентифицирует обратившийся к нему хост. В ней содержится используемый браузер, ОС и проч. У поисковых роботов имеются свои собственные юзер-агенты, у спамерских ботов и различных парсеров свои и т.д. И на основании известных нежелательных User Agent используются подобные Black-листы.

Свой User Agent (UA) вы можете посмотреть, например, на сайте http://whatsmyuseragent.com/ . Попробуйте зайти на эту страницу с разных браузеров и обратить внимание на разницу UA.

Итак, чтобы активировать базовый блэклист отмечаем параметр "Enable HackRepair.com"s blacklist feature" . Если вам нужен самый свежий и полный список "плохих" юзер-агентов и хостов, то его всегда можно взять на странице http://pastebin.com/5Hw9KZnW и самостоятельно добавить в файл.htaccess

Есть одно замечание! Недавно где-то видел инфу, что данную опцию лучше не активировать, т.к. это может повлечь за собой блокировку некоторых поисковых роботов. Лично у меня всегда был подключен этот блэклист и я не наблюдал ни в Я.Вебмастере, ни в Гугл Вебмастере каких-либо проблем с доступом этих пауков к сайту. Так что, рекомендую эту функцию активировать. Кроме того, можно проанализировать данный список и убедиться, что в нем не присутствуют идентификаторы ни Гугла, ни Яндекса.

Помимо дефолтного блэклиста существует возможность и ручной блокировки определенных хостов или UA. Для этого необходимо активировать опцию "Enable ban users" , после чего нам станут доступны три поля для ввода:

• Ban Hosts – блокировка хостов. Сюда всегда можно внести какие-либо IP-адреса, с которых регулярно идут атаки на ваш сайт или спам.
• Ban User Agents – блокировка UA. В большинстве случаев, пополнять этот список вручную нет необходимости, достаточно базового списка с HackRepair.com. Но если вы вдруг обнаружите постоянную атаку с определенных UA, то почему бы и не воспользоваться возможностью их блокировки.
• Whitelist Users – белый список. Можете внести свой IP-адрес.

IP-адреса в эти списки вносятся по такому же принципу, как и в Lockout White List.

Защита от брутфорс атак

Очень важная функция, которая является дополнительным щитом поверх смены URL админки. А если вы не станете использовать подмену страницы входа в админ-панель (об этом чуть позже), то данная функция становится не просто важной, а архиважнейшей. Более того, она позволяет отказаться от дополнительных плагинов, выполняющих ту же самую задачу (Limit Login Attempts, Login Lockdown и др.).

По умолчанию опция уже активирована. А если по какой-то причине "галочка" возле "Enable brute force protection" не установлена, то поставьте ее.

Параметр " Max Login Attempts Per Host " отвечает за максимальное кол-во попыток для одного хоста. Дефолтное значение = 5. Т.е., если кто-то 5 раз подряд неправильно введет логин или пароль, то он будет заблокирован на указанное время.

" Max Login Attempts Per User " отвечает за количество попыток для конкретного пользователя. Т.е., если кто-то вбивает свой логин (или злоумышленник знает существующие на сайте логины), но неверно указывает пароль, то в бан уходит именно этот пользователь (его учетная запись). Значение по умолчанию – 10 попыток.

И заключительный параметр в этом блоке настроек – "Minutes to Remember Bad Login (check period)" – контрольный период, в течение которого плагин будет помнить неудачные попытки залогиниться. Также оставляем 5 минут. При желании, можно увеличить это значение.

Резервные копии (бэкапы) базы данных

Доподлинно известно, что одним из лучших способов защиты и устранения последствий атак являются резервные копии. Каждый блогер или владелец сайта просто обязан иметь ежедневные бэкапы БД.

В большинстве случаев, блогеры перекладывают эту задачу на хостинг. Но, как говорится, Aide toi et le ciel t’aidera. Так что, помимо хостерских бэкапов всегда следует иметь и запасной вариант. Кто-то использует для этого специальные плагины и скрипты, но зачем? Ведь iThemes Security справляется с этой задачей на 5+

Итак, первым параметром здесь является "Backup Full Database" – это режим создания полной резервной копии таблиц сайта. Если активировать данную опцию, то в бэкапы будут добавляться абсолютно все таблицы, которые могут и не относиться непосредственно к сайту (например, какие-то сторонние скрипты и т.п.). На всякий пожарный рекомендую ею воспользоваться, хотя это, в общем-то, и не критично.

• Save Locally and Email – хранить бэкапы на сервере и отправлять их по e-mail
• Email Only – отправлять только по электронной почте
• Save Locally Only – хранить только на сервере

Рекомендую использовать исключительно Email Only (если ваша БД не очень больших размеров). Потому что хранить резервные копии на том же сервере, где расположен сам сайт – это а) бессмысленно; б) трата дискового пространства.

Если же вы решили хранить бэкапы (и) на сервере, то в поле "Backup Location" можете указать директорию для их хранения (или оставить путь по умолчанию). Ни в коем случае не рекомендуется указывать корневую папку сайта для этих целей.

Убедитесь, что у вас отмечен пункт "Compress Backup Files" – это сжатие файлов резервных копий. Таким образом, файл БД будет упакован в ZIP-архив, что значительно уменьшит его размер.

Далее следует указание некоторых специфических таблиц, которые можно исключить из бэкапов (Exclude Tables) . К ним относятся таблицы, создаваемые некоторыми плагинами, и которые не всегда представляют какую-то реальную ценность.

По умолчанию в поле "Excluded Tables" включены таблицы, создаваемые плагином iThemes Security, а в левом поле "Tables for Backup" – те таблицы, которые создаются различными плагинами (в основном – это разные логи), но не относящиеся (как правило ) непосредственно к содержимому сайта.

Если вы уверены, что какие-то таблицы из правого поля не несут пользы для резервирования БД, то можете их исключить из создаваемых бэкапов. Тем самым может значительно уменьшиться размер резервных копий. Если не уверены, то оставляйте все как есть.

В любом случае помните, что данные бэкапы могут отличаться от бэкапов, созданных хостером, потому как на хостинге создаются полные резервные копии БД. Но, это ни в коем случае не означает, что резервные копии, созданные в iThemes Security, будут недееспособны. Отнюдь.

Ну, а далее идет расписание - Schedule Database Backups . О нем мы уже говорили почти в самом начале. Рекомендую ставить минимально возможное значение - 1 день. Таким образом, на вашу почту ежедневно будет приходить бэкап БД сайта.

Обнаружение изменений файлов

Даже самые лучшие решения в области безопасности могут потерпеть неудачу. Как в таком случае узнать, что кто-то получил административный доступ к вашему сайту? Скорее всего, злоумышленник будет менять какие-то файлы, внося в них свой код. Отслеживанием таких изменений и занимается данная функция.

В отличие от других решений, iThemes Security сравнивает файлы локально, с момента последней проверки, а не сверяет их с "заводскими" файлами удаленно.

После каждой проверки вы будете знать, были ли внесены какие-то изменения лично вами, или они появились в результате компрометации. Обращайте внимание, главным образом, на различные системные файлы, которые вдруг изменились без видимой причины (не было никаких обновлений, вы лично не вносили в них изменения и т.п.).

Если так случится, что на вашем сайте вдруг обнаружится вредоносный код, то благодаря данной опции вам проще будет отследить когда и куда он мог быть добавлен.

Нажмите кнопку " File Scan Now " , чтобы произвести добавление файлов и первичное сканирование. Если изменения обнаружатся, то вас перебросит на страницу журналов ("Logs") для просмотра деталей. Журналы изменений файлов находятся в секции :

Возвращаемся обратно к настройкам. Чтобы активировать ежедневную автоматическую проверку изменения файлов, отметьте галочкой пункт "Enable File Change detection" .

Следующим параметром - "Split File Scanning" - можно активировать режим разделения сканируемых файлов на категории. Всего категорий 7. Это плагины, темы, wp - admin , wp - includes , uploads (загрузки), wp - content и последняя – это все то, что не вписывается в предыдущие категории . Проверка этих частей будет разделена равномерно, в течение дня. Из чего следует, что данная настройка приводит к увеличению числа уведомлений, но в то же время она снижает нагрузку на сервер, что особенно актуально на "слабом" хостинге.

Почему это так важно? Раньше, при включенном отслеживании изменений файлов, сыпалось столько уведомлений, что многие просто отключали эту опцию. Связано это было, в том числе и с тем, что при использовании плагинов кэширования файлы на хостинге меняются весьма часто и в большом кол-ве (кэш). Сейчас же подобные кэшированные файлы можно исключить из проверки.

Делается это так (на примере папки с кэшем, которую использует плагин Hyper Cache, другие подобные плагины, скорее всего, используют эту же папку):

Имеется также возможность не исключать определенные файлы и папки, а наоборот включать только выбранные. Для этого в выпадающем меню выберите "Include Selected", и укажите, какие именно файлы и папки вы хотите мониторить.

В поле " Ignore File Types " можно указать различные расширения файлов, которые будут игнорироваться функцией отслеживания изменений. Обычно это файлы картинок и т.п. То есть это НЕ должны быть текстовые файлы (включая php, js и проч.), т.к. именно в них обычно и внедряется вредоносный или иной посторонний код.

Параметр " Email File Change Notifications " отвечает за отправку уведомлений об изменениях на указанный(ые) в глобальных настройках e-mail(ы).

Функцией " Display file change admin warning " можно включить/отключить показ уведомлений в админке.

Имеется возможность выбрать оба режима или какой-то один. Если же отключить их оба, то вы вообще не будете получать никаких уведомлений, но изменения в любом случае можно будет просматривать на вкладке "Logs".

Скрытие страницы входа в админку сайта

Еще одна уникальная функция плагина iThemes Security, благодаря которой можно здорово обезопасить свой сайт от брутфорс атак.

Работает это следующим образом – вместо стандартного URL входа в админку (site.ru/wp-login.php) вы можете указать любую произвольную страницу, например, site.ru/voydi_v_menya . Таким образом, вряд ли кто-то узнает, по какому адресу находится страница входа.

Также данная функция призвана облегчить запоминание адреса бэкенда (так часто называется админка сайта), и отказаться, наконец, от использования виджета META на сайте.

Для включения этого режима поставьте галочку возле "Enable the hide backend feature" .

В поле "Login Slug" (можно перевести, как "Вход для ленивых") укажите желаемый адрес для входа в админку. Это может быть любое удобное и запоминающееся для вас слово (или же набор символов). Само собой здесь нельзя использовать "login", "admin", "dashboard", или "wp-login.php". Также не рекомендую применять для адреса страницы входа какие-то ваши ники в интернете, дату рождения и т.п., потому как все это очень легко вычислить.

Если после скрытия админки у вас возникли проблемы с доступом в нее, то возможной причиной может стать несовместимость с темой. Для того, чтобы исправить это, воспользуйтесь опцией "Enable Theme Compatibility" .

В поле " Theme Compatibility Slug " указывается адрес, который будет выводиться при попытке зайти в админку по стандартному адресу site.ru/wp-login.php (если активирована предыдущая функция).

Ну что, устали? Потерпите, осталось не очень много =)

Шифрование (SSL)

Secure Socket Layers (SSL) - это технология, которая используется для шифрования данных, передаваемых между сервером и посетителями сайта. Если SSL активирован, он делает невозможным перехват данных для злоумышленника (в последнее время идет много споров на этот счет, но все равно технология остается максимально устойчивой). Поэтому рекомендуется использовать шифрование на страницах ввода паролей и иных данных. Любые, более-менее крупные сайты, где используется ввод и передача конфиденциальной информации, используют шифрование (на таких сайтах адрес начинается с https ://)

Однако этот режим требует того, чтобы ваш сервер имел поддержку SSL.

Ни в коем случае не активируйте SSL, если не имеете сертификата, и ваш хостинг не поддерживает данную технологию для клиентских сайтов. Иначе сайт, страница входа в админку или сама админка (в зависимости от выбранных настроек) станут не доступны.

Все это актуально для тех сайтов, где предусмотрена регистрация, имеется разного рода "личка", и, конечно же, для интернет-магазинов и т.д. Для обычных сайтов и блогов SSL-сертификат, как правило, не приобретается. Он попросту не нужен, т.к. все статьи, комментарии и все прочее, итак находятся в открытом доступе. Единственное, где шифрование может оказаться полезным для наших блогов – это страница входа и сама админка (этим мы сможем обезопасить себя, например, от перехвата пароля в момент его ввода).

В общем, в 99% случаев все это блогерами не используется, поэтому подробно рассматривать данную секцию мы не станем.

Надежные пароли

В данном разделе можно включить принудительное использование надежных паролей согласно оценке встроенного в WordPress измерителя паролей.

Данная настройка практически не актуальна для однопользовательских сайтов, где доступ в админку есть только у владельца (администратора), и где не предусмотрена регистрация пользователей. Тем более, вы, мои дорогие читатели, наверняка знаете, и где его хранить (ну, конечно же, в менеджерах паролей, типа , и т.п.)

В остальных случаях рекомендуется указать минимальную роль, для которой будет требоваться надежный пароль. Как правило, это Авторы, Редакторы и Администраторы . Для Участников и Подписчиков требовать сложный пароль не имеет смысла.

Но, опять же, все зависит от сайта. Если у вас, скажем, интернет-магазин, то требовать надежные пароли следует от любого пользователя, который будет в нем регистрироваться.

Что ж, нам осталось разобраться с двумя последними очень интересными секциями...

Тонкая настройка (твики) системы

Это дополнительные настройки, которые могут быть использованы в целях дальнейшего укрепления безопасности вашего WordPress сайта.

Данные настройки указаны, как расширенные, поскольку они блокируют распространенные формы атак, но они также могут блокировать функции легитимных плагинов и тем, которые имеют схожие методы. При активации настроек, указанных ниже, рекомендуется включать их поочередно, дабы проверить, что работа сайта не нарушилась.

Protect System Files – защита системных файлов. Предотвращение публичного доступа к readme . html , readme . txt , wp - config . php , install . php , wp - includes и. htaccess . Эти файлы могут содержать важную информацию о сайте, и публичный доступ к ним не нужен после успешной установки WordPress.

Disable Directory Browsing - отключение просмотра каталогов. Запрещает пользователям видеть список файлов в директориях, даже при отсутствии в них индексного файла (index.php).

Filter Request Methods – фильтрация методов запроса TRACE, DELETE, TRACK. Я не силен ни в PHP, ни в веб-серверных технологиях, но предполагаю, что речь идет о запросах, которые могут нести какую-либо нежелательную функцию (напр., возможность осуществления XSS-атаки). Если кто расскажет в комментариях об этом более подробно или поправит меня, буду очень признателен (да и не только я).

Filter Suspicious Query Strings in the URL - фильтрация подозрительных строк запроса в URL. Это очень частый признак того, что кто-то пытается получить доступ к вашему сайту. Но, следует иметь в виду, что некоторые плагины и темы также могут быть заблокированы при активации данной опции (обязательно проверьте работоспособность сайта после ее включения!) . Будет очень хорошо, если никаких проблем не возникнет, т.к. этот метод защиты очень важен! Если же проблемы все-таки появятся, то лучшим вариантом будет избавиться (по возможности) от несовместимого плагина, чем не активировать данную функцию.

Filter Non-English Characters – фильтрация не англоязычных символов из строки запроса. Этот фильтр работает только в том случае, если активирован предыдущий. Но, если на вашем сайте используется русская адресация (названия статей, рубрик и т.п.), то эту функцию включать не стоит. Иначе сайт может стать недоступным!

Вообще, если вы имеете дело с сайтами, с web, с серверами, линуксами и т.д., то пора уже привыкнуть, что использование не латинских символов в каких-то служебных целях крайне не желательно.

Filter Long URL Strings – фильтрация длинных строк в URL. Ограничивает число символов, которое можно послать в URL (не более 255). Хакеры часто используют длинные URL-адреса для внедрения сторонней информации в БД (SQL-инъекций).

Remove File Writing Permissions – удаление разрешений на запись в файлы. Данная функция запрещает различным скриптам и пользователям запись в файлы wp-config.php и.htaccess. Следует обратить внимание, что в данном случае, как и в случае с другими плагинами, эту защиту можно преодолеть. Но в любом случае, данный запрет укрепляет безопасность указанных файлов.

Если функция активирована, то на эти файлы устанавливаются права 444. В случае отключения, им возвращаются права 644.

Disable PHP in Uploads – запрет на выполнение PHP в папке uploads. Новая функция, которая позволяет предотвратить загрузку вредоносных скриптов в указанную папку.

Итак, мы активировали все (по возможности) эти функции, и переходим к последнему блоку.

Твики WordPress

Это дополнительные настройки, которые могут быть использованы в целях дальнейшего укрепления безопасности вашего WordPress сайта. Как и в случае с системными твиками, из-за некоторых из этих настроек могут возникнуть несовместимости и сбои в работе сайта. Рекомендуется включать их также поочередно.

Remove WordPress Generator Meta Tag – удаление мета-тега Generator. Удаляет из заголовка сайта мета-тег , который указывает используемую на сайте версию WP . Данная функция упразднена с версии 4.9.0.

В любом из мануалов по защите WordPress, первым делом рекомендуется удалять данный мета-тег, т.к. зная версию движка, злоумышленнику проще определить его уязвимости и вектор атак. Когда-то мы проделывали это вручную, теперь же за нас всё делает iThemes Security.

Remove the Windows Live Writer header – удаление заголовка Windows Live Writer. Если вы не пользуетесь WLW или другими платформами для написания и публикации статей на блоге, то данную функцию можно не активировать.

Remove the RSD (Really Simple Discovery) header – удаление заголовка RSD. Если вы не интегрировали свой ​​блог с внешними XML-RPC сервисами, (напр., с Flickr), то функция RSD является для вас в значительной степени бесполезной.

Говоря по-простому, обе предыдущие опции вырезают из header`а сайта примерно такие строки:

XML-RPC – это стандарт (протокол), используемый в т.ч. и WordPress для удаленной публикации статей и др. данных из сторонних программ, платформ и сервисов. Если вы не пользуетесь такими функциями (к ним, кстати, относятся и различные WP-клиенты для Android и iOS), то настоятельно рекомендуется отключить данный протокол. Из-за периодического появления в нем новых уязвимостей.

Недавний случай: в середине марта сего года были зафиксированы очередные мощные DDoS-атаки с использованием уязвимости XML-RPC. Но дидосились не сами WordPress-сайты с XML-RPC, они лишь использовались в качестве ретрансляторов для усиления атак (т.е. выступали в качестве участников ботнета).

Я могу ошибаться, но если память мне не изменяет, было обнаружено более 60 тыс. WP-сайтов, которые выступали в роли ботов для DDoS-атак из-за данной уязвимости. А их владельцы даже и не подозревали об этом. Да многие до сих пор, наверное, и не подозревают. Я даже видел ссылку на специальный сервис, где можно проверить свой сайт, не участвует ли он в подобных DDoS-атаках.

Вот поэтому рекомендуется отключать XML-RPC (если, конечно, вы его не используете). Раньше в админке WordPress была специальная функция для его деактивации. Сейчас же ее нет. Поэтому придется чуточку повозиться вручную (в интернете много информации о том, как это сделать) или же воспользоваться функцией iThemes Security, до которой мы скоро дойдем.

Reduce Comment Spam – уменьшение спама в комментариях. Эта опция позволит сократить кол-во спама, блокируя комментарии от ботов, не имеющих реферера или User Agent. Вряд ли это может повлиять на нормальные комментарии, так что включаем, не задумываясь. Облегчим работу .

Display Random Version – отображение случайной версии WordPress там, где невозможно удалить ее показ полностью. Актуально для многопользовательских сайтов.

Disable File Editor – отключение редактора файлов в админке WP. Не пользуетесь внутренним редактором? Смело отключайте.

Disable XML - RPC – отключение XML-RPC. То самое, о чем мы недавно говорили. Если не пользуетесь средствами удаленной публикации, обязательно отключите XML-RPC.

Enqueue a safe version of jQuery – установка безопасной версии jQuery. Эта функция удаляет текущую используемую версию библиотеки jQuery и заменяет ее на безопасную (которая поставляется по умолчанию с WordPress). Если версия этой библиотеки удовлетворяет требованиям iThemes Security, то ничего делать не нужно:

Disable login error messages – отключение сообщений об ошибках, которые отображаются при неудачной попытке входа в систему.

Force Unique Nickname - принудительное использование уникального ника, отличающегося от логина.

Disable Extra User Archives – отключение архивов пользователей, чье кол-во записей равно 0.

Ну, вот и все по основным настройкам. Теперь можно вновь перейти на вкладку Dashboard, и посмотреть на текущие уведомления. В моем случае сейчас они выглядят так:

Осталось пройтись по оставшимся вкладкам.

Продвинутые (расширенные) настройки

Приведенные ниже настройки являются продвинутыми. Убедитесь, что у вас имеется работоспособная резервная копия сайта перед изменением любого параметра на этой странице. Кроме того, эти установки не будут обращены вспять, даже если вы удалите плагин iThemes Security (!).

Тем не менее, все используемые здесь настройки рекомендуются самим сообществом WordPress.org, и они помогут в улучшении безопасности вашего сайта.

Admin User – удаление пользователя admin, если он имеется. Я никогда не использую дефолтный логин "admin" даже на тестовых сайтах. Поэтому здесь у меня никаких опций нет. Имеется лишь надпись " It looks like you have already removed the admin user . No further action is necessary (Похоже, вы уже удалили пользователя admin . Никаких дополнительных действий не требуется)". Надеюсь, что у вас также.

Change Content Directory – смена контент-директории. Ни в коем случае не экспериментируйте с этой функцией! Ее рекомендуется использовать только на вновь создаваемых сайтах. Иначе вы попросту потеряете все содержимое блога (не физически, конечно). И, как уже говорилось, не поможет даже удаление плагина. Хотя вернуть все на круги своя достаточно просто (нужно немного поправить файл wp-config.php).

Вообще, сменить директорию wp-content можно и на уже работающем сайте, но для этого потребуется вносить изменения в БД, в некоторые плагины, файлы движка т.д. Короче, задачка не для нас – рядовых блогеров. А вот если вы планируете создавать новый сайт, то первым делом установите iThemes Security и попробуйте воспользоваться данной возможностью. В будущем обязательно пригодится.

Change Database Prefix – смена префикса БД. По умолчанию в WordPress используется префикс wp_, что может облегчить задачу для злоумышленника. Рекомендуется менять дефолтный префикс таблиц.

Перед процедурой смены префикса обязательно сделайте резервную копию БД!

Ну что ж, теперь точно все =)

Осталось только сказать, что на вкладке Backups можно в любое время создать резервную копию текущего состояния БД (кнопка " Create Database Backup " ), а также кратко ознакомиться с сервисом BackupBuddy.

Если что-то осталось не понятным, или у вас есть замечания и дополнения, милости прошу в комментарии.

До новых встреч, друзья. Берегите себя и свои сайты!

С уважением, Александр Майер