Как обеспечить безопасность собственного сайта. Инструкция по настройке плагина All In One WP Security

Автор: | 16.09.2017

Каждый владелец блога рано или поздно сталкивается с попыткой взлома или взломом своего ресурса. Чем интереснее и популярнее вебсайт, тем больше внимания ему уделяют недоброжелатели.

Защищать блог на WordPress можно ручными методами или посредством настройки специальных плагинов. В этой статье я расскажу, как обеспечить безопасность собственного сайта с помощью плагина All In One WP Security.

Содержание
Почему именно All In One WP Security?
Установка плагина All In One WP Security
Пошаговая инструкция по настройке
1. Администраторы
2. Авторизации
3. Регистрация пользователей
4. Защита базы данных
5. Защита файловой системы
6. Файрволл
7. Защита от брутфорс-атак
8. Защита от SPAM
9. Сканнер
10. Режим обслуживания
11. Разное
Управление безопасностью сайта: финишная прямая

Первое, что необходимо обязательно сделать владельцу молодого web-сайта, это обезопасить его от действий посторонних. Не пренебрегайте советами по защите блога. Поверьте, очень обидно, когда результаты твоих трудов теряются из-за действий взломщиков.

Почему именно All In One WP Security?

У него есть несколько важных преимуществ:

  • обеспечивает комплексную защиту;
  • предоставляется бесплатно;
  • легко настраивается;
  • русифицирован;
  • имеет простое и интуитивно понятное управление;
  • отличается стабильной работой;
  • совместим с большинством версий WordPress.

Недостатков на данный момент мной не выявлено.

Установка плагина All In One WP Security

  • В управляющей консоли сайта находите вкладку «Плагины»;
  • Жмёте кнопку «Добавить новый»;
  • В поисковом поле вводите название;
  • Находите нужный, щёлкаете на нём «Установить»;
  • По завершении установки нажимаете «Активировать».

Готово. Теперь плагин WP Security появился в вашей управляющей консоли. Начнём настройку.

Пошаговая инструкция по настройке

Переходим WP Security / Панель управления. Перед нами информер, помогающий оценить уровень безопасности сайта на данный момент. Сразу оговорюсь. Не обязательно стремится к максимальному числу баллов. Часть функционала может оказаться для вас бесполезной и даже в какой-то степени вредной. Поэтому будьте внимательны.

nastrojka plagina wp security

Ещё два важных вижджета в этой вкладе:

bezopasnost sajta

  • File Change Detection. Показывает изменение файлов на сайте. Если взломщики всё же прорвут линию вашей обороны и разместят на блоге вирусный код, с помощью этой функции вы сможете его быстро отыскать и удалить.
  • Текущий статус самых важных функций. Это важнейшие защитные приёмы, без которых о безопасности блога и говорить не стоит. Показания информера пока просто примите к сведению. Они автоматически изменятся в ходе дальнейшей настройки плагина.

Остальные виджеты несут информационный характер. Если интересно, ознакомьтесь с их показателями.

Управление безопасностью сайта начнём с создания резервных копий. Сделать это можно ресурсами самого плагина.

Вкладка «Настройки» / «Общие настройки». Воспользуйтесь гиперссылками и создайте копии:

  • базы данных;
  • файла .htaccess;
  • файла wp-config.php.

sozdanie behkapov

1. Администраторы

По умолчанию WordPress автоматически присваивает учётной записи администратора никнейм admin. Любой хакер об этом знает. Т.е. у него есть уже 50% сведений для входа в управляющую консоль.

Обязательно устраните эту уязвимость. Вы не представляете, насколько часто хакеры взламывают сайты с базовой учёткой с помощью стандартного брутфорс-подбора паролей.

Как изменить имя?

  • Зайдите в раздел пользователи;
  • Нажмите добавить нового;
  • Придумайте ему сложный нестандартный «Ник» — Имя пользователя для управления учётной записью;
  • Внимание! Поле «Имя», отображаемое в подписи к статьям и новостям на сайте, должно быть совершенно другим;
  • Присвойте пользователю права администратора;
  • Установите сложный пароль с использованием букв различного регистра, спецсимволов, цифр. Очень важно создать действительно сложный нетиповой пароль. Только в этом случае вы защитите свой web-сайт от злоумышленников;
  • Сохраните учётку;
  • Зайдите во вкладку «Все пользователи» и удалите базовую учётку с именем admin. Система предложит перенести все опубликованные под этой учётной записью материалы на нового пользователя-администратора. Подтвердите это действие.

Теперь можно возвращаться к настройке нашего плагина и посмотреть результат.

uchetnaya zapis admina wordpress

Вкладка пароль. Здесь проверьте, насколько действительно сложным для взлома является придуманный вами пароль для административной учётной записи.

Рекомендации по созданию пароля:

  • отказ от типовых фраз и слов;
  • длина более 15 символов;
  • использование букв разного регистра: строчных и заглавных;
  • использование не менее 1 цифры;
  • использование не менее одного спецсимвола.

2. Авторизации

Даже если у вас длинные сложнейшие имя и пароль, всё равно нежелательно оставлять хакерам возможность спокойно сидеть на сайте и подбирать пароли. Взломщиков своевременно нужно выявлять и блокировать. Для этого на вкладке авторизации:

  • Отметьте чекбокс «Включить опции блокировки попыток авторизации»;
  • Напротив, оставьте без отметки возможность создания запросов на разблокировку;
  • Установите значение для максимального числа попыток входа. 2-3 вполне достаточно.
  • Ограничение по времени. По умолчанию 5 минут. На мой взгляд, оптимально.
  • Период блокировки. По умолчанию – 60 минут. Можно поставить больше. Скажем, 180-240. Но не переборщите. Вы ведь и сами способны допустить ошибку. А то некоторые вебмастера ставят время блокировки пять лет, а потом ищут способы взломать собственный сайт.
  • Чекбокс «Выводить сообщения об ошибках авторизации» оставляйте незаполненными. Зачем давать злоумышленнику лишнюю информацию?
  • А вот следующую опцию обязательно отметьте. Пусть запросы с неверным пользовательским именем блокируются сразу.
  • «Уведомлять по e-mail» я тоже отмечаю. Хочу сразу знать, что ко мне ломятся гости.

На вкладке «Ошибочные попытки авторизации можете полюбоваться на попытки зайти в вашу админку. С её помощью можно заметить, что чаще всего пытаются войти по именам administrator, admin, root, названию сайта и тому подобным никнеймам.

upravlenie bezopasnostyu sajta

Собственно, что и требовалось доказать. Моему сайту на момент публикации статьи чуть больше месяца. Совсем ещё малыш, малоизвестный и малопосещаемый. А на вкладке ошибочные авторизации десятки блокировок по неверным именам. Поэтому не ждите, когда раскрутите свой интернет-сайт. Заботьтесь о безопасности сразу.

Следующая опция в этом разделе – «Автоматическое разлогирование пользователя». Рекомендую также активизировать эту функцию и установить время не более 240-300 минут.

3. Регистрация пользователей

Обязательно активируем ручное одобрение.

zashchita bloga plaginom

Можно также активировать Captcha при регистрации. Смотрите сами. Если у вас на вебсайте зарегистрироваться нельзя, то и функция бесполезна.

Registration Honeypot. Отметьте чекбокс. Эта опция избавит вас от массовой регистрации ботов. В форму будет добавлено невидимое для человека поле. При вводе ботом в него любого значения регистрация автоматически заблокируется.

4. Защита базы данных

Сгенерируйте новый префикс для базы данных. Это хороший способ обеспечить безопасность собственного сайта от вредоносного кода.

Вкладка «Резервное копирование». Позволяет создавать бекапы в автоматическом режиме:

  • Активируете функцию;
  • Выбираете частоту бекапов (у меня, например, 3 дня);
  • Указываете число сохраняемых копий (к примеру, 5);
  • При желании можете активировать отсылку базы себе на почтовый ящик.

avtomaticheskoe sozdanie behkapov

5. Защита файловой системы

  • Доступ к файлам. Перед вами откроется таблица значений. В её правой части расположены кнопки, помогающие придать файлам оптимальные параметры. Прощёлкайте все эти кнопки. В результате, правильно сформированные папки/файлы будут подсвечены зелёным цветом.
  • Редактирование php-файлов. Если проставите здесь галочку, то запретите редактирование через управляющую консоль. Тут решите сами для себя, каким образом чаще всего вы правите код на сайте: через файлы на хостинге или непосредственно в админке.
  • Доступ к файлам WordPress. Позволяет заблокировать доступ к информативным файлам (например, license.txt, readme.html, wp-config-sample.php), создаваемым самой системой. Обязательно активируйте данную опцию.

6. Файрволл

  • Базовые правила. Тут отмечаем все чек-боксы.
  • firewall osnovnaya nastroyka

  • Дополнительные правила. Тут тоже активируем все функции за исключением последней: доп. фильтрация символов. Её оставляем неактивной, иначе могут возникнуть сложности с добавлением комментариев.
  • firewall dopolnitelnaya nastroyka

  • 6G Blacklist. Обе функции полезны. Проставляем галочки.
  • Интернет-боты. Эту вкладку я пропускаю, поскольку есть, пусть и небольшой, но шанс на возникновение проблем с индексацией страниц.
  • Хотлинки. Включаем. Лишняя нагрузка на web-сайт не нужна.
  • Детектирование. Рекомендую активировать и поставить временной интервал в 30 минут.
  • CustomRules. Позволяет прописывать дополнительные правила для .htaccess. Если не знаете, что здесь делать, вкладку пропускайте.

7. Защита от брутфорс-атак

  • Страница логина. Позволяет создать новую нестандартную страницу для входа в учётную запись.
  • Защита с помощью куки. Я не использую данную возможность, поскольку могут возникать проблемы с заходом на сайт с разных устройств.
  • Capcha. Для страницы логина, на мой взгляд, она бесполезна. Поэтому не использую.
  • Белый список. Тоже у меня не активирован, поскольку часто приходится заходить с разных ip.
  • Медовый бочонок. Тут однозначно Да. Дополнительные невидимые пользователю-человеку поля – хорошая преграда для автоматических попыток залогинивания.

sovety po zashchite bloga

8. Защита от SPAM

  • Спам в комментариях. На первой вкладке советую активировать только защиту от ботов. Капчу для комментариев я не подключаю, поскольку она создаёт дополнительные ненужные сложности для читателя.
  • Отслеживание IP. Советую активировать возможность автоматической блокировки спамеров.
  • BuddyPress. Тоже позволяет подключать капчу. На ваше усмотрение. Я не использую.

9. Сканнер

Запуск данной функции позволит отследить несанкционированные вами изменения файлов на блоге. Это позволит своевременно обнаруживать вирусный код.

  • Обязательно активируем;
  • Ставим частоту проверок: 1-2 дня;
  • В файлы-исключения прописываем графику:
  • scanner failov

  • Отмечаем чек-бокс с информированием по email.

10. Режим обслуживания

Закроет блог от читателей на время проведения сервисных работ, например, при смене дизайна или тестировании плагинов.

Пользоваться данной функцией очень просто:

  • Подгружаете свою картинку.
  • В текстовом окне пишите сообщение для посетителей.
  • Активируете опцию и сохраняетесь.

11. Разное

В этой вкладке можно настроить защиту от копирования. Это снизит риск кражи вашего уникального контента. Но есть и минусы. Вы, например, потеряете возможность делиться с читателями html-кодом. В общем, решайте сами. Я этой закладкой не пользуюсь.

Управление безопасностью сайта: финишная прямая

Возвращаемся в панель управления и смотрим, насколько вырос уровень защищённости. Теперь вам остаётся только мониторить работу системы:

  • отслеживать попытки посторонних авторизаций. Банить таких пользователей по ip;
  • выявлять спамеров и хейтеров. Блокировать им доступ на сайт.

Вот собственно и все советы по защите блога средствами плагина All In One WP Security. Надеюсь, статья показалась вам полезной.