Better WP Security — мощная защита блога за 5 минут. Как настроить и на что обратить внимание?

betterwp

Привет, друзья IdeaFox!

Обновление:  Теперь плагин выпускается под названием iThemes Security, о чем писал вот здесь: http://ideafox.ru/pro-blog/ithemes-security.html. Учтите этот момент, когда будете искать его в репозитории WordPress для установки.

Скажу сразу, что я немного помешан на безопасности и уделяю этому вопросу серьезное внимание. Посудите сами: ты развиваешь блог, добиваешься результата. И в любой момент все может закончиться, так как на сайт залили вирус и поисковые системы его пессимизируют. Да, потом можно будет выбраться из этой ситуации, но это будет дорого стоить.

И нервы потратите и деньги потеряете. Поэтому подумайте о безопасности заранее, прежде чем неистово писать новые статьи : — )

Ранее на своем блоге я писал статью по этому вопросу и некоторые приемы я возьму из нее.

http://ideafox.ru/pro-blog/zashhita-wordpress.html

Кое-какая информация из этой заметки уже устарела. Например, плагин Limit Login Attempts может некорректно работать с версией WP 3.5.1 Читал об этом факте, но сам не сталкивался, так как давно использую другой плагин, о котором пойдет речь ниже (+ свои приемы защиты)

Итак, на что нужно обратить внимание, для повышения безопасности блога:

Мой курс по безопасности WordPress
boxzashitasini

Уважаемые блогеры!

Обратите внимание на мой курс по безопасности WordPress, который так и называется:

"Защита блога на движке WordPress за два часа"

В этом небольшом курсе я систематизировал наиболее простые, но надежные методы защиты блога на WP от вирусов и хакеров.

Он будет полезен как начинающим, так и продвинутым блогерам.

Я сам пользуюсь этими методами на всех своих проектах.

Посмотрите вот это небольшое обзорное видео о курсе:

Для того, чтобы более подробно познакомиться с этим курсом, достаточно пройти регистрацию на моем закрытом сайте для блогеров:

Защищайте свои блоги!

1. Делаем резервные копии регулярно. Дело в том, что если блог взломал профи, то иногда легче сделать откат на старую версию и закрыть дыры, чем днями и ночами лазить по форумам и искать вредоносный код. Мало того, о том, что ваш блог взломали, можете узнать  через некоторое время.

Посудите сами: заразили даже такого монстра, как КтоНаНовенького. Почитайте, очень поучительная история:

http://ktonanovenkogo.ru/web-obzory/kak-proverit-sajt-na-virusy-proverka-onlajn-zarazheniya.html

2. Используем сложные пароли. Навроде Vfhf%%ajyxbr1312# Забудьте про простые пароли типа 123456

3. Устанавливаем только те плагины, которые регулярно обновляются.

4. Вы не должны заходить в админку Вордпресс как admin. Задайте имя посложнее. Например, adminmonstr12

Как изменить имя, я писал вот здесь.

http://ideafox.ru/pro-blog/zashhita-wordpress.html

Или же просто создайте нового пользователя в админке. Но там, насколько я помню, какая-то проблема с записями. Они будут перенесены на нового пользователя.

5. Своевременно обновляем и Вордпресс и плагины. (Обязательно делаем резервную копию перед такими операциями!)

6. По возможности избегайте использование FTP-клиентов. FileZilla, например, хранит пароли в открытом XML-файле. Который очень любят сканировать вирусы-трояны.

7. Ваш компьютер должен быть защищен нормальным антивирусом. Не бесплатной фигней для гиков, а нормальным антивирусом. Из долгого опыта поддержки пользователей у меня сложилось очень положительное отношение к антивирусу от Касперского. Наименьшее количество проблем я наблюдаю именно на тех машинах, где он установлен.

Повторюсь, что бесплатные решения подойдут для технически очень грамотных пользователей.

Вот здесь писал как получить КАВ его на полгода бесплатно:

http://ideafox.ru/malenkie-khitrosti/antivirus-kasperskogo-ot-yandex.html

8. Удалите лишние плагины.

9. Меняем префиксы в базе данных.

10. Закрываем каталоги от просмотров и очень много других действий.

11. Не используйте ворованные шаблоны или изо всяких файлопомоек.

Нормальный шаблон на themeforest стоит от 20 до 40 долларов. Это нормальная цена за отличный дизайн.

12. Естественно, пароль должен быть сложным и для входа на сам хостинг.

Соблюдая эти простые правила вы достаточно хорошо защитите свой блог. Но придется поработать руками и головой.

Когда я заморозил два прежних своих ГС, то мне не хотелось опять все делать вручную и стал искать плагин, который решил бы эту проблему побыстрее. В мои цели не входило со всем разбираться вручную (как здесь) и долго искал.

Я их попробовал штук пять (четыре раза блог падал!), но вот на пятый раз мне повезло.

Better WP Security

Очень хороший плагин, который в пару кликов делают работу, которую в ручном режиме опытный спец делает пару часов, а новичок пару дней.

Внимание: обязательно нужно сделать резервную копию перед установкой этого плагина.

Если не уверены, что сможете восстановиться из резервной копии, то не ставьте Better WP Security.

Этот плагин может конфликтовать с теми, которые установлены на ваших блогах. Поэтому даже если установка прошла удачно, погоняйте блог, посмотрите разные страницы — вдруг что-то вылезет.

Он может тормозить блог на слишком слабом виртуальном хостинге. (так называемые «однодолларовые хостинги») 

Самое главное: убедитесь, что помните свой логин и пароль к админке. По умолчанию, он настраивается так, что дается 5 (пять) попыток на ввод верного пароля. На шестой раз следует бан.

Итак, как установить и настроить этот плагин:

Обновление

Инструкция по установке и настройке iThemes Security

Вернулся к статье и добавил небольшое видео. Дело в том, что теперь плагин называется iThemes Security и появилось несколько новых функций. Особое внимание обратите на настройку, связанную с блокировкой русских символов.

Уже обращалось несколько человек, которые видят «белые экраны смерти» в админке своего блога..

Видео писал без дублей, с первого раза. Есть некоторые заминки и слова-сорняки : ) Но основной смысл понятен : )


У меня есть видеоурок по безопасности, который рекомендую посмотреть, и все станет понятно. (Речь идет о старой версии Беттер Вп Секьюрити и не только)
Этот урок входит в бесплатный курс «Надежный блог за один вечер» и полную версию курса можно получить на этой странице.

Если лень смотреть видео, то внимательно прочитайте инструкцию ниже.

1. Делаем резервную копию блога. (как это делается, писал вот здесь)

2. Удаляем всякий хлам в виде плагинов, которые не используете. Или пользуетесь, но видите, что толку от них нет.

3. Установка стандартная:

установка Better WP Security

После установки у вас на блоге должно появиться такое меню “Безопасность”:

image63_thumb

И потребуется простая настройка, которая сразу же решит кучу проблем безопасности:

1. Заходим в меню “Безопасность и видим следующий экран:

меню Better WP Security

Так как у вас есть резервная копия блога (так ведь? : ), то жмем на кнопку “Нет, спасибо. У меня уже есть резервная копия”

Переходим к следующему экрану:

настройка Better WP

Жмем на кнопку “Разрешить этому плагину изменять основные файлы WordPress”

И видим следующий экран:

настройка BWPS

Жмем на кнопку “Защитить мой сайт от базовых атак”

Блог задумается на некоторое время и показывает следующий экран:

панель управления

В принципе, на этом можно остановиться, так как от большинства проблем Вы защитились.

Те, кто не разбираются хорошо в Вордпресс или боится – не двигайтесь дальше, пожалуйста. Иначе пара бессонных ночей будет обеспечена.

Для тех, кто уверен в себе и знает английский, двигаемся дальше:

Если строки синие, оранжевые или зеленые, то проблем нет. Но в идеале, они должны быть все зеленого цвета.

Давайте убирать “Красные строки”, которые означают потенциальную угрозу.

1. Я сразу изменил админа на другое имя поэтому у меня надпись “The admin user has been removed.” подсвечена зеленым. Если красным, то просто измените имя на другое, но только не admin

2. “А user with id 1 still exists” подсвечено красным. Жмем на надпись “Click here to change user ID…”

На след. экране Вам будет предложено изменить ID. Соглашайтесь.

К сожалению, скриншота нет этого окна.

3. Следующая строка: “Ваш префикс не должен быть wp” Жмем на надписи рядом “Кликните здесь, чтобы переименовать его”

Этот простой шаг снизит вероятность успеха SQL-атаки.

замена префиксов БД

Так как у вас есть резервная копия, то жмем на кнопку “Изменение префикса таблицы базы данных”

Префикс автоматически будет сгенерирован. Не такой же, как в моем примере, конечно.

В моем примере префикс получился mvr9m_ В Вашем случае он может быть другим. Например, cvd7t_ (Понятно, что сейчас он совсем другой и я не “свечу” его на скриншотах”)

меняем префиксы ВордПресс

4. Your installation is not actively looking for changed files”

Кликаем на надпись рядом : “Нажмите, чтобы исправить” и ставим галочку напротив

“Enable file change detection”

666-300x172

В чем суть: теперь к Вам на почту каждый день будет приходить сводная таблица с файлами, которые были изменены. То есть, например, изменили ваш файл .htaccess, вам свалится об этом письмо на почту.

Но тут есть одно но. Если у Вас установлен плагин кэширования, то эта таблица будет огромной. Ведь плагин кэширования каждый день создает и удаляет множество файлов.

Я просматриваю это письмо только на предмет изменения системных файлов. (Они в самом конце письма, как правило)

В принципе, можно больше ничего не делать, так как даже наличие «оранжевых строк» — не особо ослабляет безопасность блога.

Но тем не менее:

Чтобы не переписывать названия строк на английском, пробежимся по некоторым строкам:

Буду указывать номера пунктов:

панель настроек

1. Включить применение надежных паролей. Актуально, если на блоге есть подписчики через процедуру регистрации в Вордпресс.

2. Сокрытие служебных тегов ВП. Не трогайте, если используете протокол XML-RPC

3. Скрывает информацию для пользователей-подписчиков блога, но не администраторов блога. Неактуально, если только один пользователь на блоге. Да и тот — админ.

4. Удаляет юзера admin и предлагает его переименовать. Я это делаю сразу при запуске блога и не знаю как эта штука работает в этом плагине.

5. Уже изучали этот пункт

6. Уже изучали этот пункт

7. Позволяет делать резервные копии базы данных блога и отрпавлять на е-майл. Удобно, кстати.

8. Позволяет скрыть админку. Например, уехали в отпуск на неделю и сами себя забанили на неделю (или на ночь, чтобы неповадно было : — ) Не использовал – боюсь :)

9. Подгружает блэк-лист хакеров с американского сервера и превентивно их банит. Не советую включать. Тормозит.

10. Это — полный аналог лимит-логин-аттемпт.

Внимание: если выставите слишком жесткие настройки в этом пункте, то можете сами себя забанить навеки : — ) Например, я выставил бан за 3 раза неверно набранных пароля. Так вот — бан будет не только по IP , но и для пользователя с указанным именем.

Например, мой логин adminbbvc и сложный пароль. Блокировка установлена на месяц за три неверно набранных пароля. Вы набрали неверно три раза.

Так вот в админку с этим же паролем вы попадете только через месяц. Сам себя так один раза забанил, ради эксперимента. Спасение одно — резервная копия блога.

11. Не трогайте это. Меняет URL на произвольный. Нельзя для «старых» блогов.

12. Закрывает htaccess от взлома. Очень популярно у мошенников, которые воруют мобильный трафик через редирект.

13. Ни разу не трогал этот пункт.

14. Уже рассмотрели этот пункт.

15. Защищает от взлома через «длинный URL». Рекомендую включить, постоянно долбятся через этот прием.

16. Дальше сами разберетесь, уважаемые хакеры : — )

Я серьезно — настроек слишком много, чтобы описать все возможности в одной заметке. Поройтесь, поэкспериментируйте и он вам точно понравится.

Например, через этот плагин я банил парсеры текста, глупого спамера, который вещал со статичного IP (бывают и такие кретины), делаю регулярные копии базы данных на е-майл и массу других вещей.

Что делать?

Постарайтесь максимально защитить свой блог. Это действительно важно. Я прекрасно понимаю, что здесь не хакеры собрались, но тем не менее, соблюдайте простейшие правила  безопасности, которые поняли.

Я и далее рассмотрю вопросы безопасности блога, не пропустите и подписывайтесь на новости.

Задавайте вопросы : – ) Как Вы защищаете свои блоги?

Вот еще в тему статьи:

Как я делаю резервные копии сайта ?

Посещаемость растет, а сайт тормозит. Как его ускорить за 5 минут?

Как увеличить посещаемость сайта: очень эффективный прием, на который потратите 5-10 минут!

Только для блогеров и вебмастеров:

198 комментариев к «Better WP Security — мощная защита блога за 5 минут. Как настроить и на что обратить внимание?»

  1. Очень актуально и спасибо Дмитрий. Как раз сейчас решаю вопросы безопасности, а статья про ктонановенького лишний раз убедила в том, что никто не застрахован.

    • Да уж, Александр. Побеспокоиться надо заранее, так как полно умников развелось. Я только призываю к тому, чтобы сделать сначала резервную копию сайта, а потом уже ставить этот плагин. Но он действительно очень хорош и имеет массу настроек безопасности.

    • А вот правило у меня такое) ссылку на блог пропускаю только на 4-5 раз. И «спасибистов» не пропускаю, которые приходят один раз ради ссылки. Надеюсь на понимание ))

  2. Разумно меня они тоже достали эти спасибисты )
    Дмитрий, спасибо за отличную статью!!!

  3. Если создать нового пользователя с правами администратора через админку и потом удалить прежнего, то во время удаления будет вопрос, перенести ли записи на нового пользователя. Никаких проблем при этом не возникает.

    • Спасибо, Жанна. Я в свое время не рискнул так сделать и просто поправил юзера в PHPmyAdmin
      Хотя, твой способ в разы проще, конечно.

  4. Да уж, два раза ломали и то что здесь написано уже применил на блоге, кроме этого плагина. Что ж будем дальше копаться

    • Привет, Gertc)
      Я немного позже напишу про более тонкие настройки этого плагина.
      Очень он хорош — спору нет.
      Если тебя постоянно ломают, то может быть много причин. Но сначала проверь все права на каталоги (ищи в первую очередь проблемные каталоги с правами 777 — три топора)
      Или в шаблоне закладка…

  5. Уууу какой огромный мануал! Решил победить ктонановенького с его простынями?

    • Ты что, Ханна?! На святое замахнулась)))
      А если без шуток, я считаю КтоНаНовенького профи высшего уровня. В области SEO, конечно.
      Причем я читал его с самого начала и наблюдал его эволюцию. Обратите внимание, что он не бьет себя пяткой в грудь : — ) и очень скрытен.

  6. Меня вот что удивило. В истории Limit Login Attempts интересно наблюдать сколько попыток было взломать, раньше не знал про это. Убежал в панике менять пароль на хостинге)))

  7. Поставил себе это плагин, все работает все сейчас в норме.
    Но до того как поставил спама не было, ну так один коммент придет раз в месяц и все. А вот после установки и настройки этого плагина, спама полезло каждый день по десятку комментариев.
    Сейчас все устаканилось, но все же интересно — это плагин так влияет или у меня до этого все плохо было, а я не замечал?

    • Я думаю, что это никак не связано со спамом, Артем. Просто стечение обстоятельств такое.

      • Вполне может быть. Я после установки плагина все пароли поменял на 20-ти значные, теперь фиг подберешь :)

        • Круто) 20 знаков… Но смотри, не забудь. Если будет бан по IP + имени юзера — спасением будет резервная копия.

  8. Актуальная и даже больная тема. Только недавно Джино отключал мой блог на пару часов из-за учащения атак на него. Моей паники не было предела))

    Невидимая каптча, Логин Локдаун стоят, пароль длинный и тд. Префиксы вот забыла поменять, точно — спасибо за напоминание!

    В общем, в итоге атак я ужесточила защиту так, что забанила даже себя)) Сейчас жду, когда знакомый программист напишет спец плагин под это дело (у него много запросов таких — решил сам написать). Проверяю атаки, периодически включая WP Sentinel.

    К антивирусам не особо хорошо отношусь — двоякое мнение еще со времен универа (у меня основное направление — программирование). Уже много лет отказалась от них, используя «таблетки» (сканы). Но последнее время все чаще думаю опять поставить — как-то спокойнее будет.

  9. Жаль нету возможности вставки изображений, а то бы пару скринов вставил бы, но ладно, напишу на словах. меня взламывают периодически, точнее очень периодически, почти постоянно. На почту приходят письма типа «хост такой-то такой-то заблокирован из-за слишком много попыток входа» ( на английском ) Иногда наблюдаю, как некто очень упертый трое суток колупает вход. Плагин суперский, без него давно бы вскрыли как консервную банку ( ну и логин естественно не admin ) Ещё добавл одного пользователя и дал ему все права, на всякий случай, если злыдень и взломает, то скорее всего сменит пароль, но искать ещё одного админа в голову мало кому придет. одна проблемка, перестал приходить бекап базы на почту. Почему не знаю. Хорошо, что «Джино» делает и файловый и базу данных.

    И напоследок, недавно я удалял с двух сайтов вирусы. Защиты там не стояло.

    • Сергей, рад видеть опять на блоге)

      Знаешь, у меня стоит ежедневное автоматическое копирование с транзитом по FTP на другой сервак. И все равно я делаю вручную бэкапы. После четырехкратного падения этого блога я стал жутким параноиком и перестраховщиком.

      На самом деле там есть еще пара крутых настроек, о которых расскажу немного позже. Еще проведу испытания и напишу)

      • Я сам скоро с тобой стану параноиком….а вот идея с дополнительным админом хороша

        • Жень, идея с доп.адином не решение, к сожалению. Высылаю тебе по почте успокоительное)

          • Дмитрий, мне тоже не мешало бы успокоительное, я уже три дня ощущаю себя в осаде, ломятся бяки всякие, даже две статьи написала о защите, сначала о том как у меня контент своровали, а потом об этом плагине, как я настраивала Защиту. Кстати по поводу пункта 9 в интернете попалась информация, что нельзя использовать этот список, потому что в него включен Яндекс — не знаю правда или нет?

          • Пункт 9 лучше не включать. У меня все жестко начало тормозить, да и не может быть единого списка всех злодеев в мире. Да и думаю, что этот список актуален для США, а не для России)

          • в интернете попалась информация, что нельзя использовать этот список, потому что в него включен Яндекс — не знаю правда или нет?
            Да, есть/было такое дело. По крайней мере летом 2013, поисковый паук Яндекса был в списке «вредоносных» )

          • Он похоже и сейчас в этом списке )
            Я бы не советовал включать опцию с превентивной защитой от подозрительных IP.

    • Сергей, если кто-то взломает вход пользователя с правами администратора, то он на вкладке «пользователи» увидит всех других пользователей с их правами. Или этот плагин позволяет скрывать пользователей в админке вордпресса?

      В любом случае, можно изменить пароль админа из хостинг-панели, у Дмитрия там по ссылке описано.

      • Верно, если есть доступ к PHPMYADMIN то не составит проблем поменять в таблице users любые пароли.
        Это самое малое, что можно сделать в данной ситуации и не является гарантией от решения проблемы. Дело в том, если залили шелл — то можно менять пароли хоть каждую минуту — данные будут сливаться куда надо.
        Вот поиски шелл или кусок вредоносного кода — это жесть, конечно. Легче подняться из бэкапа.

  10. Дмитрий, а я все время делал архивную копию блога так: FTP-клиент запускал и тупо переносил все папки с хостинга себе на компьютер =). Понимаю, что это по-ламерски, наверное, но я во всей этой защите совсем не разбираюсь. Папки копируются быстро, за 5-10 минут, меня это вполне устраивает. А вообще, это как? Чисто технически это надежно? Ну, если мой блог, допустим, взломают и полностью снесут, то я потом, закачав обратно все эти папки, верну его первозданный вид?

    • Михаил, этого недостаточно. Тебе нужно периодически сохранять резервную копию MySQL — базы данных + содержимое всех каталогов сайта. Нужно понимать, что блог состоит из двух частей: база данных + файлы. (очень грубо)

      Данный плагин позволяет делать в автоматическом режиме резервную копию базы данных и отправляет ее на указанный е-майл. А папки можно копировать вручную.

      Или же обратись к своему хостеру и у него наверняка есть встроенные механизмы резервного копирования/восстановления сайта.

      Как я делаю резервные копии писал вот здесь:
      http://ideafox.ru/pro-blog/backup-wordpress.html

  11. А есть ли смысл ломать сайт с низкой посещаемостью? и что делают с ломанными сайтами?

    • Дарья, как правило, на такие сайты заливают ссылки на всякие сомнительные ресурсы, вставляют троянцев и прочую нечисть)

  12. Кого как, но пароли типа Vfhf%%ajyxbr1312# меня не впечатляют (( Хр*н запомнишь. Я предпочитаю миксовать буквы с цифрами, безо всяких символов.

    • Елена, тем самым ты облегчаешь задачу перебора паролей на твоем блоге )
      Ты же ведь уже дважды заражалась и я бы на твоем месте очень крепко призадумался о безопасности.
      Видно, что много сил вкладываешь в проект, и советую очень конкретно защищать свой блог.

      • У меня тоже буквы с цифрами. Но я сомневаюсь, что кто-то подберет этот пароль. Потому что он состоит не из обычных слов, а из таких, какие понятны только мне одному =). Ну и ограничение на попытки ввода пароля у меня стоит: 1. Один раз неправильно введешь — и добро пожаловать в бан =), вторую попытку уже только с другого IP удешь делать. У меня все жестко! =)

      • Я заражалась другими путями )) У меня довольно сложная система паролей, нигде ни один пароль (тьфу-тьфу-тьфу) еще никто не взламывал

        Да уж, прошлый месяц заставил задуматься о безопасности, много чего сделала для этой самой безопасности. Но есть еще много способов обезопасить свой блог от заражения.

        Не люблю плагины почему-то

    • Михаил, для начала нужно сайт разместить в Яндекс-Вебмастер и Гугл Для Вебмастеров. Поисковые системы предупредят письмом, что они нашли вредоносный код на сайте.
      Погугли — в Сети полно таких инструкций.
      Если хочешь бегло проверить сайт , то писал про это статью вот здесь
      Особенно хорошо ищет ДоктоВеб (онлайн-сервис)
      http://ideafox.ru/pro-blog/proveka-saita.html

  13. Ага, спасибо. Я как раз сейчас статью на КтоНаНовенького читаю на эту тему. А в Яндекс-Вебмастере я уже зареган давно.

  14. Безопасность — дело нужное. Так что, Дима, правильно делаешь, что печешься об этом — «посещалка» у тебя на высоком уровне.
    А я вот все на потом откладываю — в этом плане. Все думаю: да кому я нужен? Не «Консультант Плюс» и Не «Гарант» какой-нибудь? Так, маленький человек в стиле Чехова Антона Палыча…

  15. В том году были вирусные атаки на сайт, но все восстановил. Спасибо за полезный материал по защите блога! Успехов Вам и Удачи! :)

  16. Осторожность не бывает лишней!
    Риск дело благородное в реальном мире, а в Интернете надо защищаться всеми доступными способами…

    • Не то слово, Андрей. В Интернет у людей проявляются самые гнусные черты вроде — бы порядочных в реале людей.
      Да, и рад видеть на блоге)

  17. Прочитала начало Вашей статьи и прям страшно стало! Я и половины из того, о чем Вы пишете, не знала! Срочно заучиваю материал и иду разбираться с плагином!!

    • Юлия, рад видеть на блоге)
      Юлия, только обязательно делайте резервные копии перед тем как нактывать плагин.
      Рекомендую прочитать тем, кто думает, что низкопосещаемые блоги никому не нужны ))
      http://ideafox.ru/pro-blog/bezopasnost-bloga.html

  18. Я рада, что Вы рады)) Я уже несколько дней ваш блог читаю. Долго смеялась во время чтения Вашего материала про конкурсные статьи))

    А по поводу защиты — я тоже думала, что мой молодой блог пока никому не нужен. Теперь я поменяла свое мнение….

    • Хорошо, Юлия)
      Рад, что нравится мой бложик)
      Очень советую принять все меры безопасности с самого начала. Будут вопросы — задавайте, отвечу.

      • Да, скорее всего какие-то вопросы появятся… А пока штудирую материал…

  19. Дмитрий, Вы будете смеяться, но у меня стоит плагин WP-Security. И вот что он пишет (авто-перевод с буржуйского):

    У Вас есть последняя версия WordPress.
    Ваш префикс таблицы не wp_ .
    Ваша версия WordPress успешно скрыты.
    WordPress DB ошибок выключен.
    WP ID META теги удалены форме WordPress основной
    Нет пользователя «администратор».
    Файл. Htaccess не существует в WP-администратора раздела

    Красненьким только последняя строка. Я не совсем понимаю что мне делать с этим файлом htaccess. У меня такой файл есть в корневой папке. Нужно еще один что ли создать? И что мне с ним делать нужно?

    • Юлия, речь идет о плагине WP Security Scan? Если да, то ничего делать с .htaccess не нужно.

      • Точнее, при установке WP Security Scan плагин просит разрешения создать такой файл в каталоге wp-admin
        Я разрешал создать такой файл и строчка становилась зеленой

        • Да, у меня именно этот плагин установлен. Не помню, чтобы он у меня что-то спрашивал при установке. А строчка красная у меня

          • Юлия, тогда плагин должен предложить исправить эту красную строчку. Уже не помню — то ли нужно нажать на эту строчку то ли рядом есть кнопка. Но обязательно сначала сделайте резервную копию сайта

          • К сожалению плагин ничего предлагать мне не хочет)) Только ссылку дает на буржуинскую статью, где рассказывается почему важно защищать админку. Попробовала установить файл ручками, но видимо что касается кода и тех. настройки WP у меня руки растут совсем не оттуда(((

  20. Как раз сегодня планировал заняться защитой своего блога. Этот плагин также Goodwin советует, который темами занимается. Два авторитетных мнения — более чем достаточно :) Спасибо, Дмитрий!
    P.S. я не спасибист )))

    • Иван, знаю, что не спасибист и ссылку пропускаю;) Я помню твой блог и насколько знаю, теперь живешь в США. А что не пишешь про это? Ведь людям интересны такие рассказы.

  21. Ну что, поставил это чудо-плагин.
    Вопросы:
    Может ли меня разбанить другой админ?
    Как на почту могут приходить базы размером более 200 Мб?
    Этого достаточно для безопасности? а то я скоро буду думать постоянно о подлых хакерах?

    • Евгений, отвечаю:
      Может ли меня разбанить другой админ?
      Не проверял такую возможность, но по идее должен. Он зайдет под своим логином и паролем и разбанит в BWPS
      Как на почту могут приходить базы размером более 200 Мб?
      База данных сжимается архивом очень хорошо. 200 мб должны превратиться в 15-20 мб. Но нужно посмотреть, какой размер архива получается и уточнить ограничение своей почтовой службы. В майл.ру должно дойти письмо размером до 50 мб (если не ошибаюсь). Но на многих почтовиках осталось ограничение в 10 МБ.
      Этого достаточно для безопасности? а то я скоро буду думать постоянно о подлых хакерах?
      Этот плагин хорошо защищает от базовых атак, но нужно быть всегда начеку :-)

  22. Советы очень нужные! Дмитрий, спасибо вам, я об этом плагине раньше не читал.

  23. Дмитрий, установила плагин, подскажите у меня еще стоит плагин Block Bad Queries (BBQ), а может Better WP Security и с этим справляется и его можно удалить или все же оставить?

  24. Здравствуйте, Дмитрий! Плагин действительно хороший, даже скрывает админку. Сейчас проверил на Вашем блоге (wp-admin — 404) — Заранее прошу простить за то, что пытался зайти в админ-панель — это все ради эксперимента=).
    Но интересует вопрос — не слишком ли нагружает этот плагин БД, процессорное время и пр., тем более с посещаемостью более 4000? Не «советует» ли Вам хостер переходит на VPS?

    • Привет, Павел)
      Да, действительно, плагин закрывает админку от любопытных )))
      Мой блог на ВПС и не заметил тормозов. Люди ставят и на виртуальные хостинги и не слышал еще жалоб.

      Я бы рекомендовал ставить плагин в связке с WP Super Cache.

      На виртуальном хостинге свободно выдерживал до 1500 уников
      На ВПС свободно выдержал 7500 в пиковую загрузку. У меня МакХост, можете попробовать 3 месяца бесплатно по моему промо-коду о чем писал вот здесь:
      http://ideafox.ru/pro-blog/3-month-hosting.html

  25. Отличный пост, на днях думаю реализую, хотя… архивы баз данных и блога делаю каждый день, может даже не буду возиться. Но для теста хотелось бы поюзать.

    • Привет, Михед
      Резервные копии хорошо, но вот взлом можно не сразу заметить. И тогда может быть ситуация, что придется откатываться на много дней назад. А тут хотя бы видно, ломится кто на сайт или нет + ежедневное письмо об измененных файлах на блоге.
      Можно быстрее отреагировать

  26. Здравствуйте, Дмитрий.
    Установила плагин, есть несколько вопросов к Вам:
    1.Резервные копии сайта на почту пришли только один раз
    2. Как определить протокол XML-RPC? (2. Сокрытие служебных тегов ВП. Не трогайте, если используете протокол XML-RPC)
    3. Хочеться скрыть админку на странице (а как потом входить?)
    Я еще только учусь.

  27. Дима, помоги мне разобраться в 15 пункте. Так как у меня достаточно длинные урлы. Если я поставлю галочку предотвратить длинные строки URL. То я не смогу писать длинные заголовки, или они просто как то будут сокращаться или еще что?

    • Наталья, он у меня включен — проблем нет. Иногда у меня бывают очень длинные УРЛ.
      Тут только проверкой можно сказать. По идее, не должен создавать проблем.

  28. Долго думала- устанавливать плагин или нет. По параметрам он идеальный, заменяет несколько плагинов, но боялась вдруг все слетит, а возиться потом времени нет. Но рискнула и установила. Все работает. Я хоть и новичок, но сама удивилась, что дошла до конца, и даже эксперементировала! Только вот 15 пункт пока не стала трогать, боюсь все таки конфликта. Спасибо тебе Дим, все оказалось достаточно легко, справилась за 1 час.

  29. Спасибо, Дмитрий, за подсказки по защите. Хоть и не один год уже веду блог, но безопасности должного внимания не уделял, наивно полагая — да кому он сдался, мой бложик!
    Поставил плагин, всё работает, резервные копии обновляются каждый день.
    Оказалось, что блог настойчиво ломают. И пароли подбирают и логины. И настойчиво пытаются войти.
    Мда, не ожидал. Теперь — «Граница на замке, ключ в кармане!»

  30. Подскажите, а если в журнале я вижу что какие-то файлы были изменены, я этих изменений не делала, как мне вернуть все на Родину, используя плагин, сегодня в такой же ситауции делала через хостера бекап, но наверное, есть более легкий способ, используя настройки плагина…

    • Этот плагин показывает изменения, но не возвращает их обратно. Учтите, что он фиксирует в журнале все изменения. Например, после обновлений, после кеширования файлов. Но если уверены, что это было заражение блога, то лучше сделать откат из бэкапа

  31. Суть в том, что у меня не показываем в логах плагина ошибку 404, дело в шаблоне. Изменила шаблон, все работает. Где может быть загвоздка в шаблоне, чтоб ошибка появилась в плагине. Проверила ответ сервера, отдает 404 на несуществующую страницу, а плагин не видит. Рылась по интернету ничего не нашла. Только не говори поменять шаблон. Не хочется оставлять эту тему открытой, у меня на другом сайте стоит все нормально, постоянно блокирует \edit. Кстати, что с этим запросом делать, можно ли как-нибудь его заблокировать

  32. Добрый день, подскажите, какой плагин по резервному копированию (всех) файлов сайта дружит с better-wp-security
    пысы: перепробовал кучу плагинов, все выдают ошибку 500 :(

    • Евгений, лучше наверно средствами хостинга делать резервные копии. Такие плагины не очень надежные… у меня хостинг позволяет это делать «одной кнопкой»

  33. Как я понимаю если защищён блог подобным плагином и пункт 10 зёлёный, то капча не нужна? А то она у меня какие-то каракули выдаёт. Типа ошибка РHP

    • Привет, Рики
      Рад видеть на блоге)
      Пункт 10 — это защита от перебора паролей от входа в админку. Например, после 10 неудачных попыток — бан на час)
      Все это настраивается в параметрах плагина.

      • Дмитрий — вы оперативно отвечаете) мелочь, а приятно….
        Только у меня вопрос был немного не о том….) Я понял про 10-й пункт, спасибо за ответ. Мой вопрос — целесообразно ли после установки Better WP Security, ставить ещё и капчу? Или BWS всё нормально прикрывает? Или чем больше уровней безопасности, тем лучше (просто поднимается вопрос о нагрузке на сервер и т.п) Ваше мнение по этому поводу. Заранее спасибо за ответ)

        • Рики, я думаю, что это лишнее)
          Я не стал ставить капчу. Попробуйте еще сменить адрес админки, вообще не найдут ее)
          http://ideafox.ru/pro-blog/bpws3.html
          Если искали вирусы, то знаете, какое это муторное дело. Вот этот плагин спасение в таких ситуациях:
          http://ideafox.ru/pro-blog/wordfence-security.html

          • Да… искал — после установки плагина защиты от копирования) Вообще эту страницу жизни на моём сайте нужно назвать — «Шесть шагов чтобы стать параноиком») Менял кстати)) На первом этапе развития)

  34. Здравствуйте, Дмитрий! У меня этот плагин стоит давно. На почту приходят сообщения об измененных файлах. Блог периодически ломают. Не открываются страницы, выдает 404 ошибку. Я не понимаю, как искать уязвимость по сообщению. Напишите, пожалуйста, подробно, в статье, как Вы восстанавливаете измененные файлы. В интернете ничего не нахожу.

  35. Буквально только вчера захотел настроить всё сам.Сделал сначала плагин закрыл мне консоль,я просто не мог попасть даже что бы ввести код,после он предложил мне это сделать,но только как я вел я попал на пустую страницу Вордпресс,сидел очень долго и без настроения)пока восстановил свой труд)

  36. Дмитрий привет,
    Решил установить этот плагин, вот сейчас делаю резервную копию блога. Но прежде всего хотел бы уточнить пару моментов:
    1. ты limit login attemps снес и пользуешься теперь только этим плагином?
    2. я было установил Wordfence Security, что бы проверить блог на вирусы, то да се. Проверил, ничего страшного нету — плагин убрал. Но вот потом зашел в окно плагина Wp clean up (я им чищу ревизии постов, трешные комментарии, то да се) и заметил, что моя БД потяжелела не мегабайт с лишним. А все потому, что создались таблицы типа wp_wfBlocks (то есть в названии каждой новой таблицы есть WF, что напоминает мне wordfence).
    Не подскажешь, стоит ли вообще все это дело трогать или оставить все как есть? (ведь wordfence security я выключил).

    Спасибо.

    • Привет)
      — limit login attemps снес, так как полный аналог есть в этом плагине
      — Таблицы WordFence не трогай. В них хранится вся информация о твоем движке, которая сравнивается с эталоном. Ну и настройки, конечно.

      А вот таблицы Беттер ВП секьюрити конкретно разрастаются и может быть проблема, о которой писал здесь
      http://ideafox.ru/pro-blog/bpws-problema.html

      • Ага, спасибо за ссылку. Буду постоянно мониторить и чистить базу.
        И еще небольшой вопрос: у тебя включен пункт 12 (там где защита httacces)? Не было никаких конфликтов с темой и/или плагинами?

  37. Привет, Дмитрий! Поизучал выкладку по теме плагина и вижу, что твоя наиболее адекватная. Поэтому обращаюсь как к специалисту.
    Поставил недавно плагин на свой блог. Всем доволен, хорошо работает, даже нашел кое-какие ошибки в коде, которые приводили к ошибке 404.
    Но один огромный минус: с тех пор, как я установил плагин, резко возросла нагрузка на сервер. То есть теперь бродит где-то в районе 30-40 pc, тогда как максимальная всего 50. Обычно нагрузка была 10-15 pc. Выросла также нагрузка на базы данных, хотя база небольшая — 19 Мб и в журнале логов записей набираю не более 100 за пару дней.
    Сначала я думал, что рост нагрузки связан с тем, что удаляю некоторые посты и часть комментариев, создаю новые страницы на блоге (большая уборка :) ), но бывают дни, когда ничего не делаю, а нагрузка такая же. Так что склоняюсь к мысли, что «виноват» плагин.
    У меня возникло несколько вопросов, можешь ответить?
    1) Я поменял с помощью плагина префиксы таблиц в базе данных, теперь, если я деактивирую плагин (хочу посмотреть, что будет с нагрузкой) — сайт не рухнет?
    2) Я не стал устанавливать некоторые настройки, кот., судя по твоим урокам, нужны. Причина — что могут вступить в конфликт с др плагинами, например, с WP Super Cash.
    Это настройки Защита файлов и Удалить разрешение на запись из .htaccess и wp-config.php и еще там некоторые…
    Ну и вторая причина, нагрузка, видимо, возрастет еще больше.
    Что делать — методом тыка проверять?

    • Владимир, добрый день!
      1. Я отключал плагин (было дело), сайт не падал. Он ведь изменил префикс таблиц и больше к ним не обращается.
      С нагрузкой трудно сказать — у меня на тестовом блоге за 69 руб в месяц нет никаких проблем.

      2. Ч ВП Супер Кэш не встречал конфликтов.

      Насчет нагрузки — какая посещаемость и хостинг?

      • Если есть сомнения, то обязательно сделайте резервную копию сайта перед опытами

      • Значит, вполне возможно, не плагин грузит так сервер.
        Хостинг виртуальный, на Timeweb. Посещаемость небольшая — 150+ по лайвинтернет.
        Хотя с посещаемостью непонятки. Смотрю по Awstat, слишком много кб на визит — 420кб/визит. Это и до установки плагина было. 6Гб ресурсов за месяц кушает.
        Хитов очень много, например, в январе, 105000. при этом уников 7300, что тоже много, так как реальных посетителей по Яндекс.Метрике — 3700 посетителей, а просмотров только 5940.
        В общем, кто только не бродит :) Поставил недавно роботс со списком запрещенных ботов, теперь не гугл, ни яндекса не вижу в списке. Их не запрещал.

        • Насчет таймвеба ничего сказать не могу, но блогеры довольно часто пишут о том, что там есть не совсем понятное мерило нагрузки на ЦП.
          На МакХосте или Евробайте таких проблем не замечал. (можете попробовать МакХост по моему промо-коду на 3 месяца : ) Баннер справа найдете.
          Вероятно, Вы вырубили поисковых роботов в Беттер ВП Секьюрить при помощи функции hackrepair. Если она у вас включена — отключайте. (Я об этом говорил в видео)

          • Функцию отключил 2 дня назад. Также где-то промелькнуло, что они убрали из списка боты яндекса и гугла.
            За промо-код спасибо, но я не сторонник менять хостинг, на таймвебе сижу 3 года. Хорошо там, где нас нет. Эту поговорку как раз про хостинг выдумали :)

  38. Приветствую! Возник вопрос, во вкладке Logs есть кнопка удаления данных, удаляю периодически, единственно непонятно, птички ставить во всех чеках? Конкретно, отмечая пункт «База данных содержит 3 old lockouts» я не удаляю саму блокировку?

  39. У меня что называется бедапИчаль с этим плагином. Первую неделю после установки было все ок, затем он обновился и сайт упал, сделал бэкап но, к вечеру он снова упал, начал отрубать все плагины, остался БС, понял, что дело в нем.

    При его дезактивации, улетает и мой премиум шаблон, при попытки удалить ничего не происходит, т.е. выключить его можно, правда сайт становится похож на обычную HTML страницу,а вот удалить через админку не выходит, а по ftp страшно, вдруг так и останется.

    Чтобы все начало работать пришлось отказаться от некоторых важных плагинов например, джет пак. Теперь вопрос, как я уже говорил, через админку он не удаляется, если я удалю его по ftp какова вероятность что слетит шаблон, если учесть, что он отключается даже при простом выключении плагина, и вообще, что посоветуете, как мне быть?

  40. Ну все, убил сайт. Снял галочку не менять файлы ядра, шаблон слетел, а зайти во вкладку где снял галку не могу, вот че пишет: У вас недостаточно полномочий для доступа к этой странице.
    Помогите, че делать, вкладка называлась Твикс.

    • Михаил, скорее всего проблемы с файлом htaccess или конфликт с другим плагином безопасности (не исключен конфликт с защитой хостера, они любят менять пути к админке)
      Лучше, конечно восстановиться из резервной копии на момент, когда все было «ОК»

      Но сначала обратите внимание на файл .htaccess
      Кстати, убедитесь, что у вас достаточно свободного места на хостинге.

  41. Меня в настройку самого плагина не пускает, я там увидел галочку в желтом поле, а типа не смотреть файлы ядра и предупреждение, типа эта настройка может конфликтовать с другими плагинами, я снял ее, и теперь в настройку плагина не пускает, чтобы вернуть галочку. Подозреваю — это было ядро самого плагина, а не wp)

  42. Бэкап помог, вот эту prntscr.com/33rll7 галочку я убрал и он перестал пускать меня в настройки. напишите всем, чтобы не трогали ее. Теперь, когда я его выключаю все съезжает, как и раньше, как считаете, просто оставить и не трогать ничего или заплатить грамотному человеку, который его удалит и все восстановит? Сдается мне, он под мой шаблон не заточен.

    • Михаил, у меня на всех проектах стоит галочка на этом пункте меню. Проблем нет.
      Может у вас шаблон кривой, лезет в ядро ВП или зараженный? Не должно быть такой ерунды из-за шаблона…

      • Так и у меня на всех, вот я ее снял на всех, и теперь, на всех, даже после бэкапа в настройки не пускает. Решил пока так оставить. Там же, вроде все настроено.

        • Вообще странно, Михаил.
          Вероятно, что-то связанное с хостингом (его настройками). У меня все безболезненно проходит.
          Если отключили эту настройку, то просто создайте в каталогах, которые хотите закрыть от просмотра пустые файлы index.html
          И при попытке просмотра каталога злодей увидит белый экран )
          Но в последних версиях ВП они по-умолчанию есть (раньше приходилось ручками создавать)

        • Михаил, Вы не поверите)
          Сегодня сам столкнулся с такой ерундой на другом сайте)

          • Поверю) Плагин опять обновился, там столько новых настроек, что я решил вообще ничего не трогать. Как на счет ссылками поменяться, запустил новый сайт бизнес тематики, могу статью предоставить, на любую тему любого объема. Собственно и обратную, могу учесть пожелания. Например в рубрику история успеха, написать про ваш сайт. На данный момент 500 статей лежит для него, так что траф будет. Сайт maneymaking точка ру.

          • Михаил, спасибо, но я не обмениваюсь ссылками…
            Они просто не работают уже полгода, наверное : ) Не вижу в этом практического смысла : )
            Все поисковые системы резко снизили значимость этого фактора.

  43. Привет! Сегодня вышло обновление плагина до версии 4.02 У меня сейчас версия 3.6.6
    Рядом с обновлением написано «Совместимость с WordPress 3.8.1: 100% (согласно автору)»
    Ну вот, обновился я и сайт слетел. Сначала в админке написал, что плагин чего-то там не работает и он вообще исчез из админки сайта. А потом пошли белые страницы и уже не мог зайти в админку сайта.
    Откатился назад на хостинге. Вроде все появилось.
    Теперь читаю внимательней, написано, что нужно отключить плагин перед установкой нового.
    Хочу попробовать, но вот что думаю, настройки-то исчезнут пр деактивации плагина. Это после перенастраивать?

    • Владимир, при обновлении плагина до iThemes Security
      1. Обязательно делать резервную копию.
      2. Ни в коем случае не делать быструю настройку «Одним кликом»
      3. Не ставить настройку Filter Non-English Characters
      Она как раз и выставляется автоматом, когда соглашаетесь защитить «Одним кликом»

      • А, так это тот самый обещанный переход на Ithemes Security. Я смотрю он появился в списке плагинов, только не активированный.
        Я, кстати, хотел поспрашивать насчет новой версии. Она как — бесплатная?
        Сохранение у меня на хостинге на 4-ре утра имеется. Так что, если что откачусь снова.
        Дмитрий, каков процесс обновления?
        1) Деактивировать старую версию сначала?
        2) Все-таки я не понял, настройки сохранятся или настраивать придется?

        • Владимир, да, это тот самый переход)
          Писал вот здесь: http://ideafox.ru/pro-blog/ithemes-security.html

          1. Бесплатная.
          2. Деактивировать не надо. Просто обновляетесь
          3. Настройки сохраняются.
          4. Ни в коем случае не делайте «Настроить одним кликом» (Писал выше, включается блокировка русских символов и появляются «белые экраны»)
          5. Проверьте все настройки)

          Я обновился на тестовом блоге без проблем.

          • Сейчас попробую. Сижу вот в evernote копирую настройки :)
            Посмотрел после отката теперь у меня оба плагина и better и ithemes (неактивный)

  44. Ну все, я обновился!
    Так и не понял, где надо //не делайте «Настроить одним кликом»//
    Вышло так:
    обновил плагин better security и у меня сразу установился iSecurity в готовом виде.

  45. А у меня на одном сайте просил какие то настройки одним кликом — вышла страница с красными кнопками, я все нажал, как я понял, все настроилось. Ничего не слетело. А на другом, о котором писал выше, где была заблокирована адмика, он просто обновился и этого окна с настройками в один клик не появилось, зато админка разблокировалась)

    • Михаил, в статье добавил новое видео по настройкам — посмотрите, я постарался подробно рассказать что значит та или иная настройка.
      Писал без дублей, иногда спотыкаюсь, но все понятно)

  46. Этот плагин меня достал, я его удалил сегодня) Он явно не желает работать с моей темой, сегодня он меня заблокировал, как раз эррор красовалась, даже при просмотре не из админки. Вечером пересмотрел видео еще раз, и поставил опять, добавил в белый лист свой IP. Спасибо вам Дмитрий, за такой подробный мануал.

  47. А у меня вопрос. У меня раньше стоял Лимит Логин и всякие хакеры ломились и вот самые умные обнаруживали моё сложное имя пользователя ( хотя я убрала там где то галочку, где Вы рекомендовали убрать) Так вот я боюсь с плагином iThemes Security если кто то будет ошибаться в пароле с моим именем, смогу ли я сама потом войти?
    И я даже в .htaccess прописала, и думала что после этого даже стандартная админка будет заблокирована
    #Список IP через пробел, с которых доступ разрешен
    Allow from 123.78.9.175

    • Если кто-то будет ломиться в админку под вашим логином, то будет бан не только по IP, но и по имени логина.
      Штука опасная — меняйте на нестандартный и время блокировки выставляйте разумное. То есть, не 100 лет.
      Ваше имя скорее всего вычисляют по коду шаблона. Там ищите откуда оно появляется.

  48. Поставил плагин по твоей инструкции. В воскресение самое время заниматься такой рутиной.

    WorldFence на очереди.

  49. Привет, Дмитрий!
    Короче, всё я сделала будто бы по видео-уроку и есть результат:
    блог недоступен!
    При моих познаниях — это ужас… Бекап сделан перед установкой, но что с ним делать? Не знаю…

      • Бывает, Галина)
        Скорее всего, сами себя забанили при неверном вводе пароля или кривой шаблон, который отдает ошибку 404.
        Трудно сказать, что там происходит у вас, но если пароль вводили верно, но сами себя заблокировали, то отключайте следующие опции в разделе Settings
        1/ Filter Non-English Characters
        2/ Enable 404 detection

      • Дмитрий, огромное спасибо!
        Блог защищён!!!
        Целый день ковырялась….
        Красным идёт надпись о вредоносном сканировании — не включено (Malware scanning is not enabled).

          • Плагин iThemes Security — Dashboard — где красные вопросы — High Priority
            (These are items that should be secured immediately).

          • А, это новая фича, Галина. Похоже только вчера появилась.
            Если используете ВордФенсе Секьюрити, то можно и не включать. Я писал про ВордФенсе на блоге.

  50. Спасибо ещё раз — я это оставила, просто уже иссякла.
    Решила, раз в видео не упоминается, то переживём и это «изобилие»!

  51. Дмитрий, простите, ради Бога — морочу Вам голову…
    Но хочу разобраться!
    Сегодня мне пришло не письмо, а целая простынь с изменёнными файлами:
    Файл (или файлы) на вашем сайте myrassilka.ru были изменены. Пожалуйста, ознакомьтесь с ниже отчет для проверки изменения не являются результатом компромисса (это я перевела в гугле).
    Вопрос:
    — мне надо реагировать — там список ого-го?!
    — если нало, то как?!
    Это точно от плагина — раньше не было… :)

    • Да, такие полотна каждый день приходят. Дело в том, что туда попадают много файлов из плагина, который генерит кеш. Ничего страшного.
      А эта функция с исключением папок из мониторинга не работает — обещают поправить в следующих обновлениях

  52. Да, и все они — каше или суперкаше — я их блокировала… как в статье

  53. Дмитрий, добрый день,
    задумалась над защитой своего малыша) Установила плагин, все отлично работает, пока конфликтов не обнаружила. Никогда не задумывалась над защитой, после Ваших статей- полезли мысли всякие, решила обезопасить.
    Сейчас настройки плагина выглядят немного иначе. Я пока сделала только все в соответствии с Вашими рекомендациями, но там еще много доп. функций. Вы не писали свежую статью по этому плагину?
    Спасибо за статью, добавила ее в закладки)

  54. Добрый вечер, помогите… по неосторожности установила этот плагин и консоль больше не открывается, базу на компьютер не скинула, потому что не знаю как это сделать(( Все пропало? сайт больше не вернуть?

    • Скорее всего сами заблокировали неверно введя пароль несколько раз
      Нужно подождать время, которое задали в настройках, при котором блокируется пользователь.
      Если ничего не трогали, то это время =15 минут.

      • А.. у вас русскоязычный домен. Тогда он будет все блокировать, пока не снимите галочку напротив «Filter Non-English Characters»

        Просите хостера поднять сайт из резервной копии, если сами не можете этого сделать..

  55. В то м то и дело что консоль не работает и где теперь ставить галочку не понятно. Как ее теперь включить? Может поддержка хостига помочь в такой ситуации?

    • Она по умолчанию есть. Эта галочка, сразу после установки плагина. Так как домен кириллический, то все блокируется моментально.

      У вас два пути:

      1. Поднимать сайт из резервной копии, если есть. Самому или просить хостера. Как правило, у хостеров всегда есть резервные копии, которые они делают в фоновом режиме.
      2. Удалить папку с плагином вручную с хостинга, а файл .htaccess заменить на старую версию, которая была ДО установки плагина.Опять же, нужен файл .htaccess из резервной копии.
      Естественно, заранее сделайте вручную резервную копию сайта перед любыми манипуляциями

      • Спасибо, сейчас обращусь в поддержку хостинга, за базой данных, которую я ворона не сделала=)

  56. Здравствуйте! У меня установлен этот плагин. В настройках, в блоке «авторизация» есть такой пункт: «Максимальное количество попыток входа: Установите значение для максимального количества попыток входа, после чего IP-адрес будет заблокирован».
    «Ограничение времени попыток авторизации (минуты): 15»

    Устанавливаю 5, меняла на самые разные цифры от 2 до 10, ничего не помогает. Почему-то IP-адрес блокируется уже после 1-го не верного ввода пароля. А реальных людей, которые не верно с 1-го раза вводят пароль — куча, а это реальные клиенты. Не хочется их терять.

    Как думаете, в чем может быть проблема? Почему IP-адрес блокируется сразу после первой неверной попытки ввода, а не после 5-й как установлено?

    • У меня было такое, Елка.
      Подождал примерно час и новые настройки вступили в силу
      Похоже, есть временной лаг в этой опции.

  57. Вопрос всем. Кто-нибудь пробовал отключить, а затем снова активировать уже настроенный и работающий плагин Better WP Security?
    Похоже он не дает мне редактировать коды в плагине Header and Footer. При попытке удалить код из Header and Footer, вылетает ошибка 403. Доступ закрыт. Может и не его вина, но…

    • Я отключал — все нормально.
      Но все равно предварительно сделайте резервную копию блога, на всякий случай.

  58. Подскажите, можно ли без отката файлов что-то сделать. Плагин настроил, поменял адрес входа в админку. Потом передумал и поменял на другой адрес. Теперь не могу зайти в админку, белые страницы везде. Что и где исправить, в каких файлах?

  59. Спасибо за отличное видео!
    У меня в красной зоне вылезает
    Malware scanning is not enabled.
    Что это означает?
    Надо ли включать
    Enable malware scanning?

    • Пожалуйста)
      Сергей, нет необязательно. По-сути, эта функция дублирует возможности проверки сайта на virustotal.com
      Там можно вручную проверить, если приспичит. Короче, необязательно

  60. Поставил плагин. Что он там ищет — да. Но пользователи теперь авторизуются, но не могут войти в свой профиль. Где б посмотреть, что ни так?

    Второй плагин, который вы рекомендуете в пару — Wordfence Security, тоже работает, но вырубает главную страницу.

  61. Здравствуйте, Дмитрий! Может, Вы, как специалист по этому плагину, сможете мне дать совет в беде, связанной с ним? Однажды я сдуру поставила галочку в поле: SSL for Dashboard Force SSL for Dashboard настроек плагина. И получила заблокированную для входа админку. Дело было пару месяцев назад, на моем втором заброшенном сайте, и тогда разбираться было некогда…
    Потом я попыталась исправить ситуацию, удалив этот плагин совсем через файловый менеджер на хостинге. Однако проблема не решилась — вход по прежнему невозможен, поскольку в адресной строке входа в админку значится https:// Все эти изменения я делала давно — то есть восстановление из резервной копии за последний месяц не поможет.
    Получается, что плагин куда-то внес изменения, которые сохранились после его удаления. Вопрос — куда и как это можно исправить? ТП хостера горит, что помочь ничем не может — они только из резервных копий восстанавливают, которые у них за посл 10 дней есть. Я нашла на почте созданный плагином бекап БД от 1 апреля — думаю, что это было раньше, чем я галочку поставила. Но ТП говорит, что восстанавливать БД без файлов — это смерть :(((

    • Хороший вопрос, Надежда.
      Не сталкивался с такой штукой, так как не включал эту возможность.
      Но скорее всего правила прописаны в .htaccess
      То есть, если хотите удалить плагин, то нужно снести его каталог, вернуть прежний .htaccess , почистить базу данных от старых таблиц этого плагина.
      Они содержат в префиксе что-то вроде bwps

      И, конечно, предварительно сделать резервную копию.

      • Спасибо, Дмитрий!
        В .htaccess не вижу никаких следов плагина — там только редиректы, которые я сама прописывала…
        В базе данных таблиц с bwps тоже не обретается…
        Думаю, единственный вариант — скачать по FTP папку wp-content, а потом снести БД на хостинге, переустановить ВП и залить обратно wp-content. Должно помочь, как думаете? Я правильно понимаю, что контент, шаблон и плагины находятся в этой папке, а фатальные изменения внесены куда-то в другое место?

        • Надежда, я Вам советую такую работу сначала на локальном сервере сделать (ОпенСервер очень удобен для таких тестов)

  62. Добрый день, Дмитрий!

    Большое спасибо за полезную статью!!!
    Я ее читала и внедряла после просмотра
    Вашего курса о создании блога.

    Единственное, возникла проблема с переименованием папки wp-content. Я переименовала ее.

    Но теперь, когда я добавляю медиафайлы в Вордпресс, система почему-то их не видит.
    И даже в записях, которыми я делилась на Google+, картинок не видно. Что можно сделать с этим?

    И еще у меня почему-то 2 папки wp-content было, одна так и осталась с прежним названием. Вроде туда Вордпресс и сохраняет картинки, хотя адрес указывает новый. Может, ее тоже нужно переименовать?

    С уважением,
    Алеся

    • Алеся, добрый день!

      Этот каталог лучше не трогать, так как:
      1. Нарушаются пути к старым картинкам.
      2. Некоторые плагины перестанут работать или обновляться.
      3. Могут вылезти другие проблемы.

      Операцию переименования этого каталога можно делать только сразу после установки и только с теми плагинами, которые смогут работать с такой настройкой.

      Вам лучше откатиться назад из резервной копии, если такое возможно.(надеюсь, она у вас есть).
      На странице этой настройки не зря висит три красных баннера, которые предупреждают, что включение этой этой функции необратимо и может нарушить работу сайта.(В курсе тоже об этом говорил, что этот раздел настроек вообще трогать нельзя).
      Причем удаление плагина не поможет.

      • Спасибо, Дмитрий!
        Я, видимо, плохо слушала курс, что это нельзя делать.
        Но зато запомнила, что это повышает уровень защиты сайта)))
        Придется менять обратно)))
        Еще раз спасибо!!!

  63. Я шикарно сегодня сама себя потроллила. Решила посмотреть что у меня из старенького с ошибкой 404, перешла по битой ссылке, а плагин взял меня и заблокировал. Error.
    Благо, мне на почту приходит уведомление о заблокированных IP. Подпрыгнула, быстро разобралась с редиректом 301, но напугалась сильно. Дмитрий, можно настроить плагин так, чтобы он не блокировал администратора?)

    • =)
      Оксана, в настройках этого плагина есть кнопка, которая называется «Temporarily Whitelist my IP» (она на самом верху страницы «Settings»)
      Можно нажать на нее и плагин не будет блокировать твой IP, с которого выходишь в интернет на сутки.
      Разумеется, если IP адрес меняется, то нужно снова нажать на эту кнопку. (Почти все провайдеры дают новый IP при перезагрузке модема)
      Или можно отключить на время техработ в настройках плагина настойку «Enable 404 detection»
      А потом снова включить, когда все проверишь

      • Посмотрела логи IP, который забанил плагин. Практически все с ошибкой 404. Неужели у меня так много косяков…..
        Все что показал мне ЯндексВебмастер с ошибкой 404 я исправила.

        • Оксана, часто банит плагин те IP-адреса, с которых идет перебор на сайта уязвимость.
          То есть, сканируют на предмет установленных плагинов в ВП. У меня каждый день сотни таких ошибок отображается в логах.

    • Оксана, добрый вечер!

      Я добавила свой постоянный IP адрес в глобальных настройках в список Lockout White List. Теперь плагин меня не банит))))

  64. Актуально таки да и информация очень ценна, благодарю! только до конца с настройкой не разобрался, еще тут /ссылка удалена/ информацию нашел, пытаюсь что-то делать. кто бы мог мне помочь, пожалуйста? я новичок и готов за оказанную помощь отблагодарить

Оставить комментарий