Better WP Security: баним копипастеров и спасемся от хакеров!

Привет, друзья IdeaFox!

Обновление:  Теперь плагин выпускается под названием iThemes Security, о чем писал вот здесь: http://ideafox.ru/pro-blog/ithemes-security.html. Учтите этот момент, когда будете искать его в репозитории WordPress для установки. 

Вижу затишье в блогосфере. Видимо, наступает летний спад , а блоггеры, уставшие верить в пассивный доход, массово поехали активно копать картошку : – )

А я вот не перестаю удивляться возможностям плагина Better WP Security.

И очень странно, что этот плагин до сих пор бесплатен, так как он действительно очень хорош. Я даже сделал пожертвование разработчикам этого плагина (впервые в жизни!).

Кстати, тем кто отбился от атак тещи : — ), и не уехал на дачу, рекомендую принять участие в фотоконкурсе на блоге FishkaLife.Ru (Евгений и Ольга — молодцы. Постоянно мутят что-то с читателями, очевидно, что дело пошло в гору )

http://fishkalife.ru/fotokonkurs-summer-time-s-poleznymi-prizami/

Призы хорошие, а я там в жюри. Рекомендую.

Итак, вернемся к BPWS

Я уже ранее писал о плагине BPWS в заметках:

Почему хакеры любят ломать молодые блоги?

Better WP Security — мощная защита блога за 5 минут. Как настроить и на что обратить внимание?

Мой курс по безопасности WordPress
boxzashitasini

Уважаемые блогеры!

Обратите внимание на мой курс по безопасности WordPress, который так и называется:

"Защита блога на движке WordPress за два часа"

В этом небольшом курсе я систематизировал наиболее простые, но надежные методы защиты блога на WP от вирусов и хакеров.

Он будет полезен как начинающим, так и продвинутым блогерам.

Я сам пользуюсь этими методами на всех своих проектах.

Посмотрите вот это небольшое обзорное видео о курсе:

Для того, чтобы более подробно познакомиться с этим курсом, достаточно пройти регистрацию на моем закрытом сайте для блогеров:

Защищайте свои блоги!

Приведу три практических примера его применения на собственном опыте:

А. Баним копипастеров.

Если Вы до сих пор думаете, что копипастеры вручную копируют ваши бессмертные творения, то ошибаетесь. На самом деле этот процесс автоматизированный и тексты копируются в без прямого участия человека.

Этот процесс называется “парсинг” и многие хитрые товарищи используют его для заполнения своих ГС уникальными текстами.

Можете забыть про плагины, которые блокируют правую кнопку мыши, так как серьезные люди так текст не тырят, конечно. А запретив правую кнопку мыши, Вы только разозлите своих читателей, которым может понадобиться абзац Вашего текста в личных целях.

Как правило, скрипт-парсер располагается на том же ГС, который копирует Ваши статьи. Если это так, то можно применить следующий прием:

1. Определяем IP-адрес сайта, на котором размещены украденные статьи.

Например, меня копирует rambler.ru :- ) (шутка, конечно)

Идем на сайт 2ip.ru

IP сайта

И в разделе “Информация об IP адресе или домене” узнаем его IP-адрес.

IP сайта определяем

Итак, теперь мы знаем, что сайт Рамблера имеет IP 81.19.70.3

Осталось забанить надоедливого конкурента в Better WP Security

Заходим в настройки плагина и выбираем настройку “Ban”

настройка ban bpws

блокирум IP

— Ставим галочку в “Enable Banned Users”

— Вносим IP- адрес сайта копипастера

— Жмем кнопку “Сохранить изменения”

Ни в коем случае не включаем настройку “Enable Default Banned List” Дело в том, что в этом списке есть поисковые роботы от Яндекса, и он просто перестанет индексировать Ваш блог.

Все, теперь можно немного расслабиться : – )

Но подчеркну, что этот прием работает только в том, случае, если IP-адрес парсера и сайта совпадают. Если они не совпадает, то придется вычислять его в логах сервера.

Б. Отбиваемся от хакеров – скрываем админку блога

На той неделе BPWS регистрировал атаки на админку сайта практически каждую минуту. Почта лопалась от писем –предупреждений вот такого содержания:

письмо оповещение от BPWS

Что любопытно, почти все IP-адреса были из Азии или с Ближнего Востока. Очевидно, что это была массовая атака на все сайты моего хостера, а не только на меня. Так как размах атаки впечатлял.

С одной стороны, можно было бы и забить на это дело, так как шансы подобрать пароль при 10 попытках, после которых следует суточный  бан, стремятся к нулю. Но мне это очень не понравилось.

Нагрузка на сайт давала о себе знать, а файл .htaccess разрастался на глазах.

Что нужно сделать:

Опять идем в настройки любимого плагина BPWS, и выбираем раздел “Hide”

скрываем админку блога

 

Внимание! Перед этой операцией нужно сделать резервную копию всего сайта! (база данных + все файлы блога)

И делаем следующее:

настройки для скрытия админки

— Ставим галочку “Включить скрыть Backend” (плохой перевод… буду обратно пожертвование требовать! :)

В полях Login Slug, Register Slug и Admin Slug прописываем свои “секретные ссылки”. Естественно, нужно их запомнить, а еще лучше записать.

Понятно, что я написал ссылки в примере “от балды” и они не рабочие.

Зачем это делается? Теперь, для того, чтобы попасть в админку блога нужно будет набирать не как обычно:

sitename.ru/login

а заходить по “секретной ссылке” вида

sitename.ru/vashasekretnayassylka

То есть, мы скрыли админку блога на ВордПресс от посягательств товарищей, которые пытаются подобрать к ней пароль.

Опытные люди могут мне возразить, что парсер методом перебора рано или поздно найдет нашу секретную ссылку. Но разработчики BPWS и об этом позаботились.

Там есть настройка, в которой задается бан IP-адреса, с которого постоянно пытаются открыть несуществующие страницы на Вашем блоге.

В. Блокируем перебор по ошибке 404:

обнаружение вторжений

И задаем,например, такие настройки:

обнаружение вторжений по ошибке 404

Теперь если будут регистрироваться более 20 попыток открытия несуществующей страницы с одного IP, то такой IP-адрес будет блокироваться на сутки.

Внимание! Лучше отключать такую блокировку после радикальной переделки сайта, когда массово меняются URL-страниц. Есть возможность того, что Вы заблокируете поисковые роботы! И Ваш блог не будет нормально индексироваться.

На самом деле, если хорошо покопаться в этом плагине, то можно найти еще кучу настроек, которым можно найти самое неожиданное применение.

Если хотите узнать какие, то подписывайтесь на новости моего блога : – )

Ну, а Вы что используете, коллеги-блоггеры?

Инструкция по установке и настройке iThemes Security

Вернулся к статье и добавил небольшое видео. Дело в том, что теперь плагин называется iThemes Security и появилось несколько новых функций. Особое внимание обратите на настройку, связанную с блокировкой русских символов.

Уже обращалось несколько человек, которые видят «белые экраны смерти» в админке своего блога..

Видео писал без дублей, с первого раза. Есть некоторые заминки и слова-сорняки : ) Но основной смысл понятен : )

Советую прочитать:

7 способов проверить сайт на вирусы, вредоносные ссылки и прочую нечисть + 3 полезных плагина для WordPress

Почему не комментируют сверхпопулярных блоггеров? И как я пытался их поддержать : — )

Почему я теперь не критикую инфобизнесменов?

Только для блогеров и вебмастеров:

67 комментариев к «Better WP Security: баним копипастеров и спасемся от хакеров!»

  1. В принципе всё это можно ручками в .htaccess прописать, что будет и проще, да и можно избежать лишней нагрузки… не знаю как оно там реализовано, но делаю такое предположение. При включенном кэшировании блокировка работает? В тоже время, для новичков самое то!

    Пы.Сы. Дмитрий, ты если что публикуй анонсы статей в фейсбуке я там обычно часто бываю… тогда и у тебя мелькать буду :) Удачи!

    • Привет, Константин)
      Давно тебя не видел)
      Согласен, гораздо проще прописать htaccess. Но сам знаешь, лезть в этот файл новичкам совсем не нужно
      Да, при кешировании все работает.
      Ага, стал публиковать и в ФБ в последнее время.

  2. BWP Security действительно очень мощный плагин. Я бы даже сказал — инструмент, или комплекс. Очень функциональный.

    А насчет htaccess — есть тоже очень интересный и функциональный плагин BulletProof Security, одним нажатием кнопки создает необходимые htaccess-файлы, да и другой функционал у него имеется.

    Для новичков оба эти плагина — однозначно рекомендуются.

    ps: мой хостер как-то даже спросил у меня в переписке, сам ли я правила в htaccess прописывал. Я ему про этот плагин рассказал, тот говорит — все очень грамотно прописано.

    • Привет, Саш)
      BulletProof Security тоже хорош, но что-то не пошел он у меня. Закапризничал, законфликтовал с другими плагинами.. пришлось отказаться.

  3. Тоже недавно установила этот плагин, теперь не нарадуюсь. Очень мне нравится. А теперь подробнее еще о некоторых возможностях узнала, он мне ста еще больше нравится)
    Кстати, он меня один раз забанил, не могла в админку зайти, пришлось его на время отключать. С чем это могло быть связано?

    • Евгения, привет)
      Значит, была включена опция Limit Login, которая блокирует не только по IP, но и по логину.
      Например, неправильно ввела с логином admin свой пароль. Плагин банит на заданное время (см. настройки). Если даже поменяешь IP, все равно не пустит.

      Кстати, admin нужно сразу менять на что-то другое, конечно.

      • В том то и дело, что я ввела все праильно, а сообщение о блокировке получила в тот момент, когда вообще меня в интернете не было. Имя админ уже к тому времени поменяла, а после этого еще раз на более сложное и длинное.

        • Получается, что кто-то набрал неверный пароль при верном логине. Но это маловероятно, конечно, или чистая случайность.

          • Нет, скорее всего дело не в неправильном логине/пароле. Это у него встроенная защита от XSS-атак так срабатывает.

            Как правило, такое случается при переходе по ссылке из письма. Например, когда приходит уведомление о новом камменте, и прям из письма нажимаем на ссылку «Одобрить». Ну, и в подобных случаях.

            Нужно стараться всегда заходить напрямую. И, если есть статичный IP-адрес, желательно его добавить в «белый список» в этом плагине. Или маску IP-адреса Вашего провайдера прописать, если IP динамический

          • Мне все же кажется, что кто-то подобрал пароль, мне пришел ip адрес с которого была произведена попытка входа, он находится в США и ко мне не имеет никакого отношения. Так что скорее всего все же кто-то определил логин, хотя и непонятно как.

          • Тогда вдвойне любопытно, как они вычислили логин. (если IP был явно не из вашей страны)

  4. По поводу конкурса у Евгения и Ольги. Вчера увидел инфу о нём у Н.Ковальской.
    Ночью уже фото отправил :)
    С плагинами BPWS и BulletProof Security познакомлюсь. А там м.б. и найду инфу как прописать защиту в htaccess

    • Привет, Виталий еще раз)
      С плагинами рекомендую вплотную познакомиться.
      Константин прав — большинство операций можно руками прописать в htaccess.
      Но это уже для опытных пользователей-хардкорщиков)

  5. А вы не могли бы написать че делать с битыми ссылками, у меня в гугл вебмастерс написано, что есть аж 66 ошибок 404. Не знаю как их определить и удалить. Пробовала ставить плагин, который вроде определяет такие ссылки, но он их неправильно отпределяет))

    • Привет, Дарья)
      Эти самые битые ссылки ты не можешь найти, так как их просто нет.
      Но можно посмотреть в ГуглВебмастере по пути «Состояние — Ошибки сканирования»

  6. Немного поправлю: уехали НЕ КОПАТЬ КАРТОШКУ, а САЖАТЬ ее…Как в воду глядел — я тоже ездил ее сажать — на дачу, хотя доход с Адсенса, вроде бы — не падает: держится на уровне 200 долларов в месяц..

    • Привет, Василий)
      Речь идет о том, что меньше стали писать. Не как весной, когда все строчили посты)

  7. Про копипастеров. больше дерганья, чем простое письмо Яше с жалобой на копипаст. Так ты его заблочил, а я его вообще забаню.

    • Интересно, а разве яндекс больше не шлет стандартное письмо про «Зеркало Рунета» и так далее..
      Раньше шли откровенные отписки и предлагали самим разобраться.

  8. А мне пришлось отключить плагин, что-то он у меня покалечил…Вот после конкурса займусь усиленно всей технической частью, а то все некогда)))
    А тебе пора открывать клуб любителей «WP security»

  9. Дмитрий, полезная статья, познакомили меня с плагином! А у меня стоит Anti-xss attack — он создает дополнительную ссылку на пути ко входу в админку. Роботы ее не видят, и поэтому не могут подобраться к форме ввода логина и пароля. Знакомы с этим плагином? Такую защиту можно считать надежной?
    Рада, что появилась еще одна возможность прикоснуться к Вашей личности «сидением рядышком» в жюри у фишкалайф :) :) :)

    • Привет, Надежда)
      Саша уже ответил на вопрос по плагину, согласен с ним.
      Ну, засудим всех участников на пару, заберем себе призовые )))

      • Ребята, спасибо за ответы! В общем, оставлю его, раз он ресурсы почти не ест, а к плагину BWP Security еще вернусь и все статьи у Вас про него прочитаю. Я же делаю блоги на заказ, а заказчики часто спрашивают про надежную защиту.
        По поводу призов — классная идея, мне нравится, уникальные изображения для блога очень нужны :)))

  10. Надежда, позвольте мне ответить за Дмитрия?
    Anti-XSS attack — очень спорный плагин. Во-1, считается, что в версиях WP выше 2,5 он не попросту не нужен, т.к. это уже реализовано в самом движке. Во-2, в том же BWP Security (да и в др.плагинах безопасности, тоже) такая функция уже есть, а это все-таки комплексный плагин.
    Но несмотря на все это, я лично использую его. Он кушать совершенно не просит (то есть, совсем не требовательный к ресурсам). Да и безопасность лишней не бывает. И к тому же, есть блогеры-профи, которые его все-таки не советуют удалять даже на современных версиях WP.

    • Согласен, Саш.
      Если не конфликтует, то можно оставить. Но я в свое время отказался от него, так как он давно не поддерживается разработчиком (если ничего не путаю)

  11. И да, забыл написать..

    Такую защиту можно считать надежной?

    Конкретно от XSS-атак да, надежно (хотя 100%-ной защиты вообще не бывает). Больше он ни от чего не защищает.

  12. Хотел уже было спросить, сам будешь принимать участие в конкурсе и после твоих слов про жюри, вспомнил, что видел тебя в том списке :)))
    Конкурс у ребят норм, принял участие :)))

  13. У меня редирект стоит на админку. Надеюсь, что не доберутся. В случае чего, хостер меняет адрес. Так что добраться до нее и узнать по какому адресу админка будет проблематично.

    • Тоже хороший вариант с редиректом. Но плагин закрывает множество других уязвимостей

  14. Касаемо:

    Тогда вдвойне любопытно, как они вычислили логин

    Евгения, Ваш логин, случайно, начинается не на «27…….»? Если это и есть логин, то, как видите, я его узнал (если это не специальная подмена)

    (если IP был явно не из вашей страны)

    Ну, а это, наоборот понятно. «Взломщики» же не будут под своими реальными IP-шниками сидеть. А если автоматический парсер и брутфорс использовался, а не ручной (что, скорее всего именно так), то 100%-но использовались прокси.

    Можно считать, плагин Вам здорово помог :)

    • Молодец, Саш.

      Еще, оказывается, плагин All-in-Seo-Pack показывает реальный логин…
      Чтобы отключить показ реального логина нужно включить настройку «Disable Google Plus Profile» в этом плагине

      Евгения, Вам придется поколдовать в настройках чтобы скрыть реальный логин (если это действительно он)

      По поводу автоматических взломов много инфо на серче, что предпочитают ломать из других стран (конечно, через прокси)
      Здесь соображения юр. характера, так как никто не побежит ловить негодяя в другую страну, если это обычный блог.

          • Дарья, посмотри в спаме. Я тебе посылал ссылку еще пару дней назад

          • Я всегда проверяю спам, потому что мне его очень мало приходит…
            Но от вас письма не было, только сейчас получила.
            Спасибо

  15. Да это в принципе не очень сложно лечиться. Надо просто код в functions.php добавить. В нете инфы полно. А вот насчет AIOSP не совсем понял. Где именно он показывает реальный логин?
    Я пока на счет скрытия реального логина сильно не парился, все на потом откладывал. Но надо с этим поторопиться и все привести в порядок. А то в логах сервера все чаще вижу, что кто-то ломиться на страницу авторизации :) Я таких сразу в бан заношу по IP.

    • Если не включить настройку «Disable Google Plus Profile» в All-in-Seo-Pack, то в коде страницы под строкой «

  16. У меня вопросик — они ведь не напрямую ломятся пароли подбирать, насколько я понял, а через скрипты отсылают уже сформированные запросы.
    Я вот поменял префиксы у БД, логин по умолчанию и т.д., этого достаточно будет, что бы отсечь автоматические атаки, или менять ссылку для входа в админку будет не лишним?)

  17. Во-первых,спасибо за плагин!
    Еще хочу спросить.Вижу вы ставите открытые ссылки.Могу ли я на своем сайте выставлять открытые ссылки на какие-то интересные,по-моему),события.Не повлияет ли отрицательно на мой сайт?Я гуглила этот вопрос,но толком ничего не нашла.Вот,например,я тоже хочу написать про фотоконкурс.Мне рассказать про это и сделать неактивной ссылку? Или можно немного открытых ссылок ставить.Или нельзя моему «слабому» сайту это делать?

    • Нет, Татьяна, у меня очень мало открытых ссылок. Все закрыты nofollow
      Нельзя слишком много ставить открытых ссылок на другие сайты, так как поисковые ссылки могут зафильтровать такие ресурсы.
      Для молодых блогов — нельзя давать слишком много открытых ссылок (в каждой статье, например)

  18. Странно, я сделала эту защиту от взломщиков, но письма, что кого-то заблокировали, все равно идут… Почему так?

  19. Подскажите пожалуйста, какой из плагинов может мне помочь. У меня сильно возрасла нагрузка на хостинг, причем пикообразно. Просматривая файлы логов, я обнаружила, что на моем сайте от 10 000 до 20 000 просмотров в сутки одной статьи с одного IP адреса. Причём каждый раз разные IP. Похоже они и дают нагрузку. Не подскажите плагин или ещё что-то, чтобы блокировать IP адреса, например, после 30-50 заходов с одного IP адреса.

    • Евгения, рад видеть на блоге)

      Как я понял, Вам нужно блокировать те IP — адреса в автоматическом режиме, которые слишком часто обращаются к одной странице.

      Попробуйте Wordd Fence Security я писал про него обзор здесь http://ideafox.ru/pro-blog/wordfence-security.html

      Там есть такая опция «Firewall Rules» в которой можно ограничить количество запросов к одной странице с одного Ip. Например, если с одного IP происходит более, чем 10 обращений в минуту, то он банится на заданное время.

      Я сам не использовал эту функцию, но она должна работать.

      Только внимательней, не забаньте поисковых роботов.

      • Если вы постоянно видите обращения к админке блога, то прочитайте эту статью и смените URL админки.

  20. Дмитрий, спасибо. Про роботов я и не подумала. Даже не знаю, что с ними и делать. Вчера на одну страницу было 109 000 заходов с частотой 4-5 в секунду. В robots.txt у меня прописан интервал 5 секунд.

    Хочу установить плагин Better WP Security для защиты админки и WordFence Security. Главное, чтобы они были совместимы.

      • Дмитрий, установила оба плагина на тестовый сайт и настроила как вы посоветовали. Пробовала настроить опцию «Firewall Rules» в плагине Word Fence Security, но почему-то блокировка не происходит. Пробовала менять настройки, ничего не получается. Там есть выбор — блокировать или душить. Что значит душить, не знаете? Если поставить галочку Enable Live Traffic View в опции Basic options (у вас там нет галочки) , есть возможность посмотреть, кто и сколько раз заходил, и даже забанить, только не понятно на какое время, да уже и смысла нет, поскольку IP адреса не повторяются.
        А как вы определяете копипастеров?

  21. Дмитрий подскажите пожалуйста, что это может быть. Плагин стоит давно, уже пару месяцев, но не так давно заметила, что он стал находить множество ошибок 404, обращение к файлам, которые я просто не могу найти на своем сайте ( c такими окончаниями images/read_comments.jpg, js/ajax_comments.js, js/effects.js.php, js/prototype.js.php чтобы проверить, какой ответ они отдают. И банить за это пользователей направо и налево, закончилось тем, что зашла на свой сайт от подруги, и после открытия пяти-шести страниц он стал выдавать ошибку. Потом у журнале я нашла, что плагин забанил и адрес подруги. Можете вы мне что-нибудь подсказать?

    • Светлана, такие ошибки постоянно встречаются в журнале БВС. Дело в том, что этих страниц нет на сайте, но их упорно ищут программы-сканеры хакеров.
      Ищут уязвимости, вход в админку и.т.д.

      Если вы много раз будете пытаться открыть несуществующие страницы на своем блоге, то вас тоже забанит плагин :- ) Частот, после которой происходит бан и время бана Вы можете задать в настройках плагина.

  22. Дмитрий, в том-то и дело, что я не пыталась открыть то, чего у меня нет, я открываю существующие страницы, они прекрасно открываются, а потом через 5-6 обращений (открытых страниц, которые открываются) меня блокирует плагин. Я потом смотрю журнал ошибок и получается, что я (по ай пи адресу) ТОЖЕ обращалась к этим же файлам, которых не существует. Вот этого я и не могу понять.

    • Светлана, вы открываете страницы с реальными статьями или там написано «к сожалению страница не существует» в обрамлении вашего шаблона?

      • Я сейчас погулял по вашему сайту — меня не забанил. Посмотрел страниц 20

  23. я открываю реальные статьи и они открываются, а потом после нескольких открытий порядка 5-6 начинает выдавать ошибку forbidden you don’t have permission to access on this server (Запрещенный. У Вас нет разрешения к доступу / <на этом сервере).
    А насчет того, что вас не забанил, я сегодня с утра сильно смягчила настройки бана в плагине)

  24. BulletProof Security после установки на нём защиты админки не захотел меня впускать с правильным паролем, воспринимал меня как взломщика….) Это распространённая проблема в этом плагине, судя по запросам в интернете. У BWS вкл. данной функции таких «глюков» не выявлено? Никто не знает?

    • BulletProof Security у меня тоже не пошел, пришлось блог поднимать из резервной копии.
      BWS-вообще проблем нет. Но, естественно, сначала делайте рез. копию.

  25. Спасибо огромное за вот єтот абзац:

    Ни в коем случае не включаем настройку “Enable Default Banned List” Дело в том, что в этом списке есть поисковые роботы от Яндекса, и он просто перестанет индексировать Ваш блог.

    Неделю ломал голову почему яндекс не индексирует. Снял галку, надеюсь ситуация исправится. :) Еще раз спасибо!

Оставить комментарий