Обновляем Better WP Security до iThemes Security. На следующей неделе будет очень “весело” : )

image

Привет, друзья IdeaFox!

Сегодня будет сугубо технический пост, но важный для всех блогеров, которые пользуются одним из лучших плагинов безопасности для WordPress под названием Better WP Security.

Я по умолчанию ставлю его на всех своих проектах (да, у меня есть еще три сайта, на которых провожу всякие опыты, а один из них внезапно стал набирать обороты)

Ранее много писал о БВПС, так как он действительно очень хорош:

  1. Better WP Security — мощная защита блога за 5 минут. Как настроить и на что обратить внимание?
  2. Баним копипастеров и спасемся от хакеров!
  3. Почему хакеры любят ломать молодые блоги?
  4. Еще много рассказывал о нем в своем бесплатном курсе по созданию защищенного блога

Итак, дело в том, что я подписан на новостную рассылку компании-разработчика, и получил сегодня письмо с важными новостями.

Если отсечь маркетинговые заклинания : ), то мы узнаем следующее:

1. Теперь плагин будет называться iThemes Security

Это связано с ребрендингом продукта и огромной популярностью плагина среди блогеров всего мира. Меньше чем за год его установили 1,3 млн. раз. Каждый день его устанавливают более 3500 раз (!)

image

Компания iThemes займется продвижением собственных шаблонов для ВП, плагинов и тому подобное. С точки зрения брендинга – это нормально, но вот обычные блогеры долгое время будут искать плагин под старым названием. Кстати, шаблончики и правда неплохие

2. Новая версия выйдет с 24 по 30 марта и многие заметят следующую ошибку после обновления

better-wp-security-error

The plugin better-wp-security/better-wp-security.php has been deactivated due to an error: The plugin does not have a valid header

3. Как исправить

Паниковать не нужно : ) Пройдите в меню управления плагинами и активируйте его уже под названием iThemes Security

better-wp-security-update-error

По заверению разработчика все старые настройки будут сохранены. Но мы то знаем … : )

Естественно, перед любыми обновлениями движка ВордПресс или плагинов требуется делать резервную копию блога. Я не устаю об этом говорить, но ко мне все равно часто пишут, что вот, мол, блог упал, а бэкапа нет…

Что нового?

Кроме ребрендинга компания обещает новые функции, которых не было в старой версии, а именно:

image

  1. Сканер jOuery
  2. Отключение исполнения PHP в каталогах загрузки (не совсем понял, о чем речь идет). Просветите если поняли о чем говорится.
  3. Предупреждает о ситуации, когда ник пользователя и логин совпадают (очень частая ошибка юных блогеров: )
  4. Добровольный сбор статистики для iThemes. Я бы предпочел отключить эту штуку…
  5. Уведомление об угрозах на несколько е-майл (ранее можно было указать только один е-майл). Удобно, если проект большой и его пасет несколько админов. Хотя, можно сделать обычный форвард писем куда надо.
  6. Более понятные настройки. Это и правда важно. Многие отступаются от него, как только увидят могучий интерфейс плагина со множеством грозных предупреждений и красных букв : )
  7. Полная интеграция с BackupBuddy
  8. Плагин написан с нуля.
  9. Полный текст новости вот здесь

Платно или бесплатно?

По прежнему останется полностью бесплатная версия + появится некая новая PRO-версия, которая будет предоставлять расширенную техподдержку + новые функции.

Обновление

Инструкция по установке и настройке iThemes Security

Мой курс по безопасности WordPress
boxzashitasini

Уважаемые блогеры!

Обратите внимание на мой курс по безопасности WordPress, который так и называется:

"Защита блога на движке WordPress за два часа"

В этом небольшом курсе я систематизировал наиболее простые, но надежные методы защиты блога на WP от вирусов и хакеров.

Он будет полезен как начинающим, так и продвинутым блогерам.

Я сам пользуюсь этими методами на всех своих проектах.

Посмотрите вот это небольшое обзорное видео о курсе:

Для того, чтобы более подробно познакомиться с этим курсом, достаточно пройти регистрацию на моем закрытом сайте для блогеров:

Защищайте свои блоги!

Вернулся к статье и добавил небольшое видео по установке и настройке этого плагина. Появилось несколько новых функций и особое внимание обратите на настройку, связанную с блокировкой русских символов.

Уже обращалось несколько человек, которые видят «белые экраны смерти» в админке своего блога..

Видео писал без дублей, с первого раза. Есть некоторые заминки и слова-сорняки : ) Но основной смысл понятен : )

Ну что сказать, коллеги?

Учитывая огромную популярность плагина в Рунете, следующая неделя будет веселой : ) Будет много падений и конфликтов с другими средствами защиты наших бложиков : )

Меня больше интересует, как новая версия поведет себя в связке с WordFence Security, от которой совсем не хочется отказываться.

Знаю-знаю, что многие блогеры говорят, что «мой бложик никому не нужен» и поэтому советую прочитать вот эту заметку.

Поэтому еще раз настоятельно рекомендую сделать резервную копию перед этим важным обновлением! А если у Вас еще нет БВПС, то лучше дождитесь новой версии iThemes Security

Подписывайтесь на новости блога вот здесь: http://ideafox.ru/podpiska

Еще почитать по теме:

  1. Better WP Security — мощная защита блога за 5 минут. Как настроить и на что обратить внимание?
  2. Баним копипастеров и спасемся от хакеров!
  3. WordFence Security: отличный плагин, который позволит найти вирус на блоге WordPress за 5 минут
  4. Как Вы думаете, сколько раз сегодня пытались взломать Ваш блог?
  5. 7 способов проверить сайт на вирусы, вредоносные ссылки и прочую нечисть + 3 полезных плагина для WordPress

Только для блогеров и вебмастеров:

185 комментариев к «Обновляем Better WP Security до iThemes Security. На следующей неделе будет очень “весело” : )»

  1. Тоже увидела у себя в админке предупреждение и прочитала новости. Надеюсь, что новый плагин не вызовет конфликта и будет также прекрасно работать, как и предыдущий вариант, буду ждать обновления.
    А вообще очень нравится, что плагин постоянно обновляется

    • Лучше, конечно, сначала на тестовый блог поставить и посмотреть как все работает. Так и сделаю.
      Да, хорошо, что развивают, так как полно расширений, которые устаревают и ими просто нельзя пользоваться.

    • Нет, не фанат) Просто уделяю большое внимание вопросам безопасности движка.

        • :) Да, я подписан на новости плагина. Это крутая штука — не грех подписаться

          • Я, кстати, тоже на них подписан =) И тоже написал об обновлении у себя (сделал вольный перевод всей новости).

            Добровольный сбор статистики для iThemes. Я бы предпочел отключить эту штуку…

            По умолчанию эта функция будет отключена (по крайней мере, так обещают)

          • Кстати, они еще и книжку дают по безопасности по подписке. Правда, на английском и опять же про БВПС)

  2. Предупреждён — значит вооружен (с) —
    спасибо большое, Дмитрий.
    Действительно — Better WP Security is about to become iThemes Security.
    Мне этот плагин тоже ну очень нравится ;)

        • Виталий, поправлю — этот плагин делает резервную копию только базы данных, а файлы не трогает.
          Так-что, еще не забывайте делать резервные копии файлов сайта (все, что лежит в корне сайта)

          • Главное, чтобы файлы сайта и база данных были сделаны в одно время.
            Был случай, когда восстанавливал блог у которого БД была старше файловой структуры на месяц )
            Естественно, все восстановилось криво.

  3. Как-то я тоже относился к безопасности «спустя рукава» и тоже думал «А кому мой блог нужен?». Но ты убедил, что стоит один раз заняться, чтобы потом не жалеть.

    Кстати, Дима, а где ты пароли хранишь такие длинные?

    • Артем, поставишь БВПС и очень удивишься тому, сколько раз пытаются ломать)))
      Я в свое время просто офигел, хотя тоже так думал. Дело в том, что сейчас ломают массово, при помощи программ-сканеров, которые делают тупой, но массовый брутфорс.
      Ставь, если не хочешь потом рвать на себе волосы : )
      Для хранение паролей использую KeePass.

    • Мой абсолютно пустой блог начали «бомбить» буквально сразу после создания. Постоянные попытки подбора пароля. Но даже если нет этого плагина ни в коем случае не ставьте user name: admin
      А пароли можно хранить в KeePass

      • Верно, Алекс)
        Ни в коем случае не надо так делать и в первую очередь нужно менять стандартный логин admin на нечто нечеловеческое : ) Что-то вроде sdtjnvgjl
        У меня регистрируется каждый месяц несколько тысяч атак… и это при том, что я сменил адрес админки, но все равно лезут со всех сторон (404, перебирают пути до админки и.т.д. и.т.п)
        Короче, будьте бдительны)

      • В тот же день начали подбирать пароли в админке. Я его на пару форумах засветил.

      • Так по дурости писал под своим логином, там под сообщением ставилось и засветил еще и его.

  4. Вэри найс! Дима, респект за сэкономленное время! Теперь хоть не надо будет лезть, гуглить и выяснять, что значит эта голубая инфо-плашка, появившаяся после последнего апдейта плагина.

    • Пож-та, Саб)
      Плашку я увидел вчера, а письма они стали слать дня за два, если не ошибаюсь. Вообще молодцы — хорошее дело делают люди. Не грех таких от души попиарить : )

  5. Сегодня было рядовое обновление плагина, после чего вылезло окошко со ссылкой на статью, где сказано про обновление и смену названия. Удивился, почему у меня название не поменялось. Оказывается, только с 24 числа. Посмотрим, что будет. Дмитрий, спасибо что напомнил про бэкап)

  6. То что БВПС такой популярный, может ему помещать. Чем больше людей на чем то сидит, тем он становится интереснее для хаккеров и тем чаще команде разработчиков приходится его докручивать и усовершенствовать. Если разработчики на нем не будут зарабатывать, энтузиазм через какое-то время может спать и плагин может загнуться…
    Ну да в принципе, ничего страшного, хватает их на долго.:-)

    • Не думаю, что испортится. По сути компания перекупила разработчика чтобы он только им и занимался.

  7. И правда интересно, станет ли плагин Г. Обычно именно это и происходит с любым хорошим продуктом, когда его вдруг решают полностью переделать.

  8. Обновил плагин на 2-х сайтах, работают как и старый, ни с чем не конфликтуют, вот интересно, как удалять логи вручную.

  9. Дмитрий, я вот чего не понял — журналы чистятся автоматом что ли?
    Не вижу чек-боксов для очистки журналов.

    • Владимир, добавил небольшое видео по настройке iThemes. Посмотрите.
      Особое внимание обратите про блокировку в URL русскоязычных символов… сегодня уже обратилось несколько блогеров, которые сами себя забанили в админке.
      Действительно, чекбокса нет, зато появилась настройка, которая задает в течении которого будут храниться данные журнала (Logs)
      По-умолчанию выставлен период 30 дней.
      Ранее такой штуки не было и приходилось чистить ручками.
      Видео писал без дублей, есть заминки. Но смотреть можно)

      • Очень даже конкретное видео. С его помощью у меня теперь 1 красная и 2 оранжевых метки. Ну это те, которые меня устраивают. Я тоже не делаю, например, рассылку базы.
        Хорошая работа, Дмитрий!

  10. Только что обновил до версии iThemes Security во всех своих 4-х блогах.
    Без проблем, резервное копирование не понадобилось.
    Но, как грится — береженого бoг бережёт ;)

  11. Обновился и пожалел. Перестали отображаться миниатюры в записях. Где теперь искать не знаю.

    • Попробуйте в разделе Settings по очереди отключать опции и смотреть изменения.
      Не забудьте на это время отключить плагине кеширования, если его используете.
      В видео я рассказал о том, какая настройка гробит русскоязычные блоги)

  12. Вот спасибо за статью! А то пользовался Вашим видеокурсом, а тут смотрю — новый плагин, и ведь помню что такой не ставил, а откуда взялся — непонятно… Вернее теперь понятно))))

    • Пож-та, Андрей)
      Только вот, они уже 3-е обновление за 2 дня выпустили — видимо устраняют глюки.
      А блог то у Вас какой?

      • Всмысле какой? На WP… или адрес надо? там ничо особенного нет)))))))))))) У меня их даже два))))) А по поводу обновлений — у меня админка молчит, никаких предупреждений, он чтоли втихаря обновляется?

  13. Здравствуйте! Подскажите пожалуйста, плагин я обновил, и там в его настройках изменил вход в админку вордпресс и там же поменял registr.php на свое..вопрос вот в чем: у меня в файле robots.txt прописано:
    Disallow:/wp-login.php
    Disallow:/wp-register.php
    Нужно ли это в роботс таже на свое менять(как в плагине)???

    • Янис, не нужно конечно.
      Хакеры в первую очередь смотрят роботс.тхт. Если там пропишете секретный путь к админке, то какой в этом смысл? :)

      • Спасибо! еще вот интересно, робот посещал например последние 3 страницы у меня на блоге( и они как адрес проиндексированы), но в поиске их нет..что-то странно, у вас такое было, может знаете почему так? Писал в Яндекс, сказали, что робот знает о них, но поисковые базы не обновились еще, а я яндекс-вебмастере через проверить url-пишет, что адрес известен роботу, а контент не проиндексирован…вообще непойму, раньше все сразу в поиск попадало..

  14. Здравствуйте!
    Обновил свой Better WP Security до iThemes Security. При активации iThemes Security сразу выносит из консоли управления на главную страницу блога и войти в админку невозможно. После удаления iThemes Security через хостинг админка снова работает. Как быть с плагином iThemes Security, если он не активируется?

    • Хм. Владимир, что-то новое.
      Могу порекомендовать следующий алгоритм.
      1. Отключить кеширование на блоге. (если используете)
      2. Отключить в БВПС изменение адреса админки.
      3. Удалить БВПС
      4. Установить iThemes
      5. Отключить non-english characters
      Естественно, делаем резервную копию перед такими делами.

      Да, еще такое может быть, когда хостинг-компания превентивно меняет путь к админке блога. Попросите хостера отключить эту функцию.

  15. Дмитрий, у мня после обновления не картинки пропали, как уже писали в комментариях, а кнопка G+ и от кнопки твиттера осталась только надпись, но — активная. Прочитала ваш совет: Попробуйте в разделе Settings по очереди отключать опции и смотреть изменения. Вот только опций там много, вы может подскажите на какие хоть внимание обратить, а то я не такой «продвинутый» специалист — день буду «вымучивать» решение проблемы.

      • Видео я смотрела,Дмитрий, благодаря ему я и настраивала плагин. Отношусь к тем «чайникам», которым проще смотреть за манипуляциями на экране, чем что-то читать! :-)

  16. Интересно, после активации плагина сплошные заморочки. Обнаружила, что реклама ГуглАдсенс пропала!!!

    • Плагин не должен влиять на показ рекламы. Он никак не затрагивает внешний вид сайта…
      Скорее всего Вы либо отключили ее, либо включили антибаннер на своем броузере или антивирусе)

      • Я уже разобралась,Дмитрий, да, дело не в плагине, а в новом антивируснике, который мне специалист в качестве расширений «влепил» в браузеры, а еще и ADP поставил… То-то я голову поломала!!! :-)

  17. Дмитрий, малюсенький вопросик: за неделю, что установлен этот плагин уже второй раз приходит сообщение о необходимости установки новой версии. Это он так и будет постоянно обновляться?

    • Да, безусловно.
      Елена, обновляться нужно, только предварительно делайте резервные копии сайта.

      • Ясно, тогда подскажите, после обновления все старые настройки автоматически восстанавливаются или каждый раз надо «ковыряться» и проверять?

        • Сохраняются, Елена.
          Если что-то изменится, то плагин предупреждает. Было такое год назад, когда после обновления вылезло объявление, что «Проверьте настройки»

  18. Дмитрий, извините, что досаждаю вопросами, но вы пока единственный человек, который столь подробно осветил тему этого плагина. У меня сейчас на почту приходят письма, в которых я абсолютно ничего не понимаю и не знаю, что с ними делать. Единственное, что я поняла, что они с отчетами после установки плагина.
    A file (or files) on your site at ************* have been changed. Please review the report below to verify changes are not the result of a compromise.
    В Гугловском переводе читаю: Файл (или файлы) на вашем сайте ****** были изменены. Пожалуйста, ознакомьтесь с ниже отчет для проверки изменения не являются результатом компромисса.
    Что с ними делать-то?

    • Елена, ко мне такие письма каждый день приходят.
      Это отчет о том, какие файлы были изменены на сервере. У меня стоит система кешерования, которая каждый день что-то меняет и отчет падает на почту.
      Огромные простыни)

      • Ко мне также приходят, до 10 мб, надо емайл просто наверно галку убрать в плагине в настройках?

  19. Дмитрий, добрый день! Во первых, спасибо, за Вашу работу! Я впервые попала на Ваш блог. Супер! Ну и если можете, помогите пожалуйста советом. Я чайник, мой сайт молодой. Просмотрев Ваше видео, установила плагин Better WP Security. И обнаружила следующее: я пользуюсь двумя браузерами — Хромом и Оперой. В Хроме смотрю Google Analytics, а в Опере — Яндекс Метрику. После установки плагина, в Хроме — Google Analytics перестал показывать статистику, но сайт открывается нормально. А в Опере — Яндекс Метрика работает нормально, а вот на сайте, на главной странице, миниатюры статей не показываются, только названия статей. Хотя сами статьи открываются нормально и фото все показываются. Деактивировала плагин — в Опере все нормализовалось. А вот Гугл Аналитик в Хроме, так и не заработал. У Вас, случайно нет версий?! Я дико извиняюсь, если сумбурно написала.

    • дак тут браузеры вообще не при чем, хоть все в одном смотрите, зачем в разных..может неправильно установили статистику? да еще и плагин вдобавок, что-то явно не то..

      • Да, Янис, я понимаю, что смотреть можно в одном браузере, просто мне так удобней. А написала обо этом, что бы точно обрисовать картину. Опять, же, если бы на тот момент пользовалась, только Хромом, не увидела бы, что в Опере твориться такое безобразие, т.к. для моего сайта миниатюры очень важны. Но я так понимаю это не от браузера зависит, а от Гугла и Яндекса?! И Янис, спасибо за Ваше участи и ответ на мой вопрос!

    • Галина, причина в другом и код счетчика не зависит от iThemes Security.
      То, что миниатюры пропадают — мне уже сообщали об этом, и советую по очереди отключать в Settings настройки и искать причину. Видимо, конфликт с шаблоном сайта.
      Версии обновляются в автоматическом режиме.

  20. Подскажите пож-ста, мне кажется или у всех так, что после обновления iTS в разделе «СистемТвикс» слетают все установленные галки?

  21. Здравствуйте!
    Как раз несколько дней назад имела такое «счастье» обновить данный плагин. Всё было в порядке, но решила «уменьшить» количество синих строчек…
    Естественно пришлось всё сносить и ставить заново. даже плагин установила обратно , но пока не активировала. Посмотрю ваше видео и сделаю всё как следует. Надеюсь, что не придётся заново сносить.

    • Наталья, приветствую на блоге и удачного обновления)
      Выпустил уже 12 апдейтов для этого плагина за эту неделю — устал делать резервные копии)

      • Выпустили уже 12 апдейтов для этого плагина за эту неделю — устал делать резервные копии)

        А мне надоело их делать, да ещё в 3-х блогах.
        Начал играть в русскую рулетку.
        Пока живой … и блоги тоже ))

        • И не говори, Виталий… у меня тоже 3 проекта — достало уже). Но те два сайта для опытов — волнений нет)

          • Что поделать, оттачивают =) У многих ведь проблемы с обновлением возникли. На текущий момент уже 19 обновлений вышло, если я не ошибаюсь.

            P.S.: если все работает, то можно не обновляться постоянно (хотя все-таки желательно), а выждать появления какой-то стабильности с выходом апдейтов.

  22. У меня после установки плагина пишется сообщение Средней важности «A user with id 1 still exists.» а где это изменить я не знаю. Нажимаю на фикс ит, но он меня куда-то непонятно кидает.

    • Виктор, эта функция меняет id администратора с 1 на произвольное значение. Нужно нажать фикс ит и сменить id. Просто по id пытаются в базу данных пролезть. Не забудьте сделать бэкап)

  23. Поставил плагин, вход в панель у меня стал /sotkiradosti.ru/*** При новом входе на сайт вместо admin приходится тоже ставить ***. При этом, заходя в панель управления у меня значится sotkiradosti.ru/wp-admin/….. Вопрос — это нормально.

  24. Вы уж извините, за назойливость, но есть еще вопрос. Ставить ли чебокс на XML-RPC, если программа Windows Live Writer не установлена. С уважением.

      • И еще проблема образовалась. При попытке сделать в плагине копию базы перед каким-либо действием система пишет: «У вас недостаточно полномочий для доступа к этой странице.»

  25. Дмитрий, здравствуйте!
    Похоже я сам себя заблокировал с помощью IThemes Security. Получил надпись — У вас недостаточно полномочий для доступа к этой странице.
    Делал много обновлений на блоге сегодня и постоянно белая страница выходила, по нескольку раз приходилось перезагружать. Ну и вот.
    Что можно сделать, не подскажете?

    • Владимир, придется подождать то время, которое вы выставили в качестве блокировки.
      По умолчанию, если не ошибаюсь 15 или 60 минут.
      Потом зайти в админку и отключит 404 detected. Скорее всего у вас проблемы на уровне темы сайта.

      Если же вы сами себя забанили навсегда, то только поднимать из резервной копии.

      • Дмитрий! 15 минут стоит у меня отстой, вчера на всякий случай увеличил все настройки по 404.
        Однако, я сомневаюсь, что дело в плагине, возможно, превысил аптайм сервера, они меня заглушили. Надпись — У вас недостаточно полномочий для доступа к этой странице. — на плагине у меня не настроена, там как и было, что-то на аглицком.
        Вчера усиленно работал над блогом в админке, редактировал записи и тд. Постоянно появляется белая страница, вот и перезагружаю по несколько раз, не знаю, относится ли это к ошибке 404. Насколько я в курсе, это ошибка 500.
        Вообще, эта белая страница заколебала, не могу найти причину. Пару плагинов отключил уже. Нарыл, что вставив в хтаксес строчку php_value display_errors 1 буду видеть код ошибки прямо на экране — нет ,строчку вставил, ошибки не вижу.

        • Владимир, а к хостеру обращались?
          — Что-то подобное может быть, когда хостинг забит файлами под завязку. Исчерпали дисковую квоту.
          — Стоят ограничения в .htaccess внутри каталога. Буквально недавно столкнулся с интересным случаем, когда .htaccess был в каждом каталоге, и закрывал доступ по IP за исключением определенного диапазона IP.
          — конфликт с другими плагинами безопасности (например, с WordFence)
          — Конфликт с темой сайта. Попробуйте временно поставить стандартную (что не очень хорошо, конечно)
          В любом случае, трудно сказать, что у вас происходит.

          • Дим, с хостером общаюсь, трудное это дело, однако ))
            — С квотами все норм — 37% с бекапами, а так еще меньше.
            — просматриваю логи ошибок на серваке, те плагины, которые там светились, или удалил, или деактивировал
            — с темой вообще никак, профессиональная тема, очень непростого устройства, поменять невозможно, то же самое, что удалить сайт )) Разработчики, кстати, помогают, какие-то ошибки исправляют.
            — Да трудно, но решение где-то на поверхности. У меня был случай, целый год блог слетал периодически, тоже мучался, что только не делал… И тут на одном форуме мне так вскользь сказали, а права на хтаксес какие стоят? должны 664…
            Блин! Бли-ии-ин!!! И причина была именно в этом. Целый год нервов. :)

          • Ну, похоже на конфликт темы. На моем подопытном сайте такая же катавасия, которая решилась полным отключением в Settings галочки напротив «Enable 404 detection»

    • Если есть хоть какой-то опыт работы с phpMyAdmin, то можно и не ждать, а удалить из базы (в таблице x_itsec_lockouts, где x — это префикс ваших таблиц) строки со своим IP-адресом. Доступ сразу же появится.

        • Слушай, я себя ради опыта забанил по имени User-а и у меня не получилось его снять через правку таблиц.
          По IP получается через таблицы

          • Будем иметь в виду. Спасибо за проведенный эксперимент. Хотя я вот, что подумал. Возможность разблокировать все равно должна быть, просто в таблице есть не только IP-адрес но и ID-пользователя. И если не знать айпишник, то следует удалять из таблицы ту строку, где указан ID этого юзера.

      • И что, это действует? То есть удаляем в указанной таблице строчку, где в колонке lockout_host прописан мой ip-адрес сервера (или ip-адрес компа?).
        Жаль, что вчера не знал, потом доступ восстановил и очистил логи iTS. У меня сомнения, что вообще дело было в плагине, а так бы посмотрел в таблице, есть там мой адрес.

  26. Здравствуйте. Обновил сей плагин стоит давно ещё в старом обличии,
    Настроил, но вот проблема резервная копия бд не приходит на e-mail.Точнее письмо приходит с текстом «Attached is the backup file for the database powering» а самого файла не прикреплено! Галочки Backup Full Database,Compress Backup Files,Schedule Database Backups стоят интервал 2 дня. Помогите в чём может быть дело?

  27. Плагин стоял, и горя не знал пока не решил поставить authy.
    потом начались проблемы.
    при двойной идентификации с помощь authy и с включенным изменением ссылок меня естественно перебрасывало на страницу 404
    Ну я решил проблему просто — изменил название папки с плагином authy — как мне посоветовали в их тех поддержке.
    Вот сегодня вышло обновление iTheme security — оно обновилось. Потом каким то образом подключило Authy. Ну я взял и переименовал и папку с authy.
    В итоге меня выбросило из админки и больше я не смог зайти (по измененному адресу пробовал, по разному пробовал)
    в итоге пришлось удалить iThemes Security
    почистил .htaccess b удалил папку с плагином.
    Решил попробовать повторно установить плагин. Как только нажимаю активировать плагин — меня выбрасывает из административной панели. и я опять не могу зайти в админ панель. и опять приходится удалять папку с плагином.
    как мне корректно установить плагин что бы он начал работать?
    к сожалению я не сделал бекап базы данных перед этим

  28. Здравствуйте Дмитрий! Как и все, немного помучился с плагином, и вроде бы всё работает, но при попытке перейти на вкладку «logs» возникает 404 ошибка. Сначала всё работало, но после какого-то обновления плагина эта ошибка возникла. Я попробовал поиграться с настройками плагина, но не помогло. Есть какие-нибудь мысли про эту ситуацию, или ждать какого-нибудь очередного обновления плагина в надежде на то, что этот баг разработчик устранит? И устранит ли?

      • На вкладке Dashboard в разделе System Information написана версия плагина 4028. Может установить старую версию плагина? Хотя смысл не в том, чтобы сейчас прямо работало детектирование, а в защите админки сайта и остальные функции.

        • Там написано Note: this is NOT the same as the version number on the plugin page or WordPress.org page and is instead used for support
          То есть, это внутренний номер плагина на вордпресс.орг, который не совпадает с версией.
          Сергей, у вы случаем базы данных не чистили? Там хранятся данные отчета.Если удалили эти таблицы, то данных нет, конечно.
          Или как-то отключили ведение журнала. Может быть намудрили в Log Type
          Вторая причина — вы оставили включенной настройку Non-English Characters

          • Да, понял, номер версии 4.0.21 Log type стоит на Both Нет галочки на Non-English Characters. Ведение журнала не отключал. Базу данных не чистил, а на что именно надо обратить внимание?

          • У меня Log Type на всех сайтах стоит Database Only

  29. Отключил «Enable 404 detection». Какие наши годы, проверим. Пару деньков попроверяю — отпишусь.
    Однако, если причина в конфликте темы по поводу 404 ошибки, то мы теряем большой кусок отсеивания негодяев :)

    • Это точно. Но эта функция иногда банит посковых роботов, что тоже плохо. Например, когда робот пытается просканировать удаленную статью

  30. Здравствуйте, Дмитрий. Возможно, я неправильно настроила плагин, а может и еще в чем причина. Яндекс уже несколько дней загружает карту сайта с ошибкой (хотя она открывается нормально), а на 348 страниц выдает 403 ошибку, хотя страницы открываются нормально.
    Default Blacklist — не включен, но Ban Users включила, так как сайт активно атакуют. В техподдержку писала, они прислали свой IP, добавила его в Whitelist Users, но ситуация не меняется. Подскажите, в чем может быть причина?

  31. Вот вопрос. Почему в этой программе по умолчанию стоит блокировка на favicon.ico, с чем это связано?

    • Виталий, фавикон стоит в разделе 404 File/Folder White List.
      То есть, наоборот, этот файл исключен из блокировок, так как многие блоги работают без фавикона (забыли поставить, например)
      Та же история касается файлов:
      /robots.txt (множество сайтов без этого файла крутятся)
      /apple-touch-icon.png
      /apple-touch-icon-precomposed.png
      и так далее

  32. Приветствую Вас Дмитрий.

    Подскажите пожалуйста у меня изменён url на вход в админку wordpress если уставить данный плагин будут проблемы или нет? Интересует данный плагин, но не хочется заново восстанавливать свой блог, а то за последний месяц уже два раза это делал из-за собственной глупости.

  33. А не подскажет кто, что это за undefined в логах

    iThemes показывает так:

    URL — /miniatyri/kryisa-klana-scaven-clanrats/undefined

    Referrer — arthobbygames.ru/miniatyri/kryisa-klana-scaven-clanrats/

  34. Здравствуйте, Дмитрий. Спасибо за очень информативную статью. Начала заниматься безопасностью своего блога и обнаружила вашу статью. Теперь хочу установить данный плагин у себя. Но не уверена, что он не будет конфликтовать с файлами, которые я вручную прописала и добавила. Я говорю о файлах .htaccess и .htpasswd, которые я добавила в папку wp-admin. У меня на блоге я прохожу двойную авторизацию (две пары логинов и паролей, чтобы зайти в адмиy панель. При установке данного плагина, мне нужно удалить мои ранее созданные .htaccess и .htpasswd из wp-admin?
    У меня вот что еще дополнительно прописано в корневом файле .htaccess. Мне это убрать или можно оставить?

    # Code for protection from malicious requests
    Options +FollowSymLinks
    RewriteEngine On
    RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR]
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    RewriteRule ^(.*)$ index.php [F,L]
    # End code for protection from malicious requests

    Заранее спасибо за любую помощь.

    • Светлана,
      Особо и не нужна эта двойная авторизация, если корректно настроен плагин. Тем более, если скрыта админка и есть защита от перебора.
      Насчет кода ничего не скажу.

  35. Здравствуйте.
    Если попробовать несколько раз (2-3) сделать login/logout, то сайт перестает реагировать на запросы (по ftp можно зайти без проблем). При отключении плагина iThemes Security эта проблема пропадает. Можно ли настроить количество входов/выходов на сайте.

    • Евгений, у меня не получилось такое воспроизвести. Можно подробнее?
      Вхожу в админку и выхожу безо всяких проблем.

      • Собственно, подробней и рассказать нечего.
        1. Захожу на сайт через окно входа wp-login.php
        2. Выхожу с сайта (нажимаю «Выйти» в тулбаре WordPress).
        Повторяю 2 раза пункты 1 и 2 и сайт перестает загружаться на некоторое время ~10 мин. Затем вход опять работает. Такое впечатление, что это защита от DDOS. Но где её можно настроить в админке я не нашёл.
        При отключении плагина iThemes Security могу входить и выходить без проблем сколько угодно раз.

        На сайте установлены плагины для входа на сайт без перезагрузки, редиректа на нужную страницу и т.д. Отключал их, но проблема оставалась. Даже не сказать, что это проблема, так, небольшая неприятность для пользователя, который случайно (или специально) попробует пару раз подряд сделать login/logout.

        • Инттересно.
          1. Если пускает в админку, то могу лишь предположить, что срабатывает защита от 404 ошибки.
          Бывает, что небольшой элемент дизайна не подгружается (микроскопическая картинка, фал CSS …) и плагин банит.
          Попробуйте отключить в настройках «Enable 404 detection»
          2. Или же конфликт с другим плагином безопасности. Например, с WordFence

  36. 1. Я неправильно выразился. После пары раз login/logout ни сайт не грузится, ни админка. Через некоторое время (~10 мин) все норм.
    Защита от 404 у меня не включена, т.к. не включены permalinks (все ссылки динамические).
    2. Кроме iThemesSecurity никаких защитных плагинов нет (если не считать Antispam Bee).

    • Тогда остается последний вариант.
      Вероятно, у вас стандартный логин для входа в админку (admin)
      И в это время к вам кто-то ломится. Соответственно, меняйте логин на нестандартный (например adrutjkgk) и проблема должна уйти.
      Или по очереди отключайте настройки в Сеттингс и ищите баг.

      Но все же, похоже, что у вас стоит защита от 404 ошибки.

      Или же отключили протокол xml-rpc И пробуйте зайти на сайт с мобильника или при помощи windows Live Writer

      • 1. Нет, логин не admin. Сомневаюсь, что кто-то ломится ровно на 3-й попытке залогиниться.
        2. Да в Сеттингс вроде ничего такого нет, что было бы связанным с озвученной проблемой.
        3. Других защит от 404 ошибки нет.
        4. С мобильника заходит без проблем.

        • Тогда остается только по очереди отключать настройки и смотреть.
          А, еще свой ip адрес занесите в белый список (там есть в настройках) — может в этом дело.
          Или плагин какой вредничает.
          Короче, опытным путем) Только резервную копию сделайте.
          Но если найдете проблему, напишите, пож-та.

          • 1. Попробую поочередное отключение.
            2. Мой IP нет необходимости вносить в белый список, т.к. для меня вышеозвученное проблемой не является. Беспокоюсь о пользователях, которые случайно залогинятся/разлогинятся несколько раз, и у них перестанет загружаться сайт.
            3. Резервная копия есть.
            4. Напишу о результатах, но думаю, что дело в скрытых настройках плагина, которые не вынесены в Dashboard.
            Спасибо за советы.

          • Да, спасибо — напишите.
            С такой штукой впервые столкнулся

  37. Дмитрий, похоже я зря подозревал iThemes Security в проблемах с доступом, хотя описанное выше имело место быть. Похоже, было наслоение ошибок и я сам запутался, в чем дело.

    Сейчас ситуация немного прояснилась. У меня на одном хостинге несколько сайтов на WordPress и phpBB3. И при login/logout на одном из них (WordPress) происходит одновременная блокировка доступа по http ко всем сайтам (WordPress и phpBB3) одновременно (по ftp доступ сохраняется). При смене IP на локальной машине все сайты опять доступны. Похоже, срабатывает защита у хостера, буду общаться с ним.

    Извините за беспокойство.

    • Точно, хостер блокирует доступ:
      «Блокировка происходит автоматически, во избежание BruteForce атак.
      Так как проблема с данными атаками серьёзна и наблюдается давно,
      убрать ограничение не представляется возможным.
      Рекомендуем Вам аккуратнее использовать авторизацию,
      так как у других пользователей подобных проблем не возникает.»
      Еще раз простите за беспокойство.

      • Евгений, спасибо за подсказку.
        Как-то не учел я этот момент, так как мой блог давно крутится на VPS и соседей нет по соображениям безопасности.

        Если есть возможность ставьте плагин и обязательно прочтите вот эту заметку: http://ideafox.ru/pro-blog/ithemes-security2.html
        Фактически, без него сейчас не обойтись.

  38. Я по неопытности переменовала папку вп-контент. Теперь картинки на моемсайте все исчезли. Бэкап БД был но помогло я папку паблик хтмл не скачала… Теперь думаю все снести и заново поставить. Все равно на моем сайте 20 статей и посещалки еще нет почти. И админка теперь работает только при отключенном плагине ВП Супер Кэш и удалить его не могу ошибку выдает. Я все испортила походу но зато научилась много. Может с нуля проще действительно? Черт меня дернул папку эту менять…

    • Да, эту папку нежелательно переименовывать было. Эта настройка даже вынесена в раздел Advanced.. и там исписано все в грозных предупреждениях.
      Так поднимите сайт из резервной копии. Если сами не делали — обратитесь к хостеру, почти все делают хотя бы раз в неделю.

  39. Дима, привет, пытаюсь найти решение проблемы — пропали миниатюры с главной страницы, деактивирую плагин — миниатюры появляются, можешь подсказать, что-нибудь по настройкам?

    • Советую по очереди отключать настройки в в самом низу раздела настроек Settings (ситем твик, и вордпресс твик) И смотреть, что может влиять.
      Те настройки, которые не влияют затем включить обратно

      • Дмитрий, спасибо, решение оказалось простым, как всё гениальное, а я уже пару часов в поиске решения, думала, что пропажа миниатюр связана в обновлением WordPress. И вдруг вспомнила, что плагин BWPS обновляла, оказалось все-же дело в плагине.

  40. У меня была такая же проблема. Попробуйте убрать галочку в «Suspicious Query Strings», мне помогло.

  41. Дмитрий, установила описанный Вами плагин, и очень этому довольна. Но появился вопрос: Вот смотрю по логам на хостинге, и вижу, что с некоторых IP-адресов (не посиковые боты Яндекса или Гугла и других известных поисковиков) идёт много запросов к файлам в додпапках папки content:

    Причём IP из разных стран (в примере выше — это российский билайн). Запросов по 30 в одну-две секунды. Что это может быть, и нужно ли от этого защищаться. Если, да, то как?!

      • Ага, ясно установила более сердитые параметры защиты. Но дело в том, что в данном случае, перебираются именно существующие адреса объектов (файлов) сайта, а не несуществующие. В этом случае, есть какие-нибудь рекомендации?

        • Если мне не изменяет память, вот этот плагин
          http://ideafox.ru/pro-blog/wordfence-security.html
          позволяет банить на лету IP-адреса со слишком большим количеством просмотров. Например, если 100 просмотров за 5 минут, то в бан.
          Прочтите статью и попробуйте.

          • Да, ещё раз спасибо! Всё сделала. Ещё вопросик, если можно :)
            У меня на сайте уже был установлен стандартный .htaccess, теперь, после того, как плагин сделал в него запись своих настроек, то, что было в этом файле ранее:
            # BEGIN WordPress

            RewriteEngine On
            **код вырезан**
            # END WordPress

            Сместилось вниз этого файла. Можно это теперь убрать? Ведь то, что формирует плагин дублирует и усиливает этот код. Я права?

          • Нет, лучше ничего не трогать. Плагин прописывает свои инструкции для защиты именно в этом файле.

  42. Дмитрий, выполнила все ваши рекомендации, всё прекрасно работает, ещё раз хочу сказать вам огромное спасибо!
    На одном из других сайтов, заметила, как слетел показ миниатюр, после того, как установила этот плагин. Пользуясь советом, который Вы давали выше комментаторам, по поводу слёта показа миниатюр, начала поочерёдно отлючать/включать настройки плагина в System Tweaks, и вот эта настройка:

    Filter Suspicious Query Strings in the URL
    These are very often signs of someone trying to gain access to your site but some plugins and themes can also be blocked.

    Как оказалось при её включении блокирует показ миниатюр, которые у меня подключаются на главной и в рубриках через файл timthumb.php. Вопрос собственно в том, что не станет ли защита сайтов теперь слабее при отключении этой опции? Не сильно ли это критично?

    • Анна, станет. Критично.
      Во-первых фильтрация подозрительных запросов (та самая опция) — это одна из основ защищенности веб-ресурсов. Отключать данную функцию просто напросто глупо и беспечно. Во-вторых, удостоверьтесь, что тема вашего сайта обновлена. Уязвимость timthumb занимает первые строчки ‘популярности’ среди всех уязвимостей WordPress.

      • Верно, Саш.

        Анна лучше смените тему или плагин, который формирует эти миниатюры.

        • Дима, у меня такая же проблема с миниатюрами, как у Анны — кроме сменить тему, какие еще есть варианты решения этого вопроса?

          • Честно говоря, не знаю Рашида.
            Если картинки изначально выводятся через URL-запрос к базе данных, то наверное, никак. Именно поэтому я избегаю очень сложных шаблонов, которые что-то там химичат с базой данных : )
            И потом Александр верно сказал, что любая тема с ресайзом картинок (timthumb) уязвима, и нужно избегать их. Об этом часто пишут на Хабре.
            С другой стороны — смена шаблона (если есть траифк) тоже довольно рискованная задача. Многие попадают на снижение трафика из-за того, что разработчики шаблона не удосужились прописать корректные метатеги и.т.п.
            Если и менять шаблон, то очень аккуратно и желательно от надежного разработчика.

  43. Дима, спасибо, я читала на Хабре статью — оставлю ссылку — сам удалишь habrahabr.ru/post/234329/ — очень жутко стало. У меня шаблон от Goodwin — напишу Алексею, спрошу как решить данную проблему.

  44. Убрал все незадействованные картинки с сайта. Сейчас в обновленном плагине версии 4.4.6. приходит о них информация как о 404 ошибке, ну, локаут иногда проскальзывает. Подскажите, пожалуйста, что вообще делать с этим журналом безопасности, элементы которого множатся каждый день по паре сотен? Можно и нужно ли удалять все эти файлы. С уважением.

    • Александр, там где-то есть настройка, которая позволяет настроить автоматическую очистку журнала. Например, каждый 10 дней.
      Раньше приходилось чистить самому

      • Я даже не могу найти в каком разделе можно почистить самому, не говоря уже об установке числа. Если Вам несложно, покажите, пожалуйста, путь действия.

        • Зайдите в Settings плагина и установите количество дней, через которое должен очищаться журнал
          Это делается рядом со строчкой «Days to Keep Database Logs»

          Или можете чистить журнал самостоятельно. Зайдите в LOgs и в самом низу будет кнопку «Clear Logs». Нажмите на нее и он очистится)

  45. Я извиняюсь,но у меня появилась проблема после установки этого плагина.Все изменения в файле htaccess резко изменились особенно пропали редиректы которые мы настраивали по теме проблемы плагина All In One SEO Pack и пропало все что я настраивал по поводу дублей,короче мне на почту пришло сообщение что у меня на блоге было изменено 55 файлов,Я открыл файл htaccess и просто был в шоке там полотня на 94 позиции,а до этого в этом файле 23 позиции и куда делись все редиректы которые я до это го настраивал?

    • Юрий, действительно этот плагин при установке может переписать весь файл .htaccess.
      Поэтому настойчиво рекомендовал делать резервную копию. Пути теперь два:
      1. Откатиться назад из резервной копии
      2. Внести изменения в файл вручную, которые делали раньше и поставить на этот файл права 444. Но без плагина безопасности сейчас весьма опасно оставаться — постоянно лезут со всех сторон злодеи…

  46. У меня на файле .htaccess стояли права 444 до установки этого плагина но ему это не помешало его переписать,у меня есть копия файла .htaccess который стоял до установки плагина безопасности и я его установил опять с заменой того что переписал плагин безопасности опять поставил права 444,на удивление все работает как будто не в чем не бывало,прошло два дня но я постоянно проверяю этот файл,все на месте но я все равно не уверен что он когда то его не перепишет опять,в общем напряжно и не понятно.

  47. Обьясните пожалуйста если кто в курсе дела,каждый день приходит писмо от плагина о том что на сайте были изменены файлы и посмотрите отчет и т.д.и количество измененных файлов каждый день от 50 до 100 шт.Что это за изменения? Кто их делает? Что я должен понять из этого отчета?

    • Юрий, это плагин отслеживает какие файлы были изменены. Например, обновленные файлы кеша или обновления движка.
      Удалите плагин, раз им не пользуетесь и не будут такие письма приходить

  48. Я плагином пользуюсь он у меня активен,меня напрягают все эти изменения в которых я не понимаю и переживаю что что то идет не так.Спасибо Вам за ответы значит эты изменения нормальная ситуация и это не вина плагина?

  49. Спасибо. очень подробно. Кое-что изменила благодаря вашему уроку. Зашла к вам по ссылке Александра Майера.

  50. Здравствуйте, просмотрел и сделал всё так, как вы рассказали в видео по плагину iThemes Security. У меня, кроме прочего в Medium Priority появилась такая запись — Your database table prefix should not be wp_. Нужно ли что -то тут изменять?

    • Сергей, эта опция меняет префикс таблиц базы данных, чтобы усложнить жизнь злодеям.
      Если у вас перед таблицами стоит wp_, то его однозначно нужно поменять. Но сначала необходимо сделать резервную копию.

      Обо всем этом я рассказывал в курсе по безопасности:
      http://ideafox.ru/pro-blog/zashhita-bloga-na-wordpress-za-dva-chasa.html

  51. Блин, настроила вчера более жесткие настройки бана в Ithemes Securityи теперь мне поступают пугающие письма от хостинга, что такой-то IP был отправлен в бан за «слишком много попыток доступа к файлу, который не существует».
    Что все эти люди хотят от моего маленького бложика?)))))

  52. Добрый день! Вопрос сложный:
    Ошибка выглядит вот так — Для заданной страницы (или страницы, полученной после перенаправления) сервер возвращает код статуса http 503 (ожидался код 200).
    Это происходит после того, как я пытаюсь добавить свой сайт на yandex webmaster для индексации. В техподдержке хост провайдера написали, что проблема с user agent, но это быть не может, ведь на google такой же user agent (mozilla/5.0). И там сайт добавился без проблем. Предложили обратиться непосредственно к разработчикам плагина. Получается вопрос по .htaccess, подскажите возможно уже встречались с User-Agent:»Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)»

    • Алексей, попробуйте в настройках плагина отключить «Enable HackRepair.com’s blacklist feature»
      Она банит поисковые роботы Яндекса.

  53. Здравствуйте, плагин WP Database Backup не нужно тогда устанавливать если установила этот плагин? Извиняюсь за вопрос, я «чайник» и все делаю «методом тыка».

    • Елена, WP Database Backup не нужен, если поставите этот плагин. Эта функция дублируется в iThemes Security.

  54. У меня такая проблема очень плагин находит очень много ошибок с аипи по всему миру что это ? и как с этим бороться ? Они своими запросами нагружают сервер. ;( Спасибо.
    Скрин
    ***
    в день находит по 1-2 тысячи таких ошибок ;(

  55. Дмитрий, приветствую!
    Недавно обнаружила одну странность, которую связываю с обновлением плагина. Периодически я не могу зайти в админку сайта. Меня перекидывает на главную страницу. Аналогичная ошибка есть и на другом блоге. Ошибки то совпадают по времени, то могу зайти в админку лишь одного сайта.
    Самое интересное, что проблема самоустраняется через какое-то время. Не могу связать ее с каким либо действием и отследить. Не факт, конечно, дело именно в iThemes Security, но очень на то похоже.
    Что делать? Какие настройки поменять?

    • Привет, Оксана
      Трудно сказать в чем дело, так как проблема синхронно на двух разных сайтах появляется.
      Может быть дело в хостинге (скорее всего эти два сайта в пределах одного аккаунта хостинга находятся, раз синхронно ошибка возникает).

      • Нет, проблема не всегда синхронна на двух сайтах. Бывает, что один работает в нормально режиме, а второй перекидывает на главную. Именно поэтому грешу не на хостинг, а на плагин.

Оставить комментарий