Привет, друзья IdeaFox!
Обновление: Теперь плагин выпускается под названием iThemes Security, о чем писал вот здесь: https://ideafox.ru/pro-blog/ithemes-security.html. Учтите этот момент, когда будете искать его в репозитории WordPress для установки.
Скажу сразу, что я немного помешан на безопасности и уделяю этому вопросу серьезное внимание. Посудите сами: ты развиваешь блог, добиваешься результата. И в любой момент все может закончиться, так как на сайт залили вирус и поисковые системы его пессимизируют. Да, потом можно будет выбраться из этой ситуации, но это будет дорого стоить.
И нервы потратите и деньги потеряете. Поэтому подумайте о безопасности заранее, прежде чем неистово писать новые статьи : — )
Ранее на своем блоге я писал статью по этому вопросу и некоторые приемы я возьму из нее.
https://ideafox.ru/pro-blog/zashhita-wordpress.html
Кое-какая информация из этой заметки уже устарела. Например, плагин Limit Login Attempts может некорректно работать с версией WP 3.5.1 Читал об этом факте, но сам не сталкивался, так как давно использую другой плагин, о котором пойдет речь ниже (+ свои приемы защиты)
Итак, на что нужно обратить внимание, для повышения безопасности блога:
1. Делаем резервные копии регулярно. Дело в том, что если блог взломал профи, то иногда легче сделать откат на старую версию и закрыть дыры, чем днями и ночами лазить по форумам и искать вредоносный код. Мало того, о том, что ваш блог взломали, можете узнать через некоторое время.
2. Используем сложные пароли. Навроде Vfhf%%ajyxbr1312# Забудьте про простые пароли типа 123456
3. Устанавливаем только те плагины, которые регулярно обновляются.
4. Вы не должны заходить в админку Вордпресс как admin. Задайте имя посложнее. Например, adminmonstr12
Как изменить имя, я писал вот здесь.
https://ideafox.ru/pro-blog/zashhita-wordpress.html
Или же просто создайте нового пользователя в админке. Но там, насколько я помню, какая-то проблема с записями. Они будут перенесены на нового пользователя.
5. Своевременно обновляем и Вордпресс и плагины. (Обязательно делаем резервную копию перед такими операциями!)
6. По возможности избегайте использование FTP-клиентов. FileZilla, например, хранит пароли в открытом XML-файле. Который очень любят сканировать вирусы-трояны.
7. Ваш компьютер должен быть защищен нормальным антивирусом. Не бесплатной фигней для гиков, а нормальным антивирусом. Из долгого опыта поддержки пользователей у меня сложилось очень положительное отношение к антивирусу от Касперского. Наименьшее количество проблем я наблюдаю именно на тех машинах, где он установлен.
Повторюсь, что бесплатные решения подойдут для технически очень грамотных пользователей.
8. Удалите лишние плагины.
9. Меняем префиксы в базе данных.
10. Закрываем каталоги от просмотров и очень много других действий.
11. Не используйте ворованные шаблоны или изо всяких файлопомоек.
Нормальный шаблон на themeforest стоит от 20 до 40 долларов. Это нормальная цена за отличный дизайн.
12. Естественно, пароль должен быть сложным и для входа на сам хостинг.
Соблюдая эти простые правила вы достаточно хорошо защитите свой блог. Но придется поработать руками и головой.
Когда я заморозил два прежних своих ГС, то мне не хотелось опять все делать вручную и стал искать плагин, который решил бы эту проблему побыстрее. В мои цели не входило со всем разбираться вручную (как здесь) и долго искал.
Я их попробовал штук пять (четыре раза блог падал!), но вот на пятый раз мне повезло.
Better WP Security
Очень хороший плагин, который в пару кликов делают работу, которую в ручном режиме опытный спец делает пару часов, а новичок пару дней.
Внимание: обязательно нужно сделать резервную копию перед установкой этого плагина.
Если не уверены, что сможете восстановиться из резервной копии, то не ставьте Better WP Security.
Этот плагин может конфликтовать с теми, которые установлены на ваших блогах. Поэтому даже если установка прошла удачно, погоняйте блог, посмотрите разные страницы — вдруг что-то вылезет.
Он может тормозить блог на слишком слабом виртуальном хостинге. (так называемые «однодолларовые хостинги»)
Самое главное: убедитесь, что помните свой логин и пароль к админке. По умолчанию, он настраивается так, что дается 5 (пять) попыток на ввод верного пароля. На шестой раз следует бан.
Итак, как установить и настроить этот плагин:
Обновление
Инструкция по установке и настройке iThemes Security
Вернулся к статье и добавил небольшое видео. Дело в том, что теперь плагин называется iThemes Security и появилось несколько новых функций. Особое внимание обратите на настройку, связанную с блокировкой русских символов.
Уже обращалось несколько человек, которые видят «белые экраны смерти» в админке своего блога..
Видео писал без дублей, с первого раза. Есть некоторые заминки и слова-сорняки : ) Но основной смысл понятен : )
У меня есть видеоурок по безопасности, который рекомендую посмотреть, и все станет понятно. (Речь идет о старой версии Беттер Вп Секьюрити и не только).
Этот урок входит в бесплатный курс «Надежный блог за один вечер».
Если лень смотреть видео, то внимательно прочитайте инструкцию ниже.
1. Делаем резервную копию блога. (как это делается, писал вот здесь)
2. Удаляем всякий хлам в виде плагинов, которые не используете. Или пользуетесь, но видите, что толку от них нет.
3. Установка стандартная:
После установки у вас на блоге должно появиться такое меню “Безопасность”:
И потребуется простая настройка, которая сразу же решит кучу проблем безопасности:
1. Заходим в меню “Безопасность и видим следующий экран:
Так как у вас есть резервная копия блога (так ведь? : ), то жмем на кнопку “Нет, спасибо. У меня уже есть резервная копия”
Переходим к следующему экрану:
Жмем на кнопку “Разрешить этому плагину изменять основные файлы WordPress”
И видим следующий экран:
Жмем на кнопку “Защитить мой сайт от базовых атак”
Блог задумается на некоторое время и показывает следующий экран:
В принципе, на этом можно остановиться, так как от большинства проблем Вы защитились.
Те, кто не разбираются хорошо в Вордпресс или боится – не двигайтесь дальше, пожалуйста. Иначе пара бессонных ночей будет обеспечена.
Для тех, кто уверен в себе и знает английский, двигаемся дальше:
Если строки синие, оранжевые или зеленые, то проблем нет. Но в идеале, они должны быть все зеленого цвета.
Давайте убирать “Красные строки”, которые означают потенциальную угрозу.
1. Я сразу изменил админа на другое имя поэтому у меня надпись “The admin user has been removed.” подсвечена зеленым. Если красным, то просто измените имя на другое, но только не admin
2. “А user with id 1 still exists” подсвечено красным. Жмем на надпись “Click here to change user ID…”
На след. экране Вам будет предложено изменить ID. Соглашайтесь.
К сожалению, скриншота нет этого окна.
3. Следующая строка: “Ваш префикс не должен быть wp” Жмем на надписи рядом “Кликните здесь, чтобы переименовать его”
Этот простой шаг снизит вероятность успеха SQL-атаки.
Так как у вас есть резервная копия, то жмем на кнопку “Изменение префикса таблицы базы данных”
Префикс автоматически будет сгенерирован. Не такой же, как в моем примере, конечно.
В моем примере префикс получился mvr9m_ В Вашем случае он может быть другим. Например, cvd7t_ (Понятно, что сейчас он совсем другой и я не “свечу” его на скриншотах”)
4. Your installation is not actively looking for changed files”
Кликаем на надпись рядом : “Нажмите, чтобы исправить” и ставим галочку напротив
“Enable file change detection”
В чем суть: теперь к Вам на почту каждый день будет приходить сводная таблица с файлами, которые были изменены. То есть, например, изменили ваш файл .htaccess, вам свалится об этом письмо на почту.
Но тут есть одно но. Если у Вас установлен плагин кэширования, то эта таблица будет огромной. Ведь плагин кэширования каждый день создает и удаляет множество файлов.
Я просматриваю это письмо только на предмет изменения системных файлов. (Они в самом конце письма, как правило)
В принципе, можно больше ничего не делать, так как даже наличие «оранжевых строк» — не особо ослабляет безопасность блога.
Но тем не менее:
Чтобы не переписывать названия строк на английском, пробежимся по некоторым строкам:
Буду указывать номера пунктов:
1. Включить применение надежных паролей. Актуально, если на блоге есть подписчики через процедуру регистрации в Вордпресс.
2. Сокрытие служебных тегов ВП. Не трогайте, если используете протокол XML-RPC
3. Скрывает информацию для пользователей-подписчиков блога, но не администраторов блога. Неактуально, если только один пользователь на блоге. Да и тот — админ.
4. Удаляет юзера admin и предлагает его переименовать. Я это делаю сразу при запуске блога и не знаю как эта штука работает в этом плагине.
5. Уже изучали этот пункт
6. Уже изучали этот пункт
7. Позволяет делать резервные копии базы данных блога и отрпавлять на е-майл. Удобно, кстати.
8. Позволяет скрыть админку. Например, уехали в отпуск на неделю и сами себя забанили на неделю (или на ночь, чтобы неповадно было : — ) Не использовал – боюсь :)
9. Подгружает блэк-лист хакеров с американского сервера и превентивно их банит. Не советую включать. Тормозит.
10. Это — полный аналог лимит-логин-аттемпт.
Внимание: если выставите слишком жесткие настройки в этом пункте, то можете сами себя забанить навеки : — ) Например, я выставил бан за 3 раза неверно набранных пароля. Так вот — бан будет не только по IP , но и для пользователя с указанным именем.
Например, мой логин adminbbvc и сложный пароль. Блокировка установлена на месяц за три неверно набранных пароля. Вы набрали неверно три раза.
Так вот в админку с этим же паролем вы попадете только через месяц. Сам себя так один раза забанил, ради эксперимента. Спасение одно — резервная копия блога.
11. Не трогайте это. Меняет URL на произвольный. Нельзя для «старых» блогов.
12. Закрывает htaccess от взлома. Очень популярно у мошенников, которые воруют мобильный трафик через редирект.
13. Ни разу не трогал этот пункт.
14. Уже рассмотрели этот пункт.
15. Защищает от взлома через «длинный URL». Рекомендую включить, постоянно долбятся через этот прием.
16. Дальше сами разберетесь, уважаемые : — )
Я серьезно — настроек слишком много, чтобы описать все возможности в одной заметке. Поройтесь, поэкспериментируйте и он вам точно понравится.
Например, через этот плагин я банил парсеры текста, глупого спамера, делаю регулярные копии базы данных на е-майл и массу других вещей.
Что делать?
Постарайтесь максимально защитить свой блог. Это действительно важно. Я прекрасно понимаю, что здесь не хакеры собрались, но тем не менее, соблюдайте простейшие правила безопасности, которые поняли.
Я и далее рассмотрю вопросы безопасности блога, не пропустите и подписывайтесь на новости.