Защита сайта от взлома-Better WP Security

Мар 11
11 марта 2014

zashhita-sajta-ot-vzlomaДоброго времени суток, дорогие читатели! Недавно у нас зашел разговор о защите блога от взлома. И я решила поискать, как это можно организовать и наткнулась на один очень интересный плагин, о котором и пойдет сегодня речь.

Защита сайта от взлома-

это один из важнейших моментов!

Очень обидно будет, когда ведешь блог и в один "прекрасный" момент понимаешь, что доступа к нему у тебя нет... Но давайте не будем о грустном и заранее побеспокоимся о защите своего ресурса. Не буду долго затягивать и скажу, что поможет нам в этом замечательный плагин Better WP Security, который полностью оградит нас от нерадивых товарищей, занимающихся плохими делами.

И первым делом скачаем сам плагин тут. Установка стандартная, как для других плагинов. После его активации в админке появится пункт в меню, который называется "безопасность". Переходим в нее и наш плагин сразу поинтересуется нужно ли нам создать резервную копию данных?

kak-zaschitit-blog1

Да или нет - решать вам. У меня например была сохранена копия с помощью программы FileZilla, о которой мы говорили в статье о создании резервной копии. Но и на всякий случай я сделала еще одну, которая была тут же отправлена на мою почту. Как говорится лучше перестраховаться. На следующем этапе он уточнит возможно ли изменять файлы блога (это касается .htaccess и wp-config.php), в них он будет вносить информацию о подозрительных товарищах, блокируя для них доступ к нашему ресурсу.

И в заключении еще уточнит, защитить ли сайт от атак. Конечно же мы не против :) Пускай защищает!

После этого плагин покажет нам, как в данный момент у нашего блога обстоят дела с безопасностью:

зеленый цвет– все отлично защищено

желтый – защита частичная, можно дополнительно настроить до полной защиты

красный – не защищено. Стоит уделить особое внимание!

синий – не защищено, но если изменить настройки, это может привести к конфликту с некоторыми плагинами или установленными темами.

kak-zaschitit-blog2

Чтобы не путаться с настройками, по порядку рассмотрим все верхние вкладки и все обезопасим.

Вкладка Пользователь В ней вам нужно поменять логин для входа, так как изначально у нас стоит admin, придумайте что-то свое (латиницей!) и запишите. После сохранения изменений, примите поздравления от Better WP Security, и зайдите в админку под своим новым логином. Возможно другой логин был уже ранее установлен, и этот пункт можно пропустить. Далее необходимо поменять ID админа. Для этого просто нажмите Change.

Следующая вкладка Away в ней вы можете установить настройки времени для входа в админку. Я ее пропустила, потому что ни к чему. Могу зайти всегда. Но если вам это необходимо- установите, но определитесь с временем, иначе сами попасть в админку не сможете. Плагин вас не пустит.

С вкладкой Ban будьте осторожнее потому как поставив галочку в первом пункте вы наживете себе лишние проблемы с Яндексом...

kak-zaschitit-blog3

Это кстати единственная проблема, которая может возникнуть с плагином. Необходимость в этом пункте есть только тогда, когда идет ddos атака. Далее вы можете заблокировать определенных пользователей по IP адресам. Сохраните изменения.

Вкладка Dir нужна только тем у кого блог вновь создан. Если вы ведете свой ресурс не первый день, у вас есть статьи, установленные плагины, то ничего не делайте (!!!) в этом пункте, иначе нужно будет все переделывать.

В вкладке Backup вы можете создать бэкап базы, также можно задать интервал, через который эта самая база будет приходить к вам прямо на e-mail. Полезная функция!

Далее в вкладке Prefix, стандартный wp меняется на произвольный, чтобы никто не смог получить доступ к вашей базе.

Для более надежной защиты в вкладке Hide измените стандартные URL для доступа к регистрации, входа в админку. Еще один важный пункт, так как вы изменяете стандартный wp-admin на произвольный. И на ваш сайт не так-то просто будет попытаться зайти в админку. Секретный ключ можете не устанавливать, считаю что он ни к чему. Вполне хватит всех настроек. Не забудьте записать данные, чтобы потом не забыть все сделанные изменения.

Вкладка Detect- Если вы заметили что идет очень много запросов на страницу 404 (страница ошибки)- это атака. Чтобы ограничить слишком активных товарищей, для начала включим обнаружение и уведомления на наш e-mail. И далее зададим следующие настройки:

kak-zaschitit-blog4

  • Check Period – указываем сколько времени плагину необходимо помнить переходы на 404 страницу. Много минут не выставляйте, иначе можете заблокировать нормальных читателей.
  • Порог ошибки - указываем допустимое количество ошибок (за определенный нами период), после которых подозрительный IP адрес будет забанен.
  • Период блокировки- указываем время, на которое настойчивый IP адрес будет забанен.
  • Blacklist Repeat Offender - наш "слишком активный читатель" будет определен в надлежащее место, после определенного вами числа банов. Смотрим следующий пункт. Blacklist Threshold тут задайте количество банов IP адресов, прежде чем "живчики" навсегда переедут в черный список ресурса.
  • White List – прописываем список IP адресов, которые ни при каких условиях не должны подвергаться блокировке, проще говоря это ваш IP адрес. Узнать его вы можете в вкладке Dashboard в сведениях о системе.
  • Далее плагин предложит вам следить за изменениями файлов. Смело включаем эту функцию и вы всегда будете в курсе, какие файлы изменялись. В том числе вам будут приходить уведомления о файлах, которые вы сами изменяли. Так что будьте внимательны.
  • В поле File/Directory Check List укажите файлы картинок, кэша и всего, изменения чего, вас не интересует.

kak-zaschitit-blog5

Вкладка Login- Интересная вкладка, так как в ней мы будем пресекать вторжения в админку мнимых администраторов. И настроим ограничения на количество попыток для входа и через сколько такие "администраторы" попадут в бан. При данной расстановке у горе-админа 5 попыток в течение 10 минут, блокировка на 15 минут и три блокировки, после чего он поедет в черный список навсегда.

kak-zaschitit-blog6

Следующие две SSL и Tweeks рекомендую оставить без изменений. Хотя, одну настройку лучше сделать

Better WP Security is allowed to write to wp-config.php and .htaccess. выключим, чтобы плагин нам ничего не наизменял, как это у меня получилось. Находится это в вкладке Tweeks - другие хитрости

А в последней Logs вы сможете контролировать происходящую ситуацию и радоваться, что теперь у вас есть такой замечательный плагин и вы находитесь под его защитой. Поздравляю! Защита сайта от взлома установлена! А в следующих статьях я расскажу о том, как обезопасить свой сайт от еще одних вредителей... Так что подписывайтесь на обновления, чтобы быть в курсе! Если вам понравилась данная статья, поделитесь ей с другими! Буду очень благодарна!

С вами была, Наталья Акулова


СПАСИБО ЗА РЕПОСТ, ДРУЗЬЯ:  

25 комментариев к “Защита сайта от взлома-Better WP Security”

  1. Я тоже пользуюсь этим плагином, стоит наблоге от самого его создания. Правда, никак не решусь изменить логин на Вордпрессе. И много чего не использую: страшновато нащелкать не то. Спасибо за рекомендации, воспользуюсь :)

    [Ответить]

    Ольга Reply:

    Правда, Надежда, если в технических вопросах плохо ориентируешься, то страшно что-то менять, а вдруг не так пойдет.

    [Ответить]

    mash Reply:

    Не понимаю. Вот что может быть сложного в замене одного имени на другое. Это точно не технический вопрос.

    [Ответить]

    Галина Нагорная Reply:

    Это Вам так кажется, а для новичка — страшно, аж жуть! :twisted:

  2. Наташенька, солнышко! От всей души поздравляю тебя с праздником весны, женским днем 8 марта! Здоровья, счастья, удачи тебе. Пусть рядом будут любящие люди, которые приносят радость.
    Восьмое марта – праздник красоты,
    Очарованья женского он полон!
    Для женщин бережно растят всегда цветы,
    Чтоб стала нежность их любовным фоном!

    [Ответить]

    Наталья Акулова Reply:

    Ольга, спасибо огромное за поздравление! Всего вам самого наилучшего и путешествий уже!

    [Ответить]

  3. Отличный плагин, надо попробовать! Для меня это особенно актуально, так как несколько месяцев назад мой блог взломали, блог попал под АГС Яндекса, пришлось привлекать программиста, убирать дорвеи, менять дизайн, в общем, делать массу всего, так что я знаю, что это такое…
    Спасибо за статью!

    [Ответить]

    Наталья Акулова Reply:

    Ольга, да! Только не забывайте сделать резервную копию, а то пару дней назад у меня умер блог. Вот сейчас закончила деятельность по восстановлению :)

    [Ответить]

  4. Плагин заслуживает внимания. Я его тоже. наверное. себе на блог поставлю.

    [Ответить]

  5. Действительно очень важно уделить внимание защите блога, чтобы потом не было очень плохо, от того что труды по развитию сайта перешли в чьи-то непонятные руки. Еще могу посоветовать в административную панель хостинга, на котором зарегистрирован сайт загрузить свои документы, подтверждающие вашу личность. Чтобы в случае чего можно было обратиться за помощью и подтвердить свое авторство.

    [Ответить]

    Наталья Акулова Reply:

    Таисия, спасибо за информацию! Незнала о таком способе

    [Ответить]

  6. mash:

    Наталья, у Вас этот плагин стоит? Я зашёл на Вашу страницу формы входа в админку, где логин/пароль вводить надо. Не обнаружил имени плагина. Так и должно быть без имени?

    [Ответить]

    Наталья Акулова Reply:

    А и не должно там имени плагина быть :) С помощью него вы можете задать произвольный вход в админку

    [Ответить]

    mash Reply:

    Понятно. Есть ещё такой же защитный плагин для входа в админку, называется Login LockDown. Там на странице формы пишется, что это защищено плагином Login LockDown. И ещё есть какой-то подобный плагин, тоже пишется имя плагина. Может, ради рекламы пишется — не знаю.

    [Ответить]

    Наталья Акулова Reply:

    Скорее всего для рекламы. Не люблю плагины с открытыми и скрытыми ссылками. Если мне плагин нравится, я сама о нем напишу

    Анжелика Reply:

    Все, абсолютно все плагины содержат скрытые ссылки. Откройте любой в редакторе и увидите ссылки на производителя в каждом файле от одной до пары десятков.
    Эта главная причина по которой не рекомендуется установка большого количества плагинов на сайт.
    Скрытые паразиты))).

  7. mash:

    «у горе-админа 5 попыток в течение 10 минут». А что важнее, приоритетнее, количество попыток или минут? За минуту можно сделать под тысячу попыток. Не вручную конечно.

    [Ответить]

    Наталья Акулова Reply:

    А этого зло-товарища заблокируют после 5й попытки :) Это оптимальное соотношение

    [Ответить]

    mash Reply:

    Это специальные программы пароли подбирают, человек вводит в программу только начальную информацию о сайте. Будем считать, что программа на первой секунде и закончит подбор паролей. Благодаря защите в виде умного плагина.

    [Ответить]

  8. Очень надо этим заняться!
    Статья у Вас подробная — спокойно справится каждый…
    А как насчёт конфликтности? Хочу поставить, поэтому и спрашиваю…

    [Ответить]

    Наталья Акулова Reply:

    У меня не было конфликтов))) А у вас тема, как я слышала очень специфическая

    [Ответить]

  9. Я поставила плагин Login LockDown, пока не подводил.

    [Ответить]

  10. Судя по описанию плагин конечно круто. Только вот слишком много настроек он имеет, новичку наверное сложновато будет разобраться. Хотя этот плагин стоит того, чтобы убить время на его настройку. В принципе, то его раз настроил и забыл. Я конечно использую более простой плагин, он называется Login Lock. Он ограничивает количество входов в админ панель, и также может заставлять админа менять пароль время от времени. :evil:

    [Ответить]

  11. Денис:

    Добрый день.
    У меня такой вопрос. К сожалению не нашел ответа в статье.
    Сделал блог на Ворд пресс, снизу страницы, слева есть кнопка «Войти», я пользуюсь разумеется ей для входа на свой блог, но вот очень захотелось мне ее от туда убрать, дабы предотвратить все не нужные попытки входа, обычных посетителей. Как можно убрать эту кнопку?

    [Ответить]

    Наталья Акулова Reply:

    Денис, скиньте адрес блога, чтобы точнее понимать где кнопку искать. Одно скрытие кнопки не сильно поможет. Нужно и адрес входа менять.

    [Ответить]

Оставьте комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

(Правила комментирования)

Каждому комментатору книга в подарок!

Книга расскажет как повысить свою эффективность в деловой сфере и в отношениях с другими людьми