Комплексная защита сайта. Тонкая настройка iThemes Security (Better WP Security).

zashita-sayta1

Существует множество плагинов для защиты различных разделов и “рубежей” вашего интернет ресурса. Ранее я упоминал о защите панели администратора WordPress от попыток взлома плагином Login Lock Down, однако предлагаемый в этой статье плагин Better WP Security (после обновления iThemes Security. Дополнение читайте в конце статьиявляется действительно лучшим, обеспечивая комплексную защиту блога WordPress.zachita-300x217

 

Этот плагин выполняет следующие действия:

  • проверяет сайт на наличие уязвимостей.
  • блокирует нежелательных пользователей и спам-боты.
  • пресекает попытки проникновения в админку сайта.
  • защищает файлы сайта от несанкционированного редактирования.
  • отражает “брутфорс” – атаки.
  • и что очень важно — следит за любыми изменениями в файлах сайта производимыми без вашего участия.

Именно благодаря такому контролю исключается возможность заражения вашего сайта вирусом или вредоносным кодом.

Не буду “лить воду” – коротко скажу: после просмотра ежедневного журнала, я просто опешил  от количества  попыток проникновения на мой сайт. Надо понимать, что предпринимались они не из спортивного интереса.

Установить плагин Better WP Security можно стандартным способом. После установки и активации приступаем к настройке.

Внимание! После обновления этот плагин называется iThemes Security. Все параметры настроек остались идентичными, но плагин не переведён на русский язык. Надеюсь, что авторы работают над этим. Для настройки функций защиты  придётся пользоваться переводчиком.

Тонкая настройка параметров защиты Better WP Security.

После установки и активации плагина в консоли “админки” сайта  появится раздел “Безопасность” – нажимаете на неё.

Первым делом будет предложено сделать резервную копию базы данных.

Если вы этим раньше не занимались – сделайте сейчас обязательно. Должен сказать, что надёжней будет создать  резервную копию всей корневой папки сайта, так вы подстрахуетесь от всяческих неожиданностей. Как сделать бэкап сайта узнайте здесь.zacjita1-300x109

Следующим шагом вы даёте разрешение на  внесение изменений в файлы .htaccess и  wp-config.php.zachita2-300x157

Теперь в этих файлах будет выставляться запрет доступа к сайту как для известных злоумышленников, такие хосты внесены в каталог BWPS, так и добавленных вами в чёрный список особенно настойчивых, подозрительных посетителей.

Третьим пунктом вы даёте разрешение на защиту сайта от известных атак.

zachita3

Все новые виды атак будут вноситься с обновлениями плагина.

Далее откроется панель контроля безопасности сайта Dashboard, на которой  отображается результат оценки состояния вашего сайта после сканирования плагином. Если на блоге не предпринимались меры безопасности – открывшаяся панель выглядит так:

zachita4

В идеале пункты отмеченные зелёным цветом соответствуют нормам защиты – всё остальное необходимо настроить.

1. You are enforcing strong passwords, but not for all users

Вкладка Tweaks –> Strong Password Tweaks

Сообщение об использовании несложного пароля админки. Надо исправить.

zachita5

Включение этой опции необходимо когда на сайте есть несколько зарегистрированных пользователей. Если кроме вас, к сайту ни у кого нет доступа – можете пропустить этот шаг. Но сделать пароль более сложным крайне необходимо.

2. Your WordPress header is still revealing some information to users.

Вкладка Tweaks –> Header Tweaks

Этот пункт указывает на информацию о сайте, которую могут получить посетители.из заголовка. Такая информация может помочь злоумышленникам взломать сайт.

zachita6

Отмечаем все пункты и переходим к следующему пункту.

3. Не администраторы могут видеть доступные обновления.

Вкладка Tweaks –> Панель настроек

Данный пункт скрывает все обновления для других зарегистрированных пользователей сайта.

Читать также:  Устанавливаем прозрачную-невидимую капчу – защищаем сайт от спама.

Если таких нет – пропустите и этот шаг.

4. The admin user still exists.

Вкладка Пользователь

В WordPress по умолчанию имя администратора — admin,  50% работы взломщика сделано. Обязательно измените логин, но не забудьте его записать, иначе сами не попадёте в админку.

Здесь же меняете “User ID 1″  на другой.

5. A user with id 1 still exists.

Это действие мы произвели в предыдущем пункте.

6. Ваш префикс таблиц не должен быть wp_.

Вкладка Prefix

В целях безопасности необходимо изменить префикс таблиц базы данных  “wp_”.

ВНИМАНИЕ: Прежде чем изменить префикс, обязательно сделайте бэкап сайта.zachita7-300x148

Такое предупреждение на английском языке вы увидите в настройках этого пункта.

7. Вы не планировали регулярного резервного копирования базы данных WordPress.

В этом разделе настраивается расписание автоматического копирования базы данных. Надо сказать, что на указанный вами Е-mail  копия может не приходить, поэтому рекомендую делать резервную копию сайтавручную. Так точно будет надёжней.

8. Доступность админки 24 часа 7 дней в неделю.

Вкладка Away

Включите эту опцию, если работаете над сайтом в определённые часы. Если ваш график ненормированный – лучше пройти мимо.

9. You are not blocking known bad hosts and agents with HackRepair.com’s blacklist.

Вкладка Ban

Отметив этот пункт вы можете заблокировать доступ к сайту подозрительно активным посетителям по IP-адресу, группе адресов или хосту.

zachita8

 Информацию о подозрительных посетителях вашего сайта вы будете получать ежедневно из реестра отчётов.

10. Ваш логин защищен от перебора / Your login area is not protected from brute force attacks.

Вкладка Login

Здесь небольшая ошибка перевода – правильно написано на английском языке.

Этот пункт указывает на то, что ваш логин не защищён от перебора.

Дело в том, что хакеры редко взламывают сайты вручную – так будет слишком долго. Обычно такую работу выполняют боты. Однажды проверяя ежедневный отчёт плагина я увидел, что один из настойчивых посетителей заходил вводил логин “admin”  каждые 5 секунд. Подозрительный IP естественно тут же был внесён в чёрный список.

Именно этот раздел поможет заблокировать посетителя в случае обнаружения подобной активности.

Кроме ограничения количества попыток входа в админ-панель, особо-настойчивые  IP автоматически заносятся в чёрный список.

zachita9

Я выставил параметры как на скриншоте, а вы можете оставить по умолчанию.

11. Ваша WordPress админка не скрыта.

Вкладка Hide

Включая данный параметр вы изменяете стандартный URL для входа в админку сайта.

Набрав в строке браузера привычное http://имясайта/wp-admin –  перейдёте на страницу 404 Not Found. Таким образом скрывается панель администратора сайта от возможности попыток взлома. Каждый случай набора привычного http://имясайта/wp-admin – будет отражён в ежедневном отчёте плагина. Первое время их там будет очень много (пока взломщикам не надоест).

zachita10

Очень важно записать логины которые вы придумаете, чтобы не заблокировать вход для себя. Важно напомнить, что здесь регистр имеет значение.

12. Your .htaccess file is NOT secured

Вкладка Tweaks –> Server Tweaks

В этом пункте ставим запрет на внесение изменений в файл  .htaccess.

Как правило заражение сайтов вирусом и вредоносным кодом (в том числе iframe) начинается с файла.htaccess, т.к. именно в нём прописываются параметры доступа к сайту.

Читать также:  Очень серьёзное обращение

zachita111

При установке некоторых плагинов делается запись в файл .htaccess  без которой они не будут работать (например плагины хеширования). При установке плагина появится сообщение об этом. В этом случае галочку из верхнего чекбокса следует убрать, а после установки необходимого плагина или шаблона установить.

13. Your installation is actively blocking attackers trying to scan your site for vulnerabilities.

Этот пункт выделен зелёным цветом  — его вы активировали включив базовую защиту.

14. Your installation is not actively looking for changed files.

Вкладка Detect

В этой вкладке выставляются параметры обнаружения изменений в файлах сайта и максимально допустимое  количество обнаруженных ошибок 404 при неправильных запросах (которые могут быть умышленными). Некоторые изменения будут происходить и регистрироваться регулярно и они не представляют опасности (например хеш-файлы). Другие изменения будут фиксироваться  когда вы сами редактируете файлы. Такие файлы вы будете узнавать. К остальным следует присмотреться.

В любом случае сами ничего не трогайте в подозрительном файле, а сравните его с таким же из резервной копии.

Во всех чекбоксах следует поставить галочки и не забыть внести свой IP  в белый список.

15. Your installation accepts long (over 255 character) URLS. This can lead to vulnerabilities.

Вкладка Tweaks –> Другие хитрости

Здесь предлагается блокировать ссылки содержащие более 255 знаков.  Хакеры часто используют длинные URL-адреса, чтобы внедрить вредоносную информацию в базу данных.

Однозначно включите данную опцию.

16. You are allowing users to edit theme and plugin files from the WordPress backend.

Вкладка Tweaks –> Другие хитрости

Вы запретите редактирование файлов из админки сайта. Если кроме вас никто не имеет доступа к сайту – эта опция усложнит вам жизнь,

Включайте по своему желанию.

17. Better WP Security is allowed to write to wp-config.php and .htaccess.

Вкладка Tweaks –> Другие хитрости

Эта опция уже активирована и даёт возможность плагину BWPS вносить изменения в файл .htaccess.

18. Wp-config.php and .htacess are writeable.

Вкладка Tweaks –> Другие хитрости

Здесь запрещаем делать любые записи в файлы  wp-config.php и .htacess. Ставим галочку в 4-ый сверху чекбокс.zachita12-198x300

19. Users may still be able to get version information from various plugins and themes.

Вкладка Tweaks –> Другие хитрости

Включив данную опцию, мы скрываем от пользователей версии плагинов и тем установленных на сайте. Обычно злоумышленники используют слабые места в установленных плагинах и шаблонах для проникновения на сайт. Включив данную  опцию мы скроем информацию от посторонних.

20. You should rename the wp-content directory of your site.

Вкладка Tweaks –> Другие хитрости

Активация данной опции изменяет  стандартное название папки wp-content.

Процедура довольно опасна, если сайт даже немного наполнен контентом и установлены плагины и скрипты. Всё содержимое сайта ссылается именно на папку с названием по умолчанию, изменение может вызвать  “Fatal error”.

21. You are not requiring a secure connection for logins or for the admin area.

Вкладка SSL

Эта функция позволяет настроить безопасное соединение с панелью администратора, но поддерживается не всеми хостингами. Если вам очень нужна эта опция – обратитесь к поддержке хостинга.

Тем кто пережил  обновление  Better WP Security.

Как я уже упоминал выше, после обновления плагин называется iThemes Security. Все настройки установленные ранее сохранены и функционируют отлично. Остаётся лишь проверить некоторые настройки. Прежде всего – настройки формы логина на сайте. Для этого, в панели инструментов админки сайта наведите курсор на “Security” и выберете “Settings”. Прокрутите страницу вниз и найдите вкладку “Hide Login Area”.  Здесь проверьте “кодовое слово” которым вы заменили стандартный логин admin. Если это слово изменилось – запишите новое или замените на старое и не забудьте сохранить изменения.

Читать также:  Как обнаружить и удалить на сайте вирусы и вредоносный код?

Затем, в панели инструментов или в верхнем меню нажмите вкладку “Dashboard” и просмотрите статус безопасности вашего сайта (Security Status).  Всё выглядит как в предыдущей версии плагина:

  • High Priority –  параметры требующие немедленного исправления.
  • Medium Priority – желательно настроить.
  • Low Priority – параметры настраиваются на ваше усмотрение, если не вызывают конфликт плагинов.
  • Completed – настройки плагина соответствуют требованиям безопасности. При желании их можно отредактировать.

Если вы устанавливаете плагин впервые – на этой вкладке, “Dashboard”,  напротив каждой строки отмеченной красным или жёлтым цветом нажмите кнопку “Fix it”.

Хочу обратить внимание на некоторые, важные моменты в настройках плагина.

Раздел Settings – вкладка Banned Users.ithemes-security-banned-300x148

Установив галочку в выделенном чекбоксе, Вы включаете защиту от известных хакерских атак. Существует устойчивое мнение, что алгоритмы блокировки атак применяемые этой функцией, блокируют ботов Яндекса. Вы можете сами решить, включать эту позицию или нет, но после того, как я выключил её на своём сайте, посещаемость с Яндекса начала расти.

Раздел Settings – вкладка File Change detection.ithemes-security-detect-300x243

Установите галочку в чекбоксе File Change detection. Теперь, в ежедневном журнале  “LOGS” вы сможете просматривать файлы вашего сайта, в которых производились какие-либо изменения. Заражение сайта вирусом или вредоносным кодом происходит обычно, добавлением записей  в различные файлы. Просмотрев в указанном журнале Logs список изменённых файлов, вы сможете определить причину их изменений.  Или изменения сделали вы сами, или это работа некоторых, установленных плагинов, или это результат посторонних вторжений на сайт. Указанный файл можно перезалить на хостинг из резервной копии и проблема будет решена.

Желательно включить функцию Exclude Selected, если на сайте установлен плагин кеширования.   В противном случае, в журнале Logs вам придётся ежедневно просматривать “простыни” удалённых и изменённых файлов, т.к. файлы кеша постоянно обновляются. Как показано на скриншоте, в директории wp-content выберите  папку cache и нажмите появившийся красный значок.

Раздел Settings – вкладка Secure Socket Layers (SSL).

ithemes-security-ssl

Большинство хостингов не поддерживает данную функцию на блогах и сайтах. Её включение часто вызывает сбои в работе сайта и различные конфликты. Как показано на скриншоте, выберите OFF и нажмите кнопку Save.

Остальные настройки  “iTheme Security”, такие же, как в  предыдущей версии плагина. Значение и перевод всех параметров безопасности представлены в данной статье.

Всего хорошего, берегите свой сайт, спасибо за социальные кнопки.

Закладка постоянная ссылка.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *