Защита сайта плагином All In One WP Security & Firewall

firewall-mini

Вопрос безопасности сайта не позволяет веб мастерам расслабиться ни на минуту. Чем выше уровень технического прогресса, тем больше появляется возможностей у злоумышленников для взлома интернет-ресурсов ради хищения информации или вывода из строя сетей различных структур.

 

firewall-title1
Надёжной преградой на пути злоумышленников становится плагин безопасности All In One WP Security выполняющий следующие задачи:

 

  • Изменяет логин администратора;
  • Блокирует попытки несанкционированной авторизации;
  • Изменяет URL панели авторизации сайта;
  • Изменяет префикс таблиц базы данных и создаёт резервную копию по расписанию.
  • Осуществляет мониторинг установленных прав на файлы и каталоги сайта;
  • Запрещает доступ к основным файлам и папкам.
  • Создаёт чёрный список IP адресов нежелательных посетителей.
  • Встроенный файервол защищает от всех известных атак;
  • Запрещает хотлинкинг (hotlinking) изображений.
  • Регистрирует 404 обнаружения;
  • Защищает сайт от брутфорс ( Brut Force) атак;
  • Содержит встроенную капчу в форме авторизации и комментариев:
  • Защищает  контент от копирования отключая функцию правой кнопки мыши посетителя сайта.

 

Настройка основных параметров безопасности AIO WP Security & FireWall.

 

Устанавливается плагин из панели администратора сайта. В строку поиска нового плагина вставьте “All In One WP Security”. Перед активацией, через FTP измените права доступа к файлам  wp-config.php и .htaccess находящиеся в корневой  папке сайта на 666 для внесения плагином необходимых директив.

 

WP Security оснащён довольно большим набором тонких настроек, но я остановлюсь на основных, от которых зависит надёжность защиты. Кроме того, укажу на параметры, активация которых может негативно отразиться на работе сайта.  С остальными настройками вы со временем разберётесь сами.

 

Войдите в  “админку”  сайта и в панели инструментов нажмите “WP Security“. В самом верху открывшегося меню выберите

 

1. Панель управления.

 

  • Показан уровень защиты сайта.
  • Зарегистрированные пользователи находящиеся на сайте в данный момент и история их визитов.
  • Список изменённых фалов сайта.
  • Заблокированные IP адреса навязчивых посетителей.

 

aio-sec-panel

Для обеспечения комплексной защиты, выделенные на рисунке параметры должны быть включены.

 

На вкладке “System Info” в верхнем меню – указанна информация о сайте, базе данных, PHP и активных плагинах.

 

Все остальные параметры настроек будут освещены в этой статье. При активации каждой функции плагина к показателю уровня защиты сайта добавляется от 5 до 20 баллов.

 

2. Настройки

 

Вкладка – General Settings

 

Здесь предлагается создать резервные копии базы данных и файлов .htaccess и wp-config.php. Наверное надо последовать этой рекомендации на случай “мало ли что”, хотя обычно проходит всё гладко. Все бэкапы будут храниться в созданной плагином папке расположенной по этому пути : /public_html/wp-content/aiowps_backups.

 

В случае, когда функции защиты или файервол вызовут нарушения работы сайта или некоторых плагинов, воспользуйтесь ниже расположенными кнопками для их отключения. Но повторюсь – это большая редкость, обычно всё протекает без последствий.

 

Вкладки – “.htaccess file” и “wp-config.pfp file”

 

На эту страницу вы будете перенаправлены каждый раз, когда захотите создать резервную копию указанных файлов или восстановить их из копии.

 

Вкладка – WP Meta info

 

Обязательно поставьте галочку в чекбокс на этой странице чтобы скрыть от злоумышленников используемую версию WordPress.

 

 

3. Администраторы

 

Вкладка – Username

 

По умолчанию WordPress создаёт логин администратора сайта “Admin” или “Administrator”. Обязательно измените имя пользователя – этим действием вы защитите сайт от брутфорс атак (Brute Forse), которые совершаются путём подбора паролей.

Читать также:  Защищаем блог WordPress от копирования контента.

 aio-sec-username-300x70

После нажатия на выделенную ссылку, вы будете перенаправлены на страницу настройки профиля администратора сайта.

 

После внесённых изменений появится  сообщение о том, что в вашем аккаунте не используется логин по умолчанию.

 

Вкладка – Display Name

 

Как и на предыдущей странице, изменяет ник админа отображаемый при публикации постов и комментариев.

 

Вкладка – Password

 

На этой странице вам предлагается “оценить” надёжность пароля админки сайта.

 

Введите пароль для проверки

 

aio-sec-pass-meter

Плагин определил, что для разгадывания моего пароля средствами настольных компьютеров понадобится

 

больше 36 тысяч лет :).

 

4. Авторизация

 

Вкладка – Блокировка авторизаций

 

Устанавливаются параметры ограничения попыток авторизации с определённого IP.

 aio-sec-autorise-247x300

Приведённые на изображении параметры выставляются для предотвращения проникновения в админку сайта путём подбора пароля и логина.

 

В следующих разделах мы установим параметры изменяющие URL  панели авторизации. Значит ограничения приведённые на этой странице будут действовать только на авторизованных пользователей, то-есть тех, кто знает секретный URL (если только он не был у вас похищен). Исходя из этого, я лично поставил галочку в пункте, отмеченном знаком вопроса – теперь IP заблокированного пользователя будет автоматически разблокирован через 60 минут. Вы делайте на своё усмотрение.

 

Вкладка – Force Logout

 

После включения данной опции, каждый зарегистрированный пользователь сайта будет “разлогинен” через установленный промежуток времени. Функция полезна, когда компьютер с которого произведён вход в панель администратора находится в офисе или другом публичном месте.

 

5. User registration

 

Регистрация пользователей

 

В этом разделе отключается автоматическая регистрация новых пользователей и в форме регистрации включается капча. К сожалению  капча не переведена на русский язык, поэтому я ничего здесь не включал, а оставил свою. Регистрацию новых пользователей я запретил в настройках панели администратора.

 

Если у вас интернет-магазин или сайт клубного сообщества – включите ручное утверждение пользователей.

 

6. База данных

 

Вкладка – DB Prefix

 

Для предотвращения атак хакеров на SQL-таблицы БД, рекомендуется изменить стандартный префикс wp- на другой. Перед изменением необходимо сделать бэкап на следующей вкладке.

 

Функция действительно необходимая и полезная. В моём случае, после изменения префикса пропали все изображения, а внутренние и внешние ссылки оказались перечёркнутыми т.е. “битыми”.

 

Ситуацию за 5 минут исправил плагин “Brocken Link Checker”.  В панели управления плагином я отметил все ссылки как “Not brocken” – всё встало на места и за 5 месяцев никаких проблем не возникало.

 

Вкладка – DB Backup

 

Если вы ещё не сделали резервную копию базы данных  – нажмите кнопку и создайте её сейчас.

 

Включите и установите параметры автоматического создания резервных копий в зависимости от частоты обновлений контента на сайте. Для хранения в папке aiowps_backups достаточно одной копии.

 

 

7. Файловая система

 

Вкладка – File Permissions

 

Установка разрешений на важные файлы и каталоги сайта,  некоторые из них мы меняли при установке плагина.

Читать также:  Безопасность блога на вордпресс

 

aio-sec-access

В строчках выделенных жёлтым цветом нажмите кнопку “Установить рекомендуемые разрешения”.

 

Вкладка – PHP File Editing

 

Включите функцию запрета редактирования файлов шаблона из панели администратора, если доступ имеется у нескольких пользователей. Если кроме вас никто там не бывает, не вижу смысла в запрете.

 

Вкладка – WP File Access

 

Здесь необходимо поставить галочку, чтобы запретить доступ к файлам содержащим важную информацию.

 

В последней вкладке указываете имя файла регистрации ошибок, можно оставить по умолчанию – error_log.

 

 

8. WHOIS-поиск

 

Указываете IP-адрес или доменное имя сайта и получаете всю известную информацию.

 

 

9. Чёрный список

 

Отмечаете чекбокс и вписываете IP адреса или названия юзер-агентов, настойчиво желающих попасть в админку вашего сайта.

 

10. Firewall (Брандмауэр)

 

В первых трёх вкладках отмечаете все чекбоксы и сохраняете (смотрел на видео одного из авторов плагина). На всякий случай сделайте бэкап файла .htaccess, т.к. блокировка подозрительных строк  и команд может вызвать нарушение работы сайта, если блокируемые строки используются темой или плагинами. С моим сайтом никаких проблем не возникло.

 

Вкладка – Internet Bots

 

Включение данной опции блокирует ботов используемых хакерами и маскирующимися под ботов Google. Авторы сообщают, что боты с таким алгоритмом работы могут использоваться и другими сервисами, а пауки Yahoo и Bing не блокируются. А наши говорят, что эта функция может заблокировать Яндекс-бота и я не решился её включать.

 

Вкладка – Prevent Hotliks

 

Очень важная функция! Многие “умники” не хотят занимать дисковое пространство на хостинге и “нагружать” сервер загрузкой изображений. Они размещают на страницах своего сайта ссылку на изображение с вашего сайта и при посещении его сайта нагружается ваш сервер. Это называется -Хотлинкинг. Для предотвращения подобных действий надо прописывать правило в файл .htaccess, а тут – плагин сделает всё сам.

 

Обязательно включите данную функцию.

 

Вкладка – 404 Detection

 

Тоже серьёзная функция. Блокирует IP адреса с которых было произведено много запросов с ответом сервера 404. Такое может случиться, когда посетитель пришёл на сайт по битой ссылке – он будет перенаправлен на главную страницу или на ту, которую вы укажете в настройках.

 

Часто бывает, что хакер просто перебирает варианты стандартных логинов для того, чтобы попасть на страницу авторизации. После определённого количества ошибок 404 он будет заблокирован на указанное вами время. В журнале “Events Log” можно просмотреть все IP заблокированных посетителей и их запросы. Их просто тьма с набором: admin, administrator, wp-admin.php, wp-login.php и пр. и пр… В этом случае польза очевидна.

 

Настораживает то, что поисковые боты тоже часто заходят на сайты по битым ссылкам. И такие  записи в логах можно увидеть в большом количестве. Не могу (лично я) найти ответ на вопрос: А  поисковых ботов он тоже блокирует или распознаёт их? Можно конечно внести все известные названия ботов в белый список, а вдруг останутся неизвестные?

 

В общем – функция эта хороша, но включать её надо осторожно. Буду искать ответ. Если что – поделюсь сразу.

Читать также:  Подробная инструкция для спамеров

 

11. Brute Force

 

Вкладка – Rename Login Page

 

Данная функция переименовывает URL  панели авторизации сайта, чем и защищает форму входа от попыток взлома пароля и имени пользователя путём подбора.

 aio-sec-url1-300x142

Поставьте галочку в чекбокс, впишите любое  слово  и нажмите “Сохранить настройки”.  Теперь страница авторизации доступна только по этому Урлу. Обязательно запишите это слово, чтобы не закрыть доступ к сайту для себя. Регистр здесь имеет значение.

 

Вкладка – Cookie  Based Brut Force Prevention

 

Защита от Брутфорс атак с использованием куки. Этот параметр серьёзнее предыдущего. В принципе, на странице дано доскональное описание всех преимуществ на русском языке. Главное то, что плагин размещает на вашем компьютере куки и  отсеивает посторонних не загружая сервер для запуска PHP кода.

 

Перед использованием данного способа нажмите кнопку “Проверить куки”, после появления сообщения об успешной проверке можете сохранять параметры. К вашему слову в Урле будут добавлены два знака. Сохраните  URL в текстовом документе.

 

В следующих вкладках устанавливается капча и белый список IP адресов для доступа на страницу авторизации.

 

12. SPAM Prevention

 

Здесь для защиты от спама настраиваются параметры капчи. Как я упоминал, капча в плагине на английском языке, а примеры решить предлагает из цифр и слов.

 

Я установил простой плагин “Капча” и спама никакого нет. Вы  — делайте как хотите.

 

13. Scanner

 

Вкладка – File Change Detection

 

Настройка отслеживания изменений в файлах сайта. Заражение файлов происходит путём добавления в файлы исполняемых кодов и скриптов. Сканируя ежедневно все файлы, плагин представит те, в которых обнаружены различные изменения. Вы их просмотрите и в случае необходимости подозрительныые файлы замените сохранёнными в бэкапе.

 

В графе — Files/Directories To Ignore: укажите – /public_html/wp-content/cache. Если на вашем сайте установлен плагин кеширования, вы устанете просматривать обновляемые ежедневно файлы кеша.

 

14. Режим обслуживания

 

Активируете во время работ на сайте. В настройках параметра можно написать вежливое обращение к посетителям. Хотя все работы лучше проводить на “Денвере”. Даже если на вашем сайте толь 20 уников в сутки – ими нельзя пренебрегать.

 

15. Miscellanious

 

(Прочее)

 

Защита от копирования. Активация этой функции отключает правую кнопку мыши посетителя сайта.

 

Иногда помогает, но часто можно обойти.  Существуют более действенные способы защиты контента.

 

 

Ваш сайт обеспечен надёжной защитой  плагина All In One WP Security & Firewall, обладающего множеством возможностей и способного “закрыть” дыры в безопасности WordPress и установленных плагинов.

 

Раньше на моём сайте был установлен Better WP Security, но он начал конфликтовать с плагином кеширования W3 Total Cache альтернативы которому нет, да и многие функции он утратил после последнего обновления.

 

Желаю вам удачи и всего хорошего.

 

Закладка постоянная ссылка.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *