Защищаем блог с помощью Ithemes Security. Часть 1

Всем привет! В данной статье я подробно расскажу о классном плагине для защиты сайта или блога на WordPress — IThemes Security. Ранее он назывался Better WP Security.

Я уже записывала про него видео. Но я, например, предпочитаю получать информацию именно в формате статьи. И многие из Вас, думаю, тоже.

Поэтому кроме видео решила сделать и подробную статью о плагине. К тому же, он постоянно обновляется, и вносить изменения в статью несколько легче, чем записывать новое видео 🙂 .

Пошаговая настройка IThemes Security

Самый первый шаг состоит в установке Ithemes Security к себе на сайт. Для этого зайдите в раздел Плагины → Добавить новый, и в строке поиска укажите его название.

Перед установкой обратите внимание на рейтинг, количество скачиваний и последнее обновление. Это касается не только Ithemes Security, но любого плагина. Особенно важным я считаю время последнего обновления.

Если плагин давно не обновлялся, то он может представлять угрозу для Вашего блога. Через него хакеры могут взломать Ваш ресурс. Проверьте все Ваши плагины и замените старые более современными аналогами.

Кстати, именно по этой причине я отказалась от Invisible Captcha. К счастью, я нашла более эффективный способ защиты от спама без плагина. Об этом читайте в статье.

Но вернемся к нашей теме. Итак, Вы устанавливаете и активируете плагин.

И у Вас появятся следующая надпись:

На первую строку Вы пока не обращайте внимание, данной настройкой мы займемся позже. Нас на данный момент интересует кнопка Secure Your Site Now. Нажимаете ее и Вы увидите следующее всплывающее окно.

  1. Плагин предлагает сначала сделать резервную копию сайта. Разумный совет, именно с этого следует начинать внесение любых изменений на блоге. Смело нажимаете кнопку.
  2. Вторым пунктом плагин запрашивает разрешение для изменений файлов wp-config и htaccess. Также нажимаете на кнопку.
  3. И самый интересный и важный пункт. С помощью этой кнопки плагин активирует основные настройки и приступит к защите Вашего сайта. В принципе, для тех, кто боится совершать самостоятельно какие-либо преобразования на блоге, этого будет уже достаточно, чтобы усилить защиту ресурса. Но я все же рекомендую пойти дальше и произвести дополнительные настройки.
  4. Нажав на последнюю кнопку, Вы разрешите плагину собирать информацию, чтобы работать над улучшение блога. Здесь уж Вы решаете сами, активировать эту функцию или нет.

В итоге, у Вас должно получиться следующее:

Не страшно, если Вы вдруг забудете нажать на какую-либо кнопку, все это Вы сможете сделать и позже в настройках.

Закрывайте окно и переходите в меню настроек. Кстати, обратите внимание, что в панели управления у Вас появился новый раздел Security для доступа к настройкам плагина.

Сначала Вы окажетесь во вкладке Dashboard.

Во-первых, сразу же добавьте Ваш Ip в белый список:

Далее спускайтесь вниз и Вы увидите список уязвимостей Вашего блога.  Они разделены на 4 категории:

  • High Priority: то, что следует исправить немедленно;
  • Medium Priority: уязвимости, которые также следует исправить как можно скорее, но они не критичны для безопасности ресурса;
  • Low Priority: включение данных опций может привести к конфликту с другими плагинами или с шаблоном, поэтому их настройки индивидуальны для каждого блога;
  • Completed: в этом списке Вы найдете перечень проблем, которые уже исправлены. После завершения всех настроек  именно этот список должен быть самым большим.

В первом списке у меня 3 пункта. У Вас их может быть больше или меньше.

  1. Использование логина admin для входа в панель управления;
  2. Отсутствие регулярного бэкапа базы данных;
  3. Неактивный malware скан.

Приступаем к защите Вашего сайта. В первом пункте нажимаем на Fix it (исправить). Вы окажетесь во вкладке Advanced (Продвинутые настройки). С нее и начнем.

В данном разделе Вы можете:

  • изменить логин пользователя с admin на другой;
  • изменить имя директории wp-content;
  • изменить префикс базы данных.

Для смены логина активируйте чек-бокс Enable Change Login User, введите новый логин (запомните его или запишите), и активируйте чек-бокс «Change User Id 1».

Сохраните. Вас автоматически выбросит из админ панели и Вам нужно будет заново зайти, но уже используя новый логин.

Кстати, обратите внимание, что плагин предупреждает о необходимости сначала сделать резервную копию, мало ли что. Не забывайте об этом.

Логин также Вы можете поменять 2 другими способами, о которых я рассказала в своем курсе:

  • через базу данных;
  • и через админ панель Wordpress.

Изменение имени директории возможно для только что созданных сайтов, но и в этом случае могут привести к проблемам. Поэтому данный пункт предлагаю не трогать.

А вот изменить префикс базы данных, если он у Вас wp- советую. Просто ставите галочку и сохраняете изменения.

Продвинутые настройки на этом закончены. Переходим к обычным (Settings).

 Общие настройки Global Settings

В принципе здесь вносить каких-либо изменений не требуется. Но я все же поясню, что означают данные настройки.

1. Данный пункт Вы активировали в самом начале. Он позволяет плагину вносить изменения в файлы. Галочку не убирайте. Данная настройка необходима для корректной работы плагина. Чтобы заблокировать пользователя, который пытается взломать Ваш ресурс, плагин должен прописать соответствующую команду в htaccess и именно для этого ему и нужен доступ.

2. Укажите e-mail, на который Вы хотите получать уведомления.

3. Активируйте информационную рассылку от разработчиков плагина. По желанию.

4. Укажите адрес для получения резервных копий.

Далее идут варианты сообщений, которые увидят заблокированные пользователи. Если есть желание, то можете придумать собственные.

5. Активируйте черный список.

6. Количество попыток ввода данных до полного бана. То есть, пользователь ввел несколько раз неправильные данные и был заблокирован на указанное время, например, на 15 минут. По их истечении он сможет повторить свои попытки. Но после третьей блокировки он уже будет забанен на более длительный срок.

7. Период хранения информации о заблокированном пользователе.

8.  Период блокировки пользователя. Его можно и увеличить.

9. Белый список. Сюда можно добавить свой IP.

10. Ithemes Security ведет журнал изменений. Здесь Вы можете выбрать тип журнала, то есть куда плагин будет записывать информацию: в базу данных или в файлы сайта.

Для небольших сайтов предпочтительнее первый вариант, а для больших оптимальнее выбрать второй.

11. Количество дней для хранения логов.

12. Путь к папке с журналом.

13. Активировав этот пункт, Вы разрешите плагину собирать данные о Вашем сайте. Это один из 4 пунктов, который Вы видели в самом начале.

14. Отключить блокировку файлов. Активируйте только в том случае, если возникают какие-то ошибки.

Если Вы пользуетесь прокси, то отметьте чек-бокс Disable Proxy Ip Detection. А последний пункт позволяет убрать раздел с настройками плагина из верхнего меню WordPress.

Уф, с общими настройками закончили. Кстати, к каждому пункту есть пояснения, правда на английском. Но если Вы им владеете, то для Вас настройка плагина не составит проблем.

А для тех, кто языком не владеет, есть моя статья 🙂 .

404 Detection

Иногда хакеры сканируют Вас сайт в поисках уязвимостей. И в этом случае они часто попадают на несуществующие страницы.

Для предотвращения подобного скака активируйте определение 404 ошибки.

Отметьте чек-бокс. У вас появятся дополнительные настройки.

Время можно немного увеличить, а количество страниц оставить без изменений. Если за 5 минут хакер введет более 20 адресов на страницу 404, он будет забанен.

С этой опцией стоит быть осторожными, если Вы меняете структуру сайта или делаете еще какие-либо преобразования, например, избавляетесь от дублей, которые приведут к появлению большого количества несуществующих страниц.

В этом случае Вы можете заблокировать поисковых роботов и страницы выпадут из индекса. У меня такое случилось в августе. Из-за моей ошибки появилось около 70 страниц 404 и в итоге половина статей выпала из индекса Яндекса. С Гуглом, к счастью, проблем не возникло. Блог таким образом отправился в августе на каникулы вместе со мной 😉 .

Поэтому перед активацией посетите инструменты вебмастеров и убедитесь, что страниц с ошибками у Вас нет или их всего несколько.

Away Mode

Если Вы планируете отправиться в отпуск и забыть на это время о существования блога и Интернета вообще, возможно, стоит активировать «Away mode».

Он скроет вход админку и никто, в том числе и Вы не сможете, попасть в панель управления, пока не пройдет указанное время.

Существует 2 варианта настройки данной опции. Вы можете скрывать страницу входа каждый день в определенное время, например ночью. Для этого в «Type of Restriction» выберите «Daily» и укажите время.

Если Вы хотите ограничить вход на определенный период, то выберите «One time» и укажите желаемую дату и время.

Banned Users

Здесь Вы можете самостоятельно указывать тех пользователей, которых хотите заблокировать. Например, особо надоедливых спамеров или тех, кто крадет Ваш контент и публикует Ваши статьи у себя на сайте.

Здесь есть 2 возможности:

  • Вы можете подключить уже существующий список хакеров, собранный сайтом hackrepair.com. Но есть мнение, что это может препятствовать посещению поисковыми роботами Вашего сайта. Хотя некоторые блоггеры используют эту функцию без каких-либо последствий. Я ее не активировала.
  • Вы также сами можете заблокировать пользователя, указав его ip и предварительно активировав функцию «Enable ban users».

Итак, мы уже значительно усилили защиту блога. И об остальных настройках Ithemes Security я расскажу в следующей статье. Не пропустите!

С уважением, Евгения Куварина

Понравилось? Расскажи друзьям!


Обсуждение: 33 комментария
  1. Ильдар Тимербаев:

    У меня стоит этот плагин. Настройки, конечно, занимают много времени, но это стоит того.
    Защита получается шикарная с ним 😉

  2. Рашида:

    Я тоже уже давненько пользуюсь этим плагином — еще когда он WP Better Security именовался — надежный плагин, главное, изначально правильно настроить.

  3. andrei:

    после установки плагина перестал работать поиск по сайту. Как его можно вернуть? Заранее спасибо.

    • Евгения Куварина:

      Стоит поочередно отключать настройки плагина и смотреть, что именно влияет на работу поиска

    • Артем:

      Non-English Characters отключите и все заработает.

  4. Алла:

    Спасибо и за плагин и за инструкцию по его настройке.
    Займусь этим делом обязательно, еще раз спасибо.

    • Евгения Куварина:

      Алла, всегда пожалуйста! Главное не забудьте сделать резервную копию перед настройками!

  5. Александр:

    не использовал еще этот плагин, в основном делал защиту с помощью кодов и хаков. Но судя по комментариям многие используют. Нужно тоже попробовать. С кодами иногда приходится долго возится. А плагин только 1 раз правильно настроил и все

    • Александр:

      Александр, а как можно защиту с помощью кода сделать?

  6. Максим:

    Привет, Евгения!
    Однако интересный плагин ты описала. Надо будет познакомиться с ним поближе. 🙂

    • Евгения Куварина:

      Плагин действительно интересный, а главное такое полезный 🙂

  7. Natalya:

    А если у меня код ответа сервера в панели Яндекса дает 500, то как мне вернуть все как было?

    • Евгения Куварина:

      Не очень поняла вопрос. Не доступен полностью блог? В этом случае стоит восстановить его из резервной копии. Если только некоторые ссылки, то надо искать, где проблема

  8. Лара:

    Евгения, подскажите как правильно удалить этот плагин, чтобы не осталось следов? Честно говоря он мне столько проблем насоздавал… Не знаю почему, но кажется он действительно как-то мешает поиску от яндекса или же наоборот. У меня периодически создавались ошибки, просто чистый лист вместо страницы после запроса в поиске. Плюс ко всему я потеряла вход в админку… Вчера проверяла, пришлось плагин на хостинге отключать и в итоге я не могу попасть в админ панель… Не подскажете что делать в этом случае?

    • Евгения Куварина:

      Лара, не очень поняла, удалось ли после отключения плагина попасть в админку. И какое именно сообщение выдает? Плагин удаляется, как и все остальные. Можно потом еще базу данных почистить и кэш.

    • Лара:

      Надо же, я как-то пропустила ваш ответ… Евгения, да, в админку попала в тот же день, но провозилась долго. Без плагина и ошибок больше не возникает. А я чуть сайт не угробила, все искала причину да только не там, где надо. Но хорошо, что все разрешилось. Однако плагин мой отключен, но не удален. Вы не подскажите, как почистить базу данных, чтобы не навредить? Что именно нужно смотреть, а то удалю что-нибудь не то.

    • Евгения Куварина:

      Лара, можно установить плагин wp clean up и почистить базу с помощью него. Только на всякий случай, сначала сделайте резервную копию сайта.

  9. Марина:

    Урааааа!!!!После прочтения продолжения статьи поняла, как входить теперь в админку! Спасибо огромное!

  10. Сергей:

    Есть такой плагин Block Bad Queries (BBQ) и если установить плагин iThemes Security, то плагин BBQ может быть и не нужен?

    • Евгения Куварина:

      Да, все верно. Если есть ithemes security, то другой уже не нужен

  11. Константин:

    При попытки устранения красных строчек в High Priority появляется белый экран с ошибкой:
    Fatal error: Call to undefined function ctype_alpha() in /home/kuzmet/sibkuz.ru/docs/wp-content/plugins/better-wp-security/core/modules/strong-passwords/class-itsec-strong-passwords-admin.php on line 219
    Вы можете объяснить чем это вызвано ? Спасибо.

    • Евгения Куварина:

      Константин, а что именно делали, перед тем как появилось данное сообщение? Вообще речь идет о надежном пароле, возможно ваш пароль для блога не слишком надежен и его следует поменять.

    • Константин:

      Нечего не делал, просто установил плагин, и вот он так работает, Вообще речь идет о ошибки на белом экране и чем она вызвана, и как этот момент исправить.

    • Евгения Куварина:

      Тогда плагин лучше просто удалить. Возможно, конфликт с шаблоном. Трудно определить на глаз, это надо разбираться

    • wp-admin:

      У меня у клиента сейчас такая же ошибка, но насколько понял из поисков в google, скорее всего это проблема с хостингом. Если найдете ответ, откомментируйте, мне будет это тоже полезно.

  12. Руслан:

    Хороший плагин. Очень многофункциональный. Правильно вы писали на моем блоге: этот плагин действительно может заменить три моих =)
    Есть смысл его настроить, но немного пугают комментарии людей, которым этот плагин доставил проблем

    • Евгения Куварина:

      Да, он довольно сложный и не у всех корректно настраивается, но у меня с ним проблем не возникло. В любом случае, стоит попробовать, заранее сделав бекап

  13. Павел:

    Подскажите, пожалуйста, как сменить имя пользователя в этом плагине?
    Изначально admin был переименован в «Васю Пупкина», но сменить «васю» ума не приложу…

    • Евгения Куварина:

      Павел, меняйте самостоятельно через PHPMyAdmin. Я об этом немного рассказывала в статье «7 эффективных приемов для защиты сайта от взлома»

    • Павел:

      Спасибо за ответ, буду читать статью

  14. max:

    Есть ли аналог плагина, у меня этот плагин в своих настройках постоянно обновляет страницу и не хочет применять ни одной настройки?

    • Евгения Куварина:

      Есть WordFence Security, All in Onу WP Security и другие

  15. Артем:

    Пока набегов на блог не было, но не буду медлить и сейчас же все установлю и настрою.

Поделитесь своим мнением

 

Заберите Ваш Подарок!
Блог на ordPress

Дайджест инвестора

Об инвестициях и заработке в Интернете

email рассылки Конфиденциальность гарантирована
email рассылки
Подпишись на мой канал!
Подпишись на канал
Душевные подарки на любой праздник! Заказывайте!
Давайте дружить!
Принимаем Z-Payment
© 2016 Денежный бриз