Продолжаем усиливать защиту сайта с Ithemes Security

Приветствую Вас. В прошлой статье мы начали разбираться в настройках такого великолепного плагина для защиты Вашего WordPress сайта или блога, как Ithemes Security.

Если Вы еще с ним не знакомы, то начните с этой статьи. А мы продолжим настраивать Ithemes Security.

Как правильно настроить Ithemes Security

Brute Force Protection

В отличие от поиска уязвимостей в программном обеспечении для взлома, brute force — это более простой метод получения доступа к сайту. Он заключается в переборе логинов и паролей с целью найти верные данные.

Если хакер имеет неограниченное количество попыток ввода комбинаций логина и пароля, то рано или поздно он получит доступ к ресурсу.

Особенно легко это будет сделать, если владелец не изменил логин с admin на более сложный, да еще и пароль использует один из самых простых.

WordPress сайты, по умолчанию, восприимчивы к этой форме атаки, потому что система не ограничивает число попыток входа.

И плагин как раз и позволяет исправить эту ситуацию.

IThemes Security включает в себя два метода защиты от брутфорс атак: локальный и сетевой.

Локальная защита обеспечивает блокировку только тех пользователей, которые пытались взломать Ваш сайт.

Сетевая защита идет еще дальше, блокируя пользователей, которые еще не добрались до Вашего ресурса, но пытались взломать другие сайты, использующие плагин. Их IP адрес был автоматически отправлен в специальную базу данных.

Чтобы активировать сетевую защиту Вам всего лишь необходимо указать e-mail адрес и сохранить настройки.

 Специальный Api ключ будет сгенерирован автоматически. Вам также придет на почту письмо, с сообщением, что Ваш сайт теперь защищен.

Если в настройках у Вас отмечены оба чекбокса, это означает, что оба метода защиты включены.

Кроме этого в настройках Вы можете указать количество допустимых попыток ввода пароля.

И активировать возможность мгновенного бана пользователя, который указывает в качестве логина admin.

Резервное копирование БД

В данном разделе мы можем настроить автоматический и регулярный бэкап базы данных. Какие бы меры защиты мы не предпринимали, их все равно не будет достаточно для 100% защиты. Поэтому создание резервных копий — это ключевой момент безопасности.

А кроме этого проблемы могут возникнуть и с хостингом. Но все будет поправимо при наличии бэкапов.

Если Вы отмечаете первую строку, то плагин будет копировать все таблицы, которые есть в базе данных, даже если они и не являются частью сайта.

В принципе, даже если Вы не отметите этот чекбокс, ничего страшного не произойдет.

Затем выберите, куда будут отправляться резервные копии:

  • к вам на почту (e-mail мы уже указали в общих настройках);
  • на сервер;
  • или сразу на почту и на сервер.

Логично выбрать первый вариант. Ведь Ваш провайдер тоже делает копии. И если с хостингом все в порядке, то можно воспользоваться их копиями.

А вот если с ним возникнут проблемы, то добраться до копий, хранящихся на сервере Вы не сможете и в них не будет смысла.

Далее указан путь к папке, где будут хранится бэкапы (если Вы все же выбрали данный способ хранения) и количество копий.

Отметьте галочкой пункт «Compress Backup Files», чтобы получать файлы в zip формате. Так они будут занимать меньше места.

Затем Вы можете указать таблицы, которые не стоит включать в копию. Лучше все оставить, как есть, если Вы ничего в этом не понимаете.

И, наконец, мы добрались до 2 последних строк, которые являются самыми важными. Поставив галочку в первой, Вы активируете процесс создания резервных копий.

В последней строке Вы указываете интервал. Рекомендую выставить 1 день.

 File Change Detection

Системы обнаружения вторжений (IDS) являются важными инструментами для администраторов сервера, потому что они позволяют им вовремя определять вредоносную активность и принимать меры.

Раньше они были слишком дорогими в обслуживании, однако сейчас многие WordPress плагины безопасности обеспечивают аналогичные инструменты для мониторинга Вашего сайта.

Но плагин будет реагировать на любое изменение. И если Вы используете плагин кеширования, то отчет об измененных файлах будет очень длинным.

К счастью, Ithemes Security предоставляет возможность исключить определенные папки из анализа.

  1. Прежде всего ставим галочку для активации данной возможности.
  2. Затем Вы можете разделить анализируемые файлы на категории, чтобы легче было разобраться. В этом случае Вы получите отдельное уведомление по каждой категории. Если не отмечать данный чекбокс, то Вам будет приходить одно письмо с полным перечнем всех измененных файлов. Кроме этого посмотреть данные изменения Вы можете в разделе «Логи» (Logs).
  3. Далее Вы можете указать, какие папки следует исключить. Для этого наведите курсор на папку и нажмите на красный круг со знаком минус.
  4. Если Вы не хотите получать уведомления об изменениях в файлах на почту, то уберите галочку.
  5. Данный пункт отвечает за оповещения об изменениях в админке. Если Вы отключите оба способа, то узнать об изменениях Вы сможете только заглянув в Логи. Но, как правило, пользователи забывают об этом, поэтому оставьте хотя бы 1 способ оповещения.

Hide Login Area

Еще одна потрясающая опция. Она позволяет изменить ссылку для входа в админку. Обычно ссылка имеет примерно такой вид: http://site.ru/wp-login/ или нечто подобное.

Благодаря плагину Вы создадите собственную ссылку, которую будете знать только Вы. Тем самым Вы уже на этом этапе значительно затрудните жизнь хакерам.

  1. Активируйте эту функцию.
  2. Укажите новый адрес.
  3. Убедитесь, что в этом пункте стоит галочка. Он необходим, если вдруг данная опция не будет совместима с Вашей темой.

Malware Scanning

WordPress — одна из наиболее популярных систем управления контентом в Интернете. WordPress сайты часто становятся мишенью для хакеров и спамеров.

Целью большинства хакеров является заразить ваш сайт вредоносным ПО, то есть malware.

Большинство людей думают, что когда сайт взломан, то на главной странице появится сообщение об этом.

На самом деле хакеры не хотят, чтобы Вы знали о взломе. Чем дольше владелец находится в неведении, тем дольше они могут использовать Ваш сайт, чтобы рассылать спам и заражать компьютеры посетителей.

Даже защищенный веб-сайт WordPress может быть взломан, и его владелец не узнает об этом.

Поэтому важно регулярно проверять Ваш ресурс, чтобы вовремя обнаружить вредоносные программы.

И в этом нам снова поможет Ithemes Security.

Чтобы запустить скан, нужно получить API ключ. Для этого Вам нужно зарегистрироваться на сайте www.virustotal.com.

Подтверждаете регистрацию по почте. В общем все как обычно. Затем заходите в личный кабинет и выбираете раздел My Api Key:

Вы увидите API ключ, именно он нам и нужен, вставляете его и сохраняете настройки.

Теперь у вас появится кнопка для запуска скана.

Запускаете скан. Если все в порядке, то Вы увидите следующее сообщение:

Если же плагин обнаружит что-то подозрительное, то Вы будете перенаправлены на страницу с логами.

 SSL

SSL — специальный протокол, обеспечивающий безопасность соединения.

Владельцы сайтов должны обеспечить безопасность личных данных пользователей. Даже если Вы не шифруете весь сайт, стоит обеспечить безопасность для страниц входа.

Это в большей степени актуально для интернет-магазинов и сайтов, где доступна регистрация для пользователей.

Перед тем, как включить SSL на вашем WordPress сайте, убедитесь, что у вас установлен сертификат SSL.

Просто введите HTTPS:// перед именем сайта, если увидите сообщение об ошибке, то ваш провайдер не поддерживает данный протокол. И Вы не сможете активировать эту опцию.

Если же сайт работает как обычно, то Вы можете воспользоваться данной возможностью.

Strong Password

Это опция предназначена для многопользовательских сайтов. Если при регистрации пользователь укажет слишком простой пароль, то он увидит предупреждение и не сможет закончить регистрацию, пока не введет более сложный пароль.

Я надеюсь, что Ваш пароль для входа в админ панель тоже не из легких. И не забывайте его периодически менять. А чтобы не запоминать десятки паролей, используйте LastPass.

System Tweaks

Продвинутые настройки, которые обеспечат еще большую безопасность Вашему ресурсу. Но они могут вызвать конфликт с другими плагинами или шаблоном, поэтому советую активировать их поочередно и проверять работу сайта.

  1. Предотвращает публичный доступ к файлам, которые могут сообщить важную информацию хакерам.
  2. Запрещает пользователям просматривать список файлов в директориях.
  3. Блокирует методы запроса track, delete и trace.
  4. Блокирует URL, содержащие подозрительные символы. Но часто конфликтует с шаблоном или плагинами. Например, может привести к тому, что не будут отображаться миниатюры на сайте.
  5. Блокирует не английские буквы в URL. Данная функция работает только, если включена предыдущая. Если Вы используете кириллические ссылки, то не активируйте эту опцию.
  6. Ограничивает число символов в адресной строке.
  7. Запрещает плагинам и пользователям изменять файлы wp-config и htaccess.
  8. Отключает выполнение PHP в папке Uploads.

 WordPress Tweaks

Еще несколько продвинутых настроек для WordPress. Как и в предыдущем случае, они могут повлиять на работу других плагинов, поэтому после их активации стоит следить за работой сайта.

  1. Убирает мета-тег, который сообщает версию движка.
  2. Удаляет заголовок RDS из хедера. Если Вы не интегрировали ваш сайт с внешними сайтами, использующими протокол XML-RPC, то эта функция вам не нужна и ее смело можно отключить. Кстати, ее можно отключить и с помощью плагина Yoast WordPress Seo. На скриншоте не отобразилась предыдущая строка, которая позволяет убрать заголовок Windows Live Writer. Если Вы не используете этот сервис, то смело активируйте эту опцию.
  3. Позволяет уменьшить количество спамных комментариев. Хорошая помощь Вашему плагину защиты от спама. Я эту функцию не использую, так как у меня и так установлена надежная защита от спамеров.
  4. Позволяет отображать случайную версию движка, чтобы сбить с толку хакеров.
  5. Отключает редактирование файлов через админ-панель.
  6. Отключает протокол XML-RPC. Отключите, если не используете средства удаленной публикации. Отключать не стоит в том случае, если Вы используете мобильные приложения или плагин Jetpack.
  7. Заменяет текущую версию JQuery на безопасную.
  8. Отключает сообщение об ошибке при вводе неправильного пароля.
  9. Заставляет пользователей выбирать уникальное имя, которое будет отличаться от логина. Актуально для многопользовательских сайтов.
  10. Отключает архивы пользователей, у которых нет записей.

 Ура! Вот мы и закончили настраивать плагин! Теперь Ваш блог защищен от взлома намного лучше!

Если вдруг по какой-либо причине плагин Вас заблокирует. Такое редко, но случается. А Вам надо срочно попасть в админку и нет времени ждать, пока истечет срок блокировки, то есть 2 решения.

  1. Найдите папку с плагином на хостинге и переименуйте ее. Плагин автоматически дезактивируется.
  2. Зайдите в базу данных через php my admin и найдите таблицу itsec_lockouts и в ней Ваш ip-адрес. Удалите его.

 И еще раз напомню, что перед любыми изменениями не забывайте делать резервную копию сайта. Кстати, во вкладке Backups Вы можете сделать бэкап, если копия нужна Вам немедленно.

На этом я заканчиваю статью! Желаю Вам праздничного настроения!

P.S. Если Вы планируете зарабатывать на блоге с помощью баннеров, то у Вас есть уникальный шанс приобрести скрипт БаннерБро всего за 1690 рублей до 1 января. Подробности в статье.

С уважением, Евгения Куварина

Понравилось? Расскажи друзьям!


Обсуждение: 36 комментариев
  1. Василий:

    После обновления плагина, было время, когда я с ним «подружился». Плагин часто не пускал меня на сайт. Я решал этот вопрос другими способами: изменением файла htaccess, скачиванием и повторной загрузкой плагина на сайт. В данный момент, все стало в порядке. Видно, что разработчик постоянно работает над плагином.

    • Евгения Куварина:

      Меня плагин всего 2 раза заблокировал, еще когда он был Better WP Security, и с тех пор работает без проблем.

  2. Яна:

    Да я еще не знакома с такой системой защиты своего блога. Буду разбираться

    • Александр:

      Я сам пока не прочитал этот пост, понятия не имел что такая возможность вообще существует

  3. name nika:

    Сейчас по вашим статьям Женя настраивала этот плагин на блоге.Посмотрим как он будет себя вести. На моем тоже проблемы получились с поисковиками. С Яндексом по чуть-чуть налаживается, а вот с Гугл не могу понять , что делать.

    • Евгения Куварина:

      Гугл немного медленнее реагирует, на мой взгляд.

  4. seoonly.ru:

    Поставил себе и сплю спокойно 😀

    • Александр:

      Нужно сделать то же самое, что бы кошмары не мучили

  5. Максим Рябухин:

    Читал сначала статью, даже заинтересовало, а ниже спустился в комментарии — здесь у всех лажа. Наверное поэтому я так скептически отношусь к плагинам. Свой код всегда надежнее, но требует больших затрат времени. Ну и лично вам, Евгения, очень нравится ваш стиль написания, всё чаще встречаю девушек в этой теме, что для меня удивление, но ваше творчество заинтересовало 😉

    • Евгения Куварина:

      Максим, на счет у всех это сильно преувеличено, я бы сказала. Плагин конечно сложный, но все зависит от того, как его настроить. У меня он работает исправно уже больше года и никаких проблем.

  6. Ильдар Тимербаев:

    Я сегодня полночи не спал — пытался войти в админку своего сайта. Весь изнервничался. И только в 3.30 вспомнил, что поставил ограничения по времени работы.
    После этого расслабился и уснул как младенец.
    Вот такой сегодня прикол произошел.

    • Александр:

      У меня бы наверное сердце не выдержало. Я бы наверное и не вспомнил про ограничения вовсе

  7. name nika:

    Женя, здравствуйте.Подскажите пожалуйста.Как вы убрали ошибки.У меня получилась такая же история как у вас только я не сразу обратила внимание на них.Сейчас плагин включила, но без ошибки 404.С помощью плагина WordPress SEO by Yoast .Я видела там есть редирект 301 или как-то иначе?

    • Евгения Куварина:

      А что именно за ошибки? Обычно их не надо убирать, ссылки сами со временем исчезнут.

  8. name nika:

    Женя я изменяла семантическое ядро.Статьи на сайте есть, но у них изменились урлы.Из-за этого плагин начал выдавать ошибку 403 яндекс-боту.Сейчас плагин опять включила, но ошибку 404 включать боюсь из-за ошибок, которые показаны в аккаунтах вебмастера и гугла-вебмастера.
    Вчера нашла статьи которым меняла ключи.И попробовала в файле .htaccess
    прописать все строки ошибок в конце файла
    Redirect 301 /polezno-li-pit-vodu/ pit-vodu/
    Redirect 301 /strannyie-prilivyi-v-avstralii/ prilivyii/
    Redirect 301 /podzemnaya-voda/ podzemnie-vodi/
    Не получилось, выскакивает критическая ошибка.
    Не знаю, что делать.

    • Евгения Куварина:

      Пока в инструментах вебмастрера будут ошибки, то данную опцию точно включать не следует. А в редиректе сначала надо прописать страницу с ошибкой, а потом правильную:
      Redirect 301 /istochniki-doxoda/webtransfer1/ http://domhozka.ru/istochniki-doxoda/webtransfer/

  9. name nika:

    Я боюсь , что если будет включена функция ошибка 404 в плагине с яндекс и гугл-ботами будет происходить такая же ситуация как и ранее.

    • Евгения Куварина:

      Следует правильно настроить редирект и ждать, пока ошибки исчезнут это займет время, в яндексе данный процесс несколько быстрее. А только когда ошибки исчезнут можно включать определение 404

  10. name nika:

    Женя спасибо.А новая ссылка прописывается через htpp
    У меня было Redirect 301 /polezno-li-pit-vodu/ pit-vodu/
    А надо Redirect 301 /polezno-li-pit-vodu/ http pit-vodu/ Не прописываю полностью чтобы не работала.Я правильно поняла?

    • Евгения Куварина:

      Да, все правильно, новую ссылку можно прямо из строки браузера скопировать.

  11. name nika:

    Женя, я обнаружила еще новость.Почему-то раньше этого не находила.Нашла сайт который берет картинки с сайта напрямую с моего сайта из папки uploads .Взято порядка сорока картинок, не знаю, что с этим делать.В плагине защиты от этого нет? Не знаю, что с этим делать.

    • Евгения Куварина:

      Можно узнать ip сайта и заблокировать для него доступ.

    • Александр:

      Отличная идея, у меня есть парочка, нужно запретить для них доступ.

  12. name nika:

    Спасибо.У меня вчера вечером такая же мысль появилась.

  13. Рашида:

    Женя, я тоже пользуюсь этим плагином для защиты блога — настройки такие же. Когда перестали отображаться миниатюры написала автору шаблона — он сделал обновление и проблема с миниатюрами решилась.

  14. Олеся Сазонова:

    А у меня этот плагин как-то странно присылает бекапы. Я настраивала на 1 раз в неделю, он один раз и присылает, но только около 200 штук на почту приходят

    • Евгения Куварина:

      Странно, у меня все в порядке. Но лучше 200, чем ни одной :). Можно для бекапов отдельный мейл завести

    • Александр:

      Олеся впервые такое слышу. Так Вам прям 200 писем приходит или 200 файлов в одном письме?

  15. Алла:

    Здравствуйте, Женя. Пытаюсь третий раз установить и настроить этот плагин и меня постоянно блокирует. Даже уже не знаю, что делать. В белый список себя внесла и все равно бес толку. Может что-то подскажете, а то идут атаки на сайт и хостер постоянно предупреждает об превышении …

    • Евгения Куварина:

      Алла, а как именно блокирует? Возможно у вас меняется IP и он из-за этого блокирует. Либо конфликт с каким-то плагином. Попробуйте другие плагины, например, All in One WP Security и Wordfence Security.

  16. Алла:

    Да, у меня динамический Ip- адрес. В список вношу каждый день, но когда начинаю что-то делать на сайте, мне запрещает на время то вход в комментарии, то в редактор, то в плагины. Как это исправить, чтоб я могла нормально работать?
    Может можно как то внести диапазон Ip адресов?
    И еще у меня в закладке LOG пусто, и ни одно письмо еще не пришло…хотя должна копия базы приходить. Но пока ничего нет.

    • Евгения Куварина:

      Алла, можно диапазон задать: ###.###.*.* А вот почему Log пустые не знаю, там должна быть информация об отправке базы данных. Проверьте активировали ли вы ее в настройках. Но раз так много проблем у Вас с этим плагином, я бы другой попробовала.

  17. Альберт Садыков:

    Поставил вчера себе этот плагин.
    Как раз в это время фрилансерам заказал одну работу по сайту. Когда предложения стали приходить, один из фрилансеров сказал, что у меня вместо сайта при загрузке белый экран с надписью «error».
    Я сразу подумал на этот плагин. Так и есть.
    Это стандартное оповещение для заблокированных хостов.
    Исполнителя, у которого заказал работу, из админки постоянно выкидывало из-за динамического IP. Пришлось пока плагин отключить.
    Веду к тому, что плагин очень хороший и мощный, но требует очень тонкой настройки.

    • Евгения Куварина:

      Согласна, он довольно капризен бывает, но и защищает хорошо. Ведь на месте фрилансера мог оказаться хакер)

  18. Ольга:

    Пожалуйста, подскажите, что именно имеется в виду:
    Dear Site Admin,
    The following is a summary of security related activity on your site. For details please visitthe security logs
    Lockouts:There has been 1 user or username locked out for attempting to log in with incorrect credentials.
    This email was generated automatically by iThemes Security
    To change your email preferences please visitthe plugin settings.
    Постоянно можно было увидеть попытки входа. Поставила плагин WP-ban и после этого проследить не могу, чисто. Но на почту продолжают приходить такое уведомление.
    Спасибо.

    • Евгения Куварина:

      Это отчет по попыткам входа. Плагин оповещает, что он заблокировал одного пользователя, который был заблокирован.

Поделитесь своим мнением

 

Заберите Ваш Подарок!
Блог на ordPress

Дайджест инвестора

Об инвестициях и заработке в Интернете

email рассылки Конфиденциальность гарантирована
email рассылки
Подпишись на мой канал!
Подпишись на канал
Душевные подарки на любой праздник! Заказывайте!
Давайте дружить!
Принимаем Z-Payment
© 2016 Денежный бриз