Настройка All in One WP Security & Firewall: безопасность WordPress без лишних хлопот

Приветствую, уважаемые читатели. Практически сразу после создания сайта неизбежно встает вопрос о его безопасности. Слишком много сил и времени тратится на проект, чтобы рассчитывать «на авось». И вот тут на сцену выходит замечательный плагин All in One WP Security & Firewall, имеющий в своем арсенале все самое необходимое, чтобы обеспечить безопасность WordPress.

Что умеет AIO WP Security & Firewall?

Почти все. Этакий «all inclusive» по части безопасности. В его возможности входит:

  • наглядная оценка уровня безопасности;
  • изменение логина, никнейма, страницы входа;
  • сокрытие информации о версии WordPress;
  • защита от подбора паролей;
  • блокировка по IP, черный и белый списки;
  • ограничение длительности сеесии;
  • резервное копирование важных файлов и базы данных;
  • ограничения на доступ и изменение файлов;
  • встроенная капча для комментариев, регистрации и страницы логина;
  • ряд действий по снижению нагрузки на сервер, что способствует ускорению работы сайта;
  • защита от копирования материалов ресурса;
  • журналы отчетности;
  • полностью русифицирован: вам не придется блуждать среди технических терминов чужого языка;
  • есть подсказки о назначении тех или иных опций, написаные простым и понятным языком, доступным обычным пользователям

Настройка плагина All in One WP Security and Firewall

Внимание! AIOWPS вносит множество серьезных изменений в настройку безопасности. Необдуманные и некорректные действия могут привести к самым печальным последствиям: от нарушения работы отдельных плагинов до утраты доступа к сайту. Поэтому:

  1. Обязательно сделайте резервное копирование перед началом настройки;
  2. Внимательно читайте комментарии разработчиков: как выделенные голубым цветом, так и спрятанные в спойлерах «Подробнее…». К счастью, они вполне доступно объясняют и прекрасно переведены.

После установки в админке появится новая вкладка «Wp Security», содержащая следующие разделы:

1. Панель управления

ПУ включает в себя 4 вкладки:

  • В панели управления находится общая информация о защищенности ресурса. Самая заметная ее часть — измеритель безопасности, наглядно показывающий, как далеко еще админу до абсолютной защиты и спокойного сна. :)All in One WP Security and Firewall

Здесь же расположены кнопки быстрого доступа к самым важным функциям для быстрого переключения; список последних авторизаций, заблокированных IP, активных сессий и другие данные. Трогать тут мы ничего не будем: страница имеет скорее информационный характер.

  • Информация о системе предоставляет данные о сайте и php, а также список всех активных плагинов. Незнакомым с технической стороной вопроса эти строчки ни о чем не скажут, так что двигаемся дальше.
  • Заблокированные IP адреса. Здесь вы найдете список всех пользователей, заблокированных на данный момент. Страница полезна не только для отслеживания нарушителей. Если владелец сайта несколько раз ошибется в пароле и сам получит временный бан, то, зайдя с другого устройства, именно в этом разделе можно снять с себя блокировку.
  • AIOWPS logs

2. Настройки

  • В общих настройках находятся ссылки для быстрого перехода к резервному копированию и аварийная кнопка отключения всех опций плагина на случай, если что-то пойдет не так.
  • .htaccess файл. В этой вкладке можно сделать резервную копию htaccess, сделать бекап при необходимости, а также просмотреть его содержимое. Готовые копии находятся в корневом каталоге (…/wp-content/aiowps_backups).
  • wp-config.php — аналогичная страница для резервного копирования и восстановления файла wp-config.php с той лишь разницей, что он скачивается прямиком на ваше устройство: нет нужды лишний раз подключаться через FTP или заходить в файловый менеджер хостинга.
  • Мета-информация. Вот и пошли первые настоящие настройки. Зная вашу текущую версию WordPress, злоумышленникам гораздо проще найти уязвимости ресурса. Данный раздел позволяет одним движением удалить соответствующий тег со всех страниц сайта. Включаем.
  • Импорт/Экспорт — быстрый перенос настроек с одного сайта на другой.

3. Администраторы

  • Пользовательское имя. Один из наиболее популярных способов взлома аккаунта заключается в систематическом переборе данных для входа. Согласитесь, когда хакерам уже известен логин, задача гораздо упрощается. Проблема в том, что по умолчанию WordPress всем пользователям присваивает стандартное имя пользователя — admin. На данной странице можно исправить этот недочет. Делаем.
  • Отображаемое имя. По тем же соображениям из разряда «кручу-верчу запутать хочу» стоит изменить и ник админа. Вообще-то такая возможность есть и в общих настройках админки, но если имя у вас до сих пор «admin», самое время проявить фантазию. Делаем.
  • Пароль — еще один набор символов, качественным шифрованием которого часто пренебрегают. Данный раздел имеет целью наглядно показать насколько уязвим/надежен ваш пароль и как скоро его взломают. Сильное впечатление, скажу я вам. WP Security and Firewall

4. Авторизация

  • Блокировка авторизаций — установка лимита на попытки ввода данных для входа в аккаунт. Защищает от описанного выше способа проникновения с помощью подбора значений (брутфорс-атаки). Для включения опции отмечаем галочкой первую строчку. Затем указываем:
  1. количество неудачных попыток;
  2. время, за которое они должны произойти, чтобы сработала блокировка;
  3. на какой период времени ip будет заблокирован.

Чем меньше первое значение и больше второе с третьим, тем надежннее защищен сайт. Только учтите: админа за невнимательность тоже могут отправить в бан, так что с временными рамками не зверствуйте — сами однажды попадетесь. А так опция полезная, включаем.

Последняя галочка на этой странице активирует уведомления о попытках подбора по email. Настоятельно рекомендую согласиться. Для осознания своей уязвимости. Когда сайт еще молодой, думаешь: ну кому надо неизвестному проекту пакостить? Ан нет. Пока не был кардинально изменен url-адрес страницы входа, тревожные письма приходили с пугающей регулярностью.

  • Ошибочные попытки авторизации — список ip, с которых пытались безуспешно войти на сайт.
  • Автоматическое разлогинивание пользователей. По желанию можно включить автоматический выход через определенное время после авторизации. Опция неплохая, но не очень удобная для самого администратора и постоянных посетителей, так что на ваш выбор.
  • Журнал активности аккаунта — список последних 50 авторизаций на сайте. Этот и следующий пункт пригодится для выяснения подозрительнвх IP с последующей их блокировкой.
  • Активных сессий — пользователи, в данный момент находящиеся онлайн.

5. Регистрация пользователя

  • Подтверждение вручную — ручная модерация всех новых аккаунтов. Пользователь не сможет авторизироваться на сайте, пока вы лично не дадите «добро» на его учетную запись. Включайте.
  • CAPTCHA при регистрации — установка простой капчи на странице создания учетной записи позволит снизить количество спам-аккаунтов. Нужна, если на ресурсе вообще доступна всеобщая регистрация. Включаем.

6. Защита базы данных

  • Префикс таблиц — изменение названия таблиц БД. По умолчанию стоит «wp_», вы можете изменить его га что-то менее очевидное. Так же, как смена url-адреса страницы логина (о нем — ниже), эти действия служат созданию дополнтельной путаницы.
  • Резервное копирование — регулярное автоматическое (!) создание копий БД, которые будут отправляться прямиком на вашу почту. Однозначно включаем.

7. Защита файловой системы

  • Доступ к файлам. Здесь находится список установленных разрешений на доступ к файлам. В идеале все строчки должны быть зелеными. Иногда люди или плагины изменяют права доступа — тогда некоторые строчки в данном списке могут пожелтеть. Кликните по ним, если таковые найдутся.
  • Редактирование файлов php — запрет на изменение файлов из админки. Если вы часто вносите правки в файлы темы или плагинов, лучше пропустить эту опцию.
  • Доступ к файлам wp — запрет на доступ к файлам с информацией о WordPress (например, об используемой версии). Включайте.
  • Системные журналы дают возможность просмотреть отчеты об ошибках. Мы пока пропускаем данный раздел.

8. WHOIS-поиск 

Стандартный поиск информации о домене. В Сети полно аналогичных сервисов, так что эта опция не самая необходимая. И все же приятно, что все под рукой.

9. Черный список 

Блокировка юзер-агентов и конкретных пользователей по ip. Если вам пока некого банить, идем дальше.

10. Файрволл

  • Базовые правила активируют основную защиту ресурса. Например, доступ к важным файлам, ограничение на объем загрузок, предотвращение DoS-атак и т.д. Отмечаем все 3 галочки.
  • Дополнительные правила. Галочками отмечаем: просмотр содержимого директорий; HTTP-трассировка; комментарии через Прокси-серверы. Остальные — на ваше усмотрение. Обязательно читайте информацию в желтых спойлерах, так как некоторые опции могут нарушить работу сайта или отдельных плагинов!
  • Настройка 5G Файрволл — продвинутая защита от вредоносных запросов в url. Включаем.
  • Интернет-боты. Опция заблокирует доступ лже-ботов, представляющихся роботами Google. При этом разработчики отмечают, что под удар попадут все до кучи: как вредоносные, так и безвредные боты.
  • Предотвратить хотлинки — запрет на использование изображений с вашего сайта на сторонних ресурсах через прямую ссылку. Включаем: это ускорит работу сайта за счет снижения нагрузки на сервер.
  • Детектирование 404 — отслеживание подозрительных случаев ошибки 404 с последующей блокировкой ip злоумышленника. Чаще всего пользрватель прпадает на страницу 404 по естественным причинам: например, допустив ошибку в адресе или перейдя по устаревшей ссылке. Но множество ошибок с одного ip — повод задуматься. Возможно кто-то пытается найти определенную уязвимую страницу. Одним словом, опция полезная, включаем.
  • Custom Rules — поле для ввода собственных настроек .htaccess. Использовать только продвинутым юзерам, которые понимают что к чему, ибо введение некорректной информации может добавить седых волос на вашу макушку.

11. Защита от брутфорс атак

Мы уже сталкивались с настройкой защиты от подбора данных методом перебора. Настало время углубиться в тему, ведь в All in One WP Security and Firewall имеется целый «антибрутфорс-раздел».

  • Переименовать страницу логина. Один из эффективных способов не допустить подбора — спрятать саму страницу входа в админку. Эдакий «квест в квесте». Однозначно включаем. Затем вводим новое окончание url-адреса вместо стандартных wp-admin и wp-login.
  • Защита с помощью куки — позволит снизить нагрузку на сервер, исключив брутфорс-атаки до запуска системой обработки попыток входа. Данная функция отмечена значком «Для продвинутых пользователей»: при неправильном использовании можно потерять доступ к собственному аккаунту.
  • CAPTCHA на логин добавит на страницы входа и восстановления пароля простую математическую задачу. Можно включить.
  • Белый список — в него вносятся ip, которым позволен доступ к странице логина. Всех прочих система автоматически заблокирует. На мой взгляд, функция необязательная, но решать вам.
  • Honeypot — ловушка для роботов, которая добавляет на страницу логина специальное невидимое поле. Вам оно неудобств не доставит, зато бот на автомате заполнит его и тем самым сдаст себя с потрохами. Обязательно включить.

12. Защита от спам

  • Спам в комментариях — защита от спамеров, позволяющая значительно снизить нагрузку на сервер. Если на сайте установлена капча для комментариев, отмечаем только вторую опцию. Если с анитиспам-плагином до сих пор не определились, можно поставить обе галочки.
  • Отслеживание IP по спаму — список IP-адресов комментаторов-спамеров с их последующей блокировкой.
  • BuddyPress — это плагин, с помощью которого можно превратить сайт в полноценную социальную сеть. Если на вашем ресурсе он используется, данный раздел добавит капчу в регистрационную форму BuddyPress, чтобы отвадить спам-роботов.

13. Сканнер

  • Отслеживание изменений файлов просканирует ресурс на изменения, внесенные в код, или добавление новых файлов. Проверку можно осуществить как вручную (первая кнопка сверху), так и в автоматическом режиме, отправляя по почте отчет по мере нахождения подозрительных правок. Для последнего нужно установить частоту проверки и список файлов или их типов, которые следует игнорировать при сканировании. Учтите, что если вы самостоятельно редактируете файлы или устанавливаете плагины, данные действия система тоже сочтет «подозрительными». Поэтому либо указывайте в поле исключений все, в чем успели покопаться, либо откажитесь от использования этой функции.
  • Сканирование от вредоносных программ. Нет, это не встроенный антивирус для сайта. Это всего лишь ссылка на сторонний сервис поиска malware, который сделает все за вас, автоматически и в лучшем виде. Платно, к слову.
  • Сканирование БД. Опция задумывалась как простой поиск подозрительных текстов, html и скриптов, но работала некорректно. Поэтому сейчас здесь висит объявление, что функция временно закрыта на доработку.

14. Режим обслуживания

В All in One Security and Firewall предусмотрена также возможность быстро перевести сайт в режим обслуживания. Пригодится, если вы проводите глобальные изменения (смену дизайна, например) и нужно закрыть ресурс от посетителей до его возвращения в приличный вид.

15. Разное

  • Защита от копирования отключит возможность выделять и копировать тексты статей правой кнопкой мыши. Эта опция будет уместна не на всех сайтах. Ведь бывают случаи, когда посетителю из соображений удобства надо позволить скопировать текст вместо того, чтобы заставлять печатать его вручную. Если вашему ресурсу защита от копирования необходима и еще не установлен соответствующий плагин, включайте.
  • Фреймы

Заключение

All in One WP Security and Firewall — отличный по функционалу плагин, позволяющий быстро и без глубоких знаний по части защиты интернет-ресурсов обеспечить безопасность WordPress.

© 2016, blogstu.ru. Все права защищены. Копирование материалов сайта запрещено.

Поделиться:
Сохранить:

2 комментария(ев) на “Настройка All in One WP Security & Firewall: безопасность WordPress без лишних хлопот

  1. Cat:

    Как после настройки плагина внести изменения в htaccess?
    Добавить сжатие и кеширование напр.

    [Ответить]

  2. Т. А.:

    Спасибо. Всё предельно понятно. Настроила плагин на новом сайте, и на старом кое-что подправила. Единственно, не поняла, стоит ли ставить чебокс в Разное — users enumeration.
    Например, некоторые настройки не активировала из-за плагина Akismet. Сразу появлялось предупреждающее «окошко».

    [Ответить]

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

восемнадцать − девять =