Безпечний WordPress з iThemes Security

Всім привіт! Загальновідомий факт: WordPress без доповнень мало що з себе представляє. Точно так само йдуть справи з безпекою: даний движок не вміє і самого простого, хоча б запобігати перебір паролів з одного IP.

Помилково вважати, що маловідомий сайт не намагатимуться зламати. Практика показує зворотне: практично кожен веб-ресурс, хоч якось дав про себе знати в мережі, обов’язково піддається атакам. Звичайно, за ними не завжди стоять злісні хакери, яким закортіло зламати саме цей сайт, чого б цього не коштувало. У більшості випадків працює автоматика, вона ж після успішного злому розсилає спам, або виконує інші завдання, закладені розробниками вірусу.

Що таке iThemes Security

Серед безлічі різних плагінів для підвищення рівня безпеки особливо виділяється iThemes Security для WordPress, який багатий функціоналом. Багато радять ставити саме його, призводять інструкції по налаштуванню. Що ж в ньому настільки привабливо?

Перш ніж приступити до докладного огляду, слід перерахувати можливості, щоб стало зрозуміліше, що з себе представляє цей плагін. Отже, в iThemes Security є:

  1. Блокування записи в важливі файли WordPress: wp-config.php, .htaccess і інші;
  2. Блокування доступу до перегляду директорій, а також тих файлів, які могли б допомогти у зломі (різні readme.txt, що містять версію WordPress і інші дані);
  3. Захист від підбору паролів;
  4. Зміна префікса таблиць і ID адміністратора;
  5. Відстеження помилок 404 і блокування тих IP, які занадто часто на них потрапляють (може говорити про сканування на уразливості);
  6. Фільтри посилань, що ускладнюють проведення атак;
  7. Відключення різних можливостей движка, які можуть використовуватися для шкідливих дій (наприклад, редактор коду);
  8. Приховування сторінок входу і реєстрації;
  9. Вхід тільки в заданий час і з заданих IP;
  10. Сканування змін в файлах;
  11. Створення резервних копій БД;
  12. Модуль блокування користувачів з різних маркерами;
  13. Сканування на віруси;
  14. Використання SSL за замовчуванням.

Ось чому iThemes Security для WordPress став популярним. У ньому зібрано практично все необхідне, щоб сайт був в безпеці.

Налаштування захисту iThemes Security

У всіх секціях присутній кнопка збереження налаштувань, але її не обов’язково натискати кожен раз. Відбувається збереження опцій з усіх секцій, тому зручніше спочатку все повністю налаштувати, а потім один раз зберегти. У всіх опцій є опис, але воно англійською мовою.

Global Settings

Тут містяться основні настройки плагіна. У них вказуються тексту повідомлень про блокування, e-mail для повідомлень, період автоматичного блокування порушників, білий список IP-адрес та інше. На випадок помилок рекомендується поміняти стандартні повідомлення, щоб відвідувачам веб-ресурсу було зрозуміло, що трапилося.

404 Detection

Є два основних параметри:

  • «Minutes to Remember 404 Error (Check Period)». Часовий відрізок, що настроюється в хвилинах. Протягом певного періоду ведеться підрахунок помилок, тому він не повинен бути занадто довгим або занадто коротким.
  • «Error Threshold». Кількість помилок, після якого користувач тимчасово блокується.

Фільтри винятків налаштовані за замовчуванням і правити їх в більшості випадків не потрібно.

Brute Force Protection

Повідомлення про блокування і її період налаштовуються в Global Settings. Важливі параметри:

  • «Max Login Attempts Per Host». Допустима кількість невдалих авторизаций до блокування;
  • «Max Login Attempts Per User». Дуже важливий параметр, який обов’язково потрібно налаштувати. Він відповідає за блокування входу під зламувати користувачем з будь-яких IP, поки не закінчиться атака. Таким чином, чесний користувач може бути позбавлений можливості увійти на сайт під своїм акаунтом. Краще виставити на 0 (розблокування);
  • «Minutes to Remember Bad Login (check period)». Відрізок часу, за який підраховуються невдалі спроби авторизації;
  • «Automatically ban« admin »user». Моментальне блокування при спробі зайти під ніком «admin».

Away Mode

Тут все просто: потрібно виставити дати, між якими авторизація дозволена.

Banned Users

Містить два текстових поля, призначених для небажаних IP і User Agent. Є цікава галочка: «Enable HackRepair.com’s blacklist feature», що підключає список відомих адрес, з яких здійснюється підозріла діяльність.

Database Backups

Налаштування резервного копіювання бази даних по заданому інтервалу. Крім локального збереження, можлива відправка на e-mail.

File Change Detection

Включення відстеження змін в файлах. Період перевірки не налаштовується. Звіти виводяться в панелі управління, також можуть надсилатися на заданий e-mail адресу. У разі зараження, за допомогою такого звіту можна буде визначити, в які саме скрипти були внесені зміни.

Hide Login Area

Налаштування адрес, за якими будуть розташовані форми авторизації і реєстрації. Щоб почати перебір паролів, зловмисникові спочатку потрібно буде дізнатися правильне посилання, яку легко поміняти знову.

Malware Scanning

Містить одну кнопку, яка запускає перевірку сайту на віруси через сторонні сервіси. Якщо проблема була виявлена, про це буде виведена докладна інформація, вона також збережеться в логах, де її можна буде потім подивитися. Допомагає дізнатися, позначений чи веб-ресурс як заражений.

Secure Socket Layers (SSL)

Включення SSL шифрування даних для всього сайту. Спочатку потрібно отримати сертифікат від будь-якого авторизованого сервісу.

Strong Passwords

Встановлює обов’язкове використання складного пароля, починаючи від заданої групи користувачів.

System Tweaks

Досить важлива секція, в якій розміщені галочки включення різних фільтрів. Серед них є:

  • Заборона доступу до важливих файлів, що знижує ризики;
  • Відключення перегляду папок сайту;
  • Фільтр запитів;
  • Фільтрація занадто довгих посилань і тих, які містять неанглійських символи (в деяких випадках може привести до помилок);
  • Зняття прав на зміну важливих файлів;
  • Відключення виконання PHP-скриптів в директорії завантажень.

WordPress Tweaks

У даній секції можна відключити деякі можливості WordPress, які можуть використовуватися зловмисниками.

Виберіть iThemes Security

Dashboards

На ній розташована різна інформація, в тому числі про поточні блокування.

Settings

Основні настройки плагіна, яких дуже багато. Більше, ніж було описано в рамках даної статті. Буде потрібно знання англійської мови, або використання перекладача.

Advanced

Висновок попереджень про проблеми безпеки, які потрібно усунути на вкладці налаштувань.

Backups

Створення та управління резервними копіями бази даних. Але зручніше використовувати для цих цілей іншого плагін, що володіє більш широкими можливостями.

Logs

Цю вкладку варто регулярно відвідувати, оскільки тут виводиться вся інформація по роботі плагіна. По ній можна дізнатися, які саме атаки застосовуються на веб-ресурс.

Help

Містить посилання на сторінки для підтримки користувачів iThemes Security.

Встановивши і правильно налаштувавши у себе на сайті iThemes Security, можете бути впевнені в його безпеці. Всього доброго і до нових зустрічей!

Ссылка на основную публикацию