Настройка плагина iThemes Security (бывший Better WP Security)

Некоторое время назад я написала статью о плагине Better WP Security. Но всё течет, всё изменяется. После очередного обновления плагин стал называться iThemes Security и, соответственно, настройки у него стали несколько иными.

Давайте разбираться с этим вместе.

Первые шаги настройки

Обновили плагин? Посмотрите, под названием плагина iThemes Security в админ панели есть 3 ссылки: Dashboard , Отключить и Редактировать. Нас сейчас интересует первая. Щелкайте по ней.

Вы получаете такое окно:

1. Сделать бэкап базы данных сайта. Делаем в обязательном порядке

   Но на мою попытку сделать бэкап, плагин ответил, что что-то пошло не так. Если у Вас тоже не получилось сделать бэкап здесь, сделайте его другими средствами, например, с помощью плагина бэкапа базы данных (или всего сайта в целом: файлов и базы). На одном сайте я это сделала плагином backupwordpress, на другом через админ панель: Инструменты → Резервное копирование – средствами самого плагина iThemes Security.

2. Второй пункт означает анонимный сбор данных. Включать его или нет, решать Вам. Я его пропускаю.
3. Настройки по умолчанию. Можно включить этот пункт и ограничиться этими настройками, а можно дополнительные настройки включить позже.
4. Активировать заново функцию «Спрятать бэкэнд». На эту кнопку я нажимаю и меня перебрасывает на вкладку Settings, где эти функции и прописаны:

 Если первоначальное окно не закрывается, то закройте его крестиком ввеху-справа, либо нажав на ссылку Dismiss внизу-справа.

Давайте для начала просто сохраним те настройки, которые перешли по наследству от BetterWPSecurity, и посмотрим все вкладки.

Вкладка Dashboard

Getting Started – рекламный блок.

SecutityStatus – здесь Вы можете увидеть, какие на Вашем сайте есть уязвимости. Они выводятся в виде трех таблиц приоритетов: высокий, средний и низкий.

Systeminformation – информационный блок. Здесь находится информация о Вас, точнее, о Вашем сайте. Посмотрите её для интереса.

Active Lockouts – активные блокировки. Здесь можно увидеть, какие IP были заблокированы на сайте к этому времени.

Rewrite Rules – здесь прописан код, который плагин внес в файл .htaccess.

wp-config.phpRules – то же самое для файла wp-config.php.

На этом вкладка Dashboardзакончилась, переходим к основной.

Вкладка Settings

На странице вкладки Setting в первую очередь Вам предлагается внести свой IP-адрес в белый список, чтобы система случайно не заблокировала Вас от самого себя. IP плагин определяет автоматически. Для этого нажимаем на кнопку «TemporarilyWhitelistmyIP».

Если всё прошло нормально, Вы получите сообщение, что Ваш IP внесен в белый список на 24 часа (указывается до какого времени).

GlobalSettings  – глобальные настройки

WritetoFiles – галочка уже стоит, что разрешает запись в файлы .htaccess и wp-config.php. Эту галочку снимать не надо.

Далее два пункта: емэйл-адреса, на которые Вам будут высылаться уведомления и бэкапы. Адрес может быть один и тот же, а могут быть разные.

Следующие 2 пункта – сообщения для тех, кто будет заблокирован. Можно оставить, как есть, незачем на них время тратить.

Blacklist Repeat Offender – черный список тех, кто неоднократно производил на Вашем сайте запрещенные действия. Далее указываются настройки занесения в черный список:

Blacklist Threshold – через сколько блокировок пользователь будет занесен в Blacklist. По умолчанию 3. Я так и оставила.

Blacklist Lookback Period – период, на который нарушитель будет находиться в черном списке. По умолчанию 7 дней. Я пока оставила этот период, но Вы можете его увеличить или уменьшить.

Lockout Period – период блокировки. Этот период указывает продолжительность в минутах, на сколько пользователь будет заблокирован после нескольких неудачных попыток входа на сайт. Если по истечении этого времени он снова попытается это сделать, то его снова заблокируют. После трех таких блокировок его заносят в черный список.

Lockout White List – белый список, в который мы на предварительном этапе уже внесли наш IP-адрес. Если Вы этого еще не сделали, то сделайте здесь, иначе может получиться так, что Вы сами себя заблокируете, забыв, например, пароль.

Здесь же вы можете указать и другие IP-адреса. Каждый адрес вносится с новой строки.

EmailLockoutNotifications – на этот адрес будут приходить уведомления о том, что такой-то IP был заблокирован. Я эту опцию отключила в прежней версии плагина, убрала галочку и сейчас, потому что приходит очень много писем о блокировках.

Log Type – указывает, какие типы журналов записи событий будут вестись. Вариантов три, но нам интереснее всего вариант File Only, который означает, что будут записываться ошибки 404, изменения файлов и т.д.

Days to Keep Database Logs – если Вы не отметили вести журналы изменения БД, то здесь все равно, какой период ставить. Журналы файлов будут вестись неограниченно долго, но только до достижения объема в 10 мб. В этом случае журналы чистятся автоматически (что выгодно отличает этот плагин от своего предшественника).

Path to Log Files – путь к файлам логов. Проверяем, что этот путь не указывает на корень сайта и оставляем как есть.

Allow Data Tracking – сбор данных для разработчиков плагина. Если Вы включили этот пункт на предварительном этапе, то здесь уже стоит галочка. Если Вы передумали, галочку снимите.

Сохранить изменения

404 Detection – обнаружение ошибок 404

Enable 404 detection – активация обнаружения ошибок 404. Галочка по умолчанию уже стоит, убирать ее не надо.

Minutes to Remember 404 Error (Check Period) – период, в течение которого будут учитываться обнаружения. Я увеличила этот период до 10 минут.

Error Threshold – количество ошибок в пределах контрольного времени, после которого происходит блокировка. По умолчанию стоит 20, этого достаточно.

404 File/Folder White List – белый список, в который уже добавлены распространенные ошибки (у кого-то нет фавикона, или файла robots.txt, или карты сайта и т.д.). Если Вы знаете какие-то общие файлы, которых у Вас нет, пропишите их в этот список. Однако, более верным будет эти файлы создать.

Ignored File Types – файлы этих типов будут учитываться в ошибках, но не приводят к блокировкам.

Кстати, советую просматривать в журнале раздел ошибок 404, особенно, если Вы любите чистить свой сайт от лишних картинок, например. Я обнаружила после такой чистки несколько ошибочно удаленных картинок именно благодаря этому разделу.

Сохраните изменения

Away Mode – блокировка входа на сайт по расписанию

Этот раздел я не трогала, у меня нет расписания в работе. Если Вам необходимо (например, Вы уезжаете в отпуск и решили отдохнуть от сайта), то отметьте галочкой и настройте соответствующие поля. Учтите, что часовой пояс на сайте и реальный Ваш часовой пояс могут отличаться. Производите настройки по часовому поясу сайта.

Изменения сохраните.

Banned Users – заблокированные пользователи

Поставьте все галочки и сохраните изменения.

Brute Force Protection – защита от брутфорс атак

Блокировка неудачных попыток входа в админку сайта.

Brute Force Protection – галочка уже стоит по умолчанию. Если вдруг ее нет, то поставьте.

Max Login Attempts Per Host – максимальное кол-во попыток для одного хоста.

Max Login Attempts Per User –  то же самое для конкретного пользователя

Minutes to Remember Bad Login (check period)  – сколько минут плагин будет помнить неудачные попытки залогиниться.

Любое дефолтное значение можно, при желании, увеличить или уменьшить.

Сохранить.

Database Backups – резервное копирование базы данных сайта

Backup Full Database – отметим галочкой

Backup Method – выберем Email Only, чтобы не загромождать сервер сохраненными бэкапами.

Далее отмечаем галочками Compress Backup Files – сжатие файла бэкапа и Schedule Database Backups – настройка расписания резервного копирования.

Backup Interval – через какой интервал будут производиться бэкапы. Минимальное значение 1 день. Советую его и оставить, но это на Ваше усмотрение.

File Change Detection – обнаружение изменений файлов

Эта функция полезна тем, что позволяет отследить изменения в тех файлах, которых Вы не касались. Такие изменения может внести злоумышленник, внедряя вредоносный код, поэтому важно о них знать.

Для начала нажмите кнопку ScanFilesNow, чтобы произвести первичное сканирование.

Далее ставим галочки в пунктах File Change Detection и Split File Scanning, вносим в исключения то, что отслеживать не нужно (например, папку cashe, если у Вас стоит плагин кеширования), либо, наоборот, включите только те файлы, которые нужно отслеживать в обязательном порядке, а остальные не нужно.

Последние два пункта: где Вы будете получать уведомления об изменениях: на Ваш емэйл или (и) в админке. Можно оставить оба пути получения уведомлений, а можно убрать обе галочки. Вы все равно сможете увидеть все изменения в журналах.

Сохранить изменения.

Hide Login Area – скрытие входа в админку сайта

Это я описывала в п.8 Hide статьи о BetterWPSecurity, так что повторяться не буду.

Если после этих изменений Вы не можете войти в админку, то попробуйте активировать опцию Enable Theme Compatibility (а можете ее активировать сразу).

В поле “Theme Compatibility Slug” указывается адрес, который будет выводиться при попытке зайти в админку по стандартному адресу site.ru/wp-login.php (если активирована предыдущая функция). Можно оставить по умолчанию.

Custom Login Action – это что-то специфическое, так что я оставила пустым.

Сохранить изменения.

Strong Passwords – надежные пароли

Я считаю, что надежные пароли нужны всегда и везде, ну а для администратора сайта – в обязательном порядке. Поэтому ставим галочку, выбираем роль и сохраняем изменения.

System Tweaks и WordPress Tweaks – дополнительные настройки, которые могут вызвать конфликты с уже установленными плагинами. Рекомендуется эти настройки включать по одной, каждый раз проверяя работоспособность сайта.

У меня некоторые настройки уже включены (остались от предшественника), остальные буду подключать и проверять постепенно, что и Вам советую.

Это все о настройках плагина iThemes Security. Теперь можно вернуться в Dashboard и проверить, какие еще остались проблемы уязвимости Вашего сайта. Главное, чтобы не было записей в разделе High Priority. Всё остальное уже не столь критично и может быть исправлено в рабочем порядке.

 Надеюсь, у Вас обновление предыдущего и настройка плагина iThemes Security прошли благополучно. А я на этом заканчиваю.

Это тоже интересно: