Защита WordPress сайта и защищать мы его будем плагином Better WP Security
Об обновлении этого плагина и новой настройке читайте в статье “Настройка плагина iThemes Security“.
В последнее время как-то так совпало, что мне пришлось заниматься сайтами, зараженными вирусами, либо подвергшимися взлому. То ли злоумышленники активизировались, то ли просто мне так «повезло».
И я задумалась о безопасности WordPress моих блогов: а хорошая ли у них защита от взлома? Конечно, какие-то меры я предприняла, но в этом деле даже перестраховка будет не лишняя, а у меня все-таки есть еще тут недоработка.
О плагине Better WP Security я узнала месяца три-четыре назад и тогда же впервые установила его на блог клиентки. Но как всегда: «сапожник без сапог», на свои блоги я его до сих пор не установила, руки не дошли. И, может, долго бы еще не дошли, но я вернулась на блог клиентки, у которой этот плагин установлен, месяц спустя. То, что я там увидела, меня повергло в некоторый шок:
Этот скриншот – маленький кусочек журнала, в котором зафиксированы попытки входа на ее блог за прошедший месяц.
8164 попытки взлома за месяц!!!!!
На скриншоте видно, какие логины пробовались для входа: admin, administrator, support…, а также ее имя и фамилия в разных вариациях латинскими буквами.
Увидев вышеописанное безобразие, я решила больше не медлить и заняться защитой Wordpress на двух своих блогах.
Сразу же хочу предупредить, что 100%-ной защиты не существует, но плагин Better WP Security устраняет наибольшее количество “дыр” в безопасности Wordpress.
Итак, я устанавливаю на мои блоги плагин Better WP Security, одновременно описывая его настройки, по которым Вам сразу будет видно, чем же этот плагин так хорош.
Установка плагина – обычная, через админ панель, никаких сложностей не наблюдается.
После активации в админ панели появляется новый раздел «Безопасность». Входим в него. Сразу же откроется страница с вопросом, создать ли резервную копию базы данных. Обязательно, прежде чем работать с этим плагином, создайте резервную копию, либо этим плагином, либо другим, либо и тем и другим, но чтобы она у Вас обязательно была. Кроме базы данных, сделайте копию файла .htaccess, так как плагин вносит основные изменения в него (или вообще сделайте бэкап всего сайта).
Я нажала на ссылку «Создать резервную копию базы», хотя у меня два плагина по расписанию делают бэкапы базы и файлов. Пусть будет еще одна, самая-самая последняя. Копия придет к Вам на е-мэйл.
На следующей странице нажимаем «Защитить мой сайт от базовых атак». Этим одним кликом мы активируем основные функции плагина по защите сайта от базовых атак, и нам не придется настраивать все вручную.
Настраивается плагин вкладками в панели, которая находится сверху на этой же странице. Давайте пройдемся по ним и рассмотрим все подробно.
-
Dashboard
Здесь приведены результаты мгновенного сканирования Вашего сайта. По этой таблице сразу можно увидеть, какие уязвимости на нем присутствуют, и даны рекомендации по их устранению:
Цвет пункта показывает, насколько обеспечена защита:
- Зеленый – обеспечена полностью,
- Оранжевый – обеспечена частично,
- Красный – совсем не обеспечена,
- Синий – обеспечение безопасности не полное, но возможны конфликты с другими плагинами или темами.
Рекомендуется исправить проблему по возможности, но если не получится, то можно не особо об этом беспокоиться, потому что эта опасность мизерная.
Все эти же пункты рассматриваются дальше во вкладках. Рекомендую не спешить, а все настройки устанавливать очень внимательно, иначе Вы можете защитить свой сайт от самого себя.
-
Пользователь
Здесь Вам предлагают изменить логин пользователя, если он у Вас до сих пор admin. Измените его обязательно. Только не на свои имя или фамилию. И вообще: лучше всего, чтобы это был просто набор букв и цифр, а не какое-то словарное слово.
Также предлагается сменить ID администратора, так как администратор с ID=1 может быть уязвим для некоторых атак. Это тоже обязательно сделайте.
В таблице этой вкладке соответствуют пункты 4 и 5. Они будут зелеными, если логин и ID у Вас уже изменены. Если нет, то вам будет предложено их изменить. При нажатии на ссылки Вы попадете именно сюда.
-
Away
Здесь Вы можете закрыть доступ к админ панели сайта в какое-то время, когда Вы с ним не работаете (например, уехали в отпуск, либо в ночное время). В этом случае Вам нужно настроить часовой пояс в соответствии с Вашим местным временем. Неправильная настройка может привести к тому, что Вы заблокируете сами себя.
Я не стала это трогать, потому что расписания в моей работе нет. Но если Вам это нужно, то поставьте галочку в чекбоксе, на который показывает стрелка, настройте расписание и сохраните изменения.
Этой вкладке в таблице соответствует пункт 8. У меня он оранжевого цвета.
-
Ban
Здесь можно внести в «черный список» каких-то пользователей, как в одиночку, так и списком. Забанить можно как IР-адреса, так и браузеры. Особо обратите внимание на чекбокс, на который показывает стрелка. Если Вы его отметите, то по некоторым данным, начинает сильно тормозить сайт, а по другим – что могут возникнуть проблемы с индексацией Яндексом, потому что этим чекбоксом Вы включаете список «плохих» адресов, составленных Джимом Уолкером, а он в этот список включил Яндекс.
Я здесь не стала ничего включать.
В таблице это пункт 9. У меня он также оранжевый.
-
Dir
В этой вкладке меняется наименование директории wp-content. Здесь можно вносить изменения, только если Вы создали свой блог только что и не сделали там никаких настроек, не установили там ни одного плагина. Во вкладке плагина яркими красными буквами предупреждается о последствиях.
Сюда можно попасть из пункта 20 таблицы.
-
Backup
Создание расписания резервного копирования базы данных. Можно настроить бэкап БД здесь и избавиться от лишнего плагина. Если у Вас не настроен бэкап, советую это сделать. Настройки в этой вкладке элементарны. Резервные копии будут высылаться на Ваш е-мейл, что очень удобно.
Сюда ведет пункт 7 таблицы.
-
Prefix
Если Вы не изменили префикс при установке WordPress, то сделайте это сейчас. Операция безболезненная, но плагин предупреждает, что нужно сделать бэкап базы данных перед этим изменением. Бэкап у нас уже есть (ведь есть?), поэтому нажимаем на кнопку изменения префикса и проверяем работу сайта.
На эту вкладку нас приводит пункт 6.
-
Hide
Скрываем форму входа на сайт ото всех, кроме самого себя. Для этого мы меняем URL админ панели.
Поставьте галочку в верхнем чекбоксе, затем во всех трех полях напишите латиницей какие-то символы (чтобы не запутаться, впишите одно и то же). Главное, не забыть, что Вы там вписали, поэтому сразу же запишите в надежном месте Ваш новый URL. То есть теперь Вы будете входить в админ панель WordPress не по такому адресу site/wp-admin, а по такому site/asdfggj, если Вы вписали asdfggj.
В таблице это пункт 11.
-
Detect
Эта вкладка позволяет заблокировать пользователей, которые в течение некоторого короткого периода времени постоянно попадают на ошибку 404. Это может свидетельствовать о том, что такой посетитель специально проверяет, где на Вашем сайте уязвимые места.
Первые три чекбокса не требуют пояснений. Далее:
- Check Period – здесь задаем, какое время (в минутах) нужно помнить ошибку 404. Не устанавливайте слишком большое время, иначе заблокируете обычных посетителей.
- Порог ошибки – задаем, после какого количества ошибок за Check Period IP-адрес назойливого посетителя будет заблокирован.
- Период блокировки – устанавливаем время (в минутах), на которое этот IP-адрес будет заблокирован.
- Blacklist Repeat Offender – если активировать эту функцию, то после достижения числа блокировок, установленных в пункте ниже, адрес потенциального взломщика будет добавлен в черный список.
- Blacklist Threshold – число блокировок IP-адреса, после достижения которого пользователь будет добавлен в черный список.
- 404 White List (Белый лист) - В это поле добавляются IP-адреса, которые нельзя блокировать. На всякий случай добавьте сюда свой IP. Найти его можно на вкладке Dashboard в блоке User Information.
Ниже расположены настройки по обнаружению изменения файлов.
Отметьте там все три чекбокса. После этого Вам на е-мейл, указанный в четвертом поле, будут ежедневно приходить извещения обо всех изменениях в файлах и директориях.
Когда Вы разберетесь в этих извещениях, Вы сможете добавить какие-то директории в список исключений, если посчитаете, что изменения в них для Вас не важны.
Не забудьте сохранить изменения.
-
Login
Здесь можно оставить настройки по умолчанию и сохранить изменения.
-
SSL
При активации этой вкладки обеспечивается практически 100%-ная защита соединения между сервером и пользователем. Но SSL должна поддерживаться Вашим сервером, иначе можно сделать сайт или его часть недоступными.
Я не стала ее активировать, так как надо связаться с сервером и уточнить, поддерживает ли он SSL.
-
Tweaks
В этой вкладке несколько важных настроек. Но включение их может повлечь конфликты с установленными плагинами и темами. Возможны два варианта: оставить все эти настройки неактивными, либо включать по одной, после каждого изменения проверяя работоспособность сайта.
Все функции, которые могут вызвать конфликт, отмечены желтым цветом. Не забывайте сохранять изменения в каждой группе настроек отдельно.
-
Logs
Это журнал, куда выводится информация о попытках вторжения, о заблокированных пользователях, об измененных файлах и входах на ошибку 404.
Этот журнал сам не очищается, поэтому его нужно очищать вручную.
В результате всех действий у меня получилось вот что:
У Вас эта таблица может выглядеть по-другому, в зависимости от Ваших настроек.
На этом настройка плагина Better WP Security завершена. Надеюсь, что и мои, и Ваши сайты благополучно её выдержали.
После такой кропотливой работы необходим отдых в компании с преданными животными:
Комментарии
Вот спасибо, за такое подробное объяснение установки плагина. Нужно заняться безопасностью сайта. Я кое какие меры приняла, но их явно недостаточно. Тем более, что меня часто предупреждают при входе в админ панель, о многократных попытках входа.
Да, Ира, безопасность – первое дело! Я тоже кое-какие меры предприняла еще до установки этого плагина. Но он меня просто восхитил своей мощной функциональностью.
Теперь по твоей инструкции и я себе установлю! Кстати, Нина, у меня радостная новость, удалось пополнить кошелёк, описывать не стану, чего мне это стоило, (места не хватит :-)), а просто жду номер твоего кошелька для вручения призов! Извини, что с задержкой!
Поздравляю, что спасла свой кошелек. Номер пришлю на почту
Спасибо, перечислила.
В последнее время замечаю, что попытки взлома происходят одновременно с нескольких ( 20-30 ) разных IP, в течении двух-трех минут буквально массовая атака, побоялся такого наплыва и увеличил период блокировки аж до трех часов ( раньше только на час блокировал ) Скажу, что этот плагин не раз спасал мой блог от взлома и свидетельство его работы регулярно приходит на почту в виде отчета о блокировке за неоднократные попытки входа. Ну и заодно убрал из WordPress всё что мешало или ухудшало безопасность ( кстати, в последнее время, после проведенных изменений атак стало меньше )
Я уже читала Вашу статью, попалась, наверно, в сабскрайбе. Но мне что-то не захотелось настолько радикально все убирать
Но зато столь радикальные меры дают большую защиту для блога. Я давно хотел убрать всё лишнее, причем к мысли об этом пришел самостоятельно, только обдумав всё начал собирать информацию и её оказалось довольно много на эту тему, значит тема востребованная
Спасибо за подробную информацию и ваш труд!!!
Спасибо, что зашли. Заходите еще, в блоге много полезного и еще больше будет!
Добрый день, Нина! Все сделала, как Вы посоветовали, спасибо. Но на следующий день при попытке войти во вкладку logs получила ответ, что у меня недостаточно полномочий для доступа. Что я сделала не так?
Татьяна, сложно сказать, не зная, какие именно настройки Вы сделали. Там же очень много разных настроек. Вроде, не должно такого быть. Проверьте еще раз все настройки, может, какие-то из синих (если Вы их меняли)вернуть назад, поскольку там везде предепреждение, что возможны конфликты с темой или плагинами.
Не плохо! не задумывался об этом….
Я уже не раз сталкивался с этим плагином и полагаю что это отличная защита Вордпреса. Всем рекомендую.
А не могли бы вы рассказать поподробнее что делает во вкладке Tweaks галочка Filter Request Methods ?
Три дня назад положил сайт этим плагином, поспешив с настройками. Но бэкапы рулят. Теперь, прочитав ВНИМАТЕЛЬНО Вашу статью, воспользуюсь плагином с умом.
Благодарю за отличную разжёванную информацию и за Ваш труд! СПАСИБО!
Да, плагин не простой. Я даже не влезала в некоторые настройки, где есть предупреждение, что это может вызвать конфликт с установленными темой и плагинами.
Спасибо за Ваш отзыв. Надеюсь, что всё у Вас пройдет без проблем.
И в очередной раз порадовалась, что у Вас был бэкап. К сожалению, даже прочитав мои статьи с предупреждениями о возможных последствиях неимения бэкапов, некоторые относятся к этому легкомысленно.
Нина, здравствуйте! У меня тоже установлен этот плагин безопасности. Но некоторое время назад он перестал присылать мне бэкап БД на e-mail. Может Вы сталкивались с такой проблемой и подскажете мне, как ее решить?
Здравствуйте, Андрей! Вчера разгребла “завалы” в своем почтовым ящике (у меня почти месяц не было интернета). Последний бэкап пришёл 6 сентября. Периодичность установлена раз в 3 дня. Так что, вроде, всё нормально.
Почему Вам перестал присылать, сказать трудно. Если не меняли настройки, то и он должен работать по-прежнему. Возможно, что-то установили новое или обновили, и он конфликтует? Проверьте, как работают другие его функции, может, надо переустановить плагин.
Разобрался. Нужно было почистить базу от неправильных записей. Как только почистил, на следующий день пришло плановое письмо с бэкапом. Спасибо за подробное описание настроек этого замечательного плагина.
Только что ответила Вам на комментарий и читаю, что всё в порядке. Это замечательно!
Какую базу? На вкладке Logs?
Да, на вкладке Logs. Там есть раздел Очистить Базу данных – старые данные. Поставил галочки напротив
База данных содержит…… плохие учетные записи
База данных содержит…… 404 ошибки.
И удалил их. На следующий день пришло письмо с запланированным архивом БД
Т.е. получается, чтоб регулярно получать бекапы, надо регулярно вручную читить базу? Что-то не совсем понятно, зачем тогда автоматическая настройка, если надо вручную лезть чистить для ее работы? Или я что-то не понимаю…?
Получается, что так. Нина в посте писала, что ее нужно чистить вручную. Я и почистил. В итоге все зарабоатло.
С одной стороны Вы правы, Андрей, есть в этом некоторое неудобство. Тем более, что люди не очень продвинутые тут же забывают, что надо чистить журналы. А с другой стороны: там же информация для нас, чтобы мы ознакомились, возможно, приняли какие-то меры.
Т.е. получается вроде индикатора, если перестали приходить копии, значит проверяй журнал. А в плагине у меня стоит, что копия создана и отправлена, но я ее вчера и не получил, посмотрю сегодня, после вчерашней чистки. Т.к у меня идет развитие и новые публикации, я поставил период копирования раз в сутки. Но получил за три дня всего одно письмо с копией.
Знаешь, туда лучше заглядывать почаще. я не смотрел совсем, так у меня более 9000 плохих записей. А все эти записи записываются в базу данных. Соответственно нагрузка на сервер хостинга увеличивается и блог тормозится.
Уже сталкивался со взломами WordPress. Самый надежный способ избежать этого – поставить допустимые IP в файле .httaccess.
Ссылки в комментарии ставить не надо, все равно на модерацию уходят, а я удаляю: либо только ссылку, либо весь коммент.
Насчет .httaccess – а он что, самое неуязвимое место на сайте? Его взломать никак нельзя?
По поводу ссылки – пардон, я думал, что она автоматически преобразуется в нечто подобное тому, что оставляют остальные авторы комментариев.
По поводу .httaccess – если права на него установлены правильно, то для его, как Вы выразились, “взлома” придется искать уязвимости на сервере, а не в CMS, что обычно более трудозатратное мероприятие, т.к. за сервера, в большинстве случаев, отвечают провайдеры хостинг-услуг головой.
Спасибо за подробное описание. Оно несколько подробней, чем было у меня и еще сам напереводил кое-что. Теперь довел настройку этого плагина до лучших кондиций. А так как сильных атак взломщиков я еще не наблюдал,то установил пока более мягкие настройки. Поживем-посмотрим, ужесточим.
Сегодня, после вчерашней чистки, получил копию! Значит надо чаще смотреть эту вкладку.
Спасибо!
Будем пробовать этот плагин. Давно ищу что нибудь путевое для защиты вордпресса, да и что бы сильно хостинг не грузило.
Здравствуйте. Потерял ссылку на вход с кодовым словом. Можете привести пример ссылки на вход, заменив “site” и кодовое слово звездочками?
Если Вы имеете в виду вход в админ-панель, то просто в адресе заменяете wp-admin на свое кодовое слово. Если я поняла Вас неправильно, пожалуйста, уточните свой вопрос
Нина, отличная статья о плагине Better WP Security. Устанавливала его полгода назад под руководством знакомого. Плагин часто выдает какие-то предупреждения, ошибки, например, при обновлении плагинов. Не дает удалить другие плагины.
У меня вопросы, буду признательна за ответ:
1. Нужно ли отключать плагин при работе с Total Commander или при ведении каких-то изменений на блоге(обновление плагинов, настроек, редактирование архива и пр.)
2. Сейчас при входе в настройки плагина по разделам Dashboard Пользователь Away BanDir Backup Prefix HideDetect Login SSL Tweaks Logs выдает: У вас недостаточно полномочий для доступа к этой странице. Из раздела “Статус системы” открываются только оранжевые и синие строчки. Из поддержки с хостинга написали, что это уже скорее всего Ваш модуль безопасности начудил и убрал стандартный код блога.
# BEGIN Better WP Security
пропишите код в .htaccess
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
но для меня это сложно, нужна более подробная, пошаговая информация.
Спасибо.
Наталья, спасибо за комментарий. Отвечаю на вопросы:
1. По поводу того, что плагин Better WP Security выдает ошибки при обновлении плагинов и не дает удалить другие плагины, – у меня такого нет. Предупреждения да, постоянно выдает: что кто-то пытался подобраться к админке или через ошибку 404, либо об изменении файлов. Возможно, плагин конфликтует с Вашей темой или с каким-то из плагинов – к сожалению, такое бывает, потому что пишут всё это разные люди.
2. Я не отключаю плагин никогда, все изменения делаю при включенном.
3. Последний вопрос самый сложный. У меня была тоже как-то история с .htaccess – я просто сделала откат этого файла на предыдущий день, и всё заработало. Попробуйте поступить так же, потому что разбираться с тем, что начудил плагин!… – у всего иногда бывают глюки, и у него, как видно, тоже.
Нина, спасибо за ответ. Я вчера ответ так и не нашла на свою проблему и поступила как рекомендуют в наших сказках, ложись спать – утро вечера мудренее. Утром мой плагин работал. Что уж там произошло мне не в домек, да видно и не надо. Так что, чудеса встречаются.
Удачи вам!
Все бы проблемы так решались!
Вам тоже удачи!
Отлично! Спасибо Вам большое!
мне по душе плагин All In One WP Security, более удобнее не видел
Не возражаю
Кому что нравится!..