Здравствуйте, друзья! Сегодня рассмотрим вопрос о том, как защитить сайт на wordpress. Я для этих целей предлагаю вам воспользоваться плагином WP-Security. Вы узнаете как его правильно настроить. Плагин почти полностью на русском языке, но настроек достаточно много. Если переборщить, то сайт будет работать некорректно. Сразу оговорюсь, что здесь мы говорим о защите от взлома. О том как защитить сайт от спама читайте здесь.
Когда вы только начали создавать сайт, предполагать, что он никому не нужен наивно и неправильно. В большинстве случае его взламывают не люди, а программы. Ниже на скриншоте фрагмент моей консоли. Количество попыток взлома впечатляет.
Несмотря на то, что при каждом обновлении движка его характеристики улучшаются, вопрос о том как защитить сайт на wordpress остаётся открытым. Это связано с тем, что и хакерские программы тоже не стоят на месте. Они совершенствуются. Для защиты сайтов существует множество плагинов. Я сначала пользовался другим. Но потом выбрал WP-Security и не жалею об этом.
Как защитить сайт на wordpress с WP-Security
Установка плагина
Плагин устанавливается стандартным способом. Полное название плагина All ln One WP Security & Firewall. Думаю, что установка и активация для вас труда не составят. Перейдём сразу к настройкам.
После активации у вас в панели появится кнопка WP-Security. Кликнув по ней вы попадаете в панель управления. На счётчике видно, что защита моего сайта составляет 240 из 505 возможных баллов.
Стремиться к большому количеству баллов не нужно. 220-250 баллов это хорошая степень защиты. После всех настроек посмотрите сколько баллов у вас.
Тут же находятся вкладки с информацией о системе, заблокированными адресами, списком блокировки и журналами. Здесь настраивать ничего не нужно. В панели консоли под надписью WP-Security у нас открылись все страницы плагина. Начинаем переходить по ним.
Настройки плагина
Переходим в настройки. В общих настройках создаём на всякий случай резервные копии.
Ниже находятся кнопки отключения функций безопасности и файерволла. Вообще плагин хорош тем, что рядом с каждой кнопкой находятся пояснения. Вы сами можете решить нужна вам та или иная функция, или нет.
На следующих двух вкладках можно создать и скачать резервные копии файлов и восстановить их из этих резервных копий.
Переходим на вкладку Информация версии WP. Ставим галку. Не забываем сохранить изменения.
Вкладка Импорт/Экспорт нужна для переноса ваших настроек на другие ваши сайты. Вкладка расширенные настройки не нужна. В левой панели переходим в Администраторы.
Во вкладках Пользовательское имя WP и отображаемое имя обязательно меняем имена.
Новые имена нужно сохранить там где вы их сможете найти. Во вкладке пароль подбираем надёжный пароль. Для этого просто вводим его в поле. Подобрать пароль для взлома которого понадобиться лет пятьсот несложно. Дальше переходим в авторизацию.
Во вкладке Блокировка авторизаций проставляем галочки где это необходимо. Числа лучше оставить по умолчанию. У меня это выглядит так.
Во вкладке Ошибочные попытки авторизации можно увидеть логины которые подбирают при попытке взлома. Во вкладке Разлогинивание пользователей можно задать время для нахождения на вашем сайте. Но это в том случае, если для входа на сайт нужна авторизация. По истечении заданного времени пользователю предложат заново ввести логин и пароль. Я этим не пользуюсь.
В следующих двух вкладках настроек нет. Они нужны для информации. Переходим в регистрацию пользователя. Если у вас на сайте есть регистрация ставим галки в нужных местах. Там всё понятно написано. Я, опять же, этим не пользуюсь.
Следующий пункт это Защита базы данных. В первой вкладке меняем префикс. Это надо сделать обязательно.
Перед этим на всякий случай делаем резервное копирование. Во второй вкладке задаём частоту копирования БД и вводим адрес электронной почты, если хотим получать копии на него.
Далее переходим в защиту файловой системы. В первой вкладке устанавливаем разрешения доступа к файлам. Всё просто. Если выделено красным цветом кликнем на Рекомендуемое действие и плагин всё делает сам.
Во второй вкладке можно запретить редактирование файлов php. Я это не делаю, так как файлы иногда редактировать приходится. В третьей вкладке запрещаем доступ к информационным файлам WP. Галку ставим обязательно. Четвёртая вкладка пока не нужна, она информационная.
В разделе WHOIS-поиск можно получить детальную информацию об определённом IP адресе или домене.
В разделе Чёрный список можно задать адреса для отказа в доступе. Но пользоваться нужно аккуратно. Я не пользуюсь.
Следующий раздел Файрволл. В первой вкладке Базовые правила нужно быть внимательным. При активации основных функций брандмауэра вы не сможете загружать файлы более 10 МВ. Но вообще галку лучше поставить. В пункте полностью блокировать доступ к XMLRPC я галку не ставлю, так как плагин вступает в конфликт с Jetpack. В пункте Блокировать доступ к файлу журнала отладки галка нужна однозначно.
Во вкладке Дополнительные правила файрволла можно смело ставить галки везде. То же самое делаем во вкладке правила чёрного списка 6G. Во вкладке Интернет-боты всё написано. Я галку поставил. Но это не обязательно. Во вкладке Предотвратить хотлинки галку ставим. Во вкладке Детектирование 404 галку ставим, значения можно оставить по умолчанию.
Пользовательские правила это только для продвинутых. Нам они не нужны.
Переходим в защиту от брутфорс-атак. Во вкладке Переименовать страницу логина внимательно всё читаем. Страницу лучше переименовать. Во вкладке защита от брутфорс-атак с помощью куки лучше оставить всё как есть. Во вкладке CAPTCHA на логин можно установить капчу в форму авторизации и регистрации если они есть. Я не пользуюсь.
Во вкладке Белые адреса ничего не трогайте. Ну, или на своё усмотрение. Только внимательно всё прочитайте. Во вкладке Бочка с мёдом смело ставьте галку. Эта функция включает поле видимое только ботам. При заполнении этого поля бот будет заблокирован.
Переходим в раздел Защита от SPAM. В первой вкладке Спам в комментариях можно установить капчу для комментариев. Я не пользуюсь. В пункте Блокировать спам ботов от комментирования галку нужно поставить. Во вкладке отслеживание IP-адресов включаем автоматическую блокировку спам-комментариев и задаём минимальное число таких комментариев. Я поставил 2.
Следующие две вкладки актуальны только если у вас установлен плагин Buddy Press. У меня его нет. Он как-то не особо нужен.
В разделе Сканер можно просканировать сайт чтобы увидеть изменения в файлах. Сканирование вредоносных программ производится за деньги. Но это, в принципе, не нужно, так как сейчас достаточно много онлайн-сервисов которые делают то же самое бесплатно.
В разделе Режим обслуживания можно сделать активной функцию блокировки посетителей на время технических работ. К примеру на то время когда вы меняете шаблон или что-то в таком роде. В поле можно ввести текст который посетители будут видеть при заходе на сайт. Извиниться за доставленные неудобства и сообщить, что работы производятся для пользы читателей.
В разделе Разное в первой вкладке можно включить защиту от копирования блокировкой правой кнопки мыши. Делать это я не рекомендую. Подробней читайте здесь. Во вкладке Фреймы галку ставим обязательно. Во вкладке перечисление пользователей галку также ставим. В последней вкладке ничего не трогаем, так как включение данной функции может вызвать конфликт с некоторыми плагинами.
Всё. Настройки завершены. Можно возвращаться к началу в панель управления. Смотрим на счётчик. Если значение больше 220, значит всё в порядке. Вопрос о том как защитить сайт на wordpress снят с повестки дня.
На этом у меня всё. Всем удачной защиты и до встречи!
Настроек много, но справился быстро. Получилось 242. Будем надеятся, что это надёжная защита.