iThemes Security Настройка плагина и защита сайта WordPress

Приветствую вас, читатели блога! Сегодня у нас важная тема - защита сайта WordPress от различных методов взлома и хакерских атак. А поможет нам в этом лучший плагин в своей области iThemes Security. Кстати, он модульный.

Сразу предупреждаю, настроек много. Мы рассмотрим все модули. Так что наберитесь терпения. Сделать это очень важно. Мы же не хотим отдать свой ресурс в руки недоброжелателей?

Поэтому сделаем обзор, разберём подробную инструкцию, выполним настройки плагина и будем спать спокойно. 

Установка iThemes Security

Для начала сделаем установку плагина защиты. Как обычно, заходим в админке в раздел Плагины → Добавить новый. И в строке поиска вводим название iThemes Security. Появится наш защитник:

Нажимаем кнопку Установить и сразу Активировать. После этого он появится в виде отдельного раздела под названием Security. Наводим курсор и в выпадающем меню выбираем Настройки.

iThemes Security - настройки

Перед нами откроется окно с прямоугольными вкладками - модулями. Если пролистать ниже, то будут и неактивные. Это для платной версии. Но нам вполне хватит и того, что есть. Начнём по порядку.

Security Check

И открываем первый модуль Security Check, нажав на кнопку Показать детали.

Собственно, он для быстрой настройки плагина. Если в открывшемся окне нажать Secure Site, то выполнится подключение основных функций защиты. Они перечислены, и также будут в отдельных разделах ниже.

Но я не рекомендую включать быструю активацию защиты. А лучше будет рассмотреть всё, чтобы настроить индивидуально под свой сайт. И в дальнейшем избежать проблем. Поэтому просто нажимаем на кнопку Close или крестик и закрываем этот раздел.

Основные настройки

Чтобы открыть следующую вкладку, жмём Configure Settings.

Для удобства окно основных настроек я поделила на блоки.

Вносить изменения в файлы - ставим галочку, чтобы не вносить вручную параметры конфигурации в файлы wp-config.php и .htaccess.

Сообщение при блокировке хоста - можете ввести текст, который будет отображаться при блокировке.

Сообщение при блокировке пользователя. Я оставила текст по умолчанию.

Сообщение заблокированному сообществу. Также можно оставить по умолчанию.

Чёрный список рецидивистов - рекомендую активировать опцию для блокировки злоумышленников. А ниже параметры для них:

• Порог чёрного списка - 3 блокировки для одного IP-адреса
• Чёрный список контрольного периода - 7 дней срок хранения информации о блокировке
• Период блокировки - 15 минут рекомендуемое время

Белый список блокировки - можете добавить свой IP-адрес. Для этого нажмите синюю кнопку Add my current IP to the White list.

Тип журнала событий - для небольшого сайта подойдёт хранение логов в базе данных. А для большого лучше выбрать файл.

Сколько дней хранить журналы базы данных - 60 дней вполне достаточно для хранения.

Разрешить отслеживание данных - не стала активировать отслеживание работы плагина.

Proxy Detection - оставляем значение Automatic по умолчанию.

Скрыть меню безопасности в админ панели - скрывать не стала.

Show Error Codes - разработчики iThemes Security рекомендуют нам оставить значение No(default).

На этом основные настройки закончены. Жмём кнопку Save Settings. И переходим в следующий раздел.

Notification Center

Менеджер настроек уведомлений по электронной почте от iThemes Security, связанных с работой модулей.

From Email - вводите адрес или оставляете пустым, чтобы использовать настройки WordPress.

Default Recipients - здесь определяете получателей.

Database Backup - наименование объекта и адрес электронной почты для отправки резервных копий сайта.

File Change - настройка уведомлений о произошедших изменениях в файлах.

Security Digest - сводка о безопасности ежедневная или еженедельная.

Site Lockouts - уведомления о блокировке пользователя или хоста.

Далее сохраняем настройки и переходим к следующему модулю.

Отслеживание ошибки 404

В разделе подробно описывается данная функция и само значение ошибки 404, поэтому сразу перейдём к настройкам.

Задаём 5 минут для хранения информации об ошибке 404 и порог с количеством по умолчанию 20. Но можно установить 0, чтобы записывать и не блокировать при этом.

Белый список файлов и папок для ошибки 404 - я оставила по умолчанию.

Игнорировать типы файлов - также оставляю заданные значения.

Пользователь с правами администратора

Модуль содержит предупреждение о возможном конфликте с другими плагинами. Поэтому при использовании данной функции предварительно необходимо создать резервную копию.

Позволяет заменить логин admin на уникальное имя при авторизации на сайте.

Режим "Нет на месте"

Данные параметры позволят вам отключить доступ к консоли WordPress в указанное время.

Заблокированные пользователи

Чёрный список по умолчанию - активируем чёрный список от сайта HackRepair.com.

Ban Lists - возможность включить и самостоятельно дописать хосты, подлежащие блокировке.

Запретить доступ клиентским приложениям (User agent) - также можно ограничить доступ для определённых приложений.

Изменить место хранения контента

Расширенная функция переименования каталога wp-content на другое имя.

New Directory Name - поле для ввода нового имени каталога. 

Но перед началом работы с данным модулем необходимо хорошо ознакомиться с предупреждениями о возможных последствиях. Это очень важно. Поэтому, в случае несоответствия требованиям, лучше не трогайте этот раздел.

Change Database Table Prefix

Здесь можно изменить префикс таблицы базы данных, который использует WordPress.

Change Prefix - поле для ввода нового префикса. Нужно выбрать значение "да".

Также рекомендуется максимально осторожно использовать эту функцию, сделав копию сайта. Или не использовать вовсе.

Резервные копии базы данных

Этот модуль позволит вам создавать резервные копии сайта вручную или по заданному расписанию.

Create a Database Backup - при нажатии на синюю кнопку создаётся резервная копия по заданным ниже настройкам.

Резервная копия всей базы данных - копия всех таблиц базы данных.

Способ хранения резервной копии - выбираете e-mail, локально или оба варианта.

Количество резервных копий - 0 сохраняет все копии. Но лучше задать иное значение - например, 2 или 3.

Сжимать файлы резервных копий - активируем опцию сжатия в формате zip.

Исключить таблицы - список тех, для которых не нужно создавать резервные копии. Например, журналы.

Создать расписание резервного копирования базы данных - активируем опцию галочкой.

Периодичность резервного копирования - задаём количество дней.

Обнаружение изменений файлов

Наверху имеется синяя кнопка для сканирования файлов в любое удобное время. А ниже идёт список файлов и папок, который вы можете изменить, исключив ненужные.

Кроме того, можно сделать фильтрацию по типу файлов.

File Permissions

Данный модуль является информационным и настройки не требует. Он показывает степень защищённости файлов.

Спрятать страницу входа на сайт

Этот раздел позволяет скрыть страницу входа, изменив её имя и запретив доступ к wp-login.php и wp-admin.

Используйте на своё усмотрение. Только новый адрес надо хорошо запомнить, а лучше, записать.

Спрятать страницу входа на сайт - ставим галочку для открытия настроек.

Ссылка на страницу входа - вводите новое имя (латинские символы), которое должно всегда быть у вас в памяти.

Enable Redirection - настройка редиректа (перенаправления) вместо ошибки 403.

Redirection Slug - перенаправление пользователей, пытающихся получить доступ к wp-admin.

Пользовательское действие входа в систему - для ввода специальных действий по назначению других плагинов.

Local Brute Force Protection

Защита от злоумышленников, пытающихся угадать пароль для входа.

Максимальное количество попыток входа для одного хоста - задайте число, например, 5.

Максимальное количество попыток входа для одного пользователя - также произвольное число.

Сколько минут хранить информацию о неудачной попытке входа (период проверки) - по умолчанию стоит 5 минут.

Автоматически запретить пользователя "admin" - отмечаете пункт по желанию.

Network Brute Force Protection

Модуль даёт возможность вашему плагину iThemes Security распознавать IP-адреса, с которых уже были приняты попытки взломов по отношению к другим пользователям. И, конечно же, запретить им доступ к вашему сайту.

Для этого необходимо установить API-ключ и галочкой активировать данную опцию.

Password Requirements

Управление и настройка требований к паролям для пользователей.

Активировав опцию, вы заставите пользователя придумать надёжный пароль. Именно так, как того требуют стандарты WordPress.

Также выбираете минимальную роль. То есть, уровень, для кого будет работать требование сложного пароля.

SSL

Настройка использования SSL для обеспечения безопасности связи между браузерами и сервером.

Есть подробная статья о настройках при переходе с http на https при установке сертификата безопасности SSL на сайт. Так вот, в этом разделе можно настроить редирект со всех адресов http на https.

Redirect All HTTP Page Requests to HTTPS - выбираем значение:

• Disabled - отключено
• Enabled - включить редирект
• Advanced - включить с дополнительными настройками

При выборе значения Advanced откроются дополнительные настройки:

Режим SSL в пользовательской части сайта - определённый контент, весь сайт или выключить.

SSL для консоли управления - ставим галочку, если хотим использовать SSL в админке.

Тонкая подстройка системы

Дополнительные параметры, повышающие безопасность путём изменения конфигурации сервера для данного сайта.

Внимательно читаем предупреждения и рекомендации и смотрим, какие возможности у нас есть:

• Защита системных файлов
• Отключение просмотра каталогов
• Отсеивание методов запроса
• Отсеивание подозрительных запросов в URL
• Фильтрация нелатинских символов
• Отсеивание длинных URL
• Запрет на внесение изменений в файлы
• Деактивация PHP в папке Uploads
• Отключение PHP в плагинах
• Отключение PHP в папке установленной темы

Замечательные функции, которые позволяют блокировать хакерские атаки. Но использовать нужно с максимальной осторожностью.

WordPress Соли

Добавление секретного ключа. Эта функция делает ваш сайт более трудным для взлома и доступа, добавляя случайные элементы к паролю.

Изменить WordPress Соли - ставите галочку для изменения и сохраняете настройки. Но учтите, что произойдёт выход из WordPress. При активации придётся войти заново.

Подстройка WordPress

Расширенные настройки, которые улучшают безопасность, изменяя поведение WordPress по умолчанию. И позволяют блокировать распространённые формы хакерских атак. Также используем с осторожностью, проверяя периодически работу сайта.

Ссылка для Windows Live Writer - удаляет ссылку для подключения данного редактора блогов. Ставите галочку, если не используете его.

Ссылка EditURL - удаляет ссылку из заголовка на сервисы, например, Flickr.

Спам комментарий - отклоняет комментарии от ботов. Также можно отметить.

Редактор файлов - если редактируете файлы из админки, то не ставьте галочку.

XML-RPC - рекомендуется, если вы не используете Jetpack, мобильные приложения WordPress, пингбэки или другие сервисы, использующие XML-RPC. А если они есть, то включите. Впрочем, об этом даётся подробное описание.

Множественные попытки авторизации запросом XML-RPC - заблокируйте их.

REST API - рекомендуется выбрать Restricted Access, это ограничит доступ к данным.

Сообщения при неудачной попытке входа - функция отключает сообщение о неудачной попытке.

Требовать уникальные ники - ник, отличный от имени пользователя.

Отключает дополнительные пользовательские архивы - усложняет ботам задачу узнавать имена пользователей.

Protect Against Tabnapping - защита посетителей сайта от фишинговых атак.

Login with Email Address or Username - вход с помощью адреса электронной почты и имени пользователя. Здесь 3 значения на выбор:

• Email Address and Username (Default) - применение эл. почты и имени по умолчанию
• Email Address Only - только адрес, без имени
• Username Only - пользователи входят, используя только имя

Можете оставить значение по умолчанию.

Mitigate Attachment File Traversal Attack - активируйте опцию для смягчения атак.

Server Config Rules

Правила конфигурации сервера. Данный модуль содержит правила, которые можно скопировать и вставить в файл конфигурации сервера. Это на тот случай, когда нужно внести данные вручную. 

Но если у вас нет определённых навыков и понимания написанного, лучше не трогать этот модуль.

Правила wp-config.php

То же самое, что в предыдущем разделе, но касается правил wp-config.php.

Логи iThemes Security

На этом с настройками покончено. Остальные в платной версии. А кроме этого, у вас будет возможность отслеживать работу плагина. Все действия можно посмотреть в журнале.

Например, там будут записываться ошибки 404 и IP-адреса. Для этого зайдите в раздел Логи, это одна из вкладок плагина iThemes Security. Или нажмите наверху в разделе модулей кнопку Просмотр журналов.

А пока всё. Увидимся на следующих уроках! 😉

Полезна будет также установка на сайт формы подписки на рассылку с плагином WP Email Capture.

А ускорить свой ресурс вы сможете, легко настроив a3 Lazy Load.