iThemes Security Настройка плагина и защита сайта WordPress

Приветствую вас, читатели блога! Сегодня у нас важная тема - защита сайта WordPress от различных методов взлома и хакерских атак. А поможет нам в этом лучший плагин в своей области iThemes Security. Кстати, он модульный.

Хостинг Timeweb

Сразу предупреждаю, настроек много. Мы рассмотрим все модули. Так что наберитесь терпения. Сделать это очень важно. Мы же не хотим отдать свой ресурс в руки недоброжелателей?

Поэтому сделаем обзор, разберём подробную инструкцию, выполним настройки плагина и будем спать спокойно. 

Установка iThemes Security

Для начала сделаем установку плагина защиты. Как обычно, заходим в админке в раздел Плагины → Добавить новый. И в строке поиска вводим название iThemes Security. Появится наш защитник:

iThemes Security установка плагина защиты сайта Вордпресс

Нажимаем кнопку Установить и сразу Активировать. После этого он появится в виде отдельного раздела под названием Security. Наводим курсор и в выпадающем меню выбираем Настройки.

iThemes Security - настройки

Перед нами откроется окно с прямоугольными вкладками - модулями. Если пролистать ниже, то будут и неактивные. Это для платной версии. Но нам вполне хватит и того, что есть. Начнём по порядку.

Security Check

И открываем первый модуль Security Check, нажав на кнопку Показать детали.

Открыть вкладку Security Check

Собственно, он для быстрой настройки плагина. Если в открывшемся окне нажать Secure Site, то выполнится подключение основных функций защиты. Они перечислены, и также будут в отдельных разделах ниже.

Security Check раздел настроек плагина защиты

Но я не рекомендую включать быструю активацию защиты. А лучше будет рассмотреть всё, чтобы настроить индивидуально под свой сайт. И в дальнейшем избежать проблем. Поэтому просто нажимаем на кнопку Close или крестик и закрываем этот раздел.

Основные настройки

Чтобы открыть следующую вкладку, жмём Configure Settings.

Основные настройки плагина iThemes Security

Для удобства окно основных настроек я поделила на блоки.

Вносить изменения в файлы - ставим галочку, чтобы не вносить вручную параметры конфигурации в файлы wp-config.php и .htaccess.

Сообщение при блокировке хоста - можете ввести текст, который будет отображаться при блокировке.

iThemes Security основные настройки

Сообщение при блокировке пользователя. Я оставила текст по умолчанию.

Сообщение заблокированному сообществу. Также можно оставить по умолчанию.

Сообщения при блокировке

Чёрный список рецидивистов - рекомендую активировать опцию для блокировки злоумышленников. А ниже параметры для них:

  • Порог чёрного списка - 3 блокировки для одного IP-адреса
  • Чёрный список контрольного периода - 7 дней срок хранения информации о блокировке
  • Период блокировки - 15 минут рекомендуемое время

Параметры для блокировки злоумышленников

Белый список блокировки - можете добавить свой IP-адрес. Для этого нажмите синюю кнопку Add my current IP to the White list.

Белый список в настройках плагина защиты сайта

Тип журнала событий - для небольшого сайта подойдёт хранение логов в базе данных. А для большого лучше выбрать файл.

Сколько дней хранить журналы базы данных - 60 дней вполне достаточно для хранения.

Разрешить отслеживание данных - не стала активировать отслеживание работы плагина.

Настройка журнала хранения данных iThemes Security

Proxy Detection - оставляем значение Automatic по умолчанию.

Скрыть меню безопасности в админ панели - скрывать не стала.

Show Error Codes - разработчики iThemes Security рекомендуют нам оставить значение No(default).

Настройка Proxy iThemes Security

На этом основные настройки закончены. Жмём кнопку Save Settings. И переходим в следующий раздел.

Notification Center

Менеджер настроек уведомлений по электронной почте от iThemes Security, связанных с работой модулей.

Notification Center настройки плагина защиты сайта

From Email - вводите адрес или оставляете пустым, чтобы использовать настройки WordPress.

Default Recipients - здесь определяете получателей.

iThemes Security настройки уведомлений по электронной почте о работе модулей плагина

Database Backup - наименование объекта и адрес электронной почты для отправки резервных копий сайта.

Настройка электронной почты для уведомлений о резервном копировании

File Change - настройка уведомлений о произошедших изменениях в файлах.

File Change настройки плагина защиты

Security Digest - сводка о безопасности ежедневная или еженедельная.

Security Digest сводка о безопасности

Site Lockouts - уведомления о блокировке пользователя или хоста.

Site Lockouts уведомления о блокировке

Далее сохраняем настройки и переходим к следующему модулю.

Отслеживание ошибки 404

Отслеживание ошибки 404

В разделе подробно описывается данная функция и само значение ошибки 404, поэтому сразу перейдём к настройкам.

Задаём 5 минут для хранения информации об ошибке 404 и порог с количеством по умолчанию 20. Но можно установить 0, чтобы записывать и не блокировать при этом.

iThemes Security настройка отслеживания 404 ошибки

Белый список файлов и папок для ошибки 404 - я оставила по умолчанию.

Игнорировать типы файлов - также оставляю заданные значения.

Игнорировать типы файлов в настройках 404 плагина защиты

Пользователь с правами администратора

Пользователь с правами администратора - настройка защиты сайта

Модуль содержит предупреждение о возможном конфликте с другими плагинами. Поэтому при использовании данной функции предварительно необходимо создать резервную копию.

Позволяет заменить логин admin на уникальное имя при авторизации на сайте.

Пользователь с правами администратора

Режим "Нет на месте"

Режим "Нет на месте" настройки плагина защита сайта

Данные параметры позволят вам отключить доступ к консоли WordPress в указанное время.

iThemes Security - Режим "Нет на месте"

Заблокированные пользователи

iThemes Security - Заблокированные пользователи

Чёрный список по умолчанию - активируем чёрный список от сайта HackRepair.com.

Ban Lists - возможность включить и самостоятельно дописать хосты, подлежащие блокировке.

iThemes Security модель Заблокированные пользователи

Запретить доступ клиентским приложениям (User agent) - также можно ограничить доступ для определённых приложений.

Запретить доступ клиентским приложениям (User agent)

Изменить место хранения контента

Расширенная функция переименования каталога wp-content на другое имя.

Изменить место хранения контента

New Directory Name - поле для ввода нового имени каталога. 

New Directory Name

Но перед началом работы с данным модулем необходимо хорошо ознакомиться с предупреждениями о возможных последствиях. Это очень важно. Поэтому, в случае несоответствия требованиям, лучше не трогайте этот раздел.

Change Database Table Prefix

Здесь можно изменить префикс таблицы базы данных, который использует WordPress.

Change Database Table Prefix

Change Prefix - поле для ввода нового префикса. Нужно выбрать значение "да".

Change Prefix

Также рекомендуется максимально осторожно использовать эту функцию, сделав копию сайта. Или не использовать вовсе.

Резервные копии базы данных

Этот модуль позволит вам создавать резервные копии сайта вручную или по заданному расписанию.

Резервные копии базы данных - настройка плагина iThemes Security

Create a Database Backup - при нажатии на синюю кнопку создаётся резервная копия по заданным ниже настройкам.

iThemes Security - настройки резервного копирования

Резервная копия всей базы данных - копия всех таблиц базы данных.

Способ хранения резервной копии - выбираете e-mail, локально или оба варианта.

Количество резервных копий - 0 сохраняет все копии. Но лучше задать иное значение - например, 2 или 3.

Сжимать файлы резервных копий - активируем опцию сжатия в формате zip.

Таблицы с данными, для которых нет необходимости создавать резервную копию

Исключить таблицы - список тех, для которых не нужно создавать резервные копии. Например, журналы.

Создать расписание резервного копирования базы данных - активируем опцию галочкой.

Периодичность резервного копирования - задаём количество дней.

Периодичность резервного копирования

Обнаружение изменений файлов

Обнаружение изменений файлов

Наверху имеется синяя кнопка для сканирования файлов в любое удобное время. А ниже идёт список файлов и папок, который вы можете изменить, исключив ненужные.

Обнаружение изменений файлов в настройках плагина защиты

Кроме того, можно сделать фильтрацию по типу файлов.

File Permissions

Данный модуль является информационным и настройки не требует. Он показывает степень защищённости файлов.

File Permissions

Спрятать страницу входа на сайт

Этот раздел позволяет скрыть страницу входа, изменив её имя и запретив доступ к wp-login.php и wp-admin.

Спрятать страницу входа на сайт

Используйте на своё усмотрение. Только новый адрес надо хорошо запомнить, а лучше, записать.

Спрятать страницу входа на сайт - ставим галочку для открытия настроек.

Спрятать страницу входа на сайт  iThemes Security

Ссылка на страницу входа - вводите новое имя (латинские символы), которое должно всегда быть у вас в памяти.

Enable Redirection - настройка редиректа (перенаправления) вместо ошибки 403.

Redirection Slug - перенаправление пользователей, пытающихся получить доступ к wp-admin.

Пользовательское действие входа в систему - для ввода специальных действий по назначению других плагинов.

Local Brute Force Protection

Защита от злоумышленников, пытающихся угадать пароль для входа.

Local Brute Force Protection

Максимальное количество попыток входа для одного хоста - задайте число, например, 5.

iThemes Security Local Brute Force Protection

Максимальное количество попыток входа для одного пользователя - также произвольное число.

Сколько минут хранить информацию о неудачной попытке входа (период проверки) - по умолчанию стоит 5 минут.

Автоматически запретить пользователя "admin" - отмечаете пункт по желанию.

Network Brute Force Protection

Модуль даёт возможность вашему плагину iThemes Security распознавать IP-адреса, с которых уже были приняты попытки взломов по отношению к другим пользователям. И, конечно же, запретить им доступ к вашему сайту.

Network Brute Force Protection

Для этого необходимо установить API-ключ и галочкой активировать данную опцию.

iThemes Security Network Brute Force Protection

Password Requirements

Управление и настройка требований к паролям для пользователей.

Password Requirements

Активировав опцию, вы заставите пользователя придумать надёжный пароль. Именно так, как того требуют стандарты WordPress.

Password Requirements iThemes Security

Также выбираете минимальную роль. То есть, уровень, для кого будет работать требование сложного пароля.

SSL

Настройка использования SSL для обеспечения безопасности связи между браузерами и сервером.

SSL раздел плагина iThemes Security

Есть подробная статья о настройках при переходе с http на https при установке сертификата безопасности SSL на сайт. Так вот, в этом разделе можно настроить редирект со всех адресов http на https.

Redirect All HTTP Page Requests to HTTPS - выбираем значение:

  • Disabled - отключено
  • Enabled - включить редирект
  • Advanced - включить с дополнительными настройками

Переход с http на https - вкладка SSL в настройках плагина защиты сайта

При выборе значения Advanced откроются дополнительные настройки:

значение Advanced при установке редиректа на https в настройках плагина защиты во вкладке SSL

Режим SSL в пользовательской части сайта - определённый контент, весь сайт или выключить.

SSL для консоли управления - ставим галочку, если хотим использовать SSL в админке.

Тонкая подстройка системы

Дополнительные параметры, повышающие безопасность путём изменения конфигурации сервера для данного сайта.

Тонкая подстройка системы

Внимательно читаем предупреждения и рекомендации и смотрим, какие возможности у нас есть:

  • Защита системных файлов
  • Отключение просмотра каталогов
  • Отсеивание методов запроса
  • Отсеивание подозрительных запросов в URL
  • Фильтрация нелатинских символов
  • Отсеивание длинных URL
  • Запрет на внесение изменений в файлы
  • Деактивация PHP в папке Uploads
  • Отключение PHP в плагинах
  • Отключение PHP в папке установленной темы

Тонкая подстройка системы iThemes Security

Замечательные функции, которые позволяют блокировать хакерские атаки. Но использовать нужно с максимальной осторожностью.

WordPress Соли

Добавление секретного ключа. Эта функция делает ваш сайт более трудным для взлома и доступа, добавляя случайные элементы к паролю.

WordPress Соли

Изменить WordPress Соли - ставите галочку для изменения и сохраняете настройки. Но учтите, что произойдёт выход из WordPress. При активации придётся войти заново.

Изменить WordPress Соли iThemes Security

Подстройка WordPress

Расширенные настройки, которые улучшают безопасность, изменяя поведение WordPress по умолчанию. И позволяют блокировать распространённые формы хакерских атак. Также используем с осторожностью, проверяя периодически работу сайта.

Подстройка WordPress

Ссылка для Windows Live Writer - удаляет ссылку для подключения данного редактора блогов. Ставите галочку, если не используете его.

Ссылка EditURL - удаляет ссылку из заголовка на сервисы, например, Flickr.

Спам комментарий - отклоняет комментарии от ботов. Также можно отметить.

Редактор файлов - если редактируете файлы из админки, то не ставьте галочку.

Подстройка WordPress в плагине iThemes Security

XML-RPC - рекомендуется, если вы не используете Jetpack, мобильные приложения WordPress, пингбэки или другие сервисы, использующие XML-RPC. А если они есть, то включите. Впрочем, об этом даётся подробное описание.

 iThemes Security XML-RPC

Множественные попытки авторизации запросом XML-RPC - заблокируйте их.

REST API - рекомендуется выбрать Restricted Access, это ограничит доступ к данным.

Множественные попытки авторизации запросом XML-RPC

Сообщения при неудачной попытке входа - функция отключает сообщение о неудачной попытке.

Требовать уникальные ники - ник, отличный от имени пользователя.

Отключает дополнительные пользовательские архивы - усложняет ботам задачу узнавать имена пользователей.

Сообщения при неудачной попытке входа  iThemes Security

Protect Against Tabnapping - защита посетителей сайта от фишинговых атак.

Login with Email Address or Username - вход с помощью адреса электронной почты и имени пользователя. Здесь 3 значения на выбор:

  • Email Address and Username (Default) - применение эл. почты и имени по умолчанию
  • Email Address Only - только адрес, без имени
  • Username Only - пользователи входят, используя только имя

Можете оставить значение по умолчанию.

Mitigate Attachment File Traversal Attack - активируйте опцию для смягчения атак.

Protect Against Tabnapping  iThemes Security

Server Config Rules

Правила конфигурации сервера. Данный модуль содержит правила, которые можно скопировать и вставить в файл конфигурации сервера. Это на тот случай, когда нужно внести данные вручную. 

Server Config Rules iThemes Security

Но если у вас нет определённых навыков и понимания написанного, лучше не трогать этот модуль.

Правила wp-config.php

То же самое, что в предыдущем разделе, но касается правил wp-config.php.

 iThemes Security Правила wp-config.php

Логи iThemes Security

На этом с настройками покончено. Остальные в платной версии. А кроме этого, у вас будет возможность отслеживать работу плагина. Все действия можно посмотреть в журнале.

Например, там будут записываться ошибки 404 и IP-адреса. Для этого зайдите в раздел Логи, это одна из вкладок плагина iThemes Security. Или нажмите наверху в разделе модулей кнопку Просмотр журналов.

А пока всё. Увидимся на следующих уроках! 😉

Полезна будет также установка на сайт формы подписки на рассылку с плагином WP Email Capture.

А ускорить свой ресурс вы сможете, легко настроив a3 Lazy Load.

Комментарии 2

  • Как у вас понятно и ясно все описано, я при каждом случае сбоя плагина захожу на вашу страничку и по ней настраиваю его. Отличная работа, спасибо!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *