На просторах интернета можно найти любую полезную информацию, но к сожалению, это ещё и благоприятная среда для деятельности злоумышленников. Разработанное ими вредоносное программное обеспечение используется как для кражи ценной информации, так и для губительного контроля над различными интернет сайтами и компьAll-In-One-WP-Securityютерами.

Есть нападение, но есть и защита. К такому универсальному защитнику WordPress относится плагин "All In One WP Security"
Плагин имеет заслуженную, хорошую репутацию у многих пользователей. К тому же его достоинство в том, что прекрасно переведен на русский язык, а значит мы имеем  полную информацию и понимание всех функций настроек.

Эта программа решает несколько направлений безопасности. Смена имени пользователя тот же вредоносный "admin".  Имеются инструменты повышения защиты пароля, блокировки доступа к сайту, защиты кода от копирования, защиты от спама, сканер безопасности и её оценка.

Имеются опции безопасности базы данных и файловой системы. Возможно резервное копирование директивного файла ".htaccess" и важнейшего файла конфигурации "wp-config.php"

Помимо этого есть возможность изменять файл ".htaccess" - несколько кликов настройки, что обеспечит глубокую защиту. Автоматическое обновление и многое другое, ниже в настройках плагина более конкретно.

Итак начнем с установки Плагина  "All In One WP Security" на наш сайт.

Нажмите на рис.

Плагин All In One WP SecurityЗаходим в панель управления WordPress

1). Клавиша "Плагины"

"Добавить новый"

2). В поле "Поиск плагинов" вписываем название - All In One WP Security

и на клавиатуре компьютера нажимаем на Ввод (Enter)

Нажмите на рис.

Установка All In One WP SecurityНесколько секунд поиска

Плагин найден.

Нажимаем на текст надпись "Установить"

Следующий шаг - Плагин установлен. Нажимаем на "Активировать"

Нажмите на рис.

Настройки WP Security

Плагин очень важный, поэтому он достойно занимает место в
колонке меню Панели управления WordPress

Клавиша "WP Security"

При наведении мышки на эту клавишу всплывает подменю всех настроек.

Их много, разберёмся со всеми в процессе настройки безопасности сайта.

______________________________________________________________________________________

(Первое) - Открываем "Панель управления" плагина

Нажмите на рис.

Статус безопасности сайтаВ данной панели управления для нас важны показания визуального информера. Зеленый сектор это уже хорошая защищённость сайта. Стремиться к максимальным показателям не рекомендую. В любом деле есть две стороны. В чем то выгадываешь в чем то проигрываешь. Можно так закрыться, что и сайт никто не увидит. И все же самую нужную защиту пусть в ущерб некоторых показателей сайта делать нужно.

Ниже информера.

Состояние статуса главных функций защиты.

На рисунке представлен начальный статус и какой в обязательном порядке мы должны получить после всех необходимых настроек. При этом показания визуального информера конечно же будут значительно выше.

Спешить и щелкать по кнопкам активации статуса не будем. В ходе настроек мы получим необходимый статус!

____________________________________________________________

(Второе) Открываем "Настройки"

Нажмите на рис.

Основные настройки All In One WP Security

Данный плагин внесет некоторые изменения в основные файлы WordPress.

Опытный пользователь,

В обязательном порядке прежде чем что либо изменять, вначале сделает резервное копирование в изменяемой программе или файле.
Так же и здесь исполняем: 

1). Резервное копирование.  Базы данных, а также файлов .htaccess и wp-config

Копирование можно проводить непосредственно с главной
страницы настроек - нажимаем на "Кнопки текст",

Так и при использовании отдельных вкладок
(верхнее меню панели "Настройки")  .htaccess и wp-config pxp

2). Во вкладке WP - Мета информация

Нажмите на рис.

WP-meta Информация

Устанавливаем галочку напротив пункта "Удаление метаданных WP Generator". Таким образом из кода сайта будет удалена информация, что он создан на базе WordPress и будет обеспечена защита от сканирования версии сайта. Далее обязательно нажимаем на кнопку

"Сохранить настройки"

3). Вкладка "Импорт/Экспорт". Вкладка будущего/прошлого.
Общепринятая процедура экспорта/ импорта своих настроек,
К примеру создаете новый сайт на котором можете не тратить время на процедуру настроек, а импортируете экспортные настройки безопасности вашего предыдущего сайта.

4). 5). Пункты Отключение функций "Безопасности" и "Файерволла"  (По необходимости). 

Возможны различные жизненные обстоятельства  отключения на некоторое время данных функций, но другие будут работать. Что то зависло, что то надо переустановить.

(Пример мы все сталкивались,когда была необходимость на несколько минут отключить наш антивирус, что бы загрузить какую то левую программу на компьютер).

Вывод: Панель "Настройки" Обеспечивает резервное копирование основных файлов до работ по активации инструментов защиты нашего сайта.

Обеспечивает импорт/экспорт готовых настроек.

Прекращает работу "WP Generator" мета данных версии сайта.

А так же решается вопрос отключения по необходимости функций безопасности и файерволла.

_______________________________________________________

(Третье) Открываем раздел подменю "Администраторы"

 

Здесь решается вопрос замены пароля и логина.

Действия совершенно одинаковые смотри "Безопасность сайта"

Если логин известен - "admin" остается только подобрать пароль. Современные программы взломают в момент.

Логин и пароль меняем в обязательном порядке.Анализ пароля

 

Во вкладке "Пароль" предоставляется очень интересная информацию о выбранном нами пароле. А именно за какой промежуток времени можно подобрать и взломать эту комбинацию пароля. Результат от нескольких секунд до тысячелетий.

Рекомендации от компаний безопасности:

В пароле желательно иметь заглавные, строчные буквы и не менее 1 цифры;

Пароль не должен состоять только из цифр;

Спецсимвол приветствуется;

Длина пароля должна быть не менее 12 знаков.

Смотри рисунок. В результате вы получите максимальную степень безопасности вашего пароля. 

 

 _______________________________________________

(Четвёртое) Авторизация

Нажмите на рис.

Блокировка авторизации

1). Блокировка авторизаций
"Включить опции блокировка авторизации". Ставим галочку.

Далее опции на рисунке означают. Если ввести пароль в течении пяти минут неправильно 3 раза, то данный IP адрес компьютера будет заблокирован на 60 минут

Опции 3, 5, 60 стоят по умолчанию. Это оптимальный вариант. Так и оставляем.

"Сразу заблокировать неверные пользовательские имена". Ставим галочку.

Пример, после смены логина "admin" на свой персональный, то при вводе любого другого логина Ip адрес будет заблокирован. Раза два я по инерции вводил старый логин  и ждал по часу не мог войти в админку, потому что был заблокирован. Поэтому с этим пунктом будьте внимательны или рискуйте не ставте галочку.

"Уведомлять по email" - На усмотрение каждого. Я, не стал ставить.

Нажимаем на кнопку "Сохранить настройки"

Нажмите на рис.

Разлогинивание пользователей

2). Автоматическое разлогинивание пользователей.

На данной вкладке ставим галочку "Включить авторазлогинивание"

Рабочий интервал работы устанавливаем 600 минут.

Нажимаем на кнопку "Сохранить настройки"

Остальные - Вкладки информационного характера:
"Ошибочные попытки авторизации" "Журнал активности аккаунта"
"Активных сессий" помогут для решения вопросов безопасности.

_________________________________________________________________

(Пятое) Регистрация пользователей

Нажмите на рис.

Регистрация пользователей

Данный раздел актуален, если на сайте активирован процесс регистрации пользователей.

На вкладке "Подтверждение вручную" Ставим галочку для пункта "Активировать ручное одобрение новых регистраций"

И Нажимаем на кнопку "Сохранить настройки"

На вкладке "CAPTCHA при регистрации" по необходимости данного атрибута ставим галочку на пункте "Активировать CAPTCHA на странице регистрации" Нажимаем на кнопку

"Сохранить настройки"

_____________________________________________________________________

(Шестое) Защита базы данных

Нажмите на рис.

bekap базы данных

Одновременно с установкой WordPress  создается база данных движка. Это различные таблицы в которых записывается вся информация о сайте (настройки, контент, комментарии, ссылки, информация о пользователях итд). Это основа работы движка.

Название каждой таблицы по умолчанию начинается с префикса "wp_" И вот эта известная однообразность небезопасна. Задача № 1 изменить префикс (сгенерировать с помощью утилиты или создать и прописать самому).

Но прежде чем что либо менять всегда и везде  необходимо создавать резервную копию. В случае проблемы можно сделать откат.

Поэтому в панели защиты базы данных открываем вкладку "Резервное копирование БД" Заполняем все поля как на рисунке. Нажимаем на кнопку"Создать бекап базы данных сейчас" и после создания бекапа внизу нажимаем на кнопку "Сохранить настройки"

Переходим на первую вкладку "Префикс таблиц БД"

Нажмите на рис.

Безопасность базы данных WordPress

Выбираем:

«Сгенерировать новый префикс таблиц БД» Ставим галочку.

Нажимаем "Изменить префикс таблиц"

Плагин сам сгенерирует и пропишет во все названия таблиц созданный им префикс что-то вроде «latil_».

Появится информация в каких файлах этот префикс прописан.

Если выйти из настроек Защиты базы данных и снова войти, вы увидите напротив строки "Сгенерировать новый префикс таблиц БД" реально действующий ваш префикс. Но уже точно не "wp_"

Итак все нормально идем дальше.

______________________________________________________________________________

(Седьмое) Защита файловой системы

Нажмите на рис.

Защита файловой системы

На первой вкладке "Доступ к файлам" нам необходимо установить соответствующий уровень прав доступа. При установке WordPress, как правило такой уровень занижен.

Плагин после своей активации, сразу же производит мониторинг соответствия этого уровня, о чем нас информирует данная вкладка.

Если какой то файл с заниженным уровнем доступа то в крайней колонке текст кнопка нас оповещает что необходимо установить рекомендуемые разрешения. Соглашаемся и нажимаем на эту кнопку

Реально изначально такое действие необходимо для всех файлов. Наша задача в результате увидеть Рекомендуемое действие - что действие не требуется.

Нажмите на рис.

Редактирование файла PHP

Следующая вкладка "Редактирование файлов PHP"

Во первых править файлы PHP через панель управления WordPress себе дороже. Что то сделали не так обратного возврата нет (CTRL+Z) не работает. Такими делами пусть занимаются профессионалы. А вот безопасность занижена, если есть такая возможность правки.

Ставим галочку "Отключить возможность редактирования файлов PHP"

и нажимаем на кнопку "Сохранить настройки"

Аналогично для следующей вкладки "Доступ к файлам WP"

 Ставим галочку "Запретить доступ к информационным файлам, создаваемых по умолчанию при установке WordPress.:"

Нажимаем на кнопку "Сохранить настройки"

Вкладка "Системные журналы" ничего не трогаем.

________________________________________________________________________________

(Восьмое) WHOIS - поиск

WHOIS (от англ. Кто это?) На этой вкладке настроек - Настроек нет. Здесь информационно аналитическая страница. Можно посмотреть кто вас забрасывает ненужными, неприглядными сообщениями. Впрочем при использовании самого обычного анонимайзера, разобраться чей это IP адрес практически не возможно. И все же получить информацию о добропорядочных сайтах  и их владельцах, данный поиск вполне обеспечит.

___________________________________________________________________________________

(Девятое) Черный список

Черный список он и есть черный список.
При желании кого либо забанить вводите его IP адрес и он начнет к вам приходить с другого адреса.

_____________________________________________________________________________________

(Десятое) Файрволл

 Firewall  или Брандмауэр (стена безопасности)  –  программное средство плагина по защите сайта
Используется  метод добавления в Ваш файл .htaccess некоторых специальных директив.

Каждая опция настройки файрволла имеет подробное описание всех функций данной опции. Нажимаете на + Подробнее. правый край 

Итак открываем в настройках  "Файрволл"

Вкладка Базовые правила файрволла

Основные функции Firewall

Везде ставим галочки. Нажимаем на "Сохранить основные настройки брандмауэра"

Вкладка Дополнительные правила файрволла

Дополнительная база Firewall

Везде ставим галочки (последний пункт проанализируйте многие Web мастера советуют галочку не ставить - могут быть проблемы с комментариями на вашем сайте). И нажимаем на "Сохранить дополнительные настройки брандмауэра"

Вкладка Настройки 5G файрволл

5G_firevoll

Галочку ставим и нажимаем на "Сохранить настройки 5G файрволл"

Вкладка Интернет - боты

Пропускаем. Галочку для этой опции не ставим. Могут и поисковые роботы не попасть на наши страницы и будут проблемы с индексацией сайта.

Вкладка Предотвратить хотлинки

Настройки hotlink

Ставим галочку, защищаем от нагрузок сервер от использования на других сайтах наших картинок

Нажимаем на "Сохранить настройки"

Вкладки "Детектирование 404" и  "Custom Rules"

Не трогаем

___________________________________________________________________________________________

(Одиннадцатое) Защита от брутфорс-атак

Нажмите на рис.

Защита от брутфорс-атакБрутфорс-атака - это атака программных роботов, с задачей простого перебора всех вариантов и комбинаций паролей на сайте. 

1). Вкладка защиты от брутфорс-атак предлагает "Переименовать страницу логина"

Пример стандартного входа в панель управления WordPress

http://agrig.ru/wp-admin на данной вкладке рекомендуется переименовать на свое усмотрение.

Замена адреса логина

Ставим галочку "Включить опцию переименования страницы логина:"

Ниже строка Адрес (URL) страницы логина:

активируем поле  (http://agrig.ru/поле)

и в это поле записываем - к примеру dz-wp

Нажимаем на кнопку "Сохранить настройки"

В результате получим адрес входа в панель управления

 http://agrig.ru/dz-wp
Зловредный робот уже не найдет такого адреса! 

2). Вкладка
"Защита от брутфорс-атак с помощью куки"

Данную защиту обязательно надо применять, тем кто пользуется только одним браузером.

Я, данной защитой не пользуюсь. Работаю с нескольких браузеров, часто чищу куки.

3). Вкладка CAPTCHA на логин.

Данную защиту так же не использую.

Получается для себя же дополнительно ввожу проверку, а не робот ли я?. Хотя ситуации могут быть разные.

4). Вкладка «Белый список для логина»

Функция белого списка All In One WP Security дает возможность открыть доступ на страницу логина WordPress только с определенных адресов или диапазонов IP.
Эта функция запретит доступ на логин для всех адресов IP, которых нет в белом списке ниже.
Для этого плагин запишет соответствующие правила в файл .htaccess.
Пропуская / блокируя разные IP-адреса с помощью директив файла .htaccess, Вы используете первую линию обороны, т.к. доступ к странице логина будет открыт только IP-адресам из белого списка. Все остальные адреса будут заблокированы, как только пытаются открыть страницу логина.

Это цитата из  информации разработчиков плагина. Действительно если использовать данную защиту, то реально можно забыть вообще, что такое брутфорс-атака.

Я, пока не пользуюсь, приходится часто заходить с разных IP адресов. Но воспользуюсь немедленно, когда стационарно определюсь и конечно же если, последует хотя бы одна атака.

5). Вкладка "Бочка с медом (Honeepot)"

А вот здесь обязательно ставим галочку для опции "Активировать медовый боченок (honey pot) на странице логина:"
Нажимаем "Сохранить настройки"

Роботы которые пытаются залогиниться методом перебора парольных комбинаций - допускаются к заполнению формы входа. Но в результате прописывают в форме свой адрес прописки. И с почестями перенаправляются к себе домой. "Вляпался студент"

_______________________________________________________________________________________

(Двенадцатое) Защита от SPAM

Нажмите на рис.

Защита от SpamaСо спамом, я столкнулся буквально с первых дней создания сайта. Первыми о его существовании прознали боты. Стали появляться комментарии (абракадабра) к различным записям. С этим нужно было что то делать. По рекомендации установил плагин "Akismet" Проблема была решена.

Плагин "All In One WP Security" так же в своем арсенале имеет хорошие инструменты борьбы с этой напастью.

На вкладке "Спам в комментариях" Предлагается  Активировать CAPTCHA в формах для комментариев:

Мое мнение излишне лепить, накручивать и дополнять форму комментариев на своем сайте, но каждый решение принимает сам\. ставить или не ставить галочку.

А вот следующий инструмент "Блокировать спам-ботов от комментирования:" Галочку ставим обязательно и нажимаем на "Сохранить настройки"

Вкладка "Отслеживание  IP - адресов по спаму в комментариях" Информационно аналитическая вкладка.
Можно посмотреть откуда особо рьяные боты и принять решение.

Вкладка "BuddyPress"

BuddyPress - это плагин расширения и дополнительных возможностей работы в социальных сетях У кого этот плагин установлен и активирован тогда и в плагине "All In One WP Security" будет активирована  данная вкладка.

______________________________________________________________________

(Тринадцатое) Сканер

Нажмите на рис.

Сканирование плагина All In One WP Security

Вкладка "Отслеживание изменений в файлах"

Здесь предоставляется информация о различных изменениях в системных файлах сайта.

Если учесть, что данные файлы изменяются очень редко и как правило под личным контролем. То любое изменение или дополнение файла без вашего ведома, незамедлительно до вас будет доведено, с конкретными указаниями где и что добавлено или изменено.

Совершенно не означает, что подобные проблемы прийдется решать еженедельно, ежемесячно. Но процесс сканирования должен работать.

Ставим галочку на "Активировать автоматическое сканирование изменений файлов:"

В полях игнорирования, можно отметить файлы, которые будут часто изменяться.

Помечаем галочкой "Отправить Email когда найдено изменение:" Уточнить соответствие почты, или заносим другой свой Email.

Вкладка "Сканирование от вредоносных (malware) программ" Данный инструмент платный (7-9 долларов в месяц). Приобретаем по желанию. Но если неожиданно ваш сайт в поисковых системах попадает в черный список - без такой программы не обойтись. Будем бдительны, Своевременно будем реагировать на подозрительные явления. До черного списка сайт не доведем.

Примечание: Устанавливаем все еще один плагин. Название плагина AntiVirus.

Плагин "AntiVirus"

Установка стандартная. После активации - Клавиша "Настройки" В выпадающем меню нажимаем на "AntiVirus"

Настраиваем автоматическое сканирование. 

Enable the daily antivirus scan —  Ставим галочку включить автоматическое сканирование.
Alternate e-mail address for notifications —  Указываем свой альтернативный Email.
Malware and phishing detection by Google — Ставим галочку Обнаружение вредоносных программ и фишинга в Google.

Сохранить изменения.

_________________________________________________________________________

(Четырнадцатое) Режим обслуживания

Нажмите на рис.

Режим обслуживания

Полезная утилита. Можно на время закрыть сайт для посетителей и провести необходимые работы на сайте.

Сменить шаблон сайта или просто дизайн рабочего шаблона. Проверить или исправить работу плагина. Провести серьезные изменения в записях или на страницах сайта.

Для этого на странице "Режим обслуживания"

ставим галочку "Включить режим обслуживания:"

В поле визуального редактора пишем что должны видеть посетители вашего сайта (Пример на рисунке)

Нажимаем "Save Site Lockout Settings"

После окончания работ - Снимаем галочку и нажимаем  "Save Site Lockout Settings"

____________________________________________________________________________

(Пятнадцатое) Разное

Данные инструменты во всех трех Вкладках На безопасность сайта никакого влияния не оказывают. От копирования страницу не скрыть. Так дополнительные трудности и чуть побольше надо времени, что бы такую страницу скопировать. Я нигде ничего не активировал. Посмотрите может быть для вас что нибудь окажется нужным.

Открываем "Панель управления" WP Security

ИТОГ НАСТРОЕК

Нажмите на рис.

Панель управления wp-security. Итог

Вот такая картинка говорит о хорошем обеспечении безопасности сайта.

Гнаться до максимальных  показаний "Измерителя уровня безопасности" Не стоит. Ведь везде и всюду закон одинаков
"В чем то выигрываешь, в чем то проигрываешь"

Можно так закрыться от всего, что и самому ничего не видно будет. Или посетителям устраивать бег с барьерами по лабиринту.

Обратите еще внимание на Текущий Статус Самых Важных Функций - ВСЕ ВКЛЮЧЕНО. Если чего то нет не стесняемся - Добираем.

Возможно на просторах интернета есть что то и получше в обеспечении безопасности, мне пока не попадалось. Если кто то знает делитесь.

Главное: Сайт создан. Безопасность обеспечена. Теперь в спокойной обстановке можно решать следующие свои задачи.

УСПЕХОВ!