5 плагинов и советов для более безопасного блога


Содержание
Цукерберг рекомендует:  Settings - Файл .settings в С# Visual Studio

10 WordPress-плагинов, которые прокачают ваш сайт

WordPress, без сомнения, великолепная система, сделавшая управление сайтом гораздо понятнее простому пользователю. Сейчас любой может бесплатно скачать дистрибутив системы, установить подходящую тему и получить современный сайт. Всё просто и легко — без кода, макетов и прочих сложностей.

Тем не менее стандартная функциональность этой CMS не всегда может удовлетворить пользователей. Для одних это могут быть мелочи, а для других — необходимые для работы или ведения бизнеса элементы.

К счастью, WordPress позволяет очень легко расширить стандартные возможности дополнительными модулями. В этом материале мы собрали 10 самых полезных, по нашему мнению, плагинов.

Обратите внимание, что это подборка, а не топ: если модуль находится на первой строчке, это не значит, что он лучший из представленных.

1. Jetpack

Количество установок — более 5 миллионов.
Рейтинг на WordPress.org — 4 из 5.

Полетели! Jetpack — швейцарский нож среди плагинов. В нём уже собрано множество различных модулей. С помощью Jetpack вы сможете:
— оптимизировать сайт и увеличить его посещаемость;
— добавлять виджеты для социальных сетей;
— мониторить состояние сайта;
— размещать контактные формы для общения с посетителями и многое другое.

2. WP Smush

Количество установок — более 1 миллиона.
Рейтинг на WordPress.org — 5 из 5.

Слишком тяжёлые изображения могут замедлить работу сайта и ухудшить его SEO-показатели. Для пользователей, которые беспокоятся о скорости работы своего проекта, есть плагин Smush. Он автоматически уменьшит размер загружаемых изображений без потерь в качестве.

3. Contact Form 7

Количество установок — более 5 миллионов.
Рейтинг на WordPress.org — 4 из 5.

Удобный плагин для создания форм обратной связи и дружелюбного (надеемся, что только такого) общения. Легко настраивается, прост в использовании — что ещё нужно для счастья?

4. Akismet Anti-Spam

Количество установок — более 5 миллионов.
Рейтинг на WordPress.org — 4,5 из 5.

Вы любите спам? Сомневаемся, что вы ответите «Да». Мы тоже его не любим! Хорошо, что для владельцев сайтов на WordPress есть очень простой способ избавиться от нежелательных комментариев — плагин Akismet Anti-Spam. Этот модуль самостоятельно найдёт спамные комментарии и удалит их.

5. WooCommerce

Количество установок — более 4 миллионов.
Рейтинг на WordPress.org — 4,5 из 5.

Крайне мощный и популярный плагин: по данным 2020 года, он установлен на трети всех интернет-магазинов на WordPress. С его помощью вы легко создадите полноценную коммерческую площадку со всеми необходимыми функциями: карточками товаров, различными способами оплаты и доставки, удобной аналитикой и многим другим.

6. Yoast SEO

Количество установок — более 5 миллионов.
Рейтинг на WordPress.org — 5 из 5.

Будьте в топе! Yoast SEO — полезный плагин, который поможет тонко настроить SEO-параметры вашего сайта. Настройки индексации, метатеги, XML, карта сайтов, навигационная цепочка — это только часть возможностей модуля.

7. Elementor

Количество установок — более 2 миллионов.
Рейтинг на WordPress.org — 5 из 5.

Удобный WYSIWYG-конструктор страниц. С ним вы легко и без знаний в программировании создадите лендинг, онлайн-визитку или сайт компании.

8. Autoptimize

Количество установок — более 900 тысяч.
Рейтинг на WordPress.org — 4,5 из 5.

Прибавьте вашему сайту скорости! Плагин, с помощью которого вы сможете оптимизировать файлы JavaScript, CSS, HTML и сделать ваш сайт быстрее.

Цукерберг рекомендует:  Стили CSS3 для упорядоченного списка

9. WP Super Cache

Количество установок — более 2 миллионов.
Рейтинг на WordPress.org — 4,5 из 5.

Модуль для кэширования контента. Вместо динамических страниц он создаёт статические HTML-файлы. Благодаря этому значительно ускоряется работа сайта.

10. Cyr-To-Lat

Количество установок — 90 тысяч.
Рейтинг на WordPress.org — 4,5 из 5.

Посмотрите на ссылку слева, а потом на ссылку справа.

А сейчас ещё раз посмотрите на ссылку слева. Да, та, что справа, — на коне. А дело всё в том, что в первой ссылке в названии поста использовались кириллические символы. Поначалу она вроде бы выглядит неплохо, примерно так: https://domain.ru/пост-в-блог. Но при копировании в мессенджерах или почте она приобретёт громоздкий и некрасивый вид.

Чтобы избежать таких ситуаций, используйте плагин Cyr-To-Lat. Он автоматически заменит кириллические буквы в ссылках на латинские. Кроме того, этот модуль исправит некорректные имена файлов и удалит лишние символы.

Усовершенствовать сайт — не всегда очень сложно. За пару кликов вы можете существенно расширить его функциональность, облегчить себе работу и улучшить user experience ваших пользователей. Подберите подходящие плагины и сделайте ваш сайт ещё лучше!

12 простых шагов, которые повысят безопасность сайта на WordPress

Автор: Эдуард Бунаков · Опубликовано 29 марта 2020 · Обновлено 5 июля 2020

Вопросы безопасности WordPress всегда давали богатую пищу для размышлений. Хотя большая часть последних обновлений этой CMS была связана с безопасностью, есть много способов усилить защиту, которые доступны даже не самым технически продвинутым пользователям, даже без плагинов.

Вот несколько предложений, как повысить информационную безопасность для сайта на WordPress.

Разработчики платформы предлагают собственный список мер по обеспечению защиты сайтов на WordPress, с которым рекомендуем обязательно ознакомиться. Конечно, некоторые из этих рекомендаций будут повторяться ниже, но лишние практические советы и инструкции не помешают, когда речь идет о безопасности данных.

На всякий случай сделайте резервную копию сайта до того, как испытывать на практике эти советы.

Не используйте в качестве имени пользователя

Помните об этом. Возможно, это самый первый из основных шагов для обеспечения безопасности WordPress, который могут предпринять пользователи платформы. Сделать его несложно, инсталлятор позволяет легко соблюсти такое правило.

Сегодня большинство атак нацелены на wp-admin / wp-login доступ с использованием подбора комбинации имени пользователя и пароля, известном как атака методом «грубой силы». Здравый смысл подсказывает — если вы удалите имя , то удалите и возможность прямой атаки.

Да, остается вероятность того, что хакер угадает новое имя пользователя, перебирая идентификаторы и имена пользователя. Но безопасность – это не устранение риска, а его снижение. Удаление принятых по умолчанию имен пользователя или поможет защититься от обычных автоматических атак методом подбора.

Как минимум, вы усложните хакеру жизнь при подборе произвольного имени пользователя. Чтобы не было путаницы, уточним: речь идет исключительно об использовании слов и в качестве имени пользователя, а не о правах администратора.

Создайте новое имя пользователя в меню «Пользователь —> Новый пользователь» и назначьте ему права администратора. После этого удалите пользователя . Не переживайте о сохранности публикаций или страниц, которые были созданы под его именем.

WordPress любезно поинтересуется у вас: «Что вы хотите сделать с контентом, принадлежащим этому пользователю?», а затем предложит на выбор удалить весь контент или привязать его к новому пользователю (например, созданному вместо ).

Создайте отдельный аккаунт с правами редактора

Когда вы пишете или редактируете сообщения в блоге, «имя автора» показывается в нижнем левом углу браузера, если навести курсор на имя автора в публикации. Если ваше имя автора совпадает с именем администратора, вы сделали за хакеров половину работы по успешному взлому своего сайта.

Исправить ситуацию просто: создайте нового пользователя, у которого есть только права редактора, и авторизуйтесь под этим именем, когда собираетесь что-то публиковать или редактировать в блоге. Это имя будет отображаться во всех ваших публикациях; а хакеры потратят кучу времени, пытаясь взломать ваш блог под именем пользователя с якобы правами администратора, которое на самом деле позволяет лишь писать и редактировать сообщения.

Кроме того, специальные плагины безопасности для WordPress ограничивают попытки зайти на сайт под конкретным логином и сообщают о попытках несанкционированного проникновения на заданную электронную почту. Так вы узнаете, предпринимались ли попытки взлома с использованием настоящего логина администратора, и сможете уделить внимание безопасности сайта на вордпресс до того, как злоумышленники подберут пароль.

Не используйте простые пароли

Запомните простое слово СУД – Сложный, Уникальный, Длинный. Здесь вступают в игру инструменты вроде 1Password или LastPass, которые генерируют пароли установленной вами длины. В зависимости от того, какой уровень защиты вы хотите получить, выбирается длина пароля в знаках (обычно хватит 20 знаков) и включаются такие редко используемые символы, как # или *.

«123456» — это не пароль. «qwerty» равносильно тому, что вы напишете на банковской карте её пин-код. Даже «starwars» вошел в список 25 самых распространенных паролей 2015 года. Помните, вы не настолько уникальны, как думаете.

Добавьте двухфакторную аутентификацию

Даже если вы не используете имя пользователя admin и установили сильный, произвольно сгенерированный пароль, атаки методом «грубой силы» остаются проблемой. Для снижения риска такого проникновения методы вроде двухфакторной аутентификации являются ключевыми.

Да, двухфакторная аутентификация доставляет много хлопот. Но теперь это ваш Форт-Нокс. Суть ее для защиты сайта на WordPress заключается, как ясно из названия, в двух формах авторизации. Сегодня это стандарт, повышающий безопасность ваших точек доступа. Вы уже используете двухфакторную авторизацию для Gmail и Paypal (по крайней мере, должны это делать). Так почему бы не добавить в список WordPress?

Для реализации инструмента есть специальный плагин Google Authenticator. Альтернативный вариант с несколько другим подходом и тем же результатом — Rublon Plugin.

Используйте принцип минимальных привилегий
Команда WordPress.org составила отличную статью в кодексе WordPress, регулирующую Роли и Права пользователей. Обязательно ознакомьтесь с этим документом, который непосредственно касается данного шага.

Принцип минимальных привилегий очень простой – давайте доступ только:

— тем, кому он нужен;

— тогда, когда он нужен;

— на тот период времени, который нужен.

Если кому-то нужны права администратора, чтобы изменить конфигурацию, предоставьте их, но закройте доступ сразу же после выполнения задачи.

Хорошая новость – эти действия не займут у вас много времени.

Вопреки широко распространенному мнению, не каждый пользователь, получающий доступ к вашему сайту на WordPress, должен получать права администратора. Давайте людям права доступа, достаточные для выполнения их задач, и вы намного снизите угрозу безопасности своего wordpress-сайта.

Для настройки подобного рода безопасности wordpress есть плагин: Google Authenticator . Альтернативой, которая использует несколько иной подход для этой же цели, является плагин Rublon.

Скройте файлы wp-config.php и .htaccess

Это относительно просто сделать, но ошибки при выполнении процедуры могут превратить ваш сайт в недоступный. Создайте резервную копию, и только после этого приступайте к изменениям.

Перейдите в меню «Инструменты => Редактор файлов» для редактирования файла .htaccess. Для повышения уровня безопасности и защиты файла wp-cnofig.php вам нужно добавить такой код в файл .htaccess:

Вы сможете внести эти изменения самостоятельно, здесь нет ничего сложного.

Используйте для аутентификации ключи безопасности WordPress

Ключи аутентификации и salt-ключи работают в связке друг с другом, чтобы защитить ваши cookies-файлы и пароли во время передачи данных между браузером и веб-сервером. Эти ключи аутентификации построены на наборе случайных переменных. Они повышают защиту (шифрование) информации в файлах cookies.

Чтобы изменить их в файле wp-config.php, просто получите новый набор ключей здесь — https://api.wordpress.org/secret-key/1.1/salt/ — и добавьте в файл. При обновлении указанной страницы ключи изменяются, так что каждый раз вы будете получать новый набор.

Отключите редактирование файлов

Самым простым способом изменить ваши файлы является доступ к пункту меню WordPress «Оформление => Редактор». Чтобы повысить уровень защиты, вам нужно отключить возможность редактирования файлов через консоль. Откройте файл wp-config.php и добавьте строчку

У вас останется возможность вносить изменения в шаблоны через FTP-доступ, но теперь никто не сможет изменять их с помощью инструментов в консоли WordPress.

Ограничьте число попыток авторизации

Целью атак методом подбора ключей является форма для авторизации на сайте. Плагин All in One WP Security & Firewall позволяет изменить путь по умолчанию (/wp-admin/) к этой форме ввода. Помимо этого, с помощью специальных плагинов вы можете ограничить число попыток ввода с конкретного IP-адреса.

Выборочное использование интерфейса XML-RPC

XML-RPC – это прикладной программный интерфейс (API), который используется повсеместно. К нему обращается огромное число плагинов и тем, поэтому менее подготовленным технически пользователям нужно особенно осторожно экспериментировать с этим инструментом.

Несмотря на практичность шага, отключение XML-RPC может обойтись дорого. Вот почему не рекомендуется отключать его полностью, но внимательнее следить за тем, какие программы и как пытаются получить доступ к этому интерфейсу. Существует множество плагинов, которые помогают осуществлять выборочную реализацию и отключение XML-RPC.

Хостинг и безопасность WordPress

Владельцы сайтов часто жалуются, что их хостинговые компании не помогают защитить ресурс от взлома или вообще ничего не понимают в обеспечении безопасности сайтов на платформе WordPress.

Хостинговые компании просто видят ваш сайт иначе. Нет однозначных правил по выбору хостинга для wordpress, но он действительно важен, когда речь идет о мерах по улучшению защиты от несанкционированного доступа.

Буквально каждая статья о выборе хостинга начинается со слов о том, что дешевый не значит лучший. Самые дешевые тарифные планы не помогут вам уберечься от атаки хакеров. Такие пакеты включают минимальную защиту ресурса, например, предустановленный брандмауэр веб-сайта.

Виртуальный хостинг подразумевает, что сервер, на котором расположен ваш ресурс, является домом и для других сайтов. У них могут быть собственные проблемы безопасности, которые затрагивают и безопасность вашего сайта.

При этом безопасность WordPress, наверно, одно из главных преимуществ, которые предлагают хостинговые компании в специализированных WordPress-тарифах.

Обычно сюда входит резервное копирование, резервный брандмауэр, проверка файлов на наличие вредоносного ПО, защита от DDoS-атак и автоматическое обновление WordPress. Причем все это предлагается, как правило, за вполне приемлемую стоимость.

Не забывайте о хостинг-аккаунте

Одна из самых больших проблем хостингов связана с конфигурацией аккаунта для владельца сайтов. Пользователь может инсталлировать и конфигурировать столько сайтов, сколько захочет, что способствует появлению в системной среде «бесплатной столовой» для вредоносного ПО.

Проблема актуальна, потому что во многих случаях веб-ресурс может быть взломан методом, известным как межсайтовое заражение, когда вектором атаки является соседний сайт. Злоумышленник преодолевает защиту севера, а затем начинает проникать на соседствующие сайты, расположенные на этом сервере.

Лучший способ защиты от этого вида взлома — создание двух аккаунтов. Один из них вы используете как рабочую среду и размещаете на нем только активные сайты, а второй – как промежуточный, на котором вы храните все остальное.

Будьте в курсе последних обновлений

О том, что нужно поддерживать актуальность, легко говорить. Но для владельцев сайтов это означает ежедневный кропотливый труд. Наши сайты – сложные создания. В каждый момент времени на них происходят десятки событий, поэтому иногда внести мгновенные изменения бывает трудно.

Недавние исследования показал, что 56% установленных систем WordPress используют устаревшие версии платформы.

Обновления должны касаться не только ядра платформы. В упомянутом исследовании говорится также, что большое число хакерских атак использует устаревшие, уязвимые версии плагинов.

Как выбирать безопасные плагины и темы для WordPress

Большинство пользователей предпочитают беспорядочную установку плагинов и тем на своих сайтах. Это глупо, если только вы не делаете установку на тестовом сервере с единственной целью — проверить работу той или иной темы либо плагина.

Большинство плагинов и очень много тем бесплатные. И если авторы поддерживают свои разработки ради развлечения, а не в рамках какой-то серьезной бизнес-модели, вряд ли они потратили много времени на проверку уязвимостей и безопасности этих продуктов.

Как выбрать правильный плагин для wordpress

Как уже сказано выше, бесплатные темы и плагины являются потенциальной угрозой для безопасности сайта. Добавляя эти элементы на сайт, обязательно проверяйте их рейтинг, например, на WordPress.org.

Но просто пять звезд ничего не скажут о степени надежности плагина, в зависимости от ниши он должен иметь определенное количество отзывов. Если достаточно много людей считает, что это замечательный продукт, и нашли время для оценки, можно попробовать его в действии на собственном сайте.

Еще один момент, который вы должны проверять – актуальность плагина или темы. Если не было обновлений в течение последних двух лет, WordPress об этом сообщит. Отсутствие обновлений не обязательно означает, что плагин плохой.

Возможно, у автора просто не было необходимости в том, чтобы вносить исправления в рабочую программу. Все же не рекомендуется устанавливать плагины, которые давно не обновлялись. Рейтинг расскажет о работоспособности выбранного элемента и о его совместимости с текущей версией WordPress. Всю эту информацию можно увидеть на странице плагина на WordPress.org.

Опираясь на рейтинг и совместимость, вы можете сделать процесс выбора плагинов менее беспорядочным, одновременно повысив шансы на установку безопасного элемента.

Заключение

Если вы дочитали эту статью до конца, то просто обязаны принять дополнительные меры по защите своего сайта на WordPress. Добавьте в список ежедневных действий проверку защищенности своего ресурса. Она должно стать такой же ежедневной рутиной любого владельца сайтов, как регулярное добавление новых публикаций и страниц.

Не нужно забывать о регулярном создании резервных копий, для чего у платформы есть множество надежных плагинов. Правда, резервные копии не являются частью политики информационной безопасности, это скорее административные и служебные задачи.

Мы привели далеко не полный список того, что можно сделать для защиты сайта от взлома. Но надеемся, что наши практические советы помогут обеспечить хотя бы первый уровень информационной безопасности для вашего ресурса.

Помните, безопасность WordPress не бывает абсолютной.

Так что сделать жизнь хакеров тяжелой – наша задача, как владельцев сайтов.

Защита WordPress сайта: 16 мер и 19 плагинов

Приветствую вас, друзья!

Те из вас, кто подписан на обновления проекта и следит за выходом новых статей, наверняка заметил, что в последнее время я заинтересовался вопросами кибербезопасности.

А именно, способами нанесения вреда владельцам сайтов и тому, как от них уберечься.

Сразу скажу, что к данной области я испытываю исключительно научный интерес. Я никогда не был и не являюсь хакером.

Знания в области кибербезопасности необходимы мне, как профессиональному веб-разработчику, для защиты создаваемых и поддерживаемых мною сайтов. К чему я и вас призываю, мои дорогие читатели. Помните, что у всяких знаний есть Тёмная сторона, которой нужно избегать.

Однако, сказать, что хакеры этому миру не нужны я также не могу, т.к. их деятельность помогает находить бреши в безопасности и устранять их (лучше бы они только этим и занимались, а не использовали слабые места сайтов для своей выгоды).

В прочем, я сильно увлёкся �� И не представил вам тему сегодняшней статьи, которая является очень популярной сегодня и серьёзной – это безопасность WordPress сайтов.

В ней я расскажу о наиболее частых ошибках вебмастеров, которые они допускают при защите WP ресурсов, из-за которых их часто взламывают, а также о способах их предотвращения.

Многим описанные меры могут показаться очевидными и банальными, но уверяю вас… Именно поэтому большая часть пользователей не считают их чем-то серьёзным и зачастую ими пренебрегают ��

И в это же время данные упущения с успехом используются тысячами хакеров для взлома WordPress сайтов ежедневно.

Также я поделюсь своим опытом защиты ВордПресс сайтов, который у меня уже успел накопиться.

Однако – обо всём по порядку.

Что нужно знать о безопасности WordPress?

WordPress – это бесплатная OpenSource система управления содержимым сайта. Предоставляется она абсолютно бесплатно всем желающим, что резко повышает к ней интерес со стороны разработчиков.

Каждый владелец копии ВордПресс может использовать её по своему усмотрению: модифицировать, распространять и создавать на её базе свои проекты.

Именно большая популярность и открытость архитектуры CMS WordPress сделала ее очень уязвимой и доступной для злоумышленников, которые могут навредить ресурсу. Ведь найденная уязвимость может быстро тиражироваться на сотни тысяч сайтов, делая владельцев беззащитными перед опытными взломщиками.

Интересная информация о WordPress:

  • 35-40 % сайтов, запущенных в доменной зоне RU в 2020 году, работают на Вордпресс;
  • на текущий момент на CMS WordPress в Рунете работает более 500 000 различных сайтов;
  • всего в мире на движке Вордпресс запущено более 18 000 000 сайтов (на начало 2020 года), для сравнения годом ранее цифра была всего 16 000 000, а в 2012 году – лишь 6 000 000 сайтов;
  • в официальном каталоге плагинов доступно около 30 000 бесплатных плагинов для CMS;
  • в качестве разработчиков WordPress зарегистрировано в 2012 году более 100 000 специалистов;
  • лишь 20 % пользователей устанавливают плагины для защиты WordPress.

Как видите, с одной стороны система активно развивается, миллионы пользователей ее используют, но лишь 1/5 вебмастеров беспокоятся о безопасности Вордпресс сайтов, которые им принадлежат.

Зачем кому-то ломать защиту WordPress?

Начнём с того, что сайты WordPress могут взламываться автоматически с помощью различных программ-роботов и вручную.

Первый – наиболее распространённый, т.к. имеет массовый характер воздействия. Причём, ваш сайт может быть как огромным порталом с посещаемостью в несколько тысяч пользователей в сутки, так и личным блогом, у которого от силы десяток читателей, включая Вас ��

Время от времени в сети мелькает информация о таких массовых атаках на WordPress сайты.

Автоматический взлом основывается на использовании недостатков безопасности WordPress как платформы. Особенно ему подвержены ресурсы, использующие старую версию движка сайта, т.к. разработчики постоянно анализируют причины успешных WP взломов и устраняют недоработки в новых версиях.

При автоматическом взломе WordPress сайтов злоумышленники могут руководствоваться следующими мотивами:

  • кража сайта – полное копирование ресурса и перенос его на новый домен с целью присвоения результатов труда разработчика, монетизации ресурса и так далее;
  • получение ссылок с ресурса для составления сетки сателлитов, улучшения ссылочного профиля;
  • шантаж;
  • получение личных данных пользователей или иной полезной коммерческой информации;
  • получение прибыли путем подмены информации на сайте (замена номеров карт, платежной информации);
  • использование сайта для инфицирования пользователей ресурса путем рассылки писем или программ с вирусами;
  • перенаправление вашего трафика на свои ресурсы (редирект);
  • использование системных ресурсов для хранения своих данных, более эффективного взлома других ресурсов.

При ручном взломе сайтов помимо перечисленных причин хакеры руководствуются ещё и личными мотивами, среди которых могут присутствовать следующие:

  • месть;
  • зависть;
  • устранение прямого конкурента;
  • взлом WordPress сайта на заказ.

Это лишь малая часть из возможных мотивов злоумышленников, среди которых есть как коммерческие мотивы, так и человеческие качества.

Именно поэтому настройки безопасности WordPress – это обязательный этап разработки любого сайта. Если им пренебречь, рано или поздно вы станете жертвой атаки.

Как обходят WP защиту?

  • 40% – взломы хостинга. Владелец сайта мало может повлиять на защищенность хостинг платформы, поэтому изначально нужно выбирать качественных хостеров с положительными отзывами и проверенной репутацией.
  • 30% осуществляются через небезопасные темы, в которых намеренно или случайно присутствуют уязвимости. Вывод: необходимо использовать платные темы от надежных поставщиков. Я лично рекомендую ресурс TemplateMonster, где все шаблоны проходят жёсткую модерацию профессионалами на предмет безопасности и функциональности.
  • 20% взломов WordPress из-за уязвимых плагинов. Даже лучшая защита ВордПресс нивелируется установкой плагинов с намеренно размещенной уязвимостью. Сюда же относится установка чистого кода на сайт из непроверенных источников пользователями, мало разбирающимися в программировании.
  • 10% ВордПресс взломов из-за ненадежного пароля. Хакеры просто подбирают или брутфорсят пароли, взламывая сайты в автоматическом или ручном режиме.

Безопасность WP сайта должна решаться комплексно, то есть, даже если вы используете плагины WordPress Security, но при этом устанавливаете на свой ресурс непроверенный код – вы находитесь в зоне риска.

Надежная защита WordPress – это реально?

Вполне. К счастью, реальность такова, что работоспособных WP сайтов, о безопасности которых позаботились их владельцы, больше, чем взломанных.

Для обеспечения надёжной ВордПресс security всего лишь необходимо следовать определенным рекомендациям, которые, на самом деле, очень простые и в некоторых случаях даже примитивные.

Регулярные бэкапы

Важно иметь несколько копий сайта, которые хранятся на различных носителях, не связанных друг с другом на случай, если ваш сайт всё-таки взломают.

В этом случае наличие резервных копий поможет восстановить ресурс максимально быстро. Оптимальная схема бэкапов для средних и крупных сайтов следующая:


  • 1 копия хранится непосредственно на хостинге – она нужна для быстрой работы с сайтом;
  • 1 копия хранится на компьютере владельца, который также надежно защищен от взлома файерволом и антивирусом – она необходима для быстрого восстановления в случае взлома;
  • 1 копия хранится на облачном сервисе, как основной резервный источник;
  • 1 копия хранится в офлайн режиме на флеш-носителе.

Поскольку сайт постоянно находится в процессе развития, важно регулярно обновлять копии на носителях, т.к. вы никогда не знаете, в какой момент на ваш сайт может быть осуществлена атака.

В бэкапах нужно хранить не только файлы сайта, но и данные БД.

На хостинге идеальной частотой является 3 бэкапа в сутки, которая у многих хостинг-провайдеров установлена по умолчанию (например, у моего хостера TheHost).

Но это во многом зависит от свободного дискового пространства, предоставляемого вам на серверном жёстком диске в рамках оплачиваемого вами тарифного плана.

Поэтому лучше не экономить на безопасности ��

Остальные типы бэкапов не нуждаются в таком частом создании. Достаточно делать резервную копию в облаке 2 раза в неделю, а на локальном комьютере и флеш-носителе – раз в неделю.

Бесплатные плагины защиты WordPress сайта, позволяющих автоматизировать процесс формирования резервных копий:

  • Duplicator — обеспечивает возможность копирования и перемещения сайта, а также является простым средством для резервного копирования;
  • UpdraftPlus – плагин для резервного копирования в облако на Dropbox, Google Диск или другие сервисы.
  • WordPress Backup to Dropbox – простой плагин для регулярного резервного копирования файлов и БД сайта в Dropbox.

Ограничение сбора сведений о сайте злоумышленниками

Зная, какая версия ВордПресс используется у вас на сайте и какие установлены плагины, хакеры могут получить сведения о возможных уязвимостях. Чтобы это предотвратить, необходимы следующие простые, но эффективные действия.

  1. удалить файлы readme.html и license.txt из корня сайта;
  2. заблокировать доступ к .htaccess через браузер с помощью директив самого .htaccess;
  3. обязательно проверить исходный код HTML-страницы на предмет упоминания названий плагинов и их версий в примечаниях;
  4. сделать запрет доступа к install.php, wp-config.php и прочим системным файлам;
  5. запретить просмотр в браузере содержимое каталогов WordPress сайта с помощью директив .htaccess;
  6. скрыть информацию о владельце сайта, авторах;
  7. директориям сайта на хостинге установить права доступа 755, а файлам — 644.

Защита админки WordPress сайта

Доступ к панели администратора WP сайта является золотой мечтой большинства хакеров. Но, тем не менее, защитить ВордПресс админку очень просто и для этого существует масса способов.

Самым эффективным является маскировка.

Большинство программ для автоматического взлома настроены на wp-login.php. Если же изменить адрес доступа, можно существенно повысить WordPress security ресурса, поскольку автоматические программы попросту будут выдавать ошибку доступа. Возможные решения (плагины):

  • Login LockDown – быстро определяет подбор пароля и блокирует запрос с этого IP;
  • Revisium WordPress Theme Checker – определяет наиболее типичные способы взлома вашего шаблона, проверяет доступ к админ панели;

Я лично пошёл ещё дальше и помимо указанных мер установил ещё блокировку попыток входа в админку по IP, благодаря чему доступ к панели администратора возможен только с нескольких IP-адресов.

Это, правда, вносит свои неудобства при использовании VPN сервисов, которые стали популярны у населения Украины благодаря запрету у нас Вконтакте, Яндекса и прочих российских ресурсов, но зато положительно влияет на уменьшение количества попыток входа в админку и брут-форс атак.

Кстати, данное явление также создаёт большую нагрузку на сайт и БД, в частности, из-за чего сайт может утратить свою работоспособность на некоторое время, что негативно влияет на позиции в поисковых выдачах, посещаемость ресурса и отношения пользователей к вам.

Отказ от использования VPN сервисов

Раз уж я начал говорить о них в предыдущем пункте, то стоит сказать, что их использование вообще крайне нежелательно как раз-таки из соображений как безопасности WP сайта, так и локального комьютера и хранящихся на нём данных.

Поэтому любителям VPN сервисов я настоятельно рекомендую от них отказаться. По крайней мере, на время работы в панели администратора ВордПресс сайта.

Во-первых, VPN соединение для работы в админке не нужно.

А, во-вторых (и это самое главное), — при использовании VPN сервисов ваши данные пропускаются через сторонние сервера, на которых они могут быть использованы как угодно.

Следовательно, имя пользователя и пароль администратора могут быть украдены злоумышленниками и использованы для контроля вашим ресурсом.

Отказ от работы в админке WP через общественный Wi-Fi

Никогда не используйте WI-FI соединение для доступа к админпанели сайта, которое используется ещё кем-то.

За историю существования Wi-Fi сетей насчитываются тысячи случаев похищения данных администраторов с последующим взломом ВордПресс сайтов и кражей другой ценной информации владельцев устройств, пользующихся «бесплатным» интернетом в общественных местах.

Причём доступ к таким сетям может быть как защищён паролем, так и нет — главным условием является наличие в них кого-то ещё кроме вас, в мотивах которых вы не можете быть уверены на 100%.

В Интернете можно найти массу программ, которые якобы позволяют защитить Wi-Fi соединение при использовании общественных сетей.

Я даже хотел вам порекомендовать парочку, но при анализе их устройства обнаружил, что все они используют VPN, который и не такой уж безопасный, как кажется и всячески навязывается.

Установка SSL-сертификата

Интересные дела получаются. VPN недостаточно надёжен, общественный Wi-Fi для администрирования сайта вообще использовать запрещается.

А как тогда быть, если нужно уехать в длительную командировку или на отдых, одним словом, оказаться длительное время без проверенного и защищённого Wi-Fi, а сайт в это время нужно администрировать?

В данной ситуации на помощь может прийти как раз использование SSL-сертификата для передачи данных по защищённому протоколу HTTPS.

Для упрощения перевода WordPress на HTTPS я лично рекомендую применять специальные плагины, которые значительно упрощают жизнь.

  • Really Simple SSL – плагин позволяет установить сайту на WordPress SSL сертификат за пару секунд. Необходимо лишь получить SSL сертификат, установить плагин и активировать его. Остальные действие будут выполнены автоматически, включая редирект, внесение корректировок в .htaccess и замена всех url сайта с учётом протокола HTTPS.
  • WP Force SSL – плагин для перенаправления трафика с HTTP на расширенный протокол HTTPS, включая прописанные вручную ссылки.
  • Easy HTTPS Redirection – плагин, очень похожий на WP Force SSL по своему действию, т.к. позволяет настроить редиректы с HTTP на HTTPS как для всех URL сайта, так и для отдельных.
  • SSL Insecure Content Fixer – данный плагин защищает WordPress сайт от опасного контента и предупреждений о смешанном содержимом.

Если вы вдруг не знаете как установить плагин WordPress, то рекомендую вам ознакомиться со статьёй по ссылке.

В ручном режиме установка на WordPress SSL сертификата и его настройка будет для вас достаточно сложной и дорогой, если отказаться от плагинов и пользоваться услугами профессиональных разработчиков.

Двухэтапная аутентификация при входе в админку

Данная мера безопасности является ещё одним эффективным средством защиты админки WordPress наряду с настройкой HTTPS на WP сайте.

Заключается она в использовании не только стандартного ввода имени пользователя и пароля при входе в админпанель, но и во вводе специального кода подтверждения, отправляемого вам на телефон.

Поэтому если брутфорс атака злоумышленников будет успешной и им удастся подобрать данные учётной записи администратора, то второй этап остановит их от получения контроля над вашим сайтом.

Наиболее простым и удобным способом внедрения двухфакторной аутенфитикации на свой сайт является установка специальных плагинов. Вот список самых популярных, размещённых в порядке убывания количества скачиваний:

  • Google Authenticator — Two Factor Authentication (2FA)
  • Duo Two-Factor Authentication
  • Rublon Two-Factor Authentication

Описания их возможностей приводить не буду, т.к. все они примерно одинаковы. А самое прикольное лого на wordpress.com у Rublon, так что обязательно зайдите и зацените ��

Регулярное обновление ВордПресс

Основная и самая примитивная защита от взлома WordPress сайта – это регулярное обновление движка. Тысячи хакеров днями и ночами ищут уязвимости версий Вордпресс, поэтому чем раньше вы обновитесь, тем дольше будет действовать WordPress security вашего ресурса.

От момента выявления «дыры» до взлома сотен тысяч сайтов иногда проходит несколько дней. Поэтому разработчики WordPress ведут неравный бой с хакерами всего мира, постоянно выпуская обновления, устраняющие ошибки и слабые места.

И глупо было бы этим не воспользоваться. Устанавливайте обновление незамедлительно, сразу после его выхода!

Благодаря данному обстоятельству крайне нежелательно вносить правки в код движка самостоятельно, т.к. после обновления этот функционал будет для вас недоступен.

Поэтому для редактирования кода сайта на WordPress можно править только файлы темы и вносить изменения в файл functions.php, благодаря которому и наличию АПИ ВордПресс можно достичь требуемого результата.

И ещё. Хотя об этом уже шла речь, но считаю нужным напомнить, что перед обновлением обязательно делайте бэкап файлов сайта и БД, т.к. на новой версии движка может не работать часть устаревших функций и плагинов WP.

Изменение стандартных данных администратора

По умолчанию Вордпресс осуществляет доступ через учетную запись Admin. Это очень плохо, ведь один из распространенных способов взлома – подбор пароля под определенный логин (брутфорс атака).

Иными словами, хакеры знают, что у вас логин Admin, они генерируют миллионы комбинаций паролей, и начинают пытаться входить под ними на сайты, имеющиеся у них в базе.

Например, они проверяют пароль FDj2423 среди миллионов сайтов, и существует большая вероятность того, что он где-то используется. Поскольку более половины владельцев не меняют стандартную учетную запись, сильно упрощается задача для хакеров.

Чтобы изменить логин и повысить свой процент защиты WordPress от взлома, необходимо:

  • создать новую учетную запись со сложным паролем;
  • указать ее роль как «Администратор»;
  • удалить пользователя Admin.

Простейшие действия, которые сильно существенно повышают WP безопасность, занимают 3 минуты времени, но, к сожалению, редко совершаются начинающими вебмастерами.

Удаление неиспользуемых плагинов

Еще одно упущение, которое дорого обходится владельцам сайтов. Если вы хотели протестировать плагины, а после этого решили их деактивировать без удаления с сайта, вы по-прежнему находитесь в зоне риска:

  • плагины могут использоваться для инъекций вредоносного кода;
  • неиспользуемые плагины также необходимо обновлять, для повышения безопасности;
  • то, что плагин на момент установки безопасен, совершенно не определяет его надежность в будущем.

Немного оффтопа, но я вообще рекомендовал бы вам использовать плагины по-минимуму, т. к. они могут стать не только дверью для хакеров на ваш сайт, но и снижать его производительность (особенно, если они используют API сторонних сервисов).

Хорошей альтернативой плагинам WordPress может служить использование чистого JavaScript и PHP кода, на котором написан сам ВордПресс.

Но данный способ расширения функционала ВП сайтов, к сожалению, тоже не без изъянов.

Использование кода из проверенных источников

При использовании кусков кода для расширения функционала сайта как альтернативы использования плагинов также нужно быть предельно аккуратным.

По своему опыту скажу, что я всеми руками за такую практику, т.к., в отличие от плагинов, которые пишут все кому не лень и никто не модерирует, код разрабатывают, как правило, опытные разработчики (хотя, это тоже не всегда так).

К тому же, просмотреть кусок кода на предмет наличия вредоносных операций занимает не столько много времени, как копание в архитектуре плагина, которая может содержать до нескольких десятков файлов и директорий.

Но при использовании кода вместо плагинов WP есть существенный подводный камень – вам нужно хотя бы частично разбираться в программировании и защите WordPress от взломов, чтобы понимать – пользу или вред принесёт вам труд других разработчиков.

Если же необходимых знаний или друзей с их наличием у вас нет, то используйте, хотя бы, авторитетные источники, о компетентности которых можно судить по отзывам других пользователей и тематике сайта, на котором код размещён.

Если сайт, как и данный, посвящён исключительно веб-разработке, то с высокой степенью вероятности его автор сам является разработчиком либо хотя бы разбирается и увлекается программированием.

Если же вы хотите расширить функционал WordPress сайта кодом с ресурса, рассказывающем о заработке в Интернете, предлагающем скачать бесплатные программы и фильмы или просто с какого-то персонального блога, где автор помимо данной информации делится своими рецептами блюд из картошки – будьте осторожны!

Иначе ваш сайт может превратиться в такой же овощ. Или даже похуже ��

Не хочу никого обижать, но я всё-таки считаю, что кодом должны заниматься профессионалы. Причём, с благими намерениями.

Изменение префикса таблиц базы данных

Очень простой и эффективный способ защититься от автоматического взлома WordPress ресурса. Суть метода проста – вы меняете префикс таблиц баз данных сайта путем изменения стандартного префикса wp_ на произвольный, например, bd_.

Если кто-то не в курсе, префикс таблиц БД нужен для хранения в одной базе данных сайта таблиц, используемых для разных сайтов, работающих на одной платформе, у которых одинаковые имена.

Таким образом, таблицы, хранящие данные каждого такого сайта, будут отличаться от аналогичных с помощью префикса.

Изменение префикса производится либо путем использования автоустановщика скриптов Softaculous (не на каждом хостинге работает), либо путем переименования таблиц БД через веб-интерфейс phpMyAdmin или подобную программу для доступа к базе данных.

Поскольку метод радикальный и может вызвать нарушение функционала и падение посещаемости, лучше делать все работы на моменте запуска проекта, либо постепенно, тестируя работоспособность сайта.

Также не забудьте изменить значение переменной table_prefix в файле wp_config.php, который лежит в корне вашего WordPress сайта на следующее:

Вместо prefix в значении переменной может быть любая символьная последовательность, какую вы посчитаете нужной. Главное – не заигрываться и не делать префикс слишком длинным ��

Установка WordPress капчи

Данная технология киберзащиты уже почти 20 лет, как вошла в нашу жизнь. Тем не менее, до сих пор далеко не на всех сайтах можно встретить её использование.

Если вы вдруг не знаете, что такое капча и для чего она нужна, то рекомендую расширить свой кругозор благодаря статье по ссылке.

Там же сможете прочитать о том, какие её виды сейчас существуют и сможете выбрать ту, которая вам больше всего нравится и впишется в дизайн вашего сайта.

Установка капчи, как правило, нужна на различных формах, с помощью которых на сайте производятся действия. Это нужно для того, чтобы на ваш ресурс не проникли роботы и не натворили делов ��

Самыми распространёнными местами установки CAPTCHA в WordPress являются следующие:

  • форма добавления комментариев;
  • регистрация и вход на сайт;
  • форма обратной связи;
  • оформление заказа (если у вас Интернет-магазин на WordPress);

Установить капчу в ВордПресс можно как вручную, используя API сторонних сервисов, так и воспользоваться специальными плагинами капчи WordPress.

Защита персонального компьютера

Совет самый, что ни есть банальный, но многие им пренебрегают.

Никакой плагин безопасности WordPress не поможет защитить сайт, если хакеры смогут получить доступ к персональному компьютеру, с которого осуществляется вход в админпанель.

Казалось бы: попасть на сайт, если вход в админку не ограничен по IP, можно с любой машины. Но главная опасность взлома ПК владельца сайта заключается в том, что в веб-браузере могут остаться сохранённые данные для входа в куках (cookies), благодаря которым можно зайти на сайт без авторизации.

Или вы, как и большинство пользователей, просто сохраняете в браузере данные форм, с помощью чего запоминаются креды (credentials) вашей учётной записи администратора.

Для защиты личного ПК необходимо воспользоваться следующими мерами:

  • Старайтесь не использовать бесплатные антивирусные программы.
  • Никогда не устанавливайте антивирусы, скачанные с ресурсов неизвестных лиц. устанавливайте только программы с официальных сайтов. Очень часто под видом антивируса наивные пользователи устанавливают шпионские программы собственными руками.
  • Используйте лицензионное ПО.
  • Регулярно обновляйте антивирус.
  • Придумайте сложный пароль для доступа к компьютеру (и вообще используйте его).
  • Не сохраняйте данные учётной записи администратора в браузере.
  • Пользуйтесь брандмауэром (стандартного для вашей ОС вполне подойдёт).

Защита электронной почты

Почта – краеугольный камень всего комплекса безопасности. Взламывая ее, злоумышленник может изменить права доступа к FTP-серверу, админ панели и получить полный доступ к сайту.

Очень часто, сосредоточившись на защите WordPress от вирусов, владельцы сайтов забывают о потенциальной опасности e-mail:

  • для регистрации домена и хостинга заведите отдельный ящик;
  • не открывайте подозрительные письма, тем более с вложенными файлами;
  • 1 раз в 2-3 месяца меняйте пароль на сложную комбинацию цифр и букв;
  • не указывайте нигде ящик, как контактную информацию;
  • установите двухуровневую аутентификацию (электронная почта + СМС на ваш телефон) в панели хостера и регистратора домена.

Включение здравого смысла

На закуску я оставил совсем уже очевидное предостережение, которое многие из вас могли посчитать вообще обидным. Последним я его решил разместить, т. к. увидев его в числе первых вы вряд ли стали бы читать полный список. Подумали, что я держу вас за дураков ��

Однако, когда речь идёт о безопасности ВордПресс сайтов, мелочей быть не может. И если не принять всерьёз данную рекомендацию, то все предыдущие меры защиты WP не будут иметь никакого смысла.

Под включением здравого смысла я имел ввиду применение самого главного правила безопасности — молчать. Это значит не разглашать никому секретные данные, кем бы ни был ваш собеседник. Никто и никогда не сможет вам сказать, что может прийти ему в голову в один прекрасный момент…

А когда сайт перестанет работать, вы долго не сможете понять, в чём же причина. Вряд ли даже всерьёз рассмотрите указанный мной фактор в силу мыслей формата «Кто бы мог подумать, что он/она на такое способен?!».

Поэтому, повторюсь, держите в секрете ваши параметры подключения по FTP, SSH и к БД, а также адрес админпанели и учётную запись администратора с паролем.

Лучше даже никому не сообщать адрес сайта и то, что вы являетесь его владельцем.

И ни в коем случае не провоцируйте атаки на ваш сайт сами громкими заявлениями, что вы произвели все меры по обеспечению безопасности и защитили его на 200%.

Если задаться целью, то для опытного веб-программиста не составит труда организовать взлом WordPress сайта. Так что бережёного Бог бережёт ��

Согласен, похоже на паранойю, но для обеспечения защиты WordPress сайта все средства хороши.

Обзор плагинов безопасности WordPress

В завершение я решил познакомить вас с наиболее эффективными плагинами ВордПресс для комплексной безопасности.

Они помогают мониторить сайт на наличие в его WP защите проблем, предоставляя либо инструменты для их моментального решения, либо рекомендации по самостоятельному устранению.

Wordfence Security – анализатор, который проверяет ресурс на наличие «дыр» в безопасности WordPress. Можно настроить регулярное сканирование сайта, чтобы обезопасить себя от возникающих уязвимостей.

Это эффективная защита WordPress от ddos атак.

Действует по принципу сравнения текущей версии сайта с эталонной, при расхождении находит зараженные файлы.

Acunetix WP Security – анализатор доступа к системным файлам, админке, проверяет защиту данных, сложность пароля, предоставляет рекомендации по устранению проблем.

Особенностью плагина можно назвать то, что он находит наиболее уязвимые места и является профилактической мерой безопасности WP сайта.

Обеспечивает очень хорошую защиту WordPress от вирусов.

All In One WordPress Security – включает в себя защиту от самых распространенных способов взлома, включая подбор паролей, подмену адреса админки, защиту WordPress от ddos атак и др.

AntiVirus – сканер вредоносных программ, нагружает сервер, снижает скорость загрузки сайта, но обеспечивает надёжную защиту WordPress от вирусов.

iThemes Security – плагин для комплексной защиты сайта, умеет резервировать сайт, защищает админку, предотвращает внешний доступ, защищает от подбора логина или пароля.

Установка iThemes Security – это решение для ленивых. Это плагин комплексной безопасности, который решает практически все проблемы начинающего разработчика.

В пакет возможностей входит: защита админки, блокирование пользователей по IP, защита WordPress от спама, аудит безопасности, настройка защиты установленных плагинов, ведение отчета по доступу к сайту.

Большинство уязвимостей можно устранить путем предлагаемых плагином решений.

Anti-spam plugin – защищает WordPress сайт от ботов, быстро настраивается, имеет дружественный интерфейс.

Sucuri Scanner – это один из признанных лидеров в сфере защиты сайтов на ВордПресс, он бесплатен и очень эффективен.

Проводит в автоматическом режиме аудит безопасности сайта и проверяет наличие повреждений в системных файлах.

Удаляет выявленный вредоносный код, осуществляет настройку сайта после взлома безопасности или инъекций кода.

Эффективно предотвращает несанкционированный доступ путем защиты от взлома админки, а также уведомляет о возможных нарушениях безопасности во время работы сайта.

Если хотите найти больше плагинов для защиты WordPress, то можете воспользоваться официальным каталогом, который доступен по ссылке wordpress.org/plugins/tags/security.

При самостоятельном поиске подходящих решений важно точно определять разработчика, следить за отзывами и репутацией компании, которая предлагает плагины.

Поскольку большинство программ предоставляется на бесплатной основе, помните, что бесплатный сыр только в мышеловке. Очень часто злоумышленники копируют названия брендов и плагинов с целью заражения сайта вирусами или внедрения вредоносного кода.

Безопасность WordPress сайта — выводы

Как бы печально это не звучало, но ни один из выше описанных способов и плагинов не может дать 100% защиту WordPress сайту от взлома.

Существует несколько десятков различных технологий получения доступа и нанесения вреда сайтам, поэтому уязвимость лишь в одном из факторов WP защиты влечет за собой полную потерю контроля над ресурсом.

Одних только способов обхода капчи существует, как минимум 10.

Однако, грамотная работа по развитию проекта, превентивные меры, анализ информационной среды и соблюдения мер защиты вашего WordPress сайта поможет существенно снизить риски взлома.

И ещё, в завершение сегодняшней статьи о безопасности ВорпПресс ресурсов, я хочу сказать, что целью её написания было не развитие у вас паранойи по поводу уязвимости вашего, а знакомство вас с самыми простыми и очевидными мерами, которые помогут вам защититься от 80% современных атак.

К слову, лёгкая паранойя – это нормальное явление, когда речь заходит о вопросах безопасности �� Однако, не стоит ей позволять управлять вашей жизнью и всего опасаться.

Поэтому используйте описанные в статье рекомендации по защите ВордПресс сайтов – и спите спокойно ��

На этом у меня всё. Оставляйте свои мнения и пожелания в комментариях под статьёй и делитесь ей со своими друзьями с помощью социальных кнопок.

Всем удачи и до новых встреч!

P.S.: если вам нужен сайт либо необходимо внести правки на существующий, но для этого нет времени и желания, могу предложить свои услуги.

Более 5 лет опыта профессиональной разработки сайтов. Работа с PHP, OpenCart, WordPress, Laravel, Yii, MySQL, PostgreSQL, JavaScript, React, Angular и другими технологиями web-разработки.

Опыт разработки проектов различного уровня: лендинги, корпоративные сайты, Интернет-магазины, CRM, порталы. В том числе поддержка и разработка HighLoad проектов. Присылайте ваши заявки на email cccpblogcom@gmail.com.

И с друзьями не забудьте поделиться ��

Лучшие плагины безопасности для WordPress. Обзор четырех плагинов


Как повысить уровень безопасности и защитить блог или веб-сайт от атак кибер-преступников? Познакомьтесь — лучшие плагины безопасности для WordPress. Обзор четырех плагинов, которые надежно защитят Ваш сайт от любых угроз из интернета.

Почему стоит установить плагины безопасности WordPress?

Плагины безопасности для WordPress — это плагины, которые должны быть установлены в обязательном порядке в самом начале работы с сайтом или блогом. Это инструменты, которые помогают защитить сайт от несанкционированного доступа и атак со стороны кибер-преступников.

Задача таких плагинов — отслеживать трафик веб-сайта, сканировать файлы, обнаруживать подозрительные входы в систему и вредоносные программы, а также уведомлять пользователей об обнаруженных угрозах. Благодаря им вы можете минимизировать риск потери данных, вирусных программ и защитить себя от спама, и онлайн-мошенничества.

Какой плагин вы хотите установить для обеспечения безопасности вашего сайта? Давайте разберем 4 лучших плагина, которые справятся с поставленными задачами.

1. Плагин безопасности iThemes Security

iThemes Security (прежнее название: Better WP Security) — очень простой и интуитивно понятный плагин, предназначенный для защиты сайта, созданного в WordPress, от хакерских атак. Расширение устраняет пробелы в сайте, генерирует надежные и трудные для взлома пароли, поддерживает двунаправленную авторизацию, блокирует ботов и ограничивает доступ к панели управления для не авторизованных пользователей.

Плагин интегрирован с Google reCAPTCHA, так что вы можете еще больше повысить защиту. iThemes Security также отслеживает и записывает действия на сайте, такие как редактирование файлов. Это одна из самых сильных функций безопасности для WordPress, доступных на рынке!

В конце статьи полный видео обзор по плагину iTheme Security при помощи которого вы можете защитить свой WordPress сайт от разного вида атак.

2. Плагин безопасности Sucuri Security

Плагин Sucuri Security — это расширение, которое предназначено для сканирования вашего веб-сайта на наличие вредоносных программ и информирования вас о любых нежелательных попытках входа в систему. Расширение доступно в бесплатной и платной версии (дополнено брандмауэром).

Sucuri Security позволяет проводить сканирование вредоносных программ и анализировать целостность файлов на постоянной основе. Это решение предназначено для опытных пользователей. Чтобы обеспечить сайту максимальный уровень безопасности, его стоит использовать вместе с плагином iThemes Security или Jetpack.

3. Плагин безопасности All In One WP Security and Firewall

All In One WP Security and Firewall — один из лучших бесплатных плагинов, обеспечивающих комплексную безопасность в WordPress. Расширение защищает базы данных и файлы, защищает от копирования и спама в комментариях и блокирует так называемые гадатели паролей. Плагин имеет расширенные антиспам-фильтры и добавляет на сайт брандмауэр, который защищает вас от несанкционированной регистрации. Поддержка расширения проста, а четкий и прозрачный мониторинг, а также текущая оценка безопасности сайта подсказывают, как обеспечить максимальную защиту.

4. Плагин безопасности Jetpack

Jetpack — очень обширный и многофункциональный плагин, который обеспечивает безопасность веб-сайтов и блогов, созданных в WordPress. В рамках бесплатной защиты пользователь может рассчитывать на блокировку подозрительных действий на сайте и брандмауэре. После покупки лицензии пользователь может рассчитывать на ежедневное сканирование сайта, автоматическое восстановление данных и техническую поддержку со стороны разработчиков расширения.

Другие способы повысить безопасность WordPress

Помните, что хорошие плагины это еще не все. Если вы намерены создать сайт на базе WordPress, стоит позаботиться о безопасности на уровне выбора хостинга. Всегда выбирайте надежный веб-хостинг, который предлагает резервное копирование и высокий уровень безопасности.

Важное правило, по которому вы можете позаботиться о безопасности, — это регулярное обновление программного обеспечения. Информация о наличии обновлений отображается в панели администрирования и на интернет-сайте WordPress. Менее опытные пользователи должны использовать функцию автоматического обновления, чтобы обеспечить надлежащую защиту своих веб-сайтов.

Другие способы повысить безопасность сайта:

  • Создание новой учетной записи пользователя и назначение прав администратора, избегая использования учетной записи «admin», созданной по умолчанию в WordPress.
  • Избегайте имен пользователей, которые легко угадать, используя адрес электронной почты вместо имени пользователя
  • Использование только известных сайтов для загрузки тем и плагинов для минимизации риска атак
  • Использование надежных паролей для входа в систему, содержащих: заглавные и строчные буквы, цифры, символы (минимум 10 буквенно-цифровых символов)
  • Резервное копирование
  • Применение SSL-сертификата
  • Скрыть доступ к файлам wp-config.php и .htaccess и .htpasswd
  • Использование двухфакторной аутентификации, например, в результате интеграции WordPress с Google Authenticator

Дополнительный видео материал по теме

Проверенные Способы Заработка в Интернете

ОБРАТИТЕ ВНИМАНИЕ! Рекомендуем перейти по всем четырем ссылкам перечисленных внизу. Здесь собраны схемы заработка, которые принесли десятки тысяч дохода в сети.

Самые важные плагины wordpress для блога!

Приветствую Вас друзья! На связи Владимир Савельев. Как то в статье, я обещал рассказать Вам, какие плагины wordpress установлены на моем блоге и вот держу свое слово! Сегодня мы поговорим о плагинах, которые должны присутствовать на любом блоге. Без них, Ваш ресурс не будет таким функциональным и удобным — каким должен быть! Это важная статья, а особенно для новичков, так что записывайте.

Похожие статьи:

На сегодняшний день, в интернете существует огромное количество разнообразных плагинов для WordPress и для новичка самостоятельно разобраться и определить какие плагины действительно нужны, а какие нет — довольно трудоемкая задача. Согласны?!

Так что делать в этом случае, спросите Вы? Отвечаю: Специально для Вас я подготовил список наиважнейших плагинов для блога на WordPress, который найдете чуть ниже. Внедряйте и радуйтесь сэкономленному времени!

Однако не забывайте, что не нужно устанавливать на свой сайт/блог слишком много плагинов — только самые важные! С их количеством растет и нагрузка, вследствие этого страдает скорость ресурса.

Какие плагины wordpress для блога я использую?!

На моем блоге сейчас установлено 18 плагинов, из них активных — 15, неактивных — 3 (я включаю их периодически и выключаю).

Активные плагины wordpress

  1. Classic Smilies — Этот плагин убирает смайлы Emoji и возвращает старые добрые смайлики, которые были до версии WordPress 4.2.
  2. Comment Redirect by Yoast — посетитель оставил свой первый комментарий на Вашем блоге/сайте и этот плагин тут же перебрасывает его на заранее подготовленную страницу.
  3. Cyr-To-Lat — Он помогает преобразовать ссылки на вашем блоге в ЧПУ или Человеку Понятный УРЛ. Плагин Cyr-To-Lat производит транслитерацию кириллических символов в ссылках в латинские символы. Он автоматически преобразовывает ссылки к страницам, записям и меткам. После конвертации пользователь будет автоматически перенаправлен со старых ссылок на новые. Подробнее о ЧПУ читайте в этой статье.
  4. Google XML Sitemaps — незаменим при создании карты сайта (sitemaps.xml) для поисковых систем. Поисковики уже давно требуют наличие этого файла, чтобы индексировать Ваш сайт лучше.
  5. Hyper Cache — Эффективный и надежный плагин кэширования. Позволяет кешировать блог, сайт или отдельные его страницы, тем самым увеличивая скорость загрузки.
  6. PS Auto Sitemap — Данный компонент, так же как и Google XML Sitemaps создает карту сайта, но только человеческую. Плагин PS Auto Sitemap просто необходим для любого сайта. Он создает отдельную страницу с содержанием (посмотрите на мою) вашего блога по страницам, разделам и записям, что очень удобно и позволит вашим посетителям отыскать именно то, что им нужно.
  7. Q2W3 Fixed Widget — этот плагин делает виджеты плавающими, то есть фиксирует выбранные Вами блоки, чтобы они всегда были на виду. Обычно его используют для показа рекламных блоков или набора подписчиков. Подробнее о его работе, я рассказывал в этой статье.
  8. Rename wp-login.php — грубая ошибка начинающих веб-мастеров в плане защиты — используется стандартный доступ к административной панели, вида — вашсайт/admin-wp/ . С помощью этого решения можно изменить стандартный путь, на любой другой, тем самым обезопасить свой блог.
  9. Subscribe to Comments Reloaded — Плагин предназначен для подписки читателей на новые комментарии, так посетители будут всегда в курсе происходящего и возвращаться к Вам снова и снова! Я посвятил целый пост о том, как его установить и настроить.
  10. WordPress Database Backup — Данный плагин по расписанию сам делает резервную копию базы данных и отправляет ее на Ваш E-mail.
  11. WordPress Zero Spam — плагин предназначен для защиты Вашего ресурса от спама в комментариях. Раньше, я использовал invisible captcha, но в новых версиях WordPress плагин уже не работает и я нашел его аналог. Кстати, он тоже невидим для посетителей!
  12. Yoast SEO — Наиважнейший плагин для продвижения и оптимизации блога или сайта. Должен быть установлен на каждом блоге!
  13. ВП Типограф Лайт — Данный компонент автоматически преобразовывает текст согласно правилам русской типографии. Он направлен на обработку русских символов. Плагин не меняет содержание текста, а лишь правильно его отображает.
  14. Limit Login Attempts — Этот плагин поможет защитить ваш блог от попыток взлома. Часто злоумышленники пытаются подобрать пароль для входа в административную часть сайта. Плагин Login LockDown фиксирует время попытки взломать пароль от административной панели и IP-адрес злоумышленника. Также вы можете установить количество неудачных попыток входа, после которых IP-адрес будет заблокирован. Разблокировать его вы сможете в настройках плагина.
  15. Social Locker — Это мой любимый плагин для привлечения людей из социальных сетей и увеличение ссылочной массы. Принцип работы заключается в следующем: закрываем интересную информацию «замком» и чтобы разблокировать его, посетителю нужно поделиться статьей в любой соц.сети!

Эти плагины неактивны, включаю их по мере надобности

Вот такие плагины wordpress установлены на моем блоге!

Дорогой читатель, если у Вас есть какие-либо интересные находки — расскажите о них в комментариях! Этим, Вы поможете дополнить список полезных плагинов. Периодически, буду обновлять список, так что рекомендую добавить эту статью в закладки.

Надеюсь, моя статья про плагины wordpress, окажется вам полезной и интересной, что Вам захочется рассказать о ней в социальных сетях. До скорой встречи!

5 .htaccess советов для улучшения безопасности вашего блога WordPress

Divi: самая простая тема WordPress для использования

Divi: Лучшая тема WordPress всех времен!

Более Загрузка 600.000, Divi — самая популярная тема WordPress в мире. Он является полным, простым в использовании и поставляется с более чем бесплатными шаблонами 62. [Рекомендуется]

Файл «..htaccess «(сокращение для «Гипертекстового доступа») в каталоге вашего блога находится файл конфигурации, который вы можете использовать для замены настроек вашего веб-сервера.

С хорошим управлением, Вы можете включить или отключить определенные функции и дополнительные функции для защиты своего сайта от спамеров, хакеров и других угроз. .

Некоторые из этих команд включают перенаправления, защиту определенных файлов или более продвинутые функции, такие как защита паролем или защита изображения от хотлинкинга.

В этом уроке мы увидим несколько простых изменений, которые вы можете добавить в свой файл «.Htaccess» сделать ваш блог более безопасным

Изменение файла .htaccess

Когда вы включаете постоянные ссылки в WordPress, файл .htaccess автоматически создается в корне сайта установки.

Когда WordPress пишет в файл «..htaccess Он всегда записывает данные между следующими хэштегами: # Начало WordPress et #WordPress Конец, Персонаж#Относится к комментариям в файле, поэтому они не влияют на вашу конфигурацию.

Эти файлы являются мощными и малейшей синтаксической ошибкой, например, забывают символ « может сделать ваш сайт недоступен , Поэтому важно, чтобы сделать резервную копию файла .htaccess перед внесением изменений.

Некоторые операционные системы не позволяют создавать файл .htaccess. Лучший способ обойти эту проблему:

  • Используя Блокнот или аналогичный текстовый редактор, добавьте свои команды в редактор
  • Сохраните файл в виде файла .текст
  • Затем отправить файл на свой веб-сайт
  • После загрузки переименуйте файл в ». htaccess »

Вы должны немедленно обновить свой блог, чтобы увидеть, все ли идет хорошо. Если нет, вы все равно можете восстановить старый файл .htaccess.

Как защитить ваш файл wp-config.php

Одним из наиболее важных файлов вашей установки WordPress является файл WP-config.php.

Этот файл находится в корне вашей установки WordPress и содержит подробную информацию об основной конфигурации вашего блога, такую ​​как ключи безопасности WordPress и данные для входа в базу данных. Эта информация, конечно, чувствительна, и те, кто получит к ней доступ, могут повредить ваш блог.

Вы можете защитить свой файл «wp-config.php», добавив следующий текст в файл htaccess. :

Вы ищете лучшие темы и плагины WordPress?

Загрузите лучшие плагины и темы WordPress на Envato и легко создайте свой сайт. Уже больше, чем 49.720.000. [ЭКСКЛЮЗИВ]

5 плагинов без которых мой блог не может существовать

Без сомнения вы видели их.

Притягивающие внимание посты, где обещают раскрыть 5 или 10, а может и все 25 плагинов для WordPress, которые обязательно должны быть на вашем блоге.

Вы кликакаете на заголовок, прокручиваете страницу вниз, ваша челюсть потихоньку отвисает от новых возможностей преобразовать ваш блог.

И вот уже через несколько минут, ловите себя на том, что устанавливаете каждый из перечисленных плагинов.

Но проходит совсем немного времени, и вы вдруг обнаруживаете, что большинство их этих плагинов, не соответствуют заявленным обещаниям.

Другими словами, вы просто потратили время.

Еще хуже то, что ваш сайт стал заметно медленнее. Если раньше требовалось всего несколько секунд на загрузку, то теперь целая минута. Ни вам, ни вашим читателям это не доставляет удовольствия.

Обычная ситуация, я называю это «синдромом бесконечного улучшения», которого очень сложно избежать.

И все же, нельзя же полностью обойтись без плагинов. На вашем блоге должны быть какие-то плагины, правильно?

Вопрос лишь, какие вам действительно нужны?

И было бы просто замечательно, если бы кто-то смог назвать вам эти плагины, не так ли?

Как излечиться от «синдрома бесконечного улучшения» блога?

Я поступил очень просто, определил основные категории плагинов, которые должны присутствовать на моем блоге. Остальное, что не подходит ни под один пункт, просто не рассматриваю. Так я пытаюсь сэкономить свое время и силы.

На данный момент я выделил 6 категорий, по которым «прокачиваю» свой блог технически:

  • производительность, чтобы чтобы контент на моем блоге быстро загружался
  • безопасность, чтобы мой блог был надежно защищен от вмешательства из вне
  • резервное копирование, чтобы в случае поломки сервера, я смог все восстановить
  • SEO, чтобы поисковые системы были лояльны к моему блогу
  • подписной лист, чтобы превращать посетителей в подписчиков

Если в Сети я встречаю какой-то интересный плагин или скрипт, который хочу попробовать, я делаю заметку об этом в EverNotе.

Когда заметок накапливается достаточное количество, и у меня есть желание, я выделяю 2-3 дня исключительно на решение технических вопросов с блогом. Происходит это не чаще, чем раз в 4-6 месяцев. Остальное время я занят контентом, конверсией, трафиком, маркетингом.

5 плагинов, ради которых написан этот пост

Со временем, для каждой категории, я подобрал самые лучшие плагины. Абсолютно уверен, что убери один и мой блог не сможет полноценно существовать в современном веб-пространстве.

#1. Производительность (плагин HyperCache )

Надеюсь, это не будет для вас новостью, что скорость загрузки страниц сайта имеет огромное значение.

Поисковые системы наказывают «медленные» сайты, понижая их позиции в поисковой выдаче. Помимо этого, «медленный» сайт, это всегда раздражение со стороны пользователя.

Вам это нужно? Тогда давайте говорить о том, как ускорить ваш блог.

21,0,1,0,0

Самое простое с чего следует начать, это установить плагин кэширования содержимого страницы. Объясню, почему это полезно.

Всякий раз, когда кто-то заходит на ваш блог, создается новый запрос к базе данных. В качестве ответа, запрашиваемый контент, формируется в HTML формате.

Пришло пять человек, создано пять новых запросов. Десять человек, десять новых запросов. И с каждым новым запросом заново подгружаются неизменные элементы блога (шапка, футер, сайдбар, меню).

Довольно неэффективное распределение ресурсов, не так ли? Так, если только не использовать плагины кэширование. Эти плагины создают копию уже созданной страницы, если другой посетитель запрашивает туже страницу (последний пост, например), ему предлагается последняя копия, вместо того, чтобы заново создавать страницу с нуля.

В результате, увеличивается скорость загрузки страницы или, если говорить правильно, скорость отрисовки содержимого страницы.

Плагинов кэширования много, но почему я выбрал HyperCache?

Отличие этого плагина от других в том, что кэширование работает для всех неавторизированных пользователей, но не распространяется на администратора.

Раньше, когда я использовал другие плагины и, к примеру, изменял форму подписки, чтобы увидеть изменения, приходилось сбрасывать кэш, что очень неудобно.

HyperCache избавил от этой необходимости.

Дополнение: Плагин Clearfy или как убрать мусор из исходного кода

Хоть WordPress и одна из лучший систем управления сайтов, все же этот движок не без «грешков». Есть дубли страниц, мусор в коде и другие «косячки», которые не любят поисковые системы.

И да, в Сети, есть информация о том, как избавиться от этого мусора, но все инструкции рассчитаны на то, что вы будете это делать своими руками и знакомы с кодом.

Признаюсь, я несколько раз пытался следовать этим инструкциям, но всякий раз, что-то шло не так и я не мог понять что именно, пока не нашел плагин Сlearfy.

Всего за несколько кликов мыши я удалил лишний мусор с исходного кода, спрятал внешние ссылки, закрыл возможность узнать логин администратора, удалил «.recentcomments» и страницы JSON REST API, и сделал много чего еще.

То есть, то, что я хотел делигировать фрилансеру, мне удалось сделать с помощью этого плагина за считанные минуты. Вот видео, где я показываю, как все устроено внутри плагина.

Плагин платный, но стоит гораздо дешевле, чем нанимать фрилансера для решение каждой проблемы, которую в состоянии решить плагин.

#2. SEO (плагин SEO by Yoast )

WordPress изначально хорошо оптимизирован для продвижения в поисковых системах, как уверяют разработчики. Правда, на практике, это не совсем так.

Допустим, по умолчанию, WordPress не позволяет задавать описание страницы и ее заголовок, которые отображаются в поисковой выдачи, позволяя поисковым системам самим определять какой кусок текста поста выводить в снипете на странице выдачи.

Если мы хотим получить больше кликов, то нельзя такие важные вещи нельзя доверять роботу.


43,1,0,0,0

К примеру, вот мой пост, заточенный под запрос «как создать блог«.

В снипете описание, которое я задал сам и заголовок, который отличается от того, что указан в посте.

(заголовок поста, и тот, что отображается в выдаче, могут отличаться, подробно об этом я писал здесь)

Это основные функции ради которых я давно использую лучший, на мой взгляд, SEO плагин Yoast SEO.

Этот плагин также создает карту сайта для моего блога (позволяет поисковым системам быстрее находить и индексировать страницы сайта) и позволяет закрывать отдельные страницы от индексации (например те, где у меня хранятся подарки за подписку, чтобы без заполнения формы люди не могли их найти).

#3. Категория безопасность (плагин iTheme Security )

Мое знакомство с хакерами началось в 2012 году, когда каким-то образом с моего кошелька WebMoney исчезли $300.

Чуть позже, вредоносный код был внедрен на мой прошлый блог. Последствия были таковыми, что
хостинг провайдер отключил мой сайт до выяснения обстоятельств.

51,0,0,0,0

Я здравомыслящий человек и понимаю, что со своим «маленьким» проектом я хакерам неинтересен, чтобы планировать покушения на меня в Сети. Но есть много автоматизированных программ, которые сканируют сайты в поисках уязвимых мест.

52,0,0,0,0

Каждый день плагин iTheme Security (я выбрал его для защиты своего блога) сообщает мне о минимум 3-х попытках несанкционированного доступа к блогу. Это следствия активности таких программ.

53,0,0,0,0

54,0,0,0,0

Один из недостатков WordPress в том, что он очень популярен. А это значит, что его уязвимости, придаются огласке очень быстро.

55,0,0,0,0

Поэтому, чтобы спать спокойно, я использую плагин iThemeSecurity. Он имеет расширенную платную версию, но возможностей бесплатной версии вполне хватает, чтобы надежно защитить мой блог.

56,0,0,0,0

Разобраться с этим плагином не так просто, очень много опций, но возможно. К тому же, при установке плагина, предлагается сразу активировать все основные опции.

57,0,0,0,0

Этот плагин, также позволяет создавать резервные копии, но это только копии базы данных, а не файлов блога полностью. Поэтому, рекомендую использовать для этих целей другое решение.

58,0,0,0,0

#4. Резервное Копирование (плагин UpdraftPlus )

Резервные копии (backup), это «палочка-выручалочка», когда что-то неожиданно пошло не так.

59,0,0,0,0

Хакеры внедрили вредоносный код, новый плагин вызывал конфликт в системе, сбой на хостинге с потерей всех данных или сам автор нечаянно удалил блог, что тоже случается. В таких случаях, единственное спасение, это свежий backup.

60,0,0,0,0

Я знаю, что вы можете подумать: «Мой хостинг-провайдер создает резервные копии за меня«.

61,0,0,0,0

Есть такое, если вы пользуетесь надежным провайдером, но в этом случае вы ничего не контролируете (ни периодичность backup’ов, ни их содержимое). Весьма ненадежно, не так ли?

62,0,0,0,0

В последний раз, три года назад, когда мне понадобилась свежая резервная копия сайта, мой прошлый хостинг-провайдер потребовал с меня $50. Мне пришлось заплатить, чтобы не потерять данные. После этого случая, я перебрался на BeGet.

63,0,0,0,0

И тем не менее, это стало весомым аргументом, чтобы создавать резервные копии самостоятельно, а не надеется на кого-то.

64,0,0,0,0

Я пробовал много плагинов резервного копирования, но вот уже несколько месяцев backup’ы на моем блоге создаются с помощью UpdraftPlus. Пожалуй, самый скачиваемый плагин резервного копирования для WordPress (900+ тысяч загрузок).

65,0,0,1,0

66,0,0,0,0

Очень важно то, что UpdraftPlus делает копию не только базы данных (посты, комментарии, настройки), но и остальных файлов тоже (шаблоны, картинки, плагины). Копии можно сохранять в облаке на Google Drive, Dropbox или же отправлять на электронную почту (у меня так настроено).

67,0,0,0,0

#5. Подписной лист (плагин JumpOut)

На этом блоге, эти слова звучали уже множество раз, но я повторюсь:

68,0,0,0,0

«Основная цель блога, если вы нацелены продавать ваши знания, это строить подписной лист. Подписчиков можно вернуть на блог, а посетителей вы не контролируете. Подписчики, это ядро читательской аудитории. Всего одно письмо, и новый пост получает весь необходимый трафик. Поэтому, все что вы делаете на блоге, должно быть нацелено на то, чтобы получать больше подписчиков, а не просто посетителей».

С чего можно начать?

70,0,0,0,0

Есть много способов повысить конверсию, большая их часть требует предварительной подготовки, но есть один, которую вы можете внедрить уже через 20 минут на блог и начать получать больше подписчиков.

71,0,0,0,0

Речь идет о технологии JumpOut. Я рассказывал об этом плагине в своем посте «Как получать больше подписчиков с блога«, прочитайте.

72,0,0,0,0

До появления JumpOut я скептически относился к всплывающим окнам на сайте, но когда решил протестировать, результаты превзошли ожидания.

73,0,0,0,0

Если говорить о цифрах, то примерно 15% моего подписного листа, собрано благодаря JumpOut. Это второй по величине канал откуда приходят новые подписчики на мой блог.

74,0,0,0,0

75,0,0,0,0

Поэтому, если вы еще не используете JumpOut, знайте, вы теряете значительную долю подписчиков.

76,0,0,0,0

Ищите идеальный баланс между количеством плагинов и функционалом

Наличие огромного количества плагинов, это весомое преимущество WordPress перед другими системами управления сайтом.

77,0,0,0,0

Но не стоит забывать, что плагины способны не только расширять функционал блога, ни и стать серьезной проблемой.

78,0,0,0,0

Слишком большое количество плагинов может привести к проблемам с сайтом, например, замедлить его работу.

79,0,0,0,0

С другой стороны, отказ от определенных плагинов, лишает блог функционала, который мог бы серьезно ускорить его развитие.

80,0,0,0,0

Поэтому, важно найти баланс.

81,0,0,0,0

Я рекомендую вам делать так, как поступаю сам.

82,0,0,0,0

Устанавливайте только те плагины, которые помогут решить конкретные проблемы. Установить еще один плагин, ради плагина, это плохая затея.

83,0,0,0,0

Начать вы можете с плагинов, которые я предложил вам выше, это будет отличный костяк.

84,0,0,0,0

Если же вы хотите узнать, как правильно настроить эти плагины, ускорить скорость работы блога, выбрать красивый шаблон, оптимизировать и надежно защитить ваш блог, обратите внимание на мой курс «Блог: Техник» .

85,0,0,0,0

86,0,0,0,0

Вопрос читателю:

Какие самые важные плагины на вашем блоге? Перечислите в комментариях.

Защита WordPress – 12 Советов, чтобы защитить ваш сайт

Введение

WordPress одна из самых популярных CMS в мире. Более 18.9% всех Интернет сайтов работает именно на ней, а количество установок превысило 76.5 миллионов. К сожалению, у такой популярности есть свои минусы. Согласно докладу Securi, компании которая специализируется на безопасности сайтов, WordPress самая взламываемая CMS в мире. Однако, если вы будете следовать передовой практике в этом вопросе и осуществите несколько приемов из нашего руководства, вы поймете, что защита WordPress может быть легко укреплена с помощью нескольких простых шагов.

Что вам понадобится

Перед тем, как мы начнём это руководство, проверьте наличие следующего:

  • Доступ к панели управления WordPress
  • Доступ к вашей учетной записи на хостинге (необязательно)

Шаг 1 – Поддержание актуальной версии WordPress

Это станет первым и самым важным шагом для улучшения безопасности WordPress. Если вам нужен чистый сайт без вредоносных программ, вы должны убедиться в том, что версия вашего WordPress актуальна. Возможно этот совет выглядит простым, однако, только 22% всех установок WordPress приходится на последнюю версию.

WordPress реализовал функцию автоматического обновления в версии 3.7, но работает она только для небольших обновлений безопасности. Тогда как крупные, ключевые обновления должны быть установлены вручную.

В случае, если вы не знаете, как обновить WordPress, загляните сюда.

Шаг 2 – Использование нестандартных учетных данных для входа

Вы используете admin, как имя администратора в WordPress? Если ваш ответ да, то вы серьезно снижаете защиту WordPress и упрощаете процесс взлома хакерами вашей панели управления. Строго рекомендуется изменить имя пользователя администратора на что-нибудь другое (посмотрите это руководство, если вы не уверены, как это сделать) или создайте новую учетную запись администратора с другими данными. Следуйте этим шагам, если вы предпочитаете второй вариант:

  1. Войдите в панель управления WordPress
  2. Найдите раздел Пользователи и нажмите кнопку Добавить нового.
  3. Создайте нового пользователя и назначьте ему права Администратора
  4. Перезайдите в WordPress с вашими новыми данными.
  5. Вернитесь в раздел Пользователи и удалите стандартную учетную запись Admin.

Хороший пароль играет ключевую роль в безопасности WordPress. Гораздо сложнее взломать пароль состоящий из цифр, букв нижнего и верхнего регистра и специальных знаков. Такие инструменты, как LastPass и 1Password могут помочь в создании и управлении сложными паролями. Кроме того, если вам когда-либо понадобится войти в свою панель управления WordPress при подключении к незащищенной сети (например, в кофейнях, публичных библиотеках и т. д.), не забудьте использовать безопасный VPN, который защитит вашу регистрационную информацию.

Шаг 3 – Включение двухэтапной аутентификации

Двухэтапная аутентификация добавляет дополнительный слой защиты для вашей страницы авторизации. После подтверждения имени пользователя, она добавляет еще один этап, который необходимо завершить для успешной авторизации. Скорее всего вы уже используете это для доступа к почте, онлайн банку и другим учетным записям, содержащим конфиденциальную информацию. Почему бы не использовать это и в WordPress?

Хотя это может показаться сложным, включить двухэтапную аутентификацию в WordPress очень легко. Все что вам нужно, это установить мобильное приложение для двухэтапной аутентификации и настроить его для вашего WordPress. Вы сможете найти более детальную информацию, как включить двухэтапную аутентификацию на WordPress здесь.

Шаг 4 – Отключение отправки отчетов об ошибках PHP

Отчеты об ошибках PHP могут быть довольно полезны, если вы занимаетесь разработкой сайта и хотите удостоверится, что все работает правильно. Однако показывать ошибки всем, это серьезное упущение в безопасности WordPress.

Вы должны исправить это, как можно быстрее. Не пугайтесь, вам не надо быть программистом, чтобы отключить отчеты об ошибках PHP на WordPress. Большинство провайдеров услуг хостинга предоставляют такую опцию в панели управления. Если нет, то просто добавьте следующие строчки в ваш файл wp-config.php. Вы можете использовать FTP-клиент или Файловый менеджер для редактирования файла wp-config.php.

Вот и все. Отчеты об ошибках отключены.

Шаг 5 – Не используйте nulled шаблоны для WordPress

Запомните “Бесплатный сыр бывает только в мышеловке”. Это же касается nulled шаблонов и плагинов.

По всему Интернету существует тысячи nulled плагинов и шаблонов. Пользователи могут бесплатно их скачать, используя различные файлообменники или торрент файлы. Они не знают, что большинство из них заражены вредоносными программами или ссылками черных методов поисковой оптимизации.

Перестаньте использовать nulled плагины и шаблоны. Это не только не этично, но и наносит вред вашей безопасности WordPress. В конечном итоге, вы больше заплатите разработчику за очистку вашего сайта.

Шаг 6 – Сканирование WordPress на наличие вредоносных программ

Чтобы заразить WordPress, хакеры часто используют дыры в шаблонах или плагинах. Поэтому, важно почаще проводить проверку вашего блога. Существует множество хорошо написанных плагинов для этих целей. WordFence выделяется из этого множества. Он предлагает руководство по применению и возможность автоматической проверки, вместе с кучей других разных настроек. Вы даже можете восстановить модифицированные/зараженные файлы в пару кликов. Распространяется он на бесплатной основе. Этих фактов должно быть достаточно, чтобы вы установили его прямо сейчас.

Другие популярные плагины для усиления безопасности WordPress:

  • BulletProof Security – в отличии от WordFence, о котором мы говорили ранее, BulletProof не сканирует ваши файлы, но он предоставляет вам фаервол, защиту базы данных и т.д. Отличительной особенностью является возможность настройки и установки плагина в несколько кликов мыши.
  • Sucuri Security – этот плагин защитит вас от DDOS атак, содержит черный список, сканирует ваш сайт на наличие вредоносных программ и управляет вашим фаерволом. При обнаружении чего-либо. вы будете оповещены через электронную почту. Google, Norton, McAfee – в этот плагин включены все черные списки из этих программ. Вы можете найти полное руководство об установке плагинов для сайта WordPress здесь.

Шаг 7 – Перенос сайта на более безопасный хостинг

Возможно, этот совет может показаться странным, но статистика показывает, что более 40% сайтов на WordPress были взломаны из-за дыр в безопасности хостинг аккаунта. Эта статистика должна подтолкнуть вас перенести WordPress на более безопасный хостинг. Немного ключевых фактов которые необходимо держать в уме при выборе нового хостинга:

  • Если это виртуальный хостинг, удостоверьтесь, что ваша учетная запись изолирована от других пользователей, и нет риска заражения от других сайтов на сервере.
  • На хостинге присутствует функция автоматического бэкапа (резервного копирования).
  • Сервер имеет сторонний фаервол и инструмент для сканирования.

Шаг 8 – Делайте резервное копирование данных настолько часто, насколько это возможно

Даже самые большие сайты взламываются каждый день, несмотря на тот факт, что их владельцы тратят тысячи на улучшение безопасности WordPress.

Если вы следуете передовой практике в этом вопросе и применили советы из этой статьи, вам все равно необходимо регулярно делать резервное копирование вашего сайта.

Существует несколько путей для создания бэкапа. К примеру, вы можете вручную скачать файлы сайта и экспортировать базу данных, или воспользоваться инструментами, предлагаемыми вашей хостинговой компанией. Еще один путь, использовать WordPress плагины. Самые популярные из них:

Вы даже можете автоматизировать процесс создания и хранения бэкапов WordPress бэкапы в Dropbox.

Шаг 9 – Выключение редактирования файлов

Как вы наверно знаете, WordPress имеет встроенный редактор, который позволяет редактировать PHP файлы. Эта функция настолько же полезна, насколько она может нанести вред. Если хакеры получат доступ к вашей панели управления, первая вещь, на которую они обратят внимание, это Редактор Файлов. Некоторые пользователи WordPress предпочитают полностью выключить эту функцию. Она может быть выключена редактированием файла wp-config.php, путем добавления туда следующего кода:

Это все, что вам нужно для отключения этой функции в WordPress.

ВАЖНО! В случае, если вы хотите повторно включить эту функцию, используйте FTP клиент или Файловый менеджер вашего хостинга и удалите этот код из файла wp-config.php.

Шаг 10 – Удаление неиспользуемых шаблонов и плагинов

Сделайте уборку вашего сайта на WordPress и удалите все неиспользуемые шаблоны и плагины. Хакеры часто используют отключенные и устаревшие шаблоны и плагины (даже официальные плагины WordPress) для получения доступа к вашей панели управления, или загрузки вредоносного содержимого на ваш сервер. Удаляя плагины и шаблоны, которые вы перестали использовать (и возможно забыли обновить) давным давно, вы снижаете риски и делаете ваш сайт на WordPress более безопасным.

Шаг 11 – Использование .htaccess для улучшения защиты WordPress

.htaccess это файл необходимый для корректной работы ссылок WordPress. Без правильных записей в файле .htaccess, вы будете получать много ошибок 404.

Не так много пользователей знают, что .htaccess может быть использован для улучшения защиты WordPress. К примеру, вы можете блокировать доступ или отключать выполнение PHP в определенных папках. Внизу приведены примеры того, как вы можете использовать .htaccess для улучшения безопасности сайта на WordPress.

ВАЖНО! Перед тем, как вы произведете изменения в файле, сделайте резервное копирование старого файла .htaccess. Для этого вы можете использовать FTP клиент или Файловый менеджер.

Запрет доступа к административной части WordPress

Код ниже позволит вам получать доступ к административной части WordPress только с определенных IP.

Заметьте, что вам нужно изменить XX.XX.XX.XXX на ваш IP адрес. Вы можете использовать этот сайт для проверки вашего нынешнего IP. Если вы используете больше чем одно подключение для управления сайтом на WordPress, то удостоверьтесь, что написали другие IP адреса (добавляйте столько адресов, сколько вам понадобится). Не рекомендуется использовать этот код, если у вас динамический IP адрес.

Отключение выполнения PHP в определенных папках

Хакеры любят загружать бэкдор скрипты в папку загрузок WordPress. По умолчанию эта папка используется только для хранения медиафайлов. Следовательно, не должна содержать каких-либо PHP файлов. Вы можете легко отключить выполнение PHP, создав новый файл .htaccess в /wp-content/uploads/ с такими правилами:

Защита файла wp-config.php

Файл wp-config.php содержит ядро настроек WordPress и детали базы данных MySQL. Следовательно, это самый важный файл в WordPress. Поэтому он чаще всего становится главной целью WordPress хакеров. Однако вы можете легко обезопасить его используя следующие правила в .htaccess:

Шаг 12 – Изменение стандартных префиксов базы данных WordPress для предотвращения внедрения SQL-кода

База данных WordPress содержит и хранит в себе всю ключевую информацию необходимую для работы вашего сайта. В результате, она становится еще одной целью хакеров и спамеров, которые выполняют автоматизированный код для проведения внедрения SQL-кода. Во время установки WordPress, многие люди не утруждают себя изменением стандартного префикса базы данных wp_. Согласно данным WordFence, 1 из 5 взломов WordPress связан с внедрением SQL-кода. Так как wp_ это одно из стандартных значений, сперва хакеры начинают именно с него. На данном этапе мы кратко рассмотрим, как защитить сайт на WordPress от подобного рода атак.

Изменение таблицы префиксов для существующего сайта на WordPress

ВАЖНО! Главное это безопасность! Перед началом, удостоверьтесь, что сделали бэкап вашей базы данных MySQL.

Часть первая – Изменение префикса в wp-config.php

Найдите ваш файл wp-config.php используя FTP клиент или Файловый менеджер найдите строку со значением $table_prefix.

Можете добавить дополнительные цифры, буквы или нижние подчеркивания. После этого, сохраните изменения и перейдите к следующему этапу, В этом руководстве мы используем wp_1secure1_, как новый префикс таблицы.

Пока вы находитесь в вашем файле wp-config.php, также найдите имя вашей базы данных, чтобы знать какую именно изменить. Поищите в секции define(‘DB_NAME’.

Часть вторая – Обновление всех таблиц базы данных

Сейчас вам нужно обновить все записи в вашей базе данных. Это может быть сделано используя phpMyAdmin.

Найдите базу данных определенную в первой части и войдите в нее.

По умолчанию, установка WordPress имеет 12 таблиц и каждая должна быть обновлена. Однако это можно сделать быстрее, используя раздел SQL в phpMyAdmin.

Изменять каждую таблицу вручную займет огромное количество времени, поэтому мы используем SQL запросы, чтобы ускорить процесс. Используйте следующий синтаксис для обновления всех таблиц в вашей базе данных:

Некоторые шаблоны WordPress или плагины могут добавлять дополнительные таблицы в базу данных. В случае если у вас больше 12 таблиц в базе данных MySQL, добавьте оставшиеся из них вручную в запрос SQL и выполните его.

Часть третья – Проверка опций и пользовательских таблиц метаданных

В зависимости от числа плагинов которые вы установили, некоторые значения в вашей базе данных должны быть обновлены вручную. Сделать это можно выполнив отдельные SQL запросы на таблицу опций и метаданных.

Для таблицы опций, вы должны использовать:

Для таблицы метаданных, вы должны использовать:


Когда вы получите результаты запроса, просто обновите все значения с wp_ на ваш новый настроенный префикс. В таблице метаданных пользователя вам нужно отредактировать поле meta_key, тогда как для опций, необходимо изменить значение option_name.

Обеспечение безопасности новых установок WordPress

Если вы планируете устанавливать новые сайты WordPress, вам нет необходимости вновь выполнять данный процесс. Вы легко сможете поменять префиксы таблиц WordPress в процессе установки:

Поздравляем! Вы успешно улучшили безопасность вашей базы данных от внедрения SQL-кода.

Заключение

Несмотря на то, что WordPress самая взламываемая CMS в мире, улучшить ее защиту не так тяжело. В этом руководстве мы рассказали вам о 12 советах, которых вам следует придерживаться, чтобы защита WordPress оставалась на должном уровне.

Better WP Security — мощная защита блога за 5 минут. Как настроить и на что обратить внимание?

Привет, друзья IdeaFox!

Обновление: Теперь плагин выпускается под названием iThemes Security, о чем писал вот здесь: https://ideafox.ru/pro-blog/ithemes-security.html. Учтите этот момент, когда будете искать его в репозитории WordPress для установки.

Скажу сразу, что я немного помешан на безопасности и уделяю этому вопросу серьезное внимание. Посудите сами: ты развиваешь блог, добиваешься результата. И в любой момент все может закончиться, так как на сайт залили вирус и поисковые системы его пессимизируют. Да, потом можно будет выбраться из этой ситуации, но это будет дорого стоить.

И нервы потратите и деньги потеряете. Поэтому подумайте о безопасности заранее, прежде чем неистово писать новые статьи : — )

Ранее на своем блоге я писал статью по этому вопросу и некоторые приемы я возьму из нее.

Кое-какая информация из этой заметки уже устарела. Например, плагин Limit Login Attempts может некорректно работать с версией WP 3.5.1 Читал об этом факте, но сам не сталкивался, так как давно использую другой плагин, о котором пойдет речь ниже (+ свои приемы защиты)

Итак, на что нужно обратить внимание, для повышения безопасности блога:

1. Делаем резервные копии регулярно. Дело в том, что если блог взломал профи, то иногда легче сделать откат на старую версию и закрыть дыры, чем днями и ночами лазить по форумам и искать вредоносный код . Мало того, о том, что ваш блог взломали, можете узнать через некоторое время.

Посудите сами: заразили даже такого монстра, как КтоНаНовенького. Почитайте, очень поучительная история:

2. Используем сложные пароли. Навроде Vfhf%%ajyxbr1312# Забудьте про простые пароли типа 123456

3. Устанавливаем только те плагины, которые регулярно обновляются.

4. Вы не должны заходить в админку Вордпресс как admin . Задайте имя посложнее. Например, adminmonstr12

Как изменить имя, я писал вот здесь.

Или же просто создайте нового пользователя в админке. Но там, насколько я помню, какая-то проблема с записями. Они будут перенесены на нового пользователя.

5. Своевременно обновляем и Вордпресс и плагины. (Обязательно делаем резервную копию перед такими операциями!)

6. По возможности избегайте использование FTP-клиентов. FileZilla, например, хранит пароли в открытом XML-файле. Который очень любят сканировать вирусы-трояны.

7. Ваш компьютер должен быть защищен нормальным антивирусом. Не бесплатной фигней для гиков, а нормальным антивирусом. Из долгого опыта поддержки пользователей у меня сложилось очень положительное отношение к антивирусу от Касперского. Наименьшее количество проблем я наблюдаю именно на тех машинах, где он установлен.

Повторюсь, что бесплатные решения подойдут для технически очень грамотных пользователей.

Вот здесь писал как получить КАВ его на полгода бесплатно:

8. Удалите лишние плагины.

9. Меняем префиксы в базе данных.

10. Закрываем каталоги от просмотров и очень много других действий.

11. Не используйте ворованные шаблоны или изо всяких файлопомоек.

Нормальный шаблон на themeforest стоит от 20 до 40 долларов. Это нормальная цена за отличный дизайн.

12. Естественно, пароль должен быть сложным и для входа на сам хостинг.

Соблюдая эти простые правила вы достаточно хорошо защитите свой блог. Но придется поработать руками и головой.

Когда я заморозил два прежних своих ГС, то мне не хотелось опять все делать вручную и стал искать плагин, который решил бы эту проблему побыстрее. В мои цели не входило со всем разбираться вручную (как здесь) и долго искал.

Я их попробовал штук пять (четыре раза блог падал!), но вот на пятый раз мне повезло.

Better WP Security

Очень хороший плагин, который в пару кликов делают работу, которую в ручном режиме опытный спец делает пару часов, а новичок пару дней.

Внимание: обязательно нужно сделать резервную копию перед установкой этого плагина.

Если не уверены, что сможете восстановиться из резервной копии, то не ставьте Better WP Security.

Этот плагин может конфликтовать с теми, которые установлены на ваших блогах. Поэтому даже если установка прошла удачно, погоняйте блог, посмотрите разные страницы — вдруг что-то вылезет.

Он может тормозить блог на слишком слабом виртуальном хостинге. (так называемые «однодолларовые хостинги»)

Самое главное: убедитесь, что помните свой логин и пароль к админке. По умолчанию, он настраивается так, что дается 5 (пять) попыток на ввод верного пароля. На шестой раз следует бан.

Итак, как установить и настроить этот плагин:

Инструкция по установке и настройке iThemes Security

Вернулся к статье и добавил небольшое видео. Дело в том, что теперь плагин называется iThemes Security и появилось несколько новых функций. Особое внимание обратите на настройку, связанную с блокировкой русских символов.

Уже обращалось несколько человек, которые видят «белые экраны смерти» в админке своего блога..

Видео писал без дублей, с первого раза. Есть некоторые заминки и слова-сорняки : ) Но основной смысл понятен : )

У меня есть видеоурок по безопасности, который рекомендую посмотреть, и все станет понятно. (Речь идет о старой версии Беттер Вп Секьюрити и не только)
Этот урок входит в бесплатный курс «Надежный блог за один вечер» и полную версию курса можно получить на этой странице.

Если лень смотреть видео, то внимательно прочитайте инструкцию ниже.

1. Делаем резервную копию блога. (как это делается, писал вот здесь)

2. Удаляем всякий хлам в виде плагинов, которые не используете. Или пользуетесь, но видите, что толку от них нет.

3. Установка стандартная:

После установки у вас на блоге должно появиться такое меню “Безопасность”:

И потребуется простая настройка, которая сразу же решит кучу проблем безопасности:

1. Заходим в меню “Безопасность и видим следующий экран:

Так как у вас есть резервная копия блога (так ведь? : ), то жмем на кнопку “Нет, спасибо. У меня уже есть резервная копия”

Переходим к следующему экрану:

Жмем на кнопку “Разрешить этому плагину изменять основные файлы WordPress”

И видим следующий экран:

Жмем на кнопку “Защитить мой сайт от базовых атак”

Блог задумается на некоторое время и показывает следующий экран:

В принципе, на этом можно остановиться, так как от большинства проблем Вы защитились.

Те, кто не разбираются хорошо в Вордпресс или боится – не двигайтесь дальше, пожалуйста. Иначе пара бессонных ночей будет обеспечена.

Для тех, кто уверен в себе и знает английский, двигаемся дальше:

Если строки синие, оранжевые или зеленые, то проблем нет. Но в идеале, они должны быть все зеленого цвета.

Давайте убирать “Красные строки”, которые означают потенциальную угрозу.

1. Я сразу изменил админа на другое имя поэтому у меня надпись “The admin user has been removed.” подсвечена зеленым. Если красным, то просто измените имя на другое, но только не admin

2. “А user with id 1 still exists” подсвечено красным. Жмем на надпись “Click here to change user ID…”

На след. экране Вам будет предложено изменить ID. Соглашайтесь.

К сожалению, скриншота нет этого окна.

3. Следующая строка: “Ваш префикс не должен быть wp” Жмем на надписи рядом “Кликните здесь, чтобы переименовать его”

Этот простой шаг снизит вероятность успеха SQL-атаки.

Так как у вас есть резервная копия, то жмем на кнопку “Изменение префикса таблицы базы данных”

Префикс автоматически будет сгенерирован. Не такой же, как в моем примере, конечно.

В моем примере префикс получился mvr9m_ В Вашем случае он может быть другим. Например, cvd7t_ (Понятно, что сейчас он совсем другой и я не “свечу” его на скриншотах”)

4. Your installation is not actively looking for changed files”

Кликаем на надпись рядом : “Нажмите, чтобы исправить” и ставим галочку напротив

“Enable file change detection”

В чем суть: теперь к Вам на почту каждый день будет приходить сводная таблица с файлами, которые были изменены. То есть, например, изменили ваш файл .htaccess, вам свалится об этом письмо на почту.

Но тут есть одно но. Если у Вас установлен плагин кэширования, то эта таблица будет огромной. Ведь плагин кэширования каждый день создает и удаляет множество файлов.

Я просматриваю это письмо только на предмет изменения системных файлов. (Они в самом конце письма, как правило)

В принципе, можно больше ничего не делать, так как даже наличие «оранжевых строк» — не особо ослабляет безопасность блога.

Но тем не менее:

Чтобы не переписывать названия строк на английском, пробежимся по некоторым строкам:

Буду указывать номера пунктов:

1. Включить применение надежных паролей. Актуально, если на блоге есть подписчики через процедуру регистрации в Вордпресс.

2. Сокрытие служебных тегов ВП. Не трогайте, если используете протокол XML-RPC

3. Скрывает информацию для пользователей-подписчиков блога, но не администраторов блога. Неактуально, если только один пользователь на блоге. Да и тот — админ.

4. Удаляет юзера admin и предлагает его переименовать. Я это делаю сразу при запуске блога и не знаю как эта штука работает в этом плагине.

5. Уже изучали этот пункт

6. Уже изучали этот пункт

7. Позволяет делать резервные копии базы данных блога и отрпавлять на е-майл. Удобно, кстати.

8. Позволяет скрыть админку. Например, уехали в отпуск на неделю и сами себя забанили на неделю (или на ночь, чтобы неповадно было : — ) Не использовал – боюсь :)

9. Подгружает блэк-лист хакеров с американского сервера и превентивно их банит. Не советую включать. Тормозит.

10. Это — полный аналог лимит-логин-аттемпт.

Внимание: если выставите слишком жесткие настройки в этом пункте, то можете сами себя забанить навеки : — ) Например, я выставил бан за 3 раза неверно набранных пароля. Так вот — бан будет не только по IP , но и для пользователя с указанным именем.

Например, мой логин adminbbvc и сложный пароль. Блокировка установлена на месяц за три неверно набранных пароля. Вы набрали неверно три раза.

Так вот в админку с этим же паролем вы попадете только через месяц. Сам себя так один раза забанил, ради эксперимента. Спасение одно — резервная копия блога.

11. Не трогайте это. Меняет URL на произвольный. Нельзя для «старых» блогов.

12. Закрывает htaccess от взлома. Очень популярно у мошенников, которые воруют мобильный трафик через редирект.

13. Ни разу не трогал этот пункт.

14. Уже рассмотрели этот пункт.

15. Защищает от взлома через «длинный URL». Рекомендую включить, постоянно долбятся через этот прием.

16. Дальше сами разберетесь, уважаемые хакеры : — )

Я серьезно — настроек слишком много, чтобы описать все возможности в одной заметке. Поройтесь, поэкспериментируйте и он вам точно понравится.

Например, через этот плагин я банил парсеры текста, глупого спамера, который вещал со статичного IP (бывают и такие кретины), делаю регулярные копии базы данных на е-майл и массу других вещей.

Что делать?

Постарайтесь максимально защитить свой блог. Это действительно важно. Я прекрасно понимаю, что здесь не хакеры собрались, но тем не менее, соблюдайте простейшие правила безопасности, которые поняли.

Я и далее рассмотрю вопросы безопасности блога, не пропустите и подписывайтесь на новости.

Задавайте вопросы : – ) Как Вы защищаете свои блоги?

Вот еще в тему статьи:

Только для блогеров и вебмастеров:

Проверьте Вашу почту и подтвердите подписку на новости

Проверьте правильность заполнения еще раз!

Нажимая на кнопку «Подписаться», Вы даете согласие на рассылку, обработку своих персональных данных и соглашаетесь с политикой конфиденциальности.

204 комментария к “Better WP Security — мощная защита блога за 5 минут. Как настроить и на что обратить внимание?”

Очень актуально и спасибо Дмитрий. Как раз сейчас решаю вопросы безопасности, а статья про ктонановенького лишний раз убедила в том, что никто не застрахован.

Да уж, Александр. Побеспокоиться надо заранее, так как полно умников развелось. Я только призываю к тому, чтобы сделать сначала резервную копию сайта, а потом уже ставить этот плагин. Но он действительно очень хорош и имеет массу настроек безопасности.

А почему ссылка на мой блог не отображается? Стираете? :)

А вот правило у меня такое) ссылку на блог пропускаю только на 4-5 раз. И «спасибистов» не пропускаю, которые приходят один раз ради ссылки. Надеюсь на понимание ))

Разумно меня они тоже достали эти спасибисты )
Дмитрий, спасибо за отличную статью.

Если создать нового пользователя с правами администратора через админку и потом удалить прежнего, то во время удаления будет вопрос, перенести ли записи на нового пользователя. Никаких проблем при этом не возникает.

Спасибо, Жанна. Я в свое время не рискнул так сделать и просто поправил юзера в PHPmyAdmin
Хотя, твой способ в разы проще, конечно.

Да уж, два раза ломали и то что здесь написано уже применил на блоге, кроме этого плагина. Что ж будем дальше копаться

Привет, Gertc)
Я немного позже напишу про более тонкие настройки этого плагина.
Очень он хорош — спору нет.
Если тебя постоянно ломают, то может быть много причин. Но сначала проверь все права на каталоги (ищи в первую очередь проблемные каталоги с правами 777 — три топора)
Или в шаблоне закладка…

Уууу какой огромный мануал! Решил победить ктонановенького с его простынями?

Ты что, Ханна?! На святое замахнулась)))
А если без шуток, я считаю КтоНаНовенького профи высшего уровня. В области SEO, конечно.
Причем я читал его с самого начала и наблюдал его эволюцию. Обратите внимание, что он не бьет себя пяткой в грудь : — ) и очень скрытен.

Меня вот что удивило. В истории Limit Login Attempts интересно наблюдать сколько попыток было взломать, раньше не знал про это. Убежал в панике менять пароль на хостинге)))

Смотри, пароли не забудь)

У меня тоже кучу писем пришло о попытках взлома, хорошо все-таки что я этот плагин установила

Точно) Лучше заранее защитить свой блог)

Поставил себе это плагин, все работает все сейчас в норме.
Но до того как поставил спама не было, ну так один коммент придет раз в месяц и все. А вот после установки и настройки этого плагина, спама полезло каждый день по десятку комментариев.
Сейчас все устаканилось, но все же интересно — это плагин так влияет или у меня до этого все плохо было, а я не замечал?

Я думаю, что это никак не связано со спамом, Артем. Просто стечение обстоятельств такое.

Вполне может быть. Я после установки плагина все пароли поменял на 20-ти значные, теперь фиг подберешь :)

Круто) 20 знаков… Но смотри, не забудь. Если будет бан по IP + имени юзера — спасением будет резервная копия.

Ужс, мне 8 значный уже кажется слишком длинным и сложным для набирания, а ты 20 не ленишься вбивать?)

Все ходы записаны (с) Двенадцать стульев

Актуальная и даже больная тема. Только недавно Джино отключал мой блог на пару часов из-за учащения атак на него. Моей паники не было предела))

Невидимая каптча, Логин Локдаун стоят, пароль длинный и тд. Префиксы вот забыла поменять, точно — спасибо за напоминание!

В общем, в итоге атак я ужесточила защиту так, что забанила даже себя)) Сейчас жду, когда знакомый программист напишет спец плагин под это дело (у него много запросов таких — решил сам написать). Проверяю атаки, периодически включая WP Sentinel.

К антивирусам не особо хорошо отношусь — двоякое мнение еще со времен универа (у меня основное направление — программирование). Уже много лет отказалась от них, используя «таблетки» (сканы). Но последнее время все чаще думаю опять поставить — как-то спокойнее будет.

Я тоже попался вчера под твои санкции….

Да, я помню)) И еще двойное нажатие «Отправить комментарий»!))

Ого, нечасто встретишь девушку-программиста. Завидую по-хорошему)

У меня чуднАя специальность — всего намешано (физмат фак, я была в тусовке программистов). И уже в прошлом)

Жаль нету возможности вставки изображений, а то бы пару скринов вставил бы, но ладно, напишу на словах. меня взламывают периодически, точнее очень периодически, почти постоянно. На почту приходят письма типа «хост такой-то такой-то заблокирован из-за слишком много попыток входа» ( на английском ) Иногда наблюдаю, как некто очень упертый трое суток колупает вход. Плагин суперский, без него давно бы вскрыли как консервную банку ( ну и логин естественно не admin ) Ещё добавл одного пользователя и дал ему все права, на всякий случай, если злыдень и взломает, то скорее всего сменит пароль, но искать ещё одного админа в голову мало кому придет. одна проблемка, перестал приходить бекап базы на почту. Почему не знаю. Хорошо, что «Джино» делает и файловый и базу данных.

И напоследок, недавно я удалял с двух сайтов вирусы. Защиты там не стояло.

Сергей, рад видеть опять на блоге)

Знаешь, у меня стоит ежедневное автоматическое копирование с транзитом по FTP на другой сервак. И все равно я делаю вручную бэкапы. После четырехкратного падения этого блога я стал жутким параноиком и перестраховщиком.

На самом деле там есть еще пара крутых настроек, о которых расскажу немного позже. Еще проведу испытания и напишу)

Я сам скоро с тобой стану параноиком….а вот идея с дополнительным админом хороша

Жень, идея с доп.адином не решение, к сожалению. Высылаю тебе по почте успокоительное)

Дмитрий, мне тоже не мешало бы успокоительное, я уже три дня ощущаю себя в осаде, ломятся бяки всякие, даже две статьи написала о защите, сначала о том как у меня контент своровали, а потом об этом плагине, как я настраивала Защиту. Кстати по поводу пункта 9 в интернете попалась информация, что нельзя использовать этот список, потому что в него включен Яндекс — не знаю правда или нет?

Пункт 9 лучше не включать. У меня все жестко начало тормозить, да и не может быть единого списка всех злодеев в мире. Да и думаю, что этот список актуален для США, а не для России)

в интернете попалась информация, что нельзя использовать этот список, потому что в него включен Яндекс — не знаю правда или нет?
Да, есть/было такое дело. По крайней мере летом 2013, поисковый паук Яндекса был в списке «вредоносных» )

Он похоже и сейчас в этом списке )
Я бы не советовал включать опцию с превентивной защитой от подозрительных IP.

Сергей, если кто-то взломает вход пользователя с правами администратора, то он на вкладке «пользователи» увидит всех других пользователей с их правами. Или этот плагин позволяет скрывать пользователей в админке вордпресса?

В любом случае, можно изменить пароль админа из хостинг-панели, у Дмитрия там по ссылке описано.

Верно, если есть доступ к PHPMYADMIN то не составит проблем поменять в таблице users любые пароли.
Это самое малое, что можно сделать в данной ситуации и не является гарантией от решения проблемы. Дело в том, если залили шелл — то можно менять пароли хоть каждую минуту — данные будут сливаться куда надо.
Вот поиски шелл или кусок вредоносного кода — это жесть, конечно. Легче подняться из бэкапа.

Дмитрий, а я все время делал архивную копию блога так: FTP-клиент запускал и тупо переносил все папки с хостинга себе на компьютер =). Понимаю, что это по-ламерски, наверное, но я во всей этой защите совсем не разбираюсь. Папки копируются быстро, за 5-10 минут, меня это вполне устраивает. А вообще, это как? Чисто технически это надежно? Ну, если мой блог, допустим, взломают и полностью снесут, то я потом, закачав обратно все эти папки, верну его первозданный вид?

Михаил, этого недостаточно. Тебе нужно периодически сохранять резервную копию MySQL — базы данных + содержимое всех каталогов сайта. Нужно понимать, что блог состоит из двух частей: база данных + файлы. (очень грубо)

Данный плагин позволяет делать в автоматическом режиме резервную копию базы данных и отправляет ее на указанный е-майл. А папки можно копировать вручную.

Или же обратись к своему хостеру и у него наверняка есть встроенные механизмы резервного копирования/восстановления сайта.


А есть ли смысл ломать сайт с низкой посещаемостью? и что делают с ломанными сайтами?

Дарья, как правило, на такие сайты заливают ссылки на всякие сомнительные ресурсы, вставляют троянцев и прочую нечисть)

Кого как, но пароли типа Vfhf%%ajyxbr1312# меня не впечатляют (( Хр*н запомнишь. Я предпочитаю миксовать буквы с цифрами, безо всяких символов.

Елена, тем самым ты облегчаешь задачу перебора паролей на твоем блоге )
Ты же ведь уже дважды заражалась и я бы на твоем месте очень крепко призадумался о безопасности.
Видно, что много сил вкладываешь в проект, и советую очень конкретно защищать свой блог.

У меня тоже буквы с цифрами. Но я сомневаюсь, что кто-то подберет этот пароль. Потому что он состоит не из обычных слов, а из таких, какие понятны только мне одному =). Ну и ограничение на попытки ввода пароля у меня стоит: 1. Один раз неправильно введешь — и добро пожаловать в бан =), вторую попытку уже только с другого IP удешь делать. У меня все жестко! =)

То, что сайт защищен от перебора паролей — уже большой плюс)
И все таки добавь сайт в панель веб-мастеров Гугл для надежности.

Тоже такую штуку поставила )

А что за плагин такой?

Я заражалась другими путями )) У меня довольно сложная система паролей, нигде ни один пароль (тьфу-тьфу-тьфу) еще никто не взламывал

Да уж, прошлый месяц заставил задуматься о безопасности, много чего сделала для этой самой безопасности. Но есть еще много способов обезопасить свой блог от заражения.

Не люблю плагины почему-то

Дмитрий, а как понять, что блог заражен?

Михаил, для начала нужно сайт разместить в Яндекс-Вебмастер и Гугл Для Вебмастеров. Поисковые системы предупредят письмом, что они нашли вредоносный код на сайте.
Погугли — в Сети полно таких инструкций.
Если хочешь бегло проверить сайт , то писал про это статью вот здесь
Особенно хорошо ищет ДоктоВеб (онлайн-сервис)
https://ideafox.ru/pro-blog/proveka-saita.html

Так что за плагин для защиты от перебора?

Жень, привет) В беттер вп есть закладка «ограничение входа» — это и есть полный аналог limit login

Ага, спасибо. Я как раз сейчас статью на КтоНаНовенького читаю на эту тему. А в Яндекс-Вебмастере я уже зареган давно.

Безопасность — дело нужное. Так что, Дима, правильно делаешь, что печешься об этом — «посещалка» у тебя на высоком уровне.
А я вот все на потом откладываю — в этом плане. Все думаю: да кому я нужен? Не «Консультант Плюс» и Не «Гарант» какой-нибудь? Так, маленький человек в стиле Чехова Антона Палыча…

В том году были вирусные атаки на сайт, но все восстановил. Спасибо за полезный материал по защите блога! Успехов Вам и Удачи! :)

Пож-та, Олег. И тоже рад видеть на блог)

Спасибо! Как раз кстати!

Пож-та, Сергей. Рад видеть на блоге)

Дмитрий, извини за оффтоп: какой у тебя плагин для комментариев?

Ой, извини, уже дошло))

Ольга, обычные комменты ВП. Только плагин с оповещением о новых комментах)

Ага, я поняла уже после того, как спросила) Спасибо!.

Осторожность не бывает лишней!
Риск дело благородное в реальном мире, а в Интернете надо защищаться всеми доступными способами…

Не то слово, Андрей. В Интернет у людей проявляются самые гнусные черты вроде — бы порядочных в реале людей.
Да, и рад видеть на блоге)

Прочитала начало Вашей статьи и прям страшно стало! Я и половины из того, о чем Вы пишете, не знала! Срочно заучиваю материал и иду разбираться с плагином!!

Юлия, рад видеть на блоге)
Юлия, только обязательно делайте резервные копии перед тем как нактывать плагин.
Рекомендую прочитать тем, кто думает, что низкопосещаемые блоги никому не нужны ))
https://ideafox.ru/pro-blog/bezopasnost-bloga.html

Я рада, что Вы рады)) Я уже несколько дней ваш блог читаю. Долго смеялась во время чтения Вашего материала про конкурсные статьи))

А по поводу защиты — я тоже думала, что мой молодой блог пока никому не нужен. Теперь я поменяла свое мнение….

Хорошо, Юлия)
Рад, что нравится мой бложик)
Очень советую принять все меры безопасности с самого начала. Будут вопросы — задавайте, отвечу.

Да, скорее всего какие-то вопросы появятся… А пока штудирую материал…

Дмитрий, Вы будете смеяться, но у меня стоит плагин WP-Security. И вот что он пишет (авто-перевод с буржуйского):

У Вас есть последняя версия WordPress.
Ваш префикс таблицы не wp_ .
Ваша версия WordPress успешно скрыты.
WordPress DB ошибок выключен.
WP ID META теги удалены форме WordPress основной
Нет пользователя «администратор».
Файл. Htaccess не существует в WP-администратора раздела

Красненьким только последняя строка. Я не совсем понимаю что мне делать с этим файлом htaccess. У меня такой файл есть в корневой папке. Нужно еще один что ли создать? И что мне с ним делать нужно?

Юлия, речь идет о плагине WP Security Scan? Если да, то ничего делать с .htaccess не нужно.

Точнее, при установке WP Security Scan плагин просит разрешения создать такой файл в каталоге wp-admin
Я разрешал создать такой файл и строчка становилась зеленой

Да, у меня именно этот плагин установлен. Не помню, чтобы он у меня что-то спрашивал при установке. А строчка красная у меня

Юлия, тогда плагин должен предложить исправить эту красную строчку. Уже не помню — то ли нужно нажать на эту строчку то ли рядом есть кнопка. Но обязательно сначала сделайте резервную копию сайта

К сожалению плагин ничего предлагать мне не хочет)) Только ссылку дает на буржуинскую статью, где рассказывается почему важно защищать админку. Попробовала установить файл ручками, но видимо что касается кода и тех. настройки WP у меня руки растут совсем не оттуда(((

Как раз сегодня планировал заняться защитой своего блога. Этот плагин также Goodwin советует, который темами занимается. Два авторитетных мнения — более чем достаточно :) Спасибо, Дмитрий!
P.S. я не спасибист )))

Иван, знаю, что не спасибист и ссылку пропускаю;) Я помню твой блог и насколько знаю, теперь живешь в США. А что не пишешь про это? Ведь людям интересны такие рассказы.

Ну что, поставил это чудо-плагин.
Вопросы:
Может ли меня разбанить другой админ?
Как на почту могут приходить базы размером более 200 Мб?
Этого достаточно для безопасности? а то я скоро буду думать постоянно о подлых хакерах?

Евгений, отвечаю:
Может ли меня разбанить другой админ?
Не проверял такую возможность, но по идее должен. Он зайдет под своим логином и паролем и разбанит в BWPS
Как на почту могут приходить базы размером более 200 Мб?
База данных сжимается архивом очень хорошо. 200 мб должны превратиться в 15-20 мб. Но нужно посмотреть, какой размер архива получается и уточнить ограничение своей почтовой службы. В майл.ру должно дойти письмо размером до 50 мб (если не ошибаюсь). Но на многих почтовиках осталось ограничение в 10 МБ.
Этого достаточно для безопасности? а то я скоро буду думать постоянно о подлых хакерах?
Этот плагин хорошо защищает от базовых атак, но нужно быть всегда начеку :-)

Советы очень нужные! Дмитрий, спасибо вам, я об этом плагине раньше не читал.

Пожалуйста, Сергей. Рад, что помогла тебе эта заметка)

Дмитрий, установила плагин, подскажите у меня еще стоит плагин Block Bad Queries (BBQ), а может Better WP Security и с этим справляется и его можно удалить или все же оставить?

Евгения, к сожалению, не знаю этот плагин и что он именно делает

Он защищает от вредоносных URL запросов, пусть тогда стоит.

Ну, если не конфликтуют, то пусть вместе защищают Ваш блог :-)

Здравствуйте, Дмитрий! Плагин действительно хороший, даже скрывает админку. Сейчас проверил на Вашем блоге (wp-admin — 404) — Заранее прошу простить за то, что пытался зайти в админ-панель — это все ради эксперимента=).
Но интересует вопрос — не слишком ли нагружает этот плагин БД, процессорное время и пр., тем более с посещаемостью более 4000? Не «советует» ли Вам хостер переходит на VPS?

Привет, Павел)
Да, действительно, плагин закрывает админку от любопытных )))
Мой блог на ВПС и не заметил тормозов. Люди ставят и на виртуальные хостинги и не слышал еще жалоб.

Я бы рекомендовал ставить плагин в связке с WP Super Cache.

На виртуальном хостинге свободно выдерживал до 1500 уников
На ВПС свободно выдержал 7500 в пиковую загрузку. У меня МакХост, можете попробовать 3 месяца бесплатно по моему промо-коду о чем писал вот здесь:
https://ideafox.ru/pro-blog/3-month-hosting.html

Отличный пост, на днях думаю реализую, хотя… архивы баз данных и блога делаю каждый день, может даже не буду возиться. Но для теста хотелось бы поюзать.

Привет, Михед
Резервные копии хорошо, но вот взлом можно не сразу заметить. И тогда может быть ситуация, что придется откатываться на много дней назад. А тут хотя бы видно, ломится кто на сайт или нет + ежедневное письмо об измененных файлах на блоге.
Можно быстрее отреагировать

Здравствуйте, Дмитрий.
Установила плагин, есть несколько вопросов к Вам:
1.Резервные копии сайта на почту пришли только один раз
2. Как определить протокол XML-RPC? (2. Сокрытие служебных тегов ВП. Не трогайте, если используете протокол XML-RPC)
3. Хочеться скрыть админку на странице (а как потом входить?)
Я еще только учусь.

Дима, помоги мне разобраться в 15 пункте. Так как у меня достаточно длинные урлы. Если я поставлю галочку предотвратить длинные строки URL. То я не смогу писать длинные заголовки, или они просто как то будут сокращаться или еще что?

Наталья, он у меня включен — проблем нет. Иногда у меня бывают очень длинные УРЛ.
Тут только проверкой можно сказать. По идее, не должен создавать проблем.

Долго думала- устанавливать плагин или нет. По параметрам он идеальный, заменяет несколько плагинов, но боялась вдруг все слетит, а возиться потом времени нет. Но рискнула и установила. Все работает. Я хоть и новичок, но сама удивилась, что дошла до конца, и даже эксперементировала! Только вот 15 пункт пока не стала трогать, боюсь все таки конфликта. Спасибо тебе Дим, все оказалось достаточно легко, справилась за 1 час.

Пожалуйста, Наталья)
Плагин и правда хорош

Спасибо, Дмитрий, за подсказки по защите. Хоть и не один год уже веду блог, но безопасности должного внимания не уделял, наивно полагая — да кому он сдался, мой бложик!
Поставил плагин, всё работает, резервные копии обновляются каждый день.
Оказалось, что блог настойчиво ломают. И пароли подбирают и логины. И настойчиво пытаются войти.
Мда, не ожидал. Теперь — «Граница на замке, ключ в кармане!»

Пожалуйста, Богдан)
Я тоже в свое время был удивлен количеством атак.

Подскажите, а если в журнале я вижу что какие-то файлы были изменены, я этих изменений не делала, как мне вернуть все на Родину, используя плагин, сегодня в такой же ситауции делала через хостера бекап, но наверное, есть более легкий способ, используя настройки плагина…

Этот плагин показывает изменения, но не возвращает их обратно. Учтите, что он фиксирует в журнале все изменения. Например, после обновлений, после кеширования файлов. Но если уверены, что это было заражение блога, то лучше сделать откат из бэкапа

Суть в том, что у меня не показываем в логах плагина ошибку 404, дело в шаблоне. Изменила шаблон, все работает. Где может быть загвоздка в шаблоне, чтоб ошибка появилась в плагине. Проверила ответ сервера, отдает 404 на несуществующую страницу, а плагин не видит. Рылась по интернету ничего не нашла. Только не говори поменять шаблон. Не хочется оставлять эту тему открытой, у меня на другом сайте стоит все нормально, постоянно блокирует \edit. Кстати, что с этим запросом делать, можно ли как-нибудь его заблокировать

Добрый день, подскажите, какой плагин по резервному копированию (всех) файлов сайта дружит с better-wp-security
пысы: перепробовал кучу плагинов, все выдают ошибку 500 :(

Евгений, лучше наверно средствами хостинга делать резервные копии. Такие плагины не очень надежные… у меня хостинг позволяет это делать «одной кнопкой»

Как я понимаю если защищён блог подобным плагином и пункт 10 зёлёный, то капча не нужна? А то она у меня какие-то каракули выдаёт. Типа ошибка РHP

Привет, Рики
Рад видеть на блоге)
Пункт 10 — это защита от перебора паролей от входа в админку. Например, после 10 неудачных попыток — бан на час)
Все это настраивается в параметрах плагина.

Дмитрий — вы оперативно отвечаете) мелочь, а приятно….
Только у меня вопрос был немного не о том….) Я понял про 10-й пункт, спасибо за ответ. Мой вопрос — целесообразно ли после установки Better WP Security, ставить ещё и капчу? Или BWS всё нормально прикрывает? Или чем больше уровней безопасности, тем лучше (просто поднимается вопрос о нагрузке на сервер и т.п) Ваше мнение по этому поводу. Заранее спасибо за ответ)

Рики, я думаю, что это лишнее)
Я не стал ставить капчу. Попробуйте еще сменить адрес админки, вообще не найдут ее)
https://ideafox.ru/pro-blog/bpws3.html
Если искали вирусы, то знаете, какое это муторное дело. Вот этот плагин спасение в таких ситуациях:
https://ideafox.ru/pro-blog/wordfence-security.html

Да… искал — после установки плагина защиты от копирования) Вообще эту страницу жизни на моём сайте нужно назвать — «Шесть шагов чтобы стать параноиком») Менял кстати)) На первом этапе развития)

Здравствуйте, Дмитрий! У меня этот плагин стоит давно. На почту приходят сообщения об измененных файлах. Блог периодически ломают. Не открываются страницы, выдает 404 ошибку. Я не понимаю, как искать уязвимость по сообщению. Напишите, пожалуйста, подробно, в статье, как Вы восстанавливаете измененные файлы. В интернете ничего не нахожу.

Вот так надо объяснять!Спасибо

Буквально только вчера захотел настроить всё сам.Сделал сначала плагин закрыл мне консоль,я просто не мог попасть даже что бы ввести код,после он предложил мне это сделать,но только как я вел я попал на пустую страницу Вордпресс,сидел очень долго и без настроения)пока восстановил свой труд)

Максим, рад видеть на блоге.
Так сами себя что ли забанили?

Дмитрий привет,
Решил установить этот плагин, вот сейчас делаю резервную копию блога. Но прежде всего хотел бы уточнить пару моментов:
1. ты limit login attemps снес и пользуешься теперь только этим плагином?
2. я было установил Wordfence Security, что бы проверить блог на вирусы, то да се. Проверил, ничего страшного нету — плагин убрал. Но вот потом зашел в окно плагина Wp clean up (я им чищу ревизии постов, трешные комментарии, то да се) и заметил, что моя БД потяжелела не мегабайт с лишним. А все потому, что создались таблицы типа wp_wfBlocks (то есть в названии каждой новой таблицы есть WF, что напоминает мне wordfence).
Не подскажешь, стоит ли вообще все это дело трогать или оставить все как есть? (ведь wordfence security я выключил).

Привет)
— limit login attemps снес, так как полный аналог есть в этом плагине
— Таблицы WordFence не трогай. В них хранится вся информация о твоем движке, которая сравнивается с эталоном. Ну и настройки, конечно.

А вот таблицы Беттер ВП секьюрити конкретно разрастаются и может быть проблема, о которой писал здесь
https://ideafox.ru/pro-blog/bpws-problema.html

Ага, спасибо за ссылку. Буду постоянно мониторить и чистить базу.
И еще небольшой вопрос: у тебя включен пункт 12 (там где защита httacces)? Не было никаких конфликтов с темой и/или плагинами?

Нет, не было проблем

Привет, Дмитрий! Поизучал выкладку по теме плагина и вижу, что твоя наиболее адекватная. Поэтому обращаюсь как к специалисту.
Поставил недавно плагин на свой блог. Всем доволен, хорошо работает, даже нашел кое-какие ошибки в коде, которые приводили к ошибке 404.
Но один огромный минус: с тех пор, как я установил плагин, резко возросла нагрузка на сервер. То есть теперь бродит где-то в районе 30-40 pc, тогда как максимальная всего 50. Обычно нагрузка была 10-15 pc. Выросла также нагрузка на базы данных, хотя база небольшая — 19 Мб и в журнале логов записей набираю не более 100 за пару дней.
Сначала я думал, что рост нагрузки связан с тем, что удаляю некоторые посты и часть комментариев, создаю новые страницы на блоге (большая уборка :) ), но бывают дни, когда ничего не делаю, а нагрузка такая же. Так что склоняюсь к мысли, что «виноват» плагин.
У меня возникло несколько вопросов, можешь ответить?
1) Я поменял с помощью плагина префиксы таблиц в базе данных, теперь, если я деактивирую плагин (хочу посмотреть, что будет с нагрузкой) — сайт не рухнет?
2) Я не стал устанавливать некоторые настройки, кот., судя по твоим урокам, нужны. Причина — что могут вступить в конфликт с др плагинами, например, с WP Super Cash.
Это настройки Защита файлов и Удалить разрешение на запись из .htaccess и wp-config.php и еще там некоторые…
Ну и вторая причина, нагрузка, видимо, возрастет еще больше.
Что делать — методом тыка проверять?

Владимир, добрый день!
1. Я отключал плагин (было дело), сайт не падал. Он ведь изменил префикс таблиц и больше к ним не обращается.
С нагрузкой трудно сказать — у меня на тестовом блоге за 69 руб в месяц нет никаких проблем.

2. Ч ВП Супер Кэш не встречал конфликтов.

Насчет нагрузки — какая посещаемость и хостинг?

Урок 9 Самая лучшая защита WordPress сайта – плагин All In One WP Security

Меня взломали. Знаете как страницу во ВКонтакте. Но они не клянчили денег, а насоздавали множество “левых” страниц с ссылками на разные сайты. Тогда я задумался над защитой своего блога. И я нашел идеальное решение.

Первое что я сделал это обратился в техподдержку своего хостинга с просьбой восстановить мой сайт за день до взлома и уже через десять минут у меня был мой нормальный блог.

Потом я установил множество плагинов для защиты ВордПресса от взлома. Но блог стал жутко тормозить. Страницы грузились по пять десять секунд. Это очень долго.

Я начал искать плагины которые не так сильно нагружают систему. Читал отзывы по этим плагинами и все чаще стал натыкаться на All In One WP Security. По описанию он мне очень понравился и я решил поставить его себе на блог. И он защищает меня до сих пор, так как ничего лучше я не встречал.

Что умеет All In One WP Security (защита wordpress всё в одном):

  • Делает резервные копии базы данных, файла конфигурации wp-config. и файла .htaccess
  • Смена адреса страницы авторизации
  • Скрывает информацию о версии WordPress
  • Защита админки – блокировка при неправильной авторизации
  • Защита от роботов
  • И ещё много чего полезного

Я смело могу сказать, что плагин безопасности All In One WP Security – это лучшая защита wordpress сайта.

Настройка All In One WP Security

Зайдя в отдел Настройки, первым делом нужно сделать резервные копии:

  • база данных;
  • файл wp-config;
  • файл htaccess

Делается это на первой странице настройки плагина All In One WP Security.

Пройдусь только по самым важным пунктам.

Панель управления

Тут нас встречает счетчик “Измеритель безопасности”. Он показывает уровень защиты сайта. Ваш сайт должен быть как минимум в зеленой зоне. Не надо гнаться за максимальной планкой – лишние настройки могут нарушить функционал сайта. Добейтесь золотой середины.

Когда вы будете изменять настройки защиты плагина, то увидете в каждом пункте зелёный щит с цифрами – это и есть те цифры которые прибавляются к общему счету безопасности.

Настройки

Вкладка WP Version Info

Чекаем галочку Удаление метаданных WP Generator.

Делается это для того, чтобы в коде не отображалась установленная у вас версия движка WordPress. Злоумышленники знают в какой версии есть уязвимости, и зная установленную у вас версию ВордПресса смогут быстрее взломать ваш сайт.

Администраторы

Пользовательское имя WP

Если у вас логин для входа в админку admin, то обязательно меняем его. Admin это самый популярный логин. Многие ЦМСки предлагают его по умолчанию, а людям просто лень его менять.
Злоумышленники используют различные программы для взлома сайтов. Эти программы подбирают логины и пароли пока не найдут подходящую комбинацию.
Поэтому не используйте логин admin.

Отображаемое имя

Если ваш ник совпадает с логином, то обязательно меняем логин или ник.

Пароль

Если ввести тут свой пароль, то плагин покажет за какое время можно взломать ваш сайт.
Рекомендации по усилению надёжности пароля:

  • Пароль должен состоять из букв и цифр
  • Используйте строчные и прописанные буквы
  • Не используйте короткие пароли (минимум 6 символов)
  • Желательно наличие в пароле спецсимволов (% # _ * @ $ и подробных)

Сложность пароля

Авторизация

вкладка Блокировка авторизаций

Обязательно включаем. Если в течении 5 минут кто-то неправильно введёт пароль 3 раза, то IP заблокируется на 60 минут. Можно поставить и больше, но лучше этого не делать. Может случится так, что вы сами неправильно введёте пароль и будете потом ждать месяцы или даже годы :)
Отмечаем галочку “Сразу заблокировать неверные пользовательские имена”.
Допустим ваш логин hozyainsayta, и если кто-то введёт другой логин (например login), то его IP адрес автоматически заблокируется.

Автоматическое разлогинивание пользователей

Ставим галочку. Если вы зайдёте в админку сайта с другого компьютера и забудете выйти из админки, то через указанный промежуток времени система сама вас разлогинит.
Я ставлю 1440 минут (это 24 часа).

Регистрация пользователей

Подтверждение вручную

Чекаем “Активировать ручное одобрение новых регистраций”

CAPTCHA при регистрации

Тоже ставим галочку. Это отсекает попытки зарегистрироваться боту-роботу, так как роботы не справляются с капчей.

Registration Honeypot (бочка мёда)

Отмечаем. И не оставляем роботам не единого шанса. Эта настройка создает дополнительное невидимое поле (типа Введите сюда текст). Это поле видят только роботы. Так как они автоматически заполняют все поля, то и в это поле что-то напишут. Система автоматически блокирует те попытки регистрации у которых будет заполнено это поле.

Защита базы данных

Префикс таблиц БД

Если ваш сайт существует уже достаточно давно и на нем много информации, то изменять префикс базы данных следует с максимальной осторожностью

Если вы только что создали свой сайт, то можете смело менять префикс.

Резервное копирование базы данных

Включаем автоматическое создание бэкапов.
Выбираем частоту создание резервных копий.
И количество файлов с этими резервными копиями, которые будут храниться. Потом они начнут перезаписывается.
Если вы хотите, чтобы эти файлы дополнительно посылались на вашу электронную почту, то отмечаем соответствующую галочку. У меня для этих целей в почтовом ящике заведена отдельная папка, туда пересылаются все бекапы (моих и клиентских сайтов).

Защита файловой системы

Доступ к файлам

Тут меняем права доступа к файлам, чтобы все было зелёным.

Редактирование файлов php

Ставим в том случае, если вы не редактируете файлы через админку. Вообще вносить какие либо изменения в файлы нужно через программы ftp-менеджеры (типо файлзилла). Так в случае какого либо “косяка” всегда можно отменить предыдущее действие.

Доступ к файлам wp

Запрещаем доступ. Этим действием мы сможем скрыть важную для хакеров информацию.

Черный список

Если у вас уже есть IP адреса которым вы хотите запретить доступ к сайту, то включайте эту опцию.

Файрволл

Базовые правила файрволла.

Файрволл и брандмауэр это программный комплекс представляющий собой фильтр несанкционированного трафика.

Теперь можно проставить нужные галочки:

Дополнительные правила файрволла

На этой вкладке отмечаем следующие галочки:

  • Отключить возможность просмотра директорий
  • Отключить HTTP-трассировку
  • Запретить комментарии через прокси
  • Запретить вредоносные строки в запросах (Может нарушить функциональность других плагинов)
  • Активировать дополнительную фильтрацию символов (Тоже действуем с осторожностью, надо смотреть как влияет на работоспособность сайта)
      У каждого пункта есть кнопка “+ Подробнее” там вы можете почитать подробно про каждую опцию.

6G Blacklist Firewall Rules

Отмечаем оба пункта. Это проверенный список правил который дает плагин для безопасности wordpress сайта.

Интернет-боты

Могут появиться проблемы с индексацией сайта. Я данную опцию не включаю.

Предотвратить хотлинки

Ставим галочку. Что-бы изображения с вашего сайта не показывались на других сайтах по прямой ссылке. Эта функция снижает нагрузку с сервера.

Детектирование 404

Ошибка 404 (такой страницы нет) появляется при ошибочном вводе адреса страницы. Хакеры перебором пытаются найти страницы с уязвимостями и поэтому вводят много несуществующих урлов в короткий промежуток времени.
Такие попытки взлома будут заноситься в таблицу на этой странице и чекнув галочку – вы сможете блокировать их IP адреса на указанное время.

Защита от брутфорс-атак

Переименовать страницу логина

По умолчанию у всех сайтов на Вордпрессе одинаковый адрес страницы авторизации. И поэтому злоумышленники точно знают где начать взламывать сайт.
Эта опция позволяет изменить адрес этой страницы. Это очень хорошая защита wordpress сайта. Обязательно меняем адрес. Я эту галочку не отметил, потому-что мой хостинг автоматически изменил мне эту страницу во время установки системы.

Защита от брутфорс-атак с помощью куки

Я не стал включать эту настройку, так как есть вероятность блокировки самого себя при входе с разных устройств.

CAPTCHA на логин

Если на вашем сайте много пользователей или у вас интернет-магазин, то можете включать Капчу при авторизации во всех пунктах.

Белый список для логина

Заходите в админку только с домашнего компа и вы единственный пользователь своего сайта? Тогда впишите свой АйПи адрес и всем остальным доступ к странице авторизации будет закрыт.

Бочка с медом (Honeypot)

Таже знакомая нам Бочка с мёдом – скрытое поле для роботов, но теперь для страницы авторизации.

Защита от SPAM

Вкладка Спам в комментариях

Капчу в формах для комментариев я не активирую, так как не хочу усложнять комментирование. Терпеть не могу когда приходится выполнять целый квест, что-бы написать пару строчек.
А вот блокировку спам-ботов от комментирования включаем обязательно.

Сканнер

Отслеживание изменений в файлах

Конечно ставим галочку.
Если защита wordpress плагина All In One WP Security все же пропустит хакера, то вы сможете узнать какие именно файлы изменил взломщик. Тогда вы сможете восстановить эти файлы из резервной копии.

Режим обслуживания

Защиты сайту не прибавит, но позволит создать заглушку на время пока вы “ремонтируете” сайт, тогда посетители поймут, что сайт не сломан, а идут профилактические работы.

Разное

Здесь может быть полезным только одна вкладка – Защита от копирования. Включив эту опцию – на сайте нельзя будет выделить и скопировать текст.

Настройка плагина безопасности WordPress All In One WP Security завершена.
Теперь самое время вернуться к пункту Панель управления и посмотреть, сколько балов показывает счетчик защиты.

Это был один из серии уроков про лучшие бесплатные плагины wordpress, так что подписывайся на новые статьи и читай только полезные уроки.
Шутка дня:
Если Вы проснулись на улице, значит Вы там заснули

Понравилась статья? Поделиться с друзьями:
Все языки программирования для начинающих