А сегодня, друзья мои, будем защищаться.
Да. Именно так. От кого? От тех товарищей-подонков, которые будут покушаться на наше «блогосостояние». Кто эти люди я не могу сказать, но они есть и не могу взять в толк, почему под их ногами не горит земля. Почему на их головы не идет каменный дождь и они не захлебываются слюной своего злорадства.
А коли такие люди существуют, то от них нужно адекватно защищаться. И мы сегодня поставим вам супер-клевый плагин для защиты вашего блога.
Будьте уверены, не одна сука не проникнет в ваш блог и не напакостит вам, после того как вы его поставите.
А плагин этот All In One WP Security.
Я раньше пользовался конечно плагинами защиты и как-то особо не беспокоился о безопасности, логин естественно ADMIN, пароль из пяти букв, и естественно это было до поры до времени. В плагины и не заглядывал никогда, ну стоит, да стоит, значит охраняет. Короче в темную все.
А когда хакерская атака прорвала эту защиту и начала перегружать хост, то тут я задумался… И совершенно случайно надкнулся на плагинчик, который мне показался очень милым и доброжелательным. И в то же время очень серьезным охранником, послушав которого и выполнив его указания вы будете под надежной защитой.
Конечно, пока вы будете молодой блогер и пока ваш путь будет в стадии развития, беспечность прокатит. Но когда вы наберете вес и станете локтями расталкивать конкурентов, освобождая место под солнцем, у вас появятся завистники и недоброжелатели. Поэтому с самого начала возьмите в привычку хорошо защищаться.
Так чем же хорош этот плагин All In One WP Security?
- Надежный;
- Бесплатный;
- Русcифицированный;
- Простой.
Установить его на WordPress нужно по стандартной схеме: Плагины-Добавить новый, в поиск вбиваем All In One WP Security, Enter, первый, и это не случайно, будет он родимый…
Перейдем к настройке плагина All In One WP Security
Советую перед установкой сделать копию с вашей Базы данных. 1. Сама База данных. 2. Файл файл wp-config. 3. файл .htaccess.
И все это, как все-таки удобно, можно сделать в настройках самого плагина.
Панель управления
В меню админки находим WP Security, подменю плагина Панель управления.
Первое что бросается в глаза, это этакий манометр нашей защищенности и диаграмма проделанной работы плагина. Это вообще круто.
Что хочу сказать. ВАЖНО! Не увлекайтесь защитой до максимума. Не доводите давление защиты до критического. Чревато последствиями сбоем в работе сайта. Так говорят, сам не испытывал никаких проблем, наверное просто потому что просто держу чуть больше половины положенного.
Здесь в панели управления больше ничего не делаем и переходим в настройки.
Настройки
Вот именно здесь мы делаем копии нашего сайта и Базы данных. Здесь же мы будем, при необходимости отключать Файервол, если понадобится.
Во вкладке WP мета информации поставьте галочку
Во вкладке «Импорт/Экспорт» делаются действия по экспорту ваших настроек в какой-то другой сайт, если у вас есть, чтобы не ставить все галочки, которые мы сейчас будем проставлять. В два клика все будет сделано.
Администраторы
Пользовательское имя WP.
Здесь меняйте имя администратора и это сделать НАДО. По умолчанию admin или wp-admin. Измените на другое, к примеру myblog-admin, или Ja-Vasja-Ivanov. И вообще забудьте слово admin раз и на всегда.
Отображаемое имя.
Придумайте любое имя, кроме admin. И еще советую если у вас сайте несколько аккаунтов, делайте отображаемые имена разными.
Пароль.
Самая интересная вкладочка. С нашим монометром, на котором в секунду можно определить степень взламываемости вашего пароля. Просто вписывайте предпологаемый пароль в строку прибора, он сразу же будет выдавать вам время, за которое он может быть взломан. В нашем случае 9 лет 6 месяцев.
Авторизация
Блокировка авторизаций.
Включите так, как скриншоте. Разумно ставить значения, которые сообразны со здравым смыслом. Например если за 5 минут неправильный пароль был набран 3 раза, то ваш IP заблокируется на час. Так стоит по умолчанию. Я соглашаюсь с таким раскладом. Вы можете изменить, только в разумных пределах.
Заблокированные IP можно посмотреть ниже.
Ошибочные попытки авторизации.
Вот здесь видно тварей. Отслеживайте кто часто лезет и принимайте меры. У меня пока один, это потому что недавно очистил список.
Автоматическое разлогинивание пользователей.
Включаем и ставим время 600 минут, через которые пользователь будет отключен.
Журнал активности аккаунта» и Активных сессий информативные.
Регистрация пользователей
В Подтверждении вручную и CAPTCHA при регистрации ставьте галочки в чекбоксы.
Защита Базы данных
Префикс таблиц БД.
Я не стал ставить здесь ставить галку, но если вы захотите поставить, то сделайте сначала резервную копию своей Базы данных. На всякяий случай.
Резервное копирование.
Ставим галку и назначаем частоту их создания. Так же назначаем количество этих бэкапов, которые будут храниться в специальной директории плагина.
Защита Файловой системы
Доступе к файлам.
В столбце Рекомендуемые действия нажимайте на кнопки там где нужно, плагин все сделает так как надо, и в итоге все строки в таблице должны выглядеть зелеными, вот так как у меня.
Редактирование файлов PHP.
Это для тех, кто правит файлы через админку. Ставьте, если не правите, не ставьте, если правите. Но вообще не рекомендуют править файлы в админке. Хотя дело каждого. Хотя если что накосячите, у вас не будет возможности все быстро вернуть клавишами CTRL Z.
Доступ к файлам WP.
Ставим Галю, тем самым запрещаем доступ к информ-файлам WordPress
Системные журналы.
Как есть, так и оставляем
WHOIS-поиск
Я ничего не делал. Не нужно мне узнавать какую-либо информацию о том или ином IP.
Черный список
Это для тех, кто часто светится на вашем сайте с подозрительными намерениями, вы их можете увидеть в (Авторизация — блокировка авторизаций — заблокированные IP). Если такие есть, то ставьте галку и прописывайте эти IP.
Файрволл
Базовые правила файрволла.
В первую очередь делайте копию файла .htaccess если вы еще не сделали ее и ставьте галочку.
Дополнительные правила файрвола.
Ставим
А в Дополнительной фильтрации символов не ставим галку. Могут проходить не все комментарии, выдавая ошибку 403, что тоже не очень хорошо.
Настройки 5G
Включаем
Интернет-боты.
Не включайте чекбокс
Предотвратить хотлинки.
Включаем
Детектирование 404.
Включаем и ставим время 5 минут
Защита от брутфорс-атак
Ставим галку и здесь вот мы и меняем адрес страницы для логина. Здесь вы можете изменить адрес страницы входа в админку.
Защита от брутфорс-атак с помощью куки.
Не включать, если не хотите испытывать проблемы с разного рода устройствами.
CAPTCHA на логин.
Не знаю как вы, если хотите капчу включить, включайте. Я этого не сделал.
Белый список для логина.
Не включайте. Наверняка будете входить на свой блог с разных устройств, мест и IP.
Бочка с медом.
Включаем
Защита от SPAM
Спам в комментариях.
CAPTCHA в форме комментариев — Не ставим. Блокировка комментариев от спам-ботов — Ставим
BuddyPress.
Добавляет CAPTCHA в форме BuddyPress. Нет надобности использовать.
Сканер
Я так понимаю процесс порчи при взломе. Хакеры меняют какие-то файлы в системе, не найдя которые попытки восстановить сайт не увенчаются успехом. Так вот при помощи этой функции можно отследить что именно изменялось в ближнем времени. Я просто восхищаюсь… Включаем автоматическое сканирование файлов.
Сканирование от вредоносных программ.
За это нужно платить.
Режим обслуживания
Прошу обратить внимание на смысл этого сервиса. Включить режим обслуживания означает выключить ваш сайт вообще. Он не будет виден никому, в том числе и роботам, соответственно и не будет индексироваться. Поэтому имейте это ввиду и не ставьте без острой необходимости эту галку.
Ваш покорный слуга отключил сайт на 2 дня, пока не заметил падения посещаемости и поиск причины.
В текстовом поле напишите что будут видеть посетители на время отключения сайта.
Разное
Здесь я понимаю только защиту от копирования. Галку не ставлю, пусть копируют все, это же так приятно)))
Результат
Плагин мы настроили. Зайдем в панель управления и посмотрим новый уровень безопасности. Уверен, он стал намного выше, чем был. Теперь вы можете быть спокойным за безопасность вашего сайта.
А еще, что характерно, будете сюда заглядывать регулярно, чего не делали раньше с подобного рода плагинами.
Пользуйтесь, живите и работайте спокойно и продуктивно.
Порекомендуйте знакомым этот плагин. Можете дать ссылку на мой сайт
До встречи в сети!