10 популярных плагинов для безопасности WordPress. Плагин безопасности вордпресс
Безопасность плагина WordPress
Ваш код работает! Но безопасен ли он? Есть ли вероятность что через ваш плагин, злоумышленник может получить доступ к сайту? Имейте в виду, что ваш код может быть запущен на сотнях, может быть, даже миллионах сайтов, поэтому безопасность имеет первостепенное значение.
Особое внимание безопасности нужно уделять при создании страницы настроек плагина, создании и манипулировании шорткодами или при сохранение и преобразование дополнительных данных, связанных с записью в БД и выводом на экран.
Есть общие модели, которым можно следовать, чтобы обеспечить безопасность кода. Разобьем их на три:
1. Безопасный ввод
Каждый раз, когда PHP код получает какие-то данные:
- пользователь отправляет данные в WordPress через форму.
- данные импортируются из внутреннего или внешнего источника.
- обрабатывается AJAX запрос.
- данные поступают в WordPress через всевозможные API.
Очень важно убедиться, что это безопасно. Cделать это можно путем проверки и очистки данных.
2. Очистка вывода
Каждый раз, когда заголовок записи, мета данные, или любые другие данные предоставляются пользователю - выводятся на экран, их нужно очищать. Очистка нужна чтобы предотвратить атаки типа: Cross-Site Scripting (XSS - межсайтовый скриптинг).
В WordPress для такой очистки предусмотрен ряд функций все они начинаются с префикса esc_, например esc_html().
3. Проверка прав доступа
Для предотвращения несанкционированных изменений настроек плагина или совершения действий, которые пользователь не имеет права выполнять, нужно проверять права доступа.
WordPress предлагает два пути:
Оба эти типа защиты нужно использовать совместно, т.е. один дополняет другой...
Полезные ссылки по теме безопасности WordPress
5 лучших плагинов для безопасности и защиты сайта
Знание современных и актуальных систем безопасности может помочь людям спасти свои веб-сайты от взлома, но не все новички хотят углубляться в код. Да, мы имеем в виду энтузиастов и новичков, которые хотят обезопасить свой веб-сайт, не используя код.
В этой статье мы постараемся помочь вам защитить ваш веб-сайт, вне зависимости от ваших знаний кода WordPress.
Безопасность WordPress для новичков
Если вы хотите усилить безопасность вашего WordPress сайта, не используя код, или если вы хотите, чтобы кто-то позаботился о системе безопасности за вас, то эта статья для вас. Тут вы найдёте для этого бесплатные и премиум инструменты.
Как оказалось, для безопасности WordPress существует масса приложений. Вы найдёте более 1000 вариантов, если просто введёте в поиск по WordPress плагинам слово «безопасность». Но появляется проблема выбора. На какой плагин можно положиться? Мы используем несколько плагинов уже более 5 лет и расскажем о некоторых из них. Плагины, которые мы перечислим, входят в список наиболее популярных на WordPress на сегодняшний день. Вы не пожалеете, если выберете один из них.
iThemes Security
Начнём мы наш список с iThemes Security потому, что его используют на более 700,000 сайтах.
Крис Вигман создал этот плагин, который впоследствии купили iThemes. Мы говорим это по двум причинам:
- Крис является потрясающим разработчиком, и мы доверяем его работе
- iThemes – это одна из сильнейших компаний WordPress, все её плагины обновляются довольно часто и имеют отличную техническую поддержку.
На данный момент — это наилучший плагин безопасности. Он возглавляет список с 700,000 активными установками. Он предлагает более 30 способов защиты вашего веб-сайта WordPress.
После установки просто дайте плагину сделать свою работу. Он выполняет функции поиска, удаления и защиты в дальнейшем от вредоносных программ. Этот плагин могут легко настроить под свои нужды как новички, так и опытные пользователи. iThemes Security защищает от большинства угроз. Он блокирует вредоносные аккаунты, проверяет изменения в базовых файлах, сохраняет надёжные пароли, скрывает логин и админ страницу, и многое другое.
Премиум версия имеет несколько дополнительных опций и стоит от $80 за год защиты для двух сайтов.
Sucuri
Sucuri на рынке премиум плагинов WordPress имеет репутацию престижного плагина. Разработчики проделали отличную работу, следуя новейшим течениям в сфере безопасности, чем обезопасили тысячи веб-сайтов WordPress.
Для WordPress у Sucuri есть бесплатный плагин для аудита, сканера вредоносных программ и повышения уровня безопасности вашего сайта. Но премиум версия стоит каждой своей копейки. Цена в месяц начинается от $16,66. Если вы профессионал и хотите найти лучший плагин для обеспечения безопасности вашего сайта, то обязательно обратите внимание на Sucuri.
Sucuri предоставляет полный цикл для отслеживания и предотвращения нападения и взлома вашего веб-сайта. В него входят WAF брандмауэр, антивирус и служба удаления вредоносных программ. По любым вопросам вы всегда можете обратиться в службу поддержки. Помимо обнаружения вредоносных программ и защиты вашего сайта, Sucuri работает и с взломами. Предположим, что ваш сайт взломали. Плагин удалит вредоносное программное обеспечение в течение 12 часов, а также пришлёт вам уведомление о любом вредоносном действии.
Sucuri также предлагает такие функции как регулярные бэкапы, защита и сканирование в реальном времени, сертификаты SSL, защита от DDoS атак, идентификация DNS и изменения WHOIS, и многое другие.
VaultPress
Регулярное создание резервных копий тоже принадлежит к числу мер для обеспечения безопасности сайта. За разумную цену VaultPress обеспечивает своих клиентов созданием бэкапов и работой системы безопасности. В набор функций входят также регулярное сканирование сайта, автоматические бэкапы, техническая поддержка. Мы начали использовать этот плагин, как только он вышел. Команда поддержки помогла нам отследить и решить несколько проблем с безопасностью некоторых сторонних плагинов. Мы можем без сомнений порекомендовать этот плагин для создания резервных копий и сканирования системы.
Если сайт таки удалось взломать, то VaultPress очень быстро возвращает вам контроль над веб-сайтом.
Wordfence Security
Wordfence Security – это ещё один плагин для настройки безопасности, который доступен как в платной, так и в бесплатной версии. Его используют более миллиона веб-сайтов. Его мощный Web Application Firewall с Threat Defense Feed защитит ваш веб-сайт от взлома. Обе эти функции блокируют угрозы, к примеру, поддельные Google Bots, Botnets и так далее.
Плагин имеет надежный механизм сканирования, который уведомляет вас о всех подозрительных действиях. Он отслеживает не только вредоносное программное обеспечение, но и любые изменения в файлах, внедрение кода, попытки входа в систему и прочее.
Wordfence Security предлагает уникальную функцию Live Traffic View, которая показывает статистику вашего веб-сайта в режиме реального времени. Это значит, что вы успеете принять своевременные меры при попытках взлома вашего сайта. Плагин содержит Falcon Engine, который обеспечивает быстрый процесс кэширования. Также наравне с функциями управления кэшем существуют 2 режима кэширования, и это возможность очистить кэш и отслеживание использования кэша.
Чтобы получить расширенный список функций, нужно установить премиум версию.
All In One WP Security & Firewall
All In One WP Security & Firewall – это уникальный плагин, который очень нравится пользователям. Его легко настроить, а потом просто наслаждаться защищённостью своего сайта. На данный момент у него более 400,000 установок на сайты, что ставит его в один ряд с iThemes Security.
С интуитивно понятным набором функций вы можете вывести безопасность вашего сайта на новый уровень. Интересной особенностью является система оценки безопасности, которая варьируется от 0 до 470. Так вы поймёте, какой веб-компонент нуждается в дополнительной защите. Вся информация отображается в консоли.
Для избежания поломки сайта All In One WP Security & Firewall работает в 3 режимах: базовый, средний и расширенный. Для начала вы можете выбрать базовый режим, а потом перейти на следующие. В набор функций этого плагина входят также запрет на прямые ссылки изображений, защита от атак, управление префиксом базы данных, защита с помощью брандмауэра, блокировка IP адресов и многое другое.
Итоги
Всегда необходимо заботиться о безопасности своего веб-сайта. Это ставит вас в более выгодное положение в сравнении с теми, кто решил игнорировать этот вопрос. Существует ещё несколько достойных плагинов помимо тех, которые мы уже назвали. Но мы выносим такой вердикт:
- Лучший бесплатный плагин — iThemes Security
- Лучший премиум плагин — Sucuri
Источник: wpcafe.org
designmojo.ru
Плагин безопасности All In One WP Security & Firewall для Wordpress
Я уже рассматривал плагин по комплексной защите блога WordPress iThemes Security, но решил потестить еще один All In One WP Security & Firewall. Ну и оставить на своих сайтах лучший вариант. Итак, устанавливаем.
Переходим на главную страницу плагина All In One WP Security & Firewall. Видим следующую картину. И сразу же видим «Измеритель уровня безопасности». Мой сайт набрал 50 баллов из 470-ти возможных. Что же, не густо. Возможно после его настройки уровень подрастет. Но не следует стремится получить максимально возможный балл, так как это может вызвать проблемы работы с сайтом. В правой части видим «Диаграмму безопасности нашего сайта».
Настройки
Администраторы
Пользовательское имя WP
При установке WordPress автоматически присваивает администратору имя пользователя «admin» (если Вы вручную не измените его). Многие хакеры пытаются воспользоваться этой информацией, применяя для нападения «Брутфорс-атаку», когда они систематично подбирают пароль, используя слово «admin» в качестве имени пользователя. Поэтому рекомендуется его изменить на любое другое.
Отображаемое имя
Когда Вы публикуете пост или отвечаете на комментарий, WordPress обычно отображает Ваш «никнейм». По умолчанию отображаемое имя пользователя идентично логину аккаунта. Для безопасности рекомендуется поменять его, чтобы никто не мог узнать под каким логином вы авторизуетесь.
Пароль
Плохой пароль — это наиболее распространенная уязвимость на большинстве сайтов, и, как правило, первое, что будет делать хакер, чтобы проникнуть на сайт — попытается подобрать пароль. В данном разделе можно проверить надежность пароля, используемого вами. Если хакер будет подбирать ваш пароль, то здесь можно прикинуть время, которое он затратит.
Авторизация
Один из распространенных способов, используемых хакерами для проникновения на сайт, является Брутфорс-атака. Так называются многократные попытки входа методом подбора паролей. Помимо выбора надежных паролей, мониторинга и блокирования IP-адресов, участвующих в повторных неудачных попытках входа в течение короткого периода времени, блокировка количества попыток авторизации и ограничение периода времени для таких попыток, является очень эффективным способом противодействия этим типам атак.
Блокировка авторизаций
- Включить опции блокировки попыток авторизации. Ставим галочку.
- Допускать запросы на разблокирование. Не совсем понял, что означает данная функция. Я не стал ее включать.
- Максимальное количество попыток входа. Установите значение для максимального количества попыток входа, после чего IP-адрес будет заблокирован. Я оставил три попытки по умолчанию.
- Ограничение времени попыток авторизации (минуты). По умолчанию пять минут. Три попытки из предыдущего пункта приведут к блокировке пользователя, если попытки будут выполнены в указанный здесь промежуток времени.
- Период блокирования (минуты). Укажите период времени, на который будут блокироваться IP-адреса
- Выводить сообщения об ошибках авторизации. Отметьте эту опцию, если Вы хотите, чтобы при неудачных попытках авторизации отображалось сообщение об ошибке. Я не стал ее ставить. Ни к чему злоумышленнику получать информацию об ошибках.
- Сразу заблокировать неверные пользовательские имена. Я не стал включать эту опцию из-за того, что я сам могу неверно ввести логин и буду заблокирован на час. Также и другие могут ошибиться.
- Instantly Lockout Specific Usernames. Мгновенная блокировка конкретных пользователей. Чаще всего пытаются взломать логины «admin» и «administrator». Поэтому, если вы их не используете — можно добавить их в список.
- Уведомлять по Email. Если у вас слабопосещаемый сайт можете поставить галочку. В противном случае вас может засыпать данными уведомлениями.
Ошибочные попытки авторизации
Здесь отображаются записи о безуспешных попытках входа на Ваш сайт. Приведенная ниже информация может пригодиться, если Вам нужно провести исследование попыток авторизации — здесь отображается диапазон IP, имя пользователя и ID (если возможно) и время/дата неуспешной попытки входа на сайт.
Опции автоматического разлогирования пользователя
Установка ограничения срока действия сессии администрирования — это простой способ защиты от несанкционированного доступа к Вашему сайту с Вашего компьютера. Эта опция позволяет установить временной период, после истечения которого сессия администратора истекает и пользователю надо будет авторизоваться заново.
- Включить авторазлогинивание. Отметьте эту опцию, чтобы автоматически прекращать авторизационную сессию пользователей по истечении определенного периода времени. Ставьте галочку, если вам это нужно. Думаю, если вы заходите только со своего домашнего компьютера — в этом нет необходимости.
- Разлогинить пользователя через. Пользователь автоматически будет разлогинен по истечении этого периода времени.
Журнал активности аккаунта
Здесь отображается активность администраторов на Вашем сайте. Приведенная ниже информация может пригодиться, если Вы будете проводить исследование пользовательской активности, так как здесь будут показаны последние 50 событий авторизации с данными имени пользователя, IP-адресом и временем входа.
Активность сессий
Здесь отображаются все пользователи, которые в настоящий момент авторизованы на Вашем сайте. Если Вы подозреваете, что в системе есть активный пользователь, которого не должно быть, тогда Вы можете их заблокировать, проверив их адрес IP в списке внизу, и добавив их в черный список.
Регистрация пользователя
Подтверждение в ручную
Если Ваш сайт позволяет людям самим создавать свои аккаунты через регистрационную форму WordPress, тогда можете свести количество СПАМ и левых регистраций до минимума, подтверждая каждую регистрацию вручную. Данная функция автоматически помечает аккаунты новых регистраций как «pending/в ожидании» пока администратор их не активирует. В этом случае нежеланные зарегистрировавшиеся не могут логиниться не имея Вашего подтверждения. Все недавно зарегистрированные аккаунты Вы можете увидеть в удобной таблице внизу, и также там можно одновременно выполнить активацию, деактивацию или удаление нескольких аккаунтов.
- Активировать ручное одобрение новых регистраций. Поставьте галочку тут, если хотите, чтобы все новые аккаунты автоматически создавались неактивными и Вы их могли подтверждать вручную.
Captca при регистрации
Данная функция позволяет Вам добавить поле CAPTCHA на странице регистрации WordPress. Кроме того, пользователи, которые пытаются зарегистрироваться, должны ответить на простой математический вопрос. Если ответ неверный, плагин не даст им зарегистрироваться. Так как у меня уже установлена каптча от гугла — я не стал активировать данную функцию.
Защита Базы данных
Префикс таблиц БД
Рекомендуется перед изменением префикса создать DB Backup базы данных. Вдруг накосячите.
Резервное копирование БД
- Включить автоматическое создание бэкапов. Включите этот чекбокс, чтобы система автоматически создавала резервные копии базы данных по расписанию.
- Частота создания бэкапов. Зависит от вашей мнительности и частоты обновления вашего сайта. Я поставил создание копии БД один раз в неделю.
- Количество бэкапов для хранения. Укажите в этом поле количество резервных копий, которые должны храниться в бэкап-директории плагина. Я оставил значение по умолчанию — две копии.
- Пересылать бэкап на Email. Включите этот чекбокс, если хотите получать бэкап базы данных на свой Email. Рекомендую включить.
Защита Файловой системы
Доступ к файлам
Установки разрешений на чтение/запись для файлов и папок WordPress, позволяющие управлять доступом к этим файлам. При первоначальной установке WordPress автоматически присваивает разумные права доступа к своей файловой системе. Однако, иногда люди или плагины изменяют разрешения на определенные директории и файлы, снижая таким образом уровень безопасности своего сайта, установив неверные права доступа. Эта опция сканирует все важные директории и файлы ядра WordPress и подсвечивает все небезопасные настройки.
Установите рекомендуемые значения.
Редактирование файлов PHP
По умолчанию из панели администрирования WordPress позволяется редактировать PHP-файлы плагинов и тем. Это первейшее подспорье хакеру, получившему доступ в консоль администратора, предоставляющее ему возможность выполнить любой код на Вашем сервере.Данная опция отключает возможность редактирования файлов из панели администратора.
- Отключить возможность редактирования PHP-файлов. Отметьте этот чекбокс, чтобы запретить редактирование PHP-файлов из админ-панели WordPress.
На мой взгляд — это не очень полезная функция. Ведь тот же хакер может в этом же плагине снять галочку, если получит доступ к вашему профилю администратора. В результате вам будут доставлены неудобства, так как для вставки кода того же счетчика, придется лезть на хостинг.
Доступ к файлам WP
Данная опция запретит доступ к таким файлам как readme.html, license.txt и wp-config-sample.php, которые создаются во время установки WordPress и не несут в себе системной нагрузки, но ограничение доступа к этим файлам позволит Вам скрыть от хакеров важную информацию (такую как версия WordPress).
- Запретить доступ к информационным файлам, создаваемых по умолчанию при установке WordPress. Отметьте этот чекбокс.
Системные журналы
Ваш сервер периодически может публиковать отчеты об ошибках в специальных файлах, которые называются «error_log». В зависимости от характера и причин ошибки, Ваш сервер может создать несколько файлов журналов в различных каталогах Вашей установки WordPress. Просматривая время от времени эти журналы, Вы будете в курсе любых основных проблем на Вашем сайте и сможете воспользоваться этой информацией для их решения.
WHOIS-поиск
Эта функция позволяет получить детальную информацию об IP-адресе или домене. Удобная функция, так как вам будет любопытно узнать информацию об адресах злоумышленников. Не потребуется лезть в Интернет в поисках подобных сервисов.
Черный список
Функция «Черный список» позволяет блокировать определенные IP-адреса, диапазоны и юзер-агенты, отказывая в доступе к сайту тем пользователям и ботам, которые использовали эти IP-адреса для спама или по другим причинам. Данная функция реализуется добавлением в файл .htaccess определенных правил.
- Вести Черный список. Отметьте этот чекбокс, если Вы хотите иметь возможнось банить указанные IP-адреса или юзер-агенты.
- Введите IP-адреса. Каждый адрес с новой строки.
- Введите названия юзер-агентов. Каждый юзер-агент прописывайте в отдельной строке.
Чтобы получить возможность включить данную опцию и получить 15 баллов безопасности, необходимо ввести хотя бы один ip-адрес или юзер-агент.
Файрволл
Базовые правила файрволла
Опции в этой вкладке позволяют применить некоторые базовые правила защиты для Вашего сайта. Данная функциональность брандмауэра достигается методом добавления в Ваш файл .htaccess некоторых специальных директив. Активация этих опций не должна иметь никакого влияния на общую функциональность Вашего сайта, но при желании Вы можете создать backup Вашего .htaccess файла, перед тем, как включите эти настройки.
- Активировать основные функции брандмауэра. Отметьте этот чекбокс, чтобы активировать основные функции файрволла на Вашем сайте. Рекомендую поставить.
Эта опция запустит следующий базовый механизм защиты на Вашем сайте:
- Защитит файл htaccess от несанкционированного доступа.
- Отключит сигнатуру сервера в ответах на запросы.
- Ограничит лимит на размер загружаемых файлов до 10Мб.
- Защитит Ваш файл wp-config.php от несанкционированного доступа.
Вышеперечисленная функциональность будет достигнута методом добавления в файл .htaccess определенных директив и не должна повлиять на общую работоспособность Вашего сайта. Однако, просто на всякий случай, рекомендуется предварительно сделать резервную копию файла .htaccess.
WordPress XMLRPC & Pingback Vulnerability Protection
- Completely Block Access To XMLRPC. Рекомендую поставить. Один из моих сайтов перезагружали такими запросами и хостер меня засыпал жалобами о перегрузке сервера.
Данная функция необходима тем, кто через смартфоны публикует и редактирует записи на своем блоге. Если вам это не нужно — смело отключайте. Таким образом злоумышленник не сможет:
- Перегрузить сервер запросами и вывести тем самым его из строя (DoS-атака).
- Взломать внутренние маршрутизаторы.
- Просканировать порты внутренней сети, чтобы получить информацию от различных хостов на сервере.
Помимо усиления защиты сайта, эта опция поможет значительно снизить нагрузку на Ваш сервер, особенно если Ваш сайт получает много нежелательного трафика, нацеленного на XML-RPC API.
- Disable Pingback Functionality From XMLRPC. Ставьте галочку. Пингбэк-защита.
Block access to Debug Log File
- Block Access to debug.log File. Блокировка доступа к отладочному лог-файлу. Поставьте галочку.
Дополнительные правила файрволла
В этой вкладке Вы можете активировать дополнительные настройки файрволла для защиты Вашего сайта. Эти опции реализуются методом добавления определенных правил в Ваш файл .htaccess. В силу определенных особенностей, эти правила могут нарушить функциональность некоторых плагинов, поэтому рекомендуется до их включения сделать backup файла .htaccess.
- Просмотр содержимого директорий. Включите этот чекбокс, чтобы предотвратить свободный просмотр директорий на Вашем сайте. Для того, чтобы эта функция работала, в Вашем файле httpd.conf должна быть включена директива «AllowOverride». Если у Вас нет доступа к файлу httpd.conf, обратитесь к своему хостинг-провайдеру.
- HTTP-трассировка. Отметьте этот чекбокс, чтобы защититься от HTTP-трассировки. Атаки на основе HTTP-трассировки (межсайтовой трассировки, или XST), применяются, чтобы получить информацию из возвращаемых сервером http-заголовков и похитить куки и другую информацию. Эта хакерская технология обычно применяется в сочетании с межсайтовым скриптингом (XSS). Данная опция предназначена для защиты от этого типа атак.
- Запретить комментарии через прокси. Отметьте этот чекбокс, чтобы запретить комментирование через прокси. Запретить вредоносные строки в запросах. Эта опция предназначена для защиты от ввода вредоносного кода при XSS-атаках. ВНИМАНИЕ: Некоторые из блокируемых строк могут использоваться в каких-то плагинах или Вашей теме, и, следовательно, данная опция может нарушить их функциональность. Обязательно сделайте резервную копию .htaccess до установки данной опции.
- Запретить вредоносные строки в запросах. Эта опция предназначена для защиты от ввода вредоносного кода при XSS-атаках. ВНИМАНИЕ: Некоторые из блокируемых строк могут использоваться в каких-то плагинах или Вашей теме, и, следовательно, данная опция может нарушить их функциональность. ОБЯЗАТЕЛЬНО СДЕЛАЙТЕ РЕЗЕРВНУЮ КОПИЮ ВАШЕГО .HTACCESS-ФАЙЛА.
- Активировать дополнительную фильтрацию символов. Это дополнительная фильтрация символов для блокировки вредоносных команд, используемых в XSS-атаках (межсайтовый скриптинг). Данная опция фиксирует распространенные образцы вредоносного кода и эксплойты и вернет хакеру сообщение об ошибке 403 (доступ запрещен). ВНИМАНИЕ: Некоторые директивы в этих установках могут нарушить функциональность сайта (это зависит от хостинг-провайдера). ОБЯЗАТЕЛЬНО СДЕЛАЙТЕ РЕЗЕРВНУЮ КОПИЮ ВАШЕГО .HTACCESS-ФАЙЛА.
6G Blacklist Firewall Rules
Включите данные опции, если хотите выполнить:
- Блокировку запрещенных символов, обычно используемых в хакерских атаках.
- Блокировку вредоносных закодированных строк в URL, таких как «.css» и т.п.
- Защиту от распространенных шаблонов вредоносного кода и специфических эксплойтов (последовательностей команд, использующих известные уязвимости) в URL.
- Блокировку запрещенных символов в параметрах запросов.
Enable 6G Firewall Protection. Эта опция активирует 6G-защиту на Вашем сайте.
Enable legacy 5G Firewall Protection. Эта опция активирует 5G-защиту на Вашем сайте.
Интернет-боты
- Блокировать ложные Googlebots. Отметьте этот чекбокс, если хотите блокировать все ложные Google-боты.
Данная функция проверяет, содержит ли поле User Agent information строчку «Googlebot». В таком случае, функция выполняет несколько тестов для того, чтобы убедится, действительно ли это — бот от Google. Если да, тогда позволяет боту работать дальше. Отнеситесь к данной функции с осторожностью, чтобы не получить проблем с индексацией в случае ошибки.
Предотвратить хотлинки
Хотлинк — когда кто-то на своем сайте показывает изображение, которое, на самом деле, находится на Вашем сайте, используя прямую ссылку на исходник изображения на Вашем сервере. Так как изображение, которое показывается на чужом сайте, предоставляется с Вашего сайта, для Вас это может привести к потерям скорости и ресурсов, потому что Вашему серверу приходится передавать эту картину людям, которые видят ее на чужом сайте. Данная функция предотвращает прямые хотлинки на изображения с Ваших страниц, добавив несколько инструкций в Ваш файл .htaccess.
- Предотвратить хотлинки на изображения. Отметьте этот чекбокс, чтобы предотвратить использование изображений этого сайта на страницах чужих сайтов (хотлинкс).
Детектирование 404
Ошибка 404 или «Страница не найдена» возникает, когда кто-то запрашивает страницу, которой нет на Вашем сайте. Большинство ошибок 404 случаются, когда посетитель написал URL страницы с ошибкой или использовал старую ссылку на страницу, которой уже нет. Однако, иногда можно заметить большое количество ошибок 404 подряд за относительно короткое время с одного и того же адреса IP, с запросами URL страниц, которых нет. Такое поведение может означать, что хакер пытается найти какую-то специальную страницу или URL со злым умыслом.
- Enable 404 IP Detection and Lockout. Отметьте этот чекбокс, если Вы хотите иметь возможнось банить указанные IP-адреса.
- Период блокирования из-за ошибок 404 (минуты). Укажите период времени, на который будут блокироваться IP-адреса.
- URL перенаправления при ошибке 404. Заблокированный посетитель автоматически будет переадресован на указанный вами адрес URL.
Вы можете заблокировать любые IP-адреса, которые записаны в таблице «Логи ошибок 404» внизу. Для того, чтобы заблокировать адрес IP, наведите мышь на графу ID и нажмите на ссылку «Заблокировать временно» для соответствующего адреса IP.
Custom rules
Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.
Защита от брутфорс-атак
Переименовать страницу логина
Эффективная мера защиты от перебора паролей — изменение адреса страницы логина. Обычно, для того, чтобы логиниться в WordPress, Вы набираете базовый адрес сайта, и затем wp-login.php (или wp-admin).
- Включить опцию переименования страницы логина. Ставьте галочку, если хотите активировать функцию переименования страницы логина.
- Адрес (URL) страницы логина. Укажите новый путь к админке.
Защита от брутфорс-атак с помощью куки
- Активировать защиту от брутфорс-атак. Эта функция запретит доступ к Вашей странице авторизации любому пользователю, у которого в браузере нет специального куки-файла.
- Секретное слово. Введите секретное слово, состоящее из буквенно-цифровых символов (буквы латинские), которое будет трудно разгадать. Это слово будет использовано, чтобы создать для Вас специальный URL для доступа к странице авторизации (смотрите следующий пункт).
- URL перенаправления. Введите URL, на который будет перенаправляться хакер при попытках получить доступ к Вашей форме авторизации. Вы можете проявить фантазию и перенаправлять хакеров, например, на сайт ЦРУ или ФСБ.
- На моем сайте есть посты или страницы, закрытые встроенной функцией WordPress для защиты контента паролем. В случае, если Вы защищаете свои посты и страницы паролями, используя соответствующую встроенную функцию WordPress, в файл .htaccess необходимо добавить некоторые дополнительные директивы. Включение этой опции добавит в файл .htaccess необходимые правила, чтобы люди, пытающиеся получить доступ к этим страницам, не были автоматически заблокированы.
- На этом сайте есть тема или плагин, которые используют AJAX. Поставьте галочку, если Ваш сайт использует функциональность AJAX.
Captcha на логин
Данная функция позволяет Вам добавить поле CAPTCHA на странице логина WordPress.
- Включить CAPTCHA на странице логина. Включите этот чекбокс, чтобы добавить CAPTCHA на странице логина Вашего сайта.
- Активировать форму CAPTCHA на измененной странице логина. Поставьте галочку тут, чтобы добавить CAPTCHA в специальную форму логина, которая генерируется функцией wp_login_form()
- Активировать CAPTCHA на странице «потерянного пароля». Поставьте галочку тут, чтобы добавить CAPTCHA на странице восстановления пароля.
Белый список для логина
Функция белого списка All In One WP Security дает возможность открыть доступ на страницу логина WordPress только с определенных адресов или диапазонов IP. Добавьте список белых ip-адресов или диапазонов ip. Все остальные адреса будут заблокированы, как только пытаются открыть страницу логина.
Бочка с медом (honey pot)
Данная функция позволяет добавить специальное, скрытое поле «honeypot» на странице логина. Оно будет видно только роботам. Т.к. роботы обычно заполняют все поля в форме логина, они отправят и какое-то значение в специальном, скрытом поле медового бочка (honey pot). Поэтому, если плагин видит, что данное поле было заполнено, робот, который пытается логиниться на Вашем сайте, будет перенаправлен на свой собственный адрес, а именно — http://127.0.0.1.
- Активировать медовый боченок (honey pot) на странице логина. Включите этот чекбокс, чтобы активировать функция медовый бачок / honeypot на странице логина.
Защита от SPAM
Спам в комментариях
- Активировать CAPTCHA в формах для комментариев. Отметьте этот чекбокс, чтобы вставить поле CAPTCHA в форму для комментариев.
- Блокировать спам-ботов от комментирования. Отметьте этот чекбокс, чтобы активировать правила файрволла для блокировки комментарии от спам-ботов.Данная функция создаст правило файрволла, который блокирует попытки записать комментарий, если запрос не пришел со страницы Вашего домена. Честный комментарий всегда отправлен человеком, который заполняет форму комментирования и кликает на кнопку «Отправить». В таком случае, поле HTTP_REFERRER всегда имеет значение, которые ссылается на Ваш домен. Комментарий от спам-бота отправляется сразу запросом на файл comments.php, это обычно означает, что поле HTTP_REFERRER может быть пустым, или ссылается на чужой домен. Данная функция проверяет и блокирует комментарии, которые не пришли с Вашего домена. Это сильно снижает общее количество СПАМА и PHP-запросов на Вашем сервера при обработке спам-запросов.
Отслеживание IP-адресов по спаму в комментариях
Должен быть установлен плагин Akismet.
- Enable Auto Block of SPAM Comment IPs. Установите для автоматической блокировки ip-адресов с которых идет впам в комментарии.
- Minimum number of SPAM comments. Укажите минимальное количество спам-комментариев для одного IP-адреса после чего он будет заблокирован.
- Минимальное количество спам-комментариев на каждый IP. Эта информация может быть полезна для определения IP-адресов или их диапазонов, наиболее стабильно использующихся спаммерами. Анализ этой информации позволит Вам быстро определить, какие адреса или диапазоны следует заблокировать, добавив их в черный список.
BuddyPress
Данная функция добавит CAPTCHA с простой математической задачей в форму регистрации BuddyPress. Добавление поле CAPTCHA в регистрационной форме — простой способ значительно снизить количество спам-регистраций от роботов, без изменения правил в файле .htaccess.
Сканнер
- Активировать автоматическое сканирование изменений файлов. Включите этот чекбокс, чтобы система автоматически проверяла, есть ли изменения в файлах, на основе настроек ниже.
- Частота сканирования. Укажите периодичность сканирования.
- Игнорировать файлы следующих типов. Прежде всего введите файлы изображений, которые могут часто изменяться без ущерба для безопасности сайта: jpg, jpeg, png, bmp.
- Игнорировать определенные файлы и папки. В первую очередь укажите папку с кешем.
Режим обслуживания
Эта опция позволяет перевести Ваш сайт в режим обслуживания, сделав невозможным просмотр сайта посетителями, за исключением администраторов. Это может быть очень полезным, если Вы что-то настраиваете, меняете дизайн, проверяете работу плагинов и т.д. и т.п.
Разное
- Активировать защиту от копирования. Включите эту опцию, если Вы хотите блокировать функции «Правая кнопка», «Пометка текста» и «Копировать», на публичных страницах Вашего сайта.
- Активировать iframe-защиту. Отметьте, если Вы хотите, чтобы другие сайты не могли показывать Ваш контент внутри frame или iframe.
- Disable Users Enumeration. Эта функция позволяет предотвратить пользователям/ботам извлекать информацию пользователя типа «/?Автор=1». При включении, эта функция будет выдавать ошибку, а не предоставлять информацию о пользователе.
После настройки некоторых правил безопасности получилось набрать 230 баллов.
Оценить статью
Плагин безопасности All In One WP Security & Firewall для WordPress
5 (100%) 1 голос[ов]xn----dtbhaczojgfgnqij1lhf2b.xn--p1ai
10 популярных плагинов для безопасности WordPress
Когда речь заходит о безопасности на WordPress-сайте, то все веб-администраторы делятся на 2 категории. В первую группу входят те администраторы WordPress, которые пользуются всеми возможными плагинами для защиты сайта. А вторая группа — это те, кто живут в счастливом неведении и не подозревают, что могут сотворить с их сайтом хакеры, вредоносное ПО и спамеры, и потому не используют никаких плагинов для безопасности своего ресурса.
Неважно, из какой вы группы веб-администраторов, вот вам список плагинов для безопасности WordPress, чтоб вы могли выбрать что-то для защиты своего сайта.
1. Simple Backup
Этот WordPress-плагин был разработан для создания и скачивания бесплатных резервных копий вашего WordPress-сайта. Примечание: плагин Simple Backup создает специальную папку в корне вашей WordPress-установки с именем формата ‘simple-backup’. Порой такую папку надо будет создавать вручную (если вы получаете сообщение об ошибке при автоматическом запуске). Требования: PHP 5.2 или выше, WordPress 3.3 или новее, Linux Style Server, mysqldump (для бэкапа баз данных) и tar, zip, gzip, или bzip.
2. Ask Apache Password Protect
Весьма необычный плагин для обеспечения безопасности. В отличие от аналогичных плагинов, он работает не на уровне приложения, а на уровне сети, не используя php, чтобы предотвратить возможные атаки. Ask Apache Password Protect был разработан для остановки атак еще до того, как эти атаки коснутся конкретно вашего блога. Требования: веб-сервер Apache и поддержка хостингом файлов .htaccess.
3. Login Dongle
С этим плагином никто, кроме вас, не сможет получить доступ. Всё очень просто. Плагин защищает всю вашу информацию об авторизации при помощи защитного вопроса и дополнительного слоя защиты. Примечание: Страницу авторизации этот плагин не меняет, так что ответ на то, какой у вас защитный вопрос, злоумышленники не смогут узнать по странице. Кроме того, совместим с другими плагинами для авторизации. Требования: WordPress 1.0 или новее.
Плагин был разработан так, чтобы вы и ваши пользователи не видели, как работает встроенная опция авторизации, регистрации или сбрасывания пароля для входа на сайт WordPress. Плюс вы сможете добавить на страницу входа настраиваемый контент. Требования: WordPress 3.3 или новее.
5. Exploit Scanner
Этот плагин будет вести поиск по файлам WordPress и по БД для поиска любых признаков подозрительной вредоносной активности, а также проверяет имена файлов. При этом он не удаляет всё подряд. Вы сами решите, что надо удалить, а что оставить. Требования: WordPress 3.3 или новее.
6. WordPress AntiVirus
Простой в использовании плагин для автоматического регулярного мониторинга всех подозрительных "инъекций". Он способен предупредить вас о возможной угрозе хакерского взлома. Кроме того, в нем есть поддержка разных языков. Требования: PHP 5.1 и WordPress 2.8 и новее.
7. Acunetix WP Security
Еще один бесплатный плагин для обеспечения перечня защитных действий. Так, он сканирует ваш блог на ошибки безопасности, предлагает решения для найденных уязвимостей, проверяет разрешения файловой системы, скрывает версию движка, удаляет мета-теги из кода ядра и т.д. Требования: WordPress 3.0 или выше, PHP5.
8. WordPress HTTPS (SSL)
Этот плагин был создан как пакетное решение (включающее 'private' и 'shared' SSL, принудительную защищенную авторизацию, панель администрирования безопасности, поиск частичных ошибок) для WordPress SSL. Требования: WordPress 3.0 или выше.
9. Anti-spam plugin
Этот плагин блокирует спам в комментариях в автоматическом режиме и не виден при этом ни админам, ни пользователям. Основные преимущества – в отсутствии "капчи", проверочных вопросов или сложных настроек. Требования: WordPress 3.0 или новее.
10. Theme Authenticity Checker
Этот плагин сканирует все файлы темы и сообщает, если найдет какой-то вредоносный код. Отличный инструмент для борьбы с рекламой. Но прежде чем "выпилить" из кода темы любую рекламу, постарайтесь связаться с авторами темы и уточнить, общая это информация или всё-таки рекламная ссылка. Требования: WordPress 3.0 или больше.
Источник: WPHacks.com 
hostenko.com
Подборка плагинов безопасности для WordPress « Все о WEB программировании
28.02.2012 Ромчик3
Доброго времени суток. Решил посвятить данный пост безопасности WordPress. А сподвигло меня на это несколько сообщений от знакомых, что их ресурсы на WordPress подверглись атаке. Некоторым повезло, а некоторым нет. Их ресурс был взломан. Ну последствия взлома понятны: много геморроя с восстановлением. Так, давайте не ждать, когда нас начнут ломать, а предпринимать превентивные действия. Дальше я сделал небольшую подборку плагинов для безопасности WordPress.
WP Security ScanИ первым в нашем рейтинге плагинов безопасности WoredPress стоит WP Security Scan.WP Security Scan проверяет Ваш ресурс на предмет уязвимости в системе безопасности и предлагает корректирующие действия. Сканирует:
- пароли;
- файл доступа;
- безопасность базы данных;
- версию;
- админку WordPress на доступность и защищенность
- удаляет WP генератор мета тегов из кода ядра
Скачать данный плагин можно с официального сайта плагинов WordPress.Secure WordPressПлагин Secure WordPress удаляет информацию об ошибке на странице авторизации, добавляет index.html в папку плагина, скрывает версию WordPress и многое другое, что поможет защитить ваш ресурс.Скачать данный плагин можно с официального сайта плагинов WordPress.Chap Secure LoginДанный плагин позволяет зашифровать Ваш пароль перед отправкой. Пароль шифруется с помощью SHA-256 алгоритма.Скачать данный плагин можно с официального сайта плагинов WordPress.Login LockDownЗамечательный плагин, который записывает с какого ip адреса была осуществлена попытка входа на сайт. Если с одного диапазона ip адресов осуществляется несколько неудачных попыток авторизации за короткий промежуток времени, то плагин блокирует данный диапазон. Который администратор может разблокировать в ручную из админки.Скачать данный плагин можно с официального сайта плагинов WordPress.TAC (Theme Authenticity Checker)Данный плагин сканирует тему на наличие вредоносного кода. При обнаружении такого указывает файл и номер строки в которой был найден данный код.Скачать данный плагин можно с официального сайта плагинов WordPress.
На этом подборку плагинов безопасности я завершаю. И помните проблему легче предотвратить, чем устранить.Если у Вас есть свои соображения по поводу безопасности WordPress делитесь ими в комментариях. Думаю, что это будет всем интересно.Если Вам понравились материалы данного блога, то подпишитесь на RSS-рассылку, чтобы не пропустить выхода новых постов.А на этом все. Будьте бдительны.
Понравилась статья? Поделись с друзьями.
web-programming.com.ua
10 популярных плагинов безопасности для WordPress
Когда речь заходит о защите сайта, то, как правило, всех веб-мастеров можно разделить на два типа. К первому относятся администраторы, которые модернизируют свои сайты благодаря многим плагинам безопасности. Ко второму же можно отнести тех, кто может и не подозревать о различных опасностях. Они могут и не знать о вредоносных кодах, ссылках, различных вирусах и тому подобное.
Независимо от того, к какому типу веб-мастеров или блоггеров относитесь вы, ниже я привожу список плагинов безопасности WordPress, о которых должен знать каждый:
- Simple Backup — этот модуль был разработан для создания и загрузки резервных копий сайта на движке WordPress. Простой плагин резервного копирования создает специальную папку в корневом каталоге WordPress. Как правило — это папка «simple-backup«. Однако этот каталог иногда необходимо создавать вручную (когда возникает уведомление об ошибке). Плагин делает резервные копии, как базы данных, так и всех файлов самого сайта. Имеется возможность проводить бэкап сайта на автомате.
- Ask Apache Password Protect — это довольно необычный плагин безопасности. В отличие от других подобных модулей, для эффективного предотвращения различных атак он работает не на уровне приложений, а на уровне сети без использования PHP. Данный модуль может остановить атаки еще до того, когда они доберутся до сайта. Защита работает благодаря встроенным функциям безопасности сервера Apache. Поэтому для правильной работы этого плагина, вам потребуется веб-сервер Apache и хостинг с поддержкой файлов .htaccess. Сам модуль может блокировать спам и другие вредоносные запросы.
- Login Dongle — благодаря этому плагину, никто кроме вас не сможет зайти в административную часть WordPress. Здесь все очень просто! В качестве дополнительного уровня безопасности, этот модуль защищает вашу регистрационную информацию с помощью дополнительного секретного вопроса. Если ваш логин остается неизменным, то взломщик все равно не проникнет на сайт без правильного ответа на секретный вопрос. Даже если кто-то будет использовать ваш компьютер и браузер, который автоматически запоминает и заполняет данные входа, то этот человек все равно не сможет войти в систему. Данный плагин вы можете использовать в связке с другими плагинами для защиты входа в административную панель сайта.
- Sideways8 Custom Login and Registration — этот модуль предназначен для создания формы входа на сайт, то есть он служит альтернативной заменой стандартного меню входа (меню Мета) на CMS WordPress. Модуль позволяет настроить свою форму регистрации, авторизации или восстановления пароля. Также он скрывает стандартную форму входа. Еще есть возможность добавления формы авторизации прямо в посты записей.
- Exploit Scanner — модуль будет сканировать файлы сайта и таблицы базы данных блога на предмет вредоносной активности. Он также сканирует все активные плагины, чтобы выявить в них подозрительные файлы. Однако вам не стоит бояться, так как он не будет ничего удалять без вашего участия! :)
- AntiVirus — простой в использовании плагин, который автоматически и регулярно контролирует любые вредоносные действия, а также предупреждает вас о любых возможных атаках. Еще одним хорошим плюсом является поддержка русского языка, но я вам рекомендую скачивать только оригинальную версию.
- WebsiteDefender WordPress Security — еще один бесплатный плагин WordPress, который может предложить вам список полезных опций безопасности. К ним относятся: сканирование блога на ошибки конфигурации безопасности, предложение простых решений проблем защиты сайта, скрытие версии CMS, проверка разрешений файлов и многое другое.
- WordPress HTTPS (SSL) — модуль активирует, безопасное соединение SSl с сайтом. Есть возможность использования для общего безопасного соединения, соединения для каких-то конкретных страниц или для административной панели.
- Anti-spam — этот плагин автоматически и незаметно для пользователей и администраторов блокирует любой спам в комментариях. Каковы его основные преимущества? Прежде всего, он не содержит нудную капчу. Кроме того, он очень простой и довольно шустрый.
- Theme Authenticity Checker (TAC) — этот плагин сканирует все файлы установленного шаблона, чтобы выявить в нем скрытые и нежелательные вредоносные коды. Также он является отличным инструментом для выявления и удаления различных внешних рекламных ссылок на сторонние сайты авторов шаблона.
Итак, это был обзор 10 популярных плагинов безопасности для CMS WordPress. Конечно же, существует много и других подобных модулей, но я рекомендую вам сперва обратить свое внимание на эти плагины, так как они наиболее востребованы среди веб-мастеров и обычных блоггеров. Удачного блоггинга!
Сказать спасибо кнопками ниже:
alpha-byte.ru
10 плагинов для безопасности WordPress
опубликовано 31 марта 2011 г.
Плагины для безопасности
Небольшая подборка из 10 плагинов, которая позволяет значительно повысить уровень безопасности блога WordPress. Для удобства выложил плагины для скачивания единым архивом.
Anonymous WordPress Plugin Updates — плагин проверяет обновления WordPress анонимно, то есть не отсылает информацию о вашем блоге такую, как установленные плагины и версию CMS.
Limit Login Attempts – ограничивает количество попыток ввода пароля для входа в админку. Присутствуют функции отображения логов и блокировки пользователей по ip-адресам. Плагин имеет широкий набор настроек. Рекомендую.Sabre – защита от автоматических регистраций на сайте. Если блог позволяет любому пользоваться зарегистрироваться, то рано или поздно возникнет проблема автоматических регистраций – спам боты не дремлют, помните об этом. Плагин Sabre позволяет решить эту проблему.
Secure WordPress – плагин позволяет скрыть версию WordPress от глаз посторонних. Скрыть эту информацию можно и вручную, об этом мы поговорим позже.
Semisecure Login – плагин, шифрующий пароли в MD-5. Внимание, для работы плагина необходима поддержка Java.
Wp Db Backup – плагин создает резервные копии базы данных блога и отправляет их на электропочту, либо позволяет сохранить копию БД на компьютер или хостинг. Есть возможность настроить резервное копирование по расписанию. Один из самых необходимых плагинов для работы с WordPress. Сейчас много альтернативных плагинов, выполняющих функции Wp-Db-Backup, но я по привычке пользуюсь именно им.
Wp Security Scan – плагин позволяет просканировать блог на предмет возможных угроз и исправить уязвимости в безопасности. Очень полезный плагин. Работает не только с паролями, но и с базой данных, например, позволяет сменить префикс таблиц. Также плагин проверяет, правильно ли установлены права доступа на системные папки.
Anti-XSS attack – плагин позволяет предотвратить XSS-атаки на сайт.
WordPress File Monitor – плагин отслеживает любые изменения, происходящие в файлах движка WordPress, и информирует владельца сайта об этом, отправляю письма по почте.
AntiVirus WordPress – миниантивирус для сайта. Плагин сканирует файлы WordPress на наличие вредоносного кода.
Данный подбор плагинов поможет значительно повысить безопасность вашего блога и лишить вас большого количества проблем. Практически у каждого плагина есть свои альтернативы, некоторые плагины частично дублируют функции другие, так что не обязательно использовать их все вместе. Также я не упоминал о плагинах, противодействующих спаму на блоге, об этом поговорим в другой раз.
Плагины для безопасности WordPress скачать одним архивом
Похожие посты
и обсудить его с другими читателями.
adminpab.ru
