Защита WordPress от взлома и спама
Сайт нужно защищать. Я об этом постоянно упоминаю, но многие об этом не задумываются, пока не столкнутся со взломом своего сайта. Конечно, WordPress – довольно надежная CMS, но она имеет незащищенные места. Обсудим сегодня безопасность сайта на примере плагина All In One WP Security. Простой в настройке, он обеспечит практически 100% защиту.
Я использую этот плагин во многих своих проектах. Он бесплатный и практически полностью переведен на русский, поэтому даже начинающий пользователь разберется в настройках.
All In One WP Security – комплексная защита сайта
Немного о его возможностях:
• Смена стандартного логина admin,
• Защита от подбора паролей и блокировка авторизаций,
• Защита БД,
• Черный и белый списки IP,
• Защита от брутфорс атак,
• Защита от спама,
• Сканер системных файлов для отслеживания изменений,
• Защита контента от копирования,
Настройка безопасности All In One WP Security
Установка и активация плагина не займет много времени. Теперь давайте его настроим. В статье я не столько расскажу о настройках, сколько дам советы, что стоит включать, а от чего можно отказаться. Каждая настройка отображает сверху уровень безопасности, изначально он выглядит «0/10», «0/20» и так далее. Настраивая параметры, можно добиться максимального значения.
Важно: Перед тем, как внедрять любой плагин, всегда делайте бекап сайта и БД.
Смена логина admin
Одна из самых важных «фишек». Если кто-то захочет взломать ваш сайт на WP, он уже будет знать логин администратора (он всегда одинаковый) и подбор пароля – вопрос времени. Но если вы смените логин, работа злоумышленников усложнится.
На странице настройки администратора в строке «Логин администратора» переключаем On, после чего вам предложат придумать новое имя.
Защита от подбора пароля
Я настоятельно рекомендую использовать для надежной защиты от подбора паролей. На той же странице включаем «блокировку авторизации».
Вам откроется меню опций блокировки авторизации, где вы можете менять все на свой вкус. Тут все настройки понятны, я остановлюсь подробнее на следующих:
• Allow Unlock Requests. Во включенном состоянии дает возможность пользователям запросить разблокировку аккаунта. Я обычно отключаю.
• Блокировка попыток авторизации. Отличная опция. Обязательно настройте блокировку по ip с уведомлением на вашу почту о пользователях, которые предпринимают слишком большое количество попыток ввода пароля.
Защита базы данных
Пункт «Безопасность базы данных» содержит подробное объяснение всех опций. Изменив префикс БД, вы улучшите защиту. Обязательно сделайте бекап перед тем, как что-то менять. Включаете опцию «Сгенерировать новый префикс БД» и придумываете свой вариант.
Там же можно настроить автоматический бекап БД – они не занимают много места и лишним точно не будет.
Блокировка по IP
Если вы видите подозрительную активность определенных ip-адресов или вам не нравятся спамящие пользователи, можно их забанить, добавив в ЧС.
Файерволл
Здесь много полезных настроек. Читайте подсказки, все подробно расписано, вам остается выбрать опции, важные именно для вашего сайта. Я советую, как минимум, активировать основные функции брендмауэра, pingback защиту, включить 5G файерволл. Дополнительные правила, http-трассировку и интернет-роботов я отключаю, чтобы избежать возможной несовместимости.
Защита от брутфорс атак
Брутфорс атаки часто используют, чтобы взломать сайт и использовать его для атак на другие сайты и сервера. Чтобы защититься от этого, следует скрыть страницу входа /wp-login.php.
На вкладке Brute Force изменяем адрес страницы логина на другой. Иногда возникают проблемы, если разрешена регистрация, поэтому тщательно протестируйте. Для более надежной защиты можно использовать настройки Cookie Based Brute Force Prevention. В дополнение к измененному адресу в ваш браузер добавят coockie и вы сможете заходить только с этого браузера этого компьютера.
Также здесь можно создать капчу на логин, создать список белых ip-адресов, которые будут иметь доступ к админке. Эти настройки не всегда удобны, к примеру, если у вас динамический, а не статический, адрес.
Есть еще одна полезная настройка для отсеивания ботов — Honeypot (бочка с медом). Она добавляет в форму логина еще одно поле, не видимое пользователям, но боты будут его заполнять.
Защита от спама
Вкладка Spam Prevention позволит добавить разные настройки, чтобы отсечь ботов:
• Капча – включите, если не используете встроенную,
• Запрет комментариев, размещенных не с вашего сайта,
• Добавить в черный список по ip. Вычислив самых злостных спамеров, можно заблокировать их.
Отслеживание изменений в системных фалах
Здесь все интуитивно понятно: вы настраиваете частоту сканирования файлов. Можно отсеять по типу (я обычно ставлю jpg, png) и по расположению.
Дополнительно есть платная функция – сканирование от вредоносных программ.
Защита контента от копирования
Работает просто: выделение текста не возможно. Включение никак не влияет на защиту сайта, но позволяет частично защитить контент. Частично – потому что текст можно взять их кода страницы.
Режим обслуживания
Очень приятная функция, вы можете настроить внешний вид страницы и добавить сообщения для пользователей, которые захотят зайти на сайт во время профилактических и ремонтных работ.
Итак, настроив должным образом All In One WP Security, вы сделаете ваш сайт более защищенным от злоумышленников и значительно снизите количество спама и пользователей-ботов. Все вышесказанное – результат моего опыта и я буду рад, если вы поделитесь в комментариях своими мыслями и идеями по использованию возможностей плагина.