Плагін iThemes Security

Комп'ютерна допомога. Відгуки про IT-організації

Плагін iThemes Security. Найкращий спосіб захисту WordPress

Класний плагін для захисту вашого сайту/блогу від зловмисників. Багатофункціональний, маса налаштувань. Практично немає аналогів. Обов'язково поставте. Нижче розглянемо опис та налаштування всіх безкоштовних можливостей плагіна.

Security Check

Сканування налаштувань безпеки. Вам будуть показані налаштування, які потрібно терміново змінити. Має бути ось так. Все зелене.

Основні налаштування

Тут ми маємо налаштувати базові налаштування безпеки нашого wordpress-сайту. Тут йдеться про блокування невдалих спроб входу до системи.

Відстеження помилки 404

Сенс цього розділу полягає в тому, щоб виявляти користувачів, які отримують велику кількість помилок 404, тобто відкривають неіснуючі сторінки. Передбачається, що такі користувачі користуються сканерами для пошуку вразливостей і їх необхідно блокувати. Навіть якщо вони нічого не знайдуть, сильно навантажать сервер. І якщо у вас хостинг з обмеженим процесорним часом, то одне таке сканування може спричинити його навантаження. При частому перевантаженні ваш сайт можуть відключити. Звіт про помилки доступний на сторінці журналів.

  • Скільки хвилин зберігати інформацію про помилки 404 (перевірочний час). Скільки хвилин повинна зберігатись інформація про помилку 404 для обліку з можливістю подальшого блокування.
  • Поріг помилки. Кількість помилок (протягом перевірочного періоду), що запускає блокування. Поставте нуль (0), щоб записувати помилки 404, не блокуючи користувачів. Це може бути корисним для вирішення проблем з контентом та інших помилок. Значення за замовчуванням – 20.
  • Білий список файлів та папок для помилки 404. Тут слід вказати загальнодоступні файли, до яких можуть часто звертатися, але яких немає або не може бути. Наприклад, якщо у вас немає роботса, то пошуковики постійно шукатимуть його і як результат пошукові павуки можуть бути забанені. За промовчанням вже складено список. Згодом можна буде його доповнити.
  • Ігнорувати типи файлів. Тут слід зазначити розширення файлів, відсутність яких не призведе до блокування. В першу чергу слід вказати всі зображенні, що використовуються на сайті розширення. Але в журналі такі помилки будуть прописані.

Режим «Немає на місці»

Так як більшість сайтів оновлюються тільки в певний час дня, то не завжди необхідно мати доступ до консолі WordPress 24 години на добу, 7 днів на тиждень. Параметри, наведені нижче, дозволять вам вимкнути доступ до консолі WordPress у вказаний час.

  • Тип обмеження доступу. Можна вибрати одноразове обмеження, вказавши дату/час початку та дату/час закінчення дії обмеження. Цей варіант може бути корисним, коли ви їдете у відпустку або відлучаєтеся у якихось справах на кілька днів. Варіант «Доби» буде корисним при обмеженні часу щодня. Наприклад, коли ви працюєте на роботі або коли спите.

Заблоковані користувачі

Local Brute Force Protection

Тут можна вказати правила блокування користувачів, які підбирають пароль в адмінку сайту. Можете залишити значення за замовчуванням, потім зміните.

Резервні копії бази даних

Якщо щось піде не так, ви зможете повернути свій сайт, відновивши базу даних із резервної копії та замінивши файли на нові.

  • Резервна копія всієї бази даних. Якщо встановитицей прапорець скрипт резервного копіювання буде створювати резервну копію всіх таблиць у вашій базі даних, навіть якщо вони не є частиною цього сайту на WordPress. Поставте галочку, щоб бути впевненим, що створити копію всієї бази.
  • Спосіб зберігання резервної копії. Виберіть спосіб зберігання резервних копій. Ви можете вибрати відправку на Email, локальне збереження або обидва способи відразу. Я поставив лише на Email.
  • Кількість резервних копій. Це значення слід виставляти, якщо ви вибрали локальне зберігання в попередньому пункті. У такому разі виберіть, наприклад, 3 копії. Багато не ставте, щоб не захаращувати місце на сервері.
  • Стискати файли резервних копій. Поставте галочку для економії місця, оскільки бази дуже добре стискаються.
  • Виключити таблиці. Тут можна виключити таблиці резервного копіювання. Наприклад, таблиці з веденням логів чи будь-якої статистики.
  • Створити розклад резервного копіювання бази даних. За промовчанням можна залишити значення за три дні. Якщо ви панікер, поставте значення в один день.

Виявлення змін файлів

File Permissions

Потім розберетеся з цим. В ідеалі статуси мають бути всі зелені і картина має виглядати так.

Network Brute Force Protection

  • Email. Щоб почати працювати цей захист, спочатку вкажіть вашу пошту, щоб створити сайт з API-ключом.
  • Receive Email Updates. Поставте галочку, якщо хочете отримувати оновлення електронною поштою про безпеку WordPress від iThemes.

І одразу ж прийшов на пошту API-ключ. Робити вам нічого не потрібно. Просто вас повідомили, що він сформований для вашого сайту.

Хоч іплагін дозволяє використання SSL, ви не зможете цього зробити, доки не придбаєте відповідний сертифікат. Зв'яжіться з вашим хостинг-провайдером для активації HTTPS-з'єднання на вашому сайті WordPress. Насамперед протокол необхідний для інтернет-магазинів та сайтів, які передають конфіденційну інформацію.

У жодному разі не активуйте SSL, якщо не маєте сертифіката, і ваш хостинг не підтримує цю технологію для клієнтських сайтів. Інакше сайт, сторінка входу до адмінки або сама адмінка (залежно від вибраних налаштувань) стануть недоступними.

Strong Password Enforcement

Тут ви можете змусити користувачів використовувати надійні паролі згідно з рейтингом WordPress в індикації пароля.

  • Виберіть роль для надійних паролів. Мінімальна роль користувача, для якої потрібно вибирати складний пароль. Якщо у вас відкрита вільна реєстрація, то майте на увазі, що ці проблеми зі складними паролями будуть сильно дратувати користувачів низького рівня.

Тонка підстроювання системи

Це розширені налаштування для ще більшого захисту вашого сайту. Увага: ці параметри знаходяться в розділі розширених, тому що вони блокують поширені форми атак, однак можуть також заблокувати роботу деяких плагінів і тим, які використовують ті ж технології. Активувати наведені нижче налаштування найкраще по черзі і після включення кожного налаштування перевіряти, що всі елементи сайту працюють, як належить. Не забувайте, що деякі з цих налаштувань можуть конфліктувати з плагінами та темами, тому перевіряйте ваш сайт після ввімкнення кожної настройки.

Підстроювання WordPress

Це розширені налаштування для ще більшого захисту вашого сайту. Увага: ці настройки знаходяться врозділі розширених, тому що вони блокують поширені форми атак, однак, можуть також заблокувати роботу деяких плагінів та тим, які використовують ті ж технології. Необхідно активувати наведені нижче налаштування по черзі і після включення кожного налаштування перевіряти, що всі елементи сайту працюють, як належить.