Надежная защита блога Better WP Security плагином

Надежная защита блога Better WP Security плагиномОчень рада приветствовать на страницах моего блога. Сегодня поговорим защите ресурса. Пожалуй, этот плагин «Лучшая WP безопасность» Better WP Security, один из самых надежных и комплексных защитников блога на платформе WordPress. Он защищает ресурс практически по всем направлениям. Поэтому настройки его должны быть проведены очень продуманно. Так как бывали случаи, когда плагин «защищал» блог и от хозяина.

Плагин сам по себе большой, но блог не перегружает.

Поэтому довериться ему можно спокойно.

После загрузки он появляется в консоли блога под именем – Безопасность. Откроем его.

И первое, что нас спросить плагин – разрешение на создание копии базы данных. Рекомендую сделать, на всякий случай.
Первый вопросВторым пунктом плагин спросит Вашего разрешения на изменение некоторых файлов – здесь надо согласиться. Изменения могут проходить в таких файлах как  wp-config.php  и также файле .htaccess. Плагин в них будет заносить ID не слишком корректных посетителей  Вашего блога.
Второй вопросИ третье разрешение, которое запросит плагин – возможность защиты от базовых атак. В этом случае изменений в файлы уже вноситься не будет. Соглашаемся.
Третий вопросСам плагин настраивается несколькими вкладками. Мы сейчас пройдемся по этим  вкладкам более подробно.

Вкладка Dashboard (Информационная панель)

И перед Вами сразу после Вашего ответа на третий запрос плагина, появляется разноцветная таблица. Это результат оценки защиты Вашего блога. И надо сказать – он впечатляет, так как после прочтения всех пунктов, понимаешь, что плагин практически не упустил ничего.
Первая вкладкаКаждый цвет несет определённую нагрузку:

Красный – Защита отсутствует;
Желтый -  Защищено частично;
Зеленый – Защищено;
Синий – Защита не полная, но если Вы надумаете ее исправить, то возможны конфликты с некоторыми установленными плагинами.

Что же делать с этим светофором. Хочу предупредить, что если Вы не слишком хорошо технически подготовлены, то не надо бросаться в бой и жать на ссылку  - исправить. Давайте разберемся по всем позициям.

Зеленые ссылки мы вообще не трогаем.   Я бы и синие не рекомендовала исправлять. Но если все-таки это сделать необходимо, то надо быть очень осторожным, проверяя после каждой настройки плагина  работоспособность сайта.

Вкладка – User (Пользователь)

В этой вкладке есть возможность изменить имя пользователя  admin, если Вы  еще его не поменяли. Так как это имя упрощает возможность взлома. Так же здесь можно изменить ID администратора. По умолчанию это – 1. Что тоже облегчает доступ взломщикам. Если же вы обо всем уже позаботились, то пункт 4 и 5 таблицы будет помечен зеленым.  Если же это не так, то эти пункты в таблице будут предложены к изменению. И при нажатии на ссылку Вы попадете именно в эту вкладку.
Вкладка uzerВкладка – Away

Суть данной вкладки заключается в том, что бы сделать вашу админку  для входа  недоступной тогда, когда Вы отсутствуете. Например, если вы находитесь в отпуске или куда-то временно выбыли. Возможно,  в определенное время суток вы постоянно не работаете  то, указав это время, Вы запрещаете доступ. Помните, что при настройке этой вкладки  обязательно надо указать Ваш часовой пояс. Иначе может получиться неразбериха со временем.  Я не стала настраивать эту вкладку, так как работаю не по режиму.  Предложит перенастроить режим работы пункт  8 , ссылка которого ведет  во вкладку Away.
Вкладка Away

Вкладка Ban  (Запрет)

Пункт 9  таблицы  ведет на запрет «нехороших»  ID. То есть во вкладку Ban. Здесь в первом же чек боксе предлагается подписаться на запрет списка, который создал Jim Walker. Но вся беда заключается в том, что он туда внес адрес Яндекса. Поэтому прежде, чем поставить в нем галочку – хорошо подумайте. На последующих белых полях вы можете разместить адреса назойливых комментаторов или гостей. Запрет можно установить как для  ID адресов, так и для браузеров.
Вкладка BanВкладка – Dir

Здесь будьте очень внимательны, так как, поставив галочку в чекбоксе,  изменится   директория wp-content, ее наименование.  А это чревато для блогов со стажем. Да и для блога, которому два дня, с установленными плагинами и сделанными первоначальными настройками то же  не поздоровиться. То есть работа с этой вкладкой доступна только  блогу, который живет на свете один день. Но надо отдать должное плагину – он очень яркой и крупной надписью предупреждает о возможных проблемах.

Вкладка Backup (Создание резервной копии)

Вкладка создания  планового регулярного резервного копирования базы данных. Перейдя по ссылке пункта 7 таблицы, вы попадаете во вкладку  Backup – Создание резервной копии. Здесь можно  задать интервал копирования и попросить высылать копии на определенный e-mail.  Настройки очень просты, но и очень важны, так как ясно, что 100% защиту Вашего блога не даст ни один плагин. Поэтому резервное копирование, тем более плановое, очень полезно.

Вкладка Prefix

Если Вы при установке Вашего блога на   WordPress не изменили префикс таблиц, то в этой вкладке есть такая возможность. Это Вам подскажет  пункт 6 таблицы.

Вкладка Hide  (Скрыть)

11 пункт  таблицы  ведет во вкладку Hide – скрыть. Здесь вы можете усложнить задачу взломщику Вашего сайта, изменив URL страницы доступа к WordPress, заменив логин на латинице на другой возможный. Внизу странички предлагается получить ключ. Но он практически и не нужен. Я эту вкладку тоже пропустила.
Вкладка HideВкладка Detect  (Обнаружение)

Очень важная вкладка, настраивающая блокировку посетителя, постоянно попадающего на 404 ошибку. Дело в том, что есть мнение, когда человек  очень часто попадает на эту страницу, то возможно он ищет пути вторжения на ваш сайт. То есть проводит  поиск уязвимостей сайта. Значит,  есть необходимость ограничения таких попаданий.
Вкладка DetectПервые три чекбокса понятны.
Период проверки -  Check Period – Это время, установленное в минутах, которое  необходимо помнить о 404 ошибке. Не надо ставить слишком длительный период. А то можно заблокировать обычных пользователей.

Порог ошибки – Количество  попыток за установленный период, после которых идет блокировка пользователя.

Период блокировки – указывается в минутах. Время блокировки пользователя

Blacklist Repeat Offender (Черный список) – Если поставить галочку в чекбоксе, то есть, активировать  функцию, то самых назойливых и вызывающих недоверие пользователей, внесут в черный список.

Blacklist Threshold (Черный порог) – количество блокировок, после которых пользователь будет внесен в этот самый «черный список».

Белый лист -  404 White List – Здесь вносятся адреса, которые нельзя блокировать. Сюда желательно ввести свой адрес, на всякий случай…

Окно ниже – настройки по обнаружению изменения файлов. Не буду долго распространятся, просто скажу, что желательно из пяти чекбоксов , в первых трех установить галочки. В четвертый ввести свой  e-mail адрес, для получения информации о файлах.

Последние два окна – Включение или Исключение определенных файлов из списка.

Вкладка  Login  ( Вход)

Здесь настраиваются и берется под наблюдение и контроль не санкционированные входы в админку блога. Здесь уже установлено все по умолчанию. Просто сохраните изменения.

Вкладка  SSL  ( Показатель  уровня  защищенных сокетов)

Это протокол обеспечивающий соединение сервера с клиентом. Советую ничего здесь не трогать. Так как мы, обычные пользователи ни всегда знаем, поддерживает ли сервер этот протокол.

Вкладка  Server Tweaks  (Некоторые хитрости)

Эта вкладка  изменений и усложнений паролей для определенных пользователей и изменение настроек блога и файлов. Но здесь нужно быть очень внимательным, так как определенных рекомендаций дать невозможно, потому что каждый пользователь использует разные  плагины. Обратите внимание на то, что плагин предупреждает возможные неприятности желтым цветом. Я не стала трогать эти пункты.

Вкладка Logs (Журнал)

Проще говоря – статистика всех происшествий на Вашем сайте.  Заглядывайте сюда почаще, так как плагин  не очищает статистку автоматически и сделать это можно только вручную.
Вкладка  Logs

Ну, вот пожалуй, и все на сегодня. Как видите возможности плагина практически охватывают все области защиты. Но, все-таки надо помнить, 100% защиты блога не существует. Поэтому периодически делайте резервную копию сайта.

Получить архив плагина можно на странице http://wordpress.org/extend/plugins/better-wp-security/

А как установить его, Вы можете прочитать на странице " Плагины WordPress – функциональная основа блога"

Удачной работы!

Related Posts Plugin for WordPress, Blogger...

Добавить комментарий

  1. Спасибо, интересная статья, примерно что то подобное мне и хотелось найти.

  2. Да для защиты контента, ещё не проиндексированного роботами, от плагиата, у меня был установлен wordpress prevent copy paste, но после обновления шаблона он стал с ним конфликтовать, пришлось плагин удалить. Поэтому я и обращаюсь к вам с вопросом, как быть, нужно контент защищать или нет, после установки плагина безопасности

  3. Ирина, здравствуйте. Я установила плагин. Но правильно ли я поняла, что плагин защищает от хакерских атак и взлома, а неприндексированный контент по прежнему беззащитен? нужно ли устанавливать плагин для защиты контента , если да,то какой бы вы посоветовали? С уважением, Ирина.

  4. спасибо за оперативный ответ, наверное все таки решусь оставить как есть, удачи вам!

  5. У этих плагинов различная функция. Login LockDown — это защита от подбора пароля для взлома админки. Paranoja-401 — выполняет функцию первого, то есть защищает от подбора пароля, но плюс еще и защищает от от XSS — атак. То есть его функции более широкие, чем Login LockDown. Better WP Security выполняет и вышеперчисленные функции, и еще множество других.
    У меня стоял только Better WP Security. Но он очень капризен, и при малейших неточностях в настройках может закрыть вообще вход в админку, даже владельцу блога. Я его удалила, так как он достаточно серьезно тормозит загрузку сайта. Поэтому здесь Вы должны сами все очень тщательно продумать и взвесить, что для Вашего блога является приоритетом.
    При установке Better WP Security, плагины указанные Вами, можно удалить.

  6. привет, подскажите пожалуйста. я сначало установил плагины для защиты Login LockDown и paranoja-401 для дополнительного ввода логина и пароля в админ панель ворда, после увидел плагин better wp security и его тоже установил. Он мне вроде приглянулся, нужно ли мне удалить первые 2 плагина? спс заранее

  7. Только в том случае, если у него есть право входа на хостинг. Возможно права были заменены самим хостером. Иногда это делается, для безопасности клиентов

  8. Спасибо за статью, очень полезный плагин.
    Скажите Ирина, мог ли посетитель из списка забаненных (Южная Корея, будь она трижды счастлива), заити и поменять права доступа к .hteccss. Судя по журналу ошибок именно так и было.
    Заранее спасибо.

  9. Зайдите в папку плагинов, в редактор плагина и посмотрите ошибку в строке 195. Возможно просто не хватает какого-нибудь значка

  10. Доброго времени суток, Ирина! Спасибо за вашу статью, очень полезная.
    При установке плагина Better WP Security на сайт выдал такую ошибку: Fatal error: Call to undefined function filter_var() in /home/fabregas/fabregas-appart.ru/docs/wp-content/plugins/better-wp-security/inc/setup.php on line 195

    Как я понял нужно включить функцию филтер, но я не знаю где именно.
    У меня хостинг на nic.ru

  11. У вас грамматическая ошибка в название страницы в слове «надедной» защиты блога. Исправьте пожалуйста.

  12. Добрый вечер Ирина, у меня с настройкой плагина проблемы. Банят хостеры за то, что ругается их антивирус: suspicious htaccess: u7662725 : /var/www/u7662725/data/www/web-labe.com/.htaccess

    Подскажите пожалуйста, что это ложное срабатывание или действительно угроза?

  13. Очередной, головоломный плагин. Там на всякий случай не трогай, тут лучше не тыкать, а здесь вообще 10 раз подумай… Где бы найти плагин, что бы одним кликом и все надежно и безопасно?

  14. Наталья!500 ошибка — это ошибка сервера. Поэтому первое что нужно сделать, написать в службу поддержки хостинга. Пусть они все внимательно посмотрят. Тем более если вы ничего не меняли, а просто восстановили блог из сохраненной версии.

  15. здравствуйте Ирина!У меня возникла ситуация,когда плагин заблокировал сайт и от меня самой.После утомительных поисков в инете удалила сам плагин,обновила с помощью бэкапа базу данных.Теперь получаю следующее сообщение
    Ошибка при загрузке spasenieveroi.ru/. Возможно, на сайте ведутся работы или он настроен неправильно.
    Вот несколько советов и рекомендаций:
    Попробуйте обновить эту страницу позже.
    Ошибка HTTP 500 (Internal Server Error): Не удалось выполнить запрос.

    насколько я поняла проблема в файле .htaccess
    # НАЧИНАТЬ Лучше WP Безопасности Order allow,deny Deny from all Order allow,deny Deny from all Order allow,deny Deny from all Order allow,deny Deny from all Order allow,deny Deny from all RewriteRule ^wp-admin/includes/ — [F,L] RewriteRule !^wp-includes/ — [S=3] RewriteCond %{SCRIPT_FILENAME} !^(.*)wp-includes/ms-files.php RewriteRule ^wp-includes/[^/]+.php$ — [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+.php — [F,L] RewriteRule ^wp-includes/theme-compat/ — [F,L] # END Лучше WP Безопасности # BEGIN WordPress RewriteEngine On RewriteBase / RewriteRule ^index.php$ — [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # END WordPress

    его нужно почистить но что удалять я не знаю вы можете помочь?

  16. Спасибо, Ирина! Все очень подробно. Установила и настроила. Теперь понаблюдаю, как будет работать.

  17. Совет один: зайдите на хостинг и удалите плагин. Больше ничего вы сделать не сможете.
    Очень этот плагин круто ото всех защищает, в том числе и от хозяина

  18. Здравствуйте, установил сей плагин, теперь сам в админку попость не могу, посоветуйте как быть!

  19. Здравствуйте Ирина! По вашим урокам на блоге создаю свой. Спасибо, очень четко, понятно. При установке плагина Better WP Security, произошла фатальная ошибка в 5 строке. как быть? пришлось плагин удалить.

  20. Разобралась установила, чистит базу, по 100 ошибок 404 в день. Спасибо Ирина за подсказку.

  21. О чём Вы предупреждали, то и произошло, из-за неправильной настройки Better WP Security плагином меня же стали блокировать. Сейчас, вроде всё нормально.

  22. Отличный плагин, но вот от Backup (Создание резервной копии) я отказался, на моем хостинге он по расписанию делает почему-то не одну а много их, чем грузит сам хостинг. Для бэкапа оставил старый плагин.

  23. Здравствуйте, Ирина! Я уже этот плагин установила стала настраивать и он мне показался довольно опасным. И я сегодня много времени посвятила поиску материалов по этому плагину в Интернете. Прочла статей 5, захожу к себе на почту и там ваша статья, как раз по этому плагину. Теперь я его настрою, но в Интернете отзывы противоречивые: некоторые из индексации яндекса вылетили, другие на свой блог попасть не могут. Мня это не очень пугает, просто его нужно с утра, на свежую голову настроить, сейчас даже читать ничего не могу. Но под вашим руководством не ошибусь.

  24. Добрый день, подскажите как сбросить настройки с пункта 8, где запрет в определенные часы. У меня люди на сайт заходят только тогда, когда я на сайте? Спасибо!

  25. Да, этот плагин делает резервные копии по плану, который Вы сами создадите. Конечно, лишний плагин совершенно не нужен на блоге

  26. Здравствуйте. Есть отдельный плагин, который просто делает резервные копии блога. Этот плагин нужно деактивировать, если устанавливать Better WP Security?

  27. Есть такая поговорка — Не уверен — Не обгоняй! Лучше не рискуйте. Мысль материальна… А настроек у него действительно много. Самое главное — не трогать синие ссылки…

  28. Когда вижу плагин с таким большим количеством настроек — это меня пугает. Стоит не ту пимпочку нажать и все! Даже не знаю рискнуть или нет.

  29. Спасибо за плагин, непременно попробую!

  30. Благодарю за науку! Плагин отличный работает как часы! Правда последнее время я его не вкл. Спасибо за напоминание на фейсбуке, вкл проверила. У меня всё в зелёном цвете!

  31. Плагин. безусловно. классный — спасибо вам за такой подробный обзор!
    Но нужно быть аккуратным с ним, а то так и сайт ляжет 🙂
    Я к вас целую ночь не мог пробиться — ошибка 403 и только сейчас удалось 🙂

    Мне нужно было кое-что посмотреть и сейчас увидел 😉
    Кстати, у вас классный и интересный блог!

  32. При установке Вашего сайта на платформу WordPress, есть такая опция — префикс таблиц. Он обычно указан как wp_. И Вас просили изменить эти две буквы, на любые другие латинские. Вот это и называется — изменение префикса таблиц

  33. Спасибо за новый полезный плагин!

  34. «Если Вы при установке Вашего блога на WordPress не изменили префикс таблиц»-подскажите пожалуйста, что означают последние 2 слова в вашей цитате?

  35. Здравствуйте,Ирина! Как у вас вся информация очень полезная на вашем блоге! Просто хорошая статья есть желание с разу все у себя установить,но знание технических моментов у меня желать лучше,но я пока не очень подкован поэтому мне надо многому учиться.Желаю вам успехов и удачи,процветания да поможет вам бог в ваших благородных делах.
    С уважением к вам Геннадий Мацинов.

  36. Это ж надо так все разжевать ))) даже мне понятно как настроить плагин Better WP Security — отличный совет, спасибо!

  37. Да, Ирина, плагин замечательный.Попробую установить. Что-то часто атаковать стали. А он ни с какими не конфликтует?
    Спасибо за полезную и своевременную информацию. Удачи Вам.

  38. Здравствуйте,Ирина!У вас самый нужный и полезный блог!Замечательная статья, мне она очень помогла!