Ako chrániť wordpress pred vírusmi. Najlepšie doplnky WordPress na ochranu pred vírusmi

Podvodníci sa môžu pokúsiť napadnúť stránku s cieľom hacknúť panel správcu, ukradnúť používateľské heslá, zmeniť kód stránky, získať prístup k dôverným informáciám, umiestniť skryté odkazy alebo inak poškodiť zdroj. Kvôli takýmto útokom môžete prísť o zákazníkov, pozície vo výsledkoch vyhľadávania, reputáciu alebo aj o samotnú stránku.

Samotný WordPress je pomerne bezpečný motor, ale základná ochrana nestačí.

Štatistika infekcií za rok 2017

Špeciálne pluginy pomôžu zvýšiť bezpečnosť stránky, neurobia stránku úplne nezraniteľnou voči akýmkoľvek útokom, ale budú brániť útočníkom.

Pluginy na ochranu vášho webu WordPress

Všetko v jednom WP Security & Firewall

Plugin chráni účty používateľov, súbory kódu, vďaka čomu je prihlásenie na stránku bezpečnejšie osobné účty, robí zálohy databázy.

Čo robí plugin:

  • pridá na registračnú stránku a do prihlasovacieho formulára captcha na ochranu pred spamom;
  • blokuje vstup používateľom s konkrétnou IP dočasne alebo natrvalo a poskytuje dočasné blokovanie po niekoľkých neúspešných pokusoch o vstup;
  • umožňuje zobraziť aktivitu používateľského účtu;
  • robí zálohy databázy automaticky;
  • vytvára záložné kópie pôvodných súborov .htaccess a wp-config.php;
  • zisťuje zraniteľné miesta v účtoch, napríklad s rovnakým menom a prihlasovacím menom;
  • generuje zložité heslá;
  • zakáže úpravu niektorých súborov z administračného panela na ochranu PHP kódu;
  • zatvorí prístup k súborom readme.html, license.txt a wp-config-sample.php;
  • nainštaluje brány firewall na ochranu pred škodlivými skriptami.



Ovládací panel pluginu

Nastavenie pluginu je jasné:

All In One WP Security & Firewall je preložený do ruštiny, inštalácia je bezplatná.

Bulletproof Security

Plugin skenuje škodlivý kód, chráni autorizáciu na stránke, neprepúšťa spam a vytvára záložné kópie.

Čo robí plugin:

  • chráni súbory wp-config.php, php.ini a php5.ini prostredníctvom súboru .htaccess;
  • zapne technický pracovný režim;
  • kontroluje práva na úpravu priečinkov a súborov na paneli správcu;
  • neumožňuje spam prostredníctvom funkcie JTC-Lite;
  • vytvára záložné kópie automaticky alebo manuálne, posiela archívy e-mailom;
  • Spravuje denníky chýb a denník zabezpečenia.

Prečítajte si viac o bezpečnostných funkciách na stránke doplnku.


Skener škodlivého kódu

Plugin bol preložený do ruštiny. Je zadarmo, k dispozícii je prémiová verzia s pokročilou ochranou stránok a možnosťami predchádzania útokom.

Zabezpečenie Wordfence

Chráni CMS pred hackermi a útokmi škodlivého softvéru tým, že chráni prihlásenia na stránky, skenuje zmeny kódu, pokusy o prihlásenie a upozornenia na podozrivú aktivitu.

Čo robí plugin:

  • porovnáva hlavné témy a doplnky s tým, čo je v úložisku WordPress.org, a akékoľvek nezrovnalosti nahlási vlastníkovi stránky;
  • vykonáva antivírusové funkcie, kontroluje zraniteľnosť stránky;
  • kontroluje správy a komentáre na podozrivý obsah a odkazy.

V bezplatnej verzii sú k dispozícii ďalšie funkcie.

Prémiová verzia ponúka trochu viac:

  • skontroluje, či je stránka alebo adresa IP na čiernej listine pre nevyžiadanú poštu alebo stránky s bezpečnostnými problémami;
  • obsahuje dvojfaktorovú autentifikáciu pre prihlásenie;
  • zostaví čiernu listinu a zablokuje všetky požiadavky od IP z databázy.

Prečítajte si viac o bezpečnostných funkciách na stránke doplnku.


Bezpečnostný skener

Nie je preložené do ruštiny, základná verzia sa dá stiahnuť zadarmo.

Zakázať spätnú väzbu XML-RPC

Stránka uzatvára možnú zraniteľnosť XML-RPC, prostredníctvom ktorej môžu podvodníci napadnúť iné stránky a spomaliť váš zdroj.

Čo robí plugin:

  • Odstráni pingback.ping a pingback.extensions.getPingbacks z rozhrania XML-RPC;
  • odstraňuje X-Pingback z HTTP hlavičiek.

Inštalácia doplnku

Plugin je zapnutý anglický jazyk, inštalácia je bezplatná.

Zabezpečenie iThemes

Starý názov je Better WP Security. Plugin chráni pri prihlásení do administračného panela a vykonáva antivírusové funkcie.

Čo robí plugin:

  • zahŕňa dvojfaktorové overenie pri prihlásení do administračného panela;
  • skenuje kód stránky a upozorní, ak nájde podozrivé zmeny;
  • monitoruje stránku kvôli automatizovaným útokom a blokuje ich;
  • generuje zložité heslá;
  • monitoruje činnosť používateľských účtov;
  • umožňuje Google reCAPTCHA pri vstupe na stránku;
  • umožňuje vytvoriť dočasný prístup v správcovskom paneli;
  • Obmedzuje úpravu súborov na paneli správcu.

Prečítajte si viac o bezpečnostných funkciách na stránke doplnku.


Nastavenia pluginu

Preložené do ruštiny a dostupné zadarmo.

Bezpečnosť Sucuri

Komplexný doplnok, ktorý monitoruje zmeny v súboroch stránok a vykonáva antivírusové funkcie.

Čo robí plugin:

  • skontroluje kód stránky, či neobsahuje podozrivé zmeny a odošle upozornenia;
  • vyhľadá malvér a zamietne prístup;
  • vytvára čiernu listinu IP adries a zakazuje im interakciu so stránkou;
  • zaznamenáva IP návštevníkov, ktorí sa neúspešne pokúšajú vstúpiť na stránku a blokuje ich na obmedzený čas;
  • automaticky skenuje stránku na prítomnosť vírusov a odosiela správy e-mailom.

V prémiovej verzii vytvára firewall pre dodatočnú ochranu pred útokmi. Prečítajte si viac o bezpečnostných funkciách na stránke doplnku.


Hlásenia o podozrivej aktivite

Doplnok nebol preložený do ruštiny, ale je k dispozícii na stiahnutie zadarmo.

Kľúčové dvojfaktorové overenie

Doplnok na ochranu panela správcu pred votrelcami, vďaka čomu je prístup k panelu správcu pohodlnejší a rýchlejší.

Čo robí plugin:

  • chráni stránku pred hackermi;
  • uchováva na zariadení bezpečné heslo, ktoré nie je potrebné zadávať pri prihlasovaní;
  • umožňuje prístup do oblasti správcu pomocou odtlačku prsta;
  • umožňuje správcom viacerých stránok prepínať medzi panelmi jedným kliknutím.
Príklad práce

Plugin nebol preložený, ale je k dispozícii zadarmo.

Dvojfaktorové overenie WWPass

Plugin na ochranu pred votrelcami vniknutím do administračného panela.

Čo robí plugin:

  • pridá QR kód na naskenovanie pri pokuse o prihlásenie do oblasti správcu;
  • poskytuje prístup k bezplatnému používaniu správcu hesiel PassHub.
Príklad fungovania pluginu

K dispozícii je bezplatné stiahnutie anglickej verzie.

Ak sa útočníkom podarilo na stránke niečo urobiť a potrebujú ju obnoviť do predchádzajúceho stavu, pomôžu zálohy. Hostitelia zvyčajne zálohujú pravidelne, ale pre každý prípad je lepšie zálohovať sami. Niektoré pluginy z výberu dokážu vytvárať kópie a existujú aj samostatné riešenia pre zálohovanie.

Pluginy pre zálohovanie webových stránok na WordPress

BackWPup – Zálohovací doplnok WordPress

Plugin na vytváranie záloh a obnovu predchádzajúcich verzií stránky.

Čo robí plugin:

  • robí zálohy celej webovej stránky s obsahom;
  • exportuje WordPress XML;
  • zhromažďuje nainštalované doplnky do súboru;
  • posiela kópie na externé cloudové úložisko, e-mail alebo prenáša cez FTP.

Platená verzia PRO šifruje archívy pomocou záloh a obnovuje zálohy niekoľkými kliknutiami.


Správa zálohy

K dispozícii je zadarmo, existuje platená verzia PRO, ktorá však nie je preložená do ruštiny.

UpdraftPlus WordPress Backup Plugin

Čo robí plugin:

  • kopíruje a obnovuje údaje jedným kliknutím;
  • robí automatické zálohy podľa plánu;
  • kontroluje a obnovuje databázy;
  • odosiela zálohy do cloudu, na Disk Google a na iné úložiská podľa vášho výberu.

Rozšírená verzia vám dáva väčší výber úložných miest pre kópie a ďalšie doplnkové funkcie.


Nastavenie záložného úložiska

Nepreložené do ruštiny, dostupné zadarmo.

VaultPress

Ďalší plugin na zálohovanie a spoľahlivé ukladanie kópií.

Čo robí plugin:

  • denne automaticky skopíruje všetky súbory lokality s obsahom a komentármi;
  • obnoví stránku z kópie kliknutím;
  • chráni stránku pred útokmi a škodlivým softvérom.

Funguje zadarmo pre jednu stránku, ukladá dáta po dobu 30 dní. Za príplatok môžete sledovať viacero stránok z jedného panela a uchovávať dáta dlhšie.


Pracovný panel

Plugin nie je preložený do ruštiny, ale je k dispozícii na inštaláciu zadarmo.

Stránky potrebujú ochranu pred votrelcami, aby nemohli získať prístup k citlivým informáciám, použiť váš zdroj na útoky na iné stránky, posielať listy klientom a narušiť stabilnú prevádzku zdroja. Pluginy kladú podvodníkom prekážky, chránia používateľské dáta a kód lokality a záložné systémy vrátia stránku do predchádzajúceho stavu, ak sa útočníkom podarí spôsobiť škodu.

Bezpečnosť vášho blogu je potrebné riešiť od úplného začiatku bez toho, aby ste to odložili na vágne „Pôjdem a začnem“. Navyše, teraz pred vami podrobné pokyny o tom, ako chrániť webovú stránku WordPress pred hackermi, vírusmi a inými problémami.

Kedysi som myslel na bezpečnosť, ale nie tak vážne. A po tomto článku na webovej stránke A. Borisovej vzala vec vážne. Na internete som našiel všetky problémové oblasti systému a metódy na ich odstránenie. Ukázalo sa, že je to dosť dlhý článok so 14 bodmi!

Ako chrániť webovú stránku na WordPress

1. Zmeňte štandardné prihlásenie. Prvá vec, ktorú hackeri urobia, je prelomiť také populárne prihlásenia ako admin, používateľ, moderátor, správca. Ak použijete jeden z nich, urobili ste polovicu práce za útočníkov. Obzvlášť často sa používa správca - krátky, ľahko zapamätateľný, okamžite vidíte, že je dôležitý, takže majitelia stránok ho nemenia na niečo zložitejšie.

Existuje veľa možností na zmenu tohto prihlásenia, ale tá najjednoduchšia je:

  • Prejdite na panel správcu, prejdite do sekcie Používatelia - kliknite na Pridať.
  • Vymyslite komplexné prihlásenie pre nového používateľa (stačí nastaviť písmená a čísla) a vyberte Rola – Administrátor.
  • Odhláste sa od aktuálneho používateľa (vpravo hore vyberte možnosť Odhlásiť sa).
  • Prihláste sa pomocou nového používateľa, ktorého ste práve vytvorili.
  • Pracujte z tohto účtu: vytvárajte nové články, upravujte staré, pridávajte/odstraňujte doplnky. Vo všeobecnosti si overte, či má skutočne všetky právomoci Administrátora.
  • Odstráňte používateľa s prezývkou admin.

2. Nastavte zložité heslo– to je presne ten prípad, keď nemôžete použiť svoje štandardné heslo v tvare qwerty. Musíte prísť s jedinečným heslom, veľmi zložitým, s 20 znakmi s rôznymi malými a veľkými písmenami, číslami a rôzne symboly. Ak sa bojíte zabudnutia, zapíšte si to do papierového zošita. Neukladajte si ho však do počítača. Ako vymyslieť zložité heslo si môžete prečítať v tomto článku.

Komplexné heslo by sa malo používať nielen pre oblasť správy WordPress, ale aj pre ďalšie služby súvisiace s webom: pošta, hosting atď.

3. Skrytie prihlásenia– bez ohľadu na to, ako veľmi sa snažíte vymyslieť super komplexné prihlásenie, existuje medzera, ktorá vám umožní vidieť ho a skopírovať ho. Ak to chcete urobiť, zadajte do panela s adresou adresu http://your_domain.ru?author=1 a nahraďte svoju doménu. Ak sa odkaz nezmení na /author/admin, kde admin sú vaše nové prihlasovacie údaje, potom je všetko v poriadku.

Ak sa tam však vaše prihlásenie stále zobrazuje, musíte ho naliehavo skryť pomocou špeciálneho príkazu v súbore functions.php:

/* Náhrada prihlásenia v komentároch */
funkcia del_login_css($css) (foreach($css ako $key => $class) (
if(strstr($class, “autor komentára-zadajte_platné_prihlásenie”)) (
$css[$key] = ‘autor-komentára zadajte_fiktívne_prihlásenie’; ))
vrátiť $css; )
add_filter('trieda_komentárov', 'del_login_css');

Teraz nastavíme presmerovanie na hlavnú stránku, na to musíte otvoriť súbor .htaccess v koreňovom priečinku (pomocou filezilla) a tu za riadkom

RewriteRule. /index.php [L]

Pridajte tento text:

RedirectMatch Permanent ^/author/real_login$ http://your_domain.ru

4. WordPress aktualizujeme včas. Z času na čas sa objavia nové verzie, upozornenia sa objavia priamo v ovládacom paneli. Do záložná kópia stránky, aktualizujte a skontrolujte funkčnosť. Čím je novší, tým ťažšie je hacknúť systém - objavujú sa nové úrovne ochrany a staré hackerské techniky nefungujú.

5. Skryte verziu WordPress pred zvedavými očami.Štandardne sa tieto informácie zobrazujú v kóde stránky a útočníci by ich nemali prezrádzať. Keď bude poznať vašu verziu, bude pre neho jednoduchšie rozpoznať medzery a hacknúť systém.

Otvorte teda functions.php na úpravu a potom pridajte riadok:

remove_action('wp_head', 'wp_generator');

Táto jednoduchá funkcia zabraňuje zobrazovaniu systémových údajov.

6. Vymažte license.txt a readme.html z koreňového priečinka. Samy o sebe nie sú potrebné, ale dajú sa použiť na jednoduché prečítanie informácií o vašom systéme a zistenie verzie WordPressu. Automaticky sa znova objavia, ak aktualizujete wordpress. Čistite teda svoje súbory pri každej inštalácii aktualizácií.

7. Skryte priečinky wp-includes, wp-content a wp-content/plugins/. Najprv skontrolujte, či je obsah týchto priečinkov viditeľný pre ostatných. Stačí vložiť svoju doménu do odkazov a otvoriť odkazy v prehliadači:

  • http://vaša_doména/wp-includes
  • http://vaša_doména/wp-content
  • http://vaša_doména/wp-content/plugins

Ak pri prechode na tieto stránky uvidíte priečinky a súbory, musíte tieto informácie skryť. To sa robí veľmi, veľmi jednoducho – vytvorte prázdny súbor s názvom index.php a umiestnite ho do týchto adresárov. Teraz, keď pôjdete, otvorí sa tento súbor, t.j. Prázdna strana bez akýchkoľvek informácií.

8. Neinštalujte bezplatné témy- toto je už z osobná skúsenosť informácie, hoci o tom všetci píšu. Ale rozhodol som sa obísť systém a nainštaloval som si bezplatnú tému z internetu na svoju druhú webovú stránku - veľmi sa mi páčila. A spočiatku bolo všetko v poriadku.

Asi o šesť mesiacov neskôr som začal kontrolovať odchádzajúce odkazy zo stránky a našiel som 3 zvláštne odkazy. Na samotných stránkach som ich nenašiel - boli veľmi prefíkane skryté. Po preštudovaní problematiky som zistil informáciu, že ide o veľmi častý problém, keď je do bezplatných šablón vložený kód pre vzdialené umiestnenie odkazov. Trvalo mi to celý večer, ale problém som vyriešil a teraz je všetko v poriadku. Ale koľko škody to môže spôsobiť!

9. Nainštalujte potrebné doplnky na ochranu, ale nezabudnite nainštalovať z oficiálnej webovej stránky ru.wordpress.org alebo z ovládacieho panela.

  • Obmedziť pokusy o prihlásenie – obmedzenie pokusov o prihlásenie. Ak zadáte 3-krát nesprávne prihlasovacie meno a heslo, prístup bude zablokovaný na N minút/hodín. Počet pokusov a čas blokovania si nastavíte sami.
  • Wordfence Security je doplnok na kontrolu webovej lokality na prítomnosť vírusov a škodlivých zmien v kóde. Ak chcete začať, stačí nainštalovať a kliknúť na tlačidlo Skenovať. Po kontrole je však vhodné ho zakázať, aby sa na stránke nevytvorilo ďalšie zaťaženie. Aspoň raz za mesiac skontrolujte svoj blog, či neobsahuje vírusy.
  • Zálohovanie databázy WordPress – automaticky odošle e-mailom záložnú kópiu databázy vášho webu. Frekvenciu si môžete nastaviť sami – raz denne alebo týždenne.
  • Premenovať wp-login.php – zmení prihlasovaciu adresu do ovládacieho panela zo štandardnej http://vaša_doména/wp-admin.
  • Anti-XSS útok – chráni blog pred XSS útokmi.

10. Skontrolujte, či sa v počítači nenachádzajú vírusy– niekedy vírusy pochádzajú priamo z vášho počítača. Nainštalujte si dobrý antivírusový program a okamžite ho aktualizujte.

11. Robte systematické zálohy– buď pomocou doplnku WordPress Database Backup, alebo manuálne. U niektorých hostiteľov sa to deje automaticky, takže v prípade problémov môžete stránku kedykoľvek obnoviť.

12. Spolupracujte s dôveryhodným hostiteľom, pretože bezpečnosť webovej stránky do značnej miery závisí od kvality hostingu. Pred mesiacom som sa presťahoval do Makhost a rozdiel oproti predchádzajúcemu je viditeľný (presun som opísal v tomto článku). Dôrazne to neodporúčam, keďže som s nimi len krátko, hoci môj priateľ je s nimi už rok a nemôže byť šťastnejší. Vo všeobecnosti neberte tarify za 100 rubľov kvôli šetreniu, potom môžete zaplatiť draho.

13. Rôzne poštové schránky pre stránku a hosting. Je veľmi jednoduché odstrániť poštovú schránku z WordPress, potom ju môžete hacknúť a získať prístup k údajom. A ak je k nemu pripojený hosting, nebude ťažké zmeniť heslo a vziať si stránku pre seba. Vytvorte si teda samostatný hostingový box, aby ho nikto nevedel a nevidel.

14. Pripojte vyhradenú adresu IP, aby nesusedili s pornografickými stránkami, stránkami s filtrom alebo vírusmi. Takže ak máte príležitosť, získajte samostatnú IP, aby ste sa o to nemuseli starať. Mimochodom, v oblasti bloggerov existujú nepotvrdené fámy, že vyhradená adresa IP zlepšuje hodnotenie vo výsledkoch vyhľadávania.

Teraz viete najviac jednoduchými spôsobmi ako chrániť webovú stránku na Wordpresse a budete ušetrení od banálnych hrozieb. Ale okrem toho existuje mnoho ďalších nebezpečenstiev, z ktorých nie je také ľahké sa zachrániť. Práve pre takéto vážne situácie vytvoril Jurij Kolesov kurz “

Bol som hacknutý. Viete, ako stránka na VKontakte. Neprosili však o peniaze, ale vytvorili veľa „ľavicových“ stránok s odkazmi na rôzne stránky. Potom som premýšľal o ochrane môjho blogu. A našiel som ideálne riešenie.

Ako prvé som deň pred hacknutím kontaktoval technickú podporu so žiadosťou o obnovenie mojej stránky a do desiatich minút som mal svoj normálny blog.

Potom som nainštaloval veľa doplnkov na ochranu WordPress pred hackovaním. Ale blog sa začal strašne spomaľovať. Stránky sa načítajú za päť až desať sekúnd. Je príliš dlhá.

Začal som hľadať pluginy, ktoré až tak nezaťažia systém. Čítal som recenzie na tieto doplnky a stále viac som narážal na All In One WP Security. Na základe popisu sa mi veľmi páčil a rozhodol som sa ho dať na svoj blog. A stále ma chráni, lebo nič lepšie som ešte nestretla.

Čo všetko dokáže WP Security (ochrana Wordpress všetko v jednom):

  • Vytvára záložné kópie databázy, konfiguračného súboru wp-config. a súbor .htaccess
  • Zmena adresy autorizačnej stránky
  • Skryje informácie o verzii WordPress
  • Administrátorská ochrana - blokovanie pre nesprávnu autorizáciu
  • Ochrana robotov
  • A mnoho ďalších užitočných vecí

Môžem s istotou povedať, že bezpečnostný doplnok All In One WP Security je najlepšou ochranou pre web WordPress.

Nastavenie zabezpečenia All In One WP

Keď prejdete do sekcie Nastavenia, prvá vec, ktorú musíte urobiť, je vytvoriť zálohy:

  • databáza;
  • súbor wp-config;
  • súbor htaccess

Toto sa vykonáva na prvej stránke nastavenia doplnku All In One WP Security.

Pred začatím práce si vytvorte zálohu

Prejdem len tie najdôležitejšie body.

všetko v jednom položky nastavení bezpečnostného doplnku wp

Ovládací panel

Tu nás privíta počítadlo „Security Meter“. Ukazuje úroveň zabezpečenia stránky. Váš web by mal byť minimálne v zelenej zóne. Nie je potrebné prenasledovať maximálnu úroveň - zbytočné nastavenia môžu narušiť funkčnosť stránky. Dosiahnite zlatú strednú cestu.


Počítadlo ochrany stránok WordPress

Keď zmeníte nastavenia zabezpečenia doplnku, pri každej položke sa zobrazí zelený štít s číslami – toto sú čísla, ktoré sa pripočítajú k celkovému skóre bezpečnosti.

číslo sa pripočíta k celkovému skóre bezpečnosti

nastavenie

Karta Informácie o verzii WP

Začiarknite políčko Odstrániť metadáta generátora WP.


Odstránenie metadát generátora WP

Deje sa tak tak, aby sa v kóde nezobrazovala verzia motora WordPress, ktorú máte nainštalovanú. Útočníci vedia, ktorá verzia má zraniteľné miesta, a ak budú poznať verziu WordPress nainštalovanú na vás, budú môcť hacknúť váš web rýchlejšie.

Administrátori

Používateľské meno WP

Ak je vaše používateľské meno pre vstup do administračného panela admin, potom si ho určite zmeňte. Admin je najobľúbenejšie prihlásenie. Mnoho CMS to ponúka štandardne a ľudia sú jednoducho príliš leniví na to, aby to zmenili.
Útočníci používajú rôzne programy na hackovanie webových stránok. Tieto programy vyberajú prihlasovacie údaje a heslá, kým nenájdu vhodnú kombináciu.
Preto nepoužívajte prihlasovacie meno správcu.

Zobraziť meno

Ak sa vaša prezývka zhoduje s vaším prihlasovacím menom, nezabudnite si zmeniť prihlasovacie meno alebo prezývku.

heslo

Ak sem zadáte svoje heslo, plugin ukáže, ako dlho bude trvať hacknutie vašej stránky.
Odporúčania na posilnenie sily hesla:

  • Heslo musí pozostávať z písmen a číslic
  • Používajte malé a veľké písmená
  • Nepoužívajte krátke heslá (minimálne 6 znakov)
  • Je žiaduce, aby heslo obsahovalo špeciálne znaky (% # _ * @ $ a podrobné znaky)
Zložitosť hesla

Autorizácia

Karta Blokovanie autorizácie

Určite to zapneme. Ak do 5 minút niekto trikrát zadá nesprávne heslo, IP bude zablokovaná na 60 minút. Môžete dať viac, ale je lepšie to nerobiť. Môže sa stať, že aj vy sami zadáte nesprávne heslo a potom budete čakať mesiace alebo aj roky :)
Začiarknite políčko „Okamžite blokovať neplatné používateľské mená“.
Povedzme, že vaše prihlasovacie meno je hozyainsayta a ak niekto zadá iné prihlasovacie meno (napríklad prihlasovacie meno), jeho IP adresa bude automaticky zablokovaná.


možnosti blokovania autorizácie

Automatické odhlásenie užívateľov

Dali sme kliešť. Ak sa prihlásite do administračného panela stránky z iného počítača a zabudnete sa odhlásiť z administračného panela, systém vás po určitom čase odhlási.
Nastavil som to na 1440 minút (to je 24 hodín).


Možnosti automatického odhlásenia používateľa

Registrácia používateľa

Manuálne potvrdenie

Začiarknite políčko „Aktivovať manuálne schvaľovanie nových registrácií“


Manuálne schvaľovanie nových registrácií

CAPTCHA počas registrácie

Dáme aj kliešť. Tým sa prerušia pokusy robotov o registráciu, pretože roboty si nevedia poradiť s captchas.

Registrácia Honeypot

Poďme oslavovať. A nenechávame robotom jedinú šancu. Toto nastavenie vytvorí ďalšie neviditeľné pole (sem zadajte Zadajte text). Toto pole môžu vidieť iba roboty. Keďže automaticky vyplnia všetky polia, napíšu niečo do tohto poľa. Systém automaticky zablokuje tie pokusy o registráciu, ktoré majú toto pole vyplnené.

Ochrana databázy

Predpona databázovej tabuľky

Ak je vaša stránka už dlho a je na nej veľa informácií, zmena predpony databázy by sa mala vykonávať s maximálnou opatrnosťou

nezabudnite si zálohovať databázu

Ak ste práve vytvorili svoju webovú stránku, môžete predponu bezpečne zmeniť.


Predpona databázovej tabuľky

Zálohovanie databázy

Povoliť automatické vytváranie záloh.
Vyberte frekvenciu vytvárania záloh.
A počet súborov s týmito zálohami, ktoré budú uložené. Potom sa začnú prepisovať.
Ak chcete, aby boli tieto súbory dodatočne odoslané na váš email a potom začiarknite príslušné políčko. Na tieto účely mám vo svojej poštovej schránke samostatný priečinok, do ktorého sa odosielajú všetky zálohy (moje a klientskych stránok).


Nastavenia zálohovania databázy

Ochrana súborového systému

Tu zmeníme oprávnenia súboru tak, aby bolo všetko zelené.


Úprava php súborov

Nastavíme ho, ak neupravujete súbory cez admin panel. Vo všeobecnosti musíte vykonať akékoľvek zmeny v súboroch pomocou programov správcu ftp (ako Filezilla). Takže v prípade akéhokoľvek „záseku“ môžete vždy zrušiť predchádzajúcu akciu.

Zakazujeme prístup. Pomocou tejto akcie môžeme skryť informácie dôležité pre hackerov.

Čierna listina

Ak už máte adresy IP, ktorým chcete zakázať prístup na stránku, povoľte túto možnosť.


Blokovanie používateľov podľa IP

POŽARNE DVERE

Základné pravidlá brány firewall.

Firewall a firewall je softvérový balík, ktorý filtruje neoprávnenú komunikáciu.

Tieto pravidlá sa pridávajú do súboru .htaccess, takže najprv vytvoríme jeho záložnú kópiu.

Teraz môžete začiarknuť potrebné políčka:


Aktivujte základné funkcie brány firewall Ochrana pred zraniteľnosťou XMLRPC a Pingback WordPress
Zablokovať prístup k debug.log

Ďalšie pravidlá brány firewall

Na tejto karte začiarknite nasledujúce políčka:

  • Zakázať prehliadanie adresárov
  • Zakázať sledovanie HTTP
  • Zakázať komentáre cez proxy
  • Zabrániť škodlivým reťazcom v požiadavkách (môže narušiť funkčnosť iných doplnkov)
  • Aktivujte dodatočné filtrovanie znakov (Postupujeme tiež opatrne, musíme sa pozrieť na to, ako to ovplyvňuje výkon stránky)
      Každá položka má tlačidlo „+ Ďalšie podrobnosti“, kde si môžete prečítať podrobnosti o každej možnosti.

Pravidlá brány firewall na čiernu listinu 6G

Označíme oba body. Toto je osvedčený zoznam pravidiel, ktoré doplnok poskytuje na zabezpečenie stránky WordPress.


Nastavenia brány firewall

Internetové roboty

Môžu sa vyskytnúť problémy s indexovaním stránok. Túto možnosť nepovoľujem.

Zabrániť rýchlym odkazom

Dali sme kliešť. Aby sa obrázky z vašej stránky nezobrazovali na iných stránkach prostredníctvom priameho odkazu. Táto funkcia znižuje zaťaženie servera.

404 detekcia

Pri nesprávnom zadaní adresy stránky sa zobrazí chyba 404 (taká stránka neexistuje). Hackeri sú hrubou silou, ktorá sa snaží nájsť stránky so zraniteľnými miestami, a preto v krátkom čase zadajú mnoho neexistujúcich adries URL.
Takéto pokusy o hackovanie sa zapíšu do tabuľky na tejto stránke a zaškrtnutím políčka budete môcť zablokovať ich IP adresy na určený čas.


404 Nastavenia sledovania chýb

Ochrana proti útokom hrubou silou

V predvolenom nastavení majú všetky stránky WordPress rovnakú adresu prihlasovacej stránky. A preto útočníci presne vedia, kde začať hackovať stránku.
Táto možnosť vám umožňuje zmeniť adresu tejto stránky. Toto je veľmi dobrá ochrana pre web WordPress. Adresu určite zmeníme. Toto políčko som nezaškrtol, pretože moja stránka automaticky zmenila túto stránku počas inštalácie systému.


Ochrana pred útokmi hrubou silou pomocou súborov cookie

Toto nastavenie som nepovolil, pretože existuje možnosť zablokovať sa pri prihlasovaní z rôznych zariadení.

CAPTCHA na prihlásenie

Ak je na vašej stránke veľa používateľov alebo máte internetový obchod, môžete povoliť Captcha pri prihlasovaní na všetkých miestach.


Ochrana captcha počas autorizácie

Biely zoznam na prihlásenie

Prihlasujete sa do administračnej oblasti iba z domáceho počítača a ste jediným používateľom svojej stránky? Potom zadajte svoju IP adresu a všetkým ostatným bude zamietnutý prístup na autorizačnú stránku.

Zabezpečenie Wordfence vykoná hĺbkovú a dôkladnú kontrolu stránok, či neobsahuje zraniteľné miesta v samotnom jadre Wordpressu, ako aj v témach a doplnkoch.

Na sledovanie pripojení využíva služby WHOIS a vďaka tomu dokáže blokovať celé siete vstavaný firewall. Keď sa zistia nové útoky (aj keď boli vystavené inej lokalite s nainštalovaným WordFence), sada pravidiel brány firewall sa automaticky aktualizuje, aby bolo možné čo najefektívnejšie čeliť hrozbám.

Wordfence Security je bezplatný a otvorený zdroj, ale voliteľné predplatné bude ďalej chrániť vašu stránku aktualizáciou brány firewall, podpisov škodlivého softvéru a čiernej listiny IP v reálnom čase.

Cena prémiového predplatného: až 99 USD ročne (výrazné zľavy dostupné pri nákupe viacerých kľúčov alebo na dlhšie obdobie)

Antivírus

Antivírus funguje rovnako ako bežný antivírus – vykonáva dennú kontrolu celej stránky (vrátane tém a databáz), pričom odošle report na zadaný e-mail. Skenovanie a čistenie stôp sa vykonáva aj pri odstraňovaní doplnkov.

Ak sa zistí podozrivá alebo nebezpečná aktivita, upozornenia sa odošlú na rovnakú e-mailovú adresu a zobrazia sa na paneli správcu.

Quttera Web Malware Scanner

Veľmi výkonný skener, ktorá vyhľadáva zraniteľné miesta, ako sú škodlivé skripty, trójske kone, zadné vrátka, červy, spyware, exploity, škodlivé prvky iframe, presmerovania, zahmlievanie a iné nechcené alebo nebezpečné zmeny kódu. Okrem toho doplnok kontroluje, či je vaša stránka na čiernej listine.

Cena: zadarmo, ale pokročilé funkcie, ako je odstraňovanie zistených zraniteľností a čistenie škodlivých súborov, sú k dispozícii za poplatok (od 119 USD ročne)

Anti-Malware

Anti-Malware skenuje a neutralizuje známe tento moment zraniteľnosti vrátane backdoor skriptov. Automaticky aktualizuje antivírusové databázy, čo vám umožní odhaliť najnovšie vírusy a exploity. Vstavaná brána firewall blokuje zavedenie vírusu SoakSoak a iných exploitov do posúvačov a niektorých ďalších doplnkov.

WP Antivirus Site Protection

WP Antivirus Site Protection kontroluje všetky súbory kritické z hľadiska zabezpečenia vrátane tém, doplnkov a nahratých súborov v priečinku nahrávania. Akýkoľvek nájdený malvér a vírusy budú okamžite odstránené alebo presunuté do karantény.

Využite skener

Exploit Scanner neodstraňuje podozrivý kód – túto špinavú prácu prenecháva administrátorovi. Ale na druhej strane dobre vykonáva svoju nemenej dôležitú a na prácu náročnejšiu operáciu Vyhľadávanie. A určite ho nájde, či už v databáze alebo v bežných súboroch.

Centrora Security

Plugin Centrora Security je navrhnutý podľa princípu „švajčiarskeho noža“ – ide o komplexný nástroj na komplexnú ochranu webových stránok pred všetkými typmi hrozieb. On má vstavaný firewall, zálohovací modul a množstvo skenerov, ktoré kontrolujú prístupové práva, vyhľadávajú škodlivý kód, spam, SQL injekcie a iné zraniteľnosti.

Dobrý deň, priatelia. Dnes si povieme niečo o bezpečnosti nášho podnikania na internete. V živote sa môže stať čokoľvek a naše zdroje nie sú imúnne voči rôznym problémom a prekvapeniam. Informácie sú nehmotné, takže sa môžu ľahko poškodiť alebo zničiť. Existujú riziká spojené so zariadením, na ktorom sú stránky hosťované; niekde sa my sami môžeme „pokaziť“ a nikto nie je imúnny voči zlomyseľným úmyslom cudzincov.

Za ten čas, čo som blogoval, som natrafil na prvý, druhý a tretí. A hackeri rozbili moje stránky a niekedy som urobil niečo zlé. Ale, našťastie, všetko vyšlo vďaka vopred zorganizovanej ochrane.

Na svojom blogu používam niekoľko pluginov, ktoré pomáhajú znižovať riziká. Teraz vám o nich poviem. O prvom som už hovoril a o ďalších 2 hovorím prvýkrát.

Bezpečnostné doplnky pre WordPress

Samozrejme, WordPress ochrana môže byť organizovaná aj inými spôsobmi a pluginmi, ale ja používam tieto. Nebudem hovoriť o inštalácii doplnkov, pretože už (nájdite potrebnú video lekciu v článku) len ukážem, ako ich nakonfigurovať.

1. Doplnok na zálohovanie databázy WordPress

Tento doplnok vám umožňuje ukladať záložné kópie databázy vašich webových stránok automaticky aj manuálne. Môžete si ich stiahnuť priamo do počítača alebo si ich poslať e-mailom. Aby ste lepšie rozumeli. Tento plugin kompletne ukladá informačnú časť stránky – texty, ich dizajn, údaje o používateľoch a ďalšie súčasti stránky, ale neukladá samotné súbory. Obrázky a motívy by ste si mali uložiť sami.

Tento doplnok nie je potrebné sťahovať do počítača, nachádza sa v databáze doplnkov WordPress, takže ho možno jednoducho nainštalovať cez admin panel, cez vyhľadávanie doplnkov.

Video tutoriál o nastavení zálohy databázy WordPress

Ak vám video nevyhovuje, zduplikujem nastavenia pomocou textu a snímok obrazovky.

Ako nainštalovať zálohu databázy WordPress

Ak chcete začať, prihláste sa do administračného panela svojho blogu v sekcii inštalácie pluginu a vyberte sekciu vyhľadávania doplnkov. Do vyhľadávacieho poľa zadajte „wp db backup“.

Mal by sa objaviť ako prvý v zozname doplnkov; ak nie, prejdite trochu nadol. Názov doplnku bude tlačidlo inštalácie. Použite ho na inštaláciu doplnku. Po inštalácii kliknite na aktivačný odkaz.

Potom prejdeme k jeho nastaveniam. Ak to chcete urobiť, na ovládacom paneli blogu musíte nájsť kartu nástrojov a na nej odkaz Zálohovať. Kliknite naň.

Ktoré tabuľky uložiť?

Na začiatku nastavenia sme vyzvaní vybrať tie databázové tabuľky, ktoré sa skopírujú. Sú medzi nimi tie, ktoré sú vždy uložené a tie, ktoré môžeme uložiť dodatočne. Aj keď necháte všetko ako predvolené, bude to v poriadku. Ak rozumiete, čo tieto alebo iné tabuľky znamenajú a aké funkcie vykonávajú, začiarknite príslušné políčka.

Uloženie kópie „tu a teraz“

Ďalšia položka „Nastavenia zálohovania“ je zodpovedná za zálohovanie „tu a teraz“. Toto je rovnaký manuálny režim, keď môžeme práve teraz vytvoriť záložnú kópiu databázy. Celkovo môžeme konfigurovať iba miesto na uloženie zálohy. Prvý bod uloží súbor na server poskytovateľa hostingu. Druhý bod ho stiahne do počítača. Tretia možnosť vám umožňuje poslať e-mailom.

Tlačidlo „vytvoriť archív“ spustí ukladanie.

Ak potrebujete urobiť urgentnú kópiu, napríklad pred veľkými zmenami stránky, použite túto funkciu.

Plánované zálohy

Plánované zálohy databázy pomocou doplnku WordPress Database Backup sú presne to, čo na ňom milujem. V živote ste neustále zaneprázdnení vecami a kvôli zhonu môžete niečo zabudnúť alebo jednoducho nemáte dostatok času. A pomocou tejto funkcie samotná stránka robí všetko v danej frekvencii.

Môžete si nastaviť kopírovanie v rôznych časových intervaloch od jednej hodiny až po dvakrát mesačne. Všetko závisí od toho, ako často na stránku pridávate nové príspevky. Ak píšete často, robte si záložnú kópiu častejšie a ak publikujete jeden článok týždenne, stačí raz týždenne.

Okrem toho existuje samostatný zoznam tabuliek, ktoré sa majú uložiť na automatické kopírovanie. Jedným slovom uveďte frekvenciu, vyberte potrebné tabuľky, uveďte svoju poštovú schránku, kam sa budú kópie odosielať, a kliknite na „zapamätať si plán“.

Týmto je konfigurácia tohto pluginu hotová. Prejdime k ďalšiemu.

2. Plugin na ochranu administračného panela Login LockDown

Predtým, ako budem hovoriť o nastavení doplnku, chcem dať jedno odporúčanie týkajúce sa rovnakej témy. Nepoužívajte štandardné prihlásenie správcu, ktoré poskytuje wordpress, pretože je ľahké ho uhádnuť. Ak máte prihlasovacie meno, ktoré sa líši od štandardného, ​​bude oveľa ťažšie získať prístup k administračnému panelu.

Inštalácia a konfigurácia doplnku Login LockDown

Rovnako ako v prípade predchádzajúceho doplnku sa Login LockDown nachádza v databáze WordPress, takže ho možno nainštalovať aj prostredníctvom vyhľadávania doplnkov. Nájdeme, nainštalujeme, aktivujeme.

Potom cez kartu parametrov prejdite na LockDown prihlásenia

Existuje niekoľko polí, do ktorých sa zadávajú predvolené hodnoty všetkých parametrov.

V zásade nemusíte nič meniť. Ak si chcete doplnok prispôsobiť pre seba, polia znamenajú nasledovné:

Max Login Retries – maximálny počet pokusov o prihlásenie/zadanie hesla pred zablokovaním. Ak je zadané 3 a zadali ste 3-krát nesprávne heslo, panel správcu sa zablokuje.

Obmedzenie časového obdobia opakovania (minúty)– čas, na ktorý je admin panel zablokovaný, ak je heslo zadané nesprávne.

Lockout Length (minúty) – čas, na ktorý je admin panel zablokovaný, keď je povolený maximálny povolený počet nesprávnych prihlásení. Upozorňujeme, že sa tu monitoruje nesprávne zadanie prihlásenia. To znamená, že ten, kto zadáva údaje, nepozná prihlásenie.

Uzamknúť neplatné používateľské mená? – povoliť alebo zakázať rozšírené blokovanie z predchádzajúceho odseku.

Chyby pri prihlásení masky? – či sa má alebo nemá skryť hlásenie, že prihlásenie bolo zadané nesprávne.

Nastavte požadované hodnoty a kliknite na potvrdzovacie tlačidlo – Aktualizovať nastavenie.

3. WordPress plugin – AntiVirus

Názov tohto pluginu hovorí sám za seba. Hľadá vírusy a rôzny spyware v kóde šablóny vašej webovej stránky. Nemá tak prepracovanú funkcionalitu ako antivírusové programy pre osobné počítače. AntiVirus funguje veľmi jednoducho – kontroluje súbory a ak nájde podozrivé kódy, nahlási ich majiteľovi prostredníctvom e-mailu a v administračnom paneli.

Nemôže automaticky chrániť súbory Wordpress; vy sami musíte skontrolovať všetko, čo má podozrenie, a buď to nechať, alebo odstrániť.

Inštalácia a konfigurácia antivírusu

Tradične zadávame vyhľadávanie pluginov cez admin panel. Je súčasťou databázy WordPress, takže inštalácia je rýchla a jednoduchá.

Nevyžaduje žiadne nastavenia. A začne fungovať okamžite po aktivácii. Jediná vec, ktorú môžete urobiť vlastnými rukami, je okamžite skenovať vašu stránku. Ak to chcete urobiť, po aktivácii musíte otvoriť kartu AntiVirus na paneli správcu. Zobrazí sa tlačidlo „Skenovať šablóny tém teraz“ - spustí sa okamžité skenovanie.

Na tejto stránke môžete tiež určiť poštovú schránku, do ktorej bude doplnok posielať správy. Ak tak neurobíte, všetky e-maily budú odoslané správcovi stránky.

Všetky podozrivé kódy sú zvýraznené vo výsledkoch kontroly. Nemusíte sa však ponáhľať s ich odstránením. Podozrivý neznamená zlomyseľný. Každý prvok stojí za kontrolu. Ak rozumiete PHP, nebude pre vás ťažké prísť na problém.

Ale ak nie ste odborník na programovanie (ani ja nie som odborník), nezúfajte. Tie súbory, ktoré AntiVirus označil ako podozrivé, môžete jednoducho porovnať so zdrojovými súbormi vašej šablóny – mali by byť buď vo vašom počítači, alebo na oficiálnej webovej stránke tvorcu témy. Ak sú tieto časti kódu v origináli, potom je všetko v poriadku.

Každý naskenovaný prvok musíte potvrdiť kliknutím na tlačidlo „Neexistuje žiadny vírus“ - doplnok už nebude tento prvok vnímať ako podozrivý.

Rovnako ako všetky ďalšie pluginy pre wordpress, aj AntiVirus načítava server a znižuje rýchlosť stránky, takže odporúčam nenechávať ho stále aktívny a pravidelne ho zapínať a kontrolovať.

Zhrnutie

Zabezpečenie WordPress v skutočnosti nie je také ťažké. Samozrejme, neexistuje spôsob, ako byť 100% poistený proti všetkým životným udalostiam – hackeri neustále nachádzajú nové medzery a vy narážate na nové riešenia problémov, no pár opatrení a zopár užitočných pluginov vám umožní pokojne spať bez starosti o prevádzku vašej stránky.