Новости

Как правильно применять в JavaScript асинхронные функции: примеры работы с ES 2017
От автора: возможность писать на JavaScript асинхронные функции является важным обновлением в ES2017. Что такое асинхронные функции? Асинхронные функции — это функции, которые возвращают promise. Мы

WordPress JavaScript — как правильно подключить файл скрипта к шаблону сайта
Использование в шаблонах WordPress JavaScript скриптов давно стало обычным делом. Их подключение возможно несколькими способами, начиная с классического варианта с использование голого HTML. Но чтобы все

Как исправить JavaScript error "ВКонтакте"? Что делать при ошибках JavaScript в "ВКонтакте"?
"ВКонтакте" - это на сегодняшний день самый удобный русскоязычный ресурс, который является не только популярнейшей социальной сетью, но и сервисом для прослушивания аудиозаписей и просмотра видео. Здесь

Правильное использование Tor Browser
Tor Browser полностью анонимен – Миф или реальность? Многие считают, что Tor — это полностью анонимное и безопасное средство для интернет-серфинга, которое не дает никому возможность контролировать то,

Javascript error object is not a function вконтакте как исправить
"ВКонтакте" - это на сегодняшний день самый удобный русскоязычный ресурс, который является не только популярнейшей социальной сетью, но и сервисом для прослушивания аудиозаписей и просмотра видео. Здесь

Как исправить ошибку javascript error вконтакте
На сегодняшний день «Вконтакте» является наиболее удобным русскоязычным ресурсом, который представляет собой не только крупнейшую социальной сеть, но и сервис для просмотра видео и прослушивания аудиозаписей.

Что такое JavaScript и для чего он используется?
Подробности декабря 10, 2015 Просмотров: 20225 В интернете миллионы веб-страниц,

Практика javascript синтаксис написания
Javascript — это язык программирования, который активно используется для построения динамических веб страниц. Собственно с этой целью он и был изобретен. У нашего с вами языка еще есть такое интересное

JavaScript учебник
Код функций в JavaScript начинает выполнение после их вызова. Функции являются одним из наиболее важных строительных блоков кода в JavaScript. Функции состоят из набора команд и обычно выполняют

Рекомендации решившим начать изучать JavaScript
Если вы решили начать изучать JavaScript , то эта статья для вас. Надеюсь, что её прочтение избавит вас в будущем от множества ошибок и сделает его изучения более простым, быстрым и эффективным. В статье

☂ Защита сайта. Плагин iThemes Security установка и настройка

Опубликовано: 01.09.2018

Защита интернет сайта от взлома тема актуальная. В статье про плагин All In One WordPress Security мы уже рассмотрели те действия, которые необходимы для надежной защиты веб сайта от внешних атак.

Плагин All In One WordPress Security всем хорош, и быстрый, у понятный, но, лично мне не хватало одной, на мой взгляд, необходимой функции, которой в этом плагине обнаружить не удалось. В чём суть? Называется этот метод защиты – смена URL адреса страницы входа в админку.

Как обычно все мы заходим в админ панель нашего сайта? Пишем в адресную строку admin и вперед, заполняем форму логина и пароля. Точно так поступают и роботы по подбору пароля. Они заходят на главную страницу, добавляют к адресу admin, и начинают подбирать разнообразные комбинации. Я сейчас беру самые простые программы, доступные большинству школьников. Таких попыток большинство, они и создают бОльшую часть всех забот для рядовых блогеров.

Есть простой способ сделать эту переадресацию самостоятельно. Надо просто, через FTP соединение заменить название файла wp-login.php на любое другое, по своему вкусу. Затем надо сделать эту замену в самом файле и в файле по адресу wp-includes/general-template.php. Процедура простая, много времени не занимает. В свою админку уже заходим по тому адресу, который придумали. Минус в том, что её надо повторять регулярно при обновлении WordPress. Последнее время, обновления происходят довольно часто, так что ручками стало действовать не совсем удобно. Желательно эту процедуру автоматизировать.

Плагин iThemes Security установка и настройка

Что и позволяет сделать другой плагин для защиты интернет сайта, под названием iThemes Security. Раньше он назывался  Better WP Security и по полному праву заслужил славу одного из самых мощных способов защиты интернет сайтов от взлома. Функционал защиты весьма приличный, мы его и рассмотрим в процессе описания настройки. Итак.

Установка плагина iThemes Security

Тут всё просто. В окошко Поиск плагинов вставляем название iThemes Security , ищем, скачиваем, устанавливаем. Чтобы не возникло путаницы во время поиска, помним, что раньше этот плагин назывался Better WP Security. Дальше желательно проделать обязательную процедуру по сохранению копии вашей базы данных. Делать это несложно, зато страховка от головной боли хорошая. Дальше нажимаем кнопку Secure Your Site Now и переходим к настройкам плагина защиты интернет сайта.

Установка плагина iThemes Security

Настройка плагина iThemes Security

После нажатия кнопочки Secure Your Site Now у нас появляется всплывающее окошко, где нам предлагают сделать первоначальные настройки безопасности для плагина:

Настройка безопасности сайта с плагином iThemes Security

Тут всего четыре кнопочки, запутаться сложно:

Back up your site – предлагается сделать ещё раз резервную копию вашей базы данных. Лишним не будет, копия придёт на ваш почтовый ящик. Allow File Updates – тут нам предлагается разрешить плагину сделать записи в файлы .htaccess и wp-config.php. Необходимо разрешать, на работу сайта не повлияет. Secure Your Site – настройка базовых функций в один клик. На работу плагинов это не влияет, можно, в дальнейшем изменить эти настройки. Help Us Improve – анонимный сбор статистики для улучшения работы плагина. Уверяется, что анонимность будет сохранена, каждый сам решает, как ему поступать в подобных случаях.

Рекомендую выбрать минимум три кнопки и продолжить настройки через кнопку Dismiss .

Дальше мы попадаем в панель управления плагином iThemes Security. Первая вкладка Dashboard в которой мы видим о включенных опциях и уровне безопасности вашего сайта. Нас эта информация, пока, не слишком интересует, сразу переходим в панель Settings:

Свойства плагина iThemes Security

Поехали с самого начала. Не забываем внизу каждого раздела сохранять изменения.

Итак, раздел

Global Setting

Первый пункт Write to Files. Тут галочку оставляем. Это то, что мы раньше уже разрешили делать плагину – вносить изменения в файлы .htaccess и wp-config.php. Без этого плагин корректно работать не будет.

Notification Email прописываем адрес электронной почты куда будем получать уведомления

Backup Delivery Email – адрес, куда будут приходить резервные копии базы данных. В обеих этих окошках можно указать любое количество адресов, каждый из них должен располагаться на новой строке.

Host Lockout Message – текст сообщения, которое увидит тот, кого плагин заблокирует. Тут, при желании, можно поизголяться и сочинить креативное послание.

User Lockout Message – тут сообщение для тех, кто превысил количество разрешенных попыток входа. Блокировки пока нет, но паузу сделать придётся.

Blacklist Repeat Offender – общий черный список тех, кто блокируется за неудачные попытки входа. Имеет смысл оставить галочку.

Blacklist Threshold – количество блокировок, после которого IP адрес нарушителя будут занесён в общий чёрный список. По умолчанию стоит цифра 3. Это значит, что после трех неудачных попыток захода на сайт, этот адрес отправляется в чёрный список.

Blacklist Lookback Period – то количество дней, на который нарушитель заносится в черный список. По умолчанию стоит 7 дней, при желании можно увеличить.

Lockout Period – на какое время блокировать пользователя без внесения в черный список.

Lockout White List – тут можно внести те IP адреса, на которые блокировка не распространяется. Надо быть внимательным тем, у кого динамический адрес. Желательно узнать диапазон у своего провайдера.

Email Lockout Notifications – тут включается оповещение по электронной почте при блокировке какого-либо пользователя.

Log Type – тут мы включаем тип журнала, которые будет вести плагин. Database Only – в журнал будут записываться все изменения в базу данных.  File Only – ведется журнал изменения в файлах вашего сайта. Это менее нагрузочный вариант для сервера.

Days to Keep Database Logs – сколько дней будет храниться журнал изменений. Как только размер файла достигнет 10МВ, он будет автоматически перезаписан на свежий.

Path to Log Files – путь для хранения журналов.

Allow Data Tracking – участие в сборе анонимной статистики. Мы уже обсуждали выше этот вопрос.

Disable File Locking – эту галочку надо включать тогда, когда у вас возникнут ошибки с блокировкой файлов. Если всё нормально, лучше не трогать.

Жмём кнопочку Save All Changes и переходим к следующему разделу.

404 Detection

Тут можно включить функцию о том, кому и как часто отдаётся ошибка 404 и, при желании заблокировать этого пользователя. 

Enable 404 detection – тут ставим галочку для активации функции.

Minutes to Remember 404 Error (Check Period) – то количество минут, в течении которых будет считаться неудачные обращения.

Error Threshold – то количество ошибок, после которых будет определена атака.

404 File/Folder White List – белый лист ошибок, которые выдаются при отсутствии определённых файлов. Если у вас, к примеру нет favicon.ico то ошибка при обращении к этому файлу не будет считаться атакой.

Жмём кнопочку Save All Changes и переходим к следующему разделу.

Away Mode

Тут вы можете настроить те периоды, когда админка будет полностью заблокирована. К примеру, вы не любите работать ночью. Вот и ставите диапазон с часа ночи AM до 8 утра AM ежедневно. Только проверьте совпадение реального времени и времени вашего сайта.

Banned Users

Тут вы можете подключить общий список User Agent из глобального черного списка. Кто-то утверждает, что туда попадают роботы поисковых систем, но, пока мною этого замечено не было. Так что, ставьте галочку напротив поля Enable HackRepair.com’s blacklist feature.

Ну а дальше, вы сможете самостоятельно прописать User Agent и IP тех, кого вы не хотите видеть на своём сайте.

Жмём кнопочку Save All Changes и переходим к следующему разделу.

Brute Force Protection

Тут мы включаем защиту от брутфорс атак на ваш сайт.

Max Login Attempts Per Host – тут мы устанавливаем количество неправильных попыток ввода пароля или логина. По умолчанию 5. Затем он будет заблокирован на указанное время.

Max Login Attempts Per User – количество попыток входа для конкретного пользователя. Если, вдруг логин знают, а вот пароль подобрать не удаётся, указываем количество попыток для ввода пароля. 10 раз вполне достаточно.

Minutes to Remember Bad Login (check period) – указываем период неудачных входов, который будет помнить плагин.

Жмём кнопочку Save All Changes и переходим к следующему разделу.

Database Backup

Тут мы управляем резервированием нашей базы данных. Какая бы не была защита, а иметь под рукой свежую резервную копию никогда не помешает.

Backup Full Database – ставим галочку, если хотим иметь в архиве все наши таблицы.

Backup Method – выбираем метод сохранения резервной копии. По умолчанию копия будет приходить на ваш емайл. Самый удобный вариант.

Backup Location – путь, где будет сохраняться копия базы данных.

Backups to Retain – сколько копий вы хотите хранить на своём хостинге. Цифра 0 отключает этот режим.

Compress Backup Files – нужно ли сжимать резервную копию.

Exclude Tables – те таблицы, которые вы хотите исключить из режима резервного копирования. 

Schedule Database Backups – тут вы ставите то количество дней, через которые происходит резервное копирование.

Жмём кнопочку Save All Changes и переходим к следующему разделу.

File Change Detection

Тут у нас подключается очень полезная функция по отслеживанию изменений в файлах движка.

File Change Detection – включаем ежедневное отслеживание изменения в файлах.

Split File Scanning – это включения режима равномерной проверки файлов. Снижается нагрузка на хостинг.

Include/Exclude Files and Folders — тут мы включаем или выключаем те папки и файлы, которые не хотим проверять. 

Files and Folders List – рекомендую сразу исключить папку с кешем из проверки wp-content/cache/.

Ignore File Types — те типы файлов, которые не нуждаются в проверке.

Email File Change Notifications – оставляем галочку, если хотим получать уведомления об изменениях на почту.

Display file change admin warning – тут мы включаем или выключаем уведомления в админке.

Жмём кнопочку Save All Changes и переходим к следующему разделу.

Hide Login Area

Вот она, та самая функция, про которую я говорил в самом начале статьи (кто ещё помнит, конечно ). Тут мы меняем адрес входа в нашу админ панель. И, что самое главное, этот адрес будет работать и после обновления движка WordPress.

Enable the hide backend feature – ставим галочку, чтобы активизировать эту функцию плагина.

Login Slug – тут вы вводите тот адрес, по которому, в дальнейшем вы и будете входить в свою админку.

Enable Theme Compatibility – тут мы ставим галочку в том случае, если ваша тема не поддерживает переадресацию.

Theme Compatibility Slug – тут мы указываем адрес, куда будут перекинуты те, кто захотел войти в админку стандартным способом.

Жмём кнопочку Save All Changes и переходим к следующему разделу.

Secure Socket Layers

Здесь настраивается технология шифрования данных. Большинство пользователей это не применяют, а те, кто использует, и так знают, как это дело настраивать.

Strong Passwords

Тут подключается функция принудительного использования надежных паролей. Думаю, каждый из нас и так давно пользуется хорошими паролями, а эта функция больше подойдет для многопользовательских сайтов.

System Tweaks

Тут происходит тонкая настройка системы. Включать, конечно, желательно, но, надо быть аккуратным. Далеко не все плагины корректно работают в таких режимах. Включайте поочередно, если всё хорошо, подключайте следующий.

System Files – защита системных файлов. Закрывает доступ к файлам readme.html, readme.txt, wp-config.php, install.php, wp-includes и .htaccess. После установки движка доступ к этим файлам желательно ограничить.

Disable Directory Browsing – закрывает пользователям возможность видеть файлы в папках.

Filter Request Methods — апрещаются запросы TRACE, DELETE, TRACK

Filter Suspicious Query Strings in the URL – обнаружение подозрительных запросов в URL

Filter Non-English Characters – включается фильтр не англоязычных запросов. Будьте внимательны, и не включайте этот фильтр если адреса ваших статей, страниц, рубрик или тегов отображаются на русском языке.

Filter Long URL Strings – нельзя использовать адреса длиннее 255 символов. 

Remove File Writing Permissions – запрет на запись файлам wp-config.php и .htaccess. Им устанавливаются права доступа 444.

Disable PHP in Uploads – запрет работы скриптам в папке uploads.

Жмём кнопочку Save All Changes и переходим к следующему разделу.

WordPress Tweaks

Последний раздел, в котором мы удаляем следы работы нашего движка WordPress.

Remove WordPress Generator Meta Tag – удаляет из хедера информацию о версии вашего движка.

Remove the Windows Live Writer header – если вы не пользуетесь программой Live Writer для удалённой публикации, смело ставьте галочку. 

Remove the RSD (Really Simple Discovery) header – удаляем, если вы не пользуетесь интеграцией XML-RPC.

Reduce Comment Spam – дополнительная защита от спама. Если комментатор определяется как бот, он блокируется.

Display Random Version – показ версии движка в тех случаях, когда это необходимо.

Disable File Editor – блокировка возможности редактировать файлы через админку.

Disable XMLRPC – если не пользуетесь средствами удалённой публикации, включаем эту функцию.

Replace jQuery With a Safe Version – подключение безопасной версии библиотеки iQuery.

Disable login error messages – удаляет строку о неправильном пароле из верхней части окошка входа в админку.

Force Unique Nickname – отслеживание того, чтобы Nickname пользователя отличался от логина.

Disable Extra User Archives – удаление архивов пользователей, у которых нет записей.

Жмём кнопочку Save All Changes и теперь можно быть спокойным за безопасность своего сайта. Все возможные лазейки мы перекрыли.

Вкладка Advanced

Продвинутые настройки во вкладке Advanced рекомендуются сообществом WordPress, но, на мой взгляд, уже слишком. Рассмотрим и их, на всякий случай, так сказать, для полноты картины.

Enable Change Admin User – удаляет пользователя admin. Тут, я думаю, все давно перестали пользоваться этим именем.

Change Content Directory – тут можно поменять папку с контентом. Всем знакомую wp-content.

Change Database Prefix – смена префикса для базы данных. Ну это, сами понимаете, без резервной копии базы делать не рекомендуется.

Во вкладке Backups вы всегда можете сделать резервную копию базы данных.

Во вкладке Logs просмотреть все сохраненные журналы. 

Да, что и говорить, статейка получилась длинновата. Но, что делать, безопасность того требует. Мыкаться и ломать голову после того, как сайт взломают, не самое приятное занятие. Рекомендую потратить время, зато потом быть уверенным в безопасности сайта.

Всем удачи!

Этот сайт работает на быстром, надёжном, не дорогом хостинге GIGAHOST

rss