☂ Защита сайта. Плагин iThemes Security установка и настройка
01.09.2018
Защита интернет сайта от взлома тема актуальная. В статье про плагин All In One WordPress Security мы уже рассмотрели те действия, которые необходимы для надежной защиты веб сайта от внешних атак.
Плагин All In One WordPress Security всем хорош, и быстрый, у понятный, но, лично мне не хватало одной, на мой взгляд, необходимой функции, которой в этом плагине обнаружить не удалось. В чём суть? Называется этот метод защиты – смена URL адреса страницы входа в админку.
Как обычно все мы заходим в админ панель нашего сайта? Пишем в адресную строку admin и вперед, заполняем форму логина и пароля. Точно так поступают и роботы по подбору пароля. Они заходят на главную страницу, добавляют к адресу admin, и начинают подбирать разнообразные комбинации. Я сейчас беру самые простые программы, доступные большинству школьников. Таких попыток большинство, они и создают бОльшую часть всех забот для рядовых блогеров.
Есть простой способ сделать эту переадресацию самостоятельно. Надо просто, через FTP соединение заменить название файла wp-login.php на любое другое, по своему вкусу. Затем надо сделать эту замену в самом файле и в файле по адресу wp-includes/general-template.php. Процедура простая, много времени не занимает. В свою админку уже заходим по тому адресу, который придумали. Минус в том, что её надо повторять регулярно при обновлении WordPress. Последнее время, обновления происходят довольно часто, так что ручками стало действовать не совсем удобно. Желательно эту процедуру автоматизировать.
Плагин iThemes Security установка и настройка
Что и позволяет сделать другой плагин для защиты интернет сайта, под названием iThemes Security. Раньше он назывался Better WP Security и по полному праву заслужил славу одного из самых мощных способов защиты интернет сайтов от взлома. Функционал защиты весьма приличный, мы его и рассмотрим в процессе описания настройки. Итак.
Установка плагина iThemes Security
Тут всё просто. В окошко Поиск плагинов вставляем название iThemes Security , ищем, скачиваем, устанавливаем. Чтобы не возникло путаницы во время поиска, помним, что раньше этот плагин назывался Better WP Security. Дальше желательно проделать обязательную процедуру по сохранению копии вашей базы данных. Делать это несложно, зато страховка от головной боли хорошая. Дальше нажимаем кнопку Secure Your Site Now и переходим к настройкам плагина защиты интернет сайта.
Установка плагина iThemes Security
Настройка плагина iThemes Security
После нажатия кнопочки Secure Your Site Now у нас появляется всплывающее окошко, где нам предлагают сделать первоначальные настройки безопасности для плагина:
Настройка безопасности сайта с плагином iThemes Security
Тут всего четыре кнопочки, запутаться сложно:
Back up your site – предлагается сделать ещё раз резервную копию вашей базы данных. Лишним не будет, копия придёт на ваш почтовый ящик. Allow File Updates – тут нам предлагается разрешить плагину сделать записи в файлы .htaccess и wp-config.php. Необходимо разрешать, на работу сайта не повлияет. Secure Your Site – настройка базовых функций в один клик. На работу плагинов это не влияет, можно, в дальнейшем изменить эти настройки. Help Us Improve – анонимный сбор статистики для улучшения работы плагина. Уверяется, что анонимность будет сохранена, каждый сам решает, как ему поступать в подобных случаях.Рекомендую выбрать минимум три кнопки и продолжить настройки через кнопку Dismiss .
Дальше мы попадаем в панель управления плагином iThemes Security. Первая вкладка Dashboard в которой мы видим о включенных опциях и уровне безопасности вашего сайта. Нас эта информация, пока, не слишком интересует, сразу переходим в панель Settings:
Свойства плагина iThemes Security
Поехали с самого начала. Не забываем внизу каждого раздела сохранять изменения.
Итак, раздел
Global Setting
Первый пункт Write to Files. Тут галочку оставляем. Это то, что мы раньше уже разрешили делать плагину – вносить изменения в файлы .htaccess и wp-config.php. Без этого плагин корректно работать не будет.
Notification Email прописываем адрес электронной почты куда будем получать уведомления
Backup Delivery Email – адрес, куда будут приходить резервные копии базы данных. В обеих этих окошках можно указать любое количество адресов, каждый из них должен располагаться на новой строке.
Host Lockout Message – текст сообщения, которое увидит тот, кого плагин заблокирует. Тут, при желании, можно поизголяться и сочинить креативное послание.
User Lockout Message – тут сообщение для тех, кто превысил количество разрешенных попыток входа. Блокировки пока нет, но паузу сделать придётся.
Blacklist Repeat Offender – общий черный список тех, кто блокируется за неудачные попытки входа. Имеет смысл оставить галочку.
Blacklist Threshold – количество блокировок, после которого IP адрес нарушителя будут занесён в общий чёрный список. По умолчанию стоит цифра 3. Это значит, что после трех неудачных попыток захода на сайт, этот адрес отправляется в чёрный список.
Blacklist Lookback Period – то количество дней, на который нарушитель заносится в черный список. По умолчанию стоит 7 дней, при желании можно увеличить.
Lockout Period – на какое время блокировать пользователя без внесения в черный список.
Lockout White List – тут можно внести те IP адреса, на которые блокировка не распространяется. Надо быть внимательным тем, у кого динамический адрес. Желательно узнать диапазон у своего провайдера.
Email Lockout Notifications – тут включается оповещение по электронной почте при блокировке какого-либо пользователя.
Log Type – тут мы включаем тип журнала, которые будет вести плагин. Database Only – в журнал будут записываться все изменения в базу данных. File Only – ведется журнал изменения в файлах вашего сайта. Это менее нагрузочный вариант для сервера.
Days to Keep Database Logs – сколько дней будет храниться журнал изменений. Как только размер файла достигнет 10МВ, он будет автоматически перезаписан на свежий.
Path to Log Files – путь для хранения журналов.
Allow Data Tracking – участие в сборе анонимной статистики. Мы уже обсуждали выше этот вопрос.
Disable File Locking – эту галочку надо включать тогда, когда у вас возникнут ошибки с блокировкой файлов. Если всё нормально, лучше не трогать.
Жмём кнопочку Save All Changes и переходим к следующему разделу.
404 Detection
Тут можно включить функцию о том, кому и как часто отдаётся ошибка 404 и, при желании заблокировать этого пользователя.
Enable 404 detection – тут ставим галочку для активации функции.
Minutes to Remember 404 Error (Check Period) – то количество минут, в течении которых будет считаться неудачные обращения.
Error Threshold – то количество ошибок, после которых будет определена атака.
404 File/Folder White List – белый лист ошибок, которые выдаются при отсутствии определённых файлов. Если у вас, к примеру нет favicon.ico то ошибка при обращении к этому файлу не будет считаться атакой.
Жмём кнопочку Save All Changes и переходим к следующему разделу.
Away Mode
Тут вы можете настроить те периоды, когда админка будет полностью заблокирована. К примеру, вы не любите работать ночью. Вот и ставите диапазон с часа ночи AM до 8 утра AM ежедневно. Только проверьте совпадение реального времени и времени вашего сайта.
Banned Users
Тут вы можете подключить общий список User Agent из глобального черного списка. Кто-то утверждает, что туда попадают роботы поисковых систем, но, пока мною этого замечено не было. Так что, ставьте галочку напротив поля Enable HackRepair.com’s blacklist feature.
Ну а дальше, вы сможете самостоятельно прописать User Agent и IP тех, кого вы не хотите видеть на своём сайте.
Жмём кнопочку Save All Changes и переходим к следующему разделу.
Brute Force Protection
Тут мы включаем защиту от брутфорс атак на ваш сайт.
Max Login Attempts Per Host – тут мы устанавливаем количество неправильных попыток ввода пароля или логина. По умолчанию 5. Затем он будет заблокирован на указанное время.
Max Login Attempts Per User – количество попыток входа для конкретного пользователя. Если, вдруг логин знают, а вот пароль подобрать не удаётся, указываем количество попыток для ввода пароля. 10 раз вполне достаточно.
Minutes to Remember Bad Login (check period) – указываем период неудачных входов, который будет помнить плагин.
Жмём кнопочку Save All Changes и переходим к следующему разделу.
Database Backup
Тут мы управляем резервированием нашей базы данных. Какая бы не была защита, а иметь под рукой свежую резервную копию никогда не помешает.
Backup Full Database – ставим галочку, если хотим иметь в архиве все наши таблицы.
Backup Method – выбираем метод сохранения резервной копии. По умолчанию копия будет приходить на ваш емайл. Самый удобный вариант.
Backup Location – путь, где будет сохраняться копия базы данных.
Backups to Retain – сколько копий вы хотите хранить на своём хостинге. Цифра 0 отключает этот режим.
Compress Backup Files – нужно ли сжимать резервную копию.
Exclude Tables – те таблицы, которые вы хотите исключить из режима резервного копирования.
Schedule Database Backups – тут вы ставите то количество дней, через которые происходит резервное копирование.
Жмём кнопочку Save All Changes и переходим к следующему разделу.
File Change Detection
Тут у нас подключается очень полезная функция по отслеживанию изменений в файлах движка.
File Change Detection – включаем ежедневное отслеживание изменения в файлах.
Split File Scanning – это включения режима равномерной проверки файлов. Снижается нагрузка на хостинг.
Include/Exclude Files and Folders — тут мы включаем или выключаем те папки и файлы, которые не хотим проверять.
Files and Folders List – рекомендую сразу исключить папку с кешем из проверки wp-content/cache/.
Ignore File Types — те типы файлов, которые не нуждаются в проверке.
Email File Change Notifications – оставляем галочку, если хотим получать уведомления об изменениях на почту.
Display file change admin warning – тут мы включаем или выключаем уведомления в админке.
Жмём кнопочку Save All Changes и переходим к следующему разделу.
Hide Login Area
Вот она, та самая функция, про которую я говорил в самом начале статьи (кто ещё помнит, конечно 
). Тут мы меняем адрес входа в нашу админ панель. И, что самое главное, этот адрес будет работать и после обновления движка WordPress.
Enable the hide backend feature – ставим галочку, чтобы активизировать эту функцию плагина.
Login Slug – тут вы вводите тот адрес, по которому, в дальнейшем вы и будете входить в свою админку.
Enable Theme Compatibility – тут мы ставим галочку в том случае, если ваша тема не поддерживает переадресацию.
Theme Compatibility Slug – тут мы указываем адрес, куда будут перекинуты те, кто захотел войти в админку стандартным способом.
Жмём кнопочку Save All Changes и переходим к следующему разделу.
Secure Socket Layers
Здесь настраивается технология шифрования данных. Большинство пользователей это не применяют, а те, кто использует, и так знают, как это дело настраивать.
Strong Passwords
Тут подключается функция принудительного использования надежных паролей. Думаю, каждый из нас и так давно пользуется хорошими паролями, а эта функция больше подойдет для многопользовательских сайтов.
System Tweaks
Тут происходит тонкая настройка системы. Включать, конечно, желательно, но, надо быть аккуратным. Далеко не все плагины корректно работают в таких режимах. Включайте поочередно, если всё хорошо, подключайте следующий.
System Files – защита системных файлов. Закрывает доступ к файлам readme.html, readme.txt, wp-config.php, install.php, wp-includes и .htaccess. После установки движка доступ к этим файлам желательно ограничить.
Disable Directory Browsing – закрывает пользователям возможность видеть файлы в папках.
Filter Request Methods — апрещаются запросы TRACE, DELETE, TRACK
Filter Suspicious Query Strings in the URL – обнаружение подозрительных запросов в URL
Filter Non-English Characters – включается фильтр не англоязычных запросов. Будьте внимательны, и не включайте этот фильтр если адреса ваших статей, страниц, рубрик или тегов отображаются на русском языке.
Filter Long URL Strings – нельзя использовать адреса длиннее 255 символов.
Remove File Writing Permissions – запрет на запись файлам wp-config.php и .htaccess. Им устанавливаются права доступа 444.
Disable PHP in Uploads – запрет работы скриптам в папке uploads.
Жмём кнопочку Save All Changes и переходим к следующему разделу.
WordPress Tweaks
Последний раздел, в котором мы удаляем следы работы нашего движка WordPress.
Remove WordPress Generator Meta Tag – удаляет из хедера информацию о версии вашего движка.
Remove the Windows Live Writer header – если вы не пользуетесь программой Live Writer для удалённой публикации, смело ставьте галочку.
Remove the RSD (Really Simple Discovery) header – удаляем, если вы не пользуетесь интеграцией XML-RPC.
Reduce Comment Spam – дополнительная защита от спама. Если комментатор определяется как бот, он блокируется.
Display Random Version – показ версии движка в тех случаях, когда это необходимо.
Disable File Editor – блокировка возможности редактировать файлы через админку.
Disable XMLRPC – если не пользуетесь средствами удалённой публикации, включаем эту функцию.
Replace jQuery With a Safe Version – подключение безопасной версии библиотеки iQuery.
Disable login error messages – удаляет строку о неправильном пароле из верхней части окошка входа в админку.
Force Unique Nickname – отслеживание того, чтобы Nickname пользователя отличался от логина.
Disable Extra User Archives – удаление архивов пользователей, у которых нет записей.
Жмём кнопочку Save All Changes и теперь можно быть спокойным за безопасность своего сайта. Все возможные лазейки мы перекрыли.
Вкладка Advanced
Продвинутые настройки во вкладке Advanced рекомендуются сообществом WordPress, но, на мой взгляд, уже слишком. Рассмотрим и их, на всякий случай, так сказать, для полноты картины.
Enable Change Admin User – удаляет пользователя admin. Тут, я думаю, все давно перестали пользоваться этим именем.
Change Content Directory – тут можно поменять папку с контентом. Всем знакомую wp-content.
Change Database Prefix – смена префикса для базы данных. Ну это, сами понимаете, без резервной копии базы делать не рекомендуется.
Во вкладке Backups вы всегда можете сделать резервную копию базы данных.
Во вкладке Logs просмотреть все сохраненные журналы.
Да, что и говорить, статейка получилась длинновата. Но, что делать, безопасность того требует. Мыкаться и ломать голову после того, как сайт взломают, не самое приятное занятие. Рекомендую потратить время, зато потом быть уверенным в безопасности сайта. 
Всем удачи! 
✔ Этот сайт работает на быстром, надёжном, не дорогом хостинге GIGAHOST