Безопасность WordPress с iThemes Security

Всем привет! Общеизвестный факт: WordPress без дополнений мало что из себя представляет. Точно так же обстоят дела с безопасностью: данный движок не умеет и самого простого, хотя бы предотвращать перебор паролей с одного IP.

Ошибочно полагать, что малоизвестный сайт не будут пытаться взломать. Практика показывает обратное: практически каждый веб-ресурс, хоть как-то давший о себе знать в сети, обязательно подвергается атакам. Конечно, за ними не всегда стоят злобные хакеры, которым приспичило взломать именно этот сайт, чего бы этого ни стоило. В большинстве случаев работает автоматика, она же после успешного взлома рассылает спам, либо выполняет другие задачи, заложенные разработчиками вируса.

Содержание:

• Что такое iThemes Security
• Настройка защиты iThemes Security
• Вкладки iThemes Security

Что такое iThemes Security

Среди множества различных плагинов для повышения уровня безопасности особо выделяется iThemes Security для WordPress, который богат функционалом. Многие советуют ставить именно его, приводят инструкции по настройке. Что же в нём столь привлекательно?

Прежде чем приступить к подробному обзору, следует перечислить возможности, дабы стало более понятно, что из себя представляет этот плагин. Итак, в iThemes Security есть:

1. Блокирование записи в важные файлы WordPress: wp-config.php, .htaccess и другие;
2. Блокировка доступа к просмотру директорий, а также тех файлов, которые могли бы помочь во взломе (различные readme.txt, содержащие версию WordPress и другие данные);
3. Защита от подбора паролей;
4. Смена префикса таблиц и ID администратора;
5. Отслеживание ошибок 404 и блокировка тех IP, которые слишком часто на них попадают (может говорить о сканировании на уязвимости);
6. Фильтры ссылок, усложняющие проведение атак;
7. Отключение различных возможностей движка, которые могут использоваться для вредоносных действий (например, редактор кода);
8. Скрытие страниц входа и регистрации;
9. Вход только в заданное время и с заданных IP;
10. Сканирование изменений в файлах;
11. Создание резервных копий БД;
12. Модуль блокирования пользователей по различным маркерам;
13. Сканирование на вирусы;
14. Использование SSL по умолчанию.

Вот почему iThemes Security для WordPress стал популярным. В нём собрано практически всё необходимое, чтобы сайт был в безопасности.

Настройка защиты iThemes Security

Во всех секциях присутствует кнопка сохранения настроек, но её необязательно нажимать каждый раз. Происходит сохранение опций из всех секций, поэтому удобнее сначала всё полностью настроить, а потом один раз сохранить. У всех опций есть описание, но оно на английском языке.

Global Settings

Здесь содержатся основные настройки плагина. В них указываются текста сообщений о блокировках, e-mail для уведомлений, период автоматического блокирования нарушителей, белый список IP-адресов и прочее. На случай ошибок рекомендуется поменять стандартные сообщения, чтобы посетителям веб-ресурса было понятно, что случилось.

404 Detection

Есть два основных параметра:

• «Minutes to Remember 404 Error (Check Period)». Временной отрезок, настраиваемый в минутах. В течение заданного периода ведётся подсчёт ошибок, поэтому он не должен быть слишком длинным или слишком коротким.
• «Error Threshold». Кол-во ошибок, после которого пользователь временно блокируется.

Фильтры исключений настроены по умолчанию и править их в большинстве случаев не нужно.

Brute Force Protection

Сообщения о блокировке и её период настраиваются в Global Settings. Важные параметры:

• «Max Login Attempts Per Host». Допустимое число неудачных авторизаций до блокировки;
• «Max Login Attempts Per User». Очень важный параметр, который обязательно нужно настроить. Он отвечает за блокировку входа под взламываемым пользователем с любых IP, пока не закончится атака. Таким образом, честный пользователь может быть лишён возможности войти на сайт под своим аккаунтом. Лучше выставить на 0 (отключение блокировки);
• «Minutes to Remember Bad Login (check period)». Отрезок времени, за который подсчитываются неудачные попытки авторизации;
• «Automatically ban «admin» user». Моментальное блокирование при попытке зайти под ником «admin».

Away Mode

Тут всё просто: нужно выставить даты, между которыми авторизация разрешена.

Banned Users

Содержит два текстовых поля, предназначенных для нежелательных IP и User Agent. Имеется интересная галочка: «Enable HackRepair.com’s blacklist feature», подключающая список известных адресов, с которых осуществляется подозрительная деятельность.

Database Backups

Настройка резервного копирования базы данных по заданному интервалу. Кроме локального сохранения, возможна отправка на e-mail.

File Change Detection

Включение отслеживания изменений в файлах. Период проверки не настраивается. Отчёты выводятся в панели управления, также могут высылаться на заданный e-mail адрес. В случае заражения, с помощью такого отчёта можно будет определить, в какие именно скрипты были внесены изменения.

Hide Login Area

Настройка адресов, по которым будут расположены формы авторизации и регистрации. Чтобы начать перебор паролей, злоумышленнику сначала нужно будет узнать правильную ссылку, которую легко поменять снова.

Malware Scanning

Содержит одну кнопку, которая запускает проверку сайта на вирусы через сторонние сервисы. Если проблема была обнаружена, об этом будет выведена подробная информация, она также сохранится в логах, где её можно будет потом посмотреть. Помогает узнать, помечен ли веб-ресурс как заражённый.

Secure Socket Layers (SSL)

Включение SSL шифрования данных для всего сайта. Сначала нужно получить сертификат от какого-либо авторизованного сервиса.

Strong Passwords

Устанавливает обязательное использование сложного пароля, начиная от заданной группы пользователей.

System Tweaks

Довольно важная секция, в которой размещены галочки включения различных фильтров. Среди них есть:

• Запрет доступа к важным файлам, что снижает риски;
• Отключение просмотра папок сайта;
• Фильтр запросов;
• Фильтрация слишком длинных ссылок и тех, которые содержат неанглийские символы (в некоторых случаях может привести к ошибкам);
• Снятие прав на изменение важных файлов;
• Отключение исполнения PHP-скриптов в директории загрузок.

WordPress Tweaks

В данной секции можно отключить некоторые возможности WordPress, которые могут использоваться злоумышленниками.

Вкладки iThemes Security

Dashboards

На ней расположена разная информация, в том числе о текущих блокировках.

Settings

Основные настройки плагина, которых весьма много. Больше, чем было описано в рамках данной статьи. Потребуется знание английского языка, либо использование переводчика.

Advanced

Вывод предупреждений о проблемах безопасности, которые нужно устранить на вкладке настроек.

Backups

Создание и управление резервными копиями базы данных. Но удобнее использовать для этих целей другой плагин, обладающий более широкими возможностями.

Logs

Эту вкладку стоит регулярно посещать, поскольку тут выводится вся информация по работе плагина. По ней можно узнать, какие именно атаки применяются на веб-ресурс.

Help

Содержит ссылки на страницы для поддержки пользователей iThemes Security.

Установив и правильно настроив у себя на сайте iThemes Security, можете быть уверены в его безопасности. Всего доброго и до новых встреч!

С уважением, Евгений Кузьменко.