Рассмотрим сегодня очень важную тему — защита сайта на wordpress. Вчера получил от своего хостинга письмо о том, что они в очередной раз защитили нас (своих клиентов) от волны атак, после чего предложили сменить пароли на бд и почту. Я конечно все это сделал, но за безопасность своих сайтов я всегда абсолютно спокоен. За свой немалый опыт работы с wordpress, я перепробовал множество вариантов защиты, как комплексных, так и индивидуальных, под каждую уязвимость.
Но со временем, всё меняется. WordPress выпускает новые версии своей CMS, появляются всё новые плагины, с ними приходят новые уязвимости. Те меры по комплексной защите сайта которые работали 3-4 года назад, сегодня на 50% неактуальны. Да и вообще, каждый новый сайт, для меня был новым квестом по установке и настройке мер по обеспечению безопасности. За всё время что я делаю сайты на заказ, еще ни разу не был взломан ни один из созданных мною сайтов. Всё это благодаря тому, что я следил за трендами как одной стороны (хакеров, взломщиков, переборщиков и т.д.), так и другой стороны (тех кто обеспечивает варианты защиты).
Всё это привело меня к одной мысли — сайтов на wordpress с каждым днем становится все больше и больше, соответственно атаки на них не только не прекратятся, но приобретут более массовый эффект. Таким образом я приступил к поиску «коробочного» варианта обеспечения защиты сайта на wordpress. Это приведет не только к быстрому обеспечению защиты, но и поможет поддерживать защиту сайта в актуальном состоянии, благодаря обновлению.
Перепробовал множество плагинов, среди них были как бесплатные, так и платные варианты. Из претендентов на конечное использование осталось 3 шт. (названий давать не буду). Один из них был очень хорош — но платный, второй не плох — но уже около года не обновлялся. О третьем мы сегодня поговорим подробнее…
Именно на этом плагине я остановился. Он бесплатный, постоянно обновляется и улучшается. В базовой комплектации плагина есть все необходимые инструменты для осуществления мер по обеспечению безопасности вашего сайта. Скачать его можно из официального репозитория плагинов
После установки плагина, в меню админки wordpress появится новый пункт «WP Cerber»
Теперь давайте подробно разберемся с каждой вкладкой плагина и рассмотрим базовые настройки защиты.
Кстати, если вас интересует плагин для чата на wordpress, советую quickchat о котором подробно написано на pro-wordpress.ru
В этой вкладке будет отображена последняя подозрительная активность на вашем сайте. Попытки войти с несуществующим логином, попытки подбора пароля и т.д.
В этой вкладке вы сможете наблюдать за всей активностью вашего сайта. Отслеживать успешные входы и выходы, попытки подбора пароля, попытки войти с несуществующим логином. Так же виден статус «атакующего».
В этой вкладке вы будете видеть список IP адресов или целых подсетей которые в данный момент заблокированы, а так же срок истечения блокировки
В этой вкладке, как вы уже поняли, находятся основные настройки плагина. Так как всё написано на русском языке, объяснять каждый пункт не буду. Сделаю акцент лишь на некоторых моментах:
Не забываем сохранить настройки и переходим к следующей вкладке
В этой вкладке вы можете добавить IP адреса тех рабочих мест которые 100% проверены и должны иметь доступ даже при включении режима «Цитадель». Например ваш домашний и рабочий IP адреса. В черный список добавляются адреса, которые ни при каких обстоятельствах не смогут авторизироваться на вашем сайте (например IP адрес переборщика паролей, который очень активно пытается взломать ваш сайт).
В этой вкладке можно указать имена пользователей, с которыми нельзя регистрироваться или входить на сайт. Если ваш логин отличается от admin смело добавляем сюда admin, ибо это имя в первую очередь участвует в подборе паролей.
Длительность сессии пользователя — думаю не нуждается в объяснениях. Если на вашем сайте есть другие пользователи, можно ограничить время пребывания на сайте, по истечении которого им снова нужно будет авторизоваться.
Та самая защита от «роботов», в которой нужно ставить галочку напротив надписи «Я не робот». Очень советую включить для всех форм на вашем сайте и настроить ключи. О правильной настройке можно прочитать по ссылке «Узнать больше», в этом же блоке.
Настройки импорта и экспорта настроек плагина Cerber. Например для настройки плагина на другом вашем сайте
Как видите плагин имеет огромный функционал, благодаря которому вы не только обезопасите свой сайт от взлома но и всегда будете в курсе активных атак. И еще! Не забудьте после настройки своего сайта, сменить логин администратора с admin на любой другой, который будет известен только вам!
Выполнение основных правил защиты сайта на wordpress обезопасят вас от неприятных последствий и оставят больше времени для развития бизнеса. В противном случае, вы можете потерять не только время но и очень ценную информацию!