medžiagų 

Vienintelė veikianti antivirusinė programa, skirta „WordPress“. Geriausi „WordPress“ apsaugos nuo virusų papildiniai, diegiant ir konfigūruojant antivirusinę programą

WordPress turinio valdymo sistema dėl didžiulio populiarumo taip pat pritraukia niekintojus. Be to, „variklis“ platinamas nemokamai, todėl jam dar labiau gresia saugumo pažeidimas. Pati „WordPress“ yra gana saugi programinė įranga. Skylės pradeda atsidaryti, kai vartotojas įdiegia papildinius ir temas.

Papildinio ir temos nesaugumas

Deja, ne visada galima būti tikriems dėl temų ar įskiepių saugumo ir nekenksmingumo. Jų mokamose versijose yra labai specifinių kūrėjų, kurie vertina jų reputaciją. Dėl to jų gaminiai yra aukštesnės kokybės, o tikimybė kartu su jais gauti bet kokį kenkėjišką kodą yra gana maža. Tačiau, kaip rodo mūsų gyvenimo patirtis, bet kuriai taisyklei yra išimčių. Kai kurie žmonės prideda nekenksmingą kodą, kad pateiktų grįžtamąjį ryšį, o kiti tai daro siekdami visiškai kitokio tikslo. Net pačiame „variklyje“ kartais atskleidžiami pažeidžiamumai, leidžiantys užpuolikui įterpti savo kodą į jo branduolį.

Apsaugos nuo virusų papildiniai

Laimei, yra daug naudingų „WordPress“ sprendimų, kurie gali visiškai nuskaityti jūsų išteklius, ar nėra visų rūšių pažeidžiamumų ir kenkėjiško kodo, ir, jei jie randami, nurodyti konkrečią jų „buveinės“ vietą arba visiškai juos neutralizuoti. Pažvelkime į keletą gana aukštos kokybės ir patikimų įskiepių, skirtų apsaugoti jūsų „WordPress“ svetainę.

Sucuri Security

Nemokamas „Sucuri Security“ papildinys yra pagrindinis saugos įrankis, kurį naudoja daugybė „WordPress“ vartotojų. Sprendimas suteikia svetainėms kelių tipų ir lygių apsaugą, tarp kurių yra šie:

  • visų failų nuskaitymas, ar nėra kenksmingo kodo;
  • stebėti failų vientisumą;
  • visų su saugumu susijusių operacijų registravimas;
  • identifikavimas ir pranešimas apie svetainės įtraukimo į juodąjį sąrašą riziką ESET, Nortonas, AVG ir kt.;
  • automatinis tam tikrų veiksmų atlikimas aptikus įsilaužimą.

Wordfence apsauga

„Wordfence Security“ yra sprendimas, kuris giliai tikrina žiniatinklio šaltinį, ar nėra spragų ir kenkėjiško kodo ne tik temos ir papildinio failuose, bet ir pačioje „variklio“ šerdyje.

Papildinys naudoja KAS YRA-ryšių stebėjimo paslaugos. Dėl integruotos ugniasienės ji gali blokuoti ištisus tinklus. Kai tik aptinkama tinklo ataka, ugniasienės taisyklių rinkinys automatiškai atnaujinamas, kad būtų galima efektyviausiai kovoti su grėsmėmis.

AntiVirus

AntiVirus papildinys kasdien nuskaito visus svetainės failus (įskaitant temas, duomenų bazę) ir siunčia paštu- pranešti nurodytu adresu. Be to, AntiVirus nuskaito ir išvalo pėdsakus taip pat pašalinus papildinius.

„Quttera“ žiniatinklio kenkėjiškų programų skaitytuvas

Galingo „Quttera“ žiniatinklio kenkėjiškų programų skaitytuvo nuskaitymo ir aptikimo sąraše yra šie pažeidžiamumai:

  • Kenkėjiški scenarijai;
  • Trojos kirminai;
  • šnipinėjimo programos;
  • užpakalinės durys;
  • išnaudojimai;
  • peradresuoja;
  • piktybinis iframe;
  • aptemimas ir kt.

Be šio sąrašo, papildinys patikrina, ar svetainė yra įtraukta į juodąjį sąrašą.

Apsauga nuo kenkėjiškų programų ir „Brute Force Firewall“.

Papildymas Apsauga nuo kenkėjiškų programų ir žiaurios jėgos ugniasienė l skirtas nuskaityti ir neutralizuoti šiuo metu žinomus pažeidžiamumus, įskaitant scenarijus galinės durys. Įskiepio antivirusinės duomenų bazės atnaujinamos automatiškai, o tai leidžia aptikti naujausius virusus ir išnaudojimus. Papildinys turi integruotą ugniasienę, kuri blokuoja tinklo grėsmes.

Papildinio funkcija yra suteikti papildomą svetainės apsaugą (apsaugą nuo brutali jėga, DDoS atakų, taip pat „WordPress“ branduolio vientisumo tikrinimas). Norėdami tai padaryti, jums tereikia užsiregistruoti svetainėje gotmls.net.

WP antivirusinė svetainės apsauga

WP Antivirus Site Protection nuskaito visus su sauga susijusius svetainės failus, įskaitant temas, papildinius ir atsisiuntimus aplanke įkėlimai. Rasti kenksmingi kodai ir virusai bus nedelsiant pašalinti arba perkelti į karantiną.

Išnaudoti skaitytuvą

„Exploit Scanner“ papildinys skirtas tik įtartino kodo (svetainės failų ir duomenų bazės) identifikavimui. Kai tik kažkas bus aptikta, svetainės administratorius bus nedelsiant apie tai informuotas.

„Centrora WordPress“ sauga

Išsamus sprendimas Centrora WordPress Security yra daugialypis įrankis, skirtas apsaugoti žiniatinklio išteklius nuo visų tipų grėsmių. Tai apima šias funkcijas:

  • ieškoti kenkėjiško kodo, šlamšto, SQL- injekcijos;
  • ugniasienės buvimas;
  • skaitytuvo buvimas prieigos teisėms patikrinti;
  • atliekant atsarginę kopiją.

Spustelėkite vieną iš mygtukų, kad sužinotumėte, ar straipsnis jums patiko, ar ne.

Man patinka, man nepatinka

Yra daug „WordPress“ saugos papildinių, kuriuose teigiama, kad jie turi antivirusinių funkcijų. Ir daugelis iš jų tikrai išsprendžia daugybę galimų šios TVS spragų. Pavyzdžiui, Wordfence Security, AntiVirus, Anti-Malware ir dešimtys panašių.

Tačiau kaip antivirusinė priemonė jie visiškai netinkami. Juk jie yra įskiepiai. Su jomis susidoroja bet kokia antivirusinė programa, „užrakinanti“ tam tikras failų sistemos dalis. Nemokama antivirusinė programa paprastai yra mitas. Nuolatinis virusų duomenų bazės atnaujinimas, nuskaitymas iš trečiosios šalies serverio ir kiti poreikiai akivaizdžiai eikvoja kūrėjo resursus. Taigi kiekvienas, įdiegęs kitą nemokamą „WordPress“ antivirusinį įskiepį, akivaizdžiai apgaudinėja save ir sukuria saugumo iliuziją.

Kai mano svetainės buvo užkrėstos, pradėjau gilintis į gydymo įrankius. Tikrų, o ne papildinių buvo tikrai nedaug. Iš jų tik vienas dirbo man. Be to, jis daugiau ar mažiau išsprendė problemas ir vis dar sąžiningai atlieka kasdienius nuskaitymus. Tai yra…

VirusDay – kodėl tai veikia?

  • Tai debesies pagrindu veikianti antivirusinė programa, jos nėra jūsų svetainės aplanke
  • Automatinis virusų gydymas
  • Prieš gydymą kuria failų atsargines kopijas ir išsaugo juos namuose
  • Įterptoji failų sistema
  • Didelis gyvas projektas: verslas su CloudLinus, Reg.ru ir kt

Kaip prijungti svetainę prie antivirusinės programos?

Pasirodžiusioje formoje įveskite domeno adresą ir spustelėkite „Tęsti“. Tada turite prijungti VirusDie serverį prie savo, todėl siūlome sinchronizuoti. Yra 2 variantai:

  • Rankiniu būdu. Atsisiųskite PHP failą sinchronizavimui ir patys pridėkite jį prie šakninio svetainės aplanko.
  • Automatiškai. Nurodykite FTP prieigą (serverį, prisijungimo vardą ir slaptažodį).
  1. Kaip dažnai tikrinti svetainę: kartą per 6 ar 12 valandų arba kartą per dieną
  2. Įjungti / išjungti ugniasienę
  3. Sujunkite profesionalų aptarnavimą su garantija be virusų

Iš esmės viskas pradedama skenuoti iš karto. Tai galite padaryti rankiniu būdu spustelėdami žalią apskritimą. Jei nuskaitymo metu buvo aptikta problemų, bandysime išgydyti VirusDay. Jei nepavyks (turėjau tai - 1/50) - failų tvarkyklėje parodys užkrėstas kodo eilutes ir bandys nustatyti infekcijos tipą.

Kasdienis nuskaitymas

Kiek kainuoja apsauga

Vienos svetainės prijungimas per metus = 1499 rubliai. Po 3 svetainių už šią kainą galite prijungti kitas už 249 rublius. Pavyzdžiui: 1499 x 3 + 249 x 7 = 6240 rublių per metus 10 svetainių.

Yra ekspertų paslauga už 4900 (6 mėn.) ir 9990 (12 mėnesių) rublių. Ten jie matuos kraujospūdį ir pasirūpins, kad neužspringtumėte alyvuogių kauliuku.

TVS WordPress yra gerai apsaugota sistema, tačiau pažeidžiamumų galima rasti bet kurioje sistemoje. „WordPress“ kūrėjai stengiasi, kad TVS saugumas būtų tvirtesnis su kiekviena nauja versija, tačiau užpuolikai taip pat nesėdi be darbo. Todėl norėdami apsaugoti savo svetainę nuo įsilaužimo, virusų ir atakų, tam tikrų priemonių turėsite imtis patys.

Galiu duoti keletą praktinių „WordPress“ saugos patarimų, kurie jums padės. apsaugoti savo „WordPress“ svetainę nuo pagrindinių grėsmių, virusų ir atakų.

Pagrindinės „WordPress“ saugos priemonės

Apsaugoti „WordPress“ nuo pagrindinių grėsmių nėra sunku, tereikia imtis tam tikrų veiksmų. Siekiant supaprastinti užduotį, rekomenduoju naudoti papildinį „Geresnis WP saugumas“.

Įdiegę ir suaktyvinę papildinį „WordPress“, eikite į savo svetainės administratoriaus sritį, nustatymų puslapį „Geresnis WP saugumas“ ir bet kuriuo atveju sukurkite atsarginę duomenų bazės kopiją.

Tada, norėdami leisti papildiniui keisti jūsų svetainę ir variklio failus, turite duoti leidimą spustelėdami atitinkamą mygtuką.


Kitame puslapyje, norėdami apsaugoti savo svetainę nuo pagrindinių atakų, turite įjungti šią parinktį spustelėdami atitinkamą mygtuką.


Bet tai dar ne viskas. Kai įvykdysite pirmuosius papildinio reikalavimus, priešais jus atsidarys lentelė, kurioje bus nurodyti visi galimi jūsų svetainės pažeidžiamumo taškai. Norėdami apsaugoti savo „WordPress“ svetainę, turite ištaisyti visus saugos trūkumus.

„WordPress“ spragų šalinimas

Pamatysite maždaug tokią pažeidžiamumų lentelę, kurioje kritiniai pažeidžiamumai paryškinti raudonai, o nekritiniai – geltonai ir mėlynai, tačiau juos taip pat reikia taisyti.

Pavyzdžiui, paėmiau standartinį nesaugų „WordPress“ tinklaraštį. Ištaisykime visas žinomas „WordPress“ spragas kartu.


1. Patikrinkite slaptažodžio sudėtingumą visiems vartotojams

Kad visiems vartotojams būtų pateikti tvirti slaptažodžiai, turite ištaisyti pirmąjį pažeidžiamumą. Spustelėkite nuorodą „Pataisykite“ ir atsidariusiame puslapyje pasirinkite elementą, kaip parodyta paveikslėlyje žemiau „Tvirtas slaptažodžio vaidmuo – abonentas“. Taigi, visų jūsų vartotojų slaptažodžiai praeis sudėtingumo patikrinimą.


2. Papildomos informacijos pašalinimas iš „WordPress“ antraštės

Pagal numatytuosius nustatymus „WordPress“ svetainės antraštėje skelbia daug papildomos informacijos, kuria gali pasinaudoti užpuolikai. Norėdami ištrinti tokią informaciją, pažymėkite atitinkamą langelį. Tačiau būkite atsargūs, dėl šio veiksmo kai kurios programos ir paslaugos, kurios kažkaip pasiekia jūsų tinklaraštį per XML-RPC protokolą, gali neveikti.


3. Slėpti naujinius nuo ne administratorių

Trečias punktas mums tinka, jei ne, tada rekomenduoju paslėpti turimus atnaujinimus nuo ne administratorių. Ši informacija vis tiek bus nenaudinga jūsų vartotojams, tačiau užpuolikai gali ja naudotis.

4. Pakeiskite administratoriaus prisijungimą

Numatytoji „WordPress“ administratoriaus paskyra yra „admin“, ir visi tai žino. Todėl jūsų svetainę lengviau nulaužti. Siekiant apsunkinti įsilaužimą į svetainę, rekomenduoju pervadinti administratoriaus paskyrą. Norėdami tai padaryti, spustelėkite nuorodą „Spustelėkite čia norėdami pervardyti administratorių“ ir atitinkamame lauke įveskite naują administratoriaus vardą.


5. Pakeiskite administratoriaus ID

Pagal numatytuosius nustatymus administratoriaus paskyrai taip pat priskiriamas ID=1, kurį taip pat žino užpuolikai, todėl šį parametrą reikia keisti. Geresnis wp saugos papildinys pakeis administratoriaus ID vienu paspaudimu.

6. Pakeiskite WordPress duomenų bazės lentelės priešdėlį

Pagal numatytuosius nustatymus „WordPress“ duomenų bazės lentelėse yra priešdėlis wp_. Priešdėlį rekomenduojama pakeisti bet kuriuo kitu. Net jei jūsų duomenų bazė jau užpildyta informacija, geresnis wp saugos papildinys pakeis jūsų duomenų bazės lentelių priešdėlį neprarasdamas duomenų. Prieš šį veiksmą, kurį padarėme pačioje pradžioje, rekomenduojama pasidaryti atsarginę duomenų bazės kopiją.


7. Suplanuokite atsargines kopijas

Norėdami sukurti įprastą duomenų bazės atsarginę kopiją, nustatykite tam tikras sąlygas ir įveskite savo el. paštą, kur bus siunčiamos duomenų bazės kopijos. Taigi, jei reikia, galite bet kada atkurti duomenų bazę iš kopijos.


8. Uždrausti prieigą prie administratoriaus skydelio tam tikru metu

Šis parametras nėra kritinis, tačiau vis dėlto, jei nerimaujate dėl savo „WordPress“ svetainės saugumo, tikriausiai verta išjungti chaotišką prieigą prie administratoriaus skydelio ir leisti prieigą tik tam tikru metu, pavyzdžiui, tuo metu, kai ketinate dirbti su svetaine.

9. Blokuoti įtartinus šeimininkus

Jei žinote įtartinų prieglobų, iš kurių galima atakuoti jūsų svetainę, IP adresus, įtraukite šiuos IP adresus į uždraudimų sąrašą ir prieiga prie svetainės iš šių IP bus uždaryta.

10. Apsaugokite prisijungimą nuo žiaurios jėgos

Pagal numatytuosius nustatymus įskiepis apsaugo prisijungimą nuo žiaurios jėgos ir blokuoja IP adresą po 3 nesėkmingų bandymų.

11. Paslėpti „WordPress“ administratorių

Šis punktas nėra svarbus, tačiau vis tiek bus naudinga paslėpti „WordPress“ administratoriaus sritį. „WordPress“ administratoriaus sritis paslėpta pervadinant katalogą administratoriaus skydeliu. Fiziškai administratoriaus skydelis bus tame pačiame aplanke, tačiau jis nebus pasiekiamas adresu http://your_site.ru/wp-admin.


Paslėpkite „WordPress“ administratoriaus skydelį atitinkamuose laukuose įvesdami naujus katalogų pavadinimus ir pažymėdami langelį, kad įgalintumėte šią parinktį.


12. Apsaugokite .htaccess failą ir neslėpkite katalogų

Rekomenduoju paslėpti svetainių katalogus nuo nemokamo naršymo, taip pat apsaugoti .htaccess failą. Taip pat adreso juostoje galite išjungti įvairias užklausas svetainei. Primenu, kad šie veiksmai gali sukelti konfliktą su kai kuriais papildiniais ir temomis.


18. Išjunkite wp-config.php ir .htaccess failų rašymą

Kai kurie elementai buvo baigti pagal nutylėjimą, todėl siūlau užpildyti svarbiausią 18 apsaugos punktą, kuris padės išvengti wp-config.php ir .htacces failų perrašymo. Šis punktas yra labai svarbus, nes jūsų svetainės našumas gali priklausyti nuo wp-config.php ir .htacces failų saugumo.


20. Pervardykite turinio aplanką wp-content

Taip pat galite pervardyti aplanką pagrindiniu wp-content svetainės turiniu. Dėl nestandartinių failų išdėstymo užpuolikams bus sunkiau juos pasiekti.

Buvau nulaužtas. Žinote, kaip „VKontakte“ puslapį. Bet jie neprašė pinigų, o sukūrė daugybę „paliktų“ puslapių su nuorodomis į skirtingas svetaines. Tada galvojau apie savo tinklaraščio apsaugą. Ir radau tobulą sprendimą.

Pirmas dalykas, kurį padariau, buvo susisiekti su technine pagalba ir paprašyti atkurti mano svetainę dieną prieš įsilaužimą, o po dešimties minučių turėjau įprastą tinklaraštį.

Tada įdiegiau daug papildinių, kad apsaugočiau „WordPress“ nuo įsilaužimo. Bet tinklaraštis pasidarė siaubingai lėtas. Puslapiai įkeliami per penkias–dešimt sekundžių. Jis per ilgas.

Pradėjau ieškoti įskiepių, kurie taip neapkrauna sistemos. Perskaičiau atsiliepimus apie šiuos papildinius ir vis dažniau ėmiau suklupti „All In One WP Security“. Pagal aprašymą man labai patiko ir nusprendžiau įdėti į savo tinklaraštį. Ir jis mane vis dar saugo, nes nieko geresnio nemačiau.

Ką gali padaryti „Viskas viename WP Security“ („Wordpress“ apsauga viename):

  • Daro duomenų bazės atsargines kopijas, konfigūracijos failą wp-config. ir .htaccess failą
  • Keisti autorizavimo puslapio adresą
  • Slepia „WordPress“ versijos informaciją
  • Administratoriaus skydelio apsauga – blokavimas netinkamo autorizavimo atveju
  • Robotų apsauga
  • Ir dar daug naudingų dalykų

Galiu drąsiai teigti, kad All In One WP Security įskiepis yra geriausia „WordPress“ svetainės apsauga.

„Viskas viename“ WP saugos nustatymas

Įėjus į skyrių „Nustatymai“, pirmiausia reikia padaryti atsargines kopijas:

  • duomenų bazė;
  • wp-config failą
  • htaccess failą

Tai atliekama pirmame „All In One WP Security“ papildinio nustatymų puslapyje.

Prieš pradėdami dirbti, pasidarykite atsarginę kopiją (atsarginę kopiją).

Išnagrinėsiu tik pačius svarbiausius dalykus.

viskas viename wp saugos papildinio nustatymų elementai

Kontrolės skydelis

Čia mus pasitinka „Saugumo matuoklio“ skaitiklis. Tai rodo svetainės apsaugos lygį. Jūsų svetainė turi būti bent jau žaliojoje zonoje. Nereikia vaikytis maksimalios juostos – papildomi nustatymai gali sutrikdyti svetainės funkcionalumą. Gaukite aukso vidurį.


„WordPress“ svetainės apsaugos skaitiklis

Pakeitus papildinio saugos nustatymus kiekviename elemente pamatysite žalią skydelį su skaičiais – tai yra skaičiai, kurie pridedami prie bendro saugos balo.


šis skaičius pridedamas prie bendro saugumo balo

Nustatymai

WP versijos informacijos skirtukas

Pažymėkite langelį Ištrinti WP generatoriaus metaduomenis.


Pašalinami WP generatoriaus metaduomenys

Tai daroma tam, kad jūsų įdiegto „WordPress“ variklio versija nebūtų rodoma kode. Užpuolikai žino, kurioje versijoje yra pažeidžiamumų, o žinodami, kokią „WordPress“ versiją įdiegėte, galėsite greičiau įsilaužti į jūsų svetainę.

Administratoriai

WP pasirinktinis pavadinimas

Jei turite prisijungimo vardą, kad galėtumėte įeiti į administratoriaus skydelio administratorių, būtinai jį pakeiskite. Administratorius yra populiariausias prisijungimas. Daugelis „TsMSki“ siūlo jį pagal numatytuosius nustatymus, o žmonės tiesiog tingi jį pakeisti.
Užpuolikai naudoja įvairias programas, kad įsilaužtų į svetaines. Šios programos renka prisijungimo vardus ir slaptažodžius, kol randa tinkamą derinį.
Todėl nenaudokite administratoriaus prisijungimo.

Rodomas pavadinimas

Jei jūsų slapyvardis sutampa su prisijungimo vardu, būtinai pakeiskite prisijungimo vardą arba slapyvardį.

Slaptažodis

Jei čia įvesite slaptažodį, papildinys parodys, kiek laiko užtrunka įsilaužti į jūsų svetainę.
Rekomendacijos, kaip sustiprinti slaptažodžio stiprumą:

  • Slaptažodis turi būti sudarytas iš raidžių ir skaičių
  • Naudokite didžiąsias ir mažąsias raides
  • Nenaudokite trumpų slaptažodžių (mažiausiai 6 simboliai)
  • Slaptažodyje pageidautina turėti specialiųjų simbolių (% # _ * @ $ ir žodinis)
Slaptažodžio sudėtingumas

Autorizacija

Prieigos blokavimo skirtukas

Būtinai įtraukite. Jei per 5 minutes kas nors 3 kartus neteisingai įveda slaptažodį, IP bus užblokuotas 60 minučių. Galite įdėti daugiau, bet geriau to nedaryti. Gali atsitikti taip, kad jūs pats neteisingai įvesite slaptažodį ir lauksite mėnesius ar net metus :)
Pažymėkite langelį „Nedelsiant blokuoti netinkamus naudotojų vardus“.
Tarkime, kad jūsų prisijungimas yra hozyainsayta, ir jei kas nors įves kitą prisijungimą (pavyzdžiui, prisijungimą), tada jo IP adresas bus automatiškai užblokuotas.


autorizacijos užrakto parinktys

Automatinis vartotojų atsijungimas

Uždedame varnelę. Jei prisijungiate prie svetainės administratoriaus skydelio iš kito kompiuterio ir pamiršote atsijungti nuo administratoriaus skydelio, po nurodyto laiko sistema jus atjungs.
Įdėjau 1440 minučių (tai yra 24 valandos).


Automatinio vartotojų atsijungimo parinktys

vartotojo registracija

Patvirtinimas rankiniu būdu

Pažymėkite „Įgalinti rankinį naujų registracijų patvirtinimą“


Naujų registracijų patvirtinimas rankiniu būdu

CAPTCHA registruojantis

Taip pat pažymime langelį. Tai nutraukia bandymus užregistruoti robotą-robotą, nes robotai negali susidoroti su captcha.

Registracija Honeypot (statinė medaus)

Mes švenčiame. Ir nepaliekame robotams nė vienos progos. Šis nustatymas sukuria papildomą nematomą lauką (pvz., Įveskite tekstą čia). Šis laukas matomas tik robotams. Kadangi jie automatiškai užpildo visus laukus, jie kažką parašys ir šiame laukelyje. Sistema automatiškai blokuoja tuos bandymus užsiregistruoti, kuriems šis laukas yra užpildytas.

Duomenų bazės apsauga

DB lentelės priešdėlis

Jei jūsų svetainė gyvuoja ilgą laiką ir joje yra daug informacijos, tuomet turėtumėte labai atsargiai keisti duomenų bazės priešdėlį.

būtinai sukurkite atsarginę duomenų bazės kopiją

Jei ką tik sukūrėte savo svetainę, galite saugiai pakeisti priešdėlį.


Duomenų bazės lentelės priešdėlis

Duomenų bazės atsarginė kopija

Įgalinti automatines atsargines kopijas.
Pasirinkite atsarginių kopijų kūrimo dažnumą.
Ir failų su šiomis atsarginėmis kopijomis, kurios bus saugomos, skaičius. Tada jie pradės perrašyti.
Jei norite, kad šie failai būtų papildomai siunčiami į jūsų el. paštą, pažymėkite atitinkamą langelį. Šiems tikslams savo pašto dėžutėje turiu atskirą aplanką, ten siunčiamos visos (mano ir kliento svetainių) atsarginės kopijos.


Duomenų bazės atsarginės kopijos nustatymai

Failų sistemos apsauga

Čia pakeičiame failo teises, kad viskas būtų žalia.


php failų redagavimas

Jei neredaguojate failų per administratoriaus skydelį, įtraukiame. Apskritai, bet kokius failų pakeitimus turite atlikti naudodami ftp-managers programas (pvz., Filezilla). Taigi, esant bet kokiam „kambariui“, visada galite anuliuoti ankstesnį veiksmą.

Mes neleidžiame patekti. Atlikdami šį veiksmą galime paslėpti svarbią informaciją įsilaužėliams.

Juodasis sąrašas

Jei jau turite IP adresus, kuriems norite uždrausti prieigą prie svetainės, įjunkite šią parinktį.


Vartotojų blokavimas pagal IP

ugniasienė

Pagrindinės ugniasienės taisyklės.

Ugniasienė ir ugniasienė yra programinės įrangos paketas, kuris yra neteisėto srauto filtras.

Šios taisyklės pridedamos prie .htaccess failo, todėl pirmiausia sukuriame atsarginę jo kopiją.

Dabar galite pažymėti reikiamus langelius:


Suaktyvinkite pagrindines ugniasienės funkcijas
Apsauga nuo XMLRPC pažeidžiamumo ir „WordPress Pingback“.
Blokuoti prieigą prie debug.log

Papildomos ugniasienės taisyklės

Šiame skirtuke pažymėkite šiuos langelius:

  • Išjungti katalogų naršymą
  • Išjungti HTTP sekimą
  • Išjungti komentarus per tarpinį serverį
  • Išjungti kenkėjiškas eilutes užklausose (gali sutrikdyti kitų papildinių funkcionalumą)
  • Suaktyvinkite papildomą simbolių filtravimą (Mes taip pat elgiamės atsargiai, turite pažvelgti į tai, kaip tai veikia svetainės našumą)
      Kiekviename elemente yra mygtukas „+ Daugiau informacijos“, kuriame galite išsamiai perskaityti apie kiekvieną parinktį.

6G juodojo sąrašo ugniasienės taisyklės

Atkreipiame dėmesį į abu punktus. Tai yra patikrintas taisyklių, kurias teikia „WordPress“ svetainės saugos papildinys, sąrašas.


Ugniasienės (užkardos) nustatymai

Interneto robotai

Gali kilti problemų su svetainės indeksavimu. Aš neįjungiu šios parinkties.

Užkirsti kelią karštosioms nuorodoms

Uždedame varnelę. Kad vaizdai iš jūsų svetainės nebūtų rodomi kitose svetainėse naudojant tiesioginę nuorodą. Ši funkcija sumažina serverio apkrovą.

404 aptikimas

Klaida 404 (tokio puslapio nėra) pasirodo per klaidą įvedus puslapio adresą. Piratai žiauriai bando rasti puslapius su pažeidžiamumu ir dėl to per trumpą laiką įvesti daug neegzistuojančių URL.
Tokie bandymai įsilaužti bus įrašyti į šio puslapio lentelę ir pažymėję langelį galėsite užblokuoti jų IP adresus nurodytam laikui.


404 klaidų sekimo nustatymai

Apsauga nuo žiaurios jėgos atakų

Pagal numatytuosius nustatymus visos „WordPress“ svetainės turi tą patį autorizacijos puslapio adresą. Taigi užpuolikai tiksliai žino, nuo ko pradėti įsilaužti į svetainę.
Ši parinktis leidžia pakeisti šio puslapio adresą. Tai labai gera „WordPress“ svetainės apsauga. Būtinai pakeiskite adresą. Šio langelio nepažymėjau, nes manasis automatiškai pakeitė šį puslapį man diegiant sistemą.


Brute force apsauga su sausainiais

Šio nustatymo neįjungiau, nes yra galimybė užsiblokuoti prisijungiant iš skirtingų įrenginių.

CAPTCHA prisijungimui

Jei jūsų svetainėje yra daug vartotojų arba turite internetinę parduotuvę, visuose prieigos taškuose galite įjungti „Captcha“.


„Captcha“ apsauga autorizacijos metu

Baltasis prisijungimo sąrašas

Prisijunkite prie administratoriaus skydelio tik iš savo namų kompiuterio ir esate vienintelis savo svetainės vartotojas? Tada įveskite savo IP adresą ir visiems kitiems bus uždrausta prieiga prie autorizacijos puslapio.

Su savo tinklaraščio saugumu reikia rūpintis nuo pat pradžių, o ne atidėti jo neaiškiam „pasisuk ir užsiimk“. Be to, dabar turite išsamias instrukcijas, kaip apsaugoti „WordPress“ svetainę nuo įsilaužimo, virusų ir kitų problemų.

Anksčiau galvojau apie saugumą, bet ne taip rimtai. Ir po šio straipsnio svetainėje A. Borisova rimtai ėmėsi reikalo. Internete radau visas problemines sistemos sritis ir jų šalinimo būdus. Tai pasirodė gana didelis 14 punktų straipsnis!

Kaip apsaugoti „WordPress“ svetainę

1. Pakeiskite standartinį prisijungimą. Visų pirma, įsilaužėliai įsilaužia per tokius populiarius prisijungimus kaip administratorius, vartotojas, moderatorius, administratorius. Jei naudojate vieną iš jų, jūs padarėte pusę darbo už puolėjus. Ypač dažnai naudojamas adminas – trumpas, lengvai įsimenamas, iškart matosi, kad tai svarbus guzas, todėl svetainės savininkai nekeičia jo į kažką sudėtingesnio.

Yra daug variantų, kaip pakeisti šį prisijungimą, tačiau paprasčiausias yra:

  • Eikite į administratoriaus skydelį, eikite į skyrių Vartotojai - spustelėkite Pridėti.
  • Sugalvokite sudėtingą naujo vartotojo prisijungimą (galite tiesiog nustatyti raides ir skaičius) ir pasirinkite Vaidmuo – administratorius.
  • Atsijunkite nuo dabartinio vartotojo (viršuje dešinėje pasirinkite Atsijungti).
  • Prisijunkite naudodami naują ką tik sukurtą vartotoją.
  • Dirbkite su šia paskyra: kurkite naujus straipsnius, redaguokite senus, pridėkite / pašalinkite papildinius. Apskritai patikrinkite, ar jis tikrai turi visus administratoriaus įgaliojimus.
  • Ištrinti vartotoją su slapyvardžiu admin.

2. Nustatykite sudėtingą slaptažodį- būtent taip yra, kai negalite naudoti standartinio slaptažodžio qwerty forma. Turite sugalvoti unikalų, labai sudėtingą slaptažodį, sudarytą iš 20 simbolių su skirtingomis raidėmis, skaičiais ir skirtingais simboliais. Jei bijai pamiršti, užsirašyk į popierinį sąsiuvinį. Tačiau nelaikykite jo savo kompiuteryje. Kaip sugalvoti sudėtingą slaptažodį, rasite šiame straipsnyje.

Sudėtingas slaptažodis turėtų būti ne tik WordPress administratoriaus skydelyje, bet ir kitoms su svetaine susijusioms paslaugoms: paštui, prieglobai ir kt.

3. Slėpti prisijungimą- kad ir kaip bandytumėte sugalvoti itin sudėtingą prisijungimą, yra spraga, leidžianti jį pamatyti ir nukopijuoti. Norėdami tai padaryti, adreso juostoje įveskite http://your_domain.ru?author=1, pakeisdami savo domeną. Jei nuoroda nevirsta į /author/admin, kur admin yra jūsų naujas prisijungimas, tada viskas tvarkoje.

Bet jei jūsų prisijungimo vardas vis tiek rodomas, turite jį skubiai paslėpti naudodami specialią komandą functions.php faile:

/* Keisti prisijungimo vardą komentaruose */
function del_login_css($css) (foreach($css kaip $key => $class) (
if(strstr($class, "comment-author-insert_valid_login")) (
$css[$key] = 'comment-author-enter_fictitious_login'; ) )
grąžinti $css; )
add_filter('komentarų_klasė', 'del_login_css');

Dabar nustatome peradresavimą į pagrindinį puslapį, tam reikia atidaryti .htaccess failą šakniniame aplanke (naudojant filezilla), o čia po eilutės

Perrašymo taisyklė. /index.php [L]

Pridėti šį tekstą:

„RedirectMatch“ nuolatinė ^/author/real_login$ http://your_domain.ru

4. Nuolat atnaujinkite „WordPress“. Kartkartėmis pasirodo naujos versijos, pranešimai kabo tiesiai valdymo skydelyje. Padarykite atsarginę svetainės kopiją, atnaujinkite ir patikrinkite, ar ji veikia. Kuo naujesnė, tuo sunkiau nulaužti sistemą – atsiranda naujų apsaugos lygių, o senos įsilaužimo technikos neveikia.

5. Paslėpkite WordPress versiją nuo smalsių akių. Pagal numatytuosius nustatymus ši informacija rodoma puslapių kode ir užpuolikai neturėtų apie tai pranešti. Žinodamas jūsų versiją, jam bus lengviau atpažinti spragas ir nulaužti sistemą.

Taigi atidarykite functions.php redaguoti ir pridėkite šią eilutę:

remove_action('wp_head', 'wp_generator');

Ši paprasta funkcija neleidžia rodyti sistemos duomenų.

6. Pašalinkite licenciją.txt ir readme.html iš šakninio aplanko. Jie nėra reikalingi patiems, tačiau juos galima naudoti norint lengvai perskaityti informaciją apie jūsų sistemą ir sužinoti „WordPress“ versiją. Jie automatiškai vėl pasirodys, jei atnaujinsite „WordPress“. Taigi kiekvieną kartą įdiegę naujinimą išvalykite failus.

7. Paslėpkite wp-includes, wp-content ir wp-content/plugins/aplankus. Pirmiausia patikrinkite, ar šių aplankų turinys matomas pašaliniams asmenims. Tiesiog pakeiskite savo domeną nuorodose ir atidarykite nuorodas naršyklėje:

  • http://your_domain/wp-includes
  • http://your_domain/wp-content
  • http://your_domain/ wp-content/plugins

Jei eidami į šiuos puslapius matote aplankus ir failus, turite paslėpti informaciją. Tai daroma labai labai paprastai – sukurkite tuščią failą pavadinimu index.php ir įdėkite jį į šiuos katalogus. Dabar šis failas bus atidarytas perėjimo metu, t.y. tuščias puslapis be jokios informacijos.

8. Neįdiekite nemokamų temų- tai informacija iš asmeninės patirties, nors visi apie tai rašo. Bet aš nusprendžiau apeiti sistemą ir įdėjau nemokamą temą iš interneto į kitą savo svetainę - man tai labai patiko. Ir iš pradžių viskas buvo gerai.

Maždaug po šešių mėnesių pradėjau tikrinti siunčiamas nuorodas iš svetainės ir radau 3 neaiškias nuorodas. Pačiuose puslapiuose jų neradau – labai gudriai paslėpė. Išnagrinėjęs problemą radau informacijos, kad tai labai dažna problema, kai į nemokamus šablonus įterpiamas nuotolinio nuorodų talpinimo kodas. Teko praleisti visą vakarą, bet problemą ištaisiau ir dabar viskas tvarkoje. Bet kiek žalos tai gali padaryti!

9. Įdiekite tinkamus apsaugos papildinius, tačiau būtinai įdiekite iš oficialios svetainės ru.wordpress.org arba iš valdymo skydelio.

  • Limit Login Attempts – apriboti prisijungimo bandymus. Jei 3 kartus neteisingai įvesite prisijungimo vardą ir slaptažodį, prieiga bus užblokuota N minutėms/valandoms. Bandymų skaičių ir blokavimo laiką nustatote patys.
  • „Wordfence Security“ yra papildinys, skirtas patikrinti, ar svetainėje nėra virusų ir kenkėjiško kodo pakeitimų. Norėdami pradėti, tiesiog įdiekite ir spustelėkite Nuskaityti. Tačiau patikrinus patartina jį išjungti, kad nebūtų sukurta papildoma apkrova svetainėje. Bent kartą per mėnesį patikrinkite savo tinklaraštį, ar nėra virusų.
  • WordPress duomenų bazės atsarginė kopija – automatiškai siunčia atsarginę jūsų svetainės duomenų bazės kopiją paštu. Dažnumą galima nustatyti nepriklausomai – kartą per dieną arba kas savaitę.
  • Pervardyti wp-login.php – pakeičia prisijungimo adresą į valdymo skydelį iš standartinio http://your_domain/wp-admin.
  • Anti-XSS ataka – apsaugo tinklaraštį nuo XSS atakų.

10. Patikrinkite, ar kompiuteryje nėra virusų– kartais virusai ateina tiesiai iš jūsų kompiuterio. Taigi įdiekite gerą antivirusinę programą ir nuolat ją atnaujinkite.

11. Sistemingai kurkite atsargines kopijas– naudojant „WordPress“ duomenų bazės atsarginės kopijos papildinį arba rankiniu būdu. Kai kuriems priegloboms tai vyksta automatiškai, todėl iškilus problemoms galite bet kada atkurti svetainę.

12. Dirbkite su patikimu šeimininku, nes svetainės saugumas daugeliu atžvilgių priklauso nuo prieglobos kokybės. Prieš mėnesį persikėliau į Makhost ir skirtumas nuo ankstesnio yra pastebimas (perkėlimas buvo aprašytas šiame straipsnyje). Primygtinai nerekomenduosiu, nes su jais buvau neilgai, nors draugas su jais jau metus negali atsigauti. Apskritai, norėdami sutaupyti, neimkite tarifų už 100 rublių, tada galėsite sumokėti brangiai.

13. Skirtingos pašto dėžutės svetainei ir prieglobai. Labai lengva ištraukti pašto dėžutę iš „WordPress“, tada galėsite ją nulaužti ir gauti prieigą prie duomenų. Ir jei priegloba bus susieta su juo, nebus sunku pakeisti slaptažodį ir paimti svetainę sau. Taigi įsigykite atskirą prieglobos dėžutę, kad niekas jos nežinotų ir nematytų.

14. Prijunkite tam skirtą IP adresą, kad nebūtų kartu su pornografinėmis svetainėmis, svetainėmis po filtru ar virusais. Taigi, jei turite galimybę, įsigykite atskirą IP, kad nereikėtų dėl to rūpintis. Beje, tinklaraštininkų srityje sklando nepatvirtinti gandai, kad dedikuotas IP pagerina pozicijas paieškos rezultatuose.

Dabar žinote paprasčiausius būdus, kaip apsaugoti svetainę „WordPress“, ir jūs išvengsite banalių grėsmių. Tačiau be to, yra daugybė kitų pavojų, nuo kurių ne taip lengva apsisaugoti. Tiesiog tokioms rimtoms situacijoms Jurijus Kolesovas sukūrė kursą “