Безопасность WordPress: плагин WP Security Better и др
Здравствуйте, дорогие читатели! Можете поздравить мой блог, долгожданный апдейт Google дал ему Pr1! Теперь жду, когда Яндекс наградит ТИЦ'ем 10.
Предыдущая статья была посвящена защите блога на WordPress. Сегодня я продолжу освещать данную тему, поскольку она очень важна для любого блоггера, дорожащего своим ресурсом. Мы рассмотрим различные плагины, которые помогут повысить безопасность сайта на WordPress.
Вопрос информационной безопасности рано или поздно встает перед любым веб-мастером. Сразу хочу сказать, что защитить блог на все 100% не смогут никакие плагины. На любое средство защиты найдется злоумышленник, сумеющий его обойти. Этот процесс бесконечен: разработчики придумывают все более хитрые способы защиты, а хакеры в свою очередь трудятся над взломом этих защит. Но все же, чем больше мер по обеспечению безопасности сайта на WordPress вы предпримите, тем больше шанс, что с ним все будет в порядке.
Безопасность WordPress: плагины
Плагин blockbadqueries.php для защиты WordPress
Начнем мы с того, что самостоятельно создадим плагин, который обеспечит безопасность сайта на wordpress, защитит его от вредоносных запросов в URI.
Хакеры часто используют вредоносные запросы, чтоб найти и атаковать слабые места блога. Конечно WordPress имеет хорошую защиту по умолчанию но мы усовершенствуем его плагином.
Вставьте следующий код в текстовый файл и сохраните его как blockbadqueries.php. Новичкам может быть полезна статья «как загрузить файл в WordPress».
1 2 3 4 5 6 7 8 9 10 11 12 13 | 255 || strpos($_SERVER['REQUEST_URI'], "eval(") || strpos($_SERVER['REQUEST_URI'], "CONCAT") || strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") || strpos($_SERVER['REQUEST_URI'], "base64")) { @header("HTTP/1.1 414 Request-URI Too Long"); @header("Status: 414 Request-URI Too Long"); @header("Connection: Close"); @exit; } } } ?> |
После того как вы сделали это, нужно загрузить файл в директорию wp-content/plugins, затем в разделе «Плагины» активировать его, как и любой другой плагин. Теперь ваш блог имеет дополнительную защиту от вредоносных запросов.
Кому интересно, этот код работает очень просто: он проверяет наличие чрезмерно длинных строк запроса (более 255 символов), а также на наличие либо EVAL или base64 PHP функции в URI. Если хоть одно из этих условий выполняется, то плагин посылает 414 ошибки в браузер клиента.
Плагин Last Logins (мониторинг админки) – он записывает удачные и неудачные входы в админ панель в специальный журнал, в котором храниться Ip адрес, время входа и другие параметры.
После установки и активации плагина «Пользователи -> Все пользователи -> Последней логин».
Плагин AntiVirus – проверяет блог на присутствие подозрительного кода. Проверку на вирусы можно делать в ручном режиме или ежедневно автоматически отправлять на e-mail отчет о проверке. Когда плагин проверяет код все что отмечено зеленым в порядке, когда красным в коде есть вирус.
Чтобы удалить вирус копируем этот код и ищем в Яндексе как его удалить. Эта задача не всегда тривиальна, к каждому вирусному коду нужен индивидуальный подход.
После установки и активации плагина «Параметры -> AntiVirus»
Плагин WordPress file Monitor – мониторит Ваш блог и следит за изменениями, которые были произведены в файлах блога, после чего сообщает о них в админке и на e-mail.
По завершению установки и активации плагина «Параметры ->WordPressfileMonitor»
Плагин Anti-xss attack – очень прост с применении, потому что не имеет ни каких настроек. Плагин защитит WordPress от различных дыр в движке. Анти-Xss атаки это хакерские запросы в адресную строку блога.
Это были советы для повышения безопасности wordpress сайта с помощью плагинов. Надеюсь, они пригодятся как новичкам, так и опытным блоггерам. Если вы знаете другие способы защиты вордпресс, обязательно поделитесь ими в комментариях.
Напоследок еще раз напомню, что ваше главное оружие в защите своего сайта — это своевременное резервное копирование!
Всем пока.
Вторая часть куда лучше первой, Больше половины способов я даже и не знал 🙂
Спасибо! Теперь твой блог в полной безопасности 😉
Все эти плагины сильно нагружают блог. Мне делали анализ блога, рекомендовали от многих плагинов отказаться. Интересно-существуют ли другие способы?
Соглашусь с вами, особенно нагружает login lockdown.
Тогда используйте советы из первой статьи!
Можете актуализировать в третей части?
Назар, обе статьи были переписаны буквально несколько месяцев назад, они актуальны.
Очень интересно! Согласна с тем, что на 100% все равно не защититься. А бекапы делать обязательно. У меня вот стоял iThemes Security. Но из-за него возникла ошибка 403 HTTP. Вследствие чего яндекс не хочет индексировать мои новые статьи. Я конечно не сильна во всем этом, видимо что-то неправильно настроила в iThemes Security, и поэтому сейчас я решила обойтись без него.
Статья интересная. Как говорится пока жареный петух не клюнет в одно место, не зашевелишься. Несколько лет о защите сайта как-то и не думал, хотя попытки взлома были. А тут Яндекс начал мозги сушить " на твоем сайте проблема. Вот и решил заняться тем, что давно надо было выполнить. Но у меня не получилось активировать созданный плагин blockbadqueries.php. Наверное код не полный и неправильный. Думаю не хватает начала кода в виде <?php и Фигурных скобок много. Если можно уточните код.