In questo articolo, analizzeremo le impostazioni del plugin iThemes Security, che fornisce una protezione completa per il tuo sito WordPress. Il plugin prende in considerazione praticamente tutto ciò di cui hai bisogno per mantenere sicuro il tuo sito WordPress. Il plug-in iThemes Security offre una gamma di servizi che includono la protezione da pirateria informatica di WordPress, la protezione dell'amministratore di WordPress e la protezione dai bot del sito. iThemes Security è il miglior plugin di sicurezza gratuito per WordPress. Con esso, il tuo sito sarà abbastanza ben protetto da vari virus e attacchi di hacker.

Se il sito ha smesso improvvisamente di funzionare, non allarmarti, dovrai collegarti via FTP al sito, oppure aprire il file manager nel pannello di controllo dell'hosting e rinominare o eliminare la cartella con il plugin. Questa è una misura estrema se improvvisamente iThemes Security ha bloccato il pannello di amministrazione o dopo aver abilitato qualsiasi opzione in iThemes Security il sito non è disponibile o si blocca. Molto probabilmente, il sito si riprenderà. In caso contrario, ripristina il sito da un backup.

Diamo un'occhiata ai parametri che devono essere impostati per garantire una sicurezza WordPress completa e completa. Per accedere alle impostazioni del plugin, vai al pannello di amministrazione "WordPress" ⇒ "Sicurezza" ⇒ "Impostazioni". Spero che tu abbia già eseguito il backup del tuo sito. Prima scheda "Controllo di sicurezza", fai clic su "Configura impostazioni": Successivamente, si aprirà la finestra delle impostazioni. Se clicchiamo su "Sito protetto", il plugin installerà le impostazioni di sicurezza consigliate:
Fondamentalmente, queste sono le impostazioni di base di iThemes Security. È possibile fare clic su questo pulsante e l'installazione sarà completata. Ma consiglio di non farlo, poiché il sito potrebbe rompersi. È meglio comprendere a fondo le impostazioni piuttosto che fare clic su un pulsante e perdere l'accesso al sito.

La scheda delle impostazioni successiva è "Impostazioni di base", fai clic su "Configura impostazioni": Qui, assicurati di mettere un segno di spunta davanti alla scritta "Apporta modifiche ai file" e salva. Affinché il plug-in funzioni in modo efficace, è necessario l'accesso ai file wp-config.php e .htaccess. Selezionando la casella, concedi al plugin questo accesso:
Consiglio di lasciare il resto delle impostazioni in questa scheda per impostazione predefinita.

L'opzione successiva è "Tracciamento dell'errore 404". Cos'è? Immagina una situazione in cui un utente del tuo sito richiede un numero elevato di pagine inesistenti. Se si tratta di una o due pagine, allora non c'è nulla di cui preoccuparsi, ma se questa frequenza si ripete, significa che l'attaccante sta cercando di trovare vulnerabilità nel sito per hackerarlo, perché un semplice visitatore è alla ricerca di informazioni su reali pagine. Se iThemes Security rileva questo tipo di attività, l'utente viene bloccato. Per abilitare questa opzione, fai clic su "Abilita". Consiglio di abilitare questa impostazione (dopo aver abilitato tutte le impostazioni di questa opzione, lasciare l'impostazione predefinita): L'impostazione successiva è la modalità Away. Se sei assente per un certo periodo e non sarai in grado di accedere al pannello di amministrazione di WordPress, puoi abilitare questa opzione specificando nelle impostazioni il periodo di tempo in cui sarai assente. Durante questo periodo, né tu né nessun altro sarete in grado di accedere al pannello di amministrazione. Non consiglio di abilitare questa impostazione, poiché potrebbe essere necessario accedere al pannello di amministrazione, ma non ci sarà tale opportunità per il periodo di tempo specificato nelle impostazioni: Utenti bloccati. Qui puoi specificare da quali indirizzi IP non puoi accedere al tuo sito. Consiglio "Abilita blacklist dal sito HackRepair.com", qui sono raccolti gli indirizzi IP da cui sono stati rilevati gli attacchi degli hacker. Inoltre, seleziona la casella accanto a "Ban List", qui puoi inserire manualmente gli indirizzi IP a cui vuoi negare l'accesso al sito:
Protezione dalla forza bruta locale. Questa è una protezione contro l'indovinare le password. Deve essere incluso. Se il plugin nota che un visitatore sta cercando di trovare login e password un gran numero di volte e riceve un errore, significa che il sito è stato violato. Per impostazione predefinita, sono previsti 5 tentativi di inserimento senza successo di username o password, dopodiché l'indirizzo ip viene bloccato, consiglio di non modificare nulla:
Backup del database. Qui puoi impostare la creazione automatica di una copia di backup del database con successivo invio alla tua e-mail. Consiglio di abilitare questa opzione. È necessario configurare la creazione di un database su una pianificazione, per questo, abilitare l'opzione "Crea una pianificazione per il backup del database" e impostare la frequenza del backup, 3 giorni, secondo me, sono sufficienti. Lascia il resto delle impostazioni come predefinito. Dopo aver abilitato questa impostazione, una copia di backup del database verrà automaticamente inviata alla tua posta, il che è molto conveniente:
Rilevamento delle modifiche ai file. Questa opzione monitora le modifiche nei file per individuare eventuali vulnerabilità. Non consiglio di abilitare questa impostazione: Autorizzazioni file. Questo è l'accesso ai file. Non è necessario configurare nulla qui, l'opzione mostra solo il grado di protezione di alcuni file.

Protezione dalla forza bruta della rete. Dobbiamo includerlo. Questa opzione nega automaticamente l'accesso al sito agli utenti che hanno tentato di violare l'accesso ad altri siti: SSL. L'impostazione ti consente di abilitare la crittografia SSL per tutto o parte del tuo sito. Non consiglio di abilitare questa opzione.

Forte applicazione delle password. Obbliga gli utenti registrati a utilizzare password complesse. Opzione inutile, secondo me, sconsiglio di abilitarla.

Ottimizzazione del sistema e ottimizzazione di WordPress. Queste sono impostazioni avanzate per utenti avanzati. La loro attivazione può portare a errori nel sito, conflitti con temi o plugin. Sconsiglio vivamente di abilitare queste impostazioni. Se decidi comunque di configurare queste funzioni, accendi ogni elemento separatamente e verifica subito le prestazioni del sito.
Sali di WordPress. Consente di aggiornare le chiavi di sicurezza di WordPress. Un'altra funzione inutile, non consiglio di abilitarla.

Modifica la pagina di accesso dell'amministratore di WordPress. Un modo molto potente per proteggere il tuo sito è cambiare la pagina di accesso predefinita di WordPress. Per impostazione predefinita, su tutti i siti è possibile accedere a WordPress utilizzando il collegamento site.ru/wp-admin. Con iThemes Security, puoi nascondere la pagina di accesso sul sito.

Per fare ciò, nelle impostazioni, fare clic su "Avanzate", nella scheda "Nascondi la pagina di accesso", fare clic su "Configura impostazioni":
Quindi seleziona la casella accanto a "Nascondi pagina di accesso":
Quindi nel campo di fronte alla scritta "Link alla pagina di accesso" inserisci qualsiasi parola in lettere latine, ad esempio vhodnasajt, e salva le modifiche.
... Ora solo tu sai quale link puoi utilizzare per accedere al pannello di amministrazione del sito. Naturalmente, questo aumenta la sicurezza di WordPress. Importante! Annota questo link, se lo dimentichi, sarà molto difficile ripristinare l'ingresso al sito. Se questa opzione è abilitata o meno dipende da te. Non lo uso.

iThemes Security Pro. Versione a pagamento del plug-in con funzionalità di sicurezza avanzate. Consente di abilitare l'autenticazione a due fattori, la scansione malware pianificata, l'integrazione con Google Recaptcha, è possibile contattare il supporto tecnico del plug-in. Se hai un sito grande e popolare, potrebbe valere la pena considerare l'acquisto della versione pro. A mio parere, le impostazioni del plug-in standard sono sufficienti per garantire la sicurezza del sito. Se stai cercando plugin in grado di proteggere WordPress, iThemes Security è la soluzione migliore. Grazie alle impostazioni flessibili e all'ampia funzionalità, il tuo sito sarà protetto al massimo da attacchi hacker e bot.

✓

WordPress è un popolare CMS facile da usare. Questo è il motivo per cui molti neofiti scelgono WordPress per creare siti Web dinamici. Ma affrontano la difficoltà di scegliere un sistema di sicurezza. Perché WordPress è pieno zeppo di tutti i tipi di soluzioni per fornirlo.

Conoscere i sistemi di sicurezza moderni e attuali può aiutare le persone a salvare i propri siti Web dall'hacking, ma non tutti i neofiti vogliono approfondire il codice. Sì, intendiamo appassionati e neofiti che desiderano proteggere il proprio sito Web senza utilizzare il codice.

In questo articolo, cercheremo di aiutarti a proteggere il tuo sito Web indipendentemente dalla tua conoscenza del codice WordPress.

Parliamo quindi della sicurezza di WordPress per i neofiti.

Sicurezza di WordPress per i principianti

Se vuoi rafforzare la sicurezza del tuo sito WordPress senza usare il codice, o se vuoi che qualcuno si occupi della sicurezza per te, allora questo articolo fa per te. Qui troverai strumenti gratuiti e premium per questo.

A quanto pare, ci sono tonnellate di app là fuori per la sicurezza di WordPress. Troverai oltre 1000 opzioni se cerchi solo i plugin di WordPress con la parola "sicurezza". Ma c'è un problema di scelta. Su quale plugin puoi fare affidamento? Usiamo diversi plugin da oltre 5 anni e te ne parleremo alcuni.

I plugin che stiamo elencando sono tra i plugin WordPress più popolari oggi. Non ti pentirai di aver scelto uno di loro.

1.iTemi di sicurezza

Inizieremo la nostra lista con iThemes Security perché è utilizzato da oltre 700.000 siti web.

Chris Wigman ha creato questo plugin, che è stato successivamente acquistato da iThemes. Lo diciamo per due motivi:

1. Chris è uno sviluppatore straordinario e ci fidiamo del suo lavoro
2. iThemes è una delle aziende WordPress più forti, tutti i suoi plugin vengono aggiornati abbastanza frequentemente e hanno un eccellente supporto tecnico.

Questo è il miglior plugin di sicurezza finora. È in cima alla lista con 700.000 installazioni attive. Offre oltre 30 modi per proteggere il tuo sito Web WordPress.

Una volta installato, lascia che il plugin faccia il suo lavoro. Svolge le funzioni di ricerca, rimozione e ulteriore protezione dai malware. Questo plugin può essere facilmente personalizzato sia per i principianti che per gli utenti esperti.

iThemes Security protegge dalla maggior parte delle minacce. Blocca gli account dannosi, verifica le modifiche ai file di base, salva password complesse, nasconde la pagina di accesso e di amministrazione e molto altro.

La versione premium ha diverse opzioni aggiuntive e parte da $ 80 per un anno di protezione per due siti.

2. Sucuri

Sucuri ha la reputazione di essere un plugin prestigioso nel mercato dei plugin premium per WordPress. Gli sviluppatori hanno svolto un lavoro eccellente seguendo le ultime tendenze di sicurezza per proteggere migliaia di siti Web WordPress.

Per WordPress, Sucuri ha plugin gratuito per il controllo, lo scanner di malware e il miglioramento della sicurezza del tuo sito. Ma la versione premium vale ogni centesimo. I prezzi partono da $ 16,66 al mese. Se sei un professionista che cerca il miglior plugin per proteggere il tuo sito, dai un'occhiata a Sucuri.

Sucuri fornisce un ciclo completo per tracciare e prevenire attacchi e hacking del tuo sito web. Include firewall WAF, antivirus e servizio di rimozione malware. Per qualsiasi domanda, puoi sempre contattare il servizio di supporto.

Oltre a rilevare malware e proteggere il tuo sito, Sucuri funziona anche con gli hack. Supponiamo che il tuo sito sia stato violato. Il plugin rimuoverà il software dannoso entro 12 ore e ti invierà anche una notifica di qualsiasi attività dannosa.

Sucuri offre anche funzionalità come backup regolari, protezione e scansioni in tempo reale, certificati SSL, protezione DDoS, autenticazione DNS e modifiche WHOIS e altro ancora.

3. VaultPress

Anche i backup regolari sono una delle misure per garantire la sicurezza del sito. A un prezzo ragionevole, VaultPress fornisce ai propri clienti backup e sistemi di sicurezza. Il set di funzioni include anche la scansione regolare del sito, i backup automatici, il supporto tecnico.

Abbiamo iniziato a utilizzare questo plugin non appena è uscito. Il team di supporto ci ha aiutato a rintracciare e risolvere diversi problemi di sicurezza con alcuni plugin di terze parti. Possiamo sicuramente consigliare questo plugin per creare backup e scansionare il sistema.

Se il sito è stato violato, VaultPress riprende molto rapidamente il controllo del sito web per te.

4. Sicurezza di Wordfence

Wordfence Security è un altro plug-in di configurazione della sicurezza disponibile sia in versione a pagamento che gratuita. È utilizzato da oltre un milione di siti web. Il suo potente Web Application Firewall con Threat Defense Feed proteggerà il tuo sito web dall'hacking. Entrambe queste funzionalità bloccano minacce come falsi Google Bot, Botnet e così via.

Il plugin ha un robusto motore di scansione che ti avvisa di qualsiasi attività sospetta. Monitora non solo il software dannoso, ma anche eventuali modifiche ai file, l'iniezione di codice, i tentativi di accesso e altro ancora.

Wordfence Security offre un'esclusiva funzione Live Traffic View che mostra le statistiche del tuo sito web in tempo reale. Ciò significa che avrai tempo per prendere misure tempestive quando tenti di hackerare il tuo sito.

Il plugin contiene Falcon Engine che fornisce un rapido processo di memorizzazione nella cache. Inoltre, insieme alle funzioni di gestione della cache, ci sono 2 modalità di memorizzazione nella cache, e questa è la capacità di cancellare la cache e monitorare l'utilizzo della cache.

Per ottenere un elenco esteso di funzionalità, è necessario installare la versione premium.

5. All In One WP Sicurezza e Firewall

All In One WP Security & Firewall è un plugin unico che gli utenti adorano. È facile da configurare e poi goditi la sicurezza del tuo sito. Attualmente ha oltre 400.000 installazioni sui siti, il che lo mette alla pari con iThemes Security.

Con un set di funzionalità intuitive, puoi portare la sicurezza del tuo sito a un livello superiore. Una caratteristica interessante è il sistema di valutazione della sicurezza, che va da 0 a 470. Questo ti aiuterà a capire quale componente web necessita di protezione aggiuntiva. Tutte le informazioni vengono visualizzate nella console.

Per evitare guasti al sito, All In One WP Security & Firewall funziona in 3 modalità: base, media e avanzata. Innanzitutto, puoi scegliere la modalità di base, quindi passare a quella successiva.

Il set di funzionalità di questo plug-in include anche il blocco dei collegamenti diretti alle immagini, la protezione dagli attacchi, la gestione dei prefissi del database, la protezione del firewall, il blocco IP e molto altro.

risultati

Dovresti sempre prenderti cura della sicurezza del tuo sito web. Questo ti mette in una posizione migliore rispetto a coloro che scelgono di ignorare questo problema. Ci sono alcuni altri plugin decenti là fuori oltre a quelli che abbiamo già nominato. Ma passiamo questo verdetto:

• Miglior plugin gratuito -iThemes Security
• Miglior plugin premium -Sucuri

Quali plugin di sicurezza usi? Fateci sapere nei commenti!

Ciao a tutti! Sicurezza e ancora sicurezza! Se hai già letto l'articolo "" sul mio blog, probabilmente sei interessato a una sicurezza aggiuntiva per il tuo sito. Ad ogni modo, qualsiasi webmaster adeguato dovrebbe amare e proteggere la sua prole. In questo articolo, ti guiderò attraverso tutte le opzioni per il plug-in All In One WP Security e ti mostrerò come configurarle correttamente.

Importante

Sul mio blog c'è una serie di tutorial "". E se hai configurato la sicurezza del sito tenendo conto dei consigli di queste lezioni, tieni presente che il plug-in All In One WP Security duplicherà le funzioni di altri plug-in di protezione. Ad esempio, le funzioni:

• blocco di un indirizzo IP dopo tentativi di autorizzazione errati
• captcha nei commenti
• cambiare la pagina di accesso al pannello di amministrazione, ecc.

Pertanto, lascia tutto così com'è e non installare il plug-in, oppure mentre configuri il plug-in All In One WP Security, analizza attentamente le funzioni di protezione in modo che non duplichino le funzioni dei plug-in già installati. E se hai visto una ripresa, disabilita il plug-in duplicato in modo che tutte le impostazioni di All In One WP Security funzionino correttamente.

Potresti chiedermi perché, nel corso di creazione di blog fai-da-te, ho consigliato di impostare la sicurezza di WordPress tramite l'integrazione del codice, plug-in separati e altro? Si tratta dell'alternativa. E a proposito, secondo le mie misurazioni della velocità di download e del funzionamento complessivo del sito, non ho notato la differenza tra tutte le raccomandazioni coinvolte dalle tre parti della lezione 13, dal plugin All In One WP Security. Ci sono persone tra voi che non crederanno alla mia parola e continueranno a integrare il codice nel motore, aggirando i "plugin pesanti", fate come sapete.

Installazione del plugin

Quindi iniziamo. Innanzitutto, installa il plug-in All In One WP Security e attivalo:

Successivamente, nel pannello di amministrazione del sito comparirà il menu del plugin:

Quando passi il cursore del mouse su di esso, viene visualizzato un menu di scelta rapida:

Pannello di controllo

Penso che all'inizio sia meglio familiarizzare con il pannello di controllo, per andare al quale è necessario fare clic sulla voce di menu del plug-in nel pannello di amministrazione o spostare il cursore del mouse su "WP Security" e fare clic su "Pannello di controllo" . Successivamente, vedrai cinque schede:

Scheda Pannello di controllo

Inizialmente, siamo nella scheda "Pannello di controllo". Puoi vedere i blocchi qui:

• Sessioni Attive
• Modalità servizio
• Ultime 5 autorizzazioni
• Indirizzi IP bloccati

Misuratore del livello di sicurezza

Questo blocco mostra il livello di sicurezza attuale in base a tutte le impostazioni del plugin:

Si misura in palline, che vengono aggiunte dopo aver attivato una particolare impostazione. Più alto è il punteggio di sicurezza attuale, meglio è. Ma non sono mai riuscito ad aumentare il livello di sicurezza fino a un valore massimo di 505 punti (la versione del plugin al momento della stesura di questo articolo è la versione 4.3.2). Ciò è dovuto a funzionalità non necessarie per il mio blog che non ho incluso.

Il diagramma di sicurezza del tuo sito

Questo diagramma mostra tutte le modifiche correnti alle impostazioni:

Questo è un tipo di statistica che consente di navigare rapidamente nello stato delle impostazioni.

Blocca "Sessioni attive"

Questo blocco visualizza le informazioni sulle sessioni correnti nel pannello amministrativo del sito:

Di norma, il blocco visualizza una notifica: "Al momento non ci sono utenti attivi tranne te". Ovviamente, se non ci sono altri account con il permesso di lavorare nel pannello di amministrazione del sito, ma in effetti vedi un account sconosciuto in questo blocco, allora si tratta di un hacker.

Modalità servizio

Una funzione molto utile:

Non metto in dubbio che la modalità di manutenzione possa essere abilitata reindirizzando a una pagina creata in precedenza tramite .htaccess, ma il plugin ha già questa opzione, e questo rende la vita molto più semplice durante, ad esempio, la manutenzione del sito. Inoltre, puoi personalizzare la pagina del servizio a tuo piacimento. Per configurare e abilitare la modalità di servizio, fare clic sul pulsante "on/off". Quindi verrai indirizzato alla pagina delle impostazioni della modalità di servizio. Per abilitare la modalità, selezionare la casella "Abilita modalità manutenzione" e salvare le impostazioni. Inoltre, puoi personalizzare il testo visualizzato, inserire un'immagine e altro. E questo può essere modificato nel blocco "Inserisci il tuo messaggio".

Questo blocco contiene informazioni sulla data e gli ultimi cinque indirizzi IP da cui sei entrato nella zona dell'amministratore del sito:

Queste informazioni sono utili non solo per motivi di sicurezza, ma anche per tenere traccia delle sessioni di altri account.

Indirizzi IP bloccati

Questo blocco mostra gli indirizzi IP che sono stati bloccati dal plugin All In One WP Security o manualmente:

Non ci sono voci nello screenshot, ma se gli indirizzi IP sono bloccati, la voce apparirà.

Stato attuale delle funzioni più importanti

In questo blocco è possibile visualizzare lo stato delle misure di sicurezza critiche:

Come puoi vedere, tutti i cursori sono inizialmente nella posizione "OFF". Ho creato appositamente delle condizioni con un banale login "admin" per raccontare e mostrare come vengono seguite le raccomandazioni minime per garantire la protezione del tuo sito.

Amministratori

La voce delle impostazioni "Amministratori" è responsabile del controllo degli account degli amministratori del sito. Qui vedrai le seguenti schede:

Nome personalizzato WP

La prima scheda "WP Custom Name" mostra un elenco di amministratori. Anche qui puoi vedere un avviso sugli accessi che possono essere compromessi:

Come puoi vedere, il plugin considera il login "admin" non sicuro e suggerisce di rinominarlo. Facciamolo. Per cambiare il nome utente nel campo vuoto "Nuovo nome utente per amministratore" inserisci un nuovo nome, ad esempio un'altra banalità: "wpadmin". Successivamente, fai clic su "Cambia nome utente". Inoltre, il sistema si disconnetterà automaticamente dal tuo account per consentirti di accedere con un nuovo nome di amministratore. Successivamente, tornerai nella scheda "Nome personalizzato WP".

Ora, presta attenzione al blocco "Cambia il nome utente dell'amministratore", ovvero i punti:

Congratulazioni, hai 15 punti su 15 per aver completato una linea guida di base sulla sicurezza di WordPress.

I webmaster esperti sanno perfettamente che la funzionalità standard non può cambiare il nome dell'amministratore, ma con il plug-in All In One WP Security puoi farlo. Chiunque abbia letto la prima parte della lezione "Impostare la sicurezza di WordPress" sa quali difficoltà puoi incontrare quando crei un account amministratore con un nuovo nome e colleghi la posta dal vecchio account ad esso.

Parola d'ordine

Ora diamo un'occhiata all'interno della scheda "Password". Nel blocco "Controllo sicurezza password", puoi inserire la tua password attuale e ottenere le seguenti informazioni:

Come puoi vedere, un bot di selezione password lanciato da un normale computer applicherà la forza bruta a tale password per un tempo molto, molto lungo, anche se la protezione del plug-in viene aggirata.

Nome da visualizzare

Probabilmente ti starai chiedendo perché ho perso la scheda Nome visualizzato. L'ho lasciato per uno spuntino. L'utilità di questo punto è destinata ai nuovi utenti di WordPress. Qui puoi vedere il numero di punti, come in ogni menu delle impostazioni. E se il nickname coincide con il login dell'amministratore, vedrai un avviso:

Puoi cambiare il nickname cliccando sul login amministratore, oppure passando il mouse su "Utenti", nel menu del pannello di amministrazione, cliccando sulla voce "Il tuo profilo". Se non hai seguito il mio corso sulla creazione di un blog, inserisci prima nel campo "Nickname (richiesto)" un nome visibile come autore degli articoli, che non corrisponda al login dell'amministratore. Quindi, nell'elenco a discesa "Visualizza come", seleziona il nickname precedentemente inserito. Dopodiché, salva. Ora, quando visiti il ​​menu delle impostazioni "Amministratori" del plug-in All In One WP Security, nella scheda "Nome visualizzato" verrà visualizzato il seguente messaggio:

Impostazioni

Impostazioni generali

Per impostazione predefinita, sei nella scheda Impostazioni generali. Qui puoi trovare le seguenti utili funzioni:

• creazione di un backup del database
• backup del file .htaccess
• fare una copia di backup del file wp-config.php

Ci sono anche opzioni per abilitare e disabilitare la funzione di sicurezza e tutte le funzioni del firewall All In One WP Security. Ti consiglio sempre di leggere le spiegazioni delle opzioni prima di modificare le impostazioni del plugin, ad esempio:

.htaccess e wp-config.php

Presta attenzione alle schede "File .htaccess" e "File wp-config.php". Nelle impostazioni di queste schede, puoi creare e ripristinare un backup di, hai indovinato, .htacces e wp-config.php. È molto conveniente e non richiede un client FTP.

Informazioni sulla versione di WP

Per me, la scheda più interessante è la successiva: "Informazioni sulla versione WP". Chi non lo sa, mi spiego. WordPress genera un meta tag con un attributo di contenuto, che a sua volta ha il valore della versione corrente del motore del sito. Questo è pericoloso, estremamente pericoloso! Pertanto, nel blocco "Eliminazione dei metadati di WP Generator", seleziona la casella accanto a "Seleziona questo se desideri rimuovere la versione e le meta informazioni prodotte da WP da tutte le pagine" e fai clic su "Salva impostazioni".

Importa Esporta

La scheda Importa / Esporta è responsabile della creazione, per così dire, di un preset. Configurando il plugin All In One WP Security su uno dei tuoi progetti, puoi trasferire le impostazioni ad altri siti. È molto comodo anche se hai configurato il plug-in, effettuato l'esportazione delle impostazioni, ma all'improvviso c'è stata la necessità di ripristinare il backup del sito.

Impostazioni avanzate

L'ultima scheda "Impostazioni avanzate" è responsabile del metodo per ottenere dati sull'indirizzo IP di ciascuno dei visitatori. Se non hai familiarità con PHP a un livello abbastanza buono e l'array superglobale $ _SERVER aumenta le pupille dei tuoi occhi, allora ti chiedo di non avvicinarti a questa scheda.

Autorizzazione

In questa sezione delle impostazioni del plugin All In One WP Security, vediamo le seguenti schede:

Autorizzazioni di blocco

Nella descrizione di questa scheda, probabilmente hai già letto le istruzioni degli sviluppatori sugli attacchi Brute-force. Successivamente, è necessario selezionare le caselle accanto alle caselle:

• Abilita le opzioni per bloccare i tentativi di autorizzazione
• Consenti richieste di sblocco (nel caso in cui ti sei bloccato)
• Visualizza messaggi di errore di autorizzazione (aumenta le possibilità di non bloccarti)
• Notifica via e-mail (fai sempre attenzione ai tentativi di accesso non andati a buon fine, che ti consente di rispondere immediatamente a possibili tentativi di hacking)

Scendiamo al blocco globale "Intervallo di indirizzi IP temporaneamente bloccati". Qui puoi andare alle statistiche degli indirizzi bloccati cliccando su "Indirizzi IP bloccati".
Nel blocco "Impostazioni whitelist IP di blocco accesso", è possibile configurare un elenco di indirizzi IP bianchi, ad esempio l'indirizzo del computer, a cui non verranno applicate le impostazioni di blocco. Per fare ciò, nel blocco "Abilita lista bianca IP di blocco accesso", seleziona la casella per l'attivazione delle impostazioni e nel blocco "Inserisci indirizzi IP per la lista bianca", inserisci il tuo indirizzo IP. Non dimenticare di salvare, appena sotto. Ma non consiglio di impostare una whitelist. Gli aggressori possono falsificare il tuo indirizzo IP.

Tentativi di accesso errati

Andare avanti. Nella scheda "Tentativi di autorizzazione errati", vedrai un elenco di tentativi di autorizzazione non riusciti. Queste informazioni sono molto utili per analizzare i tentativi di accesso. Chi se ne frega di queste statistiche può esportarle in un file CSV:

Disconnessione automatica degli utenti

La scheda "Disconnessione utente automatica" non è meno importante del resto delle impostazioni. Qui puoi abilitare la disconnessione degli utenti amministratori dopo un periodo di inattività specificato, ad esempio 60 minuti:

Registro attività dell'account

Quindi, vai al "Registro delle attività dell'account". Qui puoi vedere l'ora di entrata e uscita dal pannello di amministrazione di un determinato utente. Vengono salvate solo 50 voci per tutti gli account. Queste informazioni sono utili per analizzare l'attività:

Puoi anche esportare questi dati in un file CSV.

Sessioni Attive

L'ultima scheda "Sessioni attive" mostra gli account in tempo reale con i quali accedi alla parte dell'amministratore del sito:

Registrazione Utente

Nel 99% dei casi, l'impostazione "Registrazione utente" per un blog, nel plug-in All In One WP Security, viene trascurata. Ma ti parlerò ancora delle opzioni per le seguenti schede:

Conferma manuale

Se il tuo sito prevede la registrazione e la quantità di spam lasciata dagli utenti lascia molto a desiderare, allora dovresti abilitare l'approvazione manuale di un nuovo utente nella scheda "Conferma manuale". Questo chiuderà l'accesso all'autorizzazione fino a quando non confermerai manualmente la registrazione dell'utente da solo. Cosa dà in linea di principio. Come dimostra la pratica, su uno dei miei progetti, ci sono persone che inizialmente registrano le e-mail in base al tipo: [e-mail protetta], [e-mail protetta], [e-mail protetta] eccetera. Tali mail vengono utilizzate durante la nuova registrazione, dopo che ho bannato il primo account di una certa persona. E se vedo che di recente mi sono imbattuto in una mail simile di uno spammer, allora bando la registrazione. Di conseguenza, lo spammer non può accedere e utilizzare nuovamente la stessa posta per la registrazione, sebbene non abbia avuto il tempo di lasciare lo spam.

Pertanto, se è necessaria un'ulteriore moderazione dell'utente subito dopo la registrazione, è necessario selezionare la casella "Attiva l'approvazione manuale delle nuove registrazioni" e salvare le impostazioni.

CAPTCHA alla registrazione

La scheda successiva "CAPTCHA alla registrazione" aggiunge un captcha alla pagina di registrazione dell'utente. Il Captcha può essere attivato selezionando la casella "Attiva CAPTCHA nella pagina di registrazione". Trovo questa funzione necessaria e utile. Naturalmente, se si prevede la registrazione di nuovi utenti.

Registrazione Honeypot

La scheda Registrazione Honeypot è una funzione molto utile per bloccare i bot di registrazione fantasiosi. Ti consiglio di abilitare questa opzione nel blocco "Abilita Honeypot nella pagina di registrazione". Siamo salvati.

Protezione del database

Il gruppo di impostazioni "Protezione database" è composto da due schede:

Prestare la massima attenzione alle impostazioni nella prima scheda "Prefisso tabella database". È necessario eseguire immediatamente una copia di backup del database nella scheda "Backup del database".

Backup del database

Considera la scheda Backup del database. Per creare una copia di backup del database, fare clic sul pulsante "Crea un backup del database ora". Dopo aver creato con successo un backup, vedrai le seguenti informazioni:

Lo screenshot mostra la posizione del mio database. Avrai il tuo indirizzo.

E anche in questa scheda puoi configurare la creazione regolare di una copia del database. Per fare ciò, seleziona la casella "Abilita backup automatici". Inoltre, puoi configurare la frequenza con cui vengono create le copie, quante copie conservare sul server e quante copie vengono inviate per posta. Non dimenticare di salvare.

Prefisso tabella DB

Torniamo alla scheda "Prefisso tabella database". Se non hai modificato il prefisso del database, ha il valore "wp_". Questo è esattamente ciò di cui vedrai l'avviso:

Per assegnare un prefisso diverso a tutte le tabelle del database, è necessario impostarlo nel campo del blocco "Genera un nuovo prefisso della tabella del database". Successivamente, fai clic su "Cambia prefisso tabella". Se non sai molto su quale dovrebbe essere il prefisso, ti consiglio di selezionare la casella accanto a "Verifica che il plugin stesso generi un prefisso di 6 caratteri casuali" e il campo "Inserisci la tua versione del prefisso utilizzando lettere latine, numeri e il carattere di sottolineatura" lasciare vuoto.

Protezione del file system

Ora esaminiamo il set di impostazioni "Protezione file system" del plug-in All In One WP Security. Questa voce di impostazione è composta da quattro schede:

Accesso ai file

Per impostazione predefinita, siamo nella scheda "Accesso ai file". Se sei in dubbio su quale CHMOD (diritti di accesso) installare su una particolare cartella sul server, il plug-in All In One WP Security deciderà tutto per te. Presta attenzione alla tabella in questa scheda. Se il plugin ha un commento sui diritti di accesso correnti, vedrai nella colonna "Azione consigliata" la scritta "Imposta le autorizzazioni consigliate":

Se non ci sono commenti, la scritta "Nessuna azione richiesta". Per applicare le impostazioni CHMOD consigliate, fare clic su "Imposta autorizzazioni consigliate".

Modificare i file PHP

Questa scheda imposta il divieto di modificare i file PHP dall'ambiente amministrativo. Ti consiglio di selezionare la casella "Disabilita la possibilità di modificare i file PHP".

Accesso ai file WP

Di solito, subito dopo aver installato WordPress, elimino i file: readme.html, wp-config-sample.php, ecc. Ma ci sono momenti in cui un campione dello stesso file di configurazione salva i neofiti. Pertanto, ti consiglio di selezionare la casella "Nega l'accesso ai file di informazioni creati per impostazione predefinita durante l'installazione di WordPress".

Registri di sistema

Questa scheda è progettata per webmaster esperti. Altrimenti, cercando nel registro degli errori del sito, non sarai in grado di comprendere l'essenza del problema.

Whois ricerca

A mio modesto parere, questo è un ottimo strumento per ottenere almeno alcune informazioni, ad esempio su un utente bloccato. Naturalmente, puoi usare il sito WHOIS, ma perché preoccuparsi se c'è una ricerca WHOIS nel plugin All In One WP Security.

Lista nera

Il plug-in All In One WP Security ti consente di bloccare non solo per indirizzo IP, ma anche per agenti utente. Possono essere considerati agenti utente vari spider/bot dei motori di ricerca, vari servizi di analisi, ecc., che creano un carico eccessivo sul server. Questa impostazione sarà utile anche se non desideri, ad esempio, che un bot di Google esegua la scansione del tuo sito. Tutte le impostazioni specificate nella voce "Lista nera" verranno aggiunte a .htaccess.

Firewall

L'impostazione Firewall è composta da sette schede:

Allora cominciamo con ordine.

Assicurati di eseguire il backup del tuo .htaccess prima di iniziare a configurare le impostazioni nel tuo file .htaccess tramite il plug-in All In One WP Security.

Regole firewall di base

Se non utilizzi, ad esempio, plug-in per la pubblicazione automatica sui social network, puoi tranquillamente installare taccole ovunque e salvare le impostazioni di questa scheda. Ma ti consiglio di includere solo i seguenti elementi:

• Attiva le funzioni firewall di base
• Disabilita la funzionalità di pingback da XMLRPC
• Blocca l'accesso al file debug.log

Penso che tutto sia chiaro con la prima impostazione, ma le prossime due opzioni sono obbligatorie. "Disabilita funzionalità di pingback da XMLRPC" non consentirà i pingback, ad esempio, dai servizi di statistica, ma lascerà le richieste di servizio consentite. L'opzione "Blocca l'accesso al file debug.log" bloccherà l'accesso al file di debug, che potrebbe contenere informazioni riservate sul servizio.

Regole firewall aggiuntive

In questa scheda, ti consiglio di abilitare tutte le impostazioni tranne: "Disabilita la possibilità di visualizzare le directory". Il punto è che il divieto di visualizzare le directory è impostato dalla direttiva "AllowOverride" nel file di configurazione httpd.conf sul server. Puoi effettuare tali impostazioni solo se hai un VPS, VDS, noleggiato o un tuo server. Altrimenti, lascia questa impostazione deselezionata.

Puoi scoprire perché ogni impostazione è necessaria facendo clic su "+ Altro":

Fondamentalmente, quasi tutte le impostazioni del firewall fornite nel plug-in All In One WP Security sono necessarie per garantire la sicurezza di WordPress.

Regole del firewall della lista nera 6G

Il firewall 6G non ha nulla a che fare con le comunicazioni mobili. Questo firewall fornisce protezione contro molte richieste URL dannose, bot dannosi, referrer spam e altri attacchi. L'abilitazione delle regole del firewall di sesta generazione ridurrà significativamente il carico sul server, ovviamente, se ci sono tali richieste. Consiglio di abilitare la protezione 6G e 5G.

bot Internet

La scheda "bot Internet" blocca i bot dannosi che si travestono da googlebot. Consiglio di abilitare l'opzione "Blocca Googlebot falsi". Gli altri crawler non verranno bloccati.

Previeni gli hotlink

L'opzione della scheda "Impedisci collegamenti" è necessaria per l'attivazione. Abilita l'opzione e salva. Ciò ridurrà il carico sul server se i tuoi link alle tue immagini sono posizionati al di fuori del tuo sito. Ciò non influisce in alcun modo sulla pubblicazione automatica sui social network e in altri luoghi.

Rilevamento 404

Per l'attivazione è necessaria anche la penultima scheda di rilevamento 404. Seleziona l'opzione "Abilita rilevamento e blocco IP 404". Questa impostazione è responsabile del blocco degli indirizzi IP da cui vengono effettuate molte richieste a pagine inesistenti in un breve periodo di tempo. Nella maggior parte dei casi, questo indica un attacco di hacker nella ricerca di una pagina vulnerabile. Puoi anche modificare l'ora in cui l'indirizzo IP dell'attaccante verrà bannato. Di norma, l'indirizzo del mirror principale del sito viene registrato automaticamente nel blocco "URL da reindirizzare in caso di errore 404". Consiglio di non modificare questo indirizzo. E la tabella dei log degli errori 404 mostra i dati sulle visite a pagine inesistenti. Il registro può essere scaricato in un file CSV.

Regole personalizzate

L'ultima scheda "Regole personalizzate" viene utilizzata per aggiungere le tue regole personali al file .htaccess. Ti consiglio di non aggiungere nulla di tuo senza capire come funzionano le impostazioni .htaccess. In caso contrario, il sito potrebbe smettere di funzionare.

Protezione contro gli attacchi di forza bruta

Gli attacchi di forza bruta sono attacchi mirati alla forza bruta della password e del login fino a quando non viene trovata l'opzione corretta. Ci sono cinque schede in questo gruppo di impostazioni, iniziamo con la prima:

Rinomina pagina di accesso

La scheda "Rinomina pagina di accesso" contiene due parametri, di cui nel primo "Abilita l'opzione per rinominare la pagina di accesso" è necessario impostare una casella di controllo, e nel secondo "Indirizzo (URL) della pagina di accesso" registrare il login indirizzo al pannello di amministrazione. L'indirizzo della pagina di accesso deve essere diverso dallo standard wp-admin, ad esempio thisismysite. Non dimenticare di salvare e ricordare l'indirizzo di accesso al pannello di amministrazione. Nel mio esempio, sarà mysite.ru/thisismysite, dove mysite.ru è l'indirizzo del tuo sito.

Protezione contro gli attacchi di forza bruta che utilizzano i cookie

Vai alla scheda "Protezione contro gli attacchi di forza bruta che utilizzano i cookie". Puoi abilitare l'opzione "Il mio sito ha post o pagine bloccate dalla protezione con password dei contenuti WordPress integrata" se disponi di pagine protette da password. Ho queste pagine. Per quanto riguarda l'opzione "Questo sito ha un tema o un plug-in che utilizza AJAX", la maggior parte dei temi e dei plug-in moderni utilizza la tecnologia AJAX. Pertanto, ti consiglio di abilitare anche questa opzione. Consiglio di non attivare l'impostazione "Attiva protezione contro attacchi di forza bruta" per evitare di bloccare il tuo indirizzo IP dal plug-in All In One WP Security. Il punto è che puoi dimenticare e cancellare i cookie del plugin con una passkey. E per non risolvere problemi che avrebbero potuto essere evitati, consiglio di non spuntare la casella accanto a questa opzione, tanto più che il plugin stesso avvisa e solo al secondo tentativo rende possibile attivare queste impostazioni.

Accedi CAPTCHA

La scheda Login CAPTCHA contiene utili funzioni per una protezione aggiuntiva della pagina di login e per il recupero della password. Consiglio di installare taccole di fronte a:

• Abilita CAPTCHA nella pagina di accesso
• Attiva il modulo CAPTCHA nella pagina di accesso modificata
• Attiva CAPTCHA nella pagina "password smarrita"

Nel blocco "Impostazioni Captcha moduli Woocommerce", le caselle di controllo sono impostate solo quando si utilizza il plug-in per il negozio online "Woocommerce".

Lista bianca di accesso

Andiamo avanti e andiamo alla scheda "Login whitelist". Questo parametro funge da linea di difesa aggiuntiva, bloccando l'accesso alla pagina di login per tutti gli indirizzi IP che non sono nella white list. Se lo desideri, puoi configurare questa opzione. Ma, ma di nuovo! Se disponi di un indirizzo IP dinamico o è urgente accedere al pannello di amministrazione, ad esempio da un numero di cellulare, e il provider ti assegnerà un indirizzo IP diverso, si verificheranno problemi.

Vaso di miele

L'ultima scheda "Un barile di miele (Honeypot)" dal gruppo di impostazioni "Protezione contro gli attacchi di forza bruta" è responsabile del blocco dei robot che tentano di compilare i campi di autorizzazione. Di norma, i robot compilano automaticamente tutti i campi e l'opzione "Barile di miele" fa scivolare il bot in un campo invisibile agli occhi dell'utente, che il bot compila automaticamente. Se ciò accade, il plug-in All In One WP Security bloccherà automaticamente il bot. Consiglio di abilitare l'opzione "Attiva vaso di miele nella pagina di accesso".

Protezione da spam

Passiamo al prossimo gruppo di impostazioni "Protezione contro lo SPAM". Ora smetteremo di considerare quattro schede:

Spam nei commenti

• Attiva CAPTCHA nei moduli di commento
• Impedisci agli spambot di commentare

Tracciamento degli indirizzi IP per lo spam dei commenti

Un'altra scheda per le statistiche è il monitoraggio degli indirizzi IP per lo spam dei commenti. Indubbiamente, le opzioni in questa scheda contribuiscono alla bontà. Ti consiglio di spuntare la casella accanto a "Abilita il blocco automatico degli indirizzi IP Commenta lo spam". Salva.

Inoltre, nel campo "Numero minimo di commenti considerati SPAM" impostare il valore 5. Prestare attenzione al blocco "Elenco indirizzi IP degli spammer", che è responsabile del filtraggio dei commenti. Se hai bisogno di trovare indirizzi IP che sono stati catturati nello spam almeno una volta, imposta il valore su "1" e fai clic su "Trova indirizzi IP". E se, ad esempio, 3 volte, il valore "3", ecc. Penso che tu abbia colto il punto. I risultati verranno visualizzati nella tabella Elenco indirizzi IP spammer.

BuddyPress e BBPress

Nelle schede BuddyPress e BBPress, puoi abilitare captcha nel modulo di registrazione. BuddyPress e BBPress sono plugin. BuddyPress ti aiuta a creare un social network basato sul motore WordPress e il plugin BBPress è un forum. Se non si utilizzano queste modifiche, le opzioni nelle schede corrispondenti saranno assenti.

Scanner

Il penultimo gruppo di impostazioni "Scanner" è responsabile della scansione regolare del sito per la presenza di codice e file dannosi. Puoi vedere solo due schede qui:

Monitoraggio delle modifiche ai file

Nella prima scheda "Rilevamento delle modifiche nei file", è possibile eseguire immediatamente la scansione del sito facendo clic su "Scansiona ora".

Comprendi una cosa semplice: nessun plug-in può proteggere il tuo sito dagli hacker guru! Pertanto, in caso di problemi, il plugin All In One WP Security, dopo la scansione, ci informerà della presenza di tracce di hacking. Ti consiglio di abilitare l'opzione "Attiva la scansione automatica delle modifiche ai file" e di impostare la frequenza di scansione almeno ogni due giorni. La frequenza di scansione dipende dal carico corrente del tuo sito. E se il tempo di caricamento del sito durante i picchi di traffico aumenta, allora pensa di cambiare il tuo piano tariffario o di passare a un server dedicato in modo che lo scanner del plug-in All In One WP Security non crei un carico eccessivo sul server.

I campi "Ignora file dei seguenti tipi" e "Ignora determinati file e cartelle" vengono compilati individualmente, come desideri. Ti consiglio anche di attivare l'opzione "Invia Email quando viene trovata una modifica" in modo da essere sempre a conoscenza di eventuali modifiche nei file. È possibile specificare più indirizzi e-mail. Salva dopo le impostazioni.

Scansione malware

La seconda scheda "Scansione anti-malware" è destinata alla registrazione sul sito degli sviluppatori di plug-in, al fine di scansionare regolarmente il sito a pagamento. Ciò ridurrà significativamente il carico sul server durante la scansione. Chi vuole pagare, per favore, è un tuo diritto. Ma non vedo molto l'utilità di contrattare un servizio del genere per un blog.

Varie

L'ultimo gruppo di impostazioni "Varie" contiene tre schede:

Protezione dalla copia

Nella prima scheda "Protezione contro la copia" è possibile bloccare le seguenti funzioni:

• Bottone giusto
• Marcatura del testo
• copia

Le restrizioni si applicheranno a tutte le pagine disponibili per gli utenti. Se hai un blog utile su cui le persone possono imparare molto nel loro bagaglio di conoscenze, non consiglio di abilitare questa funzione. Personalmente, mi sento a disagio quando non riesco a copiare un pezzo di testo con informazioni importanti per me.

Cornici

La scheda Frame è responsabile del blocco della visualizzazione del contenuto del tuo sito tra i tag frame e iframe. Che sono stati riconosciuti come non sicuri per alcuni anni e sono spesso violati. Ad esempio, 1C Bitrix, per impostazione predefinita, blocca questi tag.

Enumerazione degli utenti

L'ultima scheda e l'impostazione finale del plug-in All In One WP Security che esamineremo è "Enumerazione utenti". Consiglio di abilitare l'opzione "Disabilita l'enumerazione degli utenti" per impedire ai bot di bloccare le informazioni sugli utenti che possono essere visti, ad esempio, come commentatori. Questo in qualche modo crea una barriera protettiva per gli utenti del sito, proteggendo così l'account amministratore.

Questo conclude il debriefing con il plugin All In One WP Security. Hai appena letto un articolo enorme che può essere paragonato a dieci articoli normali. Spero di averlo spiegato in un linguaggio accessibile. Le domande appariranno in modo affascinante chiedi loro nei commenti. Grazie per l'attenzione.

Ciao ragazzi! Quando il tuo sito viene promosso un po', compaiono lettori regolari, ti fa molto piacere. Tutto sembra essere cool. Cresce anche il flusso di denaro, e ottieni una risposta dal pubblico, il riconoscimento aumenta. Ma c'è anche un rovescio della medaglia. Queste sono persone invidiose, questa è l'attenzione dei malvagi.

Per darti un'idea di cosa si tratta, il mio blog è stato violato 2 volte solo nell'ultima settimana. I clienti abituali pensavano di averlo notato. Ragazzi, vi consiglio vivamente di familiarizzare con questa lezione, dedicare del tempo a implementare i suggerimenti di cui sto parlando per rendere più sicuro il vostro sito e risparmiare tempo, denaro e nervi.

All In One WP Security è il plugin più essenziale per aumentare la sicurezza di WordPress. Deve essere installato da chiunque possieda un sito su WordPress. Tutti, nessuno escluso.

Se il mio preferito è SEO Harvester per WordPress, il plugin WP Security è la controparte di sicurezza. Cioè, se grazie a Yoast SEO ho smesso di aver bisogno di diversi plugin SEO, allora qui è esattamente lo stesso, grazie a All In One WP Security, puoi sbarazzarti di altri plugin che soddisfano solo parzialmente le funzioni di questo. Ad esempio, come:

• Blocco accesso;
• Backup del database di WordPress;
• Attacco anti-XSS;
• e altri così.

Enormi vantaggi del plug-in di sicurezza WP All In One:

• gratuito;
• è molto facile da configurare;
• quasi tutto è stato tradotto in russo, quindi è chiaro di cosa si tratta.

Configurazione del plugin di sicurezza All In One WP

Assicurati di fare un backup (backup) prima di avviare (per ogni evenienza) i seguenti file:

• Banca dati;
• file wp-config;
• file htaccess.

A proposito, i backup di questi tre file possono essere eseguiti direttamente in questo plugin, basta andare su WP Security - Impostazioni nel pannello di amministrazione:

Pannello di controllo

C'è un informatore molto interessante che mostra il livello di sicurezza del tuo sito:

Questo indicatore ti aiuterà a tenere il passo con il polso e a capire cos'altro è necessario fare per migliorare la sicurezza. Non consiglio di fare tutto per raggiungere il punteggio massimo. Ci possono essere conseguenze negative, il tuo sito può bloccarsi, funzionare male.

Lo stato attuale delle funzioni più importanti. In questo blocco, puoi attivare le funzionalità più necessarie per la sicurezza del tuo sito (non puoi toccarle per ora, durante le impostazioni per la lezione, questi parametri sono attivati ​​quindi):

Il resto dei parametri nel Pannello di controllo è di scarso interesse, puoi familiarizzare con loro per curiosità (Informazioni di sistema, Indirizzi IP bloccati, AIOWPS.

Impostazioni

Impostazioni generali. Qui puoi creare copie di backup dei file che ho menzionato sopra. Disattiva anche le funzionalità di sicurezza e firewall se qualcosa smette di funzionare.

Meta-informazioni WP. Fare clic sulla casella di controllo accanto a "Eliminazione dei metadati di WP Generator" per non visualizzare la versione di WordPress:

Scheda Importa/Esporta. Qui puoi esportare le tue impostazioni, in modo che in seguito su un altro sito non perdi tempo sulle impostazioni e importi tutti i "segni di spunta" necessari in 2 clic.

Amministratori

Nome WP personalizzato. Assicurati (!) di cambiare il nome dell'amministratore, se lo hai "admin". Non hai idea di quante e spesso le password con il login amministratore vengono selezionate. Se anche la password è molto leggera, il tuo sito può essere facilmente hackerato.

Nome da visualizzare. Se hai account sul tuo sito con lo stesso nome utente e nome visualizzato, ti consigliamo di modificare il nome visualizzato (nickname).

Parola d'ordine. Una scheda molto interessante. Qui puoi scoprire quanto tempo ci vuole per indovinare automaticamente la tua password. Inserisci la tua password e lasciati sorprendere dalla rapidità con cui può essere violata. Prerequisiti per migliorare la sicurezza:

• la tua password deve contenere sia lettere maiuscole che minuscole;
• la presenza di almeno la 1° cifra è obbligatoria, ma la password non deve essere composta solo da numeri;
• è anche desiderabile la presenza di qualche carattere speciale;
• la lunghezza della password deve essere superiore a 10 caratteri.

Di conseguenza, dovresti avere il massimo grado di sicurezza per la tua password, qualcosa del genere (la password qui sotto verrebbe violata da un computer di casa in 57.337 anni (!)):

Autorizzazione

Assicurati di abilitare questa funzione. Se la password viene inserita in modo errato 3 volte entro 5 minuti (per impostazione predefinita), l'IP viene bloccato per 60 minuti (anche per impostazione predefinita). Non consiglio di bloccare per un tempo più lungo, altrimenti potresti dover affrontare il fatto che gli amministratori stessi inseriscono il login 3 volte in modo errato, mettono il blocco per 10 anni e non sanno cosa fare. Lasciamo l'impostazione predefinita per 60 minuti e non ci preoccupiamo.

Consiglio inoltre di selezionare la casella accanto a "Blocca immediatamente i nomi utente non validi". Ad esempio, hai cambiato il tuo login da admin a krutysh, quindi quando inserisci il login admin nel campo di autorizzazione, l'indirizzo IP viene immediatamente bloccato. "Notifica via e-mail" - qui se necessario. Non mi piace lo spam non necessario, quindi non seleziono questa casella.

Le impostazioni finali per questa scheda sono simili a questa:

Se sei curioso, puoi dare un'occhiata all'elenco degli IP bloccati, un collegamento alla sezione è riportato nella stessa scheda in basso.

Tentativi di accesso errati. Qui puoi vedere gli accessi che vengono selezionati. Molto spesso, i miei accessi admin, root e font lampeggiano. È visibile anche il tempo dei "tentativi". Presta attenzione alla frequenza con cui tentano di accedere al pannello di amministrazione:

Disconnessione automatica degli utenti. Consiglio di abilitare anche questa casella di controllo. Consente dopo un certo numero di minuti di terminare la sessione e disconnettere l'utente. Metto 600 minuti:

Le schede "Registro attività account" e "Sessioni attive" sono solo a scopo informativo.

Registrazione Utente

Seleziona la casella accanto a "Attiva l'approvazione manuale delle nuove registrazioni":

E puoi anche selezionare la casella CAPTCHA al momento della registrazione:

Naturalmente, se altre persone non possono registrarsi sul tuo sito, i primi 2 punti sono semplicemente inutili, non miglioreranno né peggioreranno. Ma, in caso di dubbio, è meglio spuntare queste caselle.

Protezione del database

Qui, fai attenzione nella scheda "Prefisso tabelle database". Prima di spuntare la casella, assicurati di fare una copia di backup del tuo database (lì vedrai anche un link per creare un backup del tuo database). Se hai paura, nel dubbio, è meglio lasciarlo deselezionato:

Backup della banca dati. Qui mettiamo già un segno di spunta, selezioniamo la frequenza di creazione dei backup e il loro numero. Io ho. ad esempio questi numeri:

Protezione del file system

Accesso ai file. Qui sul lato destro avrai i pulsanti, dovrai modificare i permessi dei file facendo clic su questi pulsanti. Di conseguenza, tutte le tue linee dovrebbero diventare verdi:

Modifica di file PHP. Se non modifichi i tuoi file PHP tramite il pannello di amministrazione, seleziona la casella. Non consiglio di modificare i file tramite il pannello di amministrazione, se non altro perché non puoi premere CTRL + Z nel qual caso e non puoi riportare il file nella sua posizione originale:

Accesso ai file WP. Selezionare la casella:

Registri di sistema. Lascialo come predefinito.

Whois ricerca

Puoi inserire un indirizzo IP o un dominio per ottenere il WHOIS di un dominio. E così in effetti non c'è niente da toccare.

Lista nera

Se non hai cattivi desideri, puoi saltare questo elemento. Se un indirizzo IP è costantemente scintillante nei commenti, ad esempio, puoi abilitare la casella di controllo e aggiungere questo IP alla lista nera.

Firewall

Regole di base del firewall. Se non hai fatto una copia di backup di htaccess fino a questo punto, assicurati di farlo. E metti un segno di spunta davanti a tutti gli elementi:

Regole firewall aggiuntive. Qui attiviamo anche tutte le caselle di controllo:

AGGIORNARE: di seguito nella scheda "Filtro caratteri aggiuntivi", ho rimosso il segno di spunta, poiché alcuni commenti non sono andati a buon fine, hanno dato un errore 403. Probabilmente, in fondo, anche tu Ti consiglierei di rimuovere questa casella di controllo in modo che gli utenti non abbiano problemi a commentare.

Impostazioni del firewall 5G. Includiamo anche:

bot di Internet. Potrebbero sorgere problemi di indicizzazione qui, quindi consiglio di non includere questo elemento.

Previeni i collegamenti. Includiamo anche.

Regole personalizzate. Puoi impostare regole aggiuntive nel file htaccess. Non tocchiamo niente.

Protezione contro gli attacchi di forza bruta

Rinominare la pagina di accesso. Includiamo. Cambia l'indirizzo di accesso con il tuo:

Protezione contro gli attacchi di forza bruta che utilizzano i cookie. Non abilito questa funzione in modo che non ci siano problemi con l'accesso da dispositivi diversi.

Accedi CAPTCHA. Puoi abilitare CAPTCHA quando accedi, non includo:

Lista bianca di accesso. Dato che visito spesso il sito da posti diversi, il mio IP è diverso, quindi non abilito questa opzione:

Un barile di miele. Viene creato un campo aggiuntivo che solo i robot possono vedere. Pertanto, durante la compilazione di questo campo, il robot verrà reindirizzato al suo indirizzo. Includiamo:

Protezione da spam

CAPTCHA sotto forma di commenti. Non lo abilito, perché non mi piace complicare i commenti, ma consiglio di abilitare la funzione "Blocco dello spam bot dai commenti":

Monitoraggio degli indirizzi IP per lo spam dei commenti. Qui puoi guardare gli IP spam "frequenti" nei commenti e aggiungerli alla lista nera.

BuddyPress. Aggiunge un CAPTCHA al modulo di registrazione BuddyPress. Non lo uso.

Monitoraggio delle modifiche nei file. Consiglio di abilitarlo, perché spesso quando i siti vengono violati, non è del tutto chiaro quale file è stato modificato, dove cercare codice dannoso. E con l'aiuto di questa funzione puoi tenere traccia delle modifiche nei file del tuo sito e trovare rapidamente il file che è stato modificato di recente.

Scansione per malware. La funzione è a pagamento, costa da $ 7 al mese.

Modalità servizio

Consente di "chiudere" il sito per un po' per apportare alcune modifiche. Cioè, ai visitatori del sito verrà offerto uno "stub" che il lavoro è in corso sul sito. Utile quando si cambiano i design, controllando che i plugin funzionino.

Varie

Protezione dalla copia del testo e altro ancora. Qui non seleziono la casella da nessuna parte nelle tre schede. Consiglio anche di non scommettere.

risultati

Dopo aver completato tutte queste impostazioni, puoi andare al "Pannello di controllo" e guardare l'indicatore del livello di sicurezza, dovresti ottenere qualcosa del genere:

Ancora una volta, non è necessario fare tutto senza pensieri per ottenere il punteggio più alto possibile. Non danneggiare inutilmente il tuo sito, le sue prestazioni e la sua convenienza.

Se hai domande, scrivi. Grazie mille per i retweet e i repost, per aver aiutato le persone a trasmettere questo importante messaggio.

Sergey Arsentiev

Sicurezza WordPress in 2 clic con sicurezza WP All In One

Molta attenzione è rivolta alla sicurezza in WordPress, e ancora ci sono casi di hack del sito. Tuttavia, puoi utilizzare un plug-in speciale e aumentare notevolmente la protezione del tuo sito, soprattutto perché questo può essere fatto letteralmente in 2 clic.

Perché hai bisogno di migliorare la sicurezza di WordPress?
Ovviamente per evitare hack e utilizzi non autorizzati dello spazio del sito.

Ma è davvero così brutto? Bene, lascia che lo rompano - non ho ancora niente da prendere!

Non si tratta dell'hack in sé, ma delle sue conseguenze. Gli hacker violano i siti per un motivo, iniziano a inviare spam per tuo conto, inseriscono collegamenti ad altri siti dubbi, diventano terreno fertile per virus e altre infezioni. I motori di ricerca lo riconoscono rapidamente e reagiscono con l'aiuto delle notifiche, avvertendo i visitatori che accedono al sito in una forma come questa:

Un raro temerario oserà andare su un sito infetto, quindi il traffico dai motori di ricerca dei siti compromessi diminuisce in modo significativo. E insieme al traffico, anche il reddito dei proprietari dei siti sta diminuendo rapidamente.

Pertanto, nonostante il fatto che qualsiasi sito possa essere violato, consiglio di rendere questo compito il più difficile possibile per i criminali informatici: di conseguenza, il desiderio di contattare il tuo sito probabilmente scomparirà quando ce ne saranno molti meno sicuri e facili da hackerare i siti in giro.

Ho installato vari plugin sui siti per migliorare la sicurezza di WordPress (sono anche chiamati spesso firewall), ma ti consiglierò quello che personalmente ritengo il migliore per la maggior parte dei parametri, questo è - Sicurezza tutto in uno WP.

I suoi principali vantaggi:

• gratuito
• comoda interfaccia in lingua russa
• molte opzioni di protezione
• aggiornamenti frequenti
• importazione ed esportazione istantanee delle impostazioni

È installato come un normale plugin di WordPress (se non sai come farlo, leggi ""). Quindi non dovresti avere problemi con l'installazione.

Ma poi devi ancora configurare All In One WP Security, ovvero selezionare e attivare le opzioni di protezione. Ce ne sono molti, ma non tutti dovrebbero essere inclusi, altrimenti il ​​sito potrebbe semplicemente rivelarsi inutilizzabile. Quindi quali parametri dovrebbero essere selezionati e quali dovrebbero essere trascurati?

Di seguito nell'articolo fornirò un collegamento al file di importazione delle mie impostazioni personali, che utilizzo per migliorare la sicurezza sulla maggior parte dei siti: puoi importarle e, quindi, non occuparti delle impostazioni del programma, di cui ce ne sono molte. Pertanto, se tutte queste descrizioni delle impostazioni non ti interessano, passa al blocco social e ottieni un collegamento a file pronto con le impostazioni... Ci sarà anche una breve istruzione su come aggiungere All In One WP Security al tuo plugin.

Nel frattempo, descriverò brevemente le impostazioni del plugin.

All In One WP Security Impostazioni di base

Ci sono parecchie impostazioni del plugin, sono tutte raccolte nel pannello di controllo, nella voce WP Security:

Cominciamo con ordine.

Pannello di controllo

Le informazioni di base sul sistema sono comodamente raccolte qui: l'attuale livello di protezione, le principali impostazioni coinvolte, la versione del server php, i log degli utenti che accedono all'area di amministrazione, e così via. Cioè, non c'è nulla da cambiare in questa scheda: svolge un ruolo informativo.

Non vale la pena sforzarsi di assicurarsi di aver utilizzato i punti di difesa massimi. In questo caso, infatti, alcuni altri plugin potrebbero essere bloccati e il sito potrebbe non funzionare correttamente. In generale, è importante eliminare i "buchi" più vulnerabili ed evidenti senza compromettere la comodità e la funzionalità del sito.

Impostazioni

Qui puoi creare backup dei file principali di WordPress in cui il plugin modifica le impostazioni di sicurezza: .htaccess e wp-config. A meno che, ovviamente, tu non l'abbia già fatto tramite FTP (leggi ""). Assicurati di farlo prima di apportare modifiche alle impostazioni del plug-in.

Un punto importante è "Meta informazioni WP".
Seleziona la casella, questo rimuoverà le informazioni dal codice del sito che è stato creato sulla base di WordPress, questo aumenterà la sicurezza contro la scansione massiccia delle versioni del sito da parte dei robot hacker.

E l'ultimo punto è " Importazione e esportazione ".
Qui è dove puoi esportare e importare rapidamente le impostazioni del plug-in da un sito all'altro.

Amministratori

In questo paragrafo parleremo degli account degli amministratori registrati nel pannello di controllo.

È risaputo che non è possibile utilizzare nomi di amministratore standard come "admin" in WordPress o "administrator" in Joomla. Ciò ha un effetto estremamente negativo sulla sicurezza, perché quando l'accesso è noto, l'hacker può solo indovinare la password.

Quindi, se usi lo standard "admin" come nome dell'amministratore, giura mentalmente sullo sviluppatore e cambialo rapidamente in qualcosa di più complesso. Per farlo in WordPress, devi creare un nuovo account utente. Elimina quello vecchio, collega tutti i record al nuovo account.

È anche importante che il nome utente corrisponda al login.
E controlla la complessità della password. Una password errata è come "serega", una buona password è "serega1212" e l'ideale è "dfw & uuhsU2%".

Autorizzazione

Cosa succede se qualcuno ha inserito più volte la password sbagliata durante il tentativo di accedere al pannello di amministrazione? Per impostazione predefinita, il sistema non fa nulla. Cosa succede se " Abilita le opzioni per bloccare i tentativi di autorizzazione", quindi il sistema bloccherà tali connessioni dopo un certo numero di tentativi non riusciti per un certo tempo. Il numero di tentativi, il tempo e altri parametri, impostati da te nei paragrafi seguenti.

Le altre schede sono per lo più informative.

Registrazione Utente

Il captcha al momento della registrazione è rilevante solo se hai la possibilità di registrare nuovi utenti sul tuo sito web o blog.

Banca dati

Assicurati di cambiare il prefisso delle tabelle nel database. Per impostazione predefinita, le tabelle in un database WordPress iniziano con "wp_", il che è dannoso per la sicurezza. Selezionare " Genera nuovo prefisso della tabella del database"e seleziona la casella per fare in modo che il plugin generi qualcosa come" hwy1e2_ ".

Anche se ho cambiato il prefisso su molti siti WordPress, era tutto ok, ma non sarai superfluo: assicurati di fare un backup del database, a proposito, puoi farlo direttamente al prossimo contributo.

File system

Nella scheda principale " Accesso ai file"tutti gli elementi devono essere contrassegnati in verde. In caso contrario, è sufficiente fare clic sull'elemento corrispondente.

Seleziona le caselle e nella scheda seguente " Modificare i file PHP" e " Accesso ai file WP". Non devi lasciare l'opportunità di apportare modifiche al programma tramite il pannello di controllo: è meglio farlo tramite l'accesso FTP, che è molto più difficile da hackerare, perché i programmatori professionisti del tuo hoster sono impegnati nella sicurezza lì. Inoltre, non dovresti "brillare" file di informazioni importanti del sistema.

Whois ricerca

Non ci sono impostazioni qui, ma se qualcuno entra in te o un utente inadeguato lascia messaggi stupidi, puoi provare a scoprire il suo provider e lamentarti dell'inadeguatezza, o semplicemente minacciarlo in un messaggio personale.

Naturalmente, se un hacker utilizza un anonimizzatore IP, non saprai proprio nulla, ma la funzione può comunque essere utile, poiché in generale puoi ottenere rapidamente informazioni sui proprietari del sito e sui loro contatti.

Lista nera

Supponiamo che tu abbia "perforato" attraverso whois che lo spam si sta attivamente diffondendo dall'indirizzo IP di una persona privata sul tuo blog nei commenti. Puoi aggiungerlo alla lista nera e non avrà accesso alle pagine del sito.

Puoi anche vietare massicciamente i robot "di sinistra" che possono setacciare Internet alla ricerca di vulnerabilità.

Fondamentalmente, questa funzione ha senso se qualcuno sta attivamente cercando di hackerarti. Nella maggior parte dei casi, questi campi rimarranno vuoti.

Firewall

Bene, siamo arrivati ​​alla funzione principale del plugin: il firewall. Queste funzioni sono sparse in diverse schede.

Nel " Regole di base"Consiglio di abilitare entrambe le caselle di controllo:" Funzioni di base del firewall" e " Protezione contro le vulnerabilità di pingback". Per ogni articolo, c'è una descrizione dettagliata di tutte le funzioni che saranno coinvolte. Queste sono regole di base: di norma non influiscono sulle prestazioni del sito.

V" Regole aggiuntive"Io personalmente uso:

• Visualizzazione del contenuto delle directory
• Traccia HTTP

Altri oggetti:

• Commenti tramite proxy
• Linee indesiderate nelle query
• Filtraggio dei caratteri aggiuntivo

su alcuni siti ha causato instabilità nel lavoro, quindi non posso raccomandarli senza ambiguità per l'uso.

Se vuoi usarli, fai un backup htaccess, abilita e testa a fondo il sito per le sue prestazioni precedenti. Prova a lasciare un commento, scarica un file, registrati, cerca nel sito, invia un modulo di feedback, ecc. Se tutto è ok, allora ok, sei fortunato

Più avanti nella scheda " Firewall 5G"puoi abilitare una protezione completa contro gli attacchi degli hacker tramite l'URL del sito. Questa è una funzionalità utile, ma sul mio blog ha causato un errore quando gli utenti scaricano i file, quindi l'ho disabilitato e disabilitato su tutti gli altri siti, poiché preferisco usare solo quei parametri che non causano mai lamentele nel lavoro.

Nel " Robot Internet"Non ho selezionato la casella, perché ci sono ancora timori di impedire in qualche modo al robot principale di Google di svolgere il suo lavoro. Se qualcuno può dissipare le mie paure nei commenti, ne sarei grato.

"Previeni gli hotlink"Lo lascio anche disabilitato, dal momento che io stesso scarico le immagini del blog da altri siti. E ho notato che anche molti dei miei clienti lo fanno, ad esempio, caricano immagini dal loro sito su diverse bacheche, forum e così via. Ma se sei sicuro che da nessuna parte non usi le immagini dal sito, quindi per ridurre il carico non necessario sull'hosting, ovviamente, puoi selezionare la casella.

"Rilevamento di errori 404"Devi usarlo solo se hai molti errori sospetti di pagine non trovate nei tuoi log. Va tutto bene su tutti i miei siti, quindi non c'è niente da aggiungere all'elenco degli indirizzi IP che devono essere bannati.

Protezione contro gli attacchi di forza bruta

Cos'è la forza bruta? Questo è un attacco di forza bruta che semplicemente forza brute tutte le possibili password su un sito web. Cioè, il robot entra nella pagina con l'ingresso al pannello di amministrazione e inizia a provare l'una o l'altra password.

Assegna un nome alla pagina di accesso a tua discrezione, ad esempio / lg-wp e la password brute-force robot non sarà in grado di accedere al tuo pannello di amministrazione - semplicemente non la troverà!

"Protezione dei cookie"Non utilizzo - perché vado spesso online da browser diversi, oltre a cancellare periodicamente i cookie, e quindi la procedura per accedere con questo parametro sarebbe piuttosto noiosa. Per lo stesso motivo non utilizzo" Accedi captcha". Ne ho già abbastanza di tutti i tipi di captcha su Internet e quindi cerco di ridurli al minimo sul mio sito web.

"Lista bianca di accesso"- questa è una protezione quasi al 100% contro i robot a forza bruta, poiché il login e la password possono essere inseriti solo da un indirizzo IP specifico. Ma io e i miei clienti visitiamo spesso i nostri siti da indirizzi IP diversi, ad esempio dall'ufficio, da cellulare, da ospiti, ecc. In questo caso, la protezione sarà eccessiva, poiché non consentirà al proprietario di accedere al sito. Tuttavia, se lavori sul tuo sito in modo permanente con un indirizzo IP, allora puoi utilizzare questa funzione.

Protezione da spam

Non ho incluso questa protezione, poiché il plugin specializzato Antispam Bee funziona bene per me (leggi "").

Scanner

Se all'improvviso un bastardo si è comunque fatto strada attraverso tutti i tuoi sistemi di sicurezza e ha inserito il suo codice dannoso o ha lasciato collegamenti nei file del sito, il sistema ti avviserà di ciò. E sarai in grado di dare un'occhiata sempre più da vicino a questi cambiamenti: e se fossi davvero hackerato?

Eseguo la scansione dei siti ogni 7 giorni, ignoro immagini, file personali, backup, ecc. Tutto questo è nelle impostazioni, che puoi scaricare alla fine dell'articolo.

È improbabile che le altre schede siano necessarie.

Modalità servizio

È solo un'utilità, ma piuttosto utile. Ti consente di disabilitare temporaneamente il sito per tutti tranne gli amministratori, se viene svolto del lavoro su di esso.

Varie

"Protezione dalla copia"Non lo includo, perché nelle realtà moderne di controllo dell'unicità dei testi, è piuttosto privo di significato e la vita lo rende difficile per alcuni utenti. Ma abilita la casella di controllo". Attiva la protezione del telaio"non guasta, dal momento che non ti permetterà di aprire il tuo sito nel frame di qualche altro sito.