Настройка плагина Better WP Security


Внимание, некоторые шаблоны конфликтуют с данным плагином, поэтому в некоторых случаях достаточно просто установить его и не настраивать рекомендации из списка, а их целых 21. В этом случае у нас будет работать блокировка ошибок 404 и лимит неправильных попыток входа в админку. Качество плагина говорит само за себя – он установлен на официальном сайте wordpress.org. Если вы не боитесь потратить время и нервы, то приступим:
список уизвимостей
Создаём резервную копию, далее разрешаем плагину внести основные изменения в наш с вами сайт. Далее нажимаем защитить сайт от базовых атак.

1 . You are enforcing strong passwords, but not for all users — необходим сложный пароль для всех пользователей, нажимаем исправить.

2. Нажимаем исправить, появляется новая страница, где напротив поля Remove EditURI header нужно поставить галочку.

3. Не администраторы не могут видеть доступные обновления. Всё хорошо идём дальше.

4. The admin user still exists. Необходимо переименовать имя пользователя admin. Делаем.

5. A user with id 1 still exists . Меняем id пользователя

6. Ваш префикс таблиц не должно быть wp. Исправляем.

7. Вы не планировали регулярного резервного копирования базы данных WordPress. Нажмите, чтобы исправить Я рекомендую вам оставить всё как есть, так как копии сайта лучше и удобнее совершать с панели управления хостингом.

8. Ваш WordPress админка доступна 24/7. Do you really update 24 hours a day? Данная рекомендация позволяет назначить время, когда будет доступен вход в админку вашего сайта. На первый взгляд неплохая опция, но, в моей практике был случай, когда, каким то чудным образом сбилось время на сервере. Если же у вас произойдёт подобная ситуация, то пугаться не нужно. Через ftp сервер просто удалить плагин.

9. You are not blocking known bad hosts and agents with HackRepair.com’s blacklist?
Данная опция вносит известные вредоносные пауки в блокировку.

10 . Ваш логин защищен от перебора.

11. Ваша WordPress админка не скрыта. Данная опция необходимо в том, случае, если вы делаете сайт без регистрации пользователей. Например, функцию комментарий реализовываете с помощью виджета вконтакте или плагина.
Нажимаем исправить, включить скрыть панель и вводим свои значения. Сохраняем.

P.S  к сожалению данный пункт не работает, вход в админку с легкостью вызывают сканирующие весь интернет брутфорс боты. Не надо печалится.

better security

12. Your .htaccess file is NOT secured Исправляем и отмечаем галочки в необходимых полях.

13. Your installation is actively blocking attackers trying to scan your site for vulnerabilities. Всё хорошо.

14. Your installation is not actively looking for changed files. Данная опция позволяет контролировать файлы установки, в случае, если злоумышленник попытается, изменить какие либо файлы к вам на почтовый адрес почты придёт предупреждение. При включение данной опции предупреждения будут приходить при любом изменения файтов, поэтому не пугаемся.

15. Your installation does not accept long URLs. Исправляем.

16. You are allowing users to edit theme and plugin files from the WordPress backend. Отключает редакторв во вкладке Внешний вид. Данная опция повышает безопасность и вы можете смело ей воспользоваться, так как редактором приходиться очень редко пользоваться.
Исправляем 17-19 пункты.

20 . You should rename the wp-content directory of your site. Данную опцию рекомендую делать сразу же после установки шаблона.

21. You are not requiring a secure connection for logins or for the admin area. Подключает SSL опции. Данный пункт не обязателен.

интерфейс плагина
Особый интерес представляют собой вкладки Logins и Detect.
Logins контролирует попытки входа в админку вашего сайта.
В поле Max Login Attempts Per Host нужно ввести максимальное кол-во неправильных попыток ввода пароля и имя пользователя.
В поле Max Login Attempts Per User нужно ввести максимальное кол-во неправильных попыток ввода пароля с вашем логином.
Login Time Period период времени на которое нужно забанить злоумышленника, рекоменудю увеличить до 20 минут.
Lockout Time Period рекоменудю увеличить до 20 минут.
Blacklist Repeat Offender ставим галочку.
Blacklist Threshold кол-во блокировок после которых пользователь будет забанен навсегда
Далее ставим галочку уведомлять по электронной почте и пишем e mail.

Вкладка Detect. Контролирует ошибки 404. Вы можете настроить данную опцию таким же образом , как делали ранние, например заполните значения так же, как на рисунке.
настройка плагина
Вкладка Logs или слева Просмотр журналов представляет собой журнал событий, ошибок 404 и неудачных входов, изменённые файлы.

Похожие статьи:

WordPress самоучитель

Защита сайтов на wordpress

Настройка безопасности Wordfence

Проверка шаблона на наличие вредного кода.