Защита для сайта

Пока гром не грянет…

Все знают о том, что защита для сайта необходима. Его нужно защищать от взлома, от спама, от всевозможных атак. Но очень часто мы пренебрегаем такой защитой думая, что она нам не требуется. Вот и я долгое время не уделял должного внимания защите своего блога на WordPress.

«Секретных данных на нем нет, посетителей пока немного. Кому нужно атаковать мой сайт». Так я думал, хотя знал, что атаки на сайты осуществляют не конкретные люди, а компьютерные программы.

Сначала возросло количество спама. Плагин Akismet исправно работал и отправлял в спам по несколько сотен записей в сутки.

Но в один прекрасный момент я обнаружил, что мой сайт оказался заблокирован. После проверки почты от хостинг-провайдера выяснилось, что было уже три предупреждения о превышении нагрузки на сервер. Причем пиковая нагрузка приходилась на файлы, которые якобы находились в папке wp-content, но, на самом деле, таких файлов там быть не могло.

Мне предлагалось для решения проблемы либо перейти на другой, более дорогой, тарифный план, либо оптимизировать программное обеспечение, установленное на сайте.

Так я понял, что необходимо всерьез заняться защитой своего блога.

Плагин iThemesSecurity

Для базовой защиты сайта на движке WordPress необходимо предпринять ряд действий. Но, оказывается, все можно сделать с помощью одного плагина. Это плагин iThemesSecurity, одно из самых мощных средств для защиты WP-сайтов. Не так давно произошло крупное обновление и смена названия этого плагина. Раньше он назывался BetterWPSecurity. iThemesSecurity – самый эффективный плагин для защиты сайтов на WordPress от всевозможных атак. Эта защита осуществляется более чем 30 способами.

Первая группа функций плагина скрывает или удаляет потенциально опасные объекты сайта.

• Меняется URLстраницы входа в админ-панель. По умолчанию этот адрес всегда одинаков – sitename/wp-login.php. Плагин предлагает сделать другой, удобный вам адрес, например sitename/voiti.
• Вход в админку можно заблокировать в определенное время, например, ночью, когда вы не работаете с сайтом.
• Удаляются все записи, позволяющие определить тип и версию движка (metaname =”generator”).
• По умолчанию, логин администратора WordPress всегда “admin”. Для взлома подбирать нужно только пароль. Поэтому iThemes Security настоятельно требует сменить логин.
• Можно изменить установленные по умолчанию ID (1) администратора и префикс (wp_) таблиц баз данных. Но делать это лучше на новом сайте.
• Также при создании сайта желательно сразу изменить имя директории wp-content, на уже работающем сайте это сделать сложнее. Это еще раз говорит о том, что о защите сайта нужно беспокоиться в первую очередь.

Вторая группа функций включает в себя различные методы защиты. Она включает в себя:

• сканирование сайта с последующим сообщением о местах, имеющих уязвимости;
• блокировка ботов и проблемных IP-адресов;
• блокировка пользователей в случае нескольких неудачных входов в админ-панель для защиты от перебора паролей;
• кстати, iThemesSecurity принуждает пользоваться надежными паролями;
• защита файловой системы и БД от всевозможных атак.

Важнейшей функцией плагина является создание резервных копий БД для последующего восстановления сайта. Сохранение БД можно настроить по расписанию (например, раз в сутки). Но, к сожалению, файлы сайта можно резервировать только с помощью платного сервиса компании iThemes.

Таковы основные возможности этого прекрасного плагина. После его установки и настройки нагрузка на сервер опустилась до нормального уровня, резко сократилось количество спама.

Недостатком плагина можно считать отсутствие перевода на русский язык, но в сети можно найти инструкции по его настройке на русском, например на сайте Александра Майера.

Пользуясь этой инструкцией, вы можете досконально настроить плагин.

P. S. Хочу дополнить статью сообщением о выходе нового курса, в котором глубоко и всесторонне описывается защита сайта на движке WordPress. Рекомендую вам видеокурс А. Борисова и Ю. Колесова

«Тотальная защита WordPress»