Повишаване на сигурността на Wordpress сайт. Защита от атаки

Безплатни 20 урока
регистрирай се и научи

Ако сте вече потребител - Регистриран съм
Видео
сега за да подобрим сигурността на нашия сайт ще свали ми ще инсталираме едно разширение което прави точно това подобрява сигурността на нашия интернет сайт това което бих искал да кажа както казвам за всички разширения които сме използвали в този курс е че избора на разширение е личен избор няма решение което Важи за всички еднакво добре за всички Аз естествено избирам едно от разширенията Защото бих искал да покажа как се конфигурира едно такова разширение за вашия сайт може друго разширение да е по-подходящо затова Направете си проучването и Изберете разширение което е така устройва вашите конкретни нужди Независимо дали става въпрос За разширение за контактна форма за оптимизация за търсачки за електронен магазин или за сигурност няма да имате само един избор или инсталират само едно разширение обикновено имате десетки или стотици и дори хиляди варианти и трябва да изберете подходящо разширения за вас ще ви покажа ти ли разширения които са популярни разширения за повишаване на сигурността на wordpress едното wordfence другото е ithemes Security което преди се казваше Петър Vip Security и другото е all-in-one wp Security and firewall съдимост режем работата на едно такова разширение аз ще използвам А това решение ithemes Security нека да го добавим тук в решенията и да както виждате Имам доста разширение на тема сигурност ще добавя това разширение което съм избрал Ще го включа и след като включа разширението ще го настроим тази стъпка изключително важна защото реално Първо трябва да настроим нашето приложение за да може той да работи ефективно В случая за това разширение както и много други разширения като влезем в неговите настройки имаме раздели и обикновено има един такъв дашборд или начална страница която показва най-важното от това разширение В случая ще разгледам надолу Какви са опциите и Виждаме че тука имам приложения с високо с висок приоритет имам няколко от четири неща които четири елемента които трябва да поправя след което имам някои предложения със среден приоритети а доста приложения предложения с нисък приоритети някои неща които а които са свършили вече за сайта примерно ми казва че неизползван потребител с име админ И това е нещо което е отметнато като свършено ако имате сайт в който вашето потребителско име админ и ще видите че това нещо няма да е свършено Аз ще седя тука в червените и важни неща за разрешаване най-лесния начин да ги разрешим е като ги поправим чрез този бутон Първото нещо което ми казва е че зоната за влизане адреса за влизане не е защитена от brute Force Attack ще кликна на Оправих го и ще влезна в панела за редактиране на тези настройки ще те активирам настройката и тук За съжаление нещата са само на английски как мога да сложа моя имейл адреса за да получавам кога някой се опитва да влезе в а този сайт и ще получавам имейл за всяка атака след като съм активира има няколко настройки А тази защита ще се активира при пет проби някой да се опита да влезне С грешна парола а знаете от Примера който дадох че всъщност са пробите са хващаш един речник с да кажем 100 хиляди думи и се пробва Всяка една дума дали случайно не е вашата парола А в случая при пет поредни грешни опита този погине ще яде активира възможността за влизане в сайта което ще е реално ще спре скрипта на вашия хакер да натисна Save като тук има нещо което бих искал да направя като настройка допълнителна ако влезна даже борда видяхте че вече от 4 станаха на При тези проблеми и тук са решенията проблеми станаха вече от два на три но има една настройка която предварително искам да направя и това е да аз лъжа в белия лист моето IP Това означава че ако случайно попаднете под ударите забравихте си паролата имате някакъв няколко опита да няма системата да ви изхвърля и вас така че ако вашето IP е статично Тоест имате доставчик в къщи в офиса който не променя IP то си е добавете го ако влизате от различни места през wifi мрежи На кафенета на заведения от различни локации нямах никакъв смисъл да добавяте но вместо да го слагам временно мога да си добавя моя адрес временно а най-добре е да го направя перманентно и това са в тези настройки раздела настройки натиснах ще си доста дълги тук идвам до този whitelist и ще добавя моето IP директно във перманентни Lite листа за да А мога винаги да влизам Нека да запиша промените да видим другите основни промени които ми предлага моя сайт няма БКП мога да поправя това нещо като ключа бекъп на всеки три дена и тук мога да си ги пращам по имейл или да ги записвам локално като е важно Поне по мое лично мнение тази настройка тук колко БКП да пазите да не е нула защото настройката нула означение че ще се пазят всички бекъпи и в момента в който вашия сайт колкото място да имате от хостинг компанията се работи половин година една година три години пет години в един момент просто това място ще свърши затова не е хубаво да Спадат неограничените за бекъп И примерно може да сложим по три или пет или повече ако имате повече място на случая през три дена ще се архивира локално моя сайт естествено да се архивира локално ако от сървъра снима някакъв проблем с него и се развали ще си отивай да и сайта и БКП така че това не е оптималния вариант за това Ще разгледаме друго разширение което архивира беше сайта на различно място извън вашия сървър което е горещо препоръчително целта на този плъгин е основно сигурността бекъпите Само такава съвсем леко заложена функция Има я по-хубава може да е ползвате но реално не е много много висока сигурност Ако някой хакер ви изтрия сайта ще ви да изтрием бекъпите така че сигурността на този ти бекъп Не много висока Нека да се върнем дашборда решихме още един проблем Астория проблем който друг се появи е че не сме задали задължително да бъдат силни паролите за потребителите тоест те имат възможност и по условие пароли да ти изписват затова го оправям какво и трябва да изберем за кои потребители тези пароли трябва да са силни от кое потребителско ниво нагоре Тоест Аз ако сложа потребител за всички ще бъдат ако сложа администратор само за днес тати ще бъдат сложа автор ще бъдат за автор редактори администратор ще запиша промените решихме още един проблем и другия проблем който е nicknames или тези прякори могат да бъдат същите като името за логин и А тези рано по този начин вие ще си издадете вашето име за логин което ще даде половината информация на хакера тоест да е вашето потребителско име за пример тук имам една статия и тази статия е от Здравко ние го променихме на Здравко Петров и тук в тази ситуация ако кликна на това име ще ми покаже автор Здравко Петров за целта Нека да влезна в този тестов сайт за да монтирам по-добре за какво става дума в моя потребител имам потребителското име което не мога да го променям но мога да променя никнейма и да покажа това което се появява като име Аз мога да напиша Здравко Петров то понеже бъркахме в базата данни А и реално Тук не се е променило но в сайта си сети този никнейм който е Здравко Петров Здравко Петров ще напише тук и накрая Какво има да се появява ще напишем реално пълното име сега Нека да запиша или видим какво е В какво се получава в нашия сайт имаме на публикация името което виждаме Здравко Петров Тоест не се вижда потребителското ми име след което като мина с мишката върху него се вижда линка кликвам на него и казва това е автор Здравко Петров тоест показва нашия прякор или никнейма Никъде вече не се показва потребителското име с което аз влизам Здравко точно затова този никнейм или потребителско име трябва да е различно от това потребителско име с което аз влизам и точно това прави този тази настройка принуждава потребителите да изберат уникално уникален прякор който е различен от тяхното потребителско име с което влизат в панела за администрация записахме го и вече когато влезне на дашборд поне червените неща сме изчистен тук нататък естествен има доста настройки които изискват проучване четене и запознаване с проблемите които могат да се случат с вашия сайт това което направихме досега е най-важното той ще ви спаси от доста ситуации но имате възможност да разширявате тези настройки и да увеличавате сигурността си естествено за ситуацията Аз ще ви трябват познания по английски за да прочетете инструкциите и какви са тези допълнителни опции моят съвет е задължително оправете тези червените и пожелание оправете някаква част от жълтите неща които са предложения за повишаване на сигурността в wordpress заплахата не е за пренебрегване Ето ще покажа един реален уеб сайт който от сутринта от 7 часа до вечерта до трябва пак 72 за 12 часа имат десет опита за влизане с потребителското име Иван от тези различни IP адреси с като влезнете в настройките на този плъгин имате и лукс и в лукс може да виждате Какво се случва и дали някой не се опитва да влезе във вашия уеб сайт Нека да се върнем в нашия сайт така съветът ми е инсталирайте или по-скоро първо Изберете си разширение второ инсталирайте настройте на такова разширение което да повиши и сигурността на вашия уеб сайт

Тест за преминаване към следващия урок

 
Необходимо ли е да инсталираме разширение за защита от атаки?
Не, инсталацията на тези разширения губи прекалено много време.
Не, ако не смятаме, че сайтът ни е застрашен.
Да, така има възможност да засечем неправомерния достъп до нашия сайт.
 
Как да повишим сигурността на нашия сайт?
Нашият прякор (nickname) да е различен от потребителското име за вход в администраторския панел
Да правим backup на сайта си
Да изчистим настройките по сигурността според приоритета им 
Да има ограничен брой опити за въвеждане на парола

Въпроси и отговори

  • Как?

    Марина Лазарова:

    Как се сменя wp-admin? Къде точно трябва да се влезе и какви промени се правят?

    Леа:

    Най-лесният начин е с плъгин Username Changer. След активиране се отива в Users » Username Changer. След като си свършите работа може да изтриете този плъгин.

    Албена Христова:

    Леа, изисква ли да имаш хостинг и има ли толкова сложни настройки като това в урока.

  • Как ?

    Любомир:

    Същият въпрос , като дамата от долу ? Как да си сменим   админ  и парола ? 

    Марина Лазарова:

    Май няма да получим отговор на този въпрос!

    Peter:

    Намерих някакви пояснения по този въпрос тук - http://help.superhosting.bg/wordpress-security.html . Конкретно за потребителя admin - "Потребителското име admin, което също е по подразбиране и е едно и също за всички инсталации на системата, може да бъде променено. Промяната можете да извършите, чрез достъп до phpMyAdmin, през контролния панел.

    След като достъпите phpMyAdmin може да изпълните sql заявка за подмяна на потребителя admin с потребител siteadmin, в таблицата wp_users, в базата данни:

    update wp_users set user_login='siteadmin' where user_login='admin';".

  • Как?

    Марина Лазарова:

    В жълтите препоръки се опитах да поправя съвет със следния текст "Your WordPress Dashboard is using the default addresses. This can make a brute force attack much easier."  Смених там, където пишеше wpadmin на moetablo, след което го върнах обратно. Сега обаче не мога да вляза в таблото нито с единия адрес, нито с другия. Изписва ми http://127.0.0.1/wordpress/not_found в лентата за адреса, а и на самия сайт пише "Oops! That page can’t be found.It looks like nothing was found at this location. Try the search below." Какво да правя, за да си възстановя достъпа до таблото?
    Помощ!!!

    Марина Лазарова:

    Справих се! Било е wplogin, а не wpadmin. Но все пак въпроса ми остава в частта какво да правим ако загубим достъп до таблото. Ако не разбираме от това да влезем в SQL - базата данни и да пипаме там, тогава какво, губим ли сайта?

  • Защо?

    Марина Лазарова:

    Може би днес не ми е добър ден, но на теста нещо ме смущава.

    Дарина Иванова:

    Според мен верният отоговор е "да правим backup на сайта". Разрешеният по-голям брой опити за въвеждане на паролата не повишава сигурността му, по-скоро е вреден.

    Марина Лазарова:

    И аз така мисля, но три пъти ми даде този резултат. Явно е техническа грешка.

    Дарина Иванова:

    Мислех че сгрешеният отговор е на втория въпрос: "Как да повишим сигурността на нашия сайт?" Дори сега като се замисля, сигурността на самия сайт не би се повишила, чрез запазването му. По-скоро четвъртият отговор има някакво основание да е правилен.

    Зорница Каракулева:

    Предполагам, че по-скоро въпросът е зададен некоректно, тъй като всичко от изброеното (освен маркираното като вярно) е мярка за сигурност. Може би трябва да гласи какво не повишава сигурността на сайта.

  • Защо се извежда грешка при избор на името от коментара?

    Зорница Каракулева:

    Здравейте,

    Когато кликна върху името, което се дисплейва в коментара към дадена статия, се извежда грешка "This webpage is not available". Каква може да е причината?
    Асен Маринов:

    Понеже излезенова версия на wordpress, аз обнових и нз дали от там идва проблема, но се опитвам да сменя никнейма който излиза горе в адресната лента да не е админ-името и не става, това което излиза под всяка публикация се сменя на каквото го направих, но никнейма не иска...

  • Ivelina:

    Разбира се с плъгин, но има ли нещо особено в настройките и кой бихте препоръчали?

  • Защо в Dashboard  на "iThemes Sequrity" нямам секция "Security status"?

    Красимир Христов:

    Здравейте! Защо в Dashboard на "iThemes Sequrity" нямам секция "Security status"? Гледах и в настройки на изгледа , да не е изключена , но и там я няма.

    Красимир Христов:

    Извинявам се за грешката Security , а не Sequrity . 

    Иван Цукев:

    За разрешаването та такъв тип казуси, обикновено трябва да се задълбаеш в документацията на плъгина: https://ithemes.com/codex/page/IThemes_Security

  • Защо в Dashboard нямам Security Status?

    Delyana:

    прегледах, но никъде не намерих Security Status

    Мария Балева:

    Здравей, не е само при теб този "проблем" :) След последния ъпдейт на плъгина е махнат security status-а от дашборда. В урока се вижда, защото е създаден с версия, която все още не е претърпяла тези промени. Не е много удобно, но може да следваш стъпките от видеото и отново да направиш нужните настройки. Ето как изглежда при мен дашборда

  • Какво да активирам?

    Delyana:

    Security Status имат ново обновление... преди ставаше... като намирах това, което трябваше да се промени, но сега е съвсем различно... За Brute Foce Protection - виждам само това, което съм ви сканирала- и трябва ли да натисна Disable? Кога e активирано, когато е на disable ili anable 2. Изобщо не виждам къде да си сложа e-maila, ако някой се опитва да влезе... 3. Lockout white list -където се слага моето IP- не го намирам

    Delyana:

    оправих настройките...

    Мария Балева:

    Здравей Деляна, радвам се, че си успяла да разрешиш проблема. Явно след ъпдейта са променили доста изгледа на настройките, но като цяло се свиква след като се разгледа по-подробно. Иначе би трябвало, ако са ти изведени по този начин, като отделни прозорчета да отвориш допълнителни опции, като въвеждане на имейл или ip след като се натисне бутона configure settings, а при натиснат бутон Enable, трябва да е включена настройката. Ако си открила нещо полезно, което ще помогне и на други хора, които срещат затруднения в настройките, може смело да го споделиш тук във форума. Успех с курса :)

  • Защо Не се променя?

    Eli:

    Потребителското име е различно от имената, псевдонима и съм задала да излиза Показване като...псеводним или име, но въпреки това в http адреса ми излиза author/ и потребителското име? Изглежда, че всичко правя както е показано, но няма промяна и ми излиза потребителското име публично в адреса. Къде може да е проблема?

    Miroslava Camburova:

    Потребителското име admin, което също е по подразбиране и е едно и също за всички инсталации на системата, може да бъде променено. Промяната можете да извършите, чрез достъп до phpMyAdmin, през контролния панел. След като достъпите phpMyAdmin може да изпълните sql заявка за подмяна на потребителя admin с потребител siteadmin, в таблицата wp_users, в базата данни: update wp_users set user_login='siteadmin' where user_login='admin';", май че така се правеше

    Стефка Иванова:

    Присъединявам се към въпроса на Ели и констатацията на Асен Маpинов. При подмяна на псевдонима, той не се появява в лентата с адреса, а си остава потребителското име. Целта не е да се смени потребителското име пpез phpMyAdmin, а да се появява псевдонима в адресната лента, когато го сменяме от админпанела . Под статията излиза правилно, но не и в адресната лента. Има ли някой, който да е решил този проблем?

  • Може ли защитите и да утежнят сайта, както това правят антивирусите на PC? 

    Jullian Angelov:

    Може ли защитите и да утежнят сайта, както това правят антивирусите на PC? На свой ред ако той стане по бавен това ни проваля SEO-то...

    Живко Казаков:

    По прнцип - да. Но защитите са програми, кито би трябвало да се изпълняват на локалната машина на сървъра. Тъй, като интернет протокола е по-бавен от времето, необходимо на тези програми да си свършат работата, то забавянето не би трябвало да се усети много от посещаващоюият сайта.

    инж. Юлиан Ангелов:

    Благодаря! :) Всъщност отговорът беше близко до логиката, ако изходим от определението за сървърни езици и програмиране. И в такъв случай забавянето от защитите от всеки един сайт капка по капка би се отразило на общите ресурси на сървъра осигуряващ хостинга, но те не са наша грижа, а и не можем да направим нищо по въпроса. Теоретично можем да пренесам сайта си на друг хостинг при изтичане на абонаментният план, но ако поддържаме много сайтове задачата става непосилна.

  • Какво да правя сайта ми е хакнат wp?

    Евелина:

    При опит да си вляза в сайта се получава пренасочваве и страницата не може да бъде намерена. wp-admin съм го сменила преди повече от година. Стигнах до таблото през cpanel и установих, че може да се влиза само с wp-admin, има генерирани множество грешки 404, правено е налучкване с wpAdmin, wpadmin и др. На пощата си получих съобщение за промяна на два файла wp-content/uploads/GeoIP.dat
    wp-content/uploads/GeoIPv6.dat От това, което разбирам става въпрос за стар и нов IP адрес, което още повече ме притеснява. Какво да правя?

    Евелина:

    Поддържа ли се все още форумът? Има ли някой друг, освен запознаващите се с wordpress, който да отговаря на въпросите?

    Дарина Иванова:

    Всеки може да отговаря, ако знае отговора. :) Разбира се, най-вероятно авторът на курса знае най-добре проблемите с програмата. Не мога да Ви помогна, но предполагам че трябва да се установи връзка със собственика на хоста. Ако намерите контакти, пишете.

    инж. Юлиан Ангелов:

    Потърси съдействие от админите на хостинг компанията. Определено са коректни и са много отзивчиви. Хакнат сайта или не - те не могат да видят паролата, но в техни ръце е решението на проблема.


    Малко вероятно е покрай промените които правят в софтуера на сървърите да има шроблем с адресацията на сайта. Имам такъв сайт, който е правен по протокол httр:// От SuperhostingBG започнаха да преминават на протокол htрs което е централна политика на целият НЕТ. Обаче се появи проблема, че ако напиша името на сайта без нищо отпред, търсачките го откриват но веднъж го откриват като httр:// а друг път kato http://www.[името на сайта] Иначе е добре популяризиран и излиза на първите места в класията и винаги го открива, но от тогава Google Analitics губи по цели седмици от посеащемостта на сайта - явно вижда само единият адрес (вероятно http:// a не http://www.....) Но нямам проблеми нито с достъпността до сайта нито с влизането по всякакъв начин в него.

    Обади се на админите. Те са компетентни, особенно ако правилата на хостинг компанията се променят в движеие.

  • Неуспешно инсталиране на приложение - защо?

    Kr.petrova:

    Защо когато се опитам да инсталирам определено приложение, понякога е неуспешно, а съобщението, което се показва е: "Инсталацията не е успешна: Грешка при създаване на директорията."? Случвало ми се е и с контактната форма, а сега и с iThemes Security. Само от темата ли зависи, или има и друг проблем?

    Иван Цукев:

    Това може да се получи при неправилно инсталиран wordpress или проблеми с правата за писане по директориите. При такава грешка, най-добре е е да се свържете с хостинг компанията, за да може администратор да ви помогне да я отстраните.

    Kr.petrova:

    Оказа се, че наистина проблемът е в инсталацията на wordpress и след намесата на администратор от хостинг компанията (която направи инсталацията), проблемът се реши! Благодаря Ви!

  • Здравейте,

    Lora Nikolova:

    инсталирах Wordfence, като настроих имейлите за сигурността да идват на личния ми мейл. Днес съм блокирана за вход в сайта със следното съобщение: INSECURE PASSWORD: Your login attempt has been blocked because the password you are using exists on lists of passwords leaked in data breaches. Please reset your password to reactivate your account.

    опитвам се да ресетна, но мейл така и не идва и не мога да вляза в сайта си. Какво може да се направи?

    Ivan:

    Ако не става с нова парола, ето един вариант. 1. Отиваш в папката на wordpress; 2. Навигираш до /wp-content/plugins/ 3. Изтриваш или преименуваш папката на wordfence плъгина 4. Влизаш с паролата си, променяш я на нещо по сигурно 5. Възстановяваш плъгина (ако все още не те е издразнил с това блокиране :) )

  • Как да разрешим доста от проблемите с видимото име на автора 

    Chvdr:

    освен казаното по-горе във видеото, възможно е да се направи настройка за линковете на сайта, която покзава обектите (автори, статии и всичко на сайта) с техните идентификациоони номера, вместо техните прякори, стрингове за идентификация и т.

    Например, авторът се визуализира като се достъпва линк от рода на: https://yourdomain.ext/?author=1 Всяка отделна статия би имала линк: https://yourdomain.ext/?p=407

    И така нататък.

    Аз лично дори предпочитам този начин на организация и по други причини.

    Мястото, откъдето се прави този избор е:

    Dashboard --> Settings --> Permalinks

    Иван Цукев:

    Благодаря за споделения опит.

    Само да добавя, че е хубаво хората да вземат в предвид и SEO съображения, когато става въпрос за адреси тип https://yourdomain.ext/?p=407

    От SEO гледна точка, често се препоръчва като адрес на статия/страница https://yourdomain.ext/kluchova-phraza/ вместо https://yourdomain.ext/?p=407

    Chvdr:

    Благодаря за допълнението. Наистина, от SEO гледна точка това е много добре, даже препоръчително. Но аз го ползвам само в сайтове, които са изцяло на английски.

    Просто изразът "ключова фраза" за мен трябва или да е изписан или като "ключова-фраза", или "key-phrase". Аз лично не мога да си представя "kluchova-phraza" - коя от търсачките би толерирала търсене по думите "kluchova" или "phraza". Стрингове на кирилица в линка на статията не харесвам изобщо.

    Дали можете да ми дадете съвет за това? Може би все пак изписани на английски ще изглеждат по-добре?