Сегодня, перелопачивая очередную горку (можно сказать холмик) сайтов, наткнулся на прелюбопытнейший экземпляр — http://comp-security.net/ Собственно, по сути, это тематический блог, где рассказывают примерно то же, что и я, только чаще, интересно и охватывают больше вопросов из сферы IT (Информационных Технологий). Т.е. вам понравится.
Полистав этот ресурс, я вдохновился написать собственный пост, который давно собирался выпустить в свет, да всё руки не доходили. Речь пойдёт о плагине, который просто обязан установить каждый владелец сайта на WordPress: плагин безопасности Acunetix Secure WordPress.
Итак, с установкой плагина никаких проблем не возникает, если ваш хостинг поддерживает исходящие соединения: зашли в нужный раздел меню, ввели в тамошний поиск «Acunetix Secure WordPress», кликнули в результатах на соответствующую строку, установили, активировали и начали пользоваться.
Сразу после установки, наблюдаем в меню админки новый пункт «Secure WP». Кликнув по нему видим несколько подпунктов… Самый первый — «Консоль». Тут вы сразу увидите целый список проверяемых параметров безопасности и в каком они состоянии на конкретно вашем сайте.
Зачем это надо?
Зачем защищать движок сайта, если его разработчики постоянно следят за его безопасностью и выпускают всё новые и новые версии, с исправлением найденных дыр? Ответ находится в самом вопросе. Пока одни люди исправляют найденные дыры, другие ищут новые и ломают сайты через них. При том, стоит найти такую лазейку, как в бой идут соотсветственно обученные боты, которые способны перелопачивать и заражать по 50-1000 сайтов в час, и даже больше.
Вот потому, лишняя безопасность никогда не станет лишней.
Что делает плагин?
Как я уже говорил, плагин устраняет некоторые моменты, помогающие поиску и эксплуатации дыр, а так же помогающие в этом ботам. Например, с его помощью вы можете отключить (прямо в подпункте «Параметры») отображение версии движка. Дело в том, что в каждой версии свои уязвимости, и когда бот обнаруживает ту, под которую «заточен», он сразу начинает применять заданный алгоритм. Но если версия ему неизвестна, он, скорее всего, перейдет к следующему сайту.
Пытаться тестировать ваш блог на уязвимости десятков версий занимает не мало времени, что снижает эффективность массового взлома.
Acunetix Secure WordPress — бесплатны плагин, помогающий защитить ваш сайт. Он проверяет надежность:
- Паролей
- Прав доступа к файлам и папкам
- Базы данных
- Скрывает версию
- Защищает админку
- Удаляет «лишние» мататэги
Acunetix Secure WordPress умеет:
- Делать резервную копию базы данных
- Добавлять index.php в папки движка
- Закрывать некоторые возможности админки от пользователей с низким уровнем доступа
- Ограничивать число попыток сканирования сайта
- Менять префикс базы данных
- Прятать вывод ошибок PHP интерпретатора и ошибок базы данных от неадминов
Вот такая полезная вещь.
Единственный минус — отсутствие нормального русского перевода. Так что, если не знаете английский — придется прибегнуть к словарю или ГуглПереводчику. Но это стоит того, поверьте.
Но сразу предостерегаю! Перед тем, как начать экспериментировать с плагином — СДЕЛАЙТЕ РЕЗЕРВНУЮ КОПИЮ САЙТА. На всякий случай. И вообще, делайте оные при любой возможности. Могут пригодиться.
UPDATE 10.09.2014: Какие галочки в настройках рекомендую проставить?
Поскольку всё на английском, выкладываю скриншот оптимальной расстановки галочек.
Не обязательно следовать этому слепо, но если нет желания вникать — пользуйся на здоровье.
А с вами был Доктор Лексиум
До новых встречь
Спасибо, плагин установила.Перевода и правда нет, но даже и переведя настраивать побоялась- подскажите , если можно, в настройках — галочки можно на все пункты поставить?
Все подряд пункты отмечать конечно не стоит. Примерный порядок расстановки галочек внёс в пост.
Спасибо за вопрос.
Здравствуйте! Почему то после установки и активации плагина в панели инструментов он не появился. В чем может быть причина?
Вариант 1. Плагин попал в панель инструментов и спрятался в раздел «Настройки», или в «Инструменты» или еще куда. Возможно он появился, но под другим названием.
Достаточно хорошо поискать.
Вариант 2. Плагин конфликтует с другими плагинами, темой или версией WP.
Проверятеся отключением остальных плагинов и временной установкой другой темы. Менять версию WP не имеет смысла.
Вариант 3 (ну мало ли). Ваша учетная запись, благодаря какому-нибудь хитрому расширению, не позволяет управлять этим конкретным плагином.
Устраняется назойливыми стенаниями и мольбами к админу.
Здравствуйте!
WP File Scan стал писать:
Error: Error retrieving the json file from server for the detected WordPress version: 4.3. Scan aborted
Хотя до этого сделал 2 удачные попытки санирования файлов.
Понимаю, что проблема в json файле, но где его искать и как исправить нигде не нашел.
Судя по всему проблема в настройках сервера. Проще отказаться от этой функции и использовать для сканирования что-нибудь другое.
Вносить правки в плагин занятие неблагодарное. При любом обновлении все ваши старания просто исчезнут, а отвязывать плагин от обновления тоже не лучшее решение по понятным причинам.