Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасности

Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасностиНастройки безопасности в плагине Security Ninja очень хорошо защищают сайт, но вы можете добавить несколько настроек, чтобы укрепить безопасность сайта еще сильнее.

С этими настройками Security Ninja может обеспечивать защиту уровня премиум-плагинов безопасности с файрволом на уровне сервера.

Чтобы применить изменения, нужно добавить правила в wp-config.php и .htaccess и установить плагин.

Содержание:

  1. Сделайте базовые настройки
  2. Настройте Security Ninja
  3. Какие тесты можно пропустить
  4. Установите плагин переноса страницы авторизации
  5. Добавьте правила в wp-config
  6. Добавьте правила в .htaccess

Сделайте базовые настройки

  • Обновите Вордпресс, плагины и тему до последней версии,
  • Настройте автоматическое обновление ПО,
  • Используйте популярные и обновляемые темы и плагины,
  • Используйте сложные логины и пароли для аккаунтов, базы данных, е-мейла и хостинга,
  • Не используйте одинаковое имя пользователя и логин,
  • Используйте SSL и FTPS.

Это самые первые настройки, которые рекомендуют сделать разработчики всех плагинов и сервисов безопасности.

Сделайте все настройки, кроме пункта 4. Установите плагин безопасности. Эти настройки есть в Security Ninja.

Настройте Security Ninja

У плагина Security Ninja более 40 настроек безопасности. Пройдите все настройки одна за одной и настройте как можно больше.

Если вы пользуетесь плагином кеша, на время настройки его можно отключить.

Какие тесты можно пропустить

В описании на странице с тестами написано, что эти предложения являются ориентирами, и все зеленые знаки не гарантируют, что сайт не взломают, так же как и красные знаки не означают, что сайт обязательно взломают.

Вкладка Security Tests в плагине Security Ninja Pro
Инструменты — Security Ninja Pro — Security Tests

Некоторые из этих тестов можно пропустить, если вы понимаете, что вы делаете.

Настройки Security Ninja. Можно пропустить совместимость плагинов с последней версией Вордпресс, дату последнего обновления и неактивированную родительскую тему.
Последнее обновление плагинов не должно быть более 12 месяцев назад
Плагины должны быть протестированы на совместимость с последней версией Вордпресс
На сайте не должно быть деактивированных тем

Некоторые плагины могут быть обновлены более чем 12 месяцев месяцев назад, если вы хорошо знаете эти плагины.

Некоторые плагины могли быть не проверены на совместимость с последней версией Вордпресс. Можно оставить красным, если вы знаете, что разработчик поддерживает плагин, и обновит его, если понадобится совместимость с последней версией.

Если деактивированная тема — это родительская тема, этот тест можно оставить красным. (Исправлено в версии 5.40)

Настройки Security Ninja. Можно пропустить влюченную директиву expose_php в файле php.ini
Директива expose_php в файле php.ini должна быть выключена

Если у вас нет файла php.ini, пропустите этот тест. Или создайте пустой php.ini и следуйте подсказке Details & Tips.

Файловая структура сайта

Файловая структура Вордпресс находится в открытом доступе. Хакеру заранее известно, где находится нужный файл или папка. Если вы дали файлам и папкам правильные разрешения и настроили запрет доступа к важным файлам и папкам в .htaccess, то они уже защищены. Но можно еще изменить файловую структуру сайта, потому что тройная защита лучше, чем двойная. В этом примере это не сделано.

Директива allow_url_php в файле php.ini должна быть выключена Редактор тем и плагинов в админке должен быть выключен Пользователя с ID 1 не должно быть
Директива allow_url_php в файле php.ini должна быть выключена
Редактор тем и плагинов в админке должен быть выключен
Пользователя с ID 1 не должно быть

Если у вас нет файла php.ini, пропустите этот тест. Или создайте пустой php.ini и следуйте подсказке Details & Tips.

Если вы пользуетесь редактором файлов в админке, можно пока пропустить этот тест.

Если у вас сложные логин и пароль и Логин и Имя пользователя разные, можно пропустить этот тест.

Разрешения MySQL аккаунта

Доступ к базе данных должен быть защищен сильным паролем в wp-config.php. Файлу wp-config должны быть даны минимальные права доступа, он должен быть перенесен в другое место, и файловая структура сайта может быть изменена. Доступ к базе данных должен быть настроен только с localhost.

Кроме этого, можно дать MySQL аккаунту пониженные права, чтобы, если хакер попадет в базу данных, у него был минимум прав.

Установите плагин для переноса страницы авторизации

Для укрепления безопасности можно изменить адрес страницы входа в админку wp-login.php на другую. В Security Ninja 5.39 такой функции нет.

На странице Cloud Firewall вы настроили запрет доступа к авторизации на сайте. 633 млн. IP адресов занимаются вредоносной деятельностью, поэтому им запрещено авторизоваться на сайте:

Облачный файрвол SecurityNinja Pro
633 млн. IP адресов находятся в черном списке
0 IP адресов пыталось подобрать пароль на странице авторизации

Изменение страницы входа — простой и эффективный способ повысить безопасность сайта. Хотя Security Ninja эффективно защищает страницу авторизации, для большей безопасности можно изменить ее адрес, например, на /entrypage или /login.html.

Это можно сделать вручную,

или с помощью плагина WPS Hide Login:

Плагин WPS Hide Login

Придумайте адрес новой страницы авторизации. Настройте адрес, куда перенаправляется посетитель, если запрашивает страницу wp-login.php или wp-admin. Плагин хорошо работает, при удалении очищает свои данные из базы данных.

Добавьте правила в wp-config

Wp-config.php — главный файл сайта. В нем хранится информация о подключении к базе данных, префикс базы данных, секретные ключи и другие настройки.

Добавьте этот код в wp-config. Это правило дает всем файлам и папкам сайта права 644 и 755:

Для некоторых файлов и папок можно установить более сильные ограничения:

  1. Корневая папка сайта — /сайт.ru/public_html/ — 750
  2. .htaccess — /сайт.ru/public_html/.htaccess — 640
  3. wp-admin/ — /сайт.ru/public_html/wp-admin — 750
  4. wp-admin/js/ — /сайт.ru/public_html/wp-admin/js/ — 750
  5. wp-admin/index.php — /сайт.ru/public_html/wp-admin/index.php — 640
  6. wp-content/ — /сайт.ru/public_html/wp-content — 750
  7. wp-content/themes/ — /сайт.ru/public_html/wp-content/themes — 750
  8. wp-content/plugins/ — /сайт.ru/public_html/wp-content/plugins — 750
  9. wp-includes/ — /сайт.ru/public_html/wp-includes — 750

Файл wp-config находится в корневой папке сайта, дайте ему права доступа 400. Если сайт стал недоступен, дайте 440.

Для большей безопасности можно перенести файл на один уровень вверх. Этот уровень недоступен из интернета.

Добавьте правила в .htaccess

.htaccess — конфигурационный файл сервера, который находится в корневой папке сайта. Сервер читает записи в этом файле перед тем, как пропустить трафик к сайту. По умолчанию в нем находится несколько правил для работы с Постоянными ссылками.

.htaccess используется чтобы что-то куда-то перенаправлять, например, с http-версиии на https, или что-то запрещать.

Этот контент доступен после оплаты.

Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасности
Дополнительные настройки Security Ninja Pro
300 
Получить доступ

Вы добавите несколько правил в файл .htaccess:

  • Базовый файрвол
  • Запретите доступ к логу отладки
  • Запретите доступ к PHP файлам
  • Запретите исполнение PHP файлов в папке uploads
  • Добавите защиту от внедрения вредоносных скриптов
  • Заблокируете вредоносные запросы
  • Добавите защиту от XSS-атак
  • Добавите мощный файрвол

И несколько других правил.

Бонус. Отключите хотлинк картинок

Чтобы картинки с вашего сайта не использовались на других сайтах, добавьте этот код:

Замените ваш-сайт в строке 6 на ваш домен.

Читайте также:

Надеюсь, статья была полезна. Оставляйте комментарии.

Похожие записи

Ответить

Techbear