Настройки безопасности в плагине Security Ninja очень хорошо защищают сайт, но вы можете добавить несколько настроек, чтобы укрепить безопасность сайта еще сильнее.
С этими настройками Security Ninja может обеспечивать защиту уровня премиум-плагинов безопасности с файрволом на уровне сервера.
Чтобы применить изменения, нужно добавить правила в wp-config.php и .htaccess и установить плагин.
Содержание:
- Сделайте базовые настройки
- Настройте Security Ninja
- Какие тесты можно пропустить
- Установите плагин переноса страницы авторизации
- Добавьте правила в wp-config
- Добавьте правила в .htaccess
- Базовый файрвол
- Запретите доступ к логу отладки
- Отключите доступ к ненужным файлам
- Запретите доступ к PHP файлам
- Запретите исполнение PHP файлов
- Запретите доступ к папке wp-includes
- Защитите сайт от внедрения вредоносных скриптов
- Заблокируйте вредоносные запросы
- Добавьте защиту от непреднамеренных загрузок вредоносного кода
- Отключите HTTP-трассировку
- Добавьте защиту от некоторых типов XSS атак
- Добавьте защиту от кликджекинга
- Добавьте дополнительную фильтрацию символов
- Добавьте мощный файрвол
- Бонус. Отключите хотлинк картинок
Сделайте базовые настройки
- Обновите Вордпресс, плагины и тему до последней версии,
- Настройте автоматическое обновление ПО,
- Используйте популярные и обновляемые темы и плагины,
- Используйте сложные логины и пароли для аккаунтов, базы данных, е-мейла и хостинга,
- Не используйте одинаковое имя пользователя и логин,
- Используйте SSL и FTPS.
Это самые первые настройки, которые рекомендуют сделать разработчики всех плагинов и сервисов безопасности.
Сделайте все настройки, кроме пункта 4. Установите плагин безопасности. Эти настройки есть в Security Ninja.
Настройте Security Ninja
У плагина Security Ninja более 40 настроек безопасности. Пройдите все настройки одна за одной и настройте как можно больше.
Если вы пользуетесь плагином кеша, на время настройки его можно отключить.
Какие тесты можно пропустить
В описании на странице с тестами написано, что эти предложения являются ориентирами, и все зеленые знаки не гарантируют, что сайт не взломают, так же как и красные знаки не означают, что сайт обязательно взломают.

Некоторые из этих тестов можно пропустить, если вы понимаете, что вы делаете.

Плагины должны быть протестированы на совместимость с последней версией Вордпресс
На сайте не должно быть деактивированных тем
Некоторые плагины могут быть обновлены более чем 12 месяцев месяцев назад, если вы хорошо знаете эти плагины.
Некоторые плагины могли быть не проверены на совместимость с последней версией Вордпресс. Можно оставить красным, если вы знаете, что разработчик поддерживает плагин, и обновит его, если понадобится совместимость с последней версией.
Если деактивированная тема — это родительская тема, этот тест можно оставить красным. (Исправлено в версии 5.40)

Если у вас нет файла php.ini, пропустите этот тест. Или создайте пустой php.ini и следуйте подсказке Details & Tips.

Файловая структура Вордпресс находится в открытом доступе. Хакеру заранее известно, где находится нужный файл или папка. Если вы дали файлам и папкам правильные разрешения и настроили запрет доступа к важным файлам и папкам в .htaccess, то они уже защищены. Но можно еще изменить файловую структуру сайта, потому что тройная защита лучше, чем двойная. В этом примере это не сделано.

Редактор тем и плагинов в админке должен быть выключен
Пользователя с ID 1 не должно быть
Если у вас нет файла php.ini, пропустите этот тест. Или создайте пустой php.ini и следуйте подсказке Details & Tips.
Если вы пользуетесь редактором файлов в админке, можно пока пропустить этот тест.
Если у вас сложные логин и пароль и Логин и Имя пользователя разные, можно пропустить этот тест.

Доступ к базе данных должен быть защищен сильным паролем в wp-config.php. Файлу wp-config должны быть даны минимальные права доступа, он должен быть перенесен в другое место, и файловая структура сайта может быть изменена. Доступ к базе данных должен быть настроен только с localhost.
Кроме этого, можно дать MySQL аккаунту пониженные права, чтобы, если хакер попадет в базу данных, у него был минимум прав.
Установите плагин для переноса страницы авторизации
Для укрепления безопасности можно изменить адрес страницы входа в админку wp-login.php на другую. В Security Ninja 5.39 такой функции нет.
На странице Cloud Firewall вы настроили запрет доступа к авторизации на сайте. 633 млн. IP адресов занимаются вредоносной деятельностью, поэтому им запрещено авторизоваться на сайте:

0 IP адресов пыталось подобрать пароль на странице авторизации
Изменение страницы входа — простой и эффективный способ повысить безопасность сайта. Хотя Security Ninja эффективно защищает страницу авторизации, для большей безопасности можно изменить ее адрес, например, на /entrypage или /login.html.
Это можно сделать вручную,
или с помощью плагина WPS Hide Login:

Придумайте адрес новой страницы авторизации. Настройте адрес, куда перенаправляется посетитель, если запрашивает страницу wp-login.php или wp-admin. Плагин хорошо работает, при удалении очищает свои данные из базы данных.
Добавьте правила в wp-config
Wp-config.php — главный файл сайта. В нем хранится информация о подключении к базе данных, префикс базы данных, секретные ключи и другие настройки.
Добавьте этот код в wp-config. Это правило дает всем файлам и папкам сайта права 644 и 755:
Для некоторых файлов и папок можно установить более сильные ограничения:
- Корневая папка сайта — /сайт.ru/public_html/ — 750
- .htaccess — /сайт.ru/public_html/.htaccess — 640
- wp-admin/ — /сайт.ru/public_html/wp-admin — 750
- wp-admin/js/ — /сайт.ru/public_html/wp-admin/js/ — 750
- wp-admin/index.php — /сайт.ru/public_html/wp-admin/index.php — 640
- wp-content/ — /сайт.ru/public_html/wp-content — 750
- wp-content/themes/ — /сайт.ru/public_html/wp-content/themes — 750
- wp-content/plugins/ — /сайт.ru/public_html/wp-content/plugins — 750
- wp-includes/ — /сайт.ru/public_html/wp-includes — 750
Файл wp-config находится в корневой папке сайта, дайте ему права доступа 400. Если сайт стал недоступен, дайте 440.
Для большей безопасности можно перенести файл на один уровень вверх. Этот уровень недоступен из интернета.
Добавьте правила в .htaccess
.htaccess — конфигурационный файл сервера, который находится в корневой папке сайта. Сервер читает записи в этом файле перед тем, как пропустить трафик к сайту. По умолчанию в нем находится несколько правил для работы с Постоянными ссылками.
.htaccess используется чтобы что-то куда-то перенаправлять, например, с http-версиии на https, или что-то запрещать.
Бонус. Отключите хотлинк картинок
Чтобы картинки с вашего сайта не использовались на других сайтах, добавьте этот код:
Замените ваш-сайт
в строке 6 на ваш домен.
Читайте также:
- Подробное описание Security Ninja Pro
- Максимальная безопасность Вордпресс
- Как настроить мощную защиту сайта с файрволом на уровне сервера на основе бесплатной версии Sucuri Security
Надеюсь, статья была полезна. Оставляйте комментарии.