Tehnografi.com - Технологические новости, обзоры и советы
[adinserter block="67"]
Blogging

Как защитить сайт WordPress с помощью плагина безопасности SiteGround?

SiteGround — одна из самых популярных компаний для размещения веб-сайтов WordPress. У вас могут быть молниеносные веб-сайты с платформой Google Cloud и оптимизированной настройкой кэширования. Недавно они выпустили плагин SiteGround Security для защиты сайтов WordPress от вредоносных атак. В этой статье мы объясним, как защитить ваш сайт WordPress с помощью плагина SiteGround Security.

Почему плагин безопасности SiteGround?

У SiteGround уже был популярный плагин SG Optimizer для оптимизации скорости. Хотя существует более миллиона активных установок, SG Optimizer будет работать только с хостингом SiteGround и не будет работать с любым другим хостинг-провайдером. Однако плагин SiteGround Security является универсальным плагином, и вы можете установить его в любой хостинговой компании WordPress. Вы можете задаться вопросом, зачем использовать SiteGround Security, когда уже существует множество популярных плагинов безопасности, таких как Wordfence, iThemes Security и т. д.

  • К сожалению, не так много плагинов безопасности WordPress предлагаются полностью бесплатно. SiteGround Security — это полноценный бесплатный плагин без дополнительной продажи дополнительных функций. Хотя вы увидите ссылку для скачивания электронной книги, вам не нужно платить за это.
  • Многие плагины, такие как популярный бесплатный плагин безопасности All In One WordPress Security and Firewall (AIOWPS), требуют от вас понимания технических вещей для использования плагина. SG Security очень прост в настройке, и вы можете завершить настройку всего за несколько минут.
  • Хороший вариант для пользователей SiteGround в сочетании с SG Optimizer.
  • Такие функции, как отключение фида и монитора активности, полезно иметь в одном плагине.

    • Особенности плагина безопасности SiteGround

    Вот некоторые из важных функций, которые вы получите с плагином на этом этапе.

  • Отключите ленту WordPress, чтобы защитить свой сайт от кражи ненужного контента.
  • Защитите страницу входа, чтобы предотвратить атаку грубой силы.
  • Отслеживайте журналы активности, чтобы следить за тем, что происходит на вашем сайте.

    • Мы объясним полную информацию в следующих разделах. Несомненно, в будущем вы получите множество других функций, основанных на нашем опыте работы с плагином SG Optimizer.

    Установите плагин безопасности SiteGround

    Как уже упоминалось, вы можете использовать плагин SiteGround Security на любой установке WordPress. Это свободно доступный плагин в WordPress и репозиторий плагинов, и вы можете установить плагин из панели администратора, как и любые другие плагины.

    Установите плагин безопасности SiteGround в WordPress

    После установки и активации плагина перейдите в раздел «SG Security», чтобы настроить плагин. Плагин имеет следующие разделы, в которых вы можете перемещаться и настраивать различные параметры.

  • Приборная доска
  • Безопасность сайта
  • Безопасность входа
  • Журнал активности
  • Действия после взлома

    • Вы можете просто включить или выключить большинство параметров, в то время как некоторые параметры требуют дополнительных входных данных, таких как добавление пользовательского URL-адреса для входа.

    Меню безопасности SG

    Раздел панели инструментов

    Раздел панели инструментов покажет вам, есть ли какие-либо ожидающие действия по обеспечению безопасности. Например, вы увидите уведомление, если есть ожидающие обновления для плагинов, тем или ядра WordPress.

    Раздел панели инструментов

    Кроме того, в разделе панели инструментов будут отображаться быстрые ссылки для управления разделами безопасности и входа в систему, а также последние действия, происходящие на вашем сайте.

    Безопасность сайта

    В этом разделе предлагаются параметры защиты на уровне сайта, и мы рекомендуем включить все эти параметры для повышения безопасности.

  • Блокируйте и защищайте системные папки — это помогает предотвратить несанкционированный доступ к основным файлам WordPress и хостинга.
  • Скрыть версию WordPress — WordPress по умолчанию показывает версию, которую вы используете, в разделе заголовка ваших страниц с помощью метатега. Используя этот параметр, вы можете легко отключить метатег генератора в разделе заголовка, чтобы удалить версию WordPress. Это поможет защитить ваш сайт, особенно если вы используете более старые версии WordPress из-за каких-либо других причин совместимости.
  • Отключить редактор тем и плагинов — вы можете получить доступ к файлам тем и плагинов из панели администратора, выбрав «Внешний вид > Редактор тем» и «Плагины > Редактор плагинов» соответственно. В случае, если вы ошибочно предоставили кому-либо доступ к панели администратора, они могут легко редактировать вашу тему и файлы плагинов с помощью этих редакторов. Поэтому рекомендуется отключить их, особенно если вы ведете свой блог WordPress с несколькими авторами.
    • Раздел безопасности сайта
  • Отключить XML-RPC — XML-RPC — это механизм передачи данных, который WordPress использует для подключения сторонних приложений. Это самый популярный способ использования веб-сайтов WordPress, и вы можете отключить его с помощью этой опции.
  • Force HSTS — используйте это, чтобы заставить браузеры использовать вместо этого протокол HTTPS.
  • Отключить каналы — если вы не используете программу для чтения каналов, отключите все каналы WordPress RSS и ATOM, используя эту опцию. Плагин будет перенаправлять страницы ленты на родительскую страницу, когда эта опция включена.
  • Защита XSS — добавьте дополнительные заголовки для защиты вашего сайта от XSS-атак.
  • Удалить файл readme.html — это удалит файл readme.html по умолчанию, который вы можете просмотреть в браузере.

    • Безопасность входа

    В этом разделе вы можете защитить свою страницу входа в систему от вредоносных атак. Поскольку WordPress поставляется с общим URL-адресом для входа, вы можете использовать эти параметры для защиты своего сайта.

  • Измените URL-адрес входа, чтобы отключить значение по умолчанию и доступ из интерфейса браузера.
  • Белый список IP-адресов для входа в систему.
  • Включите двухфакторную аутентификацию, чтобы добавить дополнительный уровень безопасности для входа на ваш сайт.
  • Отключите часто используемые имена в качестве имен пользователей, например admin.
  • Ограничьте количество попыток входа, чтобы остановить автоматических ботов, пытающихся войти на ваш сайт со случайной комбинацией имени пользователя и пароля.
    • Раздел безопасности входа

    Чтобы изменить URL-адрес для входа, нажмите кнопку «Настроить» напротив этой опции. В появившемся всплывающем окне нажмите «Пользовательский» и введите слаг своей страницы входа. Нажмите кнопку «Подтвердить», чтобы сохранить изменения, и вы сможете использовать собственный URL-адрес для входа в следующий раз.

    Изменить URL-адрес входа

    Точно так же вы можете управлять доступом для входа, добавив свой IP-адрес в белый список в разделе «Доступ для входа».

    Управление IP-адресом входа

    Журнал активности

    Плагин SiteGround автоматически записывает все живые действия на вашем сайте. Действия включают доступ к странице, публикацию комментария, установку плагина и т. д.

  • Получите подробную информацию о том, является ли пользователь ботом или человеком.
  • Вы можете просмотреть отметку времени, IP-адрес и URL-адрес посещенной страницы.
  • См. код ответа HTTP с вашего сервера. Используя это, вы можете отслеживать события 404 и соответствующим образом настраивать перенаправления.
    • Раздел журнала активности
  • Вы можете нажать кнопку действий и просмотреть весь трафик с этого конкретного IP-адреса.
    • Управление IP-трафиком
  • Точно так же вы можете заблокировать IP-адрес, если подозреваете, что с этим IP-адресом что-то идет не так.
    • Заблокировать IP-адрес

    Действия после взлома

    Плагин также предлагает некоторые варианты восстановления после взлома, которые вы можете использовать после восстановления сайта после атаки.

  • Восстановите все ранее установленные бесплатные плагины из репозитория WordPress.
  • Заставить всех пользователей выйти из системы и принудительно сбросить пароль.
    • Действия после взлома

    Плагин SG Security поддерживает WP-CLI для основных функций. Вы можете использовать этот интерфейс командной строки для изменения параметров, таких как переключение параметров, не заходя в настройки панели администратора.

    Проблемы с безопасностью SiteGround

    Плагин прост в настройке и начинает защищать ваш сайт с момента активации на вашем сайте. Однако вот некоторые моменты, которые необходимо помнить при использовании плагина SiteGround Security.

  • Плагин будет предварительно установлен на всех установках WordPress с хостингом SiteGround. Это может раздражать вас, когда вы хотите использовать любой другой плагин. Всегда полезно дать пользователям возможность выбора, а не заставлять их использовать общий плагин.
  • Плагин будет создавать записи журнала в двух таблицах базы данных — и . По умолчанию журнал действий хранится в течение 12 дней, что может создать большой мусор, если на вашем сайте много действий. Во внешнем интерфейсе нет доступных опций для удаления журнала активности или контроля количества дней.
  • Есть некоторые ошибки, например, изменение URL-адреса для входа будет перенаправлять на страницы 404 при выходе из системы. В некоторых установках эта опция также не работает.
  • Есть некоторые недостающие параметры, которые вы можете получить с другими бесплатными плагинами.

    • Настройка SiteGround Security Pugin

    Как и в случае с любыми плагинами безопасности, вы также можете столкнуться с определенными проблемами с плагином SiteGround Security. К счастью, вот фрагменты кода, которые вы можете использовать для решения этих проблем. Вы можете добавить фрагмент в файл functions.php вашей темы, используя FTP или приложение File Manager из учетной записи хостинга.

    Используйте приведенный ниже код, если вы вышли из системы из-за пользовательского URL-адреса для входа.

    add_action(‘init’, ‘remove_custom_login_url’); function remove_custom_login_url() { update_option(‘sg_security_login_type’, ‘по умолчанию’); }

    Если вы вышли из системы при добавлении IP-адресов в белый список с возможностью входа в систему:

    add_action(‘init’, ‘remove_login_access_data’); function remove_login_access_data() { update_option(‘sg_login_access’, array()); }

    Используйте приведенный ниже код, если у вас возникли проблемы с функцией ограничения количества попыток входа в систему.

    add_action(‘init’, ‘remove_unsuccessfull_attempts_block’); function remove_unsuccessfull_attempts_block() { update_option(‘sg_security_unsuccessful_login’, array()); }

    Помните, что все эти фрагменты удалят изначально сохраненные настройки, такие как пользовательский URL, IP-адреса и заблокированные попытки входа в систему. Это способ получить доступ к вашей панели администратора, и вам нужно перенастроить эти настройки, как только вы окажетесь в панели администратора.

    Наконец, если вы обнаружите, что журналы активности увеличивают размер вашей базы данных, используйте приведенный ниже код, чтобы ограничить количество дней. 5 в коде указывает на пять дней жизни журналов, которые вы можете изменить в соответствии с вашими потребностями.

    add_filter(‘sgs_set_activity_log_lifetime’, ‘set_custom_log_lifetime’); функция set_custom_log_lifetime() {возврат ‘5’; }

    Заключительные слова

    SiteGround Security — это полноценный бесплатный плагин для защиты вашего сайта WordPress. Мы надеемся, что ребята из SiteGround не будут коммерциализировать этот плагин или позже изменят область только для пользователей хостинга SiteGround. Если они добавят дополнительные функции, такие как защита от спама в комментариях и другие оптимизации, плагин легко добьется огромного успеха.