Будем улучшать защиту сайта WordPress с помощью плагина File Monitor Plus для мониторинга файлов. Каким образом чаще всего происходит взлом сайта?
Буквально любому хакеру достаточно прописать маленький код в файле внутри какой-нибудь вложенной папки вашего сайта. Сделает он это совершенно незаметно. Поэтому вы даже не будите знать о том, что какой-то вредоносный код включен в один из ваших файлов.
Для того, чтобы избежать этого, мы будем использовать один плагин для мониторинга файлов, который будет следить за сохранностью всех файлов на вашем блоге с движком WordPress.
Плагин File Monitor Plus
Скачать плагин File Monitor Plus можно здесь. После активации заходим в меню «Параметры» > «WordPress File Monitor». Там откроются все настройки.
1) метод запуска — метод запуска плагина. Оставляем этот параметр на WordPress Cron.
2) интервал сканирования — здесь можно указать, как часто данный плагин будет осуществлять сканирование файлов на наличие изменений. Чем чаще он будет проводить сканирование, тем больше будет нагрузка на сервер.
Поэтому я рекомендую ставить не более два раза в день.
3) уведомление по Email — поставьте Да и плагин будет уведомлять вас по почте о каких-либо изменениях в файлах.
4, 5) Email получателя и отправителя — вводите здесь свою электронную почту для получения уведомлений.
6) извещение в консоли — эта функция отвечает за вывод сообщений об изменениях файла на главной странице административной панели («консоль» > «главная»).
Как только вы заходите в панель администратора, в случае какого-нибудь происшествия, вас будут об этом извещать.
7) метод проверки — здесь можно выбрать метод проверки ваших файлов. В предыдущей версии плагина, можно было выбрать только один метод проверки. В версии Plus можно выбрать сразу все.
Если у вас на сайте небольшое количество посетителей, то можно выбрать все для более углубленной и надежной проверки.
8) корневая папка сайта — здесь должна указываться та корневая директория, в которой находиться ваш блог. С правой стороны приводиться пример по умолчанию. Плагин File Monitor автоматически определяет путь к корневой папке сайта.
9) исключить пути/файлы — в это окошко вписываются те папки, которые сканер не будет затрагивать.
Я здесь вписал папки wp-content/cache и wp-content/uploads — это те папки, файлы которых очень часто изменяются. Ведь мы все время что-то загружаем и все время кэшируется наш блог.
Также в этих папках нет каких-либо системных файлов. Поэтому их можно сюда вписать в качестве исключения для того, чтобы плагин не проверял их на наличие изменений.
Также я категорически не рекомендую сюда вписывать в качестве исключения папку с вашими плагинами. Ведь потом будет легко залезть в программные файлы какого-нибудь плагина и внести изменения, о которых вы не узнаете.
Поэтому лучше лишний раз это письмо (извещение о изменении файла) удалить, чем пропустить какую-то атаку.
Также здесь есть такой момент, что многие плагины не проверяются на защищенность.
Например, какой-то программист пишет плагины, но не уделяет должного внимания их защите. Если на первый взгляд все плагины стабильно работают, то опять же какой-то злоумышленник сможет внести изменения в код, и вы об этом не узнаете.
Поэтому в это окно вписывать папку с плагинами я не рекомендую.
10) сканирование по типу файлов — здесь можно сканировать различные типы файлов, а ниже можно прописать необходимые типы. Я лично пока отключил этот параметр, так как в основном это файлы изображений.
Итак, после всех настроек нажмите на кнопку (11) «Сохранить настройки» и затем протестируйте плагин File Monitor Plus, нажав на кнопку (12) «Сканировать вручную«. Если все нормально, то вы должны получить уведомления на почту и в административной панели блога.
Теперь вы знаете о таком способе защиты сайта WordPress, как мониторинг файлов. Однако, кроме мониторинга, а рекомендую осуществлять комплексную защиту блога.
