Будем защищать сайт WordPress с помощью плагина Semisecure Login Reimagined для надежного соединения. Сейчас мы с вами поговорим о защите администраторского доступа.
Если вы заходите в админку, то у вас возникает страница входа в административную панель сайта. Мы в ней пишем свой логин, пароль, нажимаем кнопку войти и заходим в администраторский раздел.
Однако, при передачи этих данных, возможна также и их утеря. То есть, с помощью специального скрипта, злоумышленники получают введенные вами данные и взламывают сайт.
Если мы зайдем на какой-нибудь серьезный портал, где требуется ввод логина и пароля (например, YouTube или электронная почта), то при входе в аккаунт, в адресной строке браузера появляется значок в виде замка.
А рядом надпись https. Это означает, что данное соединение происходит с помощью безопасного протокола.
Для того, чтобы установить такой протокол на свой сайт, это будет стоить больших денег. То есть, существует такая услуга у доменных регистраторов для того, чтобы обезопасить вход пользователя.
Однако опять же повторюсь — это очень дорогая услуга и для маленького небольшого блога она не представляется возможной.
Плагин Semisecure Login Reimagined
Для того, чтобы нам с вами защитить вход в административную часть WordPress, существует специальный плагин Semisecure Login Reimagined. Он конечно же, не является столь защищенным, как эти дорогие протоколы.
Однако он шифрует соединение с помощью специальных ключей. И таким образом, добавляет безопасность к нашей CMS.
Скачать плагин можете здесь.
После активации расширения переходите в меню «Параметры» в пункт «Semisecure Login«.
После входа вы окажитесь в разделе (1) Keypair Settings (Параметры ключей). Там увидите свой уже длинный сгенерированный ключ (4) для входа в административную панель.
Этот ключ вам запоминать не нужно. Он генерируется автоматически с помощью данного плагина и шифрует соединение.
В настройке Number of bits (5) можно выбрать степень защищенности. Здесь рекомендуют оставить на 2048 bits. Это оптимальный средний параметр между производительностью и защищенностью.
Так что оставляйте ключ на 2048 bits.
Force alt method (6) — предлагается альтернативный метод защиты. Нам его выбирать не нужно. Рядом приводятся те случаи, в которых данный ключ будет использован.
Это ставится автоматически, поэтому здесь ничего делать не нужно.
Далее нажимаем на кнопку «Generate Key» (7). Наш ключ сгенерирован. Теперь можно настроить плагин. Переходим в пункт «Misc Settings» (2).
- User login (8) — шифрует пароли при входе в систему. Галочка должна быть поставлена.
- User administration (9) — шифрует пароли при управлении пользователями (при редактировании пользователя или при создании нового).
- Secret-key algorithm (10) — здесь можно выбрать алгоритм секретного ключа. Я оставил по умолчанию на MARC4.
- Nonce (11) — используется для защиты от повторного входа. Я оставил по умолчанию Print directly.
В принципе здесь все нужно оставить по умолчанию, потому что выставлены более оптимальные настройки.
Теперь переходим в пункт Integration (3). Здесь можно выбрать дополнительные файлы, которые будут зашифрованы с помощью скрипта (13).
На данный момент у нас по умолчанию плагин шифрует файлы (12). А чтобы защитить еще какие-то файлы, то необходимо прописать строчки (13). Ниже показано как происходит шифрование (14).
В принципе по настройкам плагина здесь все.
Далее выйдите полностью из своего сайта. Или с помощью другого браузера, попробуйте зайти в административную панель своего сайта.
В форме авторизации вы увидите надпись Semisecure Login is enabled. То есть, вход в администраторскую зону WordPress защищен с помощью плагина Semisecure Login Reimagined.
Теперь при вводе логина и пароля, модуль осуществляет их передачу в зашифрованном виде. Напоследок хочу вам порекомендовать ознакомиться с комплексной защитой блога.
Спасибо за полезный плагин. Теперь в раздумьях. Я стараюсь уходить от многих плагинов из-за нагрузки, а этот вроде бы и поставила. Интересно- а защитит он от спама? Одолели уже спамеры. Ваш блог мне понравился, есть что почитать. Спасибо. Беру в закладки.
От спама он не защитит, только шифрует данные при вводе логина и пароля, чтобы никто не взломал блог и не вошел в панель управления. Против спама есть много плагинов, но я вам рекомендую ставить два — это Antispam Bee и Akismet.
Сергей! Спасибо, Вам. Один из них стоит Akismet. Про Antispam Bee нужно бы почитать и узнать, не знала про этот плагин. Вчера пришло около 100 писем со спамом, пришлось ручками чистить. Еще заметила, как только посещаемость на блоге растет и заходит много людей, активируются эти спамеры. Буду заходить. Я сама все стараюсь изучать, много сразу не доходит. У Вас доходчиво все, буду забегать. Много полезного. Удачи Вам и наращивания всех пузомерок. Все у Вас будет прекрасно!
Спасибо Людмила! Я пока еще не писал про защиту от спама, но в дальнейшем обязательно напишу, так как проблема очень актуальна. Чем выше популярность у блога или сайта, тем более он привлекателен для спамеров. Также я заметил, что у всех спамеров отсутствуют граватарки и в основном они по несколько раз спамят одну какую-то популярную статью.
А нагрузка не сильно из-за плагинов увеличивается? Я вот боюсь, как бы сайт медленно грузиться не стал. Хочется защититься от всех злоумышленников, но не в ущерб скорости загрузки.
Маргарита, я вам действительно рекомендую установить этот плагин Semisecure Login Reimagined на свой блог CMS WordPress! Очень нужный плагин! Нагрузку он как и все плагины дает, но нужно и иметь свою надежную защиту — как от спама, так и от взлома! Я рекомендую вам пройтись по всем своим плагинам и отключить те, которые не представляют очень большой важности и без которых можно обойтись на своем блоге. Ну а если есть дополнительные финансы, то лучим вариантом будет повышение тарифа услуг на своем хостинге. Все равно, рано или поздно придется его повысить, так как по мере роста будет все больше посетителей, а от сюда еще дополнительная нагрузка.
я вот поставила такой плагин, теперь админку открыть не могу!
Значит, он конфликтует с другим похожим плагином. У меня сейчас стоит этот плагин и проблем с ним нет.
Сейчас тоже в поисках плагина для защиты от спама и подбора паролей. Но и сами плагины нагружают сервер, поэтому палка на 2 концах )))
Да, плагины создают нагрузку. Но когда дело касается защиты, то плагинами и другими методами защиты лучше не пренебрегать!
Сереж привет! Продолжаю работу над блогом. Вопрос о защите. Хочу установить данный плагин и еще Login Dongle. Можно так сделать? Или что то одно лучше установить? А еще вопрос, вдруг я не смогу попасть в админку, что тада делать?
*********************
Хотела поменять кнопки социалок, но от яндекса они настолько мелкие, что я их сама с трудом различаю. У кого-то увидела похожие на твои со счетчиком. Там и код предлагали. Но у меня или ползет нижняя часть блога или этих кнопок нет вообще.
Лара, я бы рекомендовал установить iThemes Security. Хоть там очень много настроек, зато он надежнее в защите. *good* Если вдруг не сможешь попасть в админку блога, то нужно пробовать через FTP-клиент. Там вроде нужно изменить конфигурацию некоторых файлов. Например, htcacess. Но тут я тебе точно не опишу. Сам с этим никогда не сталкивался. Таких подобных проблем у меня не было.
На счет кнопок от Яндекса — согласен с тобой. Мелковаты они. :-( Да и выбор не большой. А у меня раньше стояли кнопки от Share42. Они мне так нравились, но с этими отрицательными отзывами решил их удалить. Сейчас по мне, так большие кнопки или маленькие, я разницы уже не вижу. Если человек захочет, то он всегда нажмет на кнопку, независимо, большая она или маленькая.
Попробуй зайти на блог с другого браузера. Просто, когда вносишь какие-то изменения, может отдаваться старая кэшированная страница. У меня такое тоже было, когда устанавливал код на свой блог. Тогда просто зашел с другого браузера и смотрел, как все изменилось в реальности.
*shock* блииин, чем дальше в лес, тем темнее и страшнее…и зачем я вообще связалась с этими сайтами *wacko* … фтп… коды… конфигурация и прочее, прочее…
Сереж, а у тебя он стоит? А чем те плохи? Слабенькие да? У Александра я знаю подробная инструкция есть, я читала, но ни фига не поняла.
Вот такой вопрос я себе тоже иногда задаю. Тоже напрягает все это лазенье по различным кодам, перебор различных тем и всякое такое. Очень много времени нужно на эту байду! *wacko*
Да, Лариса! На всех блога стоит. А те слабенькие. У них меньше возможностей. И один походу редко обновляется. Я их раньше использовал, но теперь удалил. У Александра я тоже читал про настройки. Скажу, с первого раза не осилил. Много всего. Но что ж поделаешь. Нужно же как-то защищать свои блоги.
Сереж, установила на новый сайт этот плагин, вышла из админки и капец, не могу зайти, при вводе пароля и логина чистый лист. (
Лариса, удаляй этот плагин. Он уже давно не поддерживается разработчиком. Надо будет потом статью мне обновить. Раньше он нормально работал (я проверял), а сейчас рискованно его использовать. Наверное конфликт с другими плагинами защиты возник или с новой версией. В общем, удаляй его через файловый менеджер хостинга.
Что мне пока можно установить? Посоветуй. Статей там пока кот наплакал, ему всего то полгода и кстати улетел под агс. Вот хочу его вытащить.
Сразу устанавливай:
Email Address Encoder
iThemes Security
TAC
Are you robot? google recaptcha for wordpress
Вот это основные плагины защиты. Есть много других, но некоторые не подходят, а некоторые я еще не пробовал устанавливать.
Сереж хотела у тебя через поиск найти про плагины, а мне 403 код выдает:
Вы не имеете доступа к / POISK / на этом сервере.
Наверное, iThemes Security блокирует. Попробуй Лариса с другого браузера зайти или воспользоваться страницей «Все статьи».
Лариса, не забудь еще скрыть свой логин на блоге. на эту тему можешь у меня на блоге почитать. Там два плагина нужно установить. Потом когда все сделаешь, то можешь их удалить.
Email Address Encoder вот он от чего? От спама, я правильно поняла? :-) Про него вообще не могу найти информацию, как устанавливать и нужно ли настраивать. Если он от спама, то у меня стоит анти спам.
В принципе, тоже от спама, но немного в другом смысле. Плагин Email Address Encoder скрывает все твои email на блоге. Скрывает он от ботов в исходном коде.
Вот бывает так, что ты пишешь открыто свой email на страницах контактов, в виджетах или в комментариях для посетителей. Чтобы этот адрес боты не обнаружили через исходный код, данный плагин кодирует адрес. Получается хаотичный набор символов вместо почты. Таким образом боты не узнают адреса и не буду слать спам или добавлять твою почту в какую-нибудь базу email адресов.
Сам плагин никаких настроек не имеет. Тебе его нужно просто установить и активировать. Какие-нибудь дополнительные действия предпринимать не нужно.
Ага, с этим ясно. Сегодня установлю. ТАС там тоже стоит, деактивировала его.
Are you robot? google recaptcha for wordpress вот он для чего? В смысле я понимаю, что он тоже вроде как от спама да? А как он защищает админку? Или не защищает? Вчера тоже искала, но нашла установку для комментариев кажется.
Ну а серьезная защита только секьюрити? Я в обмороке пока :-)
Если для серьезной защиты, то да, только серьезные плагины. Например iThemes Security + BulletProof Security + Wordfence Security.
Are you robot? google recaptcha for wordpress создает рекапчу от гугла. С помощью плагина ее можно поставить на страницу входа в админку или для комментариев. Я так ее ставлю только на страницу входа. Это опять же против ботов.
Уфф… *wacko* Сереж, а ты не планируешь написать пост вот по такой серьезной защите, вот прям от и до. Такой конкретный (для особо одаренных :-D )
Вот прямо про эту связку iThemes Security + BulletProof Security + Wordfence Security и усе по полочкам… *blush*
Не Лариса, пока не планирую. Плагины серьезные и содержат темный лес настроек. Слишком долго нужно разбираться и то, до конца все не изучишь. А вот как привязкой сделать, то тут 100% трудно описать. Просто у всех нас разные сервера и разные конфигурации. Поэтому у одного человека одна конфигурация настроек может подойти, а вот для другого может и нет. Тут нужно пробовать.
Я так сильно за защитой не гонюсь. Все равно на 100% не сделаешь. Главное, саму защиту не делать низкой. Вот тот комплект, что я тебе раньше приводил в комментариях, вполне подойдет. Ну а для продвинутых можно установить дополнительные плагины вроде BulletProof Security и Wordfence Security + еще какие-нибудь примочки. :-) Я Wordfence Security как-то один раз устанавливал, так мне не понравилось, что он создает слишком много таблиц в базе данных. Около 11 штук.
Я как посмотрел, да ну его! Удалил сразу. Там еще были предупреждения о нагрузке. Но это нужно правильно настраивать плагин. Разработчики говорят, что он может в 50 раз увеличить скорость загрузки сайта. Я так в это особо не верю. Хотя, кто его знает. Это нужно самому пробовать. В дальнейшем попробую с ним поработать. Но сейчас пока неахота браться за него. :-)
Я вчера тыкалась мыкалась, психанула и опять установила плагин лимита попыток, а он меня сразу бац и на 990 часов заблокировал *dash* Придется сегодня опять через хостинг лезть. *wacko* :-D