Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасности

Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасности
Параметра безопасности в плагине Security Ninja отлично защищают веб-сайт, но вы можете добавить пару параметров, чтобы укрепить безопасность веб-сайта ещё сильнее.

С данными параметрами Security Ninja может обеспечивать защиту уровня премиум-плагинов безопасности с файрволом на уровне сервера.

Чтобы применить изменения, необходимо добавить правила в wp-config.php и .htaccess и установить плагин.

В данной статье мы рассмотрим:

  1. Сделайте базовые параметра
  2. Настройте Security Ninja
  3. Какие тесты можно без проблем пропустить
  4. Установите плагин переноса страницы авторизации
  5. Добавьте правила в wp-config
  6. Добавьте правила в.htaccess
    • Базовый файрвол
    • Запретите доступ к логу отладки
    • Отключите доступ к ненужным файлам
    • Запретите доступ к PHP файлам
    • Запретите исполнение PHP файлов
    • Запретите доступ к папке wp-includes
    • Защитите веб-сайт от внедрения вредоносных скриптов
    • Заблокируйте вредоносные запросы
    • Добавьте защиту от непреднамеренных загрузок вредоносного кода
    • Отключите HTTP-трассировку
    • Добавьте защиту от некоторых типов XSS атак
    • Добавьте защиту от кликджекинга
    • Добавьте дополнительную фильтрацию символов
    • Добавьте мощный файрвол
    • Бонус. Отключите хотлинк изображений

Сделайте базовые параметра

  • Обновите WordPress, плагины и тему до последней версии,
  • Настройте автоматическое обновление ПО,
  • Используйте популярные и обновляемые темы и плагины,
  • Используйте сложные логины и пароли для аккаунтов, базы данных, е-мейла и веб-хостинга,
  • Не используйте одинаковое имя посетителя и логин,
  • Используйте SSL и FTPS.

Это самые первые параметра, которые рекомендуют сделать разработчики всех плагинов и сервисов безопасности.

  • Минимальная безопасность WordPress

Сделайте все параметра, кроме пункта 4. Установите плагин безопасности. Данные параметра есть в Security Ninja.

Настройте Security Ninja

У плагина Security Ninja более 40 параметров безопасности. Пройдите все параметра одна за одной и настройте как можно без труда больше.

  • Подробное описание Security Ninja Pro

Если вы пользуетесь плагином кеша, на время параметра его можно отключить.

Какие тесты можно без труда пропустить

В описании на странице с тестами написано, что данные предложения являются ориентирами, и все зеленые знаки не гарантируют, что веб-сайт не взломают, так же как и красные знаки не означают, что веб-сайт обязательно взломают.

Вкладка Security Tests в плагине Security Ninja Pro
Инструменты — Security Ninja Pro — Security Tests

Некоторые из данных тестов можно легко пропустить, если вы понимаете, что вы делаете.

Параметра Security Ninja. Можно без труда пропустить совместимость плагинов с последней версией WordPress, дату последнего обновления и неактивированную родительскую тему.
Последнее обновление плагинов не должно быть более 12 месяцев назадПлагины должны быть протестированы на совместимость с последней версией ВордпрессНа веб-сайте не должно быть деактивированных тем

Некоторые плагины могут быть обновлены более чем 12 месяцев месяцев назад, если вы отлично знаете данные плагины.

Некоторые плагины могли быть не проверены на совместимость с последней версией WordPress. Можно оставить красным, если вы знаете, что разработчик поддерживает плагин, и обновит его, если понадобится совместимость с последней версией.

Если деактивированная тема — это родительская тема, этот тест можно без проблем оставить красным.(Исправлено в версии 5.40)

Параметра Security Ninja. Можно легко пропустить влюченную директиву expose_php в файле php.ini
Директива expose_php в файле php.ini должна быть выключена

Если у вас нет файла php.ini, пропустите этот тест. Или создайте пустой php.ini и следуйте подсказке Details & Tips.

Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасности
Файловая структура веб-сайта

Файловая структура WordPress находится в открытом доступе. Хакеру заранее известно, где находится нужный файл или папка. Если вы дали файлам и папкам правильные разрешения и настроили запрет доступа к важным файлам и папкам в .htaccess, то они защищены. Но можно без проблем ещё настроить файловую структуру веб-сайта, так как тройная защита лучше, чем двойная. В этом примере это не сделано.

  • Как настроить структуру файлов и папок WordPress
Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасности
Директива allow_url_php в файле php.ini должна быть выключенаРедактор тем и плагинов в админке должен быть выключенПользователя с ID 1 не должно быть

Если у вас нет файла php.ini, пропустите этот тест. Или создайте пустой php.ini и следуйте подсказке Details & Tips.

Если вы пользуетесь редактором файлов в админке, можно пока пропустить этот тест.

Если у вас сложные логин и пароль и Логин и Имя посетителя различные, можно пропустить этот тест.

Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасности
Разрешения MySQL аккаунта

Доступ к базе данных должен быть защищен сильным паролем в wp-config.php. Файлу wp-config должны быть даны минимальные права доступа, он должен быть перенесен в иное место, и файловая структура веб-сайта может быть изменена. Доступ к базе данных должен быть настроен только с localhost.

Кроме этого, можно без труда дать MySQL аккаунту пониженные права, чтобы, если хакер попадет в базу данных, у него был минимум прав.

Установите плагин для переноса страницы авторизации

Для укрепления безопасности можно настроить адрес страницы входа в админку wp-login.php на другую. В Security Ninja 5.39 такой возможности нет.

На странице Cloud Firewall вы настроили запрет доступа к авторизации на веб-сайте. 633 млн. IP адресов занимаются вредоносной деятельностью, так что им запрещено авторизоваться на веб-сайте:

Облачный файрвол SecurityNinja Pro
633 млн. IP адресов находятся в черном списке0 IP адресов пыталось подобрать пароль на странице авторизации

Изменение страницы входа — простой и эффективный метод повысить безопасность веб-сайта. Хотя Security Ninja эффективно защищает страницу авторизации, для большей безопасности можно настроить ее адрес, например, на /entrypage или /login.html.

Это можно без проблем сделать вручную,

  • Как настроить адрес страницы входа в админку

или при помощи плагина WPS Hide Login:

Плагин WPS Hide Login

Придумайте адрес новой страницы авторизации. Настройте адрес, куда перенаправляется пользователь, если запрашивает страницу wp-login.php или wp-admin. Плагин отлично работает, при удалении очищает данные из базы данных.

Добавьте правила в wp-config

Wp-config.php — главный файл веб-сайта. В нем хранится информация о подключении к базе данных, префикс базы данных, секретные ключи и иные параметра.

  • Руководство по wp-config.php

Добавьте этот код в wp-config. Это правило дает всем файлам и папкам веб-сайта права 644 и 755:

Для некоторых файлов и папок можно легко установить более сильные ограничения:

  1. Корневая папка веб-сайта — /веб-сайт.ru/public_html/ — 750
  2. .htaccess — /веб-сайт.ru/public_html/.htaccess — 640
  3. wp-admin/ — /веб-сайт.ru/public_html/wp-admin — 750
  4. wp-admin/js/ — /веб-сайт.ru/public_html/wp-admin/js/ — 750
  5. wp-admin/index.php — /веб-сайт.ru/public_html/wp-admin/index.php — 640
  6. wp-content/ — /веб-сайт.ru/public_html/wp-content — 750
  7. wp-content/themes/ — /веб-сайт.ru/public_html/wp-content/themes — 750
  8. wp-content/plugins/ — /веб-сайт.ru/public_html/wp-content/plugins — 750
  9. wp-includes/ — /веб-сайт.ru/public_html/wp-includes — 750

Файл wp-config находится в корневой папке веб-сайта, дайте ему права доступа 400. Если веб-сайт стал недоступен, дайте 440.

Для большей безопасности можно легко перенести файл на один уровень вверх. Этот уровень недоступен из интернета.

  • Права доступа к файлам и папкам

Добавьте правила в.htaccess

.htaccess — конфигурационный файл сервера, который находится в корневой папке веб-сайта. Сервер читает записи в этом файле перед тем, как пропустить трафик к веб-сайту. По умолчанию в нем находится пару правил для работы с Постоянными ссылками.

.htaccess используется чтобы что-то куда-то перенаправлять, к примеру, с http -версиии на https, или что-то запрещать.

  • Редактирование .htaccess для безопасности WordPress

Этот содержимое доступен после оплаты

  • Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасности

    Дополнительные параметра Security Ninja Pro

    0 из 5
    350 руб.

Приобрести доступ

Подробнее

Вы добавите пару правил в файл .htaccess:

  • Базовый файрвол
  • Запретите доступ к логу отладки
  • Запретите доступ к PHP файлам
  • Запретите исполнение PHP файлов в папке uploads
  • Добавите защиту от внедрения вредоносных скриптов
  • Заблокируете вредоносные запросы
  • Добавите защиту от XSS-атак
  • Добавите мощный файрвол

И пару иных правил.

Бонус. Отключите хотлинк изображений

Чтобы изображения с веб-сайта не использовались на иных веб-сайтах, добавьте этот код:

Замените ваш-сайт в строке 6 на домен.

Читайте также:

  • Подробное описание Security Ninja Pro
  • Максимальная безопасность WordPress
  • Как изменить мощную защиту веб-сайта с файрволом на уровне сервера на основе бесплатной версии Sucuri Security

Надеюсь, статья была полезна. Оставляйте комментарии.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *