Šioje pamokoje apžvelgsime TOP5 geriausiai vertinamus ir plačiausiai naudojamus "Wordpress" įskiepius (angl. plugins), padedančius užtikrinti didesnį svetainės saugumą. Instrukciją, kaip įdiegti aktualų įskiepį, galite rasti šioje pamokoje.
Jeigu svetainėje naudojate "Wordfence Security" įskiepį, tuomet kituose įskiepiuose rekomendacija nejungti besidubliuojančių funkcijų, pvz., antros ugniasienės ar prisijungimų bandymų ribojimo.
1. Wordfence Security
Tai yra vienas populiariausių WordPress saugumo įskiepių, tinkantis svetainėms, kurioms reikia bendros apsaugos (plačiau). Pagrindinės funkcijos:
WordPress ugniasienė
Kenkėjiško kodo (angl. Malware) skenavimas
Failų tikrinimas
Brute-force apsauga
Prisijungimų ribojimas
Dviejų lygių autorizacija (2FA)
"Live Traffic" peržiūra
IP blokavimas
Rekomenduojami veiksmai:
Atidarykite Wordfence -> Dashboard.
Paleiskite pirmą svetainės skenavimą per Wordfence -> Scan.
Įjunkite ugniasienės optimizavimą per Wordfence -> Firewall.
Įjunkite 2FA (dviejų lygių autorizaciją) savo paskyrai per Login Security.
2. Really Simple Security
Šis įskiepis (anksčiau žinomas kaip "Realy Simple SSL") skirtas ne tik apsaugoti svetaines, kad šios būtų pasiekiamos saugiu ir šifruotu HTTPS ryšiu, apima ir daug daugiau kitų saugumo funkcijų (plačiau). Pagrindinės funkcijos:
SSL ir HTTPS aktyvavimas
301 HTTPS nukreipimai
WordPress saugumo stiprinimas
XML-RPC išjungimas
Naršymo per direktorijas išjungimas
Svetainės naudotojų vardų apsauga
Pažeidžiamumų tikrinimas
Prisijungimo apsauga
Dviejų lygių autorizacija (2FA) per el. paštą
Ugniasienė, HSTS, saugumo antraštės, prisijungimo URL keitimas.
Rekomenduojami veiksmai:
Po aktyvavimo paleiskite pradinį vedlį.
Įjunkite SSL/HTTPS tik tada, kai serveryje jau yra veikiantis SSL sertifikatas.
Patikrinkite Hardening skiltį.
Įjunkite bazinius nustatymus: XML-RPC išjungimą, naršymo per direktorijas (directory browsing) išjungimą, prisijungimo nuorodos slėpimą.
Administratoriui įjunkite 2FA.
3. WPS Hide Login
Įskiepis, leidžiantis keisti ir apsaugoti standartinę wp-login.php WordPress prisijungimo URL nuorodą arba wp-admin katalogą (plačiau). Pagrindinės funkcijos:
Pakeičia prisijungimo URL.
Nepakeičia WordPress branduolio failų.
Neperrašo core failų.
Tinka multisite aplinkoms.
Veikia su daugeliu login formą naudojančių įskiepių.
Rekomenduojami veiksmai:
Eikite į Settings > WPS Hide Login.
Laukelyje Login URL įrašykite naują prisijungimo kelią, pvz. mano-prisijungimas.
Išsaugokite nustatymus.
4. Limit Login Attempts Security
Šio įskiepio paskirtis - apsaugoti svetainės prisijungimo puslapį nuo brute-force tipo atakų. Pagrindinės funkcijos:
Ribojami nesėkmingi prisijungimo bandymai
Automatinis įtartinų IP adresų blokavimas
XML-RPC apsauga
WooCommerce prisijungimo apsauga
Dviejų lygių autorizacija (2FA)
Firewall tipo login apsauga
Leidžiamų ir blokuojamų IP adresų sąrašai
Pranešimai apie neautorizuotus bandymus jungtis į administravimą
Rekomenduojami veiksmai:
Pagrindiniuose nustatymus pakoreguokite pagal:
3-5 nesėkmingi bandymai iki blokavimo
15-30 min. pirmo blokavimo trukmė
Ilgesnis blokavimas po kelių pakartotinių bandymų
Įtraukite savo IP adresą į leidžiamųjų sąrašą (allowlist).
Įjunkite pranešimus administratoriui.
5. All-In-One Security AIOS
Tai platus saugumo įrankių rinkinys pradedantiesiems ir pažengusiems naudotojams.
Pagrindinės funkcijos:
Login apsauga
Dviejų lygių autorizacija (2FA)
Failų ir duomenų bazės apsauga
Failų pakeitimų stebėjimas
Ugniasienės (Firewall) taisyklės
Spam prevencija
Veiksmų istorija (Audit log)
Saugumo balo sistema
Baziniai, vidutiniai ir pažangūs nustatymai
Rekomenduojami veiksmai:
Atidarykite WP Security meniu.
Peržiūrėkite saugumo balą.
Pradėkite nuo Basic lygio nustatymų.
Įjunkite login bandymų ribojimą.
Įjunkite failų pakeitimų stebėjimą.
Vėliau atsargiai įjunkite firewall ir .htaccess taisykles.
Pastaba: prieš įjungiant ugniasienės (firewall) arba .htaccess taisykles, rekomenduojama sugeneruoti svetainės atsarginę kopiją.
Daugiau pamokų, susijusių su "Wordpress" turinio valdymo sistema ir jos administravimu, galite rasti mūsų pagalbus puslapyje, nuorodoje (Svetainių kūrimas -> Wordpress):