BulletProof Security (BPS) – пуленепробиваемая защита для WordPress

Защита сайта, построен ли он на WordPress, Joomla или иной CMS - это первостепенная задача для всех владельцев интернет-ресурсов, веб-мастеров и блогеров. Но многие считают, что если их сайт или блог еще совсем молод и малопосещаем, то и интереса для злоумышленников он никакого не представляет. Это очень ошибочное мнение!

Да, скорее всего, целенаправленно такой блог никто "взламывать" не будет. Но основная масса атак проходят в автоматическом режиме, и для злоумышленников представляет интерес абсолютно любой сайт или блог. Потому что, "взломав" его, сайт может стать либо частью ботнета, либо распространителем вредоносного кода, либо распространителем ссылок с сапы и т.п.. И сегодняшним постом я хочу открыть целый цикл статей, по защите WordPress-блогов. Ведь этот вопрос стал еще более актуальным, после того, как многие узнали о массовых брутфорс-атаках на WordPress, которые в недавнем времени были просто критическими.

Плагин BPS - максимальная защита вашего блога

А речь в этой статье пойдет об очень мощной и действенной защите блога посредством плагина BulletProof Security (BPS).

На самом деле, самым мощным средством для защиты WordPress, я считаю (да и не только я) плагин Better WP Security (с недавних пор он называется iThemes Security). Но сегодняшняя статья не о нем, потому что о BWS в сети уже очень много достойной информации (хорошие мануалы по нему есть у Дмитрия, на блоге ideafox.ru). И я тоже о нем напишу статью, но позже.

Герой же данной статьи чуть менее функционален, чем BWS, но от этого не менее действенный. А в сочетании, они вообще становятся "неприступной крепостью" для Вашего блога.

Теоретическая часть и обзор плагина BulletProof Security (BPS)

Основной функционал плагина осуществляется путем создания специфичных правил в файлах .htaccess. BPS создает .htaccess-файл не только для корневой директории, но и защищает директорию wp-admin, а также многие другие важнейшие файлы блога.

Перед тем, как приступить к подробному описанию возможностей плагина, давайте немного ознакомимся с теоретической частью.

.htaccess-защита является одним из самых приоритетных направлений по обеспечению безопасности интернет-ресурсов. И объяснение этому очень простое. Все дело в том, что эти файлы обрабатываются в самую первую очередь. И только затем обрабатывается весь остальной код сайта. Таким образом, благодаря четко прописанным правилам в этом файле, можно явно указать, что обрабатывать, что запрещать, и, как и кому это все показывать. К тому же, правила могут изолировать вредоносный код, даже если он присутствует на сайте, потому что его исполнение блокируется на самом раннем этапе.

Собственно, BulletProof Security создает свои собственные .htaccess-файлы с четким набором правил, и заменяет стандартный корневой .htaccess-файл. Также плагином предусмотрено добавление собственных правил во вновь созданные файлы. Но об этом ниже.

Специалисты по сетевым технологиям, *nix-ам и по веб-серверам, в частности, могут обойтись и без плагина, прописывая все правила вручную. Но далеко не все блогеры являются спецами в этих областях, поэтому целесообразней будет воспользоваться помощью плагинов. К тому же, BPS практически не несет никакой нагрузки на сервер, ведь он всего лишь создает собственные файлы .htaccess.

Важно!Файлы .htaccess, на которых базируется защита, осуществляемая BPS, характерны в первую очередь для веб-серверов Apache, которые работают на ОС Linux. На серверах nginx этот плагин будет работать только в том случае, если nginx работает под управлением Apache. А на серверах под управлением Windows – этот плагин работать не будет (за некоторыми исключениями).

Поэтому, перед тем, как устанавливать BulletProof Security, проверьте конфигурацию сервера вашего хостинга (или поинтересуйтесь об этом у самого хостера). По этой же причине, BPS не работает на локальных серверах, таких как Denwer, Open Server и пр., которые работают поверх Windows. Помните это, и ставьте плагин сразу на хостинг.

Итак, теперь самое время перейти к описанию возможностей BulletProof Security. Весь функционал плагина можно разделить на две категории: основная защита посредством .htaccess  и безопасность авторизации + мониторинг параметров.

Основная защита посредством .htaccess-файлов:

  • установка собственных .htaccess-файлов "в один клик", осуществляемая через "приборную панель" (Dashboard);
  • защита от атак типа XSS, RFI, CRLF, CSRF, Base64, внедрения кода и SQL-инъекций;
  • резервное копирование и восстановление файлов .htaccess;
  • блокировка злоумышленников по IP-адресу, посредством .htaccess;
  • ведение собственного журнала безопасности (логов);
  • прописывает анти-спам правила, которые совместимы с Akismet, и другими плагинами против спама, т.е. обеспечивается дополнительная защита от спамеров;
  • закрывает уязвимость TimThumb – темы, которые часто обновляются, эту "дырку" уже закрыли, но если используется давно не обновляемая тема, то может быть всякое;
  • встроенный редактор .htaccess файлов, загрузка и скачивание этих файлов из панели плагина (не заходя ни в ПУ хостинга, ни через FTP);
  • возможность добавлять собственный код в файлы .htaccess, также через панель самого плагина;
  • защита файлов wp-config.php, bb-config.php, php.ini, php5.ini, install.php и readme.html;
  • проверка и рекомендации по правам доступа к файлам и папкам;
  • включение Maintenance Mode (режима разработчика), т.е. если вы проводите на сайте какие-то глобальные работы, то включив этот режим, посетителям можно закрыть к нему доступ, и поставить специальную "заглушку", в которой можно написать, что на сайте ведутся работы и т.п.;
  • и многие другие полезные функции...

Безопасность авторизации и мониторинг параметров:

  • защита от брутфорс-атак на админку WordPress;
  • настройка уведомлений по e-mail о попытках подбора паролей, неправильного логина и т.д.
  • настройка сообщений (или их отключение) о неудачном вводе пароля/логина;
  • и прочие возможности...

Очень неплохой функционал, я считаю. А главное, один этот плагин может заменить несколько более простых (но и более требовательных к ресурсам) плагинов.

Теперь самое время перейти к самому главному – к настройкам.

Установка и настройка плагина BulletProof Security (BPS)

Установка плагина производится как обычно. Можете скачать плагин с официального репозитория, или же установить его прямо из админки. Кстати, на момент написания статьи, на сайте wordpress.org этот плагин имеет рейтинг 4,8 из 5, а количество скачиваний превышает 785 тысяч (за сутки его скачивают не менее тысячи раз). Это очень хорошая статистика, учитывая то, что плагин относительно "молодой".

После установки и активации плагина, в самой верхней части админки мы увидим огромное уведомление о том, что наш сайт еще не защищен плагином  BulletProof Security. Что ж, не будем медлить, и пройдем по первой ссылке в этом самом уведомлении, которая ведет на страницу состояния защиты. Сразу скажу, что такое уведомление может появляться и в будущем, если по какой-то причине настройки защиты будут изменены.

Первичное уведомление об отсутствии защиты

После того, как мы перейдем по ссылке, то окажемся в панели управления плагином, а конкретно, на вкладке "Состояние безопасности". В панель настроек мы также можем в любое время попасть из основного меню админки, на вкладке "BPS Security".

Вообще, BulletProof Security частично переведен на русский язык, и это облегчает и без того не сложную настройку.

Итак, на этой вкладке мы видим четыре окна, в каждом из которых никаких настроек нет, а есть только информация о том, что конкретно нуждается в корректировке, а что нет. Критические моменты выделены красным цветом. Сразу скажу, что у Вас выделенное красным может отличаться от того, что выделено у меня. Это зависит от многих факторов, например, от хостинга, от того, используются ли другие плагины безопасности и т.п. Но некоторые моменты будут у всех одинаковые.

После установки плагина на абсолютно "чистый" блог, состояние безопасности у меня выглядит так:

Вкладка "Состояние безопасности"

Первое окно - "Задействованные .htaccess файлы BulletProof Security". Здесь мы видим, несколько "зеленых" строк, и несколько "красных". Когда мы настроим плагин, все здесь будет только зеленым. Пока же особого внимания не обращаем, просто прочитаем, что там написано, и идем дальше, точнее вниз.

Следующая область – это "Права доступа к файлам и папкам - CGI или DSO". Информация, имеющаяся здесь очень важна, поскольку если права на папки и файлы выставлены неправильно, то это несет в себе большую угрозу. Как мы видим, в первой колонке перечислены основные файлы, права для которых критичны. Далее – путь к ним. И последние две колонки – это:

  • Рекомендуемые права доступа;
  • Текущие права доступа.

Рекомендуемые права могут отличаться от тех, что представлены на скриншоте, и зависят они от хостинга (точнее от конфигурации веб-сервера). А вот на текущие права стоит обратить особое внимание. Они должны быть равны или меньше, чем рекомендуемые. Но ни в коем случае НЕ выше! То есть, если рекомендуемые права 755, а текущие 700 – это нормально. Но если же рекомендуются права 644, а по факту 666, то их необходимо сменить!

Рекомендую сразу же назначить права (атрибуты), как рекомендуется в таблице. Изменить права на папки и файлы можно через файловый менеджер вашего хостинг-провайдера, или через FTP-клиент. В этой статье процедуру я описывать не буду, но если нужна помощь, спрашивайте, подскажу.

Сделали? Перемещаемся дальше, к окошку "Дополнительные меры по защите сайта". Здесь даются очень важные рекомендации по безопасности, но, к сожалению, сам плагин исправить их может не все. Зато Better WP Security справляется с подобными задачами на ура. Также, все эти рекомендации можно осуществить вручную. В общем, здесь тоже все должно быть в итоге зеленым цветом (или некоторые строки – черным).

И последнее окно "Стандартная проверка наличия файлов безопасности". Поначалу здесь очень много строк, выкрашенных в красный цвет. Это говорит о том, что некоторые нужные для плагина файлы еще не созданы (File not found). Также не обращаем пока что внимание на это, потому как нам еще предстоит создать эти необходимые файлы.

К вкладке "Состояние безопасности" мы еще вернемся на самом заключительном этапе, когда все настройки будут произведены. К тому моменту, красных строк мы здесь видеть не должны.

А сейчас переходим на вкладку "Режимы безопасности". Первым делом здесь нужно воспользоваться т.н. функцией AutoMagic, которая автоматически создает базовые htaccess-файлы специально для вашего блога.

Automagic-кнопки BPS

В большинстве случаев, плагин предложит создать базовые файлы из первой колонки. О чем и будет написано: "Используйте эти AutoMagic-кнопки для вашего сайта в случае обычной установки WP". Поочередно нажимаем на эти кнопки: сначала "Создать файл default.htaccess", затем "Создать файл secure.htaccess".

Важно!После каждой манипуляции, над вкладками появляются различные уведомления о проделанной работе. Обязательно читайте, что в них написано. Это облегчит понимание работы плагина.

Теперь необходимо создать резервные копии только что созданных файлов. Для этого, перемещаемся на вкладку "Резервные копии", и проделываем следующее:

  • отмечаем пункт "Создать резервную копию файлов .htaccess";
  • нажимаем кнопку "Backup Files";
  • отмечаем пункт "Создать резервные копии базовых .htaccess-файлов BPS";
  • нажимаем "Backup Master Files".

Создание резервных копий htaccess-файлов

На этой же вкладке, ниже, находится окно "Наличие резервных копий файлов .htaccess", где указано, какие файлы созданы, а какие еще нет (используется также зеленый и красный цвет). На данном этапе несколько строк еще могут быть красными. Но мы это исправим позже. А сейчас вновь возвращаемся на вкладку "Режимы безопасности".

Здесь нужно поочередно выбрать для всех четырех режимов "Режим Bulletproof", и понажимать кнопки Activate. Сделали? Теперь обратите внимание на самый верх страницы админки. Помните, где было большое уведомление о том, что сайт не защищен плагином BulletProof Security? Теперь этого уведомления нет, а, следовательно, блог уже защищен. Там еще присутствует уведомление о том, что защита от брутфорс-атак не включена. Но мы ее включим чуть позже (для этого, в качестве бонуса, нам предлагается специальный код для .htaccess)

Собственно, это почти все. Теперь зайдите на вкладку "Состояние безопасности", и проверьте, все ли там в порядке.

Вот так, незамысловато, понажимав несколько кнопочек, мы обеспечили очень достойную защиту своему блогу. Статья получилась весьма объемной (у меня всегда так =)), хотя можно было бы все описать гораздо короче. Но я хочу, чтобы вы понимали, что именно делает этот плагин, и как он работает, а не просто "потыкали кнопочки".  А дальше мы рассмотрим еще и дополнительный функционал.

Дополнительные возможности плагина BulletProof Security (BPS)

На вкладке "Журнал безопасности" находятся логи, которые ведет плагин. Он фиксирует ответы сервера 400, 403 и 404. Если Вам не нужны эти логи (к тому же, ведение журнала вызывает некоторую нагрузку на сервер), то можете отключить эту функцию, нажав на кнопку "Turn Off Error Logging". Что, собственно, я и рекомендую сделать. Тем более, если BPS используется в связке с Better WP Security, т.к. в нем тоже есть эта функция. Зачем дублировать?

Журнал безопасности плагина

Вкладка "Сведения о системе". Здесь представлена информация о конфигурации сервера, PHP, SQL и пр.. Особого интереса и пользы эта информация не имеет, т.к. она обычно доступна и из других источников (в панели управления хостингом, например).

"Правка/Загрузка/Скачивание" – очень интересная и полезная вкладка. Здесь можно просмотреть все созданные плагином .htaccess-файлы. Можно подробно ознакомиться со всеми прописанными правилами, а также внести в них изменения. Также, в правой части, тут находятся такие функции, как загрузка и скачивание .htaccess файлов.

Загрузить можно не только ранее скачанные специфические файлы данного плагина, но и любые другие файлы со своего компьютера. Для чего это нужно? Просто суть такова, что все загруженные файлы помещаются в папку "BPS Master htaccess" (/wp-content/plugins/bulletproof-security/admin/htaccess), а данная директория защищена плагином. Следовательно, ко всем загруженным в нее файлам, доступа извне не будет.

Если честно, даже не знаю, стоит ли пользоваться этой функцией. Хотя, какие-то важные служебные файлы можно и поместить в эту папку, для хранения.

Ниже идет раздел скачивания файлов. Скачать можно резервные копии и базовые .htaccess-файлы. Но существует один нюанс. Прежде, чем их скачать, необходимо добавить свой IP-адрес в список разрешенных для скачивания. Для этого и существуют две кнопки: "Enable Master File Downloading" и "Enable Backed Up Downloading".

Без активации этого режима скачать файлы не получится. Кроме того, если у Вас динамический IP-адрес, то перед каждым скачиванием нужно заново нажимать на эти кнопки. Хотя, это и не понадобится. Ведь скачивать эти файлы, по идее, нужно всего один раз, в самом начале пользования плагином. Ну, так, на всякий случай.

На вкладке "Пользовательский код" можно добавлять свои собственные правила для корневого .htaccess и htaccess-файла папки wp-admin. И делать это желательно именно здесь, а не на вкладке "Правка/Загрузка/Скачивание". Потому что, прописанные здесь правила сохраняются даже после обновления плагина (а обновляется он очень часто).

"Режим обслуживания" – это так называемый Maintenance Mode. Его целесообразно активировать во время глобальных или плановых работ по сайту, чтобы посетители не видели сайт в не самом лицеприятном виде. Обычно для этого используются отдельные плагины, или делается это вручную. Но с BulletProof Security надобность в дополнительных плагинах отпадает.

При активированном режиме обслуживания все посетители сайта будут видеть нечто подобное:

Активированный "Режим обслуживания"

Фоновое изображение, а также уведомляющий текст, естественно, можно менять по своему усмотрению. Одно плохо – у меня почему-то не поддерживается кириллица.

Итак, чтобы активировать режим обслуживания, необходимо проделать некоторые несложные манипуляции:

  1. Заполнить все поля (Заголовок сайта, Сообщение 1, Сообщение 2 и т.д.);
  2. Поле "Фоновое изображение" можете оставить пустым, а можете скопировать ссылку, которая находится правее. Также можете добавить собственный фон;
  3. Сохраните форму кнопкой "Save Form Settings";
  4. Создайте эту форму (кнопка "Create Form"), и можете сразу же посмотреть, как она будет выглядеть ("Preview Form");
  5. Создайте специальный htaccess-файл ("Create htaccess File");
  6. И последнее – отметьте пункт "Режим обслуживания" и нажмите "Включить режим обслуживания".

Настройка режима обслуживания

Все, теперь Maintenance Mode активирован, и вы можете производить работы со своим сайтом, а посетители будут видеть только специальную заглушку.

Следующие вкладки особого интереса уже не представляют, поэтому "пробежимся" по ним быстренько:

  • Справка и FAQ, Что нового, Особенности BPS Pro – здесь все понятно без пояснений;
  • Мои заметки – здесь можно оставлять любые текстовые заметки или фрагменты кода. Эдакий внутренний мини-блокнот;
  • Сканер сайтов – ссылка на очень полезный сервис, который почему-то не очень популярен у нас. Предоставляется он компанией Sucuri (очень известная контора по ИБ). Собственно, пройдя по ссылке, можно проверить сайт на наличие вредоносного кода;
  • Website SEO – это уже обычная реклама сайта ThemesPlugins.com, а также пиар книги по SEO, с возможностью скачать демо-версию (на англ.языке)

Ну, и последнее, на чем хочется заострить внимание – это защита страницы авторизации. Чтобы активировать и сконфигурировать эту функцию, необходимо открыть в боковом меню админки вкладку "BPS Security", и выбрать пункт "Login Security".

Сразу оговорюсь, если вы используете плагин Better WP Security, и активировали в нем подобную функцию, то смысла включать ее в BPS нет. Нужно выбрать что-то одно – или в BPS, или в BWS. А вот если вы используете плагины, наподобие Login LockDown, то советую от них отказаться. Ведь зачем иметь отдельный плагин (тем паче тот, который не обновлялся уже более двух лет), когда эта же функция имеется в комплексных плагинах безопасности?

Настроить этот модуль я рекомендую следующим образом:

  • Max Login Attempts, Automatic Lockout Time, Manual Lockout Time, Max DB Rows To Show – оставляйте все как есть, это оптимальные настройки;
  • Turn On/Turn Off – именно здесь включается или отключается данный модуль. Раз уж мы рассматриваем этот функционал, значит мы хотим его активировать – выбираем "Turn On Login Security";
  • Logging Options – это опции ведения журнала. Выбираем "Log only accounts lockouts", т.е. только ошибки авторизации;
  • Error Messages – ни в коем случае НЕ оставлять значение "Standart WP login Errors", иначе злоумышленнику будет показано, что именно он ввел неправильно – логин или пароль. Здесь лучше выбрать значение "User/pass invalid entry error" или "User/pass/lock invalid entry error";
  • Password Reset – устанавливаем значение "Disabled Password Reset", ведь, как правило, на авторских блогах отключена регистрация пользователей, а данная функция – это подобие "напомнить пароль".

Сохраняем настройки (Save Options).

Далее можно настроить отправку уведомлений на e-mail, если необходимо. Для этого прописываем в поле "Send Email Alerts To" тот e-mail, на который вы хотите получать эти самые уведомления. Остальные поля можно не заполнять. В выпадающем меню "Send Email Alert When..." нужно указать, какие именно сообщения присылать на почту. Я бы рекомендовал вообще отключить (не использовать) эту функцию (Do Not Send Email Alerts).

С этим вроде все...

А сейчас, хочется вернуться к "необработанному" уведомлению в самом верху админки. Здесь нам предлагается посетить специальную страницу форума, где имеется очень свежая (с конца июня 2013) информация по защите от брутфорс-атак. А именно – специалисты из AITPro (разработчики плагина) рекомендуют специальный код (правила) для файла .hnaccess, который обеспечит очень стойкую защиту от атак-брут. Вот этот код:

# Protect wp-login.php from Brute Force Login Attacks based on Server Protocol
# All legitimate humans and bots should be using Server Protocol HTTP/1.1
RewriteCond %{REQUEST_URI} ^/wp-login\.php$
RewriteCond %{THE_REQUEST} HTTP/1\.0
RewriteRule ^(.*)$ - [F,L]

Этот код необходимо поместить в специальное поле "CUSTOM CODE BOTTOM HOTLINKING/FORBID COMMENT SPAMMERS/BLOCK BOTS/BLOCK IP/REDIRECT CODE", которое находится на вкладке "Пользовательский код". После вставки кода, нажмите "Save Root Custom Code". Но это еще не все.

Теперь нужно перейти на вкладку "Режимы безопасности" и нажать кнопку "Создать файл secure.htaccess". А затем, заново активировать режим BulletProof для корневой папки (эту процедуру мы уже проделывали в самом начале). Собственно, именно таким образом добавляются все произвольные правила. Запомните эту процедуру, она может пригодиться еще не один раз.

Добавили этот код? Всё! Можно забыть об опасности брутфорс-атак!

Теперь нажмите в верхнем уведомлении на ссылку "Dismiss Notice", чтобы оно больше не мозолило вам глаза.

Вот теперь действительно все, друзья! Я постарался рассказать об этом плагине максимально подробно, не упуская никаких нюансов. Надеюсь, прочитав эту статью, вы также возьмете себе BulletProof Security на вооружение.

И в заключении хочется еще добавить, что у плагина существует и платная PRO-версия, купив которую, можно вообще отказаться практически от всех остальных плагинов безопасности.

На этом я с вами не прощаюсь, но говорю до свидания, и до скорых встреч!

С уважением, Александр Майер

130 Комментариев BulletProof Security (BPS) – пуленепробиваемая защита для WordPress

  1. Дмитрий

    Я тоже пытался его ставить, но что то я с ним не подружился). То ли не разобрался на тот момент, то ли смутило обилие красных строк
    Плагин отличный, согласен.
    Уже пару раз его видел в видеокурсах у инфобизнесменов, когда показывали свои настройки (тоже переживают:)

    1. Александр Майер

      А я его почти сразу же стал использовать в связке с Better WP Security. Главное настроить их так, чтобы функционал не пересекался.

      Хостер как-то мой .htaccess смотрел, говорит очень грамотно все правила прописаны.

      1. Александр Майер

        Василий, на самом деле все просто донельзя. Если в плагине заинтересован, попробуй еще раз все проделать, так, как в статье написано.

      2. Кристина

        А что делать, если после вставки кода сервер не отвечает (ошибка)?

        1. Александр Майер

          Кристина, опишите проблему более подробно. Вы имеете в виду вставку собственного кода? Или что-то другое?

          P.S.: плагин действительно весьма капризный и привередлевый к настройкам веб-сервера.

          1. Кристина

            Прошла по ссылке НАЖМИТЕ СЮДА, там скопировала код для вставки в "CUSTOM CODE BOTTOM HOTLINKING/FORBID COMMENT SPAMMERS/BLOCK BOTS/BLOCK IP/REDIRECT CODE". После нажала "Создать файл secure.htaccess". После чего сервер показал внутреннюю ошибку и никуда меня уже не пускал. Пришлось удалить ранее вставленный код, и всё снова заработало!
            Но теперь придется оставаться без защиты от брутфорс-атак? Или есть еще плагины, компенсирующие такую потерю?

          2. Александр Майер

            Кристина, а после добавления кода вы нажимали "Сохранить" ("Save Root Custom Code")? Наверное да. Тогда я не знаю в чем может быть проблема. У меня эти правила работают и никаких проблем не было. Тут один правильный вариант - написать в техподдержку хостинга. Они должны помочь, т.к. конфигурация веб-сервера - это их прерогатива. Ну, или поизучать тему на их форуме, где обсуждается данный код.

            А для защиты админки от брутфорса можно использовать и другие средства , напр., плагин Login LockDown. Или вообще сделать авторизацию на веб-сервере. Вот здесь можно подробно почитать об этом (да и вообще блог очень полезный, рекомендую): http://master-it.biz/wordpress-admin.html

  2. Vasili70

    Сложноват, полагаю, в настройках. Без 100 грамм, как говорится, не разберешься...
    А, вообще - то, я не очень-то одобряю излишнюю "заплагированность" блога. А то у некоторых откроешь: птички какие - то летают, снег падает, дождь льется, музыка звучит, поп-ап всплывает внезапно и кнопка его закрытия запрятала так далеко, что уже сам автор и не вспомнит, куда эту кнопку вставил...

    1. Александр Майер

      Василий, на самом деле, настройка плагина очень проста. Там буквально десять раз по кнопочкам понажимать нужно =) Просто я всегда так объемно пишу, чтобы теоретическую основу еще вложить. Чтобы человек понимал, для чего он эти кнопочки жмет :)

      Что касается "заплагированности" - согласен, иногда такое "понавешают" на сайт. Но конкретно этот плагин - вообще нагрузок почти не оказывает (если отключить логирование). Ведь он только создает собственные файлы .htaccess.

  3. дмитрий

    Лихо. Сразу оба плагина использовать. Уверен, что нет конфликтов?

    1. Александр Майер

      Конфликтов 100% нет. А повторяющиеся функции я оставил все в BWS

  4. Артем

    Наконец-то, а я все ждал когда ты про этот плагин напишешь...
    Сохранил статью в слона, буду разбираться.

    1. Александр Майер

      Да. заготовка уже с неделю была. Вот, только довел до ума =)

  5. Александр

    Стоит у меня этот плагин. В настройках его еще полностью не разобрался, не охото на него тратить время, да и желания возиться с ним пока нету-). Но скажу одно, раза 3 он мой сайт уже грохал. Первый раз, что то там не то нажад-), второй раз после обновления( хрен знает что произошло, но сайт вообще перестал запускаться), третий раз почистил журнал-))) слава богу на моем хостинге почти каждый день автоматически создается резервная копия моего блога.
    Вообщем на выходных по ваших рекомендациям попробую его настроить, о результатах отпишусь в комментариях(если не забуду) -)).

    1. Александр Майер

      Александр, странно, что такое вообще произошло. В крайнем случае, если вдруг что-то не то с сайтом, достаточно будет всего лишь удалить файл .htaccess из корневой директории, и директории wp-admin. И все вернется на круги своя.

      А у тебя какой хостинг? Вернее веб-сервер. Может nginx, а не Apache. Тогда да, проблемы могут возникнуть. Вернее плагин может просто не запуститься. В статье я этот момент выделил особо.

      Но чтобы BPS сайт убил - это нонсенс :)

      1. Александр

        Да не убил он сайт:) это я так образно выразился-)
        Просто после обновления в нем наверное поменялись настройки, которые конфликтовали с файлом .htaccess. Вообщем я эти файлы удалил, как ты писал выше и сайт заработал, но не полностью, что то частично работало, а что нет. Я заморачиваться и просто восстановил сайт из резервной копии. Короче жду выходные, а там разберусь в его настройках.:)

        1. Александр Майер

          А, ну понятно. Хотя все равно странно :) Можно в таких случаях дефолтные для WordPress правила прописать (там пару строк всего). И точно все работать будет.

          1. Александр

            Я в этом пока еще не смыслю, разбираться надо:)

  6. Артем

    Н-да, без поллитра не разбересся, теперь пиши как настраивать BWS при включенном Булете...

    1. Александр Майер

      Артем, да тут все просто. Если уже настроен BWS, то нужно просто не включать некоторые функции в BPS (я об этом в статье упоминал). В остальном все также. Я же говорю, плагин только прописывает определенные правила в .htaccess. Многие из правил будут дублироваться с правилами BWS, но проблем от этого нет, и быть не может. Зато BPS прописывает и такие правила, которых в BWS нет. Собственно, поэтому и можно (и я считаю даже нужно) использовать их оба.

      Ну, кому не охота ставить второй плагин, можно просто из дефолтного файла (secure.htaccess) скопировать нужные правила, и вставить вручную в свой .htaccess.

      Но ведь помимо всего прочего, BPS же еще имеет и вспомогательный функционал. При этом не вызывая никаких нагрузок.

  7. Web-Кошка

    Саша, привет! Чуть не по теме: ты не разу не сталкивался с тем, что какие-то записи в .htaccess вызывают бесконечный цикл переадресации?
    Просто у меня после установки этого плагина, не сразу, а последние пару-тройку дней, блог по многу раз в день становится недоступен минут на 5. Сам падает, сам поднимается. Техподдержка пишет: " посетители сайта
    натыкаются на бесконечный цикл из-за
    ошибки в файле .htaccess. Убедитесь, что
    никакие файлы .htaccess не создают
    редиректов на одну и ту же страницу
    (причина бесконечного цикла)."
    Не встречал такое?

    1. Александр Майер

      Привет, Лариса! Нет, такого не встречал. По идее - может быть виноват этот плагин, вернее конфликт с BWS мог произойти. Тряси саппорт, пусть ищут правила, которые вызывают зацикливание.

      PS: насчет блога да, я заметил странности. Каммент последний когда отправлял, он минуты две отправлялся :)

  8. Рашида

    Да, ввиду последних атак на WordPress, нужно укрепляться всеми способами, попробую на новом блоге разобраться с этим плагином.

    1. Александр Майер

      Верно. Но лучше защищать свои сайты изначально, а не ждать, когда "гром грянет"

  9. Сергей

    С виду довольно функциональный плагин! Спасибо! Попробую его установить и Better WP Security. А то у меня стоят старые плагины защиты. В связи с недавними атаками, решил поискать дополнительную защиту для своего блога. Надеюсь, она меня не подведет!

    1. Александр Майер

      Сергей, плагин действительно очень простой, и очень функциональный. Но есть один нюанс. Я вот думал, думал. И все же пришел к выводу, что не нужно спешить ставить сразу и BWS, и BPS. Объясню почему: во-первых, проблема Ларисы меня заставила задуматься. А во-вторых, на одном своем блоге, где у меня тоже используется связка BWS + BPS я заметил некоторые конфликты. Дело обстоит так: периодически "слетают" настройки BPS, и при повторной их активации, в файле .htaccess пропадают правила, прописанные BWS. Соответственно, BWS частично не функционирует, и приходиться еще и в нем заново (хотя бы на одной вкладке) нажимать на "сохранить". Только после этого все правила прописываются заново. Я сейчас решил поставить эксперимент: закрыл на запись файл .htaccess. По идее, настройки теперь "слетать" не должны.

      Что странно, на этом блоге такого никогда не было. Как установил оба плагина, настроил, все как часы работает. А вот на другом, не совсем. Может быть это зависит от конфигурации сервера (хотя я сверял, все вроде один в один).

      В общем, я думаю лучше для начала один из этих двух плагинов настроить, отточить (лучше начинать с BWS, я считаю). А уже позже можно поэкспериментировать и добавить BPS.

      1. Сергей

        Может от шаблона тоже зависит?
        Попробую пока один поставить, а саму связку протестировать на локальном сервере, чтобы стремно не было.

        1. Александр Майер

          Может и от шаблона, но не уверен. А на локалке потестировать не получится (по крайней мере, на ОС Windows). Я в статье про это писал.
          Так что, ставь BWS, а позже, если будет желание, поставишь и BPS (прям на хостинг, ничего с блогом не случится).

          1. Сергей

            А что на счет плагина wordfence можете сказать, стоит ли его включать в защиту блога?

  10. Web-Кошка

    Саша, а вот как тебе пожаловалась - все как рукой сняло, хотя ничего не успела даже сделать.
    Смотри, предположение про заставку в режиме обслуживания - в файле, который за ее вывод отвечает, кодировку изменить. Сама пока не пробовала - незачем, но как разберусь - отпишу.

    1. Александр Майер

      Мистика какая-то =) А я вот наоборот, после твоего комментария стал пристально все рассматривать, и на тебе: слетели настройки BPS на другом сайте. Но вообще они слетели не сами по себе, т.к. я вносил разные изменения (правда сейчас не вспомню какие именно, короче, работы проводил). До этого ни разу ничего не слетало.

      Про режим обслуживания, тоже об этом подумывал. Но как-то оно пока без надобности, поэтому не разбирался :)

      1. Web-Кошка

        Но это очень плрхой симптом, когда после каких-то работ, напрямую с плагином не связанных, слетают его настройки. Тем более, плагин-то важный, это же не просто "похожие посты", например.

        1. Александр Майер

          Да на самом деле все проще. Ничего особо плохого я здесь не вижу. Настройки BPS слетали, если вообще можно так сказать, при некоторых манипуляциях, как я сейчас понимаю. Например, при изменении структуры каталогов, добавлении новых директорий и т.п. Соответственно при этом некоторые ранее прописанные правила могли стать не актуальными, и BPS об этом сразу же предупреждает. Но вот то, что после повторного включения режима Bulletproof, новые правила были перезаписаны, а вместе с ними стерты и правила от BWS - это уже да, какой-то конфликт возник.

  11. Василий

    Помню, что вставлял какой-то код в файлы htaccess для защиты сайта (без плагинов). Нельзя ли обойтись не двумя этими плагинами, а одним?

    1. Александр Майер

      Василий, можно. И даже, все-таки будет лучше воспользоваться сначала одним (BWS). Настроить его под свои нужды, "отточить". А в дальнейшем: можно поверх прикрутить и BPS, убрав в нем все дублирующие функции. Я считаю - это наиболее оптимальный вариант.

  12. Александр Майер

    "А что на счет плагина wordfence можете сказать, стоит ли его включать в защиту блога?"

    Wordfence Security - очень хороший плагин. Но у него несколько другое предназначение: в основном он требуется для уже зараженных сайтов, т.е. для поиска вредоносного кода. Есть в нем и другие функции, конечно, например: блокировка по IP, защита админки от брутфорс-атак. Но для основной защиты, он не подходит.

    Короче, это больше антивирусный сканер, а не реалтайм-защита.

  13. Сергей

    слышал у людей с этим плагином проблемы возникали, сайты часто падают. в этом плане мне кажется BWPS поинтересней будет =)

    1. Александр Майер

      Я вот реально недопонимаю, как этот плагин может сайт "уронить"? :) Ну, допустим, активировали его, и не пошло сразу (ну, мало ли, конфигурация сервера не та, сам веб-сервер не поддерживается) - это ладно, это понятно. Но, чтобы он заработал, поработал, а потом сайты стали "часто падать" - это уже из области фантастики или из области биологических мутаций (не от туда что-то растет :)).

      BWS он да, на мой взгляд вообще the best. Его нужно ставить в первую очередь. Но и BPS может дополнительную защиту не хилую дать (+ некоторый дополнительный функционал).

      А вообще, BPS перед каждым свои правилом в htaccess все очень подробно расписывает (закомментированные). Так что, можно просто эти самые правила изучить (понять), и добавить ручками, без плагина.

      Чем не вариант тоже? =)

      1. Сергей

        ну например после обновления плагина, или после того как поставил другой плагин, а он конфликтует с этим, или если в коде хорошо покопался ну и т.д. вариантов масса на самом деле положить сайт)
        другое дело что поднять его не составит больших проблем для опытного вебмастера)

        1. Александр Майер

          Ну после обновления самого BPS траблов точно не будет. Проверено лично и неоднократно (он обновляется достаточно часто) - после обновления все четко пашет, в т.ч. и добавленные вручную правила.

          Да и если понимать принцип его работы, сложно представить, как он может уронить сайт. Он же никакого кода ни в файлы темы, ни в файлы движка не добавляет. Только в htaccess.

          Конечно, случаи могут быть всякие, и конфликт правил может сделать сайт вообще недоступным, чисто теоретически. Но и это вряд ли. Там не прописываются такие жесткие правила, которые могут "отключить" сайт вообще.

  14. Марк Гончаров

    Подскажите, пожалуйста, подробнее как проверить моего хостера на предмет OS Windows or Appch?

    1. Александр Майер

      Марк, здравствуйте!
      Тут есть несколько путей, и все зависит от самого-хостинг провайдера.
      1) можно посмотреть характеристики своего тарифного плана, обычно это указывается
      2) в панели управления хостингом обычно тоже эти сведения есть
      3) спросить у самого хостера =), в службе поддержки
      4) воспользоваться различными сервисами, типа cy-pr.com
      и т.д.

      Вообще, абсолютное большинство виртуального хостинга базируется на "иксах", а не на Windows. Виндовс-хостинг обычно предоставляют на VPS/VDS-хостинге.

  15. Сергей

    Александр, а стоит ли устанавливать одновременно 2 плагина? Не перегрузится ли блог?

    1. Александр Майер

      Сергей, конкретно от BulletProof нагрузки почти никакой. Что касается двух плагинов, я уже в комментариях высказался, что лучше будет сначала поставить, настроить и отточить Better WP Security, а уже потом, если есть желание, поставить и BPS (и в нем отключить те функции, которые уже есть в BWS). Я именно по такой схеме работаю.

  16. Андрей

    Зравствуйте уважаемы Александр! У меня с настройкой плагина проблемы. Банят хостеры за то, что ругается их антивирус: suspicious htaccess: u7662725 : /var/www/u7662725/data/www/web-labe.com/.htaccess
    Подскажите пожалуйста, что это ложное срабатывание или действительно угроза?

    1. Александр Майер

      Андрей, добрый вечер! Очень сложно так сказать. Просите хостера, чтобы конкретно причину обозначил.

      Но смею предположить, что возникла проблема с бесконечными циклами, которые вызывают сверхнагрузки. Подобное было уже у двух человек (это только из моих друзей и читателей).

      В общем, 'напрягайте' техподдержку хостинга, пусть смотрят файл на наличие вредоносного кода, и пусть конкретно скажут, в чем именно проблема.

      p.s. Если вас не затруднит, напишите потом здесь о ходе решения проблемы.

      1. Андрей

        Ну у вас то самих такой проблемы нет? ) Вот и думаю может быть стоит попросить отключить тех-поддержку чтобы добавили его в исключения, так я понял никто бесплатно решать проблему не станет такую.

        1. Александр Майер

          У меня такой проблемы нет. Попробуйте отключить BPS, и спросить техподдержку о том, устранилась ли проблема. Если да, то придется вам использовать другой плагин (Better WP Security, например).

          BPS действительно очень капризный, очень многое зависит не столько от самого плагина, сколько от сервера, на котором находится ваш сайт.

  17. surzis

    А можно было проще создать страницу на которую бы существовал перевод с постоянной ошибки 404. К примеру даже пустую.

    1. Александр Майер

      Не совсем понятна цель этого. Да и вообще, лучше исключить, по возможности, ошибки, чем их редиректить.

        1. Александр Майер

          Проще вообще исключить, по возможности, ответ с кодом 404. Понятно, что от всех ошибок не избавиться.. Но в чем, по вашему, разница, если я отдаю эту ошибку на страницу 404.html или на пустую? Сам факт фиксации этой ошибки в любом случае пишется на HDD сервера, в логи.

  18. Николай

    Здравствуйте, Олександр! СКажите, пожалуйста, вот после установки BulletProof у меня при проверке сайта на наличие ошибок программа выдала следующее:
    Код состояния HTTP:...................HTTP/1.1 403 Forbidden
    Имеются ли какие-нибудь решения, просто не хотелось бы отказываться от этого плагина.

    1. Александр Майер

      Николай, добрый вечер. Мне так сложно сразу понять в чем именно загвоздка, да к тому же, я далеко не специалист в сетевых технологиях. Могу с уверенностью сказать лишь одно, данный плагин очень привередливый и требовательный к веб-серверу. Очень часто с ним возникают всевозможные конфликты. Посему посоветую вам единственно правильное решение - это обратиться в техподдержку вашего хостинг-провайдера. Там вам наверняка помогут. Мне очень жаль, что я не могу от себя как-то помочь, но мои знания, к сожалению, далеки от идеала.

      P.S.: Николай, не в качестве претензии, а справедливости для - меня все-таки Александр зовут, а не Олександр ;)

  19. Виктор

    У меня оба плагина (BWS и BPS) в связке отлично работают на 2-х сайтах, спасибо Вам Александр за статью).

    P.S: Хостинг jino ( не реклама).

    1. Александр Майер

      Виктор, здравствуйте! Данный вопрос (совместимость BWS и BPS) на самом деле весьма щепетильный. У меня на одном сайте был конфликт, пришлось оставить только BWS. Оба плагина очень тонко взаимодействуют непосредственно с веб-сервером и его конфигурацией. И я все-таки (по прошествии времени) рекомендовал бы лучше использовать только один из этих двух плагинов, а недостающие правила прописывать вручную, при необходимости.

      Но, если все работает, то отлично :) Менять ничего и не стоит.

      P.S.: на вопрос "Что лучше - BPS или BWS?" я до сих пор не могу дать однозначного ответа =) Оба плагина, ну просто лидеры в этой области.

      1. Виктор

        Добрый день Александр. Оставлю оба плагина на сайтах, т.к. они не конфликтуют, и с недавним взломом моего одного сайта. В BPS отключил логи и Login Security, этим занимается BWS. Ну а в основном всё зависит от веб-сервера. Ещё раз хочу сказать Вам спасибо за статью, благодаря ей я узнал что существует такой плагин BPS)

        1. Александр Майер

          Если все работает, дублирующие функции отключены и т.д., то пусть работают оба =)

  20. Rmn

    Виктор, у меня осталась одна красная строчка в "Стандартная проверка наличия файлов безопасности"

    "/www/myhost/users/host/www/htdocs/wp-content/bps-backup/master-backups/wpadmin.htaccess File NOT Found"

    Это критично? как это можно исправить?

    1. Александр Майер

      Попробуйте на вкладке "Резервные копии" отметить пункт "Создать резервную копию файлов .htaccess". Затем нажмите кнопку "Backup Files"

      Я бы не сказал, что это очень уж критично, но в некоторых случаях может здорово облегчить жизнь :) Например, если что-то пойдет не так, и нужно будет быстро восстановить дефолтные .htaccess-файлы.

      1. Rmn

        Александр, помог ваш совет. Теперь в этом плане все ОК.
        Скажите, пожалуйста, правильно ли я выставил права на файлы?
        _http://file-up.net/big_4fed47164faa79e87020140224121049.jpg

        1. Александр Майер

          В вашем случае, в первой строке на файл .htaccess плагин рекомендует выставить права доступа 404, а текущие права 644. Желательно поменять.

  21. Татьяна

    Александр, я честно говоря, немного запуталась во всех этих вкладках, и в результате перешла на буржуйский форум.
    А там такого кода (который надо вставить сюда "CUSTOM CODE BOTTOM HOTLINKING/FORBID COMMENT SPAMMERS/BLOCK BOTS/BLOCK IP/REDIRECT CODE") как рекомендуете вы почему то не нашла, и поставила в результате буржуйский.
    Хотелось бы спросить, эти коды по разному действуют или у них просто более старый код?

    1. Александр Майер

      Татьяна, я не знаю про какой конкретно код вы говорите, поэтому не могу сказать, выполняют ли они схожую функцию или разные. Если не сложно, киньте ссылку на тот код. Вообще, лучше, конечно, использовать тот код, что рекомендуется на их форуме (код из статьи тоже взят оттуда), он вероятней всего более актуален.

  22. Артём

    Здравствуйте! Хотелось бы узнать, есть ли какие-нибудь продвижения в исследовании совместимости BPS и BWS?
    На моем сайте стоят оба плагина. Вроде все нормально, но изменяя настройки BWS, он ругается на то, что htaccess не доступен для записи. Изменяя права доступа у htaccess, слетают настройки BPS.
    Хотелось бы узнать, как можно их лучше совмещать

    1. Александр Майер

      Добрый день. Ничего нового сказать не могу. На одном сайте у меня плагины стали конфликтовать, и я попросту отказался от BPS, отдав предпочтение BWS. На другом все как работало, так и работает.

      Но совмещать их особого смысла нет. Лучший вариант - это BWS (iThemes Security), а плюс к нему можно вручную прописывать некоторые правила из BPS, которых нет в самом BWS.

      1. Dengiizine

        Александр здравствуйте!
        Помогите решить проблему. Вчера установил обновление BulletProof Security на сайт клиента и теперь не могу зайти в админку его сайта. Сам сайт работает. Ранее была проблема блокировки слайдера, но проблему решил сам. Как быть с этой проблемой. Удаление плагина и его данных через фтп результата не дало...

        1. Александр Майер

          Добрый день!
          Попробуйте удалить все правила из файла .htaccess и войти в админку. Должно пустить. После чего обновите еще раз BulletProof Security, т.к. сегодня вышло новое обновление исправляющее какие-то ошибки. Возможно в нем подобные баги и исправлены. Ну, и после этого сконфигурируйте плагин заново.
          Если удаление правил из .htaccess вдруг не поможет, то нужно будет посмотреть в БД на предмет блокировок вашего IP-адреса. Кстати, вы не пробовали зайти в админку под другим айпишником?

          P.S.: у меня на другом сайте вчерашнее обновление прошло без эксцессов.

          1. Dengiizine

            Спасибо Саша вам огромное за помощь! Вы очень помогли разблокировать админку. Просто стер файл хтасес и все заработало. Обновил плагин - админка на месте. Теперь буду настраивать его по вашим рекомендациям!

          2. Александр Майер

            Рад, что смог помочь. Если что, обращайтесь.

  23. Катя

    Спасибо за подробное описание, все понятно, но у меня почему в состоянии защиты осталось красным вот это "public_html/wp-content/bps-backup/master-backups/wpadmin.htaccess File NOT Found". Я что-то выходит пропустила?

    1. Александр Майер

      Катя, попробуйте на вкладке "Режимы безопасности" заново пройтись по всем кнопкам Activate. В частности включить "Режим BulletProof" в разделе "wp-admin Folder". Затем на вкладке "Резервные копии" создайте заново бэкапы этих файлов ("Создать резервную копию файлов .htaccess"). И все должно быть в порядке.

  24. Антон

    Здравствуйте!

    У меня почти аналагичная проблема, в папки состояние безопастности красным написано: An htaccess file was NOT found in your wp-admin folder.
    Если вы включили режим BulletProof для корневой папки, то вам нужно включить его и для папки wp-admin.

    Или при создание резервной копии пишет что:
    Резервная копия .htaccess-файла папки wp-admin ещё не создана, либо такого файла нет вообще в вашей папке /wp-admin, либо возникла ошибка копирования. Прочитайте Read Me по теме "Текущий статус резервных копий .htaccess файлов "

    Как это можно исправить?

    1. Александр Майер

      Антон, добрый вечер.
      Извините за столь долгий ответ.
      По большому счету вам нужно проделать тоже самое, что я писал в комментарии выше: http://bloginfo.biz/bulletproof-security-bps-puleneprobivaemaya-zashhita.html#comment-7390, т.е. нужно заново пройтись по всем начальным пунктам.

  25. Антон

    Здравствуйте!

    Недавно тоже установил этот плагин, вроде всё настроил по инструкции.

    Доступ к сайту есть.

    Но недавно заметил при проверки в одном сервесе, как роботы видят ваш сайт мне выдаёт ошибку Код состояния HTTP: HTTP/1.1 403 Forbidden

    Код ошибки клиента
    Сервер понял запрос, но он отказывается его выполнять из-за ограничений в доступе со стороны клиента к указанному ресурсу.

    Я так понял что стоит запрет на сканирование сайта роботами?

    И как это исправить?

    Может кто-то сталкивался с проблемой.

    1. Александр Майер

      Доброго дня!
      Скорее всего плагин воспринимает User-Agent этого сервиса, как "плохой", и запрещает доступ. Или этот сервис ломится туда, куда не следует. На нормальных роботах (типа поисковых) это никак не должно сказываться.
      Попробуйте, для примера, воспользоваться каким-нибудь аналогичным сервисом. Если тоже будет блокироваться, тогда деактивируйте плагин на время сканирования.

  26. Антон

    Здравствуйте Александр!

    Я проверил, для поисковых робатах как яндекс и гугл дверь открыта, за остальные незнаю. Отключал плагин и опять показует 403. Дума проблема может в htaccess, но точно не уверен.

    1. Александр Майер

      Посмотрите в .htaccess должны быть строки, начинающиеся с

      RewriteCond %{HTTP_USER_AGENT}

      Попробуйте их по одной повырезать, таким образом можно выяснить какой именно User-Agent банится. А еще лучше уточните у того сервиса каким User-Agent представляется их бот.

  27. Софья

    Здравствуйте, Александр!
    Установила этот плагин по вашему совету. За пять минут все настроилось и работает. Все строчки зеленые, как надо.
    В службе поддержки сразу спросила про их систему. Все в порядке.
    Спасибо!

    1. Александр Майер

      Отлично! Рад, что все заработало. Этот плагин тоже очень хорош.

  28. Катя

    Здравствуйте, Александр.
    Я сегодня через фтп создала каталог в папке сайта, а этот плагин не дает отображаться этой странице. Пишет, что ничего не найдено, т.е. отдает ошибку 404. Я думаю именно на него, так как на другом сайте, где нет такого плагина, страница отображается нормально.
    Может подскажите, что мне сделать, чтобы страница отображалась. Спасибо.

    1. Александр Майер

      Добрый день, а в какой именно папке вы создали каталог? В корне сайта?

      1. Катя

        в public_html, но мне уже служба поддержки хостинга помогла. сказали, что htaccess директиву DirectoryIndex чуть-чуть подправили.

  29. Алексей

    Здравствуйте, спасибо за перевод плагина, очень помогли!
    Не подскажете, вот такая проблема взломщик ломится в файл /xmlrpc.php
    Я так понимаю, что плагин защищает от взлома, но он создает большую нагрузку на хостинг.
    Добавил через штаксесс вручную в соответствующей вкладке плагина запрет для всех на этот файл. Но по журналу плагина вижу, что он не перестает долбится в этот файл.
    Может, я неправильно сделал, что заблокировал дополнительно вручную доступ к файлу?

    1. Александр Майер

      Добрый день!
      Ну, злоумышленники будут долбиться всегда, ведь это делается в автоматическом режиме. Если атака идет с какого-то определенного IP-адреса, то поможет в этом случае блокировка этого айпишника.
      Все подобные действия умеет автоматически делать плагин iThemes Security. Так что если атаки регулярные, то можете попробовать перейти на него.

      1. Алексей

        Спасибо, Александр!
        Мне техподдержка рекомендовала Wordfence, этот плагин хуже чем тот, что Вы рекомендуете?

        1. Александр Майер

          Нет, не хуже и не лучше =)
          Просто на мой взгляд именно iThemes Security наиболее функционален. Хотя и у Wordfence есть некоторые свои фишки, но он работает больше именно как антивирус-сканер (основной упор сделан на сверку кода оригинальных файлов WordPress с файлами на вашем сайте, и если есть какие-то подозрительные изменения, он об этом сообщает). iThemes Security же работает по всем фронтам, в первую очередь именно предотвращая разного рода заражения/взлом.

  30. Алексей

    "но он создает большую нагрузку на хостинг" - имеется в виду взломщик

  31. Алексей

    Александр, а не подскажете еще:
    в журнале безопасности что означают строки:
    REMOTE_ADDR: тут чей айпишник?
    Host Name: чей домен?

    HTTP_REFERER: чей домен?
    REQUEST_URI: тут страница моего сайта, что это значит? обращались а этой странице?

    Спрашиваю, так как есть подозрение, что плагин футболит нормальных посетителей.

    1. Александр Майер

      REMOTE_ADDR: - удаленный адрес, т.е. IP-адрес посетителя вашего сайта. Это может быть как обычный пользователь, так и какой-нибудь бот. Т.е. фиксируется любое посещение.
      Host Name: имя хоста. Это что-то вроде псевдонима для компьютера, который может присваиваться интернет-провайдером, или поставщиком VPN и т.д.
      HTTP_REFERER: сайт, с которого пришли на ваш сайт
      REQUEST_URI: запрошенный адрес.

      Как-то так.

      Плагин футболит нормальных посетителей? Думаю вряд ли.
      Но вы все равно правильно делаете, что просматриваете логи (журнал).

      1. Алексей

        просто тут такая история получается (конкретный пример с реальными данными и моими комментариями ):

        REMOTE_ADDR: 31.31.201.185
        Host Name: a3-m.ru (левый сайт, к моему отношения не имеет)
        SERVER_PROTOCOL: HTTP/1.1
        HTTP_REFERER: _http://сайт.ru (скрыл, это сайт, на котором есть статья со ссылкой на мой)
        REQUEST_URI: тут адрес статьи моего сайта

        Вот и непонятно, что это за посещение и почему плагин его заблокировал?

        1. Александр Майер

          Алексей, смотрите.
          REMOTE_ADDR - это айпишник посетителя.
          Host Name: это, можно сказать, имя ЕГО компьютера. Естественно, что к вашему сайту оно вряд ли будет иметь отношение =)
          HTTP_REFERER: да, тут указывается сайт, с которого был осуществлен переход на ваш сайт. (на нем точно есть статья со ссылкой?)
          REQUEST_URI: все правильно, это запрошенный адрес, т.е. адрес вашей статьи.

          С виду - вполне нормальное посещение. А какая ошибка в значится в логах (403, 404 или еще какая-то)? Посмотрите.

          1. Алексей

            Ошибка - [403 GET / HEAD Request: 13/01/2015 - 14:31]
            Статья со ссылкой точно есть, я ее сам размещал через Миру.
            И еще для меня странно, почему, если "Host Name: это, можно сказать, имя ЕГО компьютера", то имя компьютера- это урл реального сайта?

          2. Александр Майер

            Не заморачивайтесь насчет хостнэйма. Оно может быть практически каким угодно, или просто дублировать IP-адрес. Для наглядности зайдите, например, на 2ip.ru и посмотрите пункт "Имя компьютера"

            Что касается проблемы.. Хм.. Сложно что-то сказать. Попробуйте сами пройти по этой ссылке. Посмотрите, будет ли доступ к сайту или появится какая-то ошибка (только обязательно разлогиньтесь на своем сайте). Возможно, что плагин детектирует XSS.

  32. Алексей

    Оказывается, посмотрел новые записи в журнале безопасности, там полно таких заблокированных переходов. Даже с поддомена на домен (там есть статьи со ссылками на основной домен) блокированы обращения.
    [403 GET / HEAD Request: 13/01/2015 - 05:25]
    Event Code: BFHS - Blocked/Forbidden Hacker or Spammer
    Solution: N/A - Hacker/Spammer Blocked/Forbidden

    Это начинает пугать. Значит, плагин слишком строг? На это нельзя никак влиять?
    Пс. попробовал, как Вы посоветовали, разлогиненным перейти по ссылке (и на пк, и на айпаде)- ничего не произошло.

  33. Алексей

    Посмотрел, в Метрике, переходов с этих сайтов, которые по журналу заблокированы (3 как минимум вполне нормальных сайта, с которых стоят мои ссылки) сегодня не было.
    То есть, я на своем компьютере, даже разлогиненый, нормально прохожу, а других плагин блокирует.
    Начинаешь думать, а нужна ли она такая защита...

  34. Александр Майер

    А может быть суть в том, что плагин наоборот отлично справляется со своими обязанностями? =)
    Давайте проведем эксперимент: напишите мне через обратную связь, укажите перечень страниц, на которых есть ссылки на ваш сайт. Я попробую с разных браузеров, разных ОС пройти по ним.
    Я не знаю, как работают всякого рода биржи ссылок, возможно у них есть свои какие-то боты, которые мониторят сайты участников и "ходят" по ссылкам. Может быть плагин блокирует именно этих ботов, а не реальных посетителей. Кстати, а в отчетах разве User-Agent не указывается? Пришлите мне через обратную связь еще и кусок отчета плагина, я посмотрю.

      1. Александр Майер

        Алексей, письмо получил. Извиняюсь, пока не было свободного времени. Сегодня обязательно проведем эксперимент, я отпишусь потом на почту.

  35. Екатерина

    Александр, добрый день!
    Большое спасибо за статью, настроила bulletproof-security, больше месяца работал исправно. А сегодня пришло извещение от хостинг-провайдера о том, что у меня на сйате появилось вредоносное ПО, и в качестве него указывается именно этот плагин...

    suspicious htaccess: u0…. : /var/www/u0…./data/www/tlttema.ru/wp-content/bps-backup/master-backups/root.htaccess
    suspicious htaccess: u0…. : /var/www/u0…../data/www/tlttema.ru/wp-content/plugins/bulletproof-security/admin/htaccess/secure.htaccess
    suspicious htaccess: u0….. : /var/www/u0…../data/www/tlttema.ru/.htaccess
    

    подскажите, пжл, что это может значить?

    1. Александр Майер

      Здравствуйте, Екатерина.
      Ваш хостер, почему-то считает файлы .htaccess, созданные плагином, подозрительными. Напишите им в саппорт, скажите, что это специальный плагин их создал, попросите пусть посмотрят вручную, чтобы убедиться, что все с этими файлами в порядке. Ну, или не в порядке, что вряд ли =)

      1. Екатерина

        Помогло, написали, что добавят файлы в исключения из проверки антивирусами. Большое спасибо)))

  36. Алексей

    Приветствую, еще раз, Александр!
    Становлюсь уже Вашим постоянным комментатором.
    Опять проблемы с плагином.
    Пытаюсь войти в админку, админка говорит: пароль недействителен (хотя он действителен)
    Сбрасываю пароль, ввожу новый - опять не принимает. Так несколько раз.
    Вспоминаю, что у меня стоит пуленепробиваемый плагин, захожу на хостинг, переименовываю папку плагина- и все работает.
    Обратно переименовываю папку плагина - опять не пускает.
    Вот такие дела

    1. Александр Майер

      Добрый день, Алексей. Очень сложно так сходу сказать. Тем более про такую проблему я раньше не слышал. А это давно появилось? Просто плагин недавно в очередной раз обновился, может быть какой-то временный баг.
      Как вариант могу предложить следующее - полностью удалить плагин, затем установить его заново и настроить с нуля.

      1. Алексей

        Отключил плагин переименованием на хостинге, вошел. Восстановил папку плагина, обновил из админки, проблема исчезла.

        1. Александр Майер

          Видимо что-то "глюкнуло". Такое, увы, случается.
          Рад, что проблема у вас исчезла.

  37. Дамир

    Привет, классный у тебя блог, очень познавательный.
    Начал изучать безопасность WordPress, нашел несколько популярных плагинов, в связи с этим возник вопрос. Не будут ли конфликтовать эти плагины друг с другом, если их все установить на вордпресс или не дублируются ли у них функции?

    - BulletProof Security
    - Wordfence Security
    - iThemes Security

    или может еще что посоветуешь из плагинов по безопасности? Спасибо!

    1. Александр Майер

      Приветствую, Дамир. Спасибо за теплые слова в адрес блога.

      Перечисленные плагины все разом устанавливать не нужно. Большинство функций будет пересекаться, а также возможны конфликты. Да и в целом, не нужно это. Я когда-то раньше рекомендовал ставить BulletProof и Better WP Security (который сейчас iThemes Security), т.к. они в то время очень неплохо дополняли друг друга. Но сейчас оба эти плагина настолько "взрослые" и состоявшиеся, что совершенно нет никакой необходимости ставить их оба.

      Если интересно лично мое мнение, то из них на 1-е место я ставлю iThemes (все-таки он более функциональный и продвинутый), на 2-е BulletProof (т.к., чуть меньше дополнительного функционала и интерфейс админки у него не очень). Базовые же функции защиты у них (на мой личный взгляд, опять же) практически равны.

      Что касается Wordfence.. Я бы не стал ставить его в один ряд с двумя предыдущими плагинами. Он несколько другого толка и упор в нем сделан в большей степени на мониторинг безопасности, чем на ее осуществление. Хотя и защита в нем тоже не плохая, естественно. Так вот, именно его можно ставить в некоторых случаях в качестве дополнения того же iThemes Security, например. Но нужно будет убедиться, что все работает корректно и нет активных дублирующих опций.

      Все остальные плагины защиты, к сожалению, несколько позади. Хотя и есть неплохие варианты, конечно же. Например, Centrora Security (бывший OSE Firewall) - вполне достойный плагин с хорошей базовой защитой. У Acunetix есть хороший плагин (но там совсем простенькая модель защиты, без фаервола), у Sucuri. Но я все же за комплексное решение, такое как iThemes Security

  38. Алексей

    И снова здравствуйте, Александр! Раз уж Вы в топе по запросу настройки плагина, то к Вам и вопросы. Ну вот новый косяк плагина: установил из репозитария, и не успел настроить, как все страницы сайта, кроме главной при открытии дают 404-ю ошибку.
    Как это объяснить?
    И что делать?

    1. Александр Майер

      Вечер добрый, Алексей.
      Сложно так сходу что-то сказать. Нужны, как минимум, подробности. Например, были ли у вас установлены другие плагины, работающие на уровне .htaccess (возможны конфликты) и т.д.
      Также проверьте права файлов .htaccess и wp-config.php - они должны быть доступны для записи на момент установки плагина.
      Вы, я так понимаю, устанавливаете плагин на реальный сайт (я имею в виду не на локальном хостинге)? Просто на локальном windows-хостинге (типа denwer и проч.) плагин без танцев с бубном работать не будет (да и вообще на Win-хостинге).

  39. rubezg

    Проблема в следующем. Требуется прописать в .htaccess свою запись. Скачиваю файл, прописываю нужное, отправляю на сайт. Не работает запись. В настройках Better WP Security как была старая запись содержимого htaccess так и осталась. Где и как её отредактировать не вижу. Бесплатная версия плагина. Как теперь прописать дополнительные правила? Может есть опыт именно с такой проблемой?

    1. Александр Майер

      Здравствуйте, в настройках самого Better WP Security (я так понимаю, речь именно о нем, а не о BulletProof Security?) указываются только его собственные правила. При этом те правила, что вы прописали сами, должны работать. Чтобы проверить это, зайдите на хостинг и скачайте свой .htaccess, и посмотрите, сохранились ли ваши пользовательские записи в нем.
      И Better WP Security (iThemes Security) и BulletProof Security нормально относятся к пользовательским правкам, и конфликтовать с этим не должны. В BulletProof собственные правила можно вносить прям через настройки плагина.

  40. СЛАВА

    Огромный плагин, зачитался! Мне понравилась - "защита от брутфорс-атак на админку WordPress". У меня раньше стоял "Theme My Login" там была реализация такой защиты, теперь от него отказался, так как научился без него обходиться и автоматически лишился такой защиты.
    Нужно обязательно задуматься, так как Theme My Login мне часто присылал письма на почту, что на логин admin много раз вводится не правильный пароль. Кому-то я сильно навредил, наверное =)))

    А со спам в комментах я проблему решил жёстко и беспощадно, так как устал каждый день по 100+ спам комментариев в день удалять. Сделал что-то вроде фильтра, наверное, так можно сказать. Если в тексте комментария присутствует протокол, http или https то отправлять комментарий в корзину, а пользователю показать сообщение, что активные ссылки постить запрещено.
    Теперь вообще без спама живу, забыл уже что это такое ))))))))

    1. Александр Майер

      Слава, привет. Не, ну в комментариях иногда ссылки тоже бывают нужны. Мало ли, в процессе общения читатель хочет сослаться на какой-то первоисточник или ссылку на скриншот оставить. Или еще чего. Лучше уж тогда сделать полную премодерацию всех комментариев.

      1. СЛАВА

        Это верно! Я в прошлом комментарии не написал. У меня ссылки постить можно, но без протокола. И где-то под формой нужно об этом написать, что бы комментатор был в курсе, как у меня в комментах ссылки оставлять =))

        1. Александр Майер

          Вот, вот это правильное решение - под формочкой написать об этом. Поддерживаю ;)

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *