Новые функции iThemes Security (Неофициальный Changelog)

Доброго времени суток, коллеги. Сегодня я вновь возвращаюсь к излюбленному многими блогерами плагину.

Новые функции iThemes Security

Речь в данной заметке будет идти исключительно о новых функциях (плюс сопутствующая полезная информация), которые появились в iThemes Secuity после написания мной основной инструкции.

Основная инструкция находится здесь

Но, так как она сама по себе достаточно объемная, да и комментариев к ней накопилось большое количество, решено было не обновлять ее путем добавления информации о новых опциях и возможностях, а написать отдельную статью об этом. Данная заметка будет периодически обновляться и пополняться, по мере появления в арсенале плагина очередных заметных нововведений.

Вообще, для этих целей у любого плагина для WordPress (собственно, как и у любого другого программного продукта), имеется официальный Changelog (журнализация изменений проекта), где и указывается вся информация об исправлениях, обновлениях и прочих новшествах.

В случае с iThemes Security этот журнал "проживает" по следующему адресу: https://wordpress.org/plugins/better-wp-security/changelog/

Кроме того, следить за нововведениями в плагинах можно и не покидая админку WordPress. Все мы неоднократно видели подобную картину на странице плагинов:

Обновление плагина

Достаточно кликнуть по ссылке "посмотреть информацию...", чтобы лицезреть changelog. Того же самого можно добиться, например, и находясь в "Консоль" => "Обновления":

Обновления в WordPress

К чему я про это говорю? Ведь вы, наверняка, и сами всё знаете. Просто лишний раз напоминаю, что перед тем или иным обновлением бывает весьма полезно заглядывать в changelog.

Например, при обновлении самого движка WordPress в журнале изменений всегда указывается, какие файлы будут добавлены/заменены/удалены. И если вы модифицировали свой сайт путем изменения файлов движка (хотя делать так крайне не рекомендуется), эта информация будет для вас актуальной.

Ближе к делу. Обычно в журналах изменений записи бывают примерно таких типов:

  • Fix или Fixed – "пофиксено", то есть исправлено
  • New Feature, Added – новые возможности, добавление новых функций
  • New Pro Feature – в данном конкретном случае означает, что новая функция добавлена в Pro-версию плагина.
  • Enhancement - улучшено
  • Updated - обновлено
  • Modified – изменено

В этой статье мы будем рассматривать записи типов New Feature и Added - добавленные функции, про которые ничего не сказано в основной инструкции по плагину.

Повествование буду вести не по хронологии официального журнала изменений, а в том же формате, что и основная инструкция, т.е. по интерфейсу админки плагина (по вкладками и сверху вниз). Апдейты этой статьи уже буду стараться делать привязанными к официальным датам и версиям (с тем или иным смещением по времени, т.к. не всегда есть свободное время, чтобы в срок что-то написать).

Вкладка "Dashboard"

Первым же делом мы видим здесь очень полезный блок "Don`t Lock Yourself Out" ("Не заблокируйте сами себя").

Don`t Lock Yourself Out

Очень полезная и нужная опция. Помогает, в случае имеющихся ошибок на сайте, избегать постоянных блокировок администратора. Работает она следующим образом: нажимаете на кнопку "Temporarily Whitelist my IP" и ваш IP-адрес временно (на 24 часа) вносится в белый список. Если у вас IP-адрес динамический, и меняется он чаще, чем раз в сутки (например, если вы часто отключаетесь от сети, или так задано у провайдера), то необходимо добавлять его при каждом входе в админку.

Для чего нужна эта функция? Как я уже говорил, если на сайте имеются какие-то ошибки, и при работе в админке вы часто наблюдаете error/ошибку 403, то, добавив свой IP-адрес в white list, вы спокойно сможете работать с сайтом. А главное – попытаться найти причину и избавиться от ошибок, вызывающих вашу блокировку.

Помимо вкладки "Dashboard" этой возможностью можно воспользоваться и на некоторых других вкладках.

Другая новая опция - это "WordPress File Permissions" (Права доступа к файлам WordPress). Также весьма полезная штуковина, которая показывает текущие права и дает рекомендации по их изменению.

WordPress File Permissions

В столбце "Relative Path" этой таблицы указывается относительный путь к той или иной директории или файлу. В столбце " Suggestion" – рекомендации плагина, а в "Value" – текущее значение. Result и Status – тут все понятно.

Примечателен один момент. Как видно на скриншоте, iThemes Security выдает мне предупреждение (WARNING) за директории, права доступа на которые = 700, вместо рекомендуемых им (и самим WordPress, кстати) 755. И тот же самый WARNING будет, если, например, установить максимально полные права 777 (критично для безопасности!). На мой взгляд, это не совсем неправильная политика.

Возьмем для примера плагин-конкурент BulletProof Security, в котором тоже реализована функция мониторинга прав доступа (по нему, кстати, тоже надо бы статью обновить). Так вот, его разработчики имеют несколько иную точку зрения. А именно, если права ниже рекомендуемых, то это считается нормальным. Главное, чтобы они не были выше.

Рекомендации BulletProof Security

Обратите внимание на выделенные фрагменты:

  1. Разработчики BulletProof следуют официальным рекомендациям WordPress – права на директории должны быть 755, на файлы = 644. Даже на файлы wp-config.php и .htaccess. Здесь я не совсем с ними согласен, т.к. считаю, что эти файлы должны быть не доступны для записи. Также считают и разработчики iThemes Security =)
  2. Если выставленные права ниже рекомендуемых, это считается нормальным. Никаких предупреждений не выдается, в отличие от героя данной статьи. И тут мне уже ближе политика BulletProof =)

В общем, помните: права должны быть или такими, как рекомендуется, или ниже. Но, не выше рекомендуемых.

Больше на вкладке "Dashboard" ничего нового пока вроде нет.

Вкладка "Settings"

Блок "Global Settings". Здесь появилось несколько новых функций.

Send Digest Email – отправка дайджест-писем. Если сайт регулярно атакуют, или на нем много ошибок и возникают постоянные блокировки, или же вам просто надоело количество писем, присылаемых плагином, отметьте галочкой этот пункт. И тогда письма будут приходить раз в сутки. В каждом письме будут указываться все блокировки за прошедший период. Я этой опцией не пользуюсь, мне как-то комфортней получать уведомления сразу.

Community Lockout Message – здесь указывается сообщение, которое будет отображаться пользователям, что были заблокированы не за какие-то подозрительные действия, а чей IP-адрес помечен, как "нехороший" сообществом iThemes Security. Это, например, могут быть IP-адреса разного рода публичных прокси и анонимайзеров, сети Tor и т.п., которые, как известно, часто (но далеко не всегда) используются в недобросовестных целях. Можете ничего здесь не менять, а можете написать сообщение по-русски (поддерживаются html-теги a, br, em, strong, h1, h2, h3, h4, h5, h6, div, так что сообщение можно оформить красиво)

Disable File Locking – отключить блокировку файлов. Я уже писал в комментариях к предыдущей статье, что так и не понял, что конкретно делает эта функция. Разработчики пишут, что ее активация может привести к неправильной работе, и включать ее без надобности не стоит. Так и поступим =)  В случае, если у вас имеются какие-то ошибки, или плагин работает некорректно, то попробуйте поэкспериментировать с данной опцией в числе прочих.

Override Proxy Detection – отключение обнаружения IP-адресов прокси-серверов. Если вы не пользуетесь такими сервисами, как кэширующие прокси или CDN, типа Cloudflare, Varnish и др., то включение этой функции, может способствовать более точному определению IP-адресов. Нам, рядовым пользователям, это все без особой разницы.

Hide Security Menu in Admin Bar - спрятать меню плагина в админ-баре. Если у вас установлено множество плагинов, которые "лезут" в админ-бар и у вас там уже все битком, можете спрятать меню Security посредством данной настройки. Админ-бар – это такая штучка вверху сайта =)

Admin Bar WordPress

Следующий блок, в котором появились "новинки" – это "Brute Force Protection".

Помимо основной, локальной защиты от брутфорс-атак, к опциям плагина добавилась возможность задействовать сетевую защиту.

Работает это примерно так: если на каких-либо сайтах, где установлен iThemes Security, был зафиксирован брутфорс админки, и атакующий хост был заблокирован, то IP-адрес этого самого хоста отправляется в черный список сообщества iThemes. В дальнейшем, если кто-то с этим же IP-адресом будет безуспешно пытаться попасть в админку другого сайта, плагин его заблокирует незамедлительно. Не обращая внимания на локальные настройки защиты от брутфорса (т.е. на макс.число попыток и время блокировки, которые вы устанавливаете сами).

Таким образом, при активном сетевом режиме защиты достигаются сразу две цели:

  1. Усиление безопасности.
  2. Снижение нагрузки на сервер во время атаки.

Рекомендую использовать данную возможность в дополнение к локальной защите. Для ее активации достаточно поставить галочку напротив "Enable iThemes Brute Force Network Protection" и чуть выше, где написано "Get your iThemes Brute Force Protection API Key", запросить API-ключ. Если моя память меня не подводит, там достаточно ввести свой e-mail, на который и придет ключ, а затем ввести его в соответствующее поле.

Еще одна дополнительная функция в этом блоке - Automatically ban "admin" user – автоматический бан пользователя, пытающегося подобрать пароль к логину admin.

Просто великолепная фишка. Вы ведь не используете такой логин, нет же? =) Никто не должен использовать этот логин. А раз никто его не использует, то и не фиг пытаться попасть в админку под ним – сразу в бан, при первой же попытке. Как итог, снова повышаем безопасность, а главное – снижаем нагрузку на сервер. Обязательно поставьте здесь галочку. И идем дальше.

Custom Login Action, в блоке "Hide Login Area" – честно скажу, даже понятия не имею, что это и для чего нужно =) Если кто-то из читателей подскажет, буду очень благодарен.

Malware Scanning (Функция была удалена. В версии плагина 5.0.0 возвращена, но вместо VirusTotal.com сканирование осуществляется посредством Sucuri SiteCheck, подробнее см. ниже) – новый блок и новый функционал. Сканирование главной страницы сайта на наличие вредоносного кода. Чтобы задействовать эту опцию, нужно сделать следующее:

  1. Поставить галочку напротив "Enable Malware Scanning"
  2. Получить API-ключ VirusTotal.com (нужна регистрация) и ввести его в соответствующее поле.

Что я могу сказать по поводу этого сканера? Сначала я был приятно удивлен его появлением. Но сразу же немного разочаровался, т.к. сканирование осуществляется только в ручном режиме. А это тождественно тому, что мы просто зайдем на https://www.virustotal.com/ и проверим свой сайт там. Вот если бы можно было запускать сканирование по расписанию...

Ну да ладно. Если вы все же хотите проверять сайт из собственной админки, то, как говорилось выше, нужно получить API-ключ. Я не буду описывать всю эту процедуру, т.к. она есть (хоть и на английском) на сайте плагина, причем в картинках. Сама процедура регистрации и получения ключа (кстати, все это бесплатно) практически ничем не отличается от регистрации на каком-либо другом сайте, так что справится с этим каждый.

После того, как вы активируете сканер и запустите сканирование, будет два возможных варианта развития событий. В первом случае, вы увидите вот такое уведомление:

Malware Scanner от VirusTotal

Поздравляю! Все чисто.

Во втором случае, если что-то будет обнаружено, вы будете перенаправлены на страницу с отчетами. А дальше... Дальше - лечить сайт.

Вкладка "Advanced"

Здесь также есть нововведение – WordPress Salts – Соли WordPress. Точнее, смена этих солей.

WordPress Salts

Что такое "соль"? Если совсем коротко и простыми словами, то в криптографии соль (модификатор) - это строка со случайным набором символов, добавляемая к паролю при хэшировании.

Подробней о данных модификаторах рекомендую почитать в Википедии

В WordPress соли хранятся в файле wp-config.php, и данная функция как раз позволит вам их сменить одним нажатием кнопки. Раньше разработчики WordPress предупреждали пользователей, что при каждой новой установке движка нужно вручную менять соли (как с этим обстоят дела сейчас, я даже не знаю). И с того времени я лично привык их менять, как и рекомендовалось. Делать это вручную (хоть и с помощью генератора паролей) не совсем комфортно, отнимает некоторое количество времени, пусть и не большое. Теперь все это можно делать на автомате =)

После того, как вы поставите галочку и нажмете кнопку Change WordPress Salts, будут сгенерированы новые соли. При этом имейте в виду, вы будете разлогинены, что вполне закономерно.

Пожалуй, пока что все. Вроде ничего не упустил.

Получилось как обычно - хотел покороче, вышла "простыня" =) И эта "простыня", как я и писал в самом ее начале, будет постепенно пополняться. По мере появления новых функций и фишек в этом сверхзамечательном плагине по имени iThemes Security. Надеюсь, он и дальше будет развиваться также стремительно.

Всем удачи и до новых встреч на просторах сети!

Обновление от 07.07.2015:

Плагин обновлен до версии 4.8.0. Из наиболее заметных изменений можно выделить следующее:

  1. Feature Removal: Removed the malware scanning features as VirusTotal no longer supports scanning from WordPress sites. A replacement is in the works. - Удалена недавно введенная опция Malware Scanning, т.к. VirusTotal больше не поддерживает сканирование с сайтов WordPress.
  2. Bug Fix: Updated .htaccess rules to be compatible with Apache 2.4 without the auth compat module. - Обновление правил .htaccess для обеспечения совместимости с Apache 2.4 без auth compat модуля.
  3. Updated the hackrepair lists. - Обновлены списки HackRepair. К сожалению user agent Yandex так и не удален из этого списка. Настоятельно не рекомендуется включать эту опцию! (или удаляйте из списка строку с User-Agent Yandex вручную).

Обновление от 28.08.2015:

Плагин обновлен до версии 4.9.0. Из наиболее заметных изменений можно выделить следующее:

  1. Feature Removal: Removed the "Remove WordPress Generator Meta Tag" feature as it is not recommended due to limited security benefit and creating compatibility issues. - Упразднена опция удаления meta name="generator" в виду того, что отсутствие этого мета-тега вызывает разного рода проблемы совместимости (не с этим плагином, а в целом). Удаление "мета-нэйм генератор" не приносит особой пользы для безопасности и разработчики плагина выбрали, что называется, "из меньших зол".

Обновление от 21.09.2015:

Плагин обновлен до версии 5.0.1, с версии 5.0.0 возвращена функция сканирования Malware Scanning. New Feature: Added malware scanning provided by Sucuri SiteCheck.

Отныне сканирование осуществляется посредством сервиса широко известной компании Sucuri Security. Запуск производится в ручном режиме - на вкладке Settings нужно нажать кнопку "Scan Homepage for Malware". После сканирования отобразится отчет, который также будет доступен в разделе логов (Logs). Помимо проверки главной страницы на наличие вредоносного кода, сканер также проверяет наличие домена в различных блэк-листах (Гугла, Яндекса и мн. других):

Отчет о сканировании iThemes Security

Версия 5.1.0:

Наиболее значимым обновлением в этом версии можно считать добавление новой функции по блокировке попыток множественных аутентификаций в одном XML-RPC запросе ("Multiple Authentication Attempts per XML-RPC Request"). Грубо говоря, "особенность" WordPress XML-RPC позволяет злоумышленнику всего лишь в одном HTTP-запросе сформировать сотни попыток подбора пароля. Благодаря новой опции плагина, эта возможность блокируется.

Настоятельно рекомендуется установить значение "Block" в данном параметре (находится в секции "WordPress Tweaks"):

Блокировка множественных запросов в WordPress XML-RPC

Версия 5.1.0:

Ура, товарищи, это свершилось! Наконец-то из блэклиста HackRepair удалили юзер-агент Yandex (также удален Sogou)! Теперь можно смело активировать опцию "Enable HackRepair.com's blacklist feature" (секция "Banned Users"), не правя вручную список и не боясь, что из-за нее сайт может вылететь из индекса нашего любимого (или не любимого) Яндекса.

Рекомендую включить эту функцию, если она у вас отключена. Напомню, благодаря этому списку будут баниться при первом же обращении разного рода нехорошие боты, парсеры, граберы и т.п.

143 Комментариев Новые функции iThemes Security (Неофициальный Changelog)

  1. Василий

    Александр, спасибо. Пока буду изучать, а там может и вопросы появятся.

    1. Александр Майер

      Привет! Без проблем, спрашивай, если вдруг что-то непонятно будет.

  2. Александр Викторович

    В первую очередь спасибо за дополнительную информацию по плагину. Давно понял роль безопасности защиты для сайта и уделяю ей должное внимание. Плагин всегда обновляю. Теперь проверю дополнительные настройки. Вот свой айпи в белый список не добавлял, он у меня динамический, но меня он пока не блокировал из за этого. Пошел проверять, будут вопросы - задам.

    1. Александр Майер

      Александр, если проблем не возникает - это очень хорошо =) И тогда нет никакой необходимости добавлять свой IP-адрес в белый список.

  3. Артем

    Привет! Серьезный мануал... Прямо-таки огромный тебе респект.

    Возник вопрос, а кто-нибудь задавался целью сравнить разные плагины безопасности с целью выявления самого надежного?

    1. Александр Майер

      Артем, приветствую.

      Я задавался таким вопросом, делал анализ. Правда у себя в голове =) Вывод, на мой взгляд, однозначный - iThemes Security наиболее функционален. Но в то же время, в нем отсутствуют некоторые интересные фишки, которые есть в других плагинах. Например, он умеет переименовывать только wp-content. в то время как некоторые из плагинов-конкурентов умеют переименовывать и другие директории. И т.д.

      Что касается не функциональности, а именно надежности и эффективности, то, я считаю, что и тут (благодаря все той же обильной функциональности) будет выигрывать iThemes. Хотя в целом, все они работают схожим образом (на уровне htaccess), и базовая защита у самых популярных плагинов, имхо, практически идентична. Конкретных же тестов я нигде не встречал.

      P.S.: Кстати, iThemes Security пересек отсечку в 4 млн. загрузок на WordPress.org =) Из "безопасников" его обгоняет пока что только Wordfence Security (на 600 тыс. больше).

      1. Артем

        Все бы хорошо. Но меня реально напрягает отсутствие русского языка в плагине. Слишком много функционала непонятного. Не хочешь локализацией заняться, я бы поучаствовал...

          1. Артем

            Ну фиг знает, может что-то не срослось

        1. Александр Майер

          Я много раз об этом думал. Хотел даже сделать, еще когда первую статью писал. Но есть некоторые трудности: многие пункты достаточно трудно перевести (не хватает знаний), чтобы было корректно и, тем более, понятно людям. А некорректный перевод, сам знаешь, хуже оригинала.
          В принципе, можно взяться. А то, что будет вызывать сомнения - общими усилиями перевести, подключить из прогеров кого-нибудь.
          P.S.: Кстати, в changelog есть такая фигня: Added Russian Translation (в версии 3.4), но, что-то я русского тут ни разу не видел =)

          1. Артем

            Слушай, на крайняк можно с разработчиками связаться. А то что в changelog такое сказано, это можно перевести не как перевод, а как поддержка русского языка. Хотя и надо глянуть. Гляну отпишусь

          2. Артем

            В общем, это действительно они сделали поддержку разных языков. Можно перевести и они ссылку на автора в описании плагина разместят. Так что можно потихоньку заняться. Там правда 4000 строк... но если не торопясь ...

          3. Александр Майер

            Не, ну английским языком же написано: "Добавлен русский перевод", а не "translation ready". Так что, тут какой-то косяк наверное произошел, что-то не срослось.
            На этой неделе посмотрю pot-файл, попробую начать перевод. Потихонечку.

          4. Артем

            Нашел перевод, он действительно был, но видимо после переименования плагина его перестали поддерживать, вот и нету сейчас

          5. Александр Майер

            Точно! Он же раньше был Better WP Security. И тогда он, если меня память не подводит, частично был переведен.

        2. Александр Майер

          Артем, приветствую!
          Возвращаясь к нашему давнему разговору про перевод плагина iThemes...
          Я как-то видел на одном из блогов автор (если память меня не подводит - барышня) сделал(а) перевод и безвозмездно им делится с читателями. Ты случаем не знаешь, что это за блог и его автора? Если знаешь (я там среди комментаторов много знакомых лиц видел), дай, пожалуйста, ссылку на ту статью. Хочу ее в своей основной инструкции опубликовать. Перевод многим будет полезен.

          1. Артем

            Привет-привет! Прикольно ты пишешь))) Даже не сразу догадался, что это ты ко мне обращаешься)))

            Помню конечно. Девушку зовут Жанна Лира с некоторых пор она не ведет блог. Держи ссылку /.../

          2. Артем

            Чет я не понял, отправил я комент или нет...

    2. Александр Майер

      Вот, точно, Жанна Лира. Спасибо за ссылку, добавлю в основную статью.

      Обратиться к тебе через комментарии решил так, от балды)) Статью вчера обновлял, думаю дай прям тут у тебя и поинтересуюсь, может не отписался от камментов =)

      PS: оба твоих комментария сначала в спам улетели...

  4. Александр Викторович

    Александр, возник вопрос по поводу установки прав. Если я правильно понимаю менять их нужно на хостинге вручную? По первой строчке у меня похожая ситуация: 755/0750 и этот файл так и обозначен "/" ?
    wp-content/plugins =755 / 0755 , здесь одинаковое значение, но окрашено в желтый цвет, не понятно? Предполагаю что этот файл связан с плагинами.
    wp-config.php =444 / 0644 , здесь наверное нужно изменить.
    Вообще эти настройки на этом сайте я не когда не трогал, все как было изначально. Остальное все зеленое.

    1. Александр Майер

      Да, меняются на хостинге. Либо через FTP/FTPS/SFTP/SSH, либо, если есть такая возможность, через файловый менеджер хостинга.

      "/" - это корневая директория. В данном случае - корень сайта.

      здесь одинаковое значение, но окрашено в желтый цвет, не понятно?

      И надпись WARNING есть? Странно как-то

      Что касается wp-config.php. Если в настройках плагина поставить галочку напротив "Remove File Writing Permissions" (на вкладке Settings, раздел System Tweaks), то права будут перезаписаны на 444. Снятие этой галочки вернет права 644. Так что, желательно активировать эту функцию. И да, если ее активировать, то следует убедиться, что галочка стоит также напротив "Allow iThemes Security to write to wp-config.php and .htaccess." в Global Settings, иначе плагин может работать некорректно.

      1. Александр Викторович

        Да и надпись WARNING тоже есть.
        Проверил настройки, галочка у меня стояла, для эксперимента убрал, без изменений, вернул назад, изменений не произошло. Все сохранял и страницу обновлял.
        Пошел на хостинг, нашел там этот файл и изменил права вручную. Все получилось, изменения на сайте есть, проверил.
        Я, уже давно работаю через файловый менеджер в ПУ на хостинге, он полнофункциональный и удобный, да еще и доступ по защищенному каналу.
        У меня есть предположение: ведь у меня стоит дополнительная защита входа в админку от хостинга, через нее не могут пройти роботы, она как бы защищает связь с сервером, может поэтому плагин защиты и не может сделать нужные изменения?

        1. Александр Майер

          Да, вполне возможно, что дополнительная защита вносит свои корректировки.

          1. Александр Викторович

            Эту форму устанавливал хостинг для защиты от DDOS атак. Отлично работает уже больше года. За весь период не было отмечено не одной атаки. Там так же логин и пароль, после устанавливается связь с сервером и затем обычная форма WordPress. Форма вроде простая, но роботы ее не могут пройти.

          2. Александр Майер

            Скорее всего, аутентификация средствами Apache реализована. Полезная штука. Можно и самому сделать.

  5. Сергей Стеклов

    Небольшую поправочку надо сделать. Функцию WordPress Salts можно найти во вкладке "Advanced". В Settings ее нет. Очень полезное добавление. Не нужно вручную лазить в файл и обновлять его. Очень удобно.
    P.S. Теперь осталось описать все про настройки.)))
    Я кстати удивился, почему они рекапчу сделали только для про версии. Немогли уже заодно и в стандартную всунуть.

    1. Александр Майер

      Сергей, спасибо за поправку. Перепутал немного =) Исправлю.
      Что касается Pro, на то оно и Pro. Все хотят хлебушек с маслом кушать =)

  6. Василий

    А у меня в настройках "WARNING" на папку wp-content/plugins, хотя там установлены права одинаковые (установленные и рекомендуемые).
    Все эти настройки уже были сделаны ранее, кроме солей. Наверное, потому что внимательно читаю обсуждение статьи про плагин. :) Советую это делать всем.
    Александр, исправь в статье, в том месте, где ты пишешь про соли, "Setting" на "Advanced".

    1. Александр Майер

      Видимо функция мониторинга прав доступа у них не совсем корректно работает. Надеюсь, что пока.
      Спасибо за поправку, исправлю

      1. Василий

        Александр, можешь напишешь им, а то нелогично как-то у них мониторинг работает.

        1. Александр Майер

          Попробую.
          Кстати, плагин в очередной раз обновлен. Были исправлены, в т.ч. и "всякие мелочи". Посмотрите, может исправился косяк этот.

  7. Mila

    Добрый день,
    спасибо за очень полезную и нужную публикацию. Настроила все по вашим рекомендациям. Вроде все в норме. Только в логах заметила появилось много 404 error -связано с солями. Как решить эту проблему? Логи проверяла постоянно - записи ошибок появились после солей. Также там url указывает на это.

    1. Александр Майер

      Здравствуйте!
      Напишите, пожалуйста, фрагмент логов с этими ошибками. Попробуем разобраться.

      1. Mila

        Добрый день,
        спасибо за ответ и помощь :-)
        Все ошибки имели такую запись - и их много, повторяются:

        404 Error	3	2015-02-14 16:49:01	94.*.*.249		
        /wp-content/plugins/better-wp-security/modules/free/salts/js/itsec-salts.js	
        http://site.ru/wp-admin/admin.php?page=toplevel_page_itsec_advanced	
        Details: Query_string = Ver=4036

        Среди них только одна чуть имеет такую запись:

        404 Error	3	2015-02-14 00:28:55	94.*.*.249		
        /wp-content/plugins/better-wp-security/modules/free/salts/js/itsec-salts.js	
        http://site.ru/wp-admin/admin.php?page=toplevel_page_itsec_advanced&settings-updated=true	
        Details: Query_string = Ver=4036

        Вчера вечером еще появились несколько записей с 404. Сегодня пока не было. Наблюдаю. Все перепроверила. все настройки. Когда работала с настройками плагина, делала аккуратно, сохраняла, проверяла работу блога. И только после соли появились записи с 404.

        1. Александр Майер

          Увы, но мне, к сожалению, эта информация практически ни о чем не говорит. Не могу знать причину =(
          Ошибок 404 действительно очень много? Когда вы не находитесь в админке самого плагина, ошибки не появляются? После смены солей ошибки так и продолжаются?

          1. Mila

            Ошибок было много, и я сменила соли, ошибки продолжались. Но вот за сегодня пока еще не было, последняя была вчера. Понаблюдаю сейчас тогда в ситуациях офф из админки. И вопрос - сопли можно менять часто? Если что могу сменить еще раз сопли?

          2. Александр Майер

            Нет, Mila, их достаточно сменить единожды. Ну, если только для большей уверенности периодически менять. Но это уже для параноиков, на мой взгляд ;)

            P.S.: вы сказали сопли? =)

  8. Mila

    P.S.: вы сказали сопли? =) ----- пардон! все-таки я это написала :-)
    в самом начале, когда впервые встретила это понятие, я прочла слово неправильно, не соли, а сопли... ну и так у меня ка-кто и закрепилось, вижу что написано, но читаю как сопли. Ну вот и сделала все же описку невзначай :-)
    насчет солей - записей 404, один день ничего не было. Я выходила из админки, как вы советовали. То есть вот за вчера ночь-день-ночь ничего не было, а сегодня две записи появились. Хочу выявить есть какой-то алгоритм в этих появлениях. Может сбой где-то.
    Понаблюдаю еще. И если можно менять эти соли-сопли, то я может сменю. Попозже. Пока хочу наблюдать.
    Продолжаю учебу :-)

    1. Александр Майер

      Удачи вам в наблюдениях и обучении ;) Если время позволит, можете отписываться здесь о результатах наблюдения по данной ситуации. Думаю, многим будет интересно. Мне в частности.

      P.S.: Кстати, в интернете в (и в сайтостроении в частности) слово "сопли" действительно часто употребляется =) Например, знаете ведь наверное, что "соплями" называют всякие ненужные и технические страницы в поисковой выдаче, которых там по-хорошему быть не должно. Ну и так далее. Так что немудрено, что можно так забавно спутать :)

  9. Александр

    Использую плагин на своих сайтах и постоянно приходят на почту уведомления о блокировке ip-адреса (http://www.ip-adress.com/ip_tracer/95.108.158.245), который принадлежит Яндексу. Я так понимаю что поисковый бот часто проверяет сайт и плагин его блокирует. Можете подсказать, что нужно настроить, что бы плагин не блокировал ip-адрес Яндекса? Добавить в список Lockout White List можно, но ведь у Яндекса постоянно разные ip у ботов.

    1. Александр Майер

      Александр, посмотрите вот тут, я отвечал на похожий вопрос: http://bloginfo.biz/bad-news.html/comment-page-1#comment-9718
      Насчет IP-адресов Яндекса. Нужно либо погуглить, какие еще бывают адреса у их ботов, либо задать вопрос в техподдержку (чтоб знать наверняка).

  10. Василий

    Александр, привет! Подскажи.
    Возникла такая проблема: я пару месяцев назад оптимизировал на сайте изображения. В итоге, мой сайт стал размером примерно 200 МБ. Сейчас обратил внимание, что размер сайта стал уже больше 300 МБ. Ладно, думаю кэш будет примерно 20 МБ. А остальное откуда взялось?
    Начал проверять файлы сайта и обнаружил в папке логов плагина 6 файлов, каждый из которых размером в 10 МБ. Они были созданы с периодичностью раз в месяц (в феврале почему-то было создано два таких файла). Я попробовал вручную удалить эти файлы, но они сразу восстанавливаются, даже при отключенном плагине. Для чего сохраняются эти файлы? Тем более, некоторые логи полугодовой давности.

    1. Александр Майер

      Приветствую!
      Ну, логи - это и есть логи, журналирование. Если не пользуешься ими, попробуй сделать следующее (полностью отключить, к сожалению, нельзя, по крайней мере штатными средствами):
      1) В Global-настройках установи для "Days to Keep Database Logs" == 1, т.е. логи будут обновляться ежедневно и размер их сильно расти не будет (хотя в любом случае, размер каждого журнала не будет превышать 10МБ). У тебя, наверное, там 0 стоит?
      2) Там же, чуть выше, поэкспериментируй с Log Type - по-умолчанию вроде стоит Both (оба типа), попробуй поставить DB Only. Тоже должно снизить размеры журналов.
      3) Периодически заходи на вкладку Logs и делай очистку журнала (Clear Logs)

      1. Василий

        Ответ почему-то на почту не пришел.
        1. У меня стояло 30 дней.
        3. А у меня на вкладке Logs вообще нет кнопки Clear Logs. Раньше была такая кнопка. Там что-то написано, что нужно включить ведение базы данных в плагине. А где это включить?

        1. Александр Майер

          1. 30 дней - это много. Вообще, логи обычно ведутся и у хостинг-провайдера, так что логи в этом плагине - это как дополнительный инструмент.
          2. Ну, тогда значит в "Log Type" нужно включить либо "Both", либо "DB Only"

          1. Василий

            Александр, а у тебя в плагине тоже нет кнопки Clear Logs? Это я не пойму, у всех так, или только у меня.
            Сделал "DB Only", посмотрю, что будет.

          2. Василий

            Понял, кнопка появилась после того, как я включил в настройках "DB Only".

          3. Александр Майер

            Не, у меня кнопка есть =) Потому что стоит Both в Log Type.

            Теперь будем знать, что при File Only этой кнопочки нет)

          4. Василий

            Александр, на этих файлах (логах) стоят 644 права. Может из-за этого они не удаляются?

          5. Василий

            Смог все-таки удалить таким способом: там находился файл htaccess, я его по FTP скачал на компьютер, потом удалил логи из папки. После этого опять поместил htaccess на место. Файлы логов не восстановились, как это происходило раньше.

          6. Александр Майер

            Василий, если не сложно, потом отпишись - не повторится ли ситуация снова (с самовосстановлением логов после удаления).

          7. Василий

            Конечно, напишу, если такая проблема снова возникнет. Почему-то комментарии к этой статье (я подписан) мне на почту не приходят...

  11. Александр Майер

    Обновление от 07.07.2015:

    Плагин обновлен до версии 4.8.0. Из наиболее заметных изменений можно выделить следующее:

    • Удалена недавно введенная опция Malware Scanning, т.к. VirusTotal больше не поддерживает сканирование с сайтов WordPress.
    • Обновлены правила .htaccess для обеспечения совместимости с Apache 2.4 без auth compat модуля.
    • Обновлены списки HackRepair. К сожалению user agent Yandex так и не удален из этого списка. Настоятельно не рекомендуется включать эту опцию!

    Пост обновлен.

  12. Александр Майер

    Почему-то комментарии к этой статье (я подписан) мне на почту не приходят...

    Есть такое. Отчего-то письма в спам стали улетать. Буду разбираться.

  13. Надя

    Здравствуйте! Везде пишут и разъясняют про установку плагина. А можете подсказать, как такой плагин удаляется? Ведь наверняка здесь нужно более корректное удаление, чем обычное удаление из админки. Не могли вы дать советы по этому поводу? Нужно плагин удалить, а как сделать правильно не знаю.

    1. Александр Майер

      Добрый день, Надя.
      Да, собственно, обычным образом удаляется: 1) деактивировать 2) удалить 3) желательно проверить и при необходимости почистить базу данных, точнее удалить из нее таблицы, имеющие в своем названии _itsec_ (если такие таблицы остались) 4) также можно проверить файл .htaccess - не остались ли в нем записи от плагина (все, что между # BEGIN iThemes Security и # END iThemes Security)
      Обычно достаточно проделать только первые 2 пункта. 3 и 4 - чтобы убедиться, корректно ли все удалилось.

  14. Лариса

    Здравствуйте, Александр! Благодарю за столь содержательную работу по настройке плагина. Всё очень понятно! Но так как, я начинающий блоггер, я совсем запуталась. Я всё настроила, как у вас написано. Поменяла соли, и как вы предупреждали, вылетела с админки. А как зайти не знаю. Что поменялось, и какие забивать пароль и логин не пойму.

    1. Александр Майер

      Лариса, доброго дня.
      Пароль и логин у вас должны остаться прежними. Страница входа (если в настройках плагина вы ее не меняли), тоже. Стандартная страница входа в админку Вордпресс, как вы знаете, имеет вид сайт.ру/wp-login.php
      Если же вы воспользовались опцией плагина по смене страницы входа, то вспомните, что именно вы вводили в том поле. То есть, при смене вход в админку будет выглядеть примерно так: сайт.ру/ваше_секретное_слово
      Если же вспомнить не сможете или никак не получается, то нужно почистить ваш файл .htaccess - удалить все, что находится между строк # BEGIN iThemes Security и # END iThemes Security (после этого нужно будет заново настраивать плагин).
      Или, кстати, там же в .htaccess вы можете найти вашу секретную фразу для входа в админку. Ищите вот такие строки:

      # BEGIN Hide Backend
      # Rules to hide the dashboard
      RewriteRule ^(/)?ваша_фраза/?$ /wp-login.php [QSA,L]
      # END Hide Backend
      

      Там, где я написал "ваша_фраза" - и будет ваше секретное слово для входа, которое нужно вводить после сайт.ру/
      Если же вы забыли логин/пароль, то воспользуйтесь стандартными средствами Вордпресс по восстановлению пароля. Но для этого вам все равно, скорее всего, придется для начала "деактивировать" плагин вышеуказанным способом (чисткой .htaccess).

      P.S. Точно не помню, но можно попробовать просто удалить папку с плагином iThemes с хостинга. Тогда, возможно, .htaccess сам очистится от его правил.

      Если ничего не получится, пишите, поможем ;)

  15. Лариса

    Александр, благодарю за столь развёрнутый ответ. Буду разбираться.

  16. Лариса

    Я не могу войти и так " сайт.ру/wp-login.php" и с секретным словом тоже. Я все изменения записала в тетрадку, поэтому секретное слово у меня есть. Ответ страница не найдена. Пошла смотреть файл .htaccess

    1. Александр Майер

      Вполне вероятно, что запись в тетрадке отличается от реальной (могли, например, опечататься, когда вводили это секретное слово). Найдите его (слово это) в .htaccess, как я описывал выше, удостоверьтесь, что все правильно. Ничего сложного там нет, не бойтесь главное. Можете даже на хостинге файл не открывать, чтобы ничего случайно в нем не накосячить, а скачать его, и уже на компьютере локально блокнотом его откройте.

      Если не получится ничего, применяйте описанные мной "радикальные" меры - удаление плагина или чистку .htaccess

  17. Лариса

    В файле пока ничего удалять не буду. Написала в техподдержку. Пароли у меня все есть. Но я теперь не знаю куда мне их вбивать. Как вызвать это окошечко с логином и паролем вордпресс?

  18. Лариса

    Еще вопрос. Я поменяла префикс. Это что значит и он как то влияет на пароли и логин и где он вообще отображается? Просто до того, как я его поменяла у меня было написано, что надо поменять админ. Я его сразу не стала менять, не понимаю что это. А вот после смены префикса, у меня уже появилась надпись, что админ удален и менять ничего не нужно. Простите, дилетантку за столь путанные объяснения.

    1. Александр Майер

      По поводу префикса можете не заморачиваться. Поменяли - это главное. Это нужно для дополнительной защиты.
      А вот по поводу админа.. Хм.. У вас до этого был логин admin? Надпись, что "админ удален" появилась на той же странице, где вы меняли префикс?

      1. Лариса

        Секретное слово у меня такое же как я записала. Я проверила через хостинг.
        Логин у меня не админ. А надпись появилась на той же странице.
        В тех. поддержке мне отключили плагин и я смогла зайти. Попросила у них совета, что делать дальше с плагином. И получила такой ответ
        "К сожалению с этим вам помочь не смогу. Могу лишь посоветовать его не использовать. Обычно защитить сайт подобного рода плагины не помогают, так как уязвимости находят чаще на самом сайте, а не в админ панели."
        Теперь и не знаю, что делать. Подключать его или нет. Пока склоняюсь к подключению.

        1. Александр Майер

          Видимо в тех.поддержке посчитали, что плагин только и делает, что скрывает админку (и с этой позиции они правы - одно лишь это нельзя назвать полноценной защитой). Но плагин имеет еще ряд других опций. Так что однозначно его нужно ставить (или аналогичный, если с этим не "подружитесь"). Можете даже потом эксперимент провести, когда все настроите: попросите техподдержку глянуть ваш файлик .htaccess и дать оценку прописанным в нем правилам в контексте безопасности. Вам наверняка ответят, что да, очень и очень неплохо там все, как минимум для базовой защиты =)

          Что же касается настройки. Начните именно с сокрытия админки (т.к. именно на этом этапе у вас все застопорилось в предыдущий раз). Если все пройдет хорошо, то дальше следуйте моей основной инструкции (ссылка в этой статье есть выше). Настраивайте потихоньку, не торопясь, по пунктам. В каждом блоке настроек не забывайте нажимать "Save", прежде чем перейти к следующему. И все у вас получится.

          Если же опять будет стопор в момент сокрытия админки..... Тогда даже и не знаю. Возможно на вашем хостинге какие-то не совсем стандартные настройки. Может еще что-то. В общем, если что, пишите.

  19. Freeman

    а как вам "All In One WordPress Security and Firewall Plugin" ?

    Бесплатный, русский язык, понятный интерфейс и т.д.

    1. Александр Майер

      Хороший плагин. "Гонял" его на локалке. Но на живых сайтах не использую, т.к. привык уже к iThemes Security.

      1. Freeman

        Спасибо за оценку. Использую его на живом сайте, надеюсь все будет хорошо!

        Кстати, спасибо Вам за полезный блог! Что не статья, то кладезь полезной информации. Особенно помогли разобраться с ТруКрипт. Так как знал, что есть такая полезная информация, но руки не доходили воспользоваться. А теперь личные файлы, сертификаты к веб мани лежат надежно зашифрованы. Надеюсь будете и далее развивать ресурс.

        1. Александр Майер

          И вам спасибо за оценку.
          Сайт, конечно же, планирую поддерживать и по возможности развивать. Но пока совершенно не хватает на это времени.

  20. Лариса

    Благодарю, Александр за помощь. Буду настраивать еще раз. А когда я админку скрою, это как-то отразится на моих пароле и логине? А в браузере надо будет как-то по другому набирать? И где он находится этот админ? Я совсем запуталась уже. Я поэтому и запнулась на этом моменте. Потому что, не понимаю что это.

    1. Freeman

      Логин и пароль останутся прежними, адрес админки будет другой, тот который вы зададите в настройках и этот адрес будете знать только вы, чего и нужно достичь!

  21. Александр Майер

    Обновление от 28.08.2015:
    Плагин относительно недавно обновлен до версии 4.9.0. В статью добавлено описание наиболее примечательного изменения.

  22. Александр Майер

    Обновление от 21.09.2015:
    Плагин обновлен до версии 5.0.1. В статью добавлено описание наиболее примечательного изменения.

  23. Лариса

    Александр, скажите, нужно ли обновлять плагин каждый раз как выходит свежая версия? Если, да, то нужно ли делать бэкап базы при обновлении?

    1. Александр Майер

      Лариса, своевременно обновлять и плагины, и сам WP крайне желательно.
      Бэкап БД перед обновлениями тоже желательно делать.
      Но если честно, я всегда полагаюсь на ежесуточный бэкап, который у меня делается на автомате, и перед обновлениями плагинов вручную его не делаю. Разве что, перед "большим" обновлением самого WP. И все же - это не очень хорошая практика =) Лучше перестраховываться.

  24. Александр Майер

    Коллеги, очень хорошие новости в последнем обновлении плагина!
    Подробности, как всегда, в конце статьи.

  25. Мастер Мысли

    Но ведь новая функция WordPress Salts, если её установить требует, чтобы файл - "wp-config.php" был перезаписываемым, чтобы плагин мог вносить изменения, однако он же (плагин) рекомендует его ограничить правами 444, чтобы он был не перезаписываемым. Как это понять ?

    1. Александр Майер

      Для этого и существует одна из главных опций в настройках плагина: "Allow iThemes Security to write to wp-config.php and .htaccess"

  26. Мастер Мысли

    Да, и ещё одна проблемка с этим плагином часто возникает: "Плагин better-wp-security/better-wp-security.php был деактивирован из-за ошибки: Файл плагина не найден." Не могу понять с чем связан данный баг ? Так иногда бывает, что я пытаюсь зайти в свою админку моего сайта через спец. ссылку (которую я и задал в этом плагине) и меня почему то выкидывает сразу на белый экран со словами - "access denied" Причём ошибок при вводе пароля и логина нет, и кто же же выкидывает не с третьего раза (как указано в настройках данного плагина), а с первого. Помогает только удаление этого плагина с хостинга и затем новая его установка.

    1. Александр Майер

      Здесь у вас происходит следующее.
      1) Плагин вас банит (причину нужно выяснять, но скорее всего, нужно отключить функцию "Filter Non-English Characters")
      2) После чего вы удаляете плагин вручную.
      3) И уже после его удаления появляется ошибка "Плагин better-wp-security/better-wp-security.php был деактивирован из-за ошибки: Файл плагина не найден.", что вполне логично, ведь вы сами удалили плагин.

      В общем, вам нужно найти и устранить причину блокировки и проблема должна исчезнуть.

      PS: в основной статье по настройке этого плагина я в комментариях несколько раз описывал процедуру разблокировки самого себя (без удаления плагина). Вот тут, например, почитайте:
      http://bloginfo.biz/ithemes-security-formerly-better-wp-security.html#comment-4321
      http://bloginfo.biz/ithemes-security-formerly-better-wp-security.html#comment-8404
      http://bloginfo.biz/ithemes-security-formerly-better-wp-security.html#comment-5744
      Это гораздо удобней, чем постоянно (в случае проблем) удалять плагин и настраивать его заново.
      !!! Перед манипуляциями с базой данный сделайте на всякий случай ее резервную копию.

  27. Мастер Мысли

    Спасибо Александр за помощь, спасибо что так быстро ответили! Плагин обновился, а в интернете про новые настройки никто не описывает кроме Вас (может я плохо смотрел, но по моему Вы молодец). Очень помогает! Если у Вас будет время и возможность и дальше следить за обновлениями этого плагина и их изучать, то постарайтесь для нас обывателей как это отразить в ваших статьях пожалуйста.

    И ещё один вопросец: У меня на блоге стоит 2 плагина по защите - Better Wp Security и Acunetix WP Scan (в админке пишется как - WP Security) Я так понимаю оставить только один плагин - Better WP Sec. ? И вообще стоит ли ставить какие то другие плагины защиты параллельно с Better WP Sec. или же его хватит вполне ?

    1. Александр Майер

      Благодарю за отзыв, приятно слышать, что труды приносят пользу людям.
      Я и дальше буду стараться следить за этим плагином и описывать наиболее существенные его обновления в данной статье. Постоянной оперативности не обещаю, но по возможности буду делать это вовремя.
      Что же касается Acunetix WP Scan, то я бы его не стал использовать совместно с iThemes Security, т.к. практически все возможности Акунетикса присутствуют в iThemes. Причем в последнем функционал гораздо шире.
      В качестве дополнительной защиты и мониторинга можно порекомендовать в дополнение к iThemes плагин Wordfence Security (https://ru.wordpress.org/plugins/wordfence/). Их функционал тоже частично пересекается (поэтому нужно будет отключить дублирующиеся опции), но в Wordfence есть и то, чего нету в iThemes (причем весьма интересные возможности).
      Я бы не стал прям строго-настрого рекомендовать ставить Wordfence в дополнение к iThemes, но если есть желание, можете поэкспериментировать. И еще, в блоге Дмитрия (http://ideafox.ru) были статьи по совместному использованию этих двух плагинов и вообще инструкции и описания Wordfence Security. Поищите там поиском по слову Security, найдете много полезного по этому вопросу.

  28. Freeman

    Здравствуйте!
    Время от времени, на почту приходят письма, типа:

    Вы были заблокированы из-за слишком большого количества попыток неудачного входа или неверного пользовательского имени:
    Username: admin
    IP Address: 38.74.174.24
    IP Range: 37.82.175.*
    Авторизуйтесь в админ-панели сайта, чтобы видеть продолжительность блокировки или чтобы разблокировать пользователя.

    путь к админки нестандартный, как кто-то может узнать мой путь? (это не я неправильно вводил данные, а кто-то другой)?

    Спасибо!

    PS: http://dl1.joxi.net/drive/0012/1811/788243/151223/1c5e3ab427.jpg

    1. Александр Майер

      Доброго времени суток!
      Сложно сказать сходу. Подозрения три:
      1) Кто-то действительно выяснил страницу авторизации. Попробуйте сменить путь к админке и проанализировать, будут ли приходить подобные сообщения.
      2) Кто-то пытается залогиниться каким-то хитрым способом, возможно, через какую-нибудь уязвимость и т.д. Если плагин это пресекает, значит справляется со своей задачей.
      3) Возможно пытаются воспользоваться "уязвимостью" XML-RPC. Если не пользуетесь разного рода удаленной публикацией статей, например, через приложение для смартфона, через Windows Live Writer и т.п., в общем, если публикуете статьи только через админку, то обязательно воспользуйтесь опцией плагина по отключению XML-RPC (Disable XML-RPC). Если же полностью деактивировать XML-RPC нельзя, тогда обязательно включите настройку ниже - Multiple Authentication Attempts per XML-RPC Request (выберите значение "Block (recommended)")

      Вход в админку я бы вообще рекомендовал хоть и не часто, но периодически менять.

      PS: Благодарю! Видел как-то этот косяк, и говорил уже про него кто-то, да позабыл я про это напрочь =) После праздников буду исправлять. Еще раз спасибо за напоминание. Теперь точно не забуду))

      1. Артем

        Никто специально ничего не подбирает, просто очередная волна бутфорса подошла да и все. А учитывая что логин штатный, вот и ломятся в админку.
        Надо сменить логин и ссылку на страницу входа и все будет нормально

        1. Freeman

          наверно вы не поняли. Адрес админки далеко не стандартный, так же как и пользователь. Не буду же я здесь его публиковать :)
          если так все легко, то как вы подобрали бы адрес к админки, типа "site.com/sdfasfasdfgfdg33254"

  29. Freeman

    Печалька, поменял адрес к админке, но уведомления о блокировке все равно приходят :(
    не часто, раз-два в неделю.

    Значит есть еще какой то путь ко введению логина и пароля.

    1. Мастер Мысли

      "FREEMAN" У меня была (и есть до сих пор) такая же проблема. Думаю, что это глюк плагина, так как на почту ведь не приходят сообщения о том, что в вашу админку заходили именно с той секретной страницы которую вы указали. Ну даже если и было бы так (т.е. её страницу - распознали взломщики), то это бы отразилось бы в логах плагина Better WP Security. У меня например этот плагин отлично показывает все детали по логам входящих на сайт, и сколько попыток, и какая страница, и какой IP, и какие изменения в каких файлах происходили.

      Если там (в логах) нет вашей секретной страницы, значит никто и не узнал.

      Поставьте себе ещё один плагин в связке с Better Wp Security - плагин "WP Security Audit Log". Он показывает все попытки входа на сайт и много чего другого.

      1. Александр Майер

        Спасибо за содержательное дополнение.
        WP Security Audit Log - действительно может оказаться весьма полезным.

  30. FREEMAN

    сегодня запретил доступ к XML-RPC, так как у админке теперь нет возможности отключить чекбоксом (может я не нашел).

    # protect xmlrpc

    Order Deny,Allow
    Deny from all

    Посмотрим, что будет дальше. Еще поставлю сегодня WP Security Audit Log, как советовали выше. Потому что письма с сообщениями участились.

    1. Александр Майер

      FREEMAN, там не чекбоксом отключается, а в выпадающем списке. Нужно выбрать: "Disable XML-RPC (recommended)"
      Ну или в .htaccess прописать такое:

      # Disable XML-RPC
      <files xmlrpc.php>
      	<IfModule mod_authz_core.c>
        		Require all denied
      	</IfModule>
      	<IfModule !mod_authz_core.c>
      		Order allow,deny
      		Deny from all
      	</IfModule>
      </files>
      

      PS: С Новым годом!

  31. Алена

    Александр, спасибо за такие подробные инструкции. Подскажите, пожалуйста, какой из настроек могла быть заблокирована работа плагина "Всплывающие фото"? Перечитала уже кучу всего, но похоже, такая проблема только у меня. Самостоятельно найти эту настройку не получается, если начну все по очереди отключать, точно что-нибудь сломаю. Буду благодарна за ответ. Плагин, который перестал работать - Responsive Lightbox.

    1. Артем

      Это может быть не обязательно этот плагин, может быть у вас просто скрипты не срабатывают или конфликтуют. Это смотреть надо...

      1. Алена

        Артем, это произошло сразу после установки плагина. Правда, в тот день я еще Вордпресс обновляла... Больше ничего не делала. Могло такое произойти после обновления? Почему спрашиваю, если конфликт из-за обновления, то мне надо идти за помощью к разработчику шаблона. Если проблема может быть в настройках плагина, то я бы сначала сама попробовала исправить ошибку.

        1. Артем

          Дело в том, что данный плагин никак не влияет на работу js-скриптов. Грубо, это просто удобный интерфейс для добавления правил в файл htaccess
          А вот после обновления ВП плагин мог отключиться, ну какой-нить конфликт возник. Сразу так не скажешь, это надо смотреть, но можно просто проверить - отключите плагины, а потом включайте и смотрите что получается.
          Есть еще момент, мог возникнуть конфликт из-за подключения одинаковых скриптов, например в теме уже есть подключение такого скрипта, а вы еще и плагин поставили.
          Одним словом, на смотреть, сложно так сказать

    2. Александр Майер

      Доброго дня, Алена и Артем.
      Полностью соглашусь с Артемом - это надо смотреть, так точно не скажешь. И я тоже больше склонен к тому, что плагин iThemes тут не причем. Но все же стоит проверить и этот вариант - просто деактивируйте (или удалите) плагин (iThemes), очистите кэш, на всякий случай, и посмотрите, есть ли ошибка.
      А вообще, самое правильное - это зайти на сайт, нажать правой кнопкой мыши и выбрать "Просмотреть код" (в Хроме), "Исследовать элемент" (в Файрфоксе) и на вкладке "Консоль"/"Console" посмотреть, есть ли проблемы со скриптами (они будут обозначены или красным крестиком или "!"). И уже от этого "плясать" дальше.

      PS: А сам плагин лайтбокса обновлен?
      PPS: Артем, очередное тебе спасибо за помощь посетителям!

  32. Алена

    Александр, Артем, спасибо за помощь! iThemes действительно оказался не виноват, чему я очень рада) Есть в консоли проблемы со скриптами: ERR_FAILED. И еще один восклицательный знак. Лайтбокс я даже переустанавливала, так как после его обновления ничего не изменилось. В общем, если не разберусь со скриптами, удалю лайтбокс и все, пусть не открываются фотки, ничего страшного.

    1. Александр Майер

      Вот, ERR_FAILED - это оно. Проблема со скриптами. Опишите подробней, что там пишется. Или скриншот сделайте. Еще можете посмотреть в консоли Файрфокса, там кажется пояснения еще на русском даются.
      И еще вопрос, вы случаем до проблемы никакие настройки не меняли в плагине кэширования (если он у вас имеется), не занимались ли минификацией скриптов, переносом их из head?
      PS: Лайтбокс удобная штука, лучше разобраться, ну или найти замену, чем вовсе отказываться.

      1. Алена

        Александр, я ничего не делала, настройки не меняла. Я глубоко вообще не лезу, знаний не хватает. А как можно Вам скрин прислать? Можно на почту, с которой приходят ответы? Чтобы ветку не засорять, так как выяснили, что iThemes ни при чем)

        1. Артем

          Проще будет если вы сайт покажете. Можно куда-нить на почту, если здесь светить не хотите

    1. Алена

      Лучше поздно, чем никогда) Забыла отписаться: Александр решил мою проблему. Дело было совсем не в плагине iThemes, а в обновлении Вордпресс и моих не совсем прямых ручках) Александр, еще раз - спасибо Вам большое!

  33. Александр Викторович

    Александр привет. Недавно менял "соли". Возник маленький вопрос.
    Поставил галочку в квадратик, нажал кнопку, меня тут же перекинуло на страницу входа в админку, ввел свой пароль и вернулся назад. Вроде все нормально, но галочка из чекбокса исчезла. Не пойму так и должно быть? или что то не сработало?

    1. Александр Майер

      Рад приветствовать, Александр. Прошу извинить за столь длительное молчание, совсем времени не хватает :( По существу вопроса: да, так и должно быть, после смены солей авторизация, разумеется, слетает. Поэтому приходится заново перелогиниваться. Это нормально.

  34. FREEMAN

    Скажите, пожалуйста, а будет ли работать сайт на сервере без апачи, а при конфигурации nginx + php-fpm? Может знаете как настроить? Спасибо!

    1. Александр Майер

      Вы, наверное, имеете в виду, будет ли работать данный плагин на такой конфигурации веб-сервера? Честно скажу, не знаю. Нужно просто пробовать. Разработчиками же заявлена поддержка Apache, LiteSpeed и Nginx. Но в плане Nginx, если я не ошибаюсь, нужны дополнительные настройки конфигурации.

  35. Валентин

    Плагин хорош,но его настройка меня пугает, я хоть сам в вордпрессе не новичок, но такие комбайны бывает дают сюрпризы. Много отзывов что мз-за него все страницы выпадают из поиска, да и вообще.

    1. Александр Майер

      Да, могут произойти такие инциденты (выпадение страниц из индекса), особенно с Яндексом это часто случалось.

      1. Алена

        Что, правда? И сейчас такое бывает? Там вроде бы боты Яндекса добавлены в исключения. А какая есть безопасная альтернатива этому плагину, не подскажете?

        1. Валентин

          Алена, лично я такими комбайнами не пользуюсь, единственный большой такой это у меня seo by yoast. А для защиты я пользуюсь двйоным входом, ограничением количества авторизаций (плагин), и несколько настроек в самом движке (доступы, пустые страницы и тому подобное). Не доверяю я большим плагинам тем более бесплатным.

          1. Алена

            Валентин, плагин seo by yoast заинтересовал, спасибо, когда буду делать еще сайт, поставлю его.

  36. Александр Майер

    Алена, да, ботов Яндекса из списка убрали. И это большой плюс. Но могут повлиять еще и второстепенные факторы, как, например, множественные ошибки 404, из-за которых плагин может заблокировать поисковых ботов.
    Валентин, зря не используете этот "комбайн" (или аналогичные, кстати, к вопросу об аналогах - на wordpress.org можно осуществить поиск по ключевому слову или тэгу "security" - найдется не мало интересных плагинов, но iThemes Security, на мой взгляд, выше других на голову). Защита админки - это не панацея. Хотя и плагин этот тоже не панацея, но с ним уровень защиты повышается в разы. А насчет бесплатности, у iThemes есть еще и платная про-версия плагина, и они активно поддерживают и развивают обе версии.
    P.S.: SEO by Yoast - очень крут. Жалею, что не с него начал на этом сайте. А переходить лень =)

    1. Валентин

      Да сейчас ничего не дает ста процентов, может и поставлю но позже.

    2. Василий

      Александр, а жалеть то что? В AIOSP практически такие же возможности. Не вижу никакого смысла в переходе на Yast SEO.

  37. Александр Майер

    Валентин, это точно. 100 процентов не даст никто и ничто.
    Василий, ну, как мне кажется, у Yoast все же побогаче функционал и дополнительные "фичи", типа тех же replytocom и т.п.

  38. Александр Викторович

    Александр приветствую! С наступающими праздниками! Есть хорошая новость: наш любимый плагин перешел на русский язык. полностью все инструкции на русском. а у меня с ним недавно была непонятная проблема. Перестала работать вкладка "лог". Открывалась и замирала, не работала не прокрутка, не какие ссылки. Все остальное работало. А здесь при открытой вкладке на странице появлялось предупреждение, что страница не отвечает. Ждал несколько минут, безрезультатно. Выдержал несколько дней и собирался писать, но решил деактивировать плагин, а потом снова активировать. Тут как раз вышло обновление и все нормализовалось. Может какой сбой произошел. а так все работает.

    1. Александр Майер

      Александр, рад приветствовать! Тебя тоже с прошедшими (и наступающим) праздниками.
      Да, новость отличная. Спасибо, что сообщил, а то я бы еще не скоро об этом узнал. Правда есть небольшие замечания к переводу, но это мелочи. Зато теперь плагин не будет отпугивать новичков).
      А насчет глюка со страницей логов - несколько раз о похожей проблеме люди писали ранее, но с чем это связано, я лично так и не узнал.

  39. Екатерина

    Здравствуйте! Я совсем новичок, помогите разобраться! Вы писали, что возвращена функция сканирования Malware Scanning. New Feature: Added malware scanning provided by Sucuri SiteCheck. Я нажала кнопку "Проверить домашнюю страницу на наличие вирусов" и у меня выскочили результаты: надпись "вредоносный код", "черный список" и рядом зеленые кнопочки "очистить", как у Вас на скриншоте. Это обозначает, что найдены вирусы? Кнопка "Очистить" не нажимается!
    И второй вопрос, более масштабный) я включила функцию обнаружения изменений файлов и в журналах обнаружилось что были изменения файлов в те дни, когда я вообще не заходила в админку! Это значит сайт пытались взломать? Или изменения вносил сам плагин безопасности? Как разобраться, какие изменения вношу я, какие плагины и где атаки?
    А также были ошибки 404, рядом, в графе "Хост" значились разные адреса, а в графе "Ссылка" - /admin.php; /administrator/; /user/ и т.д.

    1. Александр Майер

      Екатерина, добрый вечер. 'Очистить' - это просто некорректно переведено на русский, что действительно может ввести в заблуждение. Должно быть, по идее, 'Чисто'. Так что, можете не переживать.

      Насчет изменения файлов. Посмотрите внимательно те таблички, что присылает вам плагин на почту. Таблицы разделены на три части: изменено, добавлено, удалено (точный порядок не помню). В общем, проанализируйте, что там указано. Вероятнее всего, обновлялись какие-то плагины или сам WP. И еще, такие письма могут приходить с задержкой, поэтому может показаться, что вы вроде и в админку не заходили, а изменения произошли. Но в любом случае, поизучайте эти письма. Особенно обращайте внимание на добавленные (added) файлы. Если вдруг там что-то добавляется не в папки плагинов, например, а куда-нибудь в корень сайта, можно забить тревогу (при условии, что вы сами их не добавляли, разумеется). Короче совет такой - поизучайте структуру этих писем в течение какого-то времени, и потом уже на глаз сможете определять, что подозрительно, а что норма.

      404 ошибки с admin, user и проч. и проч. - это тоже стандартно. Просто по интернету постоянно бродят всякие роботы-пауки в поисках 'дырявых' сайтов. От этого никуда не деться.

      1. Екатерина

        Александр, спасибо! Подписалась на обновления Вашего блога, Вы на редкость "доходчиво" объясняете) И появилась масса вопросов) Разобралась что, в основном, изменения делал сам WP, но был добавлен файл .ftpquota в корень сайта, при этом изменены файлы .htaccess и wp-config.php. Подскажите, что он обозначает? Я в тот день донастраивала WP, но не знаю потому ли он добавился или это что-то другое... Причем от WP появилось сообщение, что некоторые файлы были изменены. Он сам о своих действиях тоже сообщает?
        Мне почему-то не приходят на почту резервные копии БД и уведомления об изменении файлов, хотя эл.адрес для тех и других я сообщила и соответствующие функции включила.
        Какой смысл прописывать динамический айпи в Lockout White List? Ведь он поменяется?

  40. Александр Майер

    Екатерина, файл .ftpquota - служебный, не обращайте на него внимание (но и не пытайтесь модифицировать или удалять).

    Файлы .htaccess и wp-config.php могут изменяться (и, как правило, изменяются) в процессе настройки iThemes Security, либо других плагинов (например, плагинов кэширования). В дальнейшем файл wp-config.php, по идее, изменяться не должен, по крайней мере без перенастройки, скажем, того же плагина безопасности или кэширования. А вот файл .htaccess может периодически меняться. Например, при внесении (плагином) в него записи о блокировке какого-либо IP-адреса, который пытался атаковать ваш сайт. Но имейте в виду, что эти файлы являются очень важными в плане безопасности, и ничего постороннего в них находиться не должно. Новичкам могу посоветовать такой вариант: после настройки iThemes Security желательно скачать эти файлы к себе на компьютер и хранить их в качестве эталонных. А при сигнале об изменениях смотреть, что именно в них внесено нового. Это следует делать хотя бы на первых порах, т.к. в дальнейшем вы уже научитесь понимать и различать, когда стоит 'бить тревогу', а когда нет.

    Насчет проблем с отправкой бэкапов на почту, увы, давно известно. Периодически у пользователей они появляются. Но с чем конкретно это связано, сказать сложно. Видимо каждый случай индивидуален, поэтому единого решения нет. Попробуйте сначала перепроверить все настройки, а затем, если проблема так и будет наблюдаться, обратитесь к своему хостеру. Возможно они смогут помочь или подскажут направление.

    Динамические IP-адреса, как правило, принадлежат к одной подсети (или к нескольким, но небольшим кол-вам). Ну, допустим у вас адрес IP-адрес 38.55.214.111, адреса вам выдаются динамически. Т.е. при переподключении к интернету или после полуночи, или даже произвольно у вас может сменится айпишник, но, скорее всего, сменятся только последние цифры после точки. То есть, следующим присвоенным вам IP-адресом может стать, например, 38.55.214.88. Можно заметить, что первые три числа (38, 55 и 214) не меняются, меняется только последний октет. На этом основании и можно внести свой айпишник в белый список по т.н. маске, то есть в виде 38.55.214.* (где * будет обозначать любое число, от 0 до 255). У разных провайдеров может быть по-разному. Например, меняться может не только последний октет (последнее число), а два октета. Тогда по маске может быть внесен адрес вида 38.55.*.* Бывают и другие вариации, но описанные выше, наиболее часты. Так что, можете проанализировать как меняется ваш IP-адрес в течение, скажем, нескольких дней или недели и затем добавить свою подсеть по маске.

    В общих чертах приблизительно как-то так :) Если что, пишите, спрашивайте. Всегда рад помочь, чем могу.

    1. Екатерина

      Александр, спасибо за помощь! Настроила полностью iThemes Security благодаря Вам! Но в журналах событий стали появляться ошибки 404 с одного и того же айпишника (не моего), в независимости в админке я или нет, отображаются 24 часа в сутки, ровно через каждые 2 минуты:
      Ошибка 404 3 2016-06-01 15:20:33 109.234.34.134 /not_found Детали
      Ошибка 404 3 2016-06-01 15:18:34 109.234.34.134 /not_found Детали
      Что это значит ?
      После обновления плагина не могу найти разделы "Статус безопасности"[Security Status] и "Системная информация"[System Information]
      Александр, Вы (и не только Вы)) советуете вовремя обновлять версии Вордпресса, плагинов и т.д. А уведомления о них всегда появляются в админке? Или наличие новых версий каких-то плагинов или др. нужно искать "вручную"?

    2. Екатерина

      еще были такие ошибки 404:
      1) Details for /404javascript.js
      Время: 2016-06-01 15:12:12
      Хост: 173.255.233.124
      Реферрер: google.com/url/?sa=t
      Запрос:
      2)Details for /404testpage4525d2fdc
      Время: 2016-06-01 15:12:11
      Хост: 173.255.233.124
      Реферрер: http://sucuri.net
      Запрос:

    3. Екатерина

      3) Details for /wp-includes/css/
      Время: 2016-06-01 15:11:54
      Хост: 173.255.233.124
      Реферрер:
      Запрос:
      4) Details for /wp-includes/js/scriptaculous/wp-scriptaculous.js
      Время: 2016-06-01 15:11:52
      Хост: 173.255.233.124
      Реферрер: http://sucuri.net
      Запрос:

  41. Александр Майер

    Екатерина, IP-адрес 173.255.233.124 принадлежит sucuri.net. Скорее всего, эти ошибки появились при обходе вашего сайта их роботом в тот момент, когда вы делали проверку на вирусы. Насчет ошибок от адреса 109.234.34.134 ничего сказать не могу, мало информации. У вас случайно в браузере нет старой закладки на вход в админку через wp-admin (wp-login)?
    Указанные вами разделы сейчас отсутствуют в том виде, что были ранее. Это после недавнего большого обновления плагина.
    Ну, а насчет обновлений, если плагины/темы установлены с вордпресс.орг, то они, как правило, автоматически будут проверяться на наличие обновлений. Так что информация об этом будет отображена в админке. Вручную приходится в некоторых случаях возиться лишь с премиум-плагинами и темами.

    1. Екатерина

      Александр, старых закладок нет, в админку захожу, открывая страницу в браузере через Кипас. Ошибки 404 с этого адреса прекратились, но что это было так и не разобралась.
      А что Вы еще посоветуете для безопасности сайта, помимо iThemes Security? Может быть дополнительный плагин или еще какие-нибудь уловки, вроде дополнительной авторизации при входе в админку? Или этого плагина достаточно? (Про сложные пароли, интернет-гигиену, антивирус на компьютере знаю)

      1. Александр Викторович

        Очень давно использую этот плагин защиты, поначалу у него было другое название. По поводу ошибки 404, я себе сделал редирект со страницы ошибки 404 на главную (можно например на карту сайта). Делается это просто в админке. С тех пор любой неправильно набранный адрес (случайно или умышленно) перебрасывается на сайт. То есть ошибка 404 на моем сайте невозможна. А для дополнительной защиты входа в админку, хостинг бесплатно установил добавочную форму входа, которую не могут пройти роботы. Она служит для защиты от ДДОС атак.

        1. Екатерина

          Александр Викторович, спасибо за информацию! Написала хостеру по поводу двухэтапной авторизации, мне ответили что хостинги не могут предоставлять таких услуг, так как это предполагает добавление определенного программного кода в мой проект, в чем они некомпетентны и не имеют таких прав

          1. Александр Викторович

            К сожалению не все хостинги предоставляют такую услугу. Мне Александр писал, что это можно сделать средствами Апаче, но я в этом совершенно не разбираюсь. А с cPanel, как то по другому, но там можно ограничить число попыток подбора пароля.

    2. Екатерина

      Александр, доброго времени суток! Везде пишут про защиту сайта от взлома, а как же cPanel? Ведь подобрав к ней пароль можно получить доступ к базе данных и т.д. Или ее безопасность обеспечивается хостером?

      1. Александр Майер

        Защита хостинг-админки - это дело, в первую очередь, самого хостера. За исключением, разумеется, пароля. Пароль и его сохранность - это всегда на совести пользователя.

  42. Александр Майер

    Друзья, здравствуйте. Извините, что выпал из диалога на длительное время, обстоятельства. Александр, спасибо за поддержание беседы и советы.

    Екатерина, HTTP-аутентификация (т.е. средствами веб-сервера), это действительно очень хороший вариант. Как все это сделать, можете почитать, например, здесь: http://master-it.biz/wordpress-admin.html. Все это может показаться слишком сложным для неподготовленного пользователя, но разобраться с этим не помешает (экспериментировать нужно на локальном сервере). Есть и упрощенные готовые варианты, например, такой: https://wordpress.org/plugins/http-digest-auth/. Сам я этим плагином не пользовался, но судя по описанию, его достаточно установить и сменить логин/пароль, что дается по-умолчанию (логин такой же, как и для WP, пароль password). Смена производится в настройках плагина. (И да, логин и пароль для http auth должны отличаться от ваших логина/пароля для непосредственно админки ВП. Иначе в веб-аутентификации меньше толку).

    В общем, можете попробовать данный плагин, только сначала на локальном сервере (или тестовом сайте).

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *