Что нам потребуется для тотальной защиты wordpress?
Как правило, в 90% случаев взлом сайтов происходит через взлом пароля администратора сайта и вход через админку, так давайте её заблокируем от всех остальных кроме нас.
Для защиты нашего сайта мы будем использовать всего 4 легких плагина Limit Login Attempts Reloaded, TAC, Antivirus, Belavir и сервис Htaccesstools.
- Htaccesstools — создает двойную авторизацию для входа в административную панель.
- Limit Login Attempts Reloaded — позволит лимитировать попытки входа в админку.
- AntiVirus — проверяет наш сайт на наличие вирусов и подозрительных кодов.
- Belavir — все изменения в структуре сайта будут всегда на глазах.
- TAC — проверяет наличие скрытых ссылок в теме нашего сайта.
Давайте непосредственно к делу — начнем работу…
Почему 2fa важен для безопасности wordpress
На момент написания этой статьи WordPress использовали более 32% всех веб-сайтов в Интернете, что в сумме составляет более 60% среди всех известных систем управления контентом. Это впечатляющая статистика, но у нее есть один существенный недостаток: она делает WordPress главной мишенью для хакеров и экспертов по безопасности со злым умыслом.
Наиболее распространенные виды использования взломанных сайтов WordPress включают SEO-спам (который может понизить ваш рейтинг), отправку вредоносных электронных писем, кражу пользовательских данных и выполнение злонамеренных переадресаций.
Почему двухфакторная аутентификация?
Термин «двухфакторная аутентификация» описывает процесс запроса двух цифровых транзакций для проверки личности пользователя. Множество компаний из кирпича и строительных растворов реализуют это, требуя биометрических данных или специализированного устройства идентификации.
Однако в онлайн-мире двухфакторная аутентификация обычно осуществляется через цифровые каналы связи – будь то служба электронной почты или SMS.
Проще говоря, двухфакторная аутентификация похожа на добавление второго уровня защиты в вашу безопасность WordPress. Вместо того, чтобы зависеть исключительно от вашего пароля, вы можете дополнительно защитить безопасность своей учетной записи WordPress, требуя дополнительного метода проверки подлинности, который, надеюсь, недоступен для хакеров.
Без дальнейших церемоний, вот шаги по быстрому внедрению двухфакторной аутентификации в вашей установке WordPress.
Настройка вопросов безопасности (аутентификация на основе знаний)
Чтобы задать контрольные вопросы для аутентификации на основе знаний, перейдите на страницу «Двухфакторная установка» и выберите «Контрольные вопросы (KBA)».
Если вас устраивают контрольные вопросы, нажмите кнопку «Сохранить», и все готово.
Вступление
Двухфакторная аутентификация WordPress (или двухэтапная аутентификация WordPress) добавляет важный дополнительный уровень защиты в зону входа и администрирования вашего сайта WordPress, требуя 1) пароль и 2) дополнительный код с учетом времени для входа в систему.
5sec google authenticator
5sec Google Authenticator – это премиальный плагин, который доступен на Codecanyon за $18. После установки плагина, никто не сможет авторизоваться в вашем аккаунте, даже зная пароль. Когда пользователь пытается авторизоваться, генерируется одноразовый пароль, который присылается на его мобильный телефон. Доступ к сайту будет получен только в случае введения правильного OTP на странице авторизации.
Очередная авторизация потребует нового OTP, который будет активен ограниченное количество времени.
Duo two-factor authentication
Защитить сайт WordPress от взлома можно с помощью плагина Duo Two-Factor Authentication с мобильным приложением Duo Mobile:
Duo Security предоставляет двухфакторную аутентификацию в качестве услуги для защиты от перехвата учетной записи и кражи данных. Используя плагин Duo, вы можете легко добавить двухфакторную аутентификацию Duo на свой сайт WordPress всего за несколько минут!
Вместо того, чтобы полагаться только на пароль, который можно подделать или угадать, служба аутентификации Duo добавляет второй уровень безопасности вашим учетным записям WordPress. Duo позволяет вашим администраторам или пользователям проверять свою личность, используя то, что у них есть, например мобильный телефон или аппаратный токен, что обеспечивает надежную аутентификацию и значительно повышает безопасность учетной записи.
Когда они входят в систему, у ваших пользователей есть несколько способов аутентификации, в том числе:
- Аутентификация в одно касание с помощью мобильного приложения Duo (самый быстрый и простой способ аутентификации);
- Одноразовые коды доступа, созданные мобильным приложением Duo (работает даже при отсутствии сотовой связи);
- Одноразовые коды доступа, доставляемые на любой телефон с поддержкой SMS (работает даже при отсутствии сотовой связи);
- Обратный звонок на любой телефон (мобильный или стационарный!);
- Одноразовые коды доступа, генерируемые аппаратным токеном, совместимым с OATH (если вы чувствуете себя полностью устаревшим).
Duo прост в настройке и использовании. С Duo не нужно устанавливать дополнительное оборудование или сложное программное обеспечение, просто зарегистрируйтесь в сервисе Duo и установите плагин.
Затем вы можете установить, для каких ролей пользователей вы хотите включить двухфакторную аутентификацию – администраторов, редакторов, авторов, участников и / или подписчиков – без настройки учетных записей пользователей, синхронизации каталогов, серверов или оборудования.
Защитите свой сайт WordPress за считанные минуты с Duo.
Этот плагин создаёт пароли, действующие ограниченное время или пароли могут высылаться вам по электронной почте или нажмите”Подтвердить” на Android:
Duo Mobile доступен бесплатно для всех смартфонов.
Ещё можно использовать двухфакторную аутентификацию на сайте с помощью плагина Google Authenticator. Я, как и вы, использую мобильное приложение Google для входа в Gmail, так что, теперь в дополнение используем его ещё для безопасности вашего блога/сайта WordPress.
Плагин Google Authenticator для WordPress создаёт двухфакторную аутентификацию с помощью приложения Google Authenticator для Android / iPhone / Blackberry.
Two factor auth
Если вы хотите обезопасить ваш сайт, ничего не настраивая, то вам стоит попробовать Two Factor Auth. Он работает со сторонними app, типа Google Authenticator. По умолчанию плагин посылает код на электронную почту, но это можно перенастроить
Перейти к плагину
Включение проверки подлинности sms
Чтобы выбрать аутентификацию по SMS, вернитесь на страницу «Двухфакторная настройка» и выберите «OTP Over SMS». Вы попадете на страницу подтверждения номера телефона.
Просто помните, что аутентификация SMS доступна только для бесплатных пользователей до входа в систему 10. Если вы хотите продолжать пользоваться своим сервисом, вам следует рассмотреть возможность перехода на платную версию.
С положительной стороны, премиум-пользователи также смогут использовать проверку по телефону. Это чистая миля – один из самых безопасных вариантов, которые вы можете использовать для двухфакторной аутентификации.
Другие параметры проверки подлинности
Помимо проверки электронной почты, miniOrange также поддерживает аутентификацию с помощью QR-кода, SMS, вопросов безопасности, Push-уведомления и приложений, таких как Authy и Google Authenticator.
Вот краткий обзор этих дополнительных методов.
Закрепляем тотальную защиту нашего wordpress
Теперь давайте скачаем два плагина Theme Authenticity Checker (TAC) и Antivirus.
Для чего они нужны — суть данных плагинов проста, проверить ваш блог на наличие посторонних скрытых ссылок и подозрительных файлов в корне вашего сайта. Данные плагины достаточно запускать один раз в месяц.
Плагин TAC — позволяет вам узнать есть ли в вашей скаченной теме какие-то подозрительные и скрытые ссылки на сторонние ресурсы. Что позволяет найти такие ссылки и удалить их с сайта. Необходимо для того что поисковые роботы не индексировали данные ссылки, ведь мало куда они могут идти, хоть на сайты с вирусами хоть на порно-сайты для вашего блога это губительно.
Этот плагин в основном необходим тем кто скачивает темы не из админки вордпресс, а с сайтов в интернете, обязательно проверьте свою тему на посторонние ссылки и удалите их если такие найдутся. В противном случае говорить о тотальной защите wordpress сайта нет смысла.
В плагине есть два типа сообщений это «Theme Ok» что означает с темой всё в порядке и «Encrypted Code Found» означает что в теме найдены какие-то зашифрованные коды и ссылки. Для просмотра подозрительных кодов и ссылок нажимаем на кнопку Details рядом с названием темы, нам откроется список всех найденных ссылок и кодов обнаруженных в теме.
Также будет показан адрес по которому находятся эти коды и ссылки. Нам остается только разобраться с этим и удалить посторонние ссылки, либо просто лучше поменять шаблон если обнаружены какие-то опасные коды и вы не знаете как их удалить и для чего они нужны.
Antivirus — достаточно запускать хотя бы 1 раз в месяц или после того как вы попросили поработать с сайтом какого либо верстальщика. Данный антивирус проверяет php код вашего сайта на подозрительные и странные зашифрованные коды.
Принцип работы плагина для защиты wordpress блога прост: запускаем проверку кнопочкой Scan the theme templates now
Вам остается только разобраться что это за код обратившись к верстальщику или к хостинг-провайдеру ну или попробовать разобраться самостоятельно, но, помните, не все подозрительные и странные коды являются вирусами! Каждый конкретный случай индивидуален.
Если антивирус вам сообщает о подозрительном коде, но вы знаете что это за код и для чего он нужен сообщаем плагину что это не вирус нажав на кнопку There is no virus.
Данные два плагина для защиты wordpress они в первую очередь предназначены для того чтобы узнать есть ли в корне вашего сайта какие-то подозрительные ссылки или коды. Эти плагины все таки предназначены для сканирования, а не исправления таких кодов и ссылок. Мало вероятно что при обнаружении подобных проблем каждый вебмастер сможет самостоятельно решить и удалить данные коды и ссылки, тут если они обнаружились надо или самому очень аккуратно разбирать что это такое и зачем это надо, или попросить верстальщика проверить эти подозрительные коды. В любом случае для тотальной защиты wordpress блога эти плагины стоит использовать хотя бы изредка.
Используя данные методы защиты вашего блога вы можете быть уверенны в том что ни один злоумышленник не сможет пробиться в вашу административную часть через дыры в админке ВордПресс.
Защита паролем сервера апач
Общая структура папки Вашего сайта на WordPress (на сервере хостинга) следующая
Использование google authenticator by miniorange
Самый простой способ реализовать двухфакторную аутентификацию в WordPress – использовать плагин. Google Authenticator от miniOrange является одним из лучших инструментов для этой работы.
Здесь вы можете просмотреть все свои параметры при проверке сеанса входа в WordPress. По умолчанию активный метод является проверкой подлинности по электронной почте. Он работает так же, как процесс проверки электронной почты, который вы делали при активации плагина.
Использование других методов мобильной проверки подлинности
Двухфакторная аутентификация с использованием вашего мобильного устройства действительно удобна для защиты вашей учетной записи WordPress. Если по какой-то причине вам не нравится процесс аутентификации через приложение miniOrange, вы можете вместо этого использовать Google Authenticator или Authy 2-Factor Authentication.
Оба приложения работают так же, как метод «Мягкий токен», в котором вам необходимо вводить уникальный код 6-цифр при каждом входе в систему.
Согласны ли вы с тем, что безопасность является одним из столпов успеха в Интернете? Тогда вы не должны останавливаться на фронте своих операций. Если вы в настоящее время используете общий хостинг, изучите как эффективно защитить себя от хакеров.
Как работает двухфакторная аутентификация wordpress
После двухфакторной аутентификации с помощью плагина пользователи будут видеть второй экран после успешного ввода пароля для входа в систему WordPress.
На этом экране им понадобится секретный аутентификация, отправленный на вторичное устройство, такое как смартфон или другая повторная авторизация.
Более подробно, понять двухфакторную аутентификацию, помогут описания двух плагинов с таким функционалом.
Как реализуется tfa (2fa) wordpress
После двухфакторной аутентификации с помощью плагина iThemes Security Pro пользователи будут видеть второй экран после успешного ввода пароля для входа в систему WordPress.
На этом экране им понадобится секретный код аутентификация, отправленный на вторичное устройство, смартфон.
На WordPress можно организовать TFA с помощью таких приложений двухфакторной аутентификации как:
- Google Authenticator;
- Любое TFA приложение, поддерживающее стандарт TOTP (поставщик одноразовых паролей по времени). Например, наиболее популярные генераторы токенов:
Android:
- Authy,
- Google Authenticator,
- FreeOTP Authenticator,
- Toopher.
iOS:
- Authy,
- Google Authenticator ,
- FreeOTP Authenticator,
- Toopher.
Плагин «двухфакторная аутентификация»
ru.wordpress.org/plugins/two-factor-authentication/
Для работы плагина потребуется PHP5.3 , а также включение модуля PHPmcrypt.
Данный плагин создает режим TFA–Two Factor Authentication и пользователи, с ролями указанными в настройке плагина, должны будут запрашивать, и вводить одноразовый пароль при желании войти на сайт.
Настройки плагина позволяют управлять двухфакторной аутентификацией не только для различных ролей пользователей (например, включена для администраторов, но выключена для подписчика), но и отдельно включена,/выключена для каждого зарегистрированного пользователя.
В настройках плагина есть возможность включать TFA через необходимый промежуток времени после регистрации. Правда, подобные тонкие настройки доступны только в премиум версии.
Стоит отметить, что плагин работает для интернет магазина и поддерживает форму авторизации плагина WooCommerce.
Также важно, что пользователь не будет видеть, что на сайте работает TFA пока не зарегистрируется.
Плагин работает с WP Multisite и кроме этого, переведен на русский язык.
Плагин belavir полная информация о всех изменениях на блоге
Плагин для защиты wordpress
Belavir
Плагин wordpress ithemes security
ru.wordpress.org/plugins/better-wp-security/
В платной версии плагина безопасности iThemes Security Pro есть функционал двухфакторной аутентификации. После включения этой функции, пользователи должны будут вводить не только пароль авторизации, но и дополнительный код, который плагин отправит ему на второе устройство (смартфон). Код действует определенное время.
Почитать в разделе
CMS WordPress является достаточно популярной платформой для ведения блогов и создания сайтов. Это же автоматически подразумевает большое количество желающих использовать Ваш сайт для своих целей: перехват и перепродажа трафика (т.е. пользователь пришел на Ваш сайт и редиректом ушел на целевой сайт хакера)
размещение рекламных ссылок
создание бота на Вашем сервере/сайте (будет использоваться как минимум для подбора паролей на чужих сайтах)
отправка спама (да, у WordPress есть свой почтовый сервер)
добавление к Вашему сайту рекламных страниц (достаточно дописать в базу MySql) Самое обидное – что сайт живет после взлома не более 6 мес. Поисковые роботы находят всё это…
Решения «все в одном» для безопасности вашего сайта
Если просто включения двухфакторной аутентификации вам недостаточно, то вы можете рассмотреть одно из комплексных решений, которое выведет безопасность вашего сайт на качественно новый уровень, например, можно использовать популярные плагины iThemes Security Pro и Wordfence.
ManageWP включает двухфакторную аутентификацию в качестве встроенной функции. WP Simple Firewall – это массивный плагин безопасности, который предлагает двухфакторную аутентификацию по email среди большого количества прочих функций.
Ну и конечно, админ просто может часто менять сильные пароли, что по большому счету позволяет отказаться от использования плагинов, описанных выше. Но вот только как показывает практика, занимаются этим админы и владельцы сайтов весьма редко. Также не лишним будет внедрить SSL на ваш WordPress-сайт.
Создание двойной авторизации от взлома админки
Для создания двойной авторизации нам понадобится немного поработать с файлами нашего сайта через FTP или Hosting кому как удобнее. Нам будет необходимо создать несколько файлов в корневой директории нашего блога (если кто-то не знает это папочка public_html/):
Ставим лимиты на попытки авторизации пользователей
Лучший плагин для тотальной защиты wordpress в принципе можно сказать что это в какой-то мере так, ну да ладно, давайте ближе к настройкам. Все, как обычно, скачиваем плагин из официального депозитария Плагины → Добавить новый, в поиске плагинов вставляем «Limit Login Attempts Reloaded» находим, устанавливаем, активируем.
Переходим в настройки, открываем плагин Limit Login Attempts.
В настройках плагина все предельно просто:
Статистика:
- Про этот пункт даже нет смысла что-то писать. Здесь просто cnfnbcnbxtcrbt статистические данные о всех неудачных попыток входа в административную панель блога.
Изоляция:
- Поле 1 «Разрешено дополнительных попыток»: количество попыток ввести пароль после которого пользователь будет заблокирован на время — лучше ставить 3 — 4 попытки защита сайта на wordpress при помощи ограничения попыток авторизации это очень эффективный способ от DoS атак на административную часть блога.
- Поле 2 «Изоляция в минутах»: определяем на какое время пользователь будет заблокирован после нескольких неудачных попыток входа — лучше вводить 60 минут.
- Поле 3 «Изоляция повысить время изоляции до»: если пользователь был заблокирован после нескольких попыток и через определенное время (поле 2) опять не смог войти он блокируется еще на дополнительное время — оптимальный вариант от 12 до 24 часов.
- Поле 4 «Часов до сброса количества попыток»: количество прошедшего времени после всех блокировок (поле 1, 2, 3) пользователя, время спустя которое вся информация по данному пользователю будет удалена из списка неудачных входов — достаточно 5 — 10 часов.
Сообщать об изоляциях
- Записывать IP: сохранение информации об IP-адресе пользователя пытавшегося войти на сайт.
- Отправить емейл админу: определение после какого числа полного круга блокировки на емейл владельца сайта придет сообщение о попытках входа в админ.панель.
Белый список IP
- Последний пункт Whitelist (IP): Белый список IP-адресов к которым не надо применять данные ограничения по попыткам войти, в данное поле стоит вписывать свои IP-адреса если они у вас статичные, если динамичны то смысла вписывать их сюда нет.