iThemes Security – bezpieczeństwo WordPressa

iThemes Security to wtyczka, która pomaga w zwiększeniu poziomu bezpieczeństwa strony opartej na WordPressie. Wtyczka przedstawia nam zmiany, które powinniśmy wprowadzić oraz określa je jako Low, Medium i High Priority.

Pobranie i instalacja iThemes Security

Wtyczka dostępna jest poprzez wbudowany w WordPressa system wyszukiwania i instalacji wtyczek, możemy je także pobrać z oficjalnej strony rozszerzeń WordPress - https://wordpress.org/plugins/better-wp-security

Status bezpieczeństwa

Low Priority

Pierwsza sekcja to elementy, które mają mniejsze znaczenie ale warto zwrócić na nie uwagę. Warto zastanowić się nad zastosowaniem poniższych porad:

  • Uruchomienie modułu blokowania podejrzanych hostów. Moduł umożliwia także blokowanie konkretnych adresów IP. Aby przejść do ustawień wchodzimy w Settings i szukamy sekcji Banned Users.
  • Zwróć uwagę na zabezpieczenie logowania protokołem SSL. Jeśli Twój serwer go nie udostępnia uruchomienie funkcji może wywołać problemy z wyświetlaniem strony.
  • Zablokuj wyświetlanie przeglądania katalogów jeśli w środku nie występuje plik z indexem. Dotyczy to głównie folderów z wtyczkami, szablonami.
  • Zablokuj metody żądania HTTP, z  których nie korzystasz.
  • Zablokuj wyświetlanie znaków spoza języka angielskiego w adresach URL.
  • Ustal maksymalną ilość znaków - 255 dla adresów URL.
  • Usuń prawo do zapisu dla plików config.php oraz .htaccess.
  • Jeśli używasz Windows Live Writer do edycji strony skasuj wyświetlanie tej informacji z nagłówka.
  • Usuń nagłówek RSD.
  • Usuń wyświetlanie informacji o Twojej wersji WordPressa z wszystkich miejsc gdzie jest ona wyświetlana.
  • Zablokuj możliwość edycji kodu wtyczek oraz motywu z panelu WordPressa. Jeśli nie dokonujesz częstych zmian w kodzie warto wyłączyć tą opcję. Modyfikacji można dokonać poprzez klienta FTP, np.: Total Commander.
  • Zamień wersję jQuery na bezpieczniejszą.
  • Zablokuj wyświetlanie informacji o nieprawidłowym logowaniu.
  • Zmień nazwę katalogu wp-content.
low-priority

Zalecenia Low Priority

Medium Priority

Niektóre z dostępnych porad oznaczone są jako średnio ważne. A brzmią one następująco:

  • Włącz wykrywanie użytkowników, u których wielokrotnie wyświetla się strona błędu 404.
  • Zmień ID głównego użytkownika. Domyślnie jest to ID numer 1.
  • Zastanów się na funkcją Away Mode. Jeśli nie wprowadzasz nigdy żadnych zmian pomiędzy 23:00 a 5:00 możesz właczyć ten moduł w tych godzinach. Dostęp do kokpitu WordPressa zostanie zablokowany w tych godzinach.
  • Włącz wykrywanie zmian w plikach.
  • Zmień adres URL kokpitu WordPressa co ochroni Cię przed atakami Brute Force.
  • Chroń pliki readme.html, readme.txt, wp-config.php, install.php, wp-includes, i .htaccess, ponieważ zawierają one bardzo ważne informacje o Twojej stronie.
  • Blokuj podejrzanie wyglądające parametry adresów URL.
  • Usuń generator meta-tagu WordPress, który wyświetla w nagłówku strony aktualną wersję systemu.
  • Zredukuj ilość komentarzy poprzez zablokowanie tych pochodzących z automatów i botów do linkowania.
  • Zablokuj funkcje XMLRPC.
  • Zablokuj wykonywanie kodu PHP w plikach z folderu Upload. Zminimalizujesz ryzyko zainfekowania poprzez różnego rodzaju skrypty.
  • Zablokuj wyświetlanie publicznego profilu autora jeśli liczba jego wpisów wynosi 0.
  • Zmień prefiks tabeli w bazie danych. Domyślnie jest to wp.
Zalecenia Medium Priority

Zalecenia Medium Priority

Wskazówki w tej sekcji mają większe znaczenie, warto się nad nimi zastanowić i zastosować jak najwięcej z nich.

High Priority

Sekcja High Priority w iThemes Security zawiera bardzo ważne wskazówki, których wprowadzenie może znacząco podnieść poziom bezpieczeństwa naszej strony. Brzmią one następująco:

  • Uaktywnij wbudowany w iThemes Security moduł Brute Force Protection. Teraz mamy możliwość zablokowania możliwości logowania po kilku nieudanych próbach, ustalić maksymalną ilość prób logowania dla jednego użytkownika lub zablokować automatycznie użytkownika, który będzie próbował zalogować się jako admin.
  • Zaplanuj automatyczne tworzenie kopii zapasowych bazy danych. Ustalamy jak często mają się one wykonywać oraz gdzie zostanie ona umieszczona (e-mail lub serwer).
  • Pozwól na skanowanie w poszukiwaniu Malware. Wymagane będzie zarejestrowanie się aby uzyskać klucz.
  • Wymagaj mocnych haseł dla wszystkich typów użytkowników.
  • Wymagaj od wszystkich użytkowników unikalnych nazw.
high-priority

Zalecenia High Priority

Nadawanie uprawnień folderom

iThemes Security wyświetla także aktualne uprawnienia użytkowników do plików i folderów WordPressa oraz sprawdza czy są zgodne z zaleceniami. Aby je zmienić skorzystać możemy z dowolnego klienta serwerów FTP, np.: File Zilla czy Total Commander.
wordpress-file

System Information

Dashboard iThemes Security dostarcza nam także Informacje na temat aktualnego użytkownika, systemu plików, bazy danych, serwera, wersji php, konfiguracji WordPressa oraz wersji wtyczki iThemes Security oraz aktualnych blokad.

Według mnie ta wtyczka to obowiązek dla każdego posiadacza strony opartej o system WordPress. 35 przydatnych fukcji robi dobrą robotę. A czy wy stosujecie iThemes Security czy może macie większe zaufanie do innej wtyczki?

Jeśli artykuł spodobał Ci się skorzystaj udostępnij go dalej korzystając z poniższych Social Share Buttonów.

7 Responses

  1. Nie polecam tej wtyczki. Strasznie pamięcio-żerna, zamula WordPressa, że szok.
  2. arve_lek
    Dobra wtyczka. Korzystam z niej na swoich stronach.
  3. Warto wspomnieć by dodać swoje IP do Whitelist bo jeśli coś namieszamy czy po prostu błędne dane logowania będziemy wpisywać to po prostu nas zablokuje :) Korzystam z tej wtyczki już ponad rok, i generalnie na ta chwile jak dla mnie spełnia swoje zadania. Codziennie dostaję maila z informacją kto i jak próbował dostać się do panelu logowania i dlaczego mu się nie udało. Polecam, tylko konfigurować trzeba z głową ;)
  4. Jak już wyżej wspomniał Foxen wtyczka jest bardzo zasobożerna. Jako alternatywę mogę polecić: https://wordpress.org/plugins/wordfence/ Pozdrawiam!
  5. Hej, mogłby ktoś dodać tutaj tlumaczenie z logów co oznacza np 404ErrorsFound bo mam wejśćia z tego oznaczenia non stop i nie wiem o co chodzi
  6. […] Ta wtyczka wcześniej nazywała się Better WP Security. Zabezpiecza twojego bloga. Zapobiega wielokrotnym próbom logowań, mających na celu złamanie hasła. Banuje użytkowników, którzy podejmowali tego rodzaju próby. Wykrywa boty próbujące włamać się na stronę. W dużym stopniu poprawia bezpieczeństwo twojej witryny. Jedną z ciekawszych funkcjonalności jest możliwość ustalenia własnego adresu strony logowania. Minusem wtyczki jest trudna konfiguracja. Tutaj najlepszy opis po polsku jaki znalazłem: toplinkx.pl/blog/ithemes-security […]
  7. Igor
    Dzień dobry. Konfigurowałem dzisiaj iThemes Security i ustawiłem zabezpieczenie logowanie protokołem SSL. Teraz nie mogę zalogować się do mojego bloga i pojawia mi się kłódka na url-u oraz komunikat, że połączenie nie jest prywatne. Czy może mi ktoś z Państwa pomóc co mam zrobić ? Pozdrawiam serdecznie Igor Gębicki

Leave a comment