Sprievodca nastavením bezpečnostného pluginu iThemes Security

iThemes Security je popri WordFence, o ktorom v našej nápovede píšeme tiež, jedným z najlepších bezpečnostných pluginov pre WordPress, ktoré môžete použiť na zabezpečenie svojich webových stránok.

V tomto článku si ukážeme, ako sa iThemes Security nastavuje. Vzhľadom na to, že je v angličtine, si tu tiež postupne vysvetlíme všetky možnosti nastavenia.

niektorých porovnaní vychádza WordFence ako víťaz, v iných, naopak, vyhráva iThemes. My na náš WordPress hosting automaticky inštalujeme plugin WordFence, a to predovšetkým preto, že podporuje češtinu.

Nastavenie pluginu iThemes Security pre WordPress

iThemes Security obsahuje sprievodcu, ktorý vás nastavením v niekoľkých krokoch prevedie:

1. Výber typu stránky

Po inštalácii si môžete všimnúť výzvu na základné nastavenie zabezpečenia. Prejdite preto kliknutím na novú podstránku administrácie do nastaven pluginu Security → Setup

Dostanete sa na nástenku iThemes Security, kde si musíte vybrať typ stránky, ktorú prevádzkujete. Na výber máte z možností:

  • Ecommerce (E-shop)
  • Network (Sociálna sieť)
  • Non-profit (Nezisková organizácia)
  • Blog
  • Portfólio
  • Brochure (Firemná stránka)

Vyberte požadovaný typ webu. Podľa zvoleného typu sa bude líšiť druhý krok.

Ak si vyberiete napríklad E‑Shop, v druhom kroku budete ešte musieť vybrať používateľskú rolu, ktorú dostávajú zákazníci.

2. Pre koho web nastavujete

Teraz je potrebné zvoliť, kto nastavuje web. Na výber máte:

  • Self (Pre seba)
  • Client (Pre klienta)

3. Vynútenie silného hesla

Potom si treba nastaviť vynútenie použitia silného hesla. Odporúčame si túto možnosť aktivovať.

V prípade, že bude mať administrátor slabé heslo, plugin ho donúti si ho pri ďalšom prihlásení zmeniť na silné.

4. Features

Plugin obsahuje aj užitočné funkcie na ochranu webu. V tomto kroku si ich môžete nastaviť.

Login Security

  • Two-Factor – dvojfázové overenie pomocou e‑mailu pri prihlásení zašle na e‑mail používateľa kód, ktorým sa overí jeho identita.

Lockouts

  • Local Brute Force – ochrana proti prelomeniu hesla hrubou silou, pri ktorom sa útočník snaží heslo uhádnuť pomocou náhodných kombinácií.
  • Network Brute Force – prihlásenie do systému iThemes, kde sa predávajú informácie o „zlých IP“, po ktorom je používateľ z tejto IP automaticky zablokovaný.

Utilities

  • Security Check Pro – kontrola IP adresy používateľa pri prihlásení.

5. User Groups

V tomto kroku si môžete upraviť jednotlivé nastavenia pre používané používateľské skupiny.

Na výber máte z možností:

  • Default (Predvolené) – v drvivej väčšine prípadov využite toto
  • Custom

V prípade, že ste zvolili predvolené používateľské skupiny, môžete si teraz upraviť ich jednotlivé nastavenia.

Ide o skupiny Administrátor, Editor, Spolupracovník, Autor, Návštevník a ostatné.

Nastavenie pre jednotlivé používateľské roly je:

Global Settings

  • Manage iThemes Security – povoliť úpravu nastavenia iThemes Security

Security Dashboard

  • Enable Dashboard Creation – prístup na nástenku pluginu.

Password Requirements

  • Strong Passwords – silné heslá, po aktivácií budú používatelia pri registrácii prinútení zvoliť silné heslo (podľa WordPress hodnotení).
  • Refuse Compromised Passwords – vynútenie použitia hesla, ktoré sa neobjavilo v žiadnej databáze uniknutých hesiel.

6. Configure

Základné nastavenie pluginu a prístupov.

  • Authorized Hosts – tu si môžete pridať IP adresy overených používateľov, tieto IP sa zaradia na whitelist a nemôže pri nich dôjsť k banu.
  • API Configuration – zadajte e‑mail na aktiváciu Network Brute Force.

7. Notification Center

V centre notifikácií si môžete nastaviť pravidlá, na aký e‑mail, prípadne akej používateľskej role príde upozornenie pri bezpečnostnej udalosti.

8. Secure Site

Posledným krokom základného nastavenia je zhrnutie a uloženie.

Ďalšie voliteľné nastavenia iThemes Security

Okrem základného nastavenia má plugin aj ďalšie možnosti, ktoré si predstavíme nižšie.

Features

Login Security

  • Two-Factor – dvojfázové overenie pomocou e‑mailu, pri prihlásení zašle na e‑mail používateľa kód, ktorým sa overí jeho identita.

Lockouts

  • Ban Users – povolí funkciu banovania používateľov.
  • Local Brute Force – povolí funkciu ochrany proti útoku hrubou silou.
  • Network Brute Force – povolí prihlásenie do systému iThemes, kde sa predávajú informácie o „zlých IP“, potom je používateľ z tejto IP automaticky zablokovaný.

Site Check

  • File Change – funkcia, ktorá detekuje zmeny v súboroch vašej WordPress inštalácie. Po jej aktivácii sa vám môže zobraziť upozornenie, že pri aktuálnom nastavení maximálnej pamäte pre PHP skripty môže prísť k deaktivácii webu práve kvôli chybe pri nedostatku pamäte. Na bežnom hostingu asi bude s touto funkciou problém. Ak máte VPS s aspoň 256 MB PHP pamäte, nemali by nastať problémy. Musíte si však funkciu otestovať na svojom nastavení.

Utilities

  • Enforce SSL – vynútenie použitia SSL.
  • Database Backups – pretože základom bezpečnosti akejkoľvek internetovej stránky je práve zálohovanie, iThemes Security sa dokáže postarať o automatické pravidelné zálohy databázy a ich odosielanie na email alebo ukladanie na server.
  • Security Check Pro – kontrola IP adresy používateľa pri prihlásení.

User Groups

Global Settings

  • Manage iThemes Security – povoliť úpravu nastavenia iThemes Security

Security Dashboard

  • Enable Dashboard Creation – prístup na nástenku pluginu.

Password Requirements

  • Strong Passwords – silné heslá, po aktivácii budú používatelia pri registrácii prinútení zvoliť si silné heslo (podľa WordPress hodnotení).
  • Refuse Compromised Passwords – vynútenie použitia hesla, ktoré sa neobjavilo v žiadnej databáze uniknutých hesiel.

Configure

Global Settings

  • Write to Files – povolí zapisovať pluginu iThemes Security do súborov wp-config.php a .htaccess.
  • Lockouts
    – Minutes to Lockout – čas, počas ktorého bude používateľ zabanovaný po dosiahnutí limitu počtov prihlásení.
    – Days to Remember Lockouts – časové okno, v ktorom musí používateľ daného počtu banov dosiahnuť
    – Ban Repeat Offender – ak túto možnosť zaškrtnete, bude používateľ po určitom množstve (nastavíte neskôr) dočasných banov pridaný na čiernu listinu, čo znamená, že bude zabanovaný navždy. Niektorí roboti sú nepoučiteľní a stále sa vracajú, týmto dôjde k ich úplnému zablokovaniu.
    – Ban Threshold – po koľkých blokáciách (dočasných banoch, lockoutoch) dôjde k pridaniu na čiernu listinu.
  • Lockout Messages
    – Host Lockout Message – táto správa sa zobrazí pri zablokovaní serveru (IP adresy), môžete použiť niektoré HTML tagy (ich zoznam je pod formulárom
    – User Lockout Message – správa pre zablokovaného používateľa (zvyčajne, ak je zabanovaný kvôli veľkému množstvu neúspešných pokusov o prihlásenie).
    – Community Lockout Message – táto správa sa zobrazí používateľovi, ktorý bol zablokovaný na základe nesprávnej IP adresy.
  • Authorized Hosts
    – Automatically Temporarily Authorize Hosts – po prihlásení používateľa ho iThemes pridá na 24h na whitelist.
    – Authorized Hosts – IP adresy autorizovaných používateľov.
  • Logging
    – How should event logs be kept – kam by sa mali ukladať logy (odporúčame databázy).
    – Days to Keep Database Logs – na ako dlho uchovávať logy.
  • IP Detection
    – Proxy Detection – typ detekcie IP adresy
  • UI Tweaks
    – Hide Security Menu in Admin Bar – ukryje iThemes Security položku z hornej WordPress lišty.
    – Enable Grade Report – povolí Grade Report správy pri notifikáciách.

Lockouts

  • Default Ban List – touto možnosťou okamžite zabanujete všetky IP adresy uvedené v zozname, ktorý dal dokopy Jim Walker z HackRepair.com, odporúčame nezapínať, Seznam bot je súčasťou banu.
  • Enable Ban Lists  – povolí funkciu banovania používateľov.
  • Automatically ban „admin“ user – automaticky zabanuje používateľa, ktorý sa chce prihlásiť s používateľským menom admin.
  • Login Attempts
    – Max Login Attempts Per Host – maximálny počet pokusov o prihlásenie z IP.
    – Max Login Attempts Per User – maximálny počet pokusov o prihlásenie pre používateľa.
  • – Minutes to Remember Bad Login (check period) – obdobie, počas ktorého si plugin pamätá neúspešné pokusy.
  • Ban Reported IPs – banovať zlé IP.

Utilities

  • Scheduling
    – Schedule Database Backups – zaškrtnutím povolíte pravidelnú zálohu databázy.
  • Configuration
    – Backup Method – spôsob zálohovania (e-mailom, na hosting).
  • – Compress Backup Files – povoliť kompresiu zálohy.
  • Backup Tables – aké tabuľky databázy sa budú zálohovať.

Notifications

From Email  – nastavenie e‑mailu použitého ako odosielateľ.

Default Recipients – predovlená príjemci upozornení. Zaškrtnite vybrané.

  • – Enabled – aktivuje toto upozornenie.
    – Customize – zmena predmetu e‑mailu.
    – Schedule – frekvencia odosielania upozornení.
    – Recipient – príjemcovia upozornení.
  • Security Digest – denná súhrnná správa s informáciami o bezpečnosti webu.
    – Enabled – aktivuje toto upozornenie.
    – Customize – zmena predmetu e‑mailu.
    – Recipient – príjemci upozornení.
  • Site Lockouts – upozornenie pri zabanovaní používateľa. Pozor, pri väčšom útoku na web môžete naraz dostať aj stovky e‑mailov. Aktiváciu preto zvážte.
    – Enabled – aktivuje toto upozornenie.
    – Customize – zmena predmetu e‑mailu.
  • – Recipient – príjemci upozornení.
  • Database Backup – upozornenie po vytvorení zálohy databázy.
    – Customize – zmena predmetu e‑mailu.
    – Recipient – príjemci upozornení.

Pokročilé nastavenie v iThemes Security

V ľavom dolnom rohu v nastavení pluginu nájdete odkaz na pokročilé nastavenie. Poďme sa pozrieť, na jednotlivé možnosti, ktoré tu máte k dispozícii.

System Tweaks  – Úpravy v nastavení serveru.

  • File Access
    – Protect System Files – touto funkciou zamedzíte komukoľvek zobraziť súbory readme.html, readme.txt, wp-config.php, install.php, wp-includes a .htaccess, ktoré môžu prezradiť dôležité informácie (napríklad verziu WordPressu).
    – Disable Directory Browsing – zamedzí používateľom zobrazovať adresáre, kde nie je žiadny index súbor. Zamedzí hackerom poznať adresárovú štruktúru vášho webu. Túto znalosť by mohol skúsený hacker zneužiť.
  • PHP Execution
    – Disable PHP in Uploads – zabráni vykonávaniu PHP skriptov v adresári Uploads.
    – Disable PHP in Plugins – zabráni vykonávaniu PHP skriptov v adresári Plugins.
    – Disable PHP in Themes – zabráni vykonávaniu PHP skriptov v adresári Themes (WordPress šablóny).

System Tweaks  – Úpravy v správaní WordPressu.

  • Disable File Editor
    – základná bezpečnostná funkcia, ktorá vypne editor kódu v administrácii.
  • API Access
    – XML-RPC – deaktivácia XML-RPC funkcie. Odporúčame vypnúť, ale následne vám nebudú fungovať niektoré pluginy, ktoré XML-PRC vyžadujú (napr. JetPack).
    – REST API – deaktivácia REST API.
  • Users
    – Login with Email Address or Username – povolí možnosť prihlásenia pomocou e‑mailu, používateľského mena alebo jedného z nich.
    – Force Unique Nickname – pri registrácii a aktualizácii profilu bude WordPress vyžadovať unikátne používateľské meno.
    – Disable Extra User Archives – vypne zobrazovanie profilov používateľov (Author Page), ktorí na vašu stránku neprispievajú, vďaka čomu sa zamedzí zhromažďovaniu používateľských mien rôznymi robotmi.

Hide Backend  – Presun prihlasovacieho formulára na inú adresu než /wp-admin, wp-login.php a ďalšie predvolené adresy WordPressu je jedným zo základných prvkov obrany proti hackerom a rôznym botom.

WordPress je dnes už notoricky známym redakčným systémom pre všetkých, ktorí majú niečo spoločné s tvorbou webu, takže každý vie, kde sa prihlasovacia obrazovka nachádza.

Aby sme hodili ďalšie poleno pod nohy všetkým hackerom, zmeníme si adresu na login do administrácie.

  • Hide Backend
    – aktivujte na „ukrytie“ všetkých formulárov na prihlásenie.
  • URLs
    – Login Slug – slovo, ktoré bude použité na stránke s prihlasovacím formulárom. Predvolený je „wplogin“ – odporúčame nastaviť na iné slovo ako „logintowp“, „wpprihlasenie“ a pod. V prípade „logintowp“ by ste potom prihlásenie do administrácie našli na adrese www.vasadomena.sk/logintowp.
    – Register Slug – slovo na registráciu.
  • Redirection
    – Enable Redirection – povolí presmerovanie.
    – Redirection Slug – slovo, kam bude presmerovaný používateľ pri zadaní zablokovaného štandardného prihlasovacieho formulára.
  • Advanced
    – Custom Login Action – WordPress používa na obsluhu prihlasovania/odhlasovania premennú action, ktorá môže nadobúdať najrôznejšie hodnoty. iThemes Security zvláda tie základné, ale niektoré šablóny alebo pluginy môžu vyžadovať vlastnú akciu. Ak o nejakej podobnej akcii viete, môžete ju pridať (zvyčajne to však nie je potrebné).

Change Database Prefix – zmena prefixu databázy

Poznámka: Pred touto zmenou odporúčame spraviť si zálohu databázy.

Databáza je asi najdôležitejším prvkom celej WordPress inštalácie, a preto jej bezpečnosť neradno podceňovať.

Jedným zo základných zabezpečovacích krokov je uvedenie iného než predvoleného prefixu tabuliek („wp_“).

Zmena prefixu je s pluginom iThemes Security veľmi jednoduchá:

  1. Settings vyberte v ľavom dolnom rohu Tools.
  2. Tu je rozbaľovacia položka Change Database Prefix.
  3. Po rozbalení kliknite na Run a prefix databázy je zmenený.

Sekcia Logs

Logy nájdete v ľavom WordPress menu Security → Logs.

V logoch môžete nájsť všetky problémy odhalené pluginom iThemes Security.

Ak napríklad niekto uskutoční neúspešný pokus o prihlásenie, uvidíte to tu. Ak sa niekomu objaví chyba 404, hlásenie bude aj v logu.

Čas od času je dobré sa do logov pozrieť, aj napriek tomu, že o dôležitých udalostiach budete upozornení e‑mailom (ak ste si to tak nastavili v Settings → Nastavenie).

Na záver

Zabezpečenie WordPressu by sa určite nemalo podceňovať a iThemes Security je skvelý plugin schopný odstrániť široké spektrum bezpečnostných problémov, ktorými WordPress trpí.

Dúfame, že článok vám trochu pomôže s nastavením bezpečnosti na vlastnom webe.

Ovládnite WordPress

S našim úplne novým WordPress hostingom je tvorba webu hračka.

Zistiť viac

Posledná aktualizácia:

Toto je testovacia verzia webstránky

POZRIEŤ ŽIVÚ STRÁNKU