Начало работы с WP Cerber Security
Не беспокойся. Безопасность WordPress больше не является ракетостроением.
English version: Getting Started with WP Cerber Security
После установки и активации плагина он автоматически загружает набор необходимых настроек. Они позволяют WP Cerber эффективно защитить ваш WordPress. Однако для оптимального использования WP Cerber и обеспечения высочайшего уровня защиты вашего сайта необходима продуманная настройка плагина.
1. Убедитесь, что Cerber правильно определяет IP-адреса.
- Откройте страницу «Какой у меня IP-адрес» в браузере?
- Откройте вторую вкладку браузера (окно) и перейдите на вкладку «Инструменты/Диагностика» вашей установки WP Cerber на своем веб-сайте.
- Найдите строку «Ваш IP-адрес определен как» в разделе «Информация о системе».
- Сравните IP-адрес на странице «Какой у меня IP-адрес» с IP-адресом, указанным в строке «Ваш IP-адрес определен как».
- Вы должны увидеть два одинаковых IP-адреса. Если вы видите два разных IP-адреса, вам необходимо проверить «Мой сайт находится за обратным прокси-сервером» в основных настройках плагина и повторить шаги, описанные выше.
- Если вы по-прежнему видите два разных IP-адреса и веб-сайт не находится за прокси-сервером, следуйте этим инструкциям: Решение проблемы с неправильным определением IP-адреса.
- Еще один шаг, если ваш WordPress находится под Cloudflare
2. Включите загрузку плагина в стандартном режиме.
Перейдите в «Основные настройки» и установите для параметра «Загрузить механизм безопасности» значение «Стандартный режим» .
3. Убедитесь, что вы получаете уведомления по электронной почте.
Когда вы активируете плагин, он отправляет приветственное письмо на адрес электронной почты администратора сайта. Если вы не получили приветственное письмо, убедитесь, что адрес электронной почты, который вы видите на вкладке «Уведомления» , правильный и электронные письма от плагина не попадают в папку «Спам». Если вы не получили приветственное письмо, скорее всего, вы не получите и другие важные уведомления. Вы можете ввести альтернативные адреса электронной почты в текстовое поле «Адрес электронной почты» . Чтобы проверить доставку, нажмите любую ссылку «Нажмите, чтобы отправить тестовую» .
Подробнее: Как настроить мобильные уведомления на смартфоне
4. Включите собственную страницу входа и регистрации.
Чтобы скрыть страницу входа в WordPress wp-login.php по умолчанию от автоматических атак и спам-регистраций, укажите свой собственный URL-адрес входа (страницу входа) и отключите wp-login.php. Примечание. Если вы используете плагин кеширования (например, W3 Total Cache или WP Super Cache), вам необходимо добавить свой собственный URL-адрес для входа в список страниц, которые не кэшируются.
Как настроить собственный URL-адрес для входа в WordPress
5. Добавьте свой домашний или офисный IP-адрес в список белого IP-доступа.
Если вы работаете дома или в офисе на компьютере со статическим IP-адресом, разумно добавить этот IP-адрес (или всю сеть компании) в белый список доступа IP. Вы можете достичь двух целей. Это предотвращает случайную блокировку вашего веб-сайта и позволяет ограничить доступ к XML-RPC, REST API и другим важным частям WordPress.
Подробнее: Как использовать списки доступа для WordPress
6. Включите защиту от спама
Механизм защиты от спама Cerber совместим с большинством конструкторов форм WordPress и способен защитить практически любую форму. На странице администрирования защиты от спама включите все необходимые функции в разделе механизма защиты от спама Cerber . После включения защиты от спама убедитесь, что формы на вашем сайте работают нормально. Если некоторые функции на веб-сайте перестали работать, включите «Использовать менее ограничительные политики (разрешить AJAX)» .
Наконец, позвольте плагину навести порядок в спам-комментариях. Выберите полностью запретить спам-комментарии или пометить их только как спам . Включите автоматическое перемещение спама в корзину.
- Как остановить спам-регистрацию пользователей на вашем WordPress
- Как остановить отправку спам-форм на вашем WordPress
- Как настроить reCAPTCHA для WordPress
7. Ограничьте доступ к REST API и XML-RPC.
- Перейдите на страницу администрирования Hardening .
- Установите флажок Отключить REST API . Если необходимо, укажите исключения пространства имен для REST API. Например, если вы используете контактную форму 7, пространство имен —
contact-form-7
, а для Jetpack —jetpack
. - Установите флажок Разрешить REST API для вошедших в систему пользователей, если вы хотите разрешить использование REST API любому авторизованному пользователю WordPress без ограничений.
- Установите флажок «Отключить XML-RPC», если вы не используете плагин Jetpack. Если вы используете XML-RPC только с определенных хостов, добавьте их IP-адреса в список доступа к белым IP-адресам .
Подробнее: Ограничить доступ к REST API WordPress.
8. Укажите список запрещенных имен пользователей
Перейдите на страницу администратора плагина « Пользователи » и, если ваш список все еще пуст, рекомендуется добавить в него следующие имена пользователей: admin, администратор, менеджер, редактор, пользователь, демо, тест .
Подробнее о запрещенных именах пользователей…
9. Включите двухфакторную аутентификацию.
Чтобы защитить учетные записи пользователей и предотвратить захват учетных записей, включите двухфакторную аутентификацию. Он обеспечивает дополнительный уровень безопасности, требующий второго фактора идентификации, помимо имени пользователя и пароля WordPress.
Подробнее: Двухфакторная аутентификация для WordPress
10. Включите автоматические обновления для WP Cerber.
Регулярные обновления WP Cerber имеют решающее значение для надежной безопасности WordPress, поскольку мы постоянно совершенствуем его алгоритмы, реализуем защиту от возникающих угроз и исправляем ошибки программного обеспечения. Включить их можно в пару кликов: Как включить автоматические обновления для WP Cerber.
11. Включить маскирование полей формы для Traffic Inspector.
Если вы включили сохранение полей формы в журнал (включено сохранение полей запроса ) и используете плагин, который генерирует форму входа на ваш сайт, вам необходимо добавить имя поля формы пароля в поле Маскировать эти поля формы на страница настроек инспектора трафика. WP Cerber всегда маскирует поле пароля в форме входа в WordPress по умолчанию и следующие поля формы: «pwd», «pass», «пароль».
Инспектор трафика и ведение журнала, как
12. Включить отправку вредоносных IP-адресов в лабораторию Cerber.
Позвольте команде плагина улучшить алгоритмы безопасности плагина и оптимизировать его производительность. Перейдите в Основные настройки , в разделе «Активность» включите подключение Cerber Lab . Для повышения безопасности установите для протокола Cerber Lab значение HTTPS. Узнайте больше о Cerber Lab .
13. Включите мобильные оповещения и уведомления по электронной почте.
Если вы хотите следить за определенными действиями или получать уведомления, когда пользователь зарегистрировался или вошел на ваш веб-сайт, отфильтруйте определенное действие на вкладке «Действия» и нажмите « Создать оповещение» . Подробнее: Уведомления WordPress стали проще .