Начало работы с WP Cerber Security
Не беспокойтесь. Безопасность WordPress больше не является чем-то высшим.
English version: Getting Started with WP Cerber Security
После установки и активации плагина он автоматически загружает набор необходимых настроек. Они позволяют WP Cerber эффективно защищать ваш WordPress. Однако для оптимального использования WP Cerber и обеспечения наивысшего уровня защиты вашего сайта необходима продуманная настройка плагина.
1. Убедитесь, что Cerber правильно определяет IP-адреса.
- Откройте страницу «Какой у меня IP-адрес» в вашем браузере.
- Откройте вторую вкладку (окно) браузера и перейдите на вкладку «Инструменты» / «Диагностика» вашей установки WP Cerber на вашем веб-сайте.
- Найдите строку «Ваш IP-адрес определен как» в разделе «Информация о системе».
- Сравните IP-адрес на странице «Какой у меня IP-адрес» с IP-адресом, указанным в строке «Ваш IP-адрес определен как».
- Вы должны увидеть два одинаковых IP-адреса. Если вы видите два разных IP-адреса, вам нужно проверить Мой сайт находится за обратным прокси-сервером в Главных настройках плагина и повторить шаги, описанные выше.
- Если вы по-прежнему видите два разных IP-адреса и веб-сайт не находится за прокси-сервером, следуйте этим инструкциям: Решение проблемы с неправильным определением IP-адреса
- Еще один шаг, если ваш WordPress находится в Cloudflare
2. Включить загрузку плагина в стандартном режиме
Перейдите в раздел «Основные настройки» и установите для параметра «Загрузка модуля безопасности» значение «Стандартный режим» .
3. Убедитесь, что вы получаете уведомления по электронной почте.
При активации плагина он отправляет приветственное письмо на адрес электронной почты администратора сайта. Если вы не получили приветственное письмо, убедитесь, что адрес электронной почты, который вы видите на вкладке Уведомления, правильный, и письма от плагина не попадают в папку со спамом. Если вы не получили приветственное письмо, скорее всего, вы не будете получать другие важные уведомления. Вы можете ввести альтернативные адреса электронной почты в текстовое поле Адрес электронной почты . Чтобы проверить доставку, нажмите любую ссылку Нажмите, чтобы отправить тест .
Подробнее: Как настроить мобильные уведомления на смартфоне
4. Включите свою собственную страницу входа и регистрации.
Чтобы скрыть страницу входа WordPress по умолчанию wp-login.php от автоматизированных атак и спам-регистраций, укажите свой собственный URL-адрес входа (страницу входа) и отключите wp-login.php. Примечание: если вы используете плагин кэширования (например, W3 Total Cache или WP Super Cache), вам необходимо добавить свой URL-адрес входа в список страниц, которые не нужно кэшировать.
Как настроить пользовательский URL-адрес входа для WordPress
5. Добавьте свой домашний или офисный IP-адрес в список разрешенных IP-адресов.
Если вы работаете дома или в офисе на компьютере со статическим IP-адресом, разумно добавить этот IP-адрес (или всю сеть компании) в Белый список доступа IP. Вы можете достичь двух целей. Это предотвращает случайную блокировку вашего сайта и позволяет ограничить доступ к XML-RPC, REST API и другим важным частям WordPress.
Подробнее: Как использовать списки доступа для WordPress
6. Включите защиту от спама
Антиспамовый движок Cerber совместим с большинством конструкторов форм WordPress и способен защитить практически любую форму. На странице администратора Антиспам включите все необходимые функции в разделе Антиспамовый движок Cerber . После включения антиспама убедитесь, что формы на вашем сайте работают нормально. Если некоторые функции на сайте перестали работать, включите Использовать менее строгие политики (разрешить AJAX) .
Наконец, позвольте плагину убрать беспорядок со спам-комментариями. Выберите полностью запретить спам-комментарии или только пометить их как спам . Включите автоматическое перемещение спама в корзину.
- Как остановить спам-регистрации пользователей на вашем WordPress
- Как остановить отправку спам-форм на вашем WordPress
- Как настроить reCAPTCHA для WordPress
7. Ограничьте доступ к REST API и XML-RPC
- Перейдите на страницу администратора Hardening .
- Установите флажок Disable REST API . Укажите исключения пространства имен для REST API, если это необходимо. Например, если вы используете Contact Form 7, пространство имен —
contact-form-7
, а для Jetpack —jetpack
. - Установите флажок Разрешить REST API для зарегистрированных пользователей, если вы хотите разрешить использование REST API любому авторизованному пользователю WordPress без ограничений.
- Установите флажок Disable XML-RPC, если вы не используете плагин Jetpack. Если вы используете XML-RPC только с определенных хостов, добавьте их IP-адреса в White IP Access List .
Подробнее: Ограничить доступ к WordPress REST API
8. Укажите список запрещенных имен пользователей.
Перейдите на страницу администрирования пользователей плагина и, если ваш список по-прежнему пуст, рекомендуется добавить в этот список следующие имена пользователей: admin, administrator, manager, editor, user, demo, test .
Узнайте больше о запрещенных именах пользователей
9. Включите двухфакторную аутентификацию
Чтобы защитить учетные записи пользователей и предотвратить захват учетных записей, включите двухфакторную аутентификацию. Она обеспечивает дополнительный уровень безопасности, требуя второго фактора идентификации помимо имени пользователя и пароля WordPress.
Подробнее: Двухфакторная аутентификация для WordPress
10. Включите автоматические обновления для WP Cerber
Регулярные обновления WP Cerber имеют решающее значение для надежной безопасности WordPress, поскольку мы постоянно совершенствуем его алгоритмы, внедряем защиту от возникающих угроз и исправляем ошибки программного обеспечения. Вы можете включить их в пару кликов: Как включить автоматические обновления для WP Cerber.
11. Включить маскировку полей формы для Traffic Inspector
Если вы включили сохранение полей форм в журнал (включено Сохранение полей запросов ) и используете плагин, который генерирует форму входа для вашего сайта, вам необходимо добавить имя поля формы пароля в поле Маскировать эти поля формы на странице настроек Traffic Inspector. WP Cerber всегда маскирует поле пароля в форме входа WordPress по умолчанию и следующие поля формы: «pwd», «pass», «password».
Инспектор дорожного движения и как вести журнал
12. Разрешить отправку вредоносных IP-адресов в лабораторию Cerber
Позвольте команде плагина улучшить алгоритмы безопасности в плагине и оптимизировать его производительность. Перейдите в Главные настройки , в разделе Активность включите соединение Cerber Lab . Для лучшей безопасности установите протокол Cerber Lab на HTTPS. Узнайте больше о Cerber Lab .
13. Включите оповещения на мобильные устройства и уведомления по электронной почте
Если вы хотите следить за определенной активностью или получать уведомления, когда пользователь зарегистрировался или вошел на ваш сайт, отфильтруйте определенную активность на вкладке «Активность» и нажмите « Создать оповещение» . Подробнее: Уведомления WordPress стали проще .