Начало работы с WP Cerber Security
Не беспокойтесь. Безопасность WordPress — это уже не высшая математика.
English version: Getting Started with WP Cerber Security
После установки и активации плагина автоматически загружается набор необходимых настроек. Они позволяют WP Cerber эффективно защищать ваш WordPress. Однако для оптимального использования WP Cerber и обеспечения высочайшего уровня защиты вашего сайта необходима продуманная настройка плагина.
1. Убедитесь, что Cerber правильно определяет IP-адреса.
- Откройте страницу « Какой у меня IP-адрес» в вашем браузере.
- Откройте вторую вкладку (окно) браузера и перейдите на вкладку «Инструменты / Диагностика» в настройках вашей установки WP Cerber на вашем сайте.
- Найдите строку «Ваш IP-адрес определен как» в разделе «Информация о системе».
- Сравните IP-адрес на странице « Какой у меня IP-адрес» с IP-адресом, указанным в строке «Ваш IP-адрес определен как…».
- Вы должны увидеть два одинаковых IP-адреса. Если вы видите два разных IP-адреса, вам нужно проверить в основных настройках плагина, что ваш сайт находится за обратным прокси-сервером, и повторить описанные выше шаги.
- Если вы по-прежнему видите два разных IP-адреса, и веб-сайт не находится за прокси-сервером, выполните следующие действия: Решение проблемы с некорректным определением IP-адреса
- Ещё один шаг, если ваш WordPress находится под управлением Cloudflare.
2. Разрешить загрузку плагина в стандартном режиме.
Перейдите в «Основные настройки» и установите параметр «Загрузка механизма безопасности» в стандартный режим .
3. Убедитесь, что вы получаете уведомления по электронной почте.
После активации плагина на адрес электронной почты администратора сайта отправляется приветственное письмо. Если вы не получили приветственное письмо, убедитесь, что адрес электронной почты, указанный на вкладке «Уведомления» , верен и письма от плагина не попадают в папку «Спам». Если вы не получили приветственное письмо, скорее всего, вы не получите и другие важные уведомления. Вы можете ввести альтернативные адреса электронной почты в текстовое поле «Адрес электронной почты» . Чтобы проверить доставку, нажмите любую из ссылок «Отправить тестовое письмо».
Читайте также: Как настроить мобильные уведомления на смартфоне
4. Включите собственную страницу входа и регистрации.
Чтобы скрыть стандартную страницу входа в WordPress wp-login.php от автоматических атак и спам-регистраций, укажите собственный URL-адрес страницы входа и отключите wp-login.php. Примечание: если вы используете плагин кэширования (например, W3 Total Cache или WP Super Cache), вам необходимо добавить свой пользовательский URL-адрес страницы входа в список страниц, которые не следует кэшировать.
Как настроить пользовательский URL-адрес для входа в WordPress
5. Добавьте свой домашний или офисный IP-адрес в список разрешенных IP-адресов.
Если вы работаете из дома или офиса на компьютере со статическим IP-адресом, целесообразно добавить этот IP-адрес (или всю корпоративную сеть) в белый список IP-адресов. Это позволит достичь двух целей: предотвратить случайную блокировку доступа к вашему сайту и ограничить доступ к XML-RPC, REST API и другим важным компонентам WordPress.
Подробнее: Как использовать списки доступа в WordPress
6. Включите защиту от спама.
Антиспамовый движок Cerber совместим с большинством конструкторов форм WordPress и способен защитить практически любую форму. На странице администрирования «Антиспам» включите все необходимые функции в разделе « Антиспамовый движок Cerber» . После включения антиспама убедитесь, что формы на вашем сайте работают нормально. Если некоторые функции сайта перестали работать, включите параметр «Использовать менее строгие правила (разрешить AJAX)» .
Наконец, позвольте плагину очистить пространство от спам-комментариев. Выберите вариант полного запрета спам-комментариев или только пометки их как спам . Включите автоматическое перемещение спама в корзину.
- Как предотвратить регистрацию спам-пользователей в WordPress
- Как предотвратить отправку спам-запросов через формы обратной связи на вашем WordPress
- Как настроить reCAPTCHA для WordPress
7. Ограничить доступ к REST API и XML-RPC.
- Перейдите на страницу администрирования «Усиление безопасности» .
- Установите флажок «Отключить REST API» . При необходимости укажите исключения для пространств имен REST API. Например, если вы используете Contact Form 7, пространство имен будет
contact-form-7, а для Jetpack —jetpack. - Установите флажок «Разрешить REST API для авторизованных пользователей», если вы хотите разрешить использование REST API любому авторизованному пользователю WordPress без ограничений.
- Установите флажок «Отключить XML-RPC», если вы не используете плагин Jetpack. Если вы используете XML-RPC только с определенных хостов, добавьте их IP-адреса в белый список IP-адресов для доступа .
Подробнее: Ограничение доступа к REST API WordPress
8. Укажите список запрещенных имен пользователей.
Перейдите на страницу администрирования пользователей плагина и, если ваш список по-прежнему пуст, рекомендуется добавить в него следующие имена пользователей: admin, administrator, manager, editor, user, demo, test .
Подробнее о запрещенных именах пользователей.
9. Включите двухфакторную аутентификацию.
Для защиты учетных записей пользователей и предотвращения их несанкционированного доступа включите двухфакторную аутентификацию. Она обеспечивает дополнительный уровень безопасности, требуя второго фактора идентификации помимо имени пользователя и пароля WordPress.
Подробнее: Двухфакторная аутентификация для WordPress
10. Включите автоматические обновления для WP Cerber.
Регулярные обновления WP Cerber крайне важны для надежной безопасности WordPress, поскольку мы постоянно совершенствуем его алгоритмы, внедряем защиту от новых угроз и исправляем программные ошибки. Вы можете включить их всего за несколько кликов: Как включить автоматические обновления для WP Cerber.
11. Включите маскирование полей формы для инспектора дорожного движения.
Если у вас включено сохранение полей формы в журнал ( функция «Сохранять поля запроса» включена) и вы используете плагин, генерирующий форму входа для вашего сайта, вам необходимо добавить имя поля формы пароля в параметр «Маскировать эти поля формы» на странице настроек Traffic Inspector. WP Cerber всегда маскирует поле пароля в стандартной форме входа WordPress, а также следующие поля формы: «pwd», «pass», «password».
Инспектор дорожного движения и порядок ведения учета
12. Разрешить отправку вредоносных IP-адресов в лабораторию Cerber.
Позвольте команде разработчиков плагина улучшить алгоритмы безопасности и оптимизировать его производительность. Перейдите в Главные настройки , в разделе «Действия» включите подключение к Cerber Lab . Для повышения безопасности установите протокол Cerber Lab на HTTPS. Подробнее о Cerber Lab можно прочитать здесь .
13. Включите мобильные оповещения и уведомления по электронной почте.
Если вы хотите отслеживать определённую активность или получать уведомления о регистрации или входе пользователя на ваш сайт, отфильтруйте определённую активность на вкладке «Активность» и нажмите « Создать оповещение» . Подробнее: Удобные уведомления WordPress .
Есть вопрос или нужна помощь с WP Cerber?
"Получите
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.