Чтобы углубиться в настройку путей и лучше понять, зачем вам нужны все эти настройки, давайте рассмотрим наиболее важные функции, которые значительно повысят безопасность вашего сайта.
Изменить путь администратора WordPress
Самый важный путь в WordPress – это wp-admin, и единственный способ защитить этот путь – изменить его имя и скрыть его от ботов-хакеров.
Чтобы сделать это с 2H Protection, просто измените имя wp-admin на свое собственное имя в 2HP > Изменить пути > Безопасность администратора.
Пути НЕ меняются физически
2H Protection не будет физически изменять пути на вашем сервере. Он использует правила перезаписи, чтобы предотвратить любые функциональные ошибки.
Скрыть «wp-admin» от пользователей без прав администратора
По умолчанию путь wp-admin виден всем зарегистрированным пользователям.
Однако 2H Protection дает вам возможность отображать путь wp-admin только для администраторов сайта.
Включите 2HP > Изменить пути > Безопасность администратора > Скрыть «wp-admin» от пользователей без прав администратора, и зарегистрированные пользователи сайта смогут получить доступ к пути wp-admin, ТОЛЬКО если они являются администраторами сайта.
Включение этого параметра позволяет скрыть путь /wp-admin от пользователей, у которых нет роли Администратора.
Примечание! Отображение пути wp-admin, когда вы вошли в систему как администратор, предотвратит сбой вашего веб-сайта, если вы отключите плагин или если другой плагин использует старый путь администратора в бэкэнде.
Изменить путь входа в WordPress
WordPress wp-login, wp-login.php и пути входа в систему – это первые пути, к которым бот-хакер получит доступ для атак грубой силы. Если у вас есть CMS WordPress, изменение этих путей и их скрытие обязательно.
Чтобы сделать это с 2H Protection, просто измените имя wp-login на свое собственное имя в 2HP > Изменить пути > Безопасность входа.
Пути физически не изменены
2H Protection не будет физически изменять пути на вашем сервере. Он использует правила перезаписи, чтобы предотвратить любые функциональные ошибки.
Примечание! После того, как вы настроили путь wp-login, важно убедиться, что другие плагины НЕ настраивали этот путь. 2H Protection автоматически проверяет это, и если он определяет другой путь для wp-login, вы увидите уведомление о том, что для пути wp-login уже настроена настройка.
Однако помните, что могут возникнуть ситуации, когда вы настроили путь wp-login с помощью 2H Protection, а затем установили другой плагин, который также настраивает этот путь. Если этот плагин не имеет аналогичной проверки, вы можете выполнить несколько настроек пути wp-login, что может привести к конфликтам.
Изменить путь к автору и скрыть идентификатор
Многие хакерские боты отказываются от имени пользователя автора, вызывая ваш сайт с идентификатором автора. Взамен они получат имя автора, даже не угадав его. Имя пользователя будет использоваться для доступа к панели управления из вашей формы входа.
Чтобы изменить путь к автору, перейдите в 2HP > Изменить пути > Безопасность пользователя > Настраиваемый путь к автору и измените имя.
Перенаправление страницы автора на домашнюю страницу
Некоторые плагины и темы профиля используют путь к автору для портфолио пользователя и настраиваемой страницы профиля и не работают, если путь к автору изменен. В этом случае просто удалите пользовательский путь к автору и оставьте вместо него путь по умолчанию.
Чтобы отключить вызовы идентификатора автора, просто включите Скрыть URL-адрес автора в 2HP > Изменить пути > Безопасность пользователя > Скрыть URL-адрес Идентификатора Автора.
Как опция «Скрыть URL-адрес Идентификатора Автора» помогает повысить безопасность сайта?
Всякий раз, когда кто-то вводит URL-адрес вроде http://www.example.com/?author=1 на сайте WordPress, он будет автоматически перенаправлен на: http://www.example.com/author/username/, где имя пользователя (по умолчанию) логин автора с идентификатором 1 (обычно это пользователь с правами администратора).
Аналогичным образом, если кто-то наберет http://www.example.com/?author=2, он будет перенаправлен на http://www.example.com/author/person2/, где person2 – имя пользователя автора с идентификатором 2 (если такая учетная запись существует). И так далее.
Это плохо с точки зрения безопасности, поскольку раскрывает данные для входа в систему ваших авторов.
Если включить параметр “Скрыть URL-адрес Идентификатора Автора“, такие URL-адреса, как domain.com/?author=1, не будут отображать имя пользователя для входа.
Изменить путь к утерянному паролю
Измените путь к утерянному паролю, чтобы предотвратить рассылку спама с запросами нового пароля.
Чтобы изменить путь к утерянному паролю, перейдите в 2HP > Изменить пути > Безопасность входа > Настраиваемый путь к утерянному паролю и измените имя.
Изменить путь к регистрации
Измените путь к регистру, чтобы предотвратить рассылку спама с запросами новых пользователей.
Чтобы изменить путь регистрации, перейдите в 2HP > Изменить пути > Безопасность входа > Настраиваемый путь к регистрации и измените имя.
Изменить путь к выходу
Изменение пути выхода из системы не является обязательным. Однако это полезно, когда у вас есть настраиваемая панель управления для клиентов. Пользовательский путь выхода также применяется для плагинов WordPress, таких как WooCommerce, на странице учетной записи.
Чтобы изменить путь выхода, перейдите в 2HP > Изменить пути> Безопасность входа> Настраиваемый путь для выхода и измените имя.
Изменить путь к активации
Изменение пути активации на WordPress Multisite полезно, когда вы добавляете нового пользователя на свой дочерний сайт и не хотите, чтобы пользователь знал, что у вас есть WordPress CMS.
Чтобы изменить путь активации, перейдите в 2HP > Изменить пути> Безопасность входа > Настраиваемый URL активации и измените имя.
Изменить путь к admin-ajax.php
Все вызовы ajax в интерфейсе выполняются по URL-адресу по умолчанию /wp-admin/admin-ajax.php. Этот URL-адрес также используется хакерами для загрузки вирусов и скриптов на ваш сайт.
Чтобы изменить путь admin-ajax.php, перейдите в 2HP > Измените пути > Безопасность Ajax
> Настраиваемый путь к admin-ajax и измените имя.
Чтобы скрыть путь wp-admin от вызовов ajax, включите 2HP > Измените пути > Безопасность Ajax > Скрыть wp-admin из URL-адреса ajax.
Изменение этого URL-адреса обязательно. Скрытие wp-admin от вызовов ajax также является обязательным действием.
Проверка совместимости темы
Не все темы WP работают с настраиваемым путем ajax. После изменения этого пути убедитесь, что тема работает правильно.
Изменить пути в вызовах Ajax
Некоторые плагины используют параметры отложенной загрузки для загрузки видео и изображений только тогда, когда пользователь прокручивает до этого конкретного изображения. В этом случае изображения обычно вызываются через Ajax, и вы должны быть уверены, что пути к этим изображениям также изменились.
Если некоторые темы загружают стили CSS через Ajax, у вас могут быть дубликаты CSS, если пути не всегда совпадают.
Чтобы изменить пути в вызовах Ajax, включите 2HP > Изменить пути > Безопасность Ajax > Изменить пути в вызовах Ajax.
Изменить путь к wp-content
Все плагины и темы добавляются в каталог wp-content. Изменение содержимого wp и его скрытие из исходного кода – важный шаг в сокрытии веб-сайта от детекторов тем.
После изменения wp-content вы можете ограничить вызов wp-content отсюда.
Чтобы изменить путь wp-content, перейдите в 2HP > Изменить пути > Безопасность WP ядра > Настраиваемый путь к wp-content и измените имя.
Изменить путь к wp-includes
Основные скрипты и стили WordPress находятся в этом каталоге. Чтобы скрыть свой сайт WordPress от детекторов тем, вы должны настроить его имя и скрыть его из исходного кода во внешнем интерфейсе.
Чтобы изменить путь wp-includes, перейдите в 2HP > Изменить пути > Безопасность WP ядра > Настраиваемый путь к wp-includes и измените имя.
Изменить путь к wp-content/uploads
Поскольку все загруженные изображения по умолчанию находятся в этом каталоге, вам необходимо изменить этот путь, чтобы скрыть свой веб-сайт от детекторов тем.
Вы также можете защитить уязвимый скрипт от каталога загрузок здесь.
Чтобы изменить путь wp-content/uploads, перейдите в 2HP > Изменить пути > Безопасность WP ядра > Настраиваемый путь к загрузкам и измените имя.
Изменить путь к комментариям
Чтобы изменить путь к комментарию, перейдите в 2HP > Изменить пути > Безопасность WP ядра > Настраиваемый путь к комментариям и измените имя.
Изменить путь к плагинам
В этой функции есть два уровня безопасности. 2H Protection позволяет изменить путь ко всем плагинам и автоматически добавляет пользовательские имена к каждому активному плагину. После изменения пути wp-content/plugins важно ограничить доступ к нему отсюда.
Чтобы изменить путь wp-content/plugins, перейдите в 2HP > Изменить пути > Безопасность плагинов > Настраиваемый путь к плагинам и измените имя.
Пример: wp-content/plugins становится wp-content/modules, если вы настроили его, как показано на скриншоте ниже.
Чтобы изменить все имена плагинов, включите 2HP > Изменить пути > Безопасность плагинов> Скрыть имена плагинов.
Когда эта опция включена, 2H Protection будет присвоить случайные имена каждому активному плагину на вашем сайте.
^^ Если вы включите эту опцию, вы также сможете выбрать, нужно ли скрывать все плагины (то есть: оба плагина, которые активны, И плагины, которые вы деактивировали для своего сайта).
Показать дополнительные параметры
Чтобы вручную настроить имя каждого плагина и перезаписать случайные имена, заданные 2H Protection, активируйте Показать дополнительные параметры.
Примечание! Этот параметр будет отображаться только в том случае, если вы включили: Скрыть имена плагинов. Настроенные здесь индивидуальные имена плагинов будут заменять только случайные имена для выбранных вами плагинов. Если вы не присвоите плагину собственное имя, 2H Protection продолжит отображать случайное имя.
Чтобы присвоить плагину собственное имя:
- выберите плагин из выпадающего списка
2H Protection автоматически обнаружит все активные плагины, установленные на вашем сайте в данный момент, и отобразит их в раскрывающемся списке.
Если вы хотите, чтобы 2H Protection отображал как активные плагины, так и плагины, которые вы деактивировали для своего сайта, обязательно включите: Скрыть все плагины.
Для WordPress Multisite 2H Protection отобразит все плагины, независимо от того, включен ли параметр «Скрыть все плагины» или нет.
- запишите индивидуальное имя в специальном поле. Мы рекомендуем не использовать те же слова, которые вы использовали для настраиваемого пути к плагинам или любого другого настраиваемого пути.
💡 Вы можете настроить эту настройку для любого количества плагинов, следуя тот же процесс.
Если вы хотите удалить элемент и отключить настройку имени, которую вы настроили для определенного плагина, просто нажмите на символ X.
Скрыть путь к старым плагинам WordPress
Чтобы скрыть старый путь /wp-content/plugins после его замены новым, активируйте 2HP > Изменить пути > Безопасность плагинов > Скрыть старый путь к плагину WordPress.
Изменить путь к темам
В этой функции есть два уровня безопасности. 2H Protection позволяет изменить путь ко всем темам и автоматически добавляет пользовательские имена к каждой активной теме. После изменения пути wp-content/themes важно ограничить доступ к нему отсюда.
Чтобы изменить путь wp-content/themes, перейдите в 2HP > Изменить пути > Безопасность тем > Настраиваемый путь к темам и измените имя.
Чтобы изменить все имена тем, включите 2HP > Изменить путь > Безопасность тем > Скрыть названия тем.
Когда эта опция включена, 2H Protection будет присвоить случайное имя каждой теме (работает в WordPress Multisite).
Показать дополнительные параметры
Чтобы вручную настроить имя каждой темы и перезаписать случайные имена, заданные 2H Protection, активируйте Показать дополнительные параметры.
Примечание! Этот параметр будет отображаться только в том случае, если вы включили: Скрыть названия тем. Настроенные здесь индивидуальные имена тем будут заменять только случайные имена выбранных вами тем. Если вы не присвоите теме собственное имя, 2H Protection продолжит отображать случайное имя.
Чтобы присвоить теме собственное имя:
- выберите тему из раскрывающегося списка. 2H Protection автоматически обнаружит все темы (включая деактивированные) на вашем сайте WordPress в раскрывающемся списке.
- запишите индивидуальное имя в специальном поле. Мы рекомендуем не использовать те же слова, которые вы использовали для пользовательского пути тем или любого другого пользовательского пути.
💡 Вы можете настроить эту настройку для любого количества тем, выполнив тот же процесс. Если вы хотите удалить элемент и отключить настройку имени, которую вы настроили для определенной темы, просто нажмите на символ X.
Скрыть путь к старым темам WordPress
Чтобы скрыть старый путь /wp-content/themes после его замены новым, активируйте 2HP > Изменить путь > Безопасность тем > Скрыть путь к старым темам WordPress.
Изменить путь к REST API
REST API недавно используется WP 5 для многих действий администратора и даже в редакторе сообщений, но WordPress работает с любым пользовательским путем API, а не только с /wp-json.
По умолчанию как для Безопасного режима, так и для Режима призрака 2H Protection оставит wp-json по умолчанию в качестве настраиваемого пути wp-json (причина этого в том, что многие плагины по-прежнему используют этот путь по умолчанию для доступа к индексу REST API) .
Однако вы можете это настроить.
Изменение /wp-json и сокрытие его от хакеров – большой шаг в повышении безопасности веб-сайта.
Чтобы изменить путь к API, перейдите в 2HP > Изменить пути > Безопасность API > Настраиваемый путь wp-json и измените имя.
Обновление пути REST API отложено
Иногда WP требуется некоторое время, чтобы обновить настройки с новым путем к API.
Чтобы убедиться, что WordPress меняет путь к API на собственный, сохраните настройки в «Настройки»> «Изменить пути»> «Безопасность API».
Чтобы скрыть тег ссылки Rest API из заголовка веб-сайта, включите 2HP > Изменить пути > Безопасность API > Скрыть URL-ссылку REST API
Чтобы отключить доступ к Rest API, включите 2HP > Изменить пути > Безопасность API > Отключить доступ к REST API.
Примечание! Даже если REST API отключен, 2H Protection будет ограничивать доступ к API только посетителям сайта, но НЕ зарегистрированным пользователям. Это предотвратит большинство ошибок, которые могут появиться в админке.
Отключить доступ XML-RPC
XML-RPC API, предоставляемый WordPress, дает разработчикам возможность писать приложения (для вас), которые могут делать многие из вещей, которые вы можете делать при входе в WordPress через веб-интерфейс.
Этот путь xml-rpc.php также используется для атак грубой силы, поскольку он не защищен ограничением попыток WordPress.
Прежде чем активировать эту функцию, прочтите: Следует ли отключать XML-RPC в WordPress?
Совместимость с подключаемым модулем JetPack: чтобы скрыть XML-RPC от хакеров, но разрешить IP-адресам Jetpack доступ к веб-сайту: добавьте этот код в .htaccess в начало файла:
<Files xmlrpc.php> Order deny,allow Deny from all Allow from 127.0.0.1 Allow from *.wordpress.com Allow from 192.0.64.0/18 Allow from 185.64.140.0/22 Allow from 2a04:fa80::/29 Allow from 76.74.255.0/22 Allow from 192.0.65.0/22 Allow from 192.0.80.0/22 Allow from 192.0.96.0/22 Allow from 192.0.123.0/22 Satisfy All ErrorDocument 404 / </Files>
Теперь, когда кто-то пытается напрямую получить доступ к xmlrpc.php, он видит ошибку 403 Forbidden.
Чтобы полностью отключить доступ XML-RPC, включите 2HP > Изменить пути> Безопасность API > Отключить доступ XML-RPC.
Удаленный доступ к XML-RPC
XML-RPC по-прежнему используется удаленными службами, такими как Jetpack и Zapier.Перед отключением убедитесь, что на вашем веб-сайте нет сервисов, использующих эту функцию.
Скрыть конечную точку RSD (Really Simple Discovery)
Really Simple Discovery (RSD) – это XMLформат и соглашение о публикации для того, чтобы сделать сервисы, предоставляемые блогом или другим веб-программным обеспечением, обнаруживаемыми клиентским программным обеспечением.
В нашем случае этот заголовок будет предоставлять службу WordPress при каждом вызове веб-сайта.
Скрытие заголовка RSD обязательно, если вы хотите скрыть CSM WordPress от детекторов тем.
Эта функция также:
- удаляет ссылку RSD META из исходного кода
- удаляет заголовок rsd_link
- удаляет информационный заголовок PHP
Чтобы активировать эту функцию, включите 2HP > Изменить пути> Безопасность API > Отключить конечную точку RSD (Really Simple Discovery) из XML-RPC.
Скрыть общие пути WordPress
Важным действием для защиты вашего сайта от хакерских атак является сокрытие общих путей WordPress после изменения имен путей.
2H Protection добавит фильтр в файл конфигурации, чтобы отображать ошибку 404, когда пользователь не вошел на веб-сайт и пытается получить доступ к путям.
Эта опция скрывает следующие основные пути: /wp-content, /wp-include, /plugins, /themes. Он также скроет для посетителей upgrade.php и install.php.
Чтобы скрыть общие пути WordPress, включите 2HP > Изменить пути> Безопасность WP ядра > Скрыть общие пути WordPress.
Проверка совместимости темы
Не все темы WP работают, если эта опция активирована. После активации этой опции убедитесь, что веб-сайт работает правильно.
Скрыть общие файлы WordPress
Важным действием для сокрытия вашего сайта от детекторов тем и защиты вашего сайта от хакерских атак является сокрытие общих файлов WordPress.
2H Protection добавит фильтр в файл конфигурации, чтобы отображать ошибку 404, когда пользователь не вошел на веб-сайт и не обращается к файлам.
Чтобы скрыть общие файлы WordPress, включите 2HP > Изменить пути > Безопасность WP ядра > Скрыть общие файлы WordPress.
После активации опции выберите файлы, которые хотите скрыть от хакеров.
Чтобы значительно уменьшить количество спама в комментариях на вашем веб-сайте, выберите файл wp-comments-post.php, который появится после того, как вы измените путь к комментариям.
После выбора файлы будут скрыты от посетителей, ботов-хакеров и детекторов тем.
Примечание! Скрытие файла wp-comments-post.php НЕ остановит людей, которые заполняют формы комментариев на вашем сайте и отправляют вам спам-комментарии. Чтобы полностью остановить спам-комментарии, мы рекомендуем также установить специальный плагин Anti-Spam, который имеет базу данных спам-писем и сообщений.
Добавление заголовков безопасности для атак XSS и внедрения кода
Чтобы добавить заголовки безопасности, включите 2HP > Изменить пути > Брандмауэр & Заголовки > Добавить заголовки безопасности для атак XSS и для атак внедрения кода.
Установка рекомендуемых безопасных HTTP-заголовков в OpenLiteSpeed:
https://amireslampanah.com/2020/09/setting-recommended-security-http-headers-in-openlitespeed/
Это изображение имеет пустой атрибут alt; имя его файла – add_security_headers.png
Активировав эту опцию, 2H Protection добавит через конфигурационный файл и PHP заголовки с необходимыми значениями для хорошей функциональности веб-сайта, а также для хорошей защиты.
Добавляя эти заголовки безопасности на свой веб-сайт, вы добавляете еще один уровень безопасности для различных видов атак, таких как межсайтовый скриптинг.
- Добавить подробности в заголовок Strict-Transport-Security подробнее
- Добавить более подробную информацию в заголовок Content-Security-Policy подробнее
- Добавить заголовок X-Frame-Options подробнее
- Добавить заголовок X-XSS-Protection подробнее
- Добавить заголовок X-Content-Type-Options подробнее
- Добавить заголовок Cross-Origin-Embedder-Policy подробнее
- Добавить заголовок X-Frame-Options подробнее
- Добавить заголовок Cross-Origin-Opener-Policy подробнее
Вы можете добавить все заголовки, которые еще не добавлены по умолчанию, выбрав их из раскрывающегося списка, показанного на снимке экрана ниже.
После того, как вы добавили заголовки и нажали «Сохранить», вы можете продолжить и протестировать заголовки своего веб-сайта на securityheaders.com.
Удалить небезопасные заголовки
У вас также есть возможность активировать: Удалить небезопасные заголовки.
Это удаляет версию PHP, информацию о сервере, подпись сервера, заголовки, связанные с WordPress, из заголовка страницы.
Брандмауэр против внедрения скриптов
Самый распространенный способ взлома веб-сайта – это доступ к домену и добавление вредоносных запросов для раскрытия информации из файлов и базы данных. Эти атаки совершаются на любой веб-сайт, WordPress или нет, и если вызов завершится успешно… вероятно, будет слишком поздно сохранять веб-сайт.
2H Protection добавит фильтры в файл конфигурации, чтобы блокировать вредоносные параметры и запросы и, следовательно, защищать веб-сайт от этих типов атак.
Обновления брандмауэра
Список вредоносных запросов в 2H Protection постоянно обновляется, поэтому убедитесь, что на вашем сайте всегда установлена последняя версия плагина.
Чтобы активировать брандмауэр, включите 2HP > Изменить пути > Брандмауэр & Заголовки > Брандмауэр против внедрения скриптов.
Отключить просмотр каталогов
Не позволяйте хакерам видеть содержимое каталога, если у вас нет индексного файла в этом каталоге. Например, уязвимые файлы легко найти, если вы видите список файлов в wp-content / uploads.
Чтобы отключить просмотр каталогов на вашем сервере, включите 2HP > Изменить пути> Безопасность ядра WP > Отключить просмотр каталогов.
Отключив просмотр каталогов, вы не разрешаете хакерам видеть какое-либо содержимое каталога. См. Здесь пример тестового сайта (показывает, что потенциальные хакеры увидят при доступе к вашему каталогу содержимого, если активна опция: Отключить просмотр каталогов).