iThemes Security как стандарт безопасности для сайта

Авторская эйфория создания сайта погружает в процесс с головой. Полет мысли, нескончаемый поток идей, многочисленные тесты, поиски идеального варианта – все это важно и требует времени.

Однако нередко вордпрессовцы забывают позаботиться о безопасности ресурса. Многие из тех, кто все же вспоминает об этом, считают организацию защиты бесполезным занятием. Логика у пользователей простая: молодой веб-сайт не содержит уникальной информации или личных данных пользователей. Следовательно, не интересен злоумышленникам. Это мнение в корне ошибочно. Подобные проекты представляют для мошенников особый интерес. Какой именно, и где искать решение проблемы – подробно в сегодняшней статье.

Перейти на страницу плагина

Почему сайту нужна защита

Вопрос, ответ на который знают единицы пользователей. Причем, даже опытные вордпрессовцы часто не имеют четкого представления о проблемах сетевой безопасности. Будь то обычный блог, интернет-магазин или электронный банк, каждый нуждается в комплексном барьере от действий злоумышленников. Последними являются «черные» хакеры. Это пользователи, ищущие уязвимости у ресурса не ради интереса, а для заработка. Они взламывают базы данных сайтов, воруют личные сведения администраторов и зарегистрированных лиц.

Следующим этапом становится вымогательство либо воровство с использованием полученной информации. Действия классифицируются как киберпреступление. Ими занимается отдельное подразделение полиции. Логично будет обратиться в органы для поиска мошенников. Специалисты разберутся в нюансах, отследят «черного» хакера или их команду, если это возможно. Но все хорошо только в теории. На практике толковые специалисты в отделе «К» МВД встречаются в крупных городах, и то не всегда. В провинциях на подобных должностях числятся сотрудники, имеющие базовое представление об интернете. Чтобы не быть голословными, небольшой жизненный пример. Во время оформления заказа в интернет-магазине, были похищены банковские данные пользователя. Заявление в полицию не заставило себя долго ждать. Однако мечты о скором возвращении денежных средств развеялись после следующего вопроса представителя отдела «К»: «А как ваши соц. сети то открываются?».

Предотвратить неприятности можно заранее несколькими способами. Первый – обращение в профильную компанию. Актуален для электронных банков, так как речь идет о многоуровневой системе безопасности с ключами доступа, интеллектуальными алгоритмами и уникальным кодом. Стоимость реализации проекта соответствующая. Второй – нанять частного специалиста. Преимущества аналогичны предыдущему варианту, но работа не такая глобальная. Цена также местами «кусается». Третий характерен для веб-сайтов на «ВордПресс». Он заключается в установке плагинов, активации скриптов. Первый вариант предпочтительнее, так как дает больше возможностей в плане организации безопасности. Еще одним плюсом является быстрая установка, относительно простая настройка толковых расширений.

Для чего же это нужно? Ценность для «черных» хакеров представляет любой ресурс. Банковские данные, логины, пароли, фотографии, компромат и прочее далеко не единственная их цель. Часто маяком является сама площадка. Доступ к ней позволяет усилить популярные в наше время DDoS-атаки. Это процесс, в ходе которого система определенного ресурса рушится под напором огромного количества запросов с разных уголков мира. Создавать виртуальные машины под эти цели не выгодно. Проще взломать слабо защищенные площадки и провести запросы через них. Результатом становится дополнительная нагрузка на ранее взломанные ресурсы.

Первую очередь на установку специализированных расширений составляют сайты, которые ранее подвергались взлому. Как сообщают представители крупных аудит-компаний, логика владельцев в подобных ситуациях поражает. Они приходят с просьбой найти и устранить угрозу. При это на вопрос «нужно ли организовать защиту» они отвечают «мы обратимся позже». Аргументом решения является банальная денежная экономия. Однако противовесом становится закономерность о повторной атаке на ресурс. Получить доступ в ранее взломанному веб-сайту куда проще, чем искать новую жертву. Только после 3-4 атак упертые клиенты заказывают услуги организации безопасности, потеряв куда больше.

Преимущества расширений

Плагин выгоднее по всех отношениях. Во-первых, существует много бесплатных решений. В их числе iThemes Security, о котором подробно далее. Во-вторых, стоимость Proверсий доступна рядовым пользователям. Ценники на премиальный вариант ранее упомянутого расширения варьируется от 49 до 99$ (в период акции июня 2019). В-третьих, в комплекте с дополнениями идет полноценная служба поддержки, каталоги с инструкциями по настройке и использованию. Конкуренция в сфере большая, поэтому команды разработчиков стремятся выделиться в толпе за счет сервиса. К примеру, нередко в стоимость минимального пакета входит комплексный аудит активности за последние несколько месяцев, оценка результатов и настройка плагина с учетом предпочтений заказчика. По сути, тот же уровень крупных аудит-компаний только за меньшие деньги.

У держателей бесплатных лицензий тоже все хорошо. Идти тернистым путем первопроходца не придется. В сети большое количество материалов по установке, настройке популярных плагинов. Обзоры не ограничиваются стандартными вариациями: катализатором разнообразия является та же конкуренция, но уже среди блогеров. Без поддержки экономные вордпрессовцы не останутся. Просто ответы будут приходить с запозданием. Основной функционал обязательно входит в бесплатные пакеты. Pro-версии отличают расширенные возможности. В iThemes Security их немало, но в рядовом проекте, по типу любительского блога, легко обойдетесь без них. Главное, ответственно подойти к процессу настройки.

Характеристика iThemes

Продукт одноименного разработчика вышел 5 лет назад, в 2014 году. Тогда вопрос безопасности WordPressимел второстепенное значение. Платформа имела более насущные проблемы, но команда iThemes усмотрела в этом выгоду. Она стала одним из первопроходцев в сфере защиты «ВордПресс». Сказать нечего – не прогадала. Сегодня плагин популярен среди новичков и профессионалов. Согласно официальным данным WordPress, он имеет 900 000+ активных установок и 3351 оценок с 5 звездами. Сугубо положительных отзывов из общего их числа около 88%. Неплохой показатель для данного класса расширений. Средний рейтинг на официальном портале WPварьируется в пределах 4,5-4,7 из 5. На момент выгода этого обзора, для скачивания доступна версия 7.3.3. Она работает с PHP5.2+, переведена на 14 языков самим разработчиком. Среди последних есть русский. Обновления выходят раз в 1-2 месяца. Команда мониторит отзывы, фиксирует проблемы, оперативно решает их.

Компания презентует продукт как простое, универсальное решение безопасности. Приоритетными задачами является регулярное обновление внутренних мощностей, добавление новых функций в соответствии с тенденциями развития облака сетевых угроз. Создатели плагина сотрудничают с профильными аудиторами, имеют штат собственных аналитиков, ведут статистику. Согласно их данным, в среднем, за 1 день злоумышленники взламывают 30 000+ сайтов. Больше половины из них представляют реальную ценность для мошенников в денежном или ресурсном плане. С учетом этих сведений, основными направлениями развития iThemes Security являются:

• разработка блокировки в случае известных угроз;
• исправление дыр безопасности в новых версиях движка;
• предотвращение автоматических атак на первоначальной стадии;
• усиление учетных записей пользователей.

Создатели плагина добились хороших результатов. После грамотной настройки, большая часть функций расширений работает в автономном режиме. Вмешательство администратора сводится к проверке корректности решений алгоритма. При этом для управления утилитой не нужно профильных знаний. Софт имеет расширенные возможности, благодаря которым отлично подойдет как для блога, так и для масштабного интернет-магазина. Собственно, по этой причине мы и другие рейтинговые площадки ставим iThemes на первые строчки Топа.

Возможности бесплатной версии

Вариант для блога, новостного сайта, портфолио или проектов аналогичного масштаба. Функционал этой версии, как и Pro, делится на категории. Они соответствуют самостоятельным продуктам, входящим в любую лицензию расширения. Первый называется iThemes Sync. Он интегрирован для управления несколькими сайтами из единой кастомной панели. Снимать блокировки, обновлять пароли и темы, вносить общие правки в настройки – все это можно сделать именно здесь. Система поддерживает до 10 ресурсов. Второй продукт – iThemes Brute Force. Добавлен для предотвращения DDoS-атак, мониторинга подозрительной активности. В состав дополнения входит список «черных»IP-адресов. Он регулярно обновляется в соответствии с партнерскими источниками компании. В случае фиксации засвеченного адреса, алгоритм автоматически применяет к нему предустановленные директивы. Нет, речь идет не о блокировки. Компонент просто пристально наблюдает за действиями пользователя. Если они угрожают безопасности веб-сайта, в ход идут особые меры. Можно принять действия по умолчанию либо назначить собственные.

Дополнение включает ряд компонентов. Каждый отвечает за определенные алгоритмы. Центральное место занимает компонент «Защиты». Он функционирует по принципу улучшения безопасности и тотальной блокировки подозрительного. Имеется ряд параметров, которыми задается логика «Защиты». Нередко пользователи их игнорируют, оставляя «по умолчанию». Результатом становятся недовольные гости ресурса, возмущенные регулярными блокировками. Рекомендуем изучить логику целевой аудитории (ЦА) вашего веб-сайта, адаптировать систему под нее. Говоря о компоненте подробнее, он рассчитан на:

• предотвращения атак методом бана. Нестареющая, эффективная классика;
• сканирование в режиме онлайн. «Защита» постоянно ищет уязвимости, оповещает о результатах в панели и по почте, автоматически исправляет;
• запрет доступа ботам;
• усиление общей безопасности сервера;
• оповещение пользователей о минимальных требованиях к паролям, контроль их соблюдения;
• принудительный SSLдля любой страницы администратора;
• отключение возможности редактирования файлов через админку;
• обнаружение и защиту от многочисленных атак на адреса, базу данных.

Отличительной особенностью «Защиты» является взаимосвязь функций. Обычно они работают независимо, что делает невозможным принятие решения в комплексе. Проще говоря, если один критерий считает ситуацию критической, другой может не углядеть в ней угрозы. iThemes формирует общую оценку ситуации. Если угроза по критериям в сумме превышает норму, применяются соответствующие директивы. Правда, все это зависит от точности настройки. Настоятельно рекомендуем полностью изучить функционал перед принятием каких-либо изменений.

Второй компонент – «Обнаружение». Он отвечает за мониторинг файловой системы и базы данных в целом. Ключевым направлением его работы является обнаружение, деактивация ботов и регистрация любых изменений, ведущих к дырам в защите или альтернативным командам. Последние представляют особый интерес. Способ недавно появился в арсенале сетевых злоумышленников. Суть заключается в обращениях к управляющей CMS, вынуждающей ее принимать альтернативные решения. К примеру, нагружаем одно – ослабляется другое. iThemes Security в числе первых внедрил инструменты для борьбы с этим методом. «Обнаружение» вычисляет компромиссы и частично заморачивает работу либо автоматически применяет заданные решения. Компонент также осуществляет:

• всесторонний мониторинг уязвимостей;
• контроль несанкционированных изменений;
• сканирование на наличие вредоносных программ и черных списков на главной странице ресурса;
• оповещение администратора о заблокированных пользователях, изменениях в файлах.

Местами компонент «Обнаружение» напоминает «Защиту», но это лишь на первый взгляд. Функции «Защиты», касающиеся мониторинга, являются вспомогательными. Первоочередные алгоритмы касаемо наблюдения, контроля возложены именно на данный компонент. В этом просматривается грамотный умысел: в случае выхода из строя системы обнаружения, алгоритм защиты сможет выполнять часть его работы.

Следующая составляющая плагина получила название «Маскировка». Он предназначен для скрытия уязвимостей движка, ряда блоков с личной информацией. Модуль не позволяет хакерам узнать о веб-ресурсе слишком много. В особой группе логин администратора, пароли и прочее. «Маскировка» инициирует массу алгоритмов, направленных на:

• изменение URLпанели администратора и других пользователей;
• отключение возможности входа на заданные периоды времени;
• удаление уведомлений об обновлениях темы, плагина и ядра от пользователей, у которых нет прав на это права;
• исключение информации заголовков Windows Live Write и RSD;
• автоматическое изменение стандартного имени главного администратора с «admin» на случайное либо заранее прописанное;
• смену префикса таблиц БД;
• изменение адресного пути к основным файлам WP;
• удаление сведений об ошибках входа.

Модуль не является обязательным для подобных плагинов. Современные аналоги часто включают его только в платные пакеты. Здесь основной функционал маскировки есть в бесплатном наборе, что несомненно радует. Как и в случае с предыдущими компонентами, для него предусмотрены отдельные параметры. Можно оставить настройки по умолчанию.

Четвертый модуль отвечает за восстановление. Он так и называется – «Восстановление». С помощью него регулярно создаются резервные копии сайта. Бэкапы выполняются по расписанию или в ручном режиме. Для первого случая можно воспользоваться базовыми настройками либо задать собственные. Копии сохраняются в папку на хостинге (сервере), отправляются на электронную почту и в облако. Последняя функция доступна только в премиальной версии. Обязательным условием является установка дополнительного расширения BackupBuddy. Без него модуль «Восстановление» работать не будет.

Далее рассмотрим не менее важный компонент «Совместимость». Особенностей у него нет, но о его возможностях тоже полезно знать. Во-первых, он гарантирует стабильную работу iThemes Security с популярными платформами для мультисайтов. Во-вторых, обеспечена совместимость с Apache, LiteSpeed или NGINX. Последняя потребует от администратора ручно1 правки конфигурации виртуального хостинга, файлов сервера, если таковой имеется. Здесь же есть примечание о бэкапах. Для полноценной реализации функции потребуется хостинг с минимум 64 Мб ОЗУ. Лучше больше, так как модуль тестировался на пустых серверах со 128 Мб оперативной памяти.

Завершают этот внушительный список компоненты «Перевод» и «Предупреждения». Первый содержит в себе языковые файлы. Слегка устаревшее описание включает только сведения об испанском переводе. На момент начала июня 2019 года, расширение дополнено 14 языками. Напоминаем, что среди них уже есть русский. Разработчики отмечают, что установка iThemes Security сопряжена с внесением в ряд файлов на хостинге либо сервере изменений, которые могут привести к ошибкам. Обязательно сделайте резервную копию перед инсталляцией. Рекомендация касается как платной, так и бесплатной версии.

Что дает премиум-версия

Успешный проект неизбежно обретает коммерческую основу. В случае с iThemes, это 3 пакета стоимостью 49, 79 и 99 долларов соответственно. Комплектация каждого включает премиальную годовую поддержку, обновления первой очереди на тот же период и iThemes Sync на 10 сайтов. Цена варьируется в зависимости от числа ресурсов, на которые вы сможете установить данный плагин. За 49$ предусмотрен инсталлятор на один веб-сайт, 79 долларов рассчитан на 10 площадок, а самый дорогой пакет не имеет ограничений по их количеству. Приобрести премиальную версию можно на официальном сайте расширения. Адрес указан на соответствующей странице портала WordPress. Деньги немалые, в любом случае. Выясним, за что отдаем кровные.

1. Двухфакторная аутентификация. Подразумевает генерацию случайного кода. Команда разработчиков предлагает использовать мобильные приложения Google Authenticator или Authy. Они генерируют достаточно сложные комбинации, имеют функцию отправки пароля на электронную почту.
2. Автоматическое обновление ключей WordPress.
3. Регулярное сканирование веб-ресурса на наличие вирусов. Проходит ежедневно либо в соответствии с графиком. Отчеты отправляются на E-mail.
4. Создание паролей в ручном режиме из панели.
5. Google reCAPTCHA для защиты от спама.
6. Функция «срока годности» для паролей. Оповещает пользователей о необходимости смены комбинации через заданный временной промежуток.
7. Журнал действий пользователя. Содержит сведения входе и выходе из системы, редактировании файлов.
8. Виджет Dashboard. Выводит в панель WordPressформу для пользовательского бана, быстрого запуска сканирования.
9. Сравнение файлов с их версиями из резервных копий.
10. Временный статус администратора. Можно выдать любому пользователю на определенное время.
11. Возможность управления сайтом из командной строки с помощью wp-cli Integration.

Солидный список достоинств, включающий массу полезных функций. Не секрет, что Pro-версию расширения активно используют профессиональные аудиторы. Перечисленные достоинства напрямую способствуют этому, так как позволяют решать сложные и повседневные задачи, связанные с сетевой безопасностью, буквально в пару кликов.

Резюме

iThemes Security стал своеобразным стандартном в области интернет-защиты WordPress. Он обеспечивает всестороннюю безопасность сайту любого уровня. Это стало возможно благодаря многолетней работы профессиональной команды над функционалом. Плагин хорош и в управлении: параметры имеют подробные пояснения, дополнительно прилагаются инструкции от разработчиков. Любые вопросы, связанные с использованием расширения, решаются обращением в службу поддержки. Что примечательно, даже держатели бесплатной лицензии получают ответ достаточно быстро. Гибкость настройки, простое и понятное управление, всеобщая доступность делают iThemes Security лучшим инструментом для комплексной защиты веб-сайта «ВордПресс» на данный момент.

Плагин защиты сайта на WordPress — Ithemes Security