Многие администраторы сайтов используют плагин iThemes Security для защиты своего ресурса, и это справедливо оправданно. Но не многие знают о целесообразностях его важных настроек…
Ниже дам скрины, и постараюсь подробнее пояснить способы и цели раздела «тонкие настройки системы».
Дело вот в чём: админы продолжают защищать сайт используя коды из сети, однако, те — безнадёжно устарели, в том плане, что важными настройками безопасности сайта располагает сам плагин.
Да и к тому же способствует выявлению некоторых ошибок, например: конфликт с «закрываним» ссылок в скрипт AJAX. А это оч. важный момент!
Акуна матата:
iThemes Security — тонкая подстройка системы
- Защита системных файлов —
- Отключить просмотр каталогов —
- Отсеивать методы запроса —
- Отсеивать подозрительные запросы в УРЛ —
- Отключить выполнение PHP в каталоге шаблона сайта
- Отсеивать длинные УРЛ —
- Удалить разрешение на запись файла —
- Отключить PHP в папке Uploads —
- Disable PHP in Plugins
- Disable PHP in Themes
- как скрыть от индексирования ссылки в скрипт AJAX
Фотки кликабельны: можете открыть в новом окне и изучить (я некоторые пункты технически перевёл). Это для тех, у которых плагин ещё не установлен.
Как видите, есть замечательное предупреждение разработчиков о возможных конфликтах! Однако на это мало кто обращает внимание — а в процессе работы с сайтом терпит бедствие.
Сделаем так: я немного поясню по первым пунктам настроек Security, а вот на наиболее важных остановлюсь подробнее.
к оглавлению
Защита системных файлов —
запрещает доступ к вспомогательным текстовым файлам системы вордпресс типа readme.html и license.txt и т.п, которые, как правило, продвинутые пользователи сайтов удаляют после установки cms.
А вот эти .htaccess и wp-config.php (хотя и упомянуты в тексте описания настройки), конечно же удалять не следует: это необходимые для работы сайта файлы. А вот обезопасить доступ к ним сторонних товарищей — очень даже нужно!
Вероятно словесный ляп перевода: эти файлы не нужны пользователям интернета после установки — да — НЕ НУЖНЫ НО !! только читателям вашего сайта, для работы сайта очень даже и нужны…
Вообще, некоторые из настроек плагина, на мой взгляд, правильнее делать вручную (непосредственно пропиской кода в файлы) как это делается… и как обезопасить сайт от взлома, читать здесь.
Предположим: мошенник заимел доступ к Базе Данных вашего сайта, следовательно, он имеет возможность «запросом к бд» отключить все плагины ресурса: вряд ли стоит говорить, что в этом случае настройки защиты сайта связанные с плагином пропадут. Об одном таком «промахе» расскажу ниже.
Вот так вот.
к оглавлению
Отключить просмотр каталогов —
это понятно по тексту на фото: например в каких-то созданных лично вами папках для личных нужд, зипах каких-нить…
Отсеивать методы запроса —
оч. вероятно, что следует этот чекбокс отметить, ибо api и всякие wp-json используют немногие. Подробнее об api, читать как удалить ссылку wp-json в шапке сайта и многое другое такое — wp_head…
Отсеивать подозрительные запросы в УРЛ —
этот пункт, в общем полезен, но в частном случае решается только тестированием работы сайта.
Всё необходимое, на ваш взгляд, для защиты сайта смело отмечаем «галочками»!
А вот пункт «Фильтр не-английских символов» на ваш выбор.
Далее самое интересное!
Отключить выполнение PHP в каталоге шаблона сайта
к оглавлению
Отсеивать длинные УРЛ —
познакомьтесь сами с этой настройкой. Думаю, подобные пышки добавлены до кучи в консоль управления плагином iThemes Security, и с этими утончёнными настройками следует разбираться в процессе управления площадкой.
Удалить разрешение на запись файла —
поставьте «птичку» в чекбокс. Хотя и эта настройка, возможна правкой файлов… (ссылка выше — как обезопасить сайт от взлома)
Отключить PHP в папке Uploads —
Этой настройкой возможно отключить выполнение PHP в каталоге загрузок (папка uploads — медиафайлы) — блокирует злонамеренные запросы на загрузку PHP в файлы каталога.
…возможна правкой файлов…
к оглавлению
Disable PHP in Plugins
Отключим выполнение (или отработку, кому как удобнее в этом случае воспринимать) PHP в директории плагинов (папка plugins).
Это блокирует запросы к PHP-файлам внутри модулей ваших каталогов, которые могут быть использованы взломщиками напрямую.
…возможна правкой файлов…
И самое интересное (которое и побудило меня написать эту статью)
к оглавлению
Disable PHP in Themes
Научимся отключать выполнение (или исполнение) PHP в каталоге-директории шаблона сайта.Очень важная примочка!
Эта пышка отрубит запросы к исполнению php в файлах внутри шаблона, блокируем использование взломщиком скрипта напрямую.
…возможна правкой файлов…
Покажу ради примера небольшой кодик в файле .htaccess, который нужно бы создать в директории темы, хотя всё же советую пройти по ссылке выше и изучит мануал о том как защищать сайт на wp, оч. рекомендую!
Этот пример равнозначен «галочке» запрета отработки php кода внутри каталога шаблона:
# запрет исполнения php
<Files *.php>
deny from all
</Files>
# запрет исполнения php
Моральное отступление и завершение:
Не так давно ко мне обратилась одна дама: «Скажите, а отчего у меня на сайте пропадают кнопки соцсетей и реклама Google, как только отмечаю галочку Disable PHP in Themes? Опасно ли не отмечать этот пункт…»
Пришлось взглянуть на код её сайта:
как и предполагал, — в коде сайта установлена плюшка что называется скрытие ссылок в скрипт ajax социальных кнопок и блоков рекламы, к примеру…
Делается это просто: (вкратце расскажу на примере блока рекламки)
к оглавлению
как скрыть от индексирования ссылки в скрипт AJAX
Внутри шаблона создаётся папка, скажем — ajax. В неё помещаем, например, такой файл ajax-reclamy.php в котором записано:
<?php require_once("../../../../wp-config.php"); ?>
<?php my_add_post (); ?>
В футер footer.php помещается строка вызова отработки этого файла.
<script>(function($){ $(function(){$("#reclam").load("//домен.ru/wp-content/themes/шаблон/ajax/ajax-reclamy.php");})}) (jQuery)</script>
И всё что остаётся делать, так это поместить нужный блок рекламы в такую функцию (в файле же функций активной темы) и вызвать в нужном месте активной темы:
/*** КОД рекламы в финале статьи reclamy ***/
function my_add_post()
{
echo ' СКРИПТ БЛОКА РЕКЛАМЫ ';
}
/*** КОД рекламы в статье reclamy ***/
Вызывать исполнение (обратите внимание — исполнение) ОТОБРАЖЕНИЕ БЛОКА РЕКЛАМЫ на страничках сайта, так:
Прописываем примерно такие строки в файле post-single.php или post.php, или single.php у кого как-с… в оптимальное место для отображения блока на сайте.
<!-- noindex --><div class="reclamy"><div id="reclam"></div></div><!--/ noindex -->
<div id="reclam"></div> — этот див ни что иное, как выполнение заданного кода в файле функций через файл ajax-reclamy.php (всё это мы задали показанными манипулами))
Обратите внимание на строку для файла подвала!
DIV reclamy — произвольный селектор css — ваши стили.
К сведению:
Если после скрытия блока в скрипт аякс взглянуть на исходный код страницы (статьи) где заданы эти блоки, то — никакого скрипта блока рекламы google или иной какой благодати не увидите, — в коде будет красоваться такая же строка как и в файле post-single.php (показана выше) — однако — блоки на страничках сайта будут замечательно отображаться…
Приблизительно такой эффект и называется понятием «скрыть в скрипт».
…финал морали:
Если у вас на сайте используется закрытие ссылок или каких-нить блоков «в скриптик» и вы проставите галочку в пункте «Disable PHP in Themes» или запретите отработку PHP в файлах шаблона посредством созданного .htaccess — не важно, всю эту отработку скрипта вместе с «отработкой» кода взломщика система вордпресс отрубит, посчитав это за охальный взлом.
А именно в принципе показанный выше вариант некоторым образом и иллюстрирует «исполнения php» или отработку…
В общем на этот отруб сия настройка и рассчитана. И очень правильно!
Так что имейте в виду: что вам дороже — безопасность сайта или в некоторых моментах надуманная опасности линков..?
О минусах конкретно этого способа скрытия ссылок (в неких полезных блоках) и говорить нечего, это очевидно! …все ровно что выстроить округ дома забор и с любовью примастырить лазеечку))
Кратко же: в работе сайта — это дыра!
Я специально этому способу АЯКС и не посвящал отдельную статью: способ, мягко говоря, спорный! Хотя и имеет место быть в разработках сайта — всё в зависимости от целей…
Так что не сочтите за труд — делитесь этим постом с другом в соцсетях, может эта статья ему в чём-то поможет.
Итак — прежде чем пользоваться всем что ни поподя из кодировок, думается, владельцу сайтов следует уделить время и разобраться в упор в принципе механики блога/сайта!
…Или спросить: есть же комментарии…
А вот варианты ajax, которыми можно пользоваться прикрывая ссылки в своих статьях но некоторые нюансы всё-таки есть !!
Online консультация по работе c сайтом на WordPress
!..подписываясь на обновления mihalica.ru —
...расстаёмся с невежеством..!
mihalica.ru !
Михаил ATs - 
Здравствуйте Михаил, опять — я. Скажите пожалуйста, может ли этот плагин защиты НЕ пускать на сайт гугл-бота и робота Яндекса? У меня такое ощущение, что гуглбот не может зайти. в вебмастере яндекса сводка не обновляется вообще (что странно) и в гугл-аналитикс нет никакой инфо.
в журнале событий плагина «секьюре» (в админке сайта моего) есть запись что некто гугл заходил на сайт и получил ошибку 404. и такая запись появляется в журнале чуть ли не каждый день…
что с этим можно сделать? может как-то проверить можно, успешно ли робот обошел или нет?
Здравствуйте конечно же, Елена!
Такую ошибку можно в плагине загвоздырить, если нагородить в настройках …и файле
.htaccessПроверяйте ответ сервера для нужной странички — должно быть 200 — (в любом вебмастере есть соответствующий инструментарий). В логах может много появляться 404-х… чтобы исследовать лог-файлы, нужно иметь кое-какие знания, но не просто так просматривать «бумажку» ради приличия))
p|s
Я говорил Вам: наполняйте сайт… и настраивайте постепенно… Невозможно махом всё запомнить!
Вы просто запутаетесь…
Я также говорил (и ещё повторю): что организм сайта — это нИ только плагины, но и множество иных файлов (к примеру, роботс) — от слаженности которых зависит здоровая работа сайта в целом. Ну, я же не волшебник, как этот мальчик из сказки, я не могу давать какие-то советы со слов (которые мне, порою, не ясны). Нужно хотя бы видит код сайта!
Михаил, спасибо огромное. достала конечно вас, видимо… я наполняю уже))) просто подключила вебмастер и у меня снова панические атаки начались))) я просто еще не забыла свой первый утраченный сайт, который не успев наполнится стал дорвеем по мнению яндекс-вебмастера.
вообще без вебмастера было как-то спокойнее. и вообще без аналитики жилось как-то, приятнее что ли.
проверила все страницы в вебмастере. код ответа всех — 200. вроде нормально всё пока.
Ну вот: а Вы боялись…
Снаряд в одну воронку не попадает… А сайты вообще делаются для людей: скрывать их нет смысла — волков бояться, в лес не ходить.
))) спасибо)
Михаил, этот плагин очень хорошо защищает от атак. Но вот «Поиск по сайту» у меня он банит — выдает — «Ошибка 403. Доступ запрещен.»
Проверяла — отключала плагин — поиск работает, включаю плагин — выдает ошибку. Можно ли что-то наладить в настройках плагина?
Здравствуйте Ирина!
Да, у «Вас» статус 403 (пр. ограничение доступа)… Вы попробуйте как раз по настройкам из статьи пройтись: поотключайте всякую защиту файлов и пр. «выполнение PHP» и в «тонкой настройке системы» которые по умолчанию включены в плагине… То есть не банально отключать плагин, но его настройки!
Вообще странно: проверьте у себя в теме файлы типа
search.php и searchform.php…Шаблон бы посмотреть, а именно реализацию ф.поиска — тогда бы помог.
Возможно, что-то из js примочек шаблона конфликтует с настройками плагина!
Вообще, попробуйте чистенько переустановить плагин!.. с перезаписью соответствующих правил .htaccess
Михаил, спасибо большое за подсказки. Сейчас начну перебирать настройки. О результате обязательно сообщу.
…милости прошу))
Оказалось всё просто — Отключила в «тонкой подстройке системы» фильтр неанглийских символов — сняла галочку. Поиск по сайту заработал! Спасибо ещё раз за поддержку!
Вот и здорово!..
… «тонкая подстройка системы» частенько путает… наверняка кому-то из читателей будет полезен «наш» опыт))
Спасибо, Ирина! что поделились…
Я Вижу и загрузку (в смысле, скорость) подправили…