как установить, протестировать и доработать на благо своего проекта — Сервисы на vc.ru
5244 просмотров
Привет! С вами Тамара Бейн, «платон щукин» компании Sphinx IT. От моего лица специалисты компании проводят и публикуют коллективные результаты исследований.
Данный материал мы решили посвятить нашим текущим и потенциальным клиентам, тем, которые получили на руки готовый сайт на WordPress и не знают, что делать с ним дальше.
Практически все разработчики предлагают дополнительную услугу поддержки и администрирования сайта, а также почасовую систему консультаций по работе с ним. Но если по какой-то причине эти доп. услуги прошли мимо вас, мы и пишем данный мануал.
Итак, структура материала состоит из подразделов:
1) как установить плагин WordPress и для чего они нужны;
2) установка плагинов в WordPress прошла успешно, но что-то сломалось в другом месте сайта;
3) не могу найти нужное мне решение, а то, что есть, не подходит;
4) для чего необходим разработчик, если можно скачать WordPress плагины?
Плагины создаются для облегчения работы с cms, для решения насущного вопроса по оптимизации работы с админ-панелью как изнутри кода, так и снаружи пользовательской части.
Первым делом необходима постановка задачи, — какую проблему мы хотим закрыть тем или иным плагином? Затем ищем решение, которое сможет нам помочь. Из нескольких наиболее подходящих по описанию надстроек поочерёдно устанавливаем и тестируем на сайте, пока не найдём оптимальный вариант.
Как установить плагин на ВордПресс из системы
Переходим в админку, в левом вертикальном меню открываем “Плагины” -> “Добавить новый”.
Вверху есть строка поиска, вводим в неё название плагина, который необходимо установить на сайт. Также можно загрузить уже ранее скаченный плагин с компьютера (об этом ниже).
Поиск по базе дал нам множество результатов, выбираем искомый и жмём “Установить”, предварительно удостоверившись, что он совместим с нашей версией.
Идёт процесс установки, жмём в этом же месте кнопку “Активировать”.
В случае, если плагин по каким-то причинам не подошёл, его всегда можно отключить или удалить в разделе “Плагины” -> “Установленные”.
После деактивирования он находится во вкладке “Недавно активные” и либо включить снова, либо удалить.
Как скачать плагины ВордПресс у официалов и добавить на свой сайт
Когда вы читаете в сети о том или ином решении для WP на официальном сайте (ссылка на раздел с плагинами), то их можно сразу скачать, нажав на соответствующую кнопку. Загружаем на компьютер zip архив с компонентами.
В админ панели жмём кнопку “Загрузить плагин”. Далее выбираем плагин в формате .zip (т.е. не распакованный) и устанавливаем.
Далее открывается окно с подтверждением активации.
После установки нового плагина не работает то, что работало раньше
Мы сталкивались с ситуацией, когда при установке одного решения не работает другое. Использовал разработчик плагин конструктора страниц, который затирал наш хедер шаблона с кодом счётчиков и ставил свой, конструкторский, хедер. Найти причину было несложно, но то, что мы жили неделю и не понимали, почему перестали посещать наш сайт, обошлась нам потерей части статистических данных.
Все сторонние скачиваемые элементы массовы и не учитывают особенностей настройки именно для вашего проекта.
Поэтому мы агитируем клиентов и вас, читатели этой статьи, не устанавливать те модули, которые можно легко заменить правкой кода или загрузкой файла на ftp.
Например, генераторы sitemap.xml не всегда работают “чисто” и не учитывают запреты в файле robots.txt (эксперимент, о котором можно почитать тут). Довольно распространены плагины по установке счётчиков на сайт, хотя это делается один раз и навсегда (об этом также писали).
Часть работы и вовсе заключается во внимательной настройке админки, например, формирование урлов, и никакой плагин здесь не будет нужен (чтобы не быть голословными — пруф). Прикручивают кто на что горазд, благо решений множество на любой вкус. А украшательства вида падающих снежинок если и не раздражают посетителей, то создают небольшую, но всё же нагрузку на отрисовку документов.
Если ни один плагин не удовлетворяет и зачем нужен кодер
Бывает и такое, что решений много, путём перебора вы приходите к мнению, что ни одно вам не подходит.
В этом случае стоит составить подробное техническое задание и расписать, какой функционал вам нужен. Что нужно решить технически, как это будет выглядеть на сайте и как должно работать в управлении из админки.
У нас, в Sphinx IT, есть на продвижении ряд проектов на ВордПрессе и нам всегда не хватает функционала из того, что предложено в пакете.
Например, интернет-магазину клиента был нужен Wish лист. Мы нашли подходящий англоязычный плагин, который мы перевели. К нему прилагался функционал шаринга в социальные сети своего списка желаний для толстого намёка на подарок. Как водится, популярной социалки россиян в ней не предусматривалось. Мы создали техзадание разработчику и — вуаля! — всё работает и клиент доволен.
А можно обойтись и без разработчика, поискав в сети готовые решения кода и вставив в нужное место плагина. Таким образом, мы выводили поля для метатегов и текста под списком товаров на страницы категорий, которые не были предусмотрены в “базовой комплектации”.
Если необходимо самостоятельно “допилить” плагин, действуем по схеме:
в админке заходим “Плагины” -> “Редактор”;
выбираем плагин для изменения во всплывающей строке;
выбираем файл, в который вносим изменения;
выделяем и копируем куда-то себе код из окна, чтобы в случае неудачи вернуть всё как было;
изменяем “наживую”;
сохраняем и проверяем.
Важно то, что после внесения в надстройку своих частей кода, обновлять его не нужно, иначе у вас будет всё тот же чистый плагин как при первичной скачке, но с обновлениями от автора. Разумеется, без ваших.
Успехов!
8 плагинов для повышения безопасности WordPress
В статье рассматриваются восемь наилучших плагинов для повышения безопасности WordPress, у многих из которых есть как бесплатная, так и платная версия с расширенными функциями для защиты от наиболее распространенных угроз
Около трети вебсайтов (37%) работают на WordPress, что делает эту систему управления контентом самой популярной в мире.
WordPress используется везде, начиная от блогов и заканчивая интернет магазинами, которые собирают и обрабатывают информацию в соответствии со стандартами навроде PCI DSS. Хотя популярность позитивно влияет на развитие WordPress, но в то же время делает эту систему в качестве приоритетной цели у разного рода злоумышленников, поскольку в случае нахождения уязвимости становятся доступными сразу множество сайтов. Кроме того, плагины и шаблоны еще больше расширяют возможности для атаки.
В этой статье рассматриваются восемь наилучших плагинов для повышения безопасности WordPress, у многих из которых есть как бесплатная, так и платная версия с расширенными функциями для защиты от наиболее распространенных угроз. Однако даже если вы будете пользоваться бесплатными версиями, то серьезно улучшите безопасность вашего сайта.
1. WordFence
WordFence – один из самых популярных плагинов для защиты сайтов на базе WordPress, где доступно множество функций как для защиты, так и восстановления после успешных атак, как, например:
-
Защита от использования паролей, доступных вследствие утечки данных.
- Мониторинг и анализ трафика в режиме реального времени.
- Автоматическая блокировка подозрительного/вредоносного трафика и известных вредоносных IP-адресов.
- Двухфакторная аутентификация для защиты от атак, где используются скомпрометированные пароли.
- Мониторинг исходного кода для идентификации и отката вредоносных правок после атаки.
У WordFence также есть премиум версия, где доступны обновления IP-адресов для блокировки в режиме реального времени, правила фаервола и сигнатуры вредоносов. Кроме того, у владельцев платной версии есть доступ к расширенной поддержке и сервисам для проверки репутации вебсайтов.
Загрузить WordFence
2. BulletProof Security
BulletProof Security представляет собой плагин для улучшения безопасности со множеством различных функций как в бесплатной, так и в премиальной версии. В бесплатной версии доступны следующие возможности:
-
Сканер вредоносов.
- Встроенный фаерволл.
- Защита базы данных и автоматические резервные копии.
- Безопасность во время авторизации и мониторинг.
- Настройка в один клик.
- Безопасность и отслеживание ошибок протокола HTTP.
В расширенной версии есть дополнительные функции, связанные безопасностью исходных кодов и базы данных сайта.
Загрузить BulletProof Security
3. Sucuri Security
Sucuri Security – бесплатный плагин, разработанный компанией Sucuri, которая занимается безопасностью и аудитом. В этом плагине доступны следующие функции:
- Мониторинг списков блокировки.
- Мониторинг целостности файлов.
- Оповещения.
- Комплекс мероприятий для восстановления после успешной атаки.
-
Удаленное сканирование вредоносов.
- Аудит безопасности.
- Усиление безопасности сайта.
Помимо вышеуказанных функций в бесплатной версии компания Sucuri предлагает фаервол для сайта как часть расширенной поддержки. Также на сайте компании можно найти много полезной информации касаемо безопасности вашего сайта.
Загрузить Sucuri Security
4. iThemes Security (ранее назывался Better WP Security)
iThemes Security – плагин с более чем 30 разными функциями для повышения безопасности сайта. В бесплатной версии доступно следующее:
- Детектирование ошибки 404.
- Блокировка ботов.
- Защита от брутфорса.
- Резервная копия базы данных.
- Оповещения на электронную почту.
- Детектирование изменений в файлах.
- Сокрытие адресов для авторизации и админки.
-
Использование надежных паролей.
- Блокировка панели управления в нерабочее время.
В расширенной версии есть дополнительные функции, включая поддержку двухфакторной аутентификации, истечение срока действия паролей и отслеживание активности пользователей. Эти возможности значительно облегчают детектирование и реагирование при компрометировании учетных записей в WordPress.
Загрузить iThemes Security
5. SecuPress
SecuPress примечателен своим пользовательским интерфейсом. В бесплатной версии доступны следующие функции:
- Защита от брутфорса.
- Отключение XML-RPC.
- Блокировка ботов и IP-адресов.
- Фаервол.
- Перемещение страницы авторизации.
- Отслеживание активности пользователей.
В платной версии доступен встроенный планировщик, что полезно для тех, у кого нет времени выполнять задачи вручную.
Помимо автоматизации есть следующие функции:
- Резервная копия базы данных и файлов.
- Блокировка на базе геолокации.
- Сканирование вредоносов на PHP.
- Двухфакторная аутентификация.
Загрузить SecuPress
6. All in One WP Security & Firewall
All in One WP Security & Firewall — еще один плагин, у которого есть бесплатная и расширенная версия. Все функции разделены на двенадцать категорий:
- Безопасность учетных записей пользователей.
- Безопасность авторизации пользователя.
- Безопасность регистрации пользователя.
- Безопасность базы данных.
- Безопасность файловой системы.
- Резервная копия и восстановление файлов htaccess и wp-config.php.
- Списки блокировки.
-
Фаервол.
- Защита от брутфорса.
- Сканер безопасности.
- Защита от спама в комментариях.
- Защита от копирования текста сайта.
Каждая из вышеуказанных категорий содержит различные функции. Как обычно, в платной и расширенной версии возможностей намного больше.
Загрузить All In One WP Security & Firewall
7. Malcare Security
Malcare Security позиционирует себя как наипростейший плагин для безопасности. Утверждается, что все настройки можно выполнить за минуту.
Помимо простой установки в этом платном плагине есть несколько полезных функций, включая:
- Автоматическое удаление вредоносов.
- Защиту от брутфорса.
- Встроенный фаервол.
- Защиту авторизации при помощи капчи.
-
Уведомления по электронной почте.
- Отслеживание изменений в файлах.
- Удаленное сканирование вредоносов.
- Службы поддержки.
- Усиление безопасности WordPress.
Загрузить Malcare Security
8. Defender
Defender – плагин, используемый в платформе WPMU Dev, в котором доступны следующие функции:
- Защита от брутфорса.
- Блокировка IP-адресов.
- Двухфакторная аутентификация.
- Сканирование основных файлов в WordPress.
Расширенная версия плагина доступна в платной подписке платформы WPMU DEV. Кроме дополнительных функций подписка дает доступ к другим премиальным плагинам.
Загрузить Defender
Дополнительные меры безопасности
Помимо упомянутых плагинов следует придерживаться и других зарекомендовавших себя практик в сфере безопасности.
Советы, приведенные ниже, помогут вам повысить уровень безопасности сайта на базе WordPress:
- Обновляйте WordPress. Разработчики WordPress регулярно выпускают патчи для недавно обнаруженных уязвимостей. Вследствие большой популярности WordPress эти бреши являются основной целью злоумышленников. Следите за обновлениями и всегда пользуйтесь последней версией WordPress.
- Обновляйте плагины. Сама платформа WordPress является лишь частью кода, используемого на вашем сайте. В плагинах также могут быть уязвимости, наиболее популярные из которых, используемые многими сайтам, тоже являются лакомой целью злоумышленников. Старайтесь устанавливать обновления сразу же после выхода патчей.
- Используйте только надежные плагины. К сожалению, не все плагины являются одинаково полезными, а некоторые даже делаются намеренно со злым умыслом. Используйте плагины от разработчиков с хорошей репутацией.
-
Используйте нестандартные имена пользователей. Если имя вашего административного аккаунта admin, для получения доступа к сайту злоумышленнику остается подобрать лишь пароль. Старайтесь использовать нестандартные имена пользователей, чтобы затруднить брутфорс.
- Используйте сильные пароли. Слабые и повторно используемые пароли негативно влияют на безопасность вашего сайта. Встроенные ограничения на количество неудачных авторизаций не помогут, если пароль слабый, который злоумышленник сможет подобрать с первого раза. Схожая ситуация возникает, если тот же пароль используется в других учетных записях, которые стали доступны после утечки данных. Используйте сильный, длинный и случайный пароль.
Если имя вашего административного аккаунта admin, для получения доступа к сайту злоумышленнику остается подобрать лишь пароль. Старайтесь использовать нестандартные имена пользователей, чтобы затруднить брутфорс.Заключение
Хотя в вышеупомянутых плагинах в платных версиях доступно больше функций, даже в бесплатных версиях есть функции, которые помогут серьезно повысить уровень безопасности вашего сайта и защититься от наиболее распространенных угроз.
Сам WordPress далеко не идеален с точки зрения безопасности, и добавление хотя бы одного плагина поможет повысить устойчивость сайта к различным атакам.
В платных версиях плагинов есть дополнительные функции, которые в том числе экономят время на ручную настройку, сканирование и восстановление после атаки.
Атаки на WordPress становятся всё более популярны, поэтому следует предприниматься хотя бы базовые меры по защите вашего сайта.
плагинов WordPress | WordPress.org Английский (Великобритания)
Опросы CP
(всего 5 оценок)Создание классических опросов и расширенных опросов с зависимыми вопросами.
КодЛюди 200+ активных установок Протестировано с 6.2.2 Обновлено 2 месяца назад
Автоматическая галерея YouTube
(всего 18 рейтингов)Создавайте динамические видеогалереи, просто добавляя YouTube ИМЯ ПОЛЬЗОВАТЕЛЯ, КАНАЛ, ПЛЕЙЛИСТ, КЛЮЧЕВЫЕ СЛОВА ДЛЯ ПОИСКА или…
Командные плагины360 6000+ активных установок Протестировано с 6.2.2 Обновлено 1 месяц назад
Скриншоты браузера
(всего оценок: 19) Автоматизируйте процесс создания скриншотов веб-сайтов.
Бен Гилбэнкс 5000+ активных установок Протестировано с 6.2.0 Обновлено 4 месяца назад
Блок событий
(всего оценок: 1)Быстрое создание простых карточек событий и приглашений
Автоматический 400+ активных установок Протестировано с 6.0.5 Обновлено 1 год назад
Классический редактор
(всего 1135 оценок)Включает предыдущий «классический» редактор и экран редактирования сообщений в старом стиле с TinyMCE, Meta Boxes,…
Авторы WordPress 5+ миллионов активных установок Протестировано с 6.2.2 Обновлено 3 месяца назад
Akismet Anti-Spam: Защита от спама
(всего 986 оценок)Лучшая защита от спама для блокировки спам-комментариев и спама в контактной форме. В…
Automattic — Группа защиты от спама 5+ миллионов активных установок Протестировано с 6.2.2 Обновлено 2 дня назад
Jetpack — безопасность, резервное копирование, скорость и рост WP
(всего 1888 оценок) Повысьте безопасность своего WP с помощью мощных инструментов в один клик, таких как резервное копирование, WAF и сканирование на наличие вредоносных программ.
Получить…
Автоматический 5+ миллионов активных установок Протестировано с 6.2.2 Обновлено 1 неделю назад
Классические виджеты
(всего 243 рейтинга)Включает предыдущие «классические» экраны настроек виджетов в разделе «Внешний вид» — «Виджеты» и «Настройщик». Отключает…
Авторы WordPress 2+ миллиона активных установок Протестировано с 6.2.2 Обновлено 3 месяца назад
Performance Lab
(всего 26 оценок)Плагин производительности от WordPress Performance Team, который представляет собой набор автономных модулей производительности.
Команда повышения производительности WordPress 80 000+ активных установок Протестировано с 6.2.2 Обновлено 3 дня назад
Gutenberg
(всего 3671 рейтинг)Плагин Gutenberg предоставляет возможности редактирования, настройки и создания сайтов для WordPress. Этот бета-плагин…
Команда Гутенберга 300 000+ активных установок Протестировано с 6.
2.2 Обновлено 1 неделю назадЗависимости плагинов
(всего 3 оценки)Анализирует заголовок «Требуются плагины» и добавляет вкладку «Зависимости» на страницу установки плагина.…
Энди Фраген, Колин Стюарт, Пол Байрон 100+ активных установок Протестировано с 6.3 Обновлено 1 месяц назад
Двухфакторная аутентификация
(всего 164 рейтинга)Включить двухфакторную аутентификацию с использованием одноразовых паролей на основе времени (OTP, Google Authenticator), универсальный двухфакторный (FIDO U2F,…
)Авторы плагинов 60 000+ активных установок Протестировано с 6.0.5 Обновлено 3 месяца назад
Контактная форма 7
(всего 2040 оценок)Еще один плагин для контактной формы. Простой, но гибкий.
Такаюки Миёси 5+ миллионов активных установок Протестировано с 6.2.2 Обновлено 3 недели назад
Yoast SEO
(всего 27 579 оценок)Улучшите свой WordPress SEO: Напишите лучший контент и получите полностью оптимизированный сайт WordPress, используя…
Команда Йост 5+ миллионов активных установок Протестировано с 6.
2.2 Обновлено 1 неделю назадКонструктор веб-сайтов Elementor — больше, чем просто конструктор страниц
(всего 6 542 рейтинга)В конструкторе веб-сайтов Elementor есть все: конструктор страниц с помощью перетаскивания, пиксельный дизайн,…
Elementor.com 5+ миллионов активных установок Протестировано с 6.2.2 Обновлено 4 дня назад
Классический редактор
(всего 1135 оценок)Включает предыдущий «классический» редактор и экран редактирования сообщений в старом стиле с TinyMCE, Meta Boxes,…
Авторы WordPress 5+ миллионов активных установок Протестировано с 6.2.2 Обновлено 3 месяца назад
Критических уязвимостей плагинов WordPress влияют на тысячи сайтов
Фирма Defiant, занимающаяся безопасностью веб-приложений, предупреждает о критических уязвимостях обхода аутентификации в двух плагинах WordPress с десятками тысяч установок.
Первый дефект безопасности, отслеживаемый как CVE-2023-2986 (оценка CVSS 9,8/10), влияет на плагин Abandoned Cart Lite для WooCommerce, который уведомляет клиентов, которые не завершили процесс покупки и который имеет более 30 000 активные установки.
В отправленном уведомлении пользователю предоставляется ссылка, которая автоматически выполняет вход для продолжения покупки и которая содержит зашифрованное значение, идентифицирующее корзину.
Поскольку ключ шифрования, используемый для создания зашифрованного значения, жестко запрограммирован в подключаемом модуле, а идентификатор каждой корзины представляет собой последовательно увеличивающееся число, злоумышленник может использовать ключ шифрования для создания идентификаторов корзин других пользователей.
Успешная атака может быть выполнена только против брошенных тележек и, вероятно, позволит злоумышленнику войти в систему как пользователь уровня клиента. Однако злоумышленник также может получить доступ к учетным записям уровня администратора, которые тестируют функциональность заброшенной корзины, что может привести к полной компрометации сайта, согласно бюллетеню Defiant.
Проблема была исправлена в Abandoned Cart Lite для WooCommerce версии 5.
15.1, выпущенной 13 июня. Судя по статистике WordPress, десятки тысяч веб-сайтов еще не применили исправление.
Во вторник Defiant также сообщил об уязвимости критической степени опасности — CVE-2023-2834 (оценка серьезности CVSS 9,8/10) — в BookIt, плагине WordPress с более чем 10 000 активных установок.
Плагин предоставляет короткий код для встраивания календаря бронирования встреч на страницы сайтов WordPress, позволяя пользователям записываться на встречи, указывая свое имя, адрес электронной почты и пароль.
Из-за недостаточной проверки введенных пользователем данных при бронировании встреч с помощью плагина злоумышленник, не прошедший проверку подлинности, может войти в систему как любой существующий пользователь, если злоумышленник знает адрес электронной почты пользователя.
В частности, подключаемый модуль проверяет идентификатор пользователя на основе предоставленного адреса электронной почты и, если этот адрес электронной почты принадлежит существующей учетной записи пользователя, связывает запрос с этой учетной записью и устанавливает для нее файлы cookie аутентификации, не выполняя проверку пароля.