Безопасность Вордпресс. Полное руководство

В этой статье мы разберём, как получить и установить SSL сертификат на сайт WordPress и настроить HTTPS.

Загрузите и установите WP Rocket

Сначала идите к Сайт WP Rocket и купить WordPress .

Выберите наиболее подходящий для вас план и выполните необходимые шаги для размещения заказа.

Далее вам будет отправлено письмо с информацией для входа в вашу учетную запись на Зайдите и войдите, и в «мой аккаунт» Вы найдете ссылку для скачивания. Загрузите и сохраните zip-файл на свой компьютер.

Далее войдите в свой WordPress сайт и направиться к Плагины -> Добавить -> Загрузить плагин.

Просто загрузите и установите версию WP Rocket в формате zip-файла.

Наконец, перейдите и активируйте WP Rocket, и плагин теперь установлен. Ура!

Работаем с логами статистики AWStats в Панели управления TimeWeb

Совсем недавно в статье Считаем трафик на сайте передо мной встал вопрос, как высчитывать трафик, который съедают роботы-пауки, заходящие на сервер сайта и, вообще, сколько трафика потребляет веб-ресурс. Я там вывел кое-какие алгоритмы подсчетов — теоретического плана. Есть даже формула для приблизительного определения трафика. А сегодня покажу, как это сделать на практике с помощью инструмента лог-анализатора AWStats.

Что такое AWStats?

AWStats — это генератор аналитических отчетов для потоков на веб-серверах, который находится в свободном доступе для всех пользователей Интернета. Статистику данный сервис предоставляет в человеко читаемом виде — в таблицах и гистограммах. Ознакомится с этим мощным инструментом можно на официальном сайте.

В Сети, конечно же,  есть страницы, где объясняется как устанавливать эту программу на компьютер, как пользоваться, но там настолько все сложно, что я, честно говоря, не стал вникать в данную тему. Как мне кажется, это удел системных администраторов.

Коллеги, если вас не затруднит, поучаствуйте в голосовании  вверху поста. Facebook, Twitter, Вконтакте. Кто из них, на ваш взгляд,  круче в деле продвижения сайтов?

А теперь расскажу, при чем здесь хостинг TimeWeb.

На настоящий момент времени, я со своим блогом обитаюсь именно там. Поэтому, со своим вопросом решил заглянуть в Панель управления TimeWeb. Как оказалось, тут настроена сбор статистики для AWStats.

Ditty News Ticker

Ditty News Ticker – многофункциональный плагин WordPress для отображения данных, с помощью которого вы можете легко добавлять собственные новостные ленты на свой сайт. Все это можно добавить через шорткоды, прямые функции или в пользовательском виджете Ditty News Ticker. Возможности можно легко расширять, добавляя дополнительные типы тикеров и дополнительные режимы тикеров. Плагин включает в себя 3 режима тикера по умолчанию: режим поворота, режим списка и режим прокрутки.

Ditty News Ticker

Ditty News Ticker предоставляет расширения для импорта новостей из Facebook, Instagram, Twitter, RSS Feed и других источников.

Ручная установка WordPress на хостинг

Лет 15 назад об автоматической загрузке могли только мечтать, но и сейчас встречаются хостинги, которые пренебрегают функцией легкой установки вордпресса. Честно скажу, я бы не стал связываться с такими организациями, но ручную загрузку разберем по шагам также на хостинге Beget.

Читайте также:  Linux: команды для настройки сети из консоли

Сначала создадим базу данных, в панели управления заходим в раздел MySQL.

Ручная установка WordPress на хостинг

Раздел MySQL

Для создания новой базы данных понадобиться четыре параметра:

  1. Имя базы
  2. Имя пользователя
  3. Пароль
  4. Название сервера

Создание новой базы данных

Ручная установка WordPress на хостинг

В Бегете имя базы и пользователя совпадают по умолчанию, а название сервера всегда localhost. В итоге в верхней части экрана нужно ввести только пароль, имя базы и нажать кнопку добавить.

Отлично, данные записали в отдельный файл, теперь идём на и скачиваем свежую актуальную версию движка.

Загрузится файл в формате zip, распакуйте архив в любую папку на компьютере. Я например создал папку движок, открыл загруженный архив через программу WinRar, и простым перетаскиванием извлек файлы.

Распаковка движка на компьютер

Ручная установка WordPress на хостинг

Теперь переходим в файловый менеджер, либо подключаемся к серверу через FTP соединение. Я покажу на примере стандартного менеджера на самом Бегете, находим его в панели хостинга.

Файловый менеджер

Находим папку с названием домена, нажимаем на неё.

Папка с сайтом на хостинге

Ручная установка WordPress на хостинг

Находим папку public_html, заходим, в ней находятся стандартные файлы хостинга, их оставим в покое.

Корневая папка public_html

Открыв папку public_html нажимаем на свободном месте правой кнопкой мыши и выбираем Загрузить Файлы.

Откроется диалоговое окно в котором переходим в папку Движок (которую ранее создавали и извлекали файлы из архива), выделяем все элементы и нажимаем загрузить. Начнется процесс загрузки, подождем немного пока напротив всех строк будет 100%.

Ручная установка WordPress на хостинг

Копирование WP в папку

Обязательно проверьте чтобы все папки и файлы загрузились на сервер, сравните визуально их количество с тем что распаковывали на компьютер.

Теперь после загрузки файлов открываем браузер и заходим на сайт. Если все прошло удачно, то увидите такой экран, ознакомьтесь с текстом и нажимаем Вперед.

Приветствие установки

Ручная установка WordPress на хостинг

В следующем окне заполняем информацию о базе данных, которую создавали ранее. Как помним имя базы и пользователя совпадают, а сервер прописываем как localhost, префикс оставляем без изменения. После заполнения нажимаем Отправить.

Подключение базы данных к файлам

Если в порядке, то система поздравит и предложит продолжить, нажимаем Запустить установку.

Запуск установки WordPress

Ручная установка WordPress на хостинг

На следующей странице заполняем поля, имя и пароль вводим английскими буквами. Прописываем действующую почту, потому что именно с помощью ее сможете впоследствии восстановить доступ к ресурсу и получать новости, нажимаем Установить WordPress.

Не забываем записывать все введенные данные в отдельный файл.

Задаем данные администратора сайта

В следующем окне система поздравит вас и можете нажать Войти.

Ручная установка WordPress на хостинг

Поздравление о удачно установке

Вас перебросит на страницу где вставляете ранее забитые данные логина и пароля пользователя.

Поздравляю вы вошли в админ панель WordPress и готовы создавать сайты.

Вход в админку после ручной установки

Ручная установка WordPress на хостинг

Для более наглядного представления процесса, предлагаю посмотреть видео.

Плагин Яндекс Метрика для WordPress

Есть еще один способ поставить Яндекс Метрику на сайт Вордпресс, который на порядок проще, чем размещение кода в хедере шаблона. Однако информация, которую с его помощью получим, будет в более сжатом виде, а многие функции станут недоступны. Другими словами данный способ на любителя. Ну а чтобы им воспользоваться нужно пройти по ссылке на официальный сайт Яндекса – Клац.

Плагин Яндекс Метрика для WordPress

На открывшейся страничке листаем вниз и видим достаточно большой выбор различных способов установки. Конкретно нам сейчас нужен плагин Яндекс Метрика для сайта на движке WordPress, следовательно переходим на вкладку CMS:

Читайте также:  Гид по всем настройкам безопасности в iOS 14

Листаем в самый низ и выбираем необходимый. Нас перенаправят на страничку с плагином, который нужно скачать и установить. О том, как это сделать можете почитать вот в этой статье — плагины WordPress.

Плагин Яндекс Метрика для WordPress

Останется только зайти в административной панели сайта в «Настройки» — «Яндекс Метрика». И выставить необходимые настройки.

Установка за минут

Если не получилось установить первым способом, то используйте эту инструкцию.

Если что-то не понятно или хотите углубиться в подробности, ниже смотрите каждый пункт подробно.

  1. Создайте базу данных на сервере, которую будет использовать WordPress. При создании базы данных вы привязываете к ней пользователя MySQL — он должен иметь все возможные права: изменять/создавать базу данных и таблицы в ней и т.д.

  2. Скачайте WordPress (ZIP архив) и распакуйте его к себе на компьютер;

  3. Откройте распакованную папку wordpress и переименуйте файл в — это основной файл конфигурации WordPress;

  4. Откройте в текстовом редакторе и укажите в нем настройки подключения к базе данных, которую только что создали:

    define(‘DB_NAME’, ‘name’); // Имя базы данных define(‘DB_USER’, ‘username’); // Имя пользователя MySQL define(‘DB_PASSWORD’, ‘password’); // Пароль доступа к базе данных

  5. Разместите файлы WordPress на сервере. Тут есть несколько вариантов:

    • Установка в корневую директорию — это директория на сервере куда «смотрит» сайт Скопируйте содержимое распакованной папки wordpress (где лежит файл ) в корневую папку сервера (обычно это папка www или public_html).

    • Установка в поддиректорию (). Переименуйте распакованную папку wordpress в название, куда хотите установить WordPress (например blog) и скопируйте эту папку в корневой каталог на сервере. Допустим, вы хотите установить систему в папку blog на сервере, тогда вам нужно переименовать «wordpress» в «blog» и скопировать её в корень сервера.
  6. В браузере перейдите по ссылке на ваш сайт.

    • Если устанавливали в корень сервера, то нужно переходить по ссылке: и вас перекинет на -admin/;
    • Если устанавливали в отдельную папку (допустим «blog»), то нужно переходить по ссылке: и вас перекинет на -admin/;
  7. Если все сделано правильно, то вы увидите диалоговое окно установки WordPress (смотрите выше). Дальше делайте все как там написано и через пару минут сайт будет готов к работе.

А теперь, давайте подробно рассмотрим каждый пункт установки.

меню

Настройка Apache для просмотра статистики AWstats

Что бы просматривать сгенерированную awstats статистику необходимо внести дополнительные настройки в конфигурацию web-сервера apache. Открываем в текстовом редакторе файл конфигурации /etc/httpd/conf.d/, в случае отсутствия его можно скопировать из директории /usr/share/doc/

# Это алиас папки через которую мы будем обращаться к статистике # например ScriptAlias /awstats/ "/usr/share/awstats/wwwroot/cgi-bin/" # Настройки директории <Directory> Options None AllowOverride None Order allow,deny # исправляем  Allow from 127.0.0.1 на Allow from наша локальная подсеть # или другой адрес с которого разрешен просмотр статистики Allow from /24 </Directory>

Теперь можно просмотреть сгенерированную статистику открыв в браузере адрес

11

Оставить комментарий Нажмите, чтобы отменить ответ.

Имя (обязательное поле)

Email (не будет виден посетителям) (обязательное поле)

Сайт

Введите код на картинке

Кеширование

Все основные функции плагинов для кэширования – это кеширование файлов для загрузки сайта на супер быстрой скорости. Давайте посмотрим, как этот лучший плагин кэширования делает эту хорошую работу.

Мобильный кэш

Включить кэш для мобильных устройств

Кеширование

Мобильный кеш в wp rocket означает, что кеширование на мобильных устройствах более наглядно, а не на вкладках. Однако, если вы не включите эту функцию, wp-rocket не будет создавать никаких файлов кэша на мобильных устройствах. Так что ваш сайт будет немного медленнее на мобильных устройствах.

Отдельные файлы кэша для мобильных устройств

Создание выделенных файлов кэша для мобильных устройств является конечной целью этой функции, она очень поможет, если сайт имеет специальные дополнительные функции только для мобильных устройств с некоторыми дополнительными JavaScript-кодами и так далее.

Поэтому я собираюсь включить обе эти функции. Чтобы включить это, перейдите в кеш с wp-rocket dashboard и установите флажки, как на картинке ниже.

Кэш пользователя

Это включит кэш для вошедшего в систему пользователя. Я держу это непроверенным.

Кеширование

Срок службы кэшаНабор продолжительности жизни Chache 24 часа

Что такое срок службы кэша? Время, после которого все файлы кэша периодически удаляются. Мне нравится ставить на 24 часа, но вы можете сделать это дольше. Если ваш сайт обновляется очень часто, нет проблем с увеличением срока службы кэша.

Как настроить редирект с http на https

Теперь нужно настроить правильную работу сайта через протокол HTTPS. И так делаем всё по шагам.

  1. Заходим в админку сайта и на файловый менеджер на хостинге.
  2. Делаем резервную копию (бэкап).
  3. Устанавливаем плагин «Better Search Replace».С помощью его мы заменим все абсолютные ссылки на относительные, если таковые присутствуют. Вкладка «Инструменты» — «Better Search Replace» в ПУ можете проверить и заменить ссылки в этого в верхнее поле введите

    src=»http://

    а в нижнее

    src=»//Так же отмечаем все таблицы и жмём «Run» (выполнить).Теперь ваш сайт должен работать по двум адресам, как с HTTP, так и с HTTPS — проверьте. Всё плагин можно удалять, он нам больше не понадобится.

  4. Далее на хостинге открываем файл «» и перед надписью «Это всё …» добавляем следующую строчку:

    define(‘FORCE_SSL_ADMIN’, true); /* Это всё, дальше не редактируем. Успехов! */ Это небольшая защита админки WordPress.

  5. Идём в «Настройки» — «Общие» и там где у вас «Адрес WordPress» и «Адрес сайта» прописываем «https://ваш сайт».Если эти поля у вас не доступны можно поменять через «Базу данных».
    1. Идём в «PHP MyAdmin».
    2. Ищем там таблицу «wp_options» — двойной клик и редактируем.
  6. В файле «.htaccess» ставим постоянный редирект:

    RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

  7. И через пробел там же добавляем, что сайт можно использовать лишь только через протокол HTTPS:

    <IfModule mod_headers.c> # this domain should only be contacted in HTTPS for the next 12 months Header set Strict-Transport-Security «max-age=31536000» env=HTTPS </IfModule>

  8. Идём в админку сайта и добавляем метатег в секцию «head» там где все ваши метатеги (обычно в файле «»).

    <meta name=»referrer» content=»always»>

    Он нужен для передачи данных о переходах. Если вы его не поставите то ничего передаваться не будет, соответственно любых отчётах статистики вы ничего не увидите.

    Его можно не ставить в 2-х случаях, на мой взгляд, когда у вас просто лендинг и вы используете UTM метки покупая траффик или вы никогда не пользуетесь статистикой.

  9. Если в «» у вас указана директива «Host» и «Sitemap», то меняем http на https.

На этом настройки сайта закончились. Теперь ваш сайт при любом переходе должен показывать зелёный замочек в строке браузера и в админке тоже.

Но это ещё не всё