All in one wp security firewall настройка
Меня зовут Артем Абрамович и я являюсь фрилансером-вордпресером. Занимаюсь настройкой и редактированием сайтов созданных на CMS WordPress. Это основная моя специализация, есть еще несколько работ, которыми я занимаюсь, но обо этом вы можете более подробно узнать из моего портфолио.
100 комментариев к “Настройка All In One WP Security и базовые принципы безопасности в WordPress”
Спасибо. Всё руки не доходили разобраться с плагином для защиты.
Плагин просто супер. Если он действительно обеспечивает весь этот функционал.
Автору ОГРОМНОЕ СПАСИБО . Попутно разобрался, почему у меня в админке был отключен редактор и нельзя было редактировать html.
Артём, спасибо Вам за Ваш труд. Удачи и успехов.
Рад, что помог! Успехов в освоении!
После изменения в защите базы данных сбрасывается wordpress, и приходится проходить всё по новой.Ставлю галочку на автоматическую генерацию т.к не знаю,что вводить.
А-а-а, префикс таблиц. Там надо латиницией 4-5 знаков указывать, без цифр и прочих лишних символов
реальный пример можно
Добрый вечер!У вас есть видео заполнении страниц,в частности интересует правильное заполнение.,что означает заголовок 1,2,3,абзац
Блокируя доступ к XML-RPC файлу
Спасибо Вам за столь подробное видео. Вместе с тем на многих хостингах, к примеру взять тот же Fozzy уже установлена базовая защита, в связи с чем плагин может дублировать ряд защитных функций хостинга. У меня допустим скорость в pagespeed падает примерно на 30% при данной настройке, при том что я не трогую защиту от бутфорс атак и фаеровол.
Пожалуйста. А что понимается под базовой защитой? На Фоззи точно не ничего подобного, у самого там сайты работают
Спасибо Артем, как раз тебе писал, что мне не хватает этого видео, для закрытия всех вопросов. Единственное, с того времени плагин обновился. Появились некоторые пункты в основных настройках фаервола, которых в видео не было.
Completely Block Access To XMLRPC: Check this if you are not using the WP XML-RPC functionality and you want to completely block external access to XMLRPC.
Disable Pingback Functionality From XMLRPC: If you use Jetpack or WP iOS or other apps which need WP XML-RPC functionality then check this. This will enable protection against WordPress pingback vulnerabilities.
Block Access to debug.log File: Check this if you want to block access to the debug.log file that WordPress creates when debug logging is enabled.
Первые 2, наверно разъединили сделав более тонкую блокировку удаленного доступа, кстати, а что это?
А последний, неизвестен.
Можешь вкратце описать за что они отвечают, спасибо! 🙂
А, и во вкладке 5G, добавился режим 6G. Судя по описанию, улучшенная версия 5G, которая меньше карябает htaccess. Стоит ли ей пользоваться, каково твое мнение?
Completely Block Access To XMLRPC: Check this if you are not using the WP XML-RPC functionality and you want to completely block external access to XMLRPC. Полная блокировка XMLRPC
Disable Pingback Functionality From XMLRPC: If you use Jetpack or WP iOS or other apps which need WP XML-RPC functionality then check this. This will enable protection against WordPress pingback vulnerabilities. Частичная блокировка, для работы Jetpack
Block Access to debug.log File: Check this if you want to block access to the debug.log file that WordPress creates when debug logging is enabled. Блокировка к файлу debug.log если включена отладка
6G у меня включен иногда
Сложный пароль теперь кнопкой генерируется прямо в настройках WP. Через этот плагин п у меня не поменялся
Лучшее видео из всех в сети. Артем подскажите в разделе защита файловой системы почему то не получается изменить текущие разрешения на рекомендованные (0777 на 0775) в чем может быть проблема.
Скорее всего у вас на хостинге так установлено, напишите в поддержку, пусть посмотрят
WPRUSe · Финты WordPress Проблема в том что это на локалке даже нельзя поменять (
Ну так не бывает, что не то с настройками сервера. На локалке все должно меняться
Ну так не бывает, что не то с настройками сервера. На локалке все должно меняться
Спасибо, Артём за подробный обзор плагина, хотелось бы услышать от Вас обзор плагина iThemes Security
Пожалуйста! Дак это аналогичный плагин, ну при случае сделаю
Спасибо! А как плагин на русский перевести?
Пожалуйста! Плагин почти полностью переведен
Привет! Попробуй удалить плагин и по новой установить
Спасибо. На Fozzy посоветовали папку с плагином переименовать (old в конце названия удалить), они его отключали чтобы я мог в админку зайти. Пока все работает, мож я сам где-то затупил. В любом случае спасибо за Ваши уроки, делаю по ним себе сайт. Вроде получается.
Ну можно и так сделать, на эту тему даже видео есть на канале
Супер плагин, Супер обзор. Спасибо.
Сделал всё как на видео. Но как быть если сайт УЖЕ взломан?(рассылает спам)
Пожалуйста! Лечить только, но лечение это тот еще гемор, приходится руками все файлы проверять
На хостинге разве что. Или попросите поддержку хостинга нужные разрешения на нужные файлы установить
Согласна! Это лучший обзор! Вы меня убедили подписаться на ВАС)))), ибо такого разумного подхода не встречала! Все доступным языком рассказано, ничего лишнего, все по теме. Даже такой чайник как я понял! Спасибо.
те он по сути не работает, и надо менять или делать почту с таким мылом или любой рабочий адрес подставлять? И если второе, то куда надо вставить мыло, чтобы оно изменилось во всех настройках вп и плагинов?
там если сменить во всем вуу и вп изменится или надо все вручную будет менять?
))))))) Резервная копия рулит)
Огромное Вам спасибо!
А смена ссылки входа имеет примечание Если вы размещаете свой сайт на WPEngine или провайдере, который выполняет кеширование сервера, вам нужно попросить пользователей поддержки хоста НЕ кэшировать вашу переименованную страницу входа.
еКст если сменить домен сайта, то эта защита работать перестает, можно по вп админ зайти тоже
Чтобы вы представляли, о чем идет речь: мой блог только за прошлую неделю взламывали 2 раза. Постоянные посетители, думали, заметили. Ребята, я настоятельно рекомендую ознакомиться с данным уроком, потратить время на внедрение советов, о которых говорю, чтобы больше обезопасить свой сайт и сэкономить время, деньги и нервы.
- Login Lockdown;
- WordPress Database Backup;
- Anti-XSS attack;
- и другие подобные.
Огромные плюсы плагина All In One WP Security:
- бесплатный;
- настраивается очень просто;
- практически все переведено на русский язык, поэтому понятно о чем идет речь.
Настройка плагина All In One WP Security
Обязательно сделайте бэкап (резервную копию) перед началом работы (на всякий случай) следующих файлов:
- база данных;
- файл wp-config;
- файл htaccess.
Панель управления
Тут есть очень крутой информер, который показывает уровень защищенности вашего сайта:
Этот показатель поможет держать руку на пульсе и понимать, что еще нужно сделать для улучшения безопасности. Не рекомендую делать все, ради достижения максимальных баллов. Могут быть плохие последствия, ваш сайт может упасть, ошибочно функционировать.
Текущий статус самых важных функций. В этом блоке можно активировать самый необходимый функционал по безопасности вашего сайта (можете пока не трогать их, в ходе настроек по уроку, данные параметры активизируются итак):
Остальные параметры в Панели управления малоинтересны, Вы можете ради любопытства ознакомиться с ними (Информация о системе, Заблокированные IP адреса, AIOWPS.
Настройки
Общие настройки. Тут можно создать резервные копии файлов, о которых я говорил выше. Также отключить функции безопасности и файерволла, если что-то перестало работать.
Администраторы
Отображаемое имя. Если на вашем сайте есть аккаунты, у которых имя пользователя и отображаемое имя совпадает, то рекомендуется изменить отображаемое имя (никнейм).
Пароль. Очень интересная вкладка. Тут можно узнать, за какой промежуток времени можно подобрать в автоматическом режиме ваш пароль. Введите свой пароль и сильно удивитесь, насколько быстро его можно взломать. Обязательные условия для усиления безопасности:
- в вашем пароле должны быть как заглавные, так и строчные буквы;
- обязательно наличие хотя бы 1-ой цифры, но никак пароль не должен состоять только из цифр;
- желательно еще наличие какого-либо спецсимвола;
- длина пароля должна быть более 10 символов.
В итоге у вас должен быть максимальный степень безопасности вашего пароля, что-то в этом роде (пароль ниже домашний компьютер взломал бы за 57 337 лет (!) ):
Авторизация
Блокировка авторизаций. Обязательно включите эту функцию. Если пароль в течении 5-ти минут (по умолчанию) введется 3 раза неправильно, то IP блокируется на 60 минут (тоже по умолчанию). Я не рекомендую ставить блокировку больше по времени, а то можно столкнуться с тем, что сами администраторы вводят логин 3 раза неправильно, ставят блокировку на 10 лет и не знают что делать. Оставляем по умолчанию 60 минут и не паримся.
Итоговые настройки данной вкладки у меня выглядят так:
Если вам любопытно, можете глянуть список заблокированных IP, ссылка на раздел приводится в данной же вкладке ниже.
Автоматическое разлогинивание пользователей. Рекомендую тоже включить данный чекбокс. Позволяет через определенное количество минут завершить сессию и разлогинить пользователя. Я ставлю 600 минут:
Да и можно поставить галочку CAPTCHA при регистрации:
Конечно, если нельзя зарегистрироваться другим людям на вашем сайте, верхние 2 пункта просто бесполезны, от них не станет ни лучше, ни хуже. Но, если вы сомневаетесь, лучше поставьте галочки в этих пунктах.
Защита базы данных
Резервное копирование БД. Здесь уже ставим галочку, выбираем частоту создания бэкапов и их количество. У меня. к примеру, такие цифры:
Если вы не так категорически относитесь к чистоте в почте как я, то можете включить чекбокс для отправки бэкапов на свой электронный ящик.
Защита файловой системы
Доступ к файлам. Здесь в правой части у вас будут кнопки, вам нужно будет изменить права доступа к файлам, нажав на эти кнопки. В результате все строчки у вас должны стать зелеными:
Доступ к файлам WP. Ставим галочку:
Системные журналы. Оставляем по умолчанию.
WHOIS-поиск
Можете вбить IP адрес, либо домен для получения WHOIS какого-либо домена. А так по сути тут нечего трогать.
Черный список
Если у вас нет недоброжелателей, можете не включать данный пункт. Если какой-то IP адрес постоянно сверкает в комментариях, к примеру, можете включить чекбокс и внести данный IP в черный список.
Файрволл
Базовые правила файрволла. Если вы не делали до этого момента резервную копию htaccess, то обязательно делаем его. И ставим галочки напротив всех пунктов:
Дополнительные правила файерволла. Тут тоже включаем все галочки:
Настройки 5G файрволл. Тоже включаем:
Интернет-боты. Здесь могут возникнуть проблемы с индексацией, поэтому я рекомендую не включать данный пункт.
Предотвратить хотлинки. Тоже включаем.
Детектирование 404. Рекомендую включить. А время ставить минут 5.
Custom Rules. Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.
Защита от брутфорс-атак
Переименовать страницу логина. Включаем. Меняем адрес логина на свой:
Защита от брутфорс-атак с помощью куки. Я не включаю данную функцию, чтобы не было проблем со входом с разных устройств.
CAPTCHA на логин. Можете включить CAPTCHA при авторизации, я же не включаю:
Белый список для логина. Так как я часто захожу на сайт с разных мест, IP у меня разный, поэтому данную опцию я не включаю:
Бочка с медом. Создается дополнительное поле, которое видят только роботы. Поэтому, при заполнении данного поля, робот будет перенаправлен на свой адрес. Включаем:
Защита от SPAM
BuddyPress. Добавляет CAPTCHA в форме регистрации BuddyPress. Я не использую ее.
Сканер
Отслеживание изменений в файлах. Рекомендую включить, так как часто при взломе сайтов не совсем понятно, какой файл изменили, где искать вредоносный код. А с помощью этой функции сможете отследить изменения в файлах вашего сайта и быстро найти тот файл, который изменялся в последнее время.
Сканирование от вредоносных программ. Функция платная, стоит от 7$ в месяц.
Режим обслуживания
Разное
Защита от копирования текста и прочее. Здесь я нигде в трех вкладках не ставлю галочки. Тоже рекомендую не ставить.
Итоги
Повторюсь, не нужно необдуманно делать все, чтобы достигнуть максимально возможного балла. Не занимайтесь ненужным вредом для своего сайта, его работоспособности и удобства.
Написать данный пост меня подтолкнуло следующее событие.
В конце 2014 года, ко мне обратился клиент с просьбой взять его сайты на поддержку. Пять сайтов были сделаны на WordPress и находились на двух разных хостингах. Конечно я не оставил клиента в беде и взял на поддержку все его сайты.
На четвертый день, после принятия мною сайтов, от хостера пришло письмо о том, что:
На вашем аккаунте обнаружены файлы, содержащие вредоносный код. Данный код позволяет злоумышленнику проводить атаки на другие сервера и осуществлять спам рассылку.
Это был стук в дверь! Как вы уже догадались, сайты были взломаны и заражены. Я остановил работу сайтов и провел весь необходимый комплекс мер по чистке сайта от вирусов. Нашел и устранил обнаруженные уязвимости на сайте.
Еще раз повторюсь – если вы не хотите стать обладателем кучей скрытых ссылок или безобидного шелл-кодика, все расширения качаем только с официального сайта разработчика!
После этой ситуация я занялся поиском плагина безопасности для WordPress.
Свой выбор я остановил на плагине All In One WP Security & Firewall. Ниже я опишу функционал плагина и процесс его настройки.
Несмотря на кривой перевод, плагин имеет все необходимые функции для защиты вашего сайта.
Перечислю только основные:
- Сканер файлов.
- Файервол.
- Резервное копирование базы данных и отправка на указанный email.
- Ведение журнала ошибок 404.
- Блокировка авторизаций.
- Черный список ip адресов.
- Защита от брутфорс атак
Настройка плагина All In One WP Security & Firewall
Перед установкой плагина обязательно сделайте бэкап вашего сайта!
1. Заходим в плагины и устанавливаем данный плагин из каталога расширеней WordPress.
2. Переходим в настройки плагина на вкладку “WP мета-информация”. Активируйте опцию “Удаление мета-данных WP Generator”.
Эта опция позволяет скрыть метатег generator в котором отображается текущая версия WordPress.
Зная версию движка, хакеры попытаются, нанеся атаку по уязвимым места конкретной версии WordPress.
3. Вкладка администратор. Если у вас в системе стоит логин admin, обязательно смените его на более сложный. При брутфорс атаке, хакеры начинают подборку логина и пароля с самых распространенных вариантов.
После смены логина, сессия пользователя будет закрыта и вам потребуется пройти авторизацию. Для входа используйте ранее указанный логин.
Перейдите на вкладку “отображаемое имя”. Если текущие имена администраторов совпадают с отображаемым именем на сайте, система выдаст предупреждение и предложит сменить их.
На указанный email, система будет присылать информацию о неудавшихся попытках авторизации, будьте в курсе всех ошибок авторизации на вашем сайте.
Это позволит свести к минимуму спам и появление левых аккаунтов.
7. Файловая система. Если есть какие либо отклонения в настройках прав, плагин предложит внести корректировки.
8. Файерволл – очень мощная защита от вредоносных запросов (xss атак), добавляемых в url вашего сайта. Позволяет отключить возможность просмотра директорий, осуществляет детектирование и блокировку 404 ошибок, поставить запрет на фал xmlrpc.php (если вы не используете функционал XML-RPC) и многое другое.
Логи 404 ошибки, отображают адреса страницы вашего сайта, к которым обращался пользователь и получил ответ сервера 404 (страница не найдена).
Прилагаю скриншот технических ошибок сайта, на нем видно, что все 404 ошибки вызваны из-за картинки, которой нет на сервере.
Скриншот попыток осуществить брустфорс атаку на сайт.
Из скриншота видно, что пользователи пытаются найти админку. Как думаете для чего им это нужно?
Таких любознательных пользователей, я сразу отмечаю галочкой и добавляю в черный список.
Будьте в курсе всех изменений вашего сайта.
10. Защита от SPAM. Позволяет добавить капчу к комментариям и установить блокировку для спам роботов. Что существенно снизит количество спама в комментариях.
11. Защита от брутфорс атак. Позволяет скрыть панель администратора от глаз злоумышленников, тем самым предотвратить подборку логина и пароля администратора.
Ну вот и все, все обязательные настройки мы рассмотрели, остальные функции плагина вы можете использовать по своему усмотрению.
Защита сайта всегда является важным аспектом в его создании и в продолжительном использовании. Несмотря на высокий уровень безопасности WordPress, можно и даже нужно вносить свою лепту, чтобы максимально себя огородить от нежелательных угроз. И не стоит пренебрегать всеми возможными вариантами, учитывая, что постоянно есть опасность потенциальных атак и вирусов.
Первые меры, которые можно принять по защите WordPress – установка плагинов безопасности. К счастью, в официальном репозитории их насчитывается большое количество как платных, так и бесплатных. Нам остается только выбрать какой именно использовать, исходя из его функциональности. В сегодняшнем обзоре предлагаю рассмотреть мощный плагин для защиты WordPress — All In One WP Security & Firewall с большим набором функций.
Краткое описание плагина All In One WP Security & Firewall
Плагин объединяет в себя большой список инструментов, с помощью которых можно решать от самых мелких до больших задач. Это значительно может уменьшить риск опасности и перейти на новый уровень безопасности. All In One WP Security весьма прост в использовании и имеет три степени сложности – от простого до продвинутого.
В настоящий момент плагин переведен на несколько языков, включая русский. Правда, местами можно обнаружить неполный перевод, но таких мест очень мало. Несмотря на многочисленные функционал, плагин использует минимум ресурсов, что позволяет не нагружать сайт. И при всех его возможностях он совершенно бесплатный.
Настройка плагина All In One WP Security & Firewall
Предлагаю пропустить перечень всех его функций, а сразу перейти к настройкам, где в подробностях разберем каждый пункт. Это как раз и будет «прайс-лист» плагина, только с одновременным разбором.
После установки и активации плагина в панели инструментов у вас добавится новая вкладка «WP Security».
Вот все пункты, с которыми постараемся познакомиться.
Панель управления
Здесь выводится сбор информации об уровни защиты вашего сайта, диаграмма безопасности, статус самых важных функций. Остальные вкладки, на этой же странице, соответственно показывают инфу о системе, заблокированных IP-адресов, черный список и лог файлов. Для наблюдения запомните, какой у вас текущий балл надежности и сравните его с полученным после всех настроек.
Настройки
Вначале, перед активацией каких-либо функций, нам советуют сделать резервную копию важных файлов и БД. Такие меры предосторожности будут весьма кстати, так что не поленитесь выполнить их. Две последующие вкладки как раз помогут сделать резервную копию файлов. На вкладке «Общие настройки» чуть ниже находятся настройки сброса некоторых параметров. Воспользуйтесь ими если заметите некорректность в работе сайта. Предпоследняя вкладка «WP Version info» поможет отключить мета-теги, которые WordPress автоматически выводит на всех страницах сайта.
Обратите внимание на два элемента с флажками, выделенные на скриншоте. Первый показывает уровень сложности функции, а второй – очки безопасности. Чем больше будет баллов, тем выше степень важности. Поставьте галочку и нажмите кнопку «Сохраните настройки», но только в том случае, если вы раньше сами не удаляли теги.
Последняя вкладка «Импорт/Экспорт» поможет избавиться от необходимости вновь настраивать плагин, если вам придется его переустанавливать или ставить на новый сайт. Достаточно лишь экспортировать настройки в виде отдельного файла, а затем просто импортировать их.
Внимание! В конце статьи вы сможете найти ссылку на скачивание файла настроек плагина All In One WP Security & Firewall с данного урока.Администраторы
Авторизация
Один из множества способов взлома сайта является многократные попытки подбора паролей или, другими словами, называют Брутфорс-атака. Наша задача состоит в том, чтобы ограничить количество попыток ввода, а также принять последующие меры по отношению к IP-адресов взломщиков. Отметьте галочками пункты, как показано на скриншоте, и нажмите кнопку «Сохранить».
Все остальные вкладки в этом разделе показывают общую информацию по уже заблокированным IP-адресам и неудачным попыткам входа. Можно еще обратить внимание на вкладку «Автоматическое разлогинивание пользователей». Ставьте здесь галочку, дабы через указанное время заканчивалась сессия авторизации админа (выход из аккаунта). Это полезно тогда, когда вашим компьютером или ноутбуком пользуется кто-то еще, кроме вас.
Этот раздел больше относится к тем сайтам, у которых открыта форма регистрации. Здесь можете поставить галочку для ручного подтверждения регистрации пользователя, а также добавить капку на страницу регистрации.
Защита Базы данных
Лакомый кусочек для недоброжелателя – это доступ к Базе данных где хранятся все настройки и контент. Одним из способов усилить защиту БД от SQL-инъекций является смена стандартного префикса баз данных « wp_ » на уникальный. Об этом я уже говорил в статье «Советы безопасности для ВордПресс».
Отмечаем галочкой пункт и жмем «Изменить префикс таблиц». После чего начнется процесс смены и обновления некоторых файлов. Во второй вкладке настраиваем автоматическое создание бэкапа БД.
Префикс таблиц БД
Резервное копирование БД
Защита файловой системы
Отключаем права на редактирование файлов из админ-панели, закрываем доступ к файлам и сменяем разрешения папок\файлов на рекомендуемые.
WHOIS-поиск
Просмотр детальной информации о домене. Подробнее «Что такое WHOIS?».
Черный список
С этой функцией нужно быть осторожней, так как есть вероятность блокировки вашего IP к доступу админ входа. Активируйте по желанию.
Файрволл
Здесь настраиваются более серьезные функции, отдельные из которых могут даже нарушить работоспособность сайта. Возле каждого параметра есть краткое описание, объясняющее принцип их работы. Я отметил следующие пункты, а последнюю вкладку оставил без изменений.
Баз. правила файрволла
Доп. правила файрволла
6G Blacklist Firewall Rules
Интернет-боты
Предотвратить хотлинки
Детектирование 404
Защита от брутфорс-атак
Продолжаем борьбу с брутфорс-атаками. На этот раз задействуем эффективный способ, а именно – изменим адрес страницы входа. Нам предлагают для этого два варианта: либо через куки, либо обычным путем. Обращаю ваше внимание на то, что эти две функции одновременно не могут быть активированы.
Если вы пользуетесь только одним браузером для входа в админ-панель, то вам подойдет смена на основе куки. Соответственно, если заходите с разных браузеров и мест, то подойдет обычная смена адреса. На вкладке «Капча» включается вывод дополнительного поля на странице логина с математической задачей.
На последней вкладке находится очень интересная функция – «Бочка с медом» (сладкий термин). Суть ее очень проста: на страницу входа добавляется новое поле заполнения, которое видят только роботы. А робот, в свою очередь, как правило, заполняет все возможные поля и отправляет запрос. И тем самым выдает себя (ведь настоящий пользователь не видит это поле), вследствие чего происходит обычное перенаправление робота на свой IP-адрес.
Переименовать страницу логина
Бочка с медом
Защита от спама
Дополнительные меры по борьбе со спамом в комментариях путем блокирования спам-ботов и отслеживание IP-адресов. Кто считает нужным, может активировать еще и капчу.
Спам в комментариях
Отслеживание IP-адресов
Сканнер
Сканнер поможет отслеживать изменение файлов и показывать точную дату и время, когда это случилось. Можете установить автоматическое сканирование, указав определенную частоту на выбранный период времени. Вкладка «Сканирование от вредоносных программ» — это отдельный сервис.
Функция «Сканирование базы данных» временно является деактивированной. Разработчики обещают в ближайшее время ее переделать и представить в рабочем состоянии.
Режим обслуживания
Закрывается доступ пользователям к сайту, кроме админа, и включается технический режим обслуживания сайта WordPress.
Разное
В последнем разделе все функции менее важные и могут быть активированы по своему усмотрению.
Заключение
Как и обещал вначале, даю ссылку для скачивания файла настроек ( скачать здесь ). Он импортируется в разделе «Настройки» на вкладке «Импорт/Экспорт».
Хотя WordPress довольно безопасен сам по себе, но, всегда существует опасность для сайта со стороны потенциальных хакеров, вирусов и других угроз. Одним из способов устранения этих угроз безопасности является использование плагинов безопасности WordPress, таких как All in One WP Security and Firewall .
Это один из самых популярных плагинов безопасности, с огромным количеством загрузок и положительных отзывов. К тому же его можно установить совершенно бесплатно.
Установка и активация плагина
Зайдите в раздел Плагины > Добавить новый и введите «All in one WP Security » в строку поиска.
После того, как плагин будет установлен и активирован, он создаст пункт меню с именем “WP Security”. Он имеет исчерпывающие возможности в различных категориях для защиты вашего сайта WordPress. (см фото ниже)
Как это работает?
Плагин работает на системе точечной шкалы и предлагает точки контроля для каждой из настроек безопасности. Вы можете получить 505 общих очков, чем больше очков, тем лучше для безопасности вашего сайта WordPress. Большинство параметров можно включить только щелчком мыши, установив флажки.
Меры Предосторожности Перед Включением Любых Параметров
Хотя безопасность важна, и вам захочется увеличить шкалу безопасности, некоторые настройки могут оказать негативное влияние на читаемость вашего сайта. Есть также возможности конфликта с другими плагинами и блокировки собственного IP, если опция включена неправильно. Настоятельно рекомендуется подготовиться перед включением любых параметров безопасности :
- Резервное копирование всего сайта и базы данных.
- Резервное копирование .htaccess поможет восстановить исходные параметры.
- Резервное копирование wp-config.php.
- Убедитесь, что у вас есть FTP-доступ к хост-серверу. Это поможет заменить файлы в случае аварийной ситуации.
Таким образом, создайте резервную копию всего содержимого сайта и включите только необходимые параметры безопасности. Также рекомендуется проверять доступность сайта после включения брандмауэра, утверждения регистрации пользователя и других функций. Исходя из собственного опыта, для безопасности обычного блога достаточно набрать около 250 баллов, не нужно гнаться за максимальными баллами.
Панель управления
Не рекомендуется включать какие-либо настройки непосредственно в панели управления. Перейдите на страницу индивидуальных настроек и включите операцию, только если это необходимо.
Ниже приведены другие сведения, доступные на вкладке панель управления:
Информация о системе – показывает полную информацию о сайте, версии PHP и активных плагинах.
Заблокированные IP-адреса – показывает список заблокированных IP-адресов.
Постоянный список блокировки – показывает список IP-адресов, заблокированных навсегда из-за спама комментариев. Опция может быть включена в разделе «Защита от SPAM > Спам в комментариях».
Логи AIOWPS – вы можете просмотреть файлы журнала безопасности плагина здесь.
Вкладка настройки
Общие настройки – здесь вы можете отключить все функции безопасности и настройки плагина в один клик. Это будет необходимо, если ваш сайт сломан из-за настроек плагина. Вы также можете включить / отключить опцию отладки для плагина.
.htaccess файл – как упоминалось в разделе Меры предосторожности выше, настоятельно рекомендуется создать резервную копию .htaccess перед включением параметров безопасности. Вы также можете восстановить .htacess файл из резервной копии.
wp-config.php – здесь можно создавать резервные копии и восстанавливать wp-config.php.
WP информация версии – WordPress автоматически генерирует номер версии и показывает его на каждой странице, используя мета-тег. Это не является проблемой при использовании последней версии WordPress. Но если вы не обновляетесь до последней версии и используете любую из старых версий, хакеры могут легко нацелиться на ваш сайт, найдя номер версии. Вы можете скрыть мета-данные поставив соответствующий флажок.
Импорт / экспорт – импорт или экспорт всех настроек плагина.
Администраторы
WP имя пользователя – здесь вы можете изменить пользователей с именем “admin” на желаемое имя (рекомендуется!).
Отображаемое имя – проверьте список пользователей с одинаковыми именами входа и отображения.
Пароль – проверьте прочность вашего пароля и плагин покажет вам, сколько времени потребуется для хакера, чтобы угадать пароль.
Авторизация
Раздел авторизация позволяет управлять регистрацией пользователей на вашем сайте со следующими параметрами:
Блокировка авторизаций– включить блокировку Пользователя после определенного количества неудачных попыток ввода. Эта функция помогает остановить всех ботов и отправит уведомление по электронной почте, когда какой-то идентификатор пользователя заблокирован.
Ошибочные попытки авторизации– просмотр неудачных попыток входа в систему вместе с IP-адресом и именем пользователя.
Автоматическое разлогинивание пользователей– автоматическое прекращение сессии через определенное время.
Журнал активности аккаунта– просмотр списка последних 50 идентификаторов пользователей, вошедших на сайт.
Активных сессий– просмотр пользователей, вошедших в систему на вашем сайте.
Здесь можно включить ручное одобрение пользователей, пытающихся зарегистрироваться на сайте и добавить капчу в форму регистрации WordPress . Следовательно, не включайте это, если вам нужно иметь возможность автоматической регистрации.
Ловушка регистрации – нужно отметить, чтобы поставить скрытое поле-ловушку на страницу регистрации для вычисления роботов.
Защита Базы данных
Защита Файловой системы
Доступ к файлам– проверьте все файлы и папки, имеют ли они необходимые разрешения для чтения / записи и установите правильное разрешение.
Редактирование файлов PHP – отключите редактирование файлов на панели мониторинга. Эта опция удалит меню “редактор” для редактирования файлов тем и плагинов непосредственно из панели мониторинга.
Доступ к файлам WP– хакеры могут получить более подробную информацию о версии WordPress с помощью readme.html, license.txt и wp-config-sample.php. Включение этой опции отключит прямой доступ к этим файлам.
WHOIS-поиск
Хотя поиск WHOIS не является функцией безопасности, он позволяет просматривать сведения об IP-адресе или доменном имени в панели администратора.
Черный список
Здесь можно блокировать доступ IP-адресов и пользователей .
Файрволл
Здесь вы можете поставить галочки везде, кроме вкладки Пользовательские правила и Интернет-боты, поскольку плагин заблокирует всех ботов, которые используют строку “Googlebot” в своей информации агента пользователя, в том числе возможно и от поисковых систем). После нужно проверить, влияют ли изменения на доступность сайта.
Защита от брутфорс-атак
Брутфорс-атака – метод, при котором злоумышленник пытается получить доступ к защищенным паролем страницам методом проб и ошибок. Плагин AIOWPS имеет несколько вариантов, чтобы остановить атаки на вашем сайте .
Защита от СПАМ
Помогает остановить спам-комментарии, отправляемые ботами, и позволяет добавлять капчу в форму комментариев. Если на сайте уже установлен анти-спам плагин, можете пропустить этот пункт.
Сканнер
Отслеживание изменений в файлах – включить автоматическое сканирование для вашего сайта со списком проверяемых расширений файлов и каталогов, которые необходимо исключить.
Сканирование от вредоносных программ – это платная надстройка от стороннего сайта для сканирования вашего сайта на предмет обнаружения вредоносных программ.
Режим обслуживания
Включите режим обслуживания, когда ваш сайт недоступен для пользователей. На самом деле нет никакой связи между режимом обслуживания и безопасностью, это сделано для удобства владельца сайта.
Разное
Защита от копирования – отключите щелчок правой кнопкой мыши на вашем сайте, чтобы пользователи не могли копировать контент.
Фреймы – отключите показ Вашего сайта и его содержания внутри frame.
Contact form 7 — это, без сомнения, один из самых Read more
Конфликт плагинов WordPress может вывести из строя весь ваш сайт Read more
Поддерживать интерес и активность читателей на вашем сайте - довольно Read more
Вы хотите улучшить скорость загрузки страницы вашего сайта WordPress? Увеличение Read more
Посетители вашего сайта получают доступ к его содержимому не только Read more
Ваш WordPress взломан или заражен вредоносными программами? Если да, то Read more
Читайте также: