All In One WP Security подробней некуда

 


Всем привет! Безопасность и ещё раз безопасность! Если вы ранее читали на моём блоге статью «Дорки и взлом WordPress», то наверняка заинтересовались дополнительной безопасностью для своего сайта. Да и вообще, любой адекватный вебмастер должен любить и оберегать своё детище. В этой статье я расскажу обо всех опциях плагина All In One WP Security и покажу как их правильно настроить.

Оглавление:

Важно

На моём блоге есть серия уроков «Настройка безопасности WordPress». И если вы настроили безопасность сайта с учётом рекомендаций этих уроков то учтите, что плагин All In One WP Security продублирует функции других плагинов защиты. Например, функции:

  • блокировка IP адреса после неверных попыток авторизации
  • капча в комментариях
  • смена страницы входа в админку и прочее

Поэтому, оставьте всё как есть и не устанавливайте плагин, или по мере настройки плагина All In One WP Security внимательно анализируйте функции защиты, чтобы они не дублировались функциями уже установленных плагинов. И если увидели дубль, то отключайте дублирующий плагин, чтобы все настройки All In One WP Security работали правильно.

Возможно, вы спросите меня, почему в курсе по созданию блога своими руками я порекомендовал настраивать безопасность WordPress через интеграцию кода, отдельными плагинами и прочее? Дело в альтернативе. И между прочим, по моим замерам скорости загрузки и в целом работы сайта, я не заметил разницы между всеми задействованными рекомендациями из трёх частей 13 урока, от плагина All In One WP Security. Среди вас есть личности, которые не поверят мне на слово и будут продолжать интегрировать код в движок, обходя стороной «тяжеловесные плагины», делайте как знаете.

к оглавлению ↑

Установка плагина

Итак, приступим. Для начала установим плагин All In One WP Security и активируем его:

all in one wp security

После этого в административной панели сайта появится меню плагина:

wp security

При наведении на него курсора мыши всплывает контекстное меню:

wp-security меню

к оглавлению ↑

Панель управления

Думаю вначале лучше познакомиться с панелью управления, для перехода в которую вам необходимо кликнуть по элементу меню плагина в админке, или навести курсор мыши на «WP Security» и кликнуть по «Панель управления». Далее, вы увидите пять вкладок:

панель управления

к оглавлению ↑

Вкладка «Панель управления»

Изначально мы находимся во вкладке «Панель управления». Здесь вы можете увидеть блоки:

  • Измеритель уровня безопасности
  • Диаграмма безопасности Вашего сайта
  • Активных сессий
  • Режим обслуживания
  • Последних 5 авторизаций
  • Заблокированные IP адреса
  • Текущий статус самых важных функций

Измеритель уровня безопасности

Этот блок отображает текущий уровень безопасности на основании всех настроек плагина:

измеритель уровня безопасности

Измеряется он в балах, которые добавляются после активации той или иной настройки. Чем выше текущий показатель безопасности, тем лучше. Но у меня так и не вышло повысить уровень безопасности до максимального значения в 505 баллов (версия плагина на момент написания статьи Версия 4.3.2). Это связано с ненужными функциями для моего блога, которые я не включал.

Диаграмма безопасности Вашего сайта

Эта диаграмма отображает все текущие изменения в настройках:

диаграмма безопасности вашего сайта

Это некая статистика, которая позволяет быстро сориентироваться в состоянии настроек.

Блок «Активных сессий»

В этом блоке отображается информация о текущих сессиях в административной панели сайта:

блок активных сессий

Как правило, блок отображает уведомление: «Сейчас нет активных пользователей, кроме Вас». Разумеется, если нет других аккаунтов с разрешением работать в админке сайта, а по факту вы видите в этом блоке неизвестный аккаунт, то это хакер.

Режим обслуживания

Очень удобная функция:

режим обслуживания

Я не спорою, что режим обслуживания можно включить редиректом, на ранее созданную страницу, через .htaccess, но в плагине эта опция уже есть, а это значительно облегчает жизнь во время, например, технического обслуживания сайта. В добавок можно настроить страницу обслуживания на свой вкус. Для настройки и включения режима обслуживания кликните по кнопке «on/off». После чего вы попадаете на страницу настроек режима обслуживания. Чтобы включить режим необходимо установить галку в блоке «Включить режим обслуживания» и сохранить настройки. Дополнительно можно настроить отображаемый текст, вставить картинку и прочее. А это можно изменить в блоке «Введите сообщение».

Последних 5 авторизаций

Этот блок содержит информацию о дате и пяти последних IP-адресов, с которых осуществлялся вход в администраторскую зону сайта:

последних 5 авторизаций

Эта информация пригодится не только в целях безопасности, но и для отслеживания сессий других учётных записей.

Заблокированные IP адреса

В этом блоке отображаются IP адреса, которые были заблокированы плагином All In One WP Security или вами вручную:

заблокированные ip адреса

На скриншоте записей нет, но в случае блокировки IP адресов записи появится.

Текущий статус самых важных функций

В этом блоке можно увидеть статус критически важных мер безопасности:

текущий статус самых важных функций

Как видим все ползунки изначально состоят в положении «OFF». Я специально создал условия с банальным логином «admin», чтобы рассказать и показать как выполняются минимальные рекомендации для обеспечения защиты вашего сайта.

к оглавлению ↑

Администраторы

Пункт настроек «Администраторы» отвечает за контроль учётных записей администраторов сайта. Здесь вы увидите следующие вкладки:

администраторы

Пользовательское имя WP

В первой вкладке «Пользовательское имя WP» отображается список администраторов. Также здесь можно увидеть предупреждение о логинах, которые могут быть скомпрометированы:

предупреждение о логинах

Как видим, плагин считает логин «admin» небезопасным, и предполагает его переименовать. Давайте так и поступим. Для смены логина в пустом поле «Новое имя пользователя для администратора» введите новое имя, к примеру, ещё одна банальщина — «wpadmin». После этого кликните по «Изменить имя пользователя». Далее, система автоматически выйдет из учётной записи для того, чтобы вы залогинились с новыми именем администратора. После этого вы снова окажетесь во вкладке «Пользовательское имя WP».

Теперь, обратите внимание на блок «Изменение имени пользователя Администратора», а именно на баллы:

изменение имени пользователя администратора

Поздравляю, вам засчитано 15 баллов из 15 за выполнение одной базовой рекомендации по настройке безопасности WordPress.

Опытные веб-мастера прекрасно знаю, что стандартным функционалом нельзя изменить имя администратора, а вот с помощью плагина All In One WP Security можно. Кто читал первую часть урока «Настройка безопасности WordPress» знает, с какими трудностями можно столкнуться при создании учётной записи администратора с новыми именем и привязки к ней почты от старого аккаунта.

к оглавлению ↑

Пароль

Теперь посмотрим во внутрь вкладки «Пароль». В блоке «Проверка надёжности пароля» можно ввести ваш текущий пароль и получить следующую информацию:

пароль

Как видим, бот-подборщик паролей, запущенный с обычного компьютера, будет подбирать такой пароль очень и очень долго, даже если обойти защиту плагина.

к оглавлению ↑

Отображаемое имя

Вас, наверное, интересует почему я пропустил вкладку «Отображаемое имя». Я его оставил на закуску. Полезность этого пункта рассчитана на совсем новеньких пользователей WordPress. Здесь вы можете увидеть количество балов, как и в каждом меню настроек. А в случае совпадения никнейма с логином администратора вы увидите предупреждение:

предупреждение

Изменить ник вы можете кликнув по логину админа, или наведя курсор мыши на «Пользователи», в меню административной панели, кликнув по пункту «Ваш профиль». Если вы не проходили мой курс по созданию блога, то сперва введите в поле «Ник (обязательно)» видимое имя в качестве автора статей, которое не совпадает с логином админа. Далее, в выпадающем списке «Отображать как» выберите ранее введённый никнейм. После этого сохранитесь. Теперь при посещении меню настроек «Администраторы», плагина All In One WP Security, во вкладке «Отображаемое имя» будет отображаться надпись:

надпись

к оглавлению ↑

Настройки

Двигаемся дальше. Теперь нас интересует пункт в меню плагина «Настройки». Здесь вы можете увидеть следующие вкладки:

настройки

к оглавлению ↑

Общие настройки

По умолчанию вы находитесь во вкладке «Общие настройки». Здесь вам доступны следующие полезные функции:

  • создание резервной копии базы данных
  • создание резервной копии файла .htaccess
  • создание резервной копии файла wp-config.php

Ещё доступны опции включения и отключения функции безопасности и всех функций файерволла All In One WP Security. Советую всегда, перед изменением настроек плагина читать пояснения к опциям, например:

пояснения к опциям

к оглавлению ↑

.htaccess и wp-config.php

Обратите внимание на вкладки «.htaccess Файл» и «wp-config.php Файл». В настройках этих вкладок можно создавать и восстанавливать резервную копию, как вы уже догадались, .htacces и wp-config.php. Это весьма удобно, и не требует FTP-клиента.

WP Version Info

Для меня более интересной вкладкой является следующая — «WP Version Info». Кто не знает, поясняю. WordPress генерирует метатег с атрибутом content, который, в свою очередь, имеет значение текущей версии движка сайта. Это небезопасно, крайне небезопасно! Поэтому, необходимо в блоке «Удаление мета-данных WP Generator» установить галку возле «Check this if you want to remove the version and meta info produced by WP from all pages» и кликнуть «Сохранить настройки».

к оглавлению ↑

Импорт/Экспорт

Вкладка Импорт/Экспорт отвечает за создание, так сказать, шаблона настроек. Настроив плагин All In One WP Security на одном из ваших проектов, вы можете перенести настройки на другие сайты. Это весьма удобно даже в том случае, если вы настроили плагин, сделали экспорт настроек, но резко возникла необходимость восстановить бэкап сайта.

Advanced Settings

Последняя вкладка «Advanced Settings» отвечает за метод получения данных об IP адресе каждого из посетителей. Если вы не знакомы с PHP на довольно хорошем уровне, а суперглобальный массив $ _SERVER увеличивает зрачки ваших глаз, то попрошу не приближаться к данной вкладке.

Авторизация

В этом пункте настроек плагина All In One WP Security мы видим следующие вкладки:

авторизация

Начнём с первой вкладки «Блокировка авторизаций».

к оглавлению ↑

Блокировка авторизаций

В описании к этой вкладке вы, наверное, уже прочли наставление разработчиков о Брутфорс-атаках. Далее, вам необходимо отметить галками опции возле блоков:

  • Включить опции блокировки попыток авторизации
  • Допускать запросы на разблокирование (на тот случай, если вы заблокировали сами себя)
  • Выводить сообщения об ошибках авторизации (повышает шансы себя не заблокировать)
  • Уведомлять по Email (всегда быть в курсе неудачных попыток входа, что позволяет сразу реагировать на возможные попытки взлома)

Теперь сохраните настройки кликну «Сохранить настройки».

Спускаемся ниже к глобальному блоку «Диапазон временно заблокированных IP адресов». Здесь вы можете перейти в статистику заблокированных адресов кликнув по «Locked IP Addresses».
В блоке «Login Lockdown IP Whitelist Settings» можно настроить список белых IP адресов, например, адрес вашего компьютера, к которым не будут применяться настройки блокировки. Для этого в блоке «Enable Login Lockdown IP Whitelist» необходимо отметить галкой пункт активации настройки, а в блоке «Введите IP-адреса для белого списка» ввести свой IP адрес. Не забываем сохраняться, чуть ниже. Но я не рекомендую настраивать белый список. Злоумышленники могут подделать ваш IP адрес.

к оглавлению ↑

Ошибочные попытки авторизации

Двигаемся дальше. Во вкладке «Ошибочные попытки авторизации» приведёт список безуспешных попыток авторизации. Эта информация весьма полезна в плане аналитики попыток залогиниться. Кому важна эта статистика, может экспортировать её в файл CSV:

csv

к оглавлению ↑

Автоматическое разлогинивание пользователей

Вклада «Автоматическое разлогинивание пользователей» не менее важна чем остальные настройки. Здесь вы можете включить разлогинивание пользователей админки через указанное время бездействия, например, 60 минут:

автоматическое разлогинивание пользователя

к оглавлению ↑

Журнал активности аккаунта

Далее, переходим в «Журнал активности аккаунта». Здесь вы можете увидеть время входа и выхода с админки конкретного пользователя. Сохраняется лишь 50 запись на все учётные записи. Подобная информация полезна для анализа активности:

журнал активности аккаунта

Эти данные вы также можете экспортировать в файл CSV.

к оглавлению ↑

Активных сессий

В последней вкладке «Активных сессий» отображаются учётные записи в реальном времени, под которыми выполнен вход в администраторскую часть сайта:

активных сессий

к оглавлению ↑

Регистрация пользователя

В 99% случаев, настройка «Регистрация пользователя» для блога, в плагине All In One WP Security, упускается. Но я всё равно расскажу об опциях следующих вкладок:

регистрация пользователя

к оглавлению ↑

Подтверждение вручную

Если ваш сайт предусматривает регистрацию, а количество оставляемого пользователями спама оставляет желать лучшего, то следует включить ручное утверждение нового пользователя во вкладке «Подтверждение вручную». Это позволит закрыть доступ к авторизации до момента ручного подтверждения регистрации пользователя лично вами. Что это даёт в принципе. Как показывает практика, на одном из моих проектов, встречаются индивиды, которые изначально регистрируют почты по типу: i@gmail.com, i2@gmail.com, i3@gmail.com и т.д. Подобные почты используют во время новой регистрации, после того, как я забанил первый аккаунт некой личности. И если я вижу, что недавно попадался на глаза похожая почта спамера, то баню регистрацию. В итоге спамер не может залогиниться и заюзать ту же самую почту повторно для регистрации, хоть он и не успел оставить спам.

Поэтому, если есть необходимость в дополнительной модерации пользователей сразу после регистрации, нужно в блоке «Активировать ручное одобрение новых регистраций» установить галку и сохранить настройки.

к оглавлению ↑

CAPTCHA при регистрации

Следующая вкладка «CAPTCHA при регистрации» добавляет капчу на страницу регистрации пользователя. Капчу можно активировать установив галку в блоке «Активировать CAPTCHA на странице регистрации». Я считаю эту функцию необходимой и полезной. Разумеется, если у вас предусмотрена регистрация новых пользователей.

Registration Honeypot

Вкладка «Registration Honeypot» очень полезная функция для блокировки навороченных ботов регистрации. Советую включить эту опцию в блоке «Enable Honeypot On Registration Page». Сохраняемся.

Защита Базы данных

Группа настроек «Защита Базы данных» состоит из двух вкладок:

защита базы данных

 

С настройками в первой вкладке «Префикс таблиц БД» будьте крайне внимательны. Необходимо сразу сделать резервную копию базы данных во вкладке «Резервное копирование БД».

к оглавлению ↑

Резервное копирование БД

Рассмотрим вкладку «Резервное копирование БД». Для создания резервной копии базы данных кликните по кнопке «Создать бэкап базы данных сейчас». После успешного создания бэкапа вы увидите следующую информацию:

резервное копирование бд

На скриншоте указано расположение моей базы данных. У вас адрес будет свой.

А также в этой вкладке вы можете настроить регулярное создание копии БД. Для этого установите галку в блоке «Включить автоматическое создание бэкапов». Дополнительно можете настроит как часто создавать копии, сколько копий хранить на сервере и отправку копии по почте. Не забываем сохраняться.

к оглавлению ↑

Префикс таблиц БД

Возвращаемся к вкладке «Префикс таблиц БД». Если вы не меняли префикс базы данных, то он имеет значение «wp_». Именно об этом вы и увидите предупреждение:

текущий префикс бд

Чтобы присвоить всем таблицам в базе данных другой префикс вам нужно задать его в поле блока «Сгенерировать новый префикс таблиц БД». После этого кликните по «Изменить префикс таблиц». Если же вы мало разбираетесь в том, какой префикс должен быть, то советую поставить галку возле «Отметьте, чтобы плагин сам сгенерировал префикс длиной в 6 случайных символов», а поле «Введите собственный вариант префикса, используя латинские буквы, цифры и символ подчеркивания» оставить пустым.

к оглавлению ↑

Защита Файловой системы

Теперь изучим комплекс настроек «Защита Файловой системы» плагина All In One WP Security. Этот пункт настроек состоит из четырёх вкладок:

защита базы данных

Доступ к файлам

По умолчанию мы находимся во вкладке «Доступ к файлам». Если вы сомневаетесь какой CHMOD (права доступа) установить на ту или иную папку на сервере, то плагин All In One WP Security решит всё за вас. Обратите внимание на таблицу в этой вкладке. Если у плагина будет замечание касательно текущих прав доступа, то вы увидите в колонке «Рекомендуемое действие» надпись «Установить рекомендуемые разрешения»:

доступ к файлам

Если же замечаний нет, то надпись «Действие не требуется». Чтобы применить рекомендуемые настройки CHMOD кликните по «Установить рекомендуемые разрешения».

к оглавлению ↑

Редактирование файлов PHP

В этой вкладке устанавливается запрет на редактирование файлов PHP из административной среды. Советую установить галку в блоке «Отключить возможность редактирования PHP-файлов».

Доступ к файлам WP

Обычно, сразу после установки WordPress, я удаляю файлы: readme.html, wp-config-sample.php и т.д. Но бывают случаи, когда новичков спасает образец того же файла конфигурации. Поэтому, рекомендую установить галку в блоке «Запретить доступ к информационным файлам, создаваемых по умолчанию при установке WordPress».

Системные журналы

Эта вкладка рассчитана на опытных вебмастеров. Иначе смотря в лог ошибок сайта вы не сможете разобраться в сути проблемы.

WHOIS-поиск

По моему скромному мнению, это отличный инструмент для получения хоть какой-то информации, например, о заблокированном пользователе. Естественно, вы можете пользоваться сайтом WHOIS, но зачем, если есть WHOIS-поиск в плагине All In One WP Security.

Черный список

Плагин All In One WP Security позволяет заблокировать не только по IP адресу, но и юзер-агентов. Юзер-агентами можно считать разнообразные пауки/боты поисковых систем, различных сервисов аналитики и прочее, которые создают чрезмерную нагрузку на сервер. Эта настройка будет полезна даже в том случае, если вы не желаете чтобы, например, бот гугла сканировал ваш сайт. Все настройки, заданные в пункте «Черный список», будут внесены в .htaccess.

к оглавлению ↑

Файрволл

Настройка «Файрволл» состоит из семи вкладок:

файрволл

Итак, начнём по порядку.

Прежде чем начать вносить настройки в файл .htaccess через плагин All In One WP Security обязательно сделайте резервную копию .htaccess.

к оглавлению ↑

Базовые правила файрволла

Если вы не используете, например, плагины автопостинга в социальные сети, то можете смело установить везде галки и сохранить настройки этой вкладки. Но я советую включить лишь следующие пункты:

  • Активировать основные функции брандмауэра
  • Disable Pingback Functionality From XMLRPC
  • Block Access to debug.log File

Думаю с первой настройкой все ясно, а вот две следующих опции носят обязательный характер. «Disable Pingback Functionality From XMLRPC» запретит обратные запросы, например, от сервисов статистики, но оставит разрешёнными запросы к сервисам. Опция «Block Access to debug.log File» запретит доступ к отладочному файлу, который может содержать в себе уязвимую служебную информацию.

к оглавлению ↑

Дополнительные правила файрволла

В этой вкладке советую включить все настройки кроме: «Отключить возможность просмотра директорий». Дело в том, что запрет на просмотр директорий задаётся директивой «AllowOverride» в конфигурационном файле httpd.conf на сервере. Внести подобные настройки можно лишь в том случае, если у вас VPS, VDS, арендованные или свой сервер. В противном случае оставьте эту настройку без галки.

Вы можете ознакомиться для чего каждая настройка необходима, кликнув по «+ Подробнее»:

подробнее

В принципе, практически все настройки файрволла, представленные в плагине All In One WP Security необходимы для обеспечения защиты WordPress.

к оглавлению ↑

6G Blacklist Firewall Rules

Файрволл 6G не имеет никакого отношения к мобильной связи. Этот файрволл представляет собой защиту от множества вредоносных запросов URL, плохих ботов, спам-рефереров и других атак. Включение правил файрвола шестого поколения, значительно снизит нагрузку на сервер, разумеется, если подобные запросы будут. Рекомендую включить 6G и 5G защиту.

Интернет-боты

Вкладка «Интернет-боты» блокирует вредоносных ботов, которые маскируются под googlebot. Рекомендую включить опцию «Блокировать ложные Googlebots». Другие поисковые роботы не будут заблокированы.

Предотвратить хотлинки

Опция вкладки «Предотвратить хотлинки» обязательна к активации. Включите опцию и сохранитесь. Это позволит снизить нагрузку на сервер, если ваши ссылки на ваши изображения будут размещены вне вашего сайта. Это никак не влияет на автопостинг в социальные сети и другие места.

Детектирование 404

Предпоследняя вкладка «Детектирование 404» также обязательна к активации. Включите опцию «Enable 404 IP Detection and Lockout». Эта настройка отвечает за блокировку IP адресов, с которых за короткий промежуток времени осуществляют множество запросов на несуществующие страницы. В большинстве случаев это свидетельствует о хакерской атаке, в поиске уязвимой страницы. Вы также можете дополнительно изменить время на которое будет забанен IP адрес злоумышленника. В блоке «URL перенаправления при ошибке 404», как правило, автоматически прописывается адрес главного зеркала сайта. Рекомендую этот адрес не менять. А в таблице «Логи ошибок 404» выводятся данные о посещении несуществующих страниц. Лог можно выгрузить в CSV-файл.

к оглавлению ↑

Custom Rules

Последняя вкладка «Custom Rules» выполняет функцию добавления ваших личных правил в фалл .htaccess. Советую без понимания работы настроек .htaccess ничего своего не вносить. Иначе сайт может перестать работать.

Защита от брутфорс-атак

Брутфорс-атаки — это атаки направлены на перебор пароля и логина, пока верный вариант не будет найден. В этой группе настроек есть пять вкладок, начнём с первой:

защита от брутфорс-атак

к оглавлению ↑

Переименовать страницу логина

Вкладка «Переименовать страницу логина» содержит два параметра, из которых в первом «Включить опцию переименования страницы логина» нужно установит галку, а во втором «Адрес (URL) страницы логина» прописать адрес входа в админку. Адрес страницы входа должен отличается от стандартного wp-admin, например, thisismysite. Не забудьте сохраниться и запомнить адрес входа в админку. В моём примере он будет mysite.ru/thisismysite, где mysite.ru — это адрес вашего сайта.

к оглавлению ↑

Защита от брутфорс-атак с помощью куки

Переходим ко вкладке «Защита от брутфорс-атак с помощью куки». Вы можете включить опцию «На моем сайте есть посты или страницы, закрытые встроенной функцией WordPress для защиты контента паролем» в том случае, если у вас есть страницы защищённые паролем. У меня такие страницы имеются. Касательно опции «На этом сайте есть тема или плагин, которые используют AJAX», то большинство современных тем и плагинов используют технологию AJAX. Поэтому, советую включить и эту опцию. Настройку «Активировать защиту от брутфорс-атак» рекомендую не активировать во избежание блокировки вашего IP адреса со стороны плагина All In One WP Security. Дело в том, что вы можете забыть, и почистить куки-файлы плагина с ключом доступа. И чтобы не решать проблемы, которых можно было избежать, рекомендую не ставить галку возле этой опции, тем более сам плагин предупреждает и лишь со второй попытки даёт возможность активировать эти настройки.

к оглавлению ↑

CAPTCHA на логин

Вкладка «CAPTCHA на логин» содержит полезные функции по дополнительной защите страницы входа и восстановления пароля. Рекомендую установить галки напротив:

  • Включить CAPTCHA на странице логина
  • Активировать форму CAPTCHA на изменённой странице логина
  • Активировать CAPTCHA на странице «потерянного пароля»

В блоке «Woocommerce Forms Captcha Settings» галки ставятся лишь при использовании плагина для интернет-магазина «Woocommerce».

к оглавлению ↑

Белый список для логина

Двигаемся дальше и переходим к вкладке «Белый список для логина». Этот параметр выступает дополнительной линией обороны, блокирует доступ к странице логина всем IP адресам, которых нет в белом списке. Если есть желание, можете настроить эту опцию. Но, и ещё раз но! Если у вас динамический IP адрес или возникла срочная необходимость зайти в админку, например, с мобильного номера, а провайдер вам выделит другой IP адрес, то случится беда.

к оглавлению ↑

Бочка с медом (Honeypot)

Последняя вкладка «Бочка с медом (Honeypot)» из группы настроек «Защита от брутфорс-атак» отвечает за блокировку роботов, которые пытаются заполнить поля авторизации. Как правило, роботы автоматически заполняют все поля, и опция «Бочка с медом» подсовывает боту невидимое для глаз пользователя поле, которое бот автоматически заполняет. Если это происходит, то плагин All In One WP Security автоматически блокирует бота. Рекомендую включить опцию «Активировать медовый боченок (honey pot) на странице логина».

к оглавлению ↑

Защита от SPAM

Переходим к следующей группе настроек «Защита от SPAM». Сейчас нам перестоит рассмотреть четыре вкладки:

защита от спама

к оглавлению ↑

Спам в комментариях

Во вкладке «Спам в комментариях» рекомендую активировать все опции, это:

  • Активировать CAPTCHA в формах для комментариев
  • Блокировать спам-ботов от комментирования

Отслеживание IP-адресов по спаму в комментариях

Ещё одна вкладка для статистики «Отслеживание IP-адресов по спаму в комментариях». Несомненно, опции в этой вкладке вносят благость. Рекомендую поставить галку возле пункта «Включить автоматический блок IP-адресов Комментарий к спаму». Сохранитесь.

Далее, в поле «Минимальное количество комментариев расценённых как СПАМ» установите значение 5. Обратите внимание на блок «Список IP-адресов спаммеров», который отвечает за фильтрацию комментариев. Если вам нужно найти IP адреса, которые были уличены в спаме хотя бы один раз, установите значение «1» и кликните по «Найти IP-адреса». А если, например, 3 раза, то значение «3» и т.д. Думаю смысл вы уловили. Результаты будут отображены в таблице «Список IP-адресов спаммеров».

к оглавлению ↑

BuddyPress и BBPress

Во вкладках «BuddyPress» и «BBPress» можно включить капчу в форме регистрации. BuddyPress и BBPress — это плагины. BuddyPress помогает создать на базе движка WordPress социальную сеть, а плагин BBPress форум. Если вы не пользуетесь этими модификациями, то опции в соответствующих вкладках будут отсутствовать.

Сканер

Предпоследняя группа настроек «Сканер» отвечает за регулярное сканирование сайта на наличие вредоносного кода и файлов. Здесь вы можете увидеть всего две вкладки:

сканер

к оглавлению ↑

Отслеживание изменений в файлах

В первой вкладке «Отслеживание изменений в файлах» можно просканировать сайт немедленно, кликнув по «Сканировать сейчас».

Уясните одну простую вещь — ни один плагин не сможет защитить ваш сайт от гуру-хакеров! Поэтому, в случае беды, плагин All In One WP Security, после сканирования, сообщит нам о наличии следов взлома. Рекомендую включить опцию «Активировать автоматическое сканирование изменений файлов», а частоту сканирования установить хотя бы каждые два дня. Частота сканирования зависит от текущей нагрузки на ваш сайт. И если время загрузки сайта в пик посещаемости увеличивается, то подумайте о смене тарифного плана или переходе на выделенный сервер, чтобы сканер плагина All In One WP Security не создавал чрезмерную нагрузку на сервер.

Поля «Игнорировать файлы следующих типов» и «Игнорировать определённые файлы и папки» заполняются индивидуально, по вашему желанию. Также советую активировать опцию «Отправить Email когда найдено изменение», чтобы всегда быть в курсе любых изменений в файлах. Можно указать несколько электронных адресов. После настроек сохранитесь.

к оглавлению ↑

Сканирование от вредоносных программ

Вторая вкладка «Сканирование от вредоносных программ» предназначена для регистрации на сайте разработчиков плагина, с целью регулярного сканирования сайта на платной основе. Это позволит значительно снизить нагрузку на сервер во время сканирования. Кто желает платить денежку, пожалуйста, это ваше право. Но я не вижу особого смысла заключать договор на подобное обслуживание для блога.

к оглавлению ↑

Разное

Последняя группа настроек «Разное» содержит в себе три вкладки:

разное

Защита от копирования

В первой вкладке «Защита от копирования» можно заблокировать следующие функции:

  • Правая кнопка
  • Пометка текста
  • Копировать

Ограничения будут действовать на всех страницах, которые доступны пользователям. Если у вас полезных блог, на котором люди могут много чего почерпнуть себе в кладезь знаний, то не рекомендую включать эту функцию. Лично мне неудобно, когда я не могу скопировать участок текста с важной для меня информацией.

к оглавлению ↑

Фреймы

Вкладка «Фреймы» отвечает за блокировку показа содержания вашего сайта между тегами frame и iframe. Которые уже какой год признаны небезопасными и часто подвергаются взлому. Например, 1С Битрикс, по умолчанию, блокирует эти теги.

Users Enumeration

Последняя вкладка и последняя настройка плагина All In One WP Security, которую мы рассмотрим, «Users Enumeration». Рекомендую включить опцию «Отключить перечисление пользователей», чтобы закрыть возможность ботам икать информацию о пользователях, которых можно увидеть, например, в качестве комментаторов. Это в некотором роде создаёт защитный барьер для пользователей сайта, тем самым защищает учётную запись администратора.

На этом разбор полётов с плагином All In One WP Security завершён. Вы только что прочитали огромную статью, которую можно сравнить с десятью обычными статьями. Надеюсь, объяснил доступным языком. Появятся вопросы обаятельно задавайте их в комментариях. Спасибо за внимание.

Делитесь полезной информацией с друзьями:

Рекомендую:

Книга «Техника и философия хакерских атак» Крис Касперски Книга «Техника и философия хакерских атак» Крис Касперски
Книга «Анонимность и безопасность в Интернете Книга «Анонимность и безопасность в Интернете

Сергей

Привет! Моё имя Сергей, и я — автор этого блога. Рад, что вас заинтересовал мой проект. Не забывайте оставлять комментарии к статьям. По всем другим вопросам обращайтесь через контактную форму на странице "Контакты".

Читайте также:

комментариев 12

  1. Макс:

    ОГО! Ничего себе плагин. Вот так комплексная защита. Спасибо за подробное описание каждой из настроек Сергей!

  2. Анастасия:

    Сергей, на этот плагин обязательно нужен видеоурок, и именно по твоему материалу. Я на ютубе посмотрела парочку, ниочем…

    • Сергей:

      Привет, знаю. Может сделать типа голосования кто за видеоуроки, пока думаю…

      • Анастасия:

        Сделай конечно, думаю многие со мной согласятся, что видеуроки на некоторые статьи просто необходимы.

  3. Анастасия:

    Дааа, классный плагин! Уважуха! Щас забанил меня по айпи, зайти теперь не могу ни с компа ни с телефона 😀 интересно, надолго ли.. задрали меня эти хитровыдуманные пароли, напридумывала, теперь сижу кукую.( Кто знает как разблочиться?

    • Сергей:

      Добрый день, Анастасия. Как вариант нужно переместить из папки plugins плагин All In One WP Security на уровень выше — в папку wp-content (на сервере, по FTP или через хостинг-админку), залогиниться в админке WordPress, затем плагин обратно переместить All In One WP Security в папку plugins, обновить страницу админки и проверить настройки плагина. Я сам неоднократно ломал себе вход в админку, так. что этот метод проверен и работает на все 100% =).

  4. Ева:

    Спасибо! Действительно, супер подробно и быстро всё нашла!!! Ес)))

  5. Вячеслав:

    Здравствуйте. Изменил в плагине страницу входа в админку (имя админа изначально было задано уникальное, не admin). Но на почту тем не менее регулярно приходят уведомления о неудачной авторизации (с указанием уникального имени админа). Хостинг клиентский (на нем есть другие сайты). В чем может быть причина уведомлений? Уязвимость на хостинге?

    • Сергей:

      Добрый день, Вячеслав. Причина может быть, и скорее всего так и есть, в дополнительной защите страницы входа со стороны хостера. Подобную защиту, обычно, можно выключить/включить в настройках сайта в хостинг-аккаунте. Я сталкивался с подобной проблемой рассылки писем, но уже по факту реальной блокировки. Иными словами, включенная защита страницы входа со стороны хостера и защита со стороны плагина, в браузере хром, ведут себя непредсказуемо во время попытки загрузить измененную страницу входа. В мозилле такого бага не наблюдал. У меня баг проявлялся в виде блокировки со стороны хостера, так как осуществляется попытка входа в админку не по стандартному урлу. В случае блокировки хостером, до авторизации на сайте даже не доходило, весела блокировка с уведомлением по почте от хостера. В логе плагина, в авторизации, была запись о блокировки моего ip. Вариантов для решения немного: отключить блокировку со стороны хостера; не пользоваться дополнительным хостерским софтом для привязки ip адреса админа для входа; сделать фильтр на почте для автоудаления подобных писем.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *


7 + 9 =


Вверх