БезопасностьПлагины

All In One WP Security — настройка безопасности

Доброго дня всем читателям, обсудим сегодня еще раз вопрос безопасности сайта на WordPress. Но не абстрактно, а на примере настройки отличного плагина All In One WP Security & Firewall который я вполне успешно использую на ряде своих сайтов и могу смело порекомендовать вам.

All In One WP Security & Firewall относится к числу универсальных защитников WordPress о которых вы можете почитать здесь. Этакий «гвардеец на все руки» и в принципе, осуществляет комплексную защиту по очень многим параметрам. У плагина хороший рейтинг пользователей и он совершенно бесплатен.

Одно из важных достоинств в том, что All In One WP Security & Firewall прекрасно переведен на русский язык и освоение всех его особенностей не представляет труда для тех кто не слишком хорошо изучал иностранные языки в школе. Перевод полный — то есть не только основных функций, но почти всех подсказок к ним. Именно они дадут вам полное представление и понимание необходимости и важности тех или иных настроек.

Структурно плагин состоит из нескольких десятков опций, которые вы вольны задействовать или оставить выключенными. Включение тех или иных опций отображается в специальных флажках. Там же виден приоритет данной опции.

All In One WP Security 4

Целью данной статьи я ставлю не столько перечисление настроек (их вы и так сможете легко увидеть, изучить и понять), а своё видение того, что стоит включать, а чем можно по тем или иным причинам, пренебречь. Приступим.

Настройка All In One WP Security & Firewall

All In One WP Security - настройка безопасности

Панель управления

  • Информационные виджеты с наглядным индикатором защиты, диаграмма всех очков защиты, показ активных сессий и заблокированных IP. Особое внимание стоит уделить виджету — Текущий статус самых важных функций. Тут вы можете сразу, не углубляясь в настройки включить самые важные элементы защиты.
  • Информация о системе. Выводится инфо о сайте, версии PHP и всех установленных плагинах. Таб — Заблокированные IP адреса и таб с логами плагина. В начале в этих табах у вас разумеется всё будет пусто.
  • Табы — Заблокированные IP и логи. Тут ничего настраивать не надо.

Настройки

  • Табы с общими настройками. Ничего не настраивается, но зато можно сразу сделать резервные копии .htaccess, базы данных и wp-config.php. Тут же можно одним махом вырубить все настройки если что-то пошло не так и появились проблемы.
  • WP мета информация. Включаем.

Администраторы

  • Пользовательское имя WP. Если ваш логин не Admin, то все в порядке. В противном случае — надо обязательно его поменять. Это реально важная «фишка». Если в дальнейшем вы укажите, что бы вам на почту приходили уведомления о временно заблокированных пользователях которые пытались войти с логином Admin — будете неприятно удивлены. У меня это как минимум по 2-5 писем в сутки (см. Блокировка авторизаций).
  • Отображаемое имя. Показывает всех зарегистрированных пользователей у кого логин совпадает с именем (ником). Если у вас нет никого кроме вас — список будет пустой. Если есть пользователи, можете заняться исправлением ников. Не слишком важная функция — можно не трогать.
  • Пароль. Занятный инструмент который визуально покажет вам надежность любого пароля. Судя по нему имеет смысл задавать сложные пароли длинной не менее 10 знаков.

All In One WP Security - настройка безопасности

Авторизация

  • Блокировка авторизаций. Полезная функция от подбора паролей. Обязательно включите и настройте на свой вкус параметры или оставьте как есть по умолчанию. Рекомендую, по крайней мере на время, включить уведомления о сработавших блокировках на емейл. Просто, что бы понять, насколько важна эта функция.
  • Ошибочные авторизации. Тут статистика. Ничего не надо настраивать.
  • Автоматическое разлогинивание пользователей. Не удобная для ваших пользователей штука и при этом дает мало очков безопасности. Можно не включать.
  • Журнал активности и Активные сессии — информация и логи.

Регистрация пользователей

  • Подтверждение вручную. В общем, вполне полезная функция если у вас на сайте не особо частые регистрации и если они вообще разрешены. Можно включить.
  • Капча при регистрации. Устанавливает простую, цифровую капчу на форму регистрации. Мне, честно говоря, не понравилось как она работает. Я использую отдельную — Math Captcha. Вроде бы во всем похожа, но в отличии от встроенной, работает на порядок лучше. Решайте сами, что выбрать.

База данных

  • Изменение префикса таблиц вашей базы данных. Стоит включить, но всё таки, советую обязательно сделать заранее бекап БД.
  • Резервное копирование БД. Рекомендую включить. Обычно БД не занимают много места и лишним это не будет даже если вы используете еще какой то бекап для сайта.

All In One WP Security - настройка безопасности

Файловая система

  • Доступ к файловой системе. Установите нужное значение для доступа к папкам в колонке Рекомендуемое действие так, что бы весь список стал зеленым.
  • Редактирование фалов PHP. Можно включить запрет на редактирование из админки, если конечно, вы сами не правите файлы таким образом.
  • WP доступ к файлам. Запрет доступа к readme.html, license.txt и wp-config-sample.php. Включаем.
  • Системный журнал. Настройка формирование лога. Ничего не трогаем.

WHOIS поиск

  • Ручная проверка IP адресов. Ничего не настраивается, да и работает почему-то не всегда.

Чёрный список

  • Забанить пользователей. Включаем. Как вы понимаете, актуально только в случае если вы сами введете туда какие то IP адреса. Бывает полезно когда нужно быстро забанить очередного идиота хулиганящего в комментах.

Файерволл

  • Базовые правила. Почитайте подсказки и включите обе галочки. Стоит перед этим сделать бекап своего файла .htaccess
  • Дополнительные правила. Стоит включить все. Однако авторы плагина предупреждают о возможной несовместимости с некоторыми плагинами.
  • Настройка 5G. Насколько я понял, включает некий дополнительный брандмаузер. Включайте. Проблем после включения данной опции я не замечал.
  • Интернет роботы. По идее, блокирует ложных гугло роботов. Во избежании проблем с полезными роботами, я этот чекбокс на всякий случай, не включал.
  • Предотвратить хотлинки. Что это такое — читайте в подсказке. Включаем.
  • Отслеживание ошибок 404. Стоит включить, но время блокировки сделайте небольшим. Например, минут 5-10.

Защита от брутфорс атак

  • Переименовать страницу логина. Опция полезная, но имейте ввиду, что может возникнуть проблема в том случае если вы разрешили регистрацию на сайте. Например, когда пользователь захочет восстановить потерянный пароль. В целом, стоит хорошенько потестировать после включения. К тому же, некоторые хостинг провайдеры используют эту защиту по умолчанию. Решайте по обстоятельствам.
  • Защита от брутфорс-атак, основанная на использовании куки. Как и с предыдущим пунктом, настройка строго индивидуальна. Внимательно читайте подсказки и решайте сами.
  • Капча на логин. Если все-таки используете встроенную капчу, то всё лучше всё включить.
  • Белый список. Запретит доступ у логину всем кроме тех кто будет указан в списке. Для истинных маньяков, можно не включать.
  • Бочка с мёдом. Читайте детально описание этой интересной функции в подсказке. Как мне кажется — можно смело включать.

Защита от СПАМА

  • Спам в комментах. Капча в комментариях — включите если используете встроенную капчу. Блокировка спам роботов — помогите своему Акисмету бороться со спам роботами — включайте.
  • Отслеживание IP. Можете тут вычислить самых активных спамеров и занести их в черный список.
  • BuddyPress. Актуально если у вас стоит этот плагин социальной сети.

Сканнер

  • Отслеживание любых изменений в файлах. Как мене кажется, больше предназначено для особо озабоченных, так как изменения в файлах непременно будут иногда происходить. Если хотите всё это постоянно отслеживать и контролировать — включайте.
  • Сканирование от вредоносных программ. Платная функция — от 5$ в месяц.

Режим обслуживания

  • Тут можно включить «режим обслуживания» для сайта и настроить внешний вид страницы с предупреждением для читателей. Дополнительно читайте вот здесь.

Разное

  • Защита контента от копирования и вставки внутри фрейма. Включение этих никак прямо не влияет на защиту сайта.

Выводы

All In One WP Security мне в целом, вполне понравился и я его использую на некоторых сайтах. По моему, если не лучший, то уж точно — один из лучших подобных плагинов. Справедливости ради отмечу, что ни в коей мере не являюсь экспертом в вопросах безопасности. Всё вышеописанное только результат моего опыта использования и личного мнения. Так что, если у опытных читателей есть свои мысли по настройкам данного плагина или лучшие варианты альтернатив ему, прошу высказываться. На вкус цвет, как говорится…

Официальная страница плагина

Метки

Related Articles

29 thoughts on “All In One WP Security — настройка безопасности”

  1. Дмитрий, спасибо за обзор! У меня стоит IThemes Security, у него тоже много функций, но я еще меньший специалист, чтобы сравнивать. 🙂 По Вашему обзору показалось, что All in One WP Security более функциональный. Как думаете, стоит ли поменять?

    1. Всегда пожалуйста. У All in One WP Security главное преимущество в отличной локализации. В остальном думаю, различий мало.

      1. Подскажите, как переключить этот плагин на русский язык? Пол дня в нем копаюсь, нигде не нашел такой опции.

      2. Никак. Если у Вас WP русская стоит, то и плагин должен быть на русском.

      3. Т.е. он авоматом подстраивается под язык Вордпресса? У меня не русский Вордпресс стоит.

      4. Именно так, как и любой другой плагин или тема. Возможно, если переименовать рус. в англ. локализацию, и удалить англ, что-то и получится.

  2. Спасибо установил себе.
    Пока настраивал плагин, пришло два письма о том что кто-то пытается войти под админом.

  3. Подскажите пожалуйста! Все настроил опираясь на вашу статью и у меня исчезли все картинки на сайте. Не могу найти как включить их обратно. Заранее спасибо!

    1. Непонятно, как это может быть связано. Там в разделе Настройки можно все отключить разом.

      1. После тщательной проверки нашел что пункт: (Включите этот чекбокс, чтобы активировать защиту от XSS-атак.) лично у меня отключает все картинки!

  4. Дмитрий, подскажите, как поступить… случайно ошиблась с паролем и сама себя заблокировала. Можно как-то попасть в админку, чтобы не удалять плагин с хостинга? Правда разблокировки ждать не вариант, время поставила — будь здоров! Вот теперь голову ломаю, как на сайт попасть.

    1. Вы можете просто временно переименовать папку с плагином, таким образом отключив его. Время блокировки вообще, нет смысла устанавливать более чем полчаса.

  5. Сегодня обновил этот плагин, и он вдруг стал не русским, все по английски. Может где-то есть переключалка на русский? Сам не нашел.

  6. почему-то перестал блокировать правую кнопку мыши. никакие танцы с бубнами не помогают

  7. если я забыл название страницы доступа к админке сайта с установленным All In One WP Security. как теперь поспать в админку? ) (админка переименована)

    1. Отключите плагин через fttp — переименуйте папку плагина и он выключиться. Зайдете в админку и потом можете настроить по новой или задать новый адрес. Его лучше записать где-нибудь.

  8. Дмитрий (или wpnice).
    Почему вы не защищаете на своем сайте перебор пользователей?
    Зная логин, проще паролем заниматься…

  9. отличный пост! спасибо, настроил всё и через 5 минут уже первый блок! ктото ломился в админку.

  10. ОТВРАТИТЕЛЬНЫЙ ПЛАГИН , новичкам не советую — у меня в частности после активации плагин заблокировал доступ в админку cfqnf , прокси я не использую, для исправления — удаление через файловый менеджер не помогает. Если хотите быстрое решение из коробки коим и является вордпресс, то вам нужно забыть про этот плагин — придется писать в хостеру, править коды.. обращаться к к гуру со своми «нелепыми вопросами», вобщем тратить свое драгоценное время, которое можно например на сео потратить..

  11. Здравствуйте! Ответьте кто знает. Очень понравился плагин, но такая проблема: после его включения в файл .htaccess добавляются записи, которые блокируют чпу (постоянные ссылки)! Не открывается ни одна страница, кроме главной! Проблема решается только двумя способами: или отключить чпу или заменить.htaccess на исходный.
    Это происходит постоянно и при любых настройках плагина.
    Подскажите, что делать?!

    1. Забить на установку всяких таких приблуд и нагружать излишнем сервер. Вы просто логику включите и вчитайтесь что такие штуки делают и от чего защищают.
      Все что надо поменять страницу входа и то только в целях убрать школоло и использующих простых ботов.
      Капча убогая, нужна своя и то без проблем рекапча пробивается теперь. Изменения в файлах отслеживать… ну покажет что поменялись файлы, так их уже поменяли и свое получили 🙂
      Спам списки и ограничить ботов, ограничат в итоге всех ботов пс, а спамеры останутся с динамическими ипами и их сотни тысячи. 🙂
      Сканирование файлов от вредоносных программ, выше уже написал.
      Ну никто не будет подбирать пароль к вашему сайту из серьезных, остальные не подберут даже если он будет 12365
      Если свой сервер, так о его безопасности надо думать, вас там ломают и заливают шелл и все, эти плагины ни чем не помогут когда уже все зальют. Если не свой, то по максимум проверить все права и тд, но сломают ваших соседей и большая вероятность на не топовых хостингах и вас поимеют.
      Имейте ежедневный бекап и все, залили если что, все будет работать, смотрите логи сервера и там все видно, кто и куда ломится.
      Опять же всегда можно попасть на кривом плагине где безопасность слабая, но тут уже читайте отзывы или сами проверяйте, что ставите себе.

      1. А по вашему вопросу забыл написать про .htaccess 🙂 поменяйте права на файл, поставьте что нить без перезаписи.

      2. Спасибо за такой развернутый ответ! Проблема началась, когда гугл предупредил о размещенном спаме на моем сайте. Я нашел папку на хостинге и удалил. Потом через паоу дней на главной в хедере вырос огромный код! Это уже слишком! Тогда решился поставить сей плагин. Понравилось, что с его помощью я реально увидел что в течении дня на сайт пытались ломиться раз 50! Плагин защищал… теперь вот пришлось его отключить.
        Плагин менял страницу входа, сам я не знаю как это сделать корректно. Ставил я на htaccess права 444, но не помогло. Все равно как-то плагин пишет свою ерунду.

    2. Может и не плагин пишет, а вам шелл залит и вот он и гадит, надо искать подозрительные файлы, плюс опять же по логам посмотрите на сервере что и куда обращается подозрительное.

    1. В любой папке, но зачастую отличающийся файл найти можно по названию скажем странному. Но повторю, посмотрите в логах сервера, там наверняка есть что и куда обращается.

  12. Здравствуйте!
    Забыл адрес входа в админ.
    Удалить плагин или переименовать это не выход, так как плагин нужен.
    Где можно посмотреть сохраненные данные адреса?

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Close

Обнаружен Adblock

Уважайте труд вебмастера. Пожалуйста, отключите свой блокировщик рекламы.