All In One WP Security – настройка безопасности

Доброго дня всем читателям, обсудим сегодня еще раз вопрос безопасности сайта на WordPress. Но не абстрактно, а на примере настройки отличного плагина All In One WP Security & Firewall который я вполне успешно использую на ряде своих сайтов и могу смело порекомендовать вам.
All In One WP Security & Firewall относится к числу универсальных защитников WordPress о которых вы можете почитать здесь. Этакий “гвардеец на все руки” и в принципе, осуществляет комплексную защиту по очень многим параметрам. У плагина хороший рейтинг пользователей и он совершенно бесплатен.
Одно из важных достоинств в том, что All In One WP Security & Firewall прекрасно переведен на русский язык и освоение всех его особенностей не представляет труда для тех кто не слишком хорошо изучал иностранные языки в школе. Перевод полный – то есть не только основных функций, но почти всех подсказок к ним. Именно они дадут вам полное представление и понимание необходимости и важности тех или иных настроек.
Структурно плагин состоит из нескольких десятков опций, которые вы вольны задействовать или оставить выключенными. Включение тех или иных опций отображается в специальных флажках. Там же виден приоритет данной опции.
Целью данной статьи я ставлю не столько перечисление настроек (их вы и так сможете легко увидеть, изучить и понять), а своё видение того, что стоит включать, а чем можно по тем или иным причинам, пренебречь. Приступим.
Настройка All In One WP Security & Firewall
Панель управления
- Информационные виджеты с наглядным индикатором защиты, диаграмма всех очков защиты, показ активных сессий и заблокированных IP. Особое внимание стоит уделить виджету – Текущий статус самых важных функций. Тут вы можете сразу, не углубляясь в настройки включить самые важные элементы защиты.
- Информация о системе. Выводится инфо о сайте, версии PHP и всех установленных плагинах. Таб – Заблокированные IP адреса и таб с логами плагина. В начале в этих табах у вас разумеется всё будет пусто.
- Табы – Заблокированные IP и логи. Тут ничего настраивать не надо.
Настройки
- Табы с общими настройками. Ничего не настраивается, но зато можно сразу сделать резервные копии .htaccess, базы данных и wp-config.php. Тут же можно одним махом вырубить все настройки если что-то пошло не так и появились проблемы.
- WP мета информация. Включаем.
Администраторы
- Пользовательское имя WP. Если ваш логин не Admin, то все в порядке. В противном случае – надо обязательно его поменять. Это реально важная “фишка”. Если в дальнейшем вы укажите, что бы вам на почту приходили уведомления о временно заблокированных пользователях которые пытались войти с логином Admin – будете неприятно удивлены. У меня это как минимум по 2-5 писем в сутки (см. Блокировка авторизаций).
- Отображаемое имя. Показывает всех зарегистрированных пользователей у кого логин совпадает с именем (ником). Если у вас нет никого кроме вас – список будет пустой. Если есть пользователи, можете заняться исправлением ников. Не слишком важная функция – можно не трогать.
- Пароль. Занятный инструмент который визуально покажет вам надежность любого пароля. Судя по нему имеет смысл задавать сложные пароли длинной не менее 10 знаков.
Авторизация
- Блокировка авторизаций. Полезная функция от подбора паролей. Обязательно включите и настройте на свой вкус параметры или оставьте как есть по умолчанию. Рекомендую, по крайней мере на время, включить уведомления о сработавших блокировках на емейл. Просто, что бы понять, насколько важна эта функция.
- Ошибочные авторизации. Тут статистика. Ничего не надо настраивать.
- Автоматическое разлогинивание пользователей. Не удобная для ваших пользователей штука и при этом дает мало очков безопасности. Можно не включать.
- Журнал активности и Активные сессии – информация и логи.
Регистрация пользователей
- Подтверждение вручную. В общем, вполне полезная функция если у вас на сайте не особо частые регистрации и если они вообще разрешены. Можно включить.
- Капча при регистрации. Устанавливает простую, цифровую капчу на форму регистрации. Мне, честно говоря, не понравилось как она работает. Я использую отдельную – Math Captcha. Вроде бы во всем похожа, но в отличии от встроенной, работает на порядок лучше. Решайте сами, что выбрать.
База данных
- Изменение префикса таблиц вашей базы данных. Стоит включить, но всё таки, советую обязательно сделать заранее бекап БД.
- Резервное копирование БД. Рекомендую включить. Обычно БД не занимают много места и лишним это не будет даже если вы используете еще какой то бекап для сайта.
Файловая система
- Доступ к файловой системе. Установите нужное значение для доступа к папкам в колонке Рекомендуемое действие так, что бы весь список стал зеленым.
- Редактирование фалов PHP. Можно включить запрет на редактирование из админки, если конечно, вы сами не правите файлы таким образом.
- WP доступ к файлам. Запрет доступа к readme.html, license.txt и wp-config-sample.php. Включаем.
- Системный журнал. Настройка формирование лога. Ничего не трогаем.
WHOIS поиск
- Ручная проверка IP адресов. Ничего не настраивается, да и работает почему-то не всегда.
Чёрный список
- Забанить пользователей. Включаем. Как вы понимаете, актуально только в случае если вы сами введете туда какие то IP адреса. Бывает полезно когда нужно быстро забанить очередного идиота хулиганящего в комментах.
Файерволл
- Базовые правила. Почитайте подсказки и включите обе галочки. Стоит перед этим сделать бекап своего файла .htaccess
- Дополнительные правила. Стоит включить все. Однако авторы плагина предупреждают о возможной несовместимости с некоторыми плагинами.
- Настройка 5G. Насколько я понял, включает некий дополнительный брандмаузер. Включайте. Проблем после включения данной опции я не замечал.
- Интернет роботы. По идее, блокирует ложных гугло роботов. Во избежании проблем с полезными роботами, я этот чекбокс на всякий случай, не включал.
- Предотвратить хотлинки. Что это такое – читайте в подсказке. Включаем.
- Отслеживание ошибок 404. Стоит включить, но время блокировки сделайте небольшим. Например, минут 5-10.
Защита от брутфорс атак
- Переименовать страницу логина. Опция полезная, но имейте ввиду, что может возникнуть проблема в том случае если вы разрешили регистрацию на сайте. Например, когда пользователь захочет восстановить потерянный пароль. В целом, стоит хорошенько потестировать после включения. К тому же, некоторые хостинг провайдеры используют эту защиту по умолчанию. Решайте по обстоятельствам.
- Защита от брутфорс-атак, основанная на использовании куки. Как и с предыдущим пунктом, настройка строго индивидуальна. Внимательно читайте подсказки и решайте сами.
- Капча на логин. Если все-таки используете встроенную капчу, то всё лучше всё включить.
- Белый список. Запретит доступ у логину всем кроме тех кто будет указан в списке. Для истинных маньяков, можно не включать.
- Бочка с мёдом. Читайте детально описание этой интересной функции в подсказке. Как мне кажется – можно смело включать.
Защита от СПАМА
- Спам в комментах. Капча в комментариях – включите если используете встроенную капчу. Блокировка спам роботов – помогите своему Акисмету бороться со спам роботами – включайте.
- Отслеживание IP. Можете тут вычислить самых активных спамеров и занести их в черный список.
- BuddyPress. Актуально если у вас стоит этот плагин социальной сети.
Сканнер
- Отслеживание любых изменений в файлах. Как мене кажется, больше предназначено для особо озабоченных, так как изменения в файлах непременно будут иногда происходить. Если хотите всё это постоянно отслеживать и контролировать – включайте.
- Сканирование от вредоносных программ. Платная функция – от 5$ в месяц.
Режим обслуживания
- Тут можно включить “режим обслуживания” для сайта и настроить внешний вид страницы с предупреждением для читателей. Дополнительно читайте вот здесь.
Разное
- Защита контента от копирования и вставки внутри фрейма. Включение этих никак прямо не влияет на защиту сайта.
Выводы
All In One WP Security мне в целом, вполне понравился и я его использую на некоторых сайтах. По моему, если не лучший, то уж точно – один из лучших подобных плагинов. Справедливости ради отмечу, что ни в коей мере не являюсь экспертом в вопросах безопасности. Всё вышеописанное только результат моего опыта использования и личного мнения. Так что, если у опытных читателей есть свои мысли по настройкам данного плагина или лучшие варианты альтернатив ему, прошу высказываться. На вкус цвет, как говорится…
Дмитрий, спасибо за обзор! У меня стоит IThemes Security, у него тоже много функций, но я еще меньший специалист, чтобы сравнивать. 🙂 По Вашему обзору показалось, что All in One WP Security более функциональный. Как думаете, стоит ли поменять?
Всегда пожалуйста. У All in One WP Security главное преимущество в отличной локализации. В остальном думаю, различий мало.
Подскажите, как переключить этот плагин на русский язык? Пол дня в нем копаюсь, нигде не нашел такой опции.
Никак. Если у Вас WP русская стоит, то и плагин должен быть на русском.
Т.е. он авоматом подстраивается под язык Вордпресса? У меня не русский Вордпресс стоит.
Именно так, как и любой другой плагин или тема. Возможно, если переименовать рус. в англ. локализацию, и удалить англ, что-то и получится.
Спасибо установил себе.
Пока настраивал плагин, пришло два письма о том что кто-то пытается войти под админом.
Подскажите пожалуйста! Все настроил опираясь на вашу статью и у меня исчезли все картинки на сайте. Не могу найти как включить их обратно. Заранее спасибо!
Непонятно, как это может быть связано. Там в разделе Настройки можно все отключить разом.
После тщательной проверки нашел что пункт: (Включите этот чекбокс, чтобы активировать защиту от XSS-атак.) лично у меня отключает все картинки!
Дмитрий, подскажите, как поступить… случайно ошиблась с паролем и сама себя заблокировала. Можно как-то попасть в админку, чтобы не удалять плагин с хостинга? Правда разблокировки ждать не вариант, время поставила – будь здоров! Вот теперь голову ломаю, как на сайт попасть.
Вы можете просто временно переименовать папку с плагином, таким образом отключив его. Время блокировки вообще, нет смысла устанавливать более чем полчаса.
Сегодня обновил этот плагин, и он вдруг стал не русским, все по английски. Может где-то есть переключалка на русский? Сам не нашел.
У меня тоже. Видимо, в связи с 4 версией. Подождем обновлений.
почему-то перестал блокировать правую кнопку мыши. никакие танцы с бубнами не помогают
если я забыл название страницы доступа к админке сайта с установленным All In One WP Security. как теперь поспать в админку? ) (админка переименована)
Отключите плагин через fttp – переименуйте папку плагина и он выключиться. Зайдете в админку и потом можете настроить по новой или задать новый адрес. Его лучше записать где-нибудь.
Дмитрий (или wpnice).
Почему вы не защищаете на своем сайте перебор пользователей?
Зная логин, проще паролем заниматься…
отличный пост! спасибо, настроил всё и через 5 минут уже первый блок! ктото ломился в админку.
ОТВРАТИТЕЛЬНЫЙ ПЛАГИН , новичкам не советую – у меня в частности после активации плагин заблокировал доступ в админку cfqnf , прокси я не использую, для исправления – удаление через файловый менеджер не помогает. Если хотите быстрое решение из коробки коим и является вордпресс, то вам нужно забыть про этот плагин – придется писать в хостеру, править коды.. обращаться к к гуру со своми “нелепыми вопросами”, вобщем тратить свое драгоценное время, которое можно например на сео потратить..
Здравствуйте! Ответьте кто знает. Очень понравился плагин, но такая проблема: после его включения в файл .htaccess добавляются записи, которые блокируют чпу (постоянные ссылки)! Не открывается ни одна страница, кроме главной! Проблема решается только двумя способами: или отключить чпу или заменить.htaccess на исходный.
Это происходит постоянно и при любых настройках плагина.
Подскажите, что делать?!
Забить на установку всяких таких приблуд и нагружать излишнем сервер. Вы просто логику включите и вчитайтесь что такие штуки делают и от чего защищают.
Все что надо поменять страницу входа и то только в целях убрать школоло и использующих простых ботов.
Капча убогая, нужна своя и то без проблем рекапча пробивается теперь. Изменения в файлах отслеживать… ну покажет что поменялись файлы, так их уже поменяли и свое получили 🙂
Спам списки и ограничить ботов, ограничат в итоге всех ботов пс, а спамеры останутся с динамическими ипами и их сотни тысячи. 🙂
Сканирование файлов от вредоносных программ, выше уже написал.
Ну никто не будет подбирать пароль к вашему сайту из серьезных, остальные не подберут даже если он будет 12365
Если свой сервер, так о его безопасности надо думать, вас там ломают и заливают шелл и все, эти плагины ни чем не помогут когда уже все зальют. Если не свой, то по максимум проверить все права и тд, но сломают ваших соседей и большая вероятность на не топовых хостингах и вас поимеют.
Имейте ежедневный бекап и все, залили если что, все будет работать, смотрите логи сервера и там все видно, кто и куда ломится.
Опять же всегда можно попасть на кривом плагине где безопасность слабая, но тут уже читайте отзывы или сами проверяйте, что ставите себе.
А по вашему вопросу забыл написать про .htaccess 🙂 поменяйте права на файл, поставьте что нить без перезаписи.
Спасибо за такой развернутый ответ! Проблема началась, когда гугл предупредил о размещенном спаме на моем сайте. Я нашел папку на хостинге и удалил. Потом через паоу дней на главной в хедере вырос огромный код! Это уже слишком! Тогда решился поставить сей плагин. Понравилось, что с его помощью я реально увидел что в течении дня на сайт пытались ломиться раз 50! Плагин защищал… теперь вот пришлось его отключить.
Плагин менял страницу входа, сам я не знаю как это сделать корректно. Ставил я на htaccess права 444, но не помогло. Все равно как-то плагин пишет свою ерунду.
Может и не плагин пишет, а вам шелл залит и вот он и гадит, надо искать подозрительные файлы, плюс опять же по логам посмотрите на сервере что и куда обращается подозрительное.
Он может быть в любой папке? Это файл или папка?
В любой папке, но зачастую отличающийся файл найти можно по названию скажем странному. Но повторю, посмотрите в логах сервера, там наверняка есть что и куда обращается.
Спасибо, будем искать 🙂
Здравствуйте!
Забыл адрес входа в админ.
Удалить плагин или переименовать это не выход, так как плагин нужен.
Где можно посмотреть сохраненные данные адреса?
Здравствуйте. Я в плагине All In One WP Security & Firewall включил режим обслуживания, чтобы настроить сайт. И забыл про это и вышел с админки. Теперь зайти не могу в админку, так как пишет, что сайт временно недоступен. То есть, сам поставил и теперь зайти не могу. Как быть, как войти в админку?