All In One WP Security — настройка безопасности

Доброго дня всем читателям, обсудим сегодня еще раз вопрос безопасности сайта на WordPress. Но не абстрактно, а на примере настройки отличного плагина All In One WP Security & Firewall который я вполне успешно использую на ряде своих сайтов и могу смело порекомендовать вам.

All In One WP Security & Firewall относится к числу универсальных защитников WordPress о которых вы можете почитать здесь. Этакий «гвардеец на все руки» и в принципе, осуществляет комплексную защиту по очень многим параметрам. У плагина хороший рейтинг пользователей и он совершенно бесплатен.

Одно из важных достоинств в том, что All In One WP Security & Firewall прекрасно переведен на русский язык и освоение всех его особенностей не представляет труда для тех кто не слишком хорошо изучал иностранные языки в школе. Перевод полный — то есть не только основных функций, но почти всех подсказок к ним. Именно они дадут вам полное представление и понимание необходимости и важности тех или иных настроек.

Структурно плагин состоит из нескольких десятков опций, которые вы вольны задействовать или оставить выключенными. Включение тех или иных опций отображается в специальных флажках. Там же виден приоритет данной опции.

Целью данной статьи я ставлю не столько перечисление настроек (их вы и так сможете легко увидеть, изучить и понять), а своё видение того, что стоит включать, а чем можно по тем или иным причинам, пренебречь. Приступим.

Настройка All In One WP Security & Firewall

Панель управления

• Информационные виджеты с наглядным индикатором защиты, диаграмма всех очков защиты, показ активных сессий и заблокированных IP. Особое внимание стоит уделить виджету — Текущий статус самых важных функций. Тут вы можете сразу, не углубляясь в настройки включить самые важные элементы защиты.
• Информация о системе. Выводится инфо о сайте, версии PHP и всех установленных плагинах. Таб — Заблокированные IP адреса и таб с логами плагина. В начале в этих табах у вас разумеется всё будет пусто.
• Табы — Заблокированные IP и логи. Тут ничего настраивать не надо.

Настройки

• Табы с общими настройками. Ничего не настраивается, но зато можно сразу сделать резервные копии .htaccess, базы данных и wp-config.php. Тут же можно одним махом вырубить все настройки если что-то пошло не так и появились проблемы.
• WP мета информация. Включаем.

Администраторы

• Пользовательское имя WP. Если ваш логин не Admin, то все в порядке. В противном случае — надо обязательно его поменять. Это реально важная «фишка». Если в дальнейшем вы укажите, что бы вам на почту приходили уведомления о временно заблокированных пользователях которые пытались войти с логином Admin — будете неприятно удивлены. У меня это как минимум по 2-5 писем в сутки (см. Блокировка авторизаций).
• Отображаемое имя. Показывает всех зарегистрированных пользователей у кого логин совпадает с именем (ником). Если у вас нет никого кроме вас — список будет пустой. Если есть пользователи, можете заняться исправлением ников. Не слишком важная функция — можно не трогать.
• Пароль. Занятный инструмент который визуально покажет вам надежность любого пароля. Судя по нему имеет смысл задавать сложные пароли длинной не менее 10 знаков.

Авторизация

• Блокировка авторизаций. Полезная функция от подбора паролей. Обязательно включите и настройте на свой вкус параметры или оставьте как есть по умолчанию. Рекомендую, по крайней мере на время, включить уведомления о сработавших блокировках на емейл. Просто, что бы понять, насколько важна эта функция.
• Ошибочные авторизации. Тут статистика. Ничего не надо настраивать.
• Автоматическое разлогинивание пользователей. Не удобная для ваших пользователей штука и при этом дает мало очков безопасности. Можно не включать.
• Журнал активности и Активные сессии — информация и логи.

Регистрация пользователей

• Подтверждение вручную. В общем, вполне полезная функция если у вас на сайте не особо частые регистрации и если они вообще разрешены. Можно включить.
• Капча при регистрации. Устанавливает простую, цифровую капчу на форму регистрации. Мне, честно говоря, не понравилось как она работает. Я использую отдельную — Math Captcha. Вроде бы во всем похожа, но в отличии от встроенной, работает на порядок лучше. Решайте сами, что выбрать.

База данных

• Изменение префикса таблиц вашей базы данных. Стоит включить, но всё таки, советую обязательно сделать заранее бекап БД.
• Резервное копирование БД. Рекомендую включить. Обычно БД не занимают много места и лишним это не будет даже если вы используете еще какой то бекап для сайта.

Файловая система

• Доступ к файловой системе. Установите нужное значение для доступа к папкам в колонке Рекомендуемое действие так, что бы весь список стал зеленым.
• Редактирование фалов PHP. Можно включить запрет на редактирование из админки, если конечно, вы сами не правите файлы таким образом.
• WP доступ к файлам. Запрет доступа к readme.html, license.txt и wp-config-sample.php. Включаем.
• Системный журнал. Настройка формирование лога. Ничего не трогаем.

WHOIS поиск

• Ручная проверка IP адресов. Ничего не настраивается, да и работает почему-то не всегда.

Чёрный список

• Забанить пользователей. Включаем. Как вы понимаете, актуально только в случае если вы сами введете туда какие то IP адреса. Бывает полезно когда нужно быстро забанить очередного идиота хулиганящего в комментах.

Файерволл

• Базовые правила. Почитайте подсказки и включите обе галочки. Стоит перед этим сделать бекап своего файла .htaccess
• Дополнительные правила. Стоит включить все. Однако авторы плагина предупреждают о возможной несовместимости с некоторыми плагинами.
• Настройка 5G. Насколько я понял, включает некий дополнительный брандмаузер. Включайте. Проблем после включения данной опции я не замечал.
• Интернет роботы. По идее, блокирует ложных гугло роботов. Во избежании проблем с полезными роботами, я этот чекбокс на всякий случай, не включал.
• Предотвратить хотлинки. Что это такое — читайте в подсказке. Включаем.
• Отслеживание ошибок 404. Стоит включить, но время блокировки сделайте небольшим. Например, минут 5-10.

Защита от брутфорс атак

• Переименовать страницу логина. Опция полезная, но имейте ввиду, что может возникнуть проблема в том случае если вы разрешили регистрацию на сайте. Например, когда пользователь захочет восстановить потерянный пароль. В целом, стоит хорошенько потестировать после включения. К тому же, некоторые хостинг провайдеры используют эту защиту по умолчанию. Решайте по обстоятельствам.
• Защита от брутфорс-атак, основанная на использовании куки. Как и с предыдущим пунктом, настройка строго индивидуальна. Внимательно читайте подсказки и решайте сами.
• Капча на логин. Если все-таки используете встроенную капчу, то всё лучше всё включить.
• Белый список. Запретит доступ у логину всем кроме тех кто будет указан в списке. Для истинных маньяков, можно не включать.
• Бочка с мёдом. Читайте детально описание этой интересной функции в подсказке. Как мне кажется — можно смело включать.

Защита от СПАМА

• Спам в комментах. Капча в комментариях — включите если используете встроенную капчу. Блокировка спам роботов — помогите своему Акисмету бороться со спам роботами — включайте.
• Отслеживание IP. Можете тут вычислить самых активных спамеров и занести их в черный список.
• BuddyPress. Актуально если у вас стоит этот плагин социальной сети.

Сканнер

• Отслеживание любых изменений в файлах. Как мене кажется, больше предназначено для особо озабоченных, так как изменения в файлах непременно будут иногда происходить. Если хотите всё это постоянно отслеживать и контролировать — включайте.
• Сканирование от вредоносных программ. Платная функция — от 5$ в месяц.

Режим обслуживания

• Тут можно включить «режим обслуживания» для сайта и настроить внешний вид страницы с предупреждением для читателей. Дополнительно читайте вот здесь.

Разное

• Защита контента от копирования и вставки внутри фрейма. Включение этих никак прямо не влияет на защиту сайта.

Выводы

All In One WP Security мне в целом, вполне понравился и я его использую на некоторых сайтах. По моему, если не лучший, то уж точно — один из лучших подобных плагинов. Справедливости ради отмечу, что ни в коей мере не являюсь экспертом в вопросах безопасности. Всё вышеописанное только результат моего опыта использования и личного мнения. Так что, если у опытных читателей есть свои мысли по настройкам данного плагина или лучшие варианты альтернатив ему, прошу высказываться. На вкус цвет, как говорится…

Официальная страница плагина