Защита сайта всегда является важным аспектом в его создании и в продолжительном использовании. Несмотря на высокий уровень безопасности WordPress, можно и даже нужно вносить свою лепту, чтобы максимально себя огородить от нежелательных угроз. И не стоит пренебрегать всеми возможными вариантами, учитывая, что постоянно есть опасность потенциальных атак и вирусов.
В данном случае, плагин All In One WP Security & Firewall станет вашим надежным союзником. Он предоставляет инструменты и функции, которые обеспечивают дополнительный уровень безопасности вашего сайта. Благодаря этому плагину, вы сможете обнаруживать и предотвращать возможные угрозы, а также активно защищать свою онлайн площадку от различных атак и вредоносного ПО.
Выбор хорошего плагина защиты WordPress — это не просто вложение в безопасность вашего сайта, это инвестиция в успех и надежность вашего онлайн присутствия. Позаботьтесь о безопасности своего сайта с помощью надежного плагина защиты WordPress и спите спокойно, зная, что ваш сайт находится под надежной защитой
Плагина All In One WP Security & Firewall
Плагин объединяет в себе большой список инструментов, с помощью которых можно решать от самых мелких до больших задач. Это значительно может уменьшить риск опасности и перейти на новый уровень безопасности. All In One WP Security весьма прост в использовании и имеет две степени сложности – от простого до продвинутого.
В настоящий момент плагин переведен на несколько языков, включая русский. Правда, местами можно обнаружить неполный перевод, но таких мест очень мало. Несмотря на многочисленные функционал, плагин использует минимум ресурсов, что позволяет не нагружать сайт. И при всех его возможностях он совершенно бесплатный.
All In One WP Security & Firewall
Настройка плагина All In One WP Security & Firewall
Предлагаю пропустить перечень всех его функций, а сразу перейти к настройкам, где в подробностях разберем каждый пункт. Это как раз и будет «прайс-лист» плагина, только с одновременным разбором.
После установки и активации плагина в панели инструментов у вас добавится новая вкладка «WP Security».
Вот все пункты, с которыми постараемся познакомиться.
Панель управления
Здесь выводится сбор информации об уровни защиты вашего сайта, диаграмма безопасности, статус самых важных функций. Остальные вкладки, на этой же странице, соответственно показывают инфу о системе, заблокированных IP-адресов, черный список и лог файлов. Для наблюдения запомните, какой у вас текущий балл надежности и сравните его с полученным после всех настроек.
Настройки
Вначале, перед активацией каких-либо функций, нам советуют сделать резервную копию важных файлов и БД. Такие меры предосторожности будут весьма кстати, так что не поленитесь выполнить их. Две последующие вкладки как раз помогут сделать резервную копию файлов. На вкладке «Общие настройки» чуть ниже находятся настройки сброса некоторых параметров. Воспользуйтесь ими если заметите некорректность в работе сайта. Предпоследняя вкладка «WP Version info» поможет отключить мета-теги, которые WordPress автоматически выводит на всех страницах сайта.
Обратите внимание на два элемента с флажками, выделенные на скриншоте. Первый показывает уровень сложности функции, а второй – очки безопасности. Чем больше будет баллов, тем выше степень важности. Поставьте галочку и нажмите кнопку «Сохраните настройки», но только в том случае, если вы раньше сами не удаляли теги.
Последняя вкладка «Импорт/Экспорт» поможет избавиться от необходимости вновь настраивать плагин, если вам придется его переустанавливать или ставить на новый сайт. Достаточно лишь экспортировать настройки в виде отдельного файла, а затем просто импортировать их.
Администраторы
Этот раздел отвечает за использования имени администратора и отображение имени админа на сайте. Как известно, нельзя применять одинаковый логин и имя, которое выводится в посту как автор статьи. Если у вас имеется такая проблема, то плагин выдаст сообщение и попросит сменить имя на корректное. Последняя вкладка «Пароль» проверяет надежность пароля и покажет приблизительное время для его подбора.
Авторизация
Один из множества способов взлома сайта является многократные попытки подбора паролей или, другими словами, называют Брутфорс-атака. Наша задача состоит в том, чтобы ограничить количество попыток ввода, а также принять последующие меры по отношению к IP-адресов взломщиков. Отметьте галочками пункты, как показано на скриншоте, и нажмите кнопку «Сохранить».
Все остальные вкладки в этом разделе показывают общую информацию по уже заблокированным IP-адресам и неудачным попыткам входа. Можно еще обратить внимание на вкладку «Автоматическое разлогинивание пользователей». Ставьте здесь галочку, дабы через указанное время заканчивалась сессия авторизации админа (выход из аккаунта). Это полезно тогда, когда вашим компьютером или ноутбуком пользуется кто-то еще, кроме вас.
Регистрация пользователя
Этот раздел больше относится к тем сайтам, у которых открыта форма регистрации. Здесь можете поставить галочку для ручного подтверждения регистрации пользователя, а также добавить капку на страницу регистрации.
Защита Базы данных
Лакомый кусочек для недоброжелателя – это доступ к Базе данных где хранятся все настройки и контент. Одним из способов усилить защиту БД от SQL-инъекций является смена стандартного префикса баз данных «wp_
» на уникальный. Об этом я уже говорил в статье «Советы безопасности для ВордПресс».
Отмечаем галочкой пункт и жмем «Изменить префикс таблиц». После чего начнется процесс смены и обновления некоторых файлов. Во второй вкладке настраиваем автоматическое создание бэкапа БД.
Префикс таблиц БД
Резервное копирование БД
Защита файловой системы
Отключаем права на редактирование файлов из админ-панели, закрываем доступ к файлам и сменяем разрешения папок\файлов на рекомендуемые.
Черный список
С этой функцией нужно быть осторожней, так как есть вероятность блокировки вашего IP к доступу админ входа. Активируйте по желанию.
Файрволл
Здесь настраиваются более серьезные функции, отдельные из которых могут даже нарушить работоспособность сайта. Возле каждого параметра есть краткое описание, объясняющее принцип их работы. Я отметил следующие пункты, а последнюю вкладку оставил без изменений.
Баз. правила файрволла
Доп. правила файрволла
6G Blacklist Firewall Rules
Интернет-боты
Предотвратить хотлинки
Детектирование 404
Защита от брутфорс-атак
Продолжаем борьбу с брутфорс-атаками. На этот раз задействуем эффективный способ, а именно – изменим адрес страницы входа. Нам предлагают для этого два варианта: либо через куки, либо обычным путем. Обращаю ваше внимание на то, что эти две функции одновременно не могут быть активированы.
Если вы пользуетесь только одним браузером для входа в админ-панель, то вам подойдет смена на основе куки. Соответственно, если заходите с разных браузеров и мест, то подойдет обычная смена адреса. На вкладке «Капча» включается вывод дополнительного поля на странице логина с математической задачей.
На последней вкладке находится очень интересная функция – «Бочка с медом» (сладкий термин). Суть ее очень проста: на страницу входа добавляется новое поле заполнения, которое видят только роботы. А робот, в свою очередь, как правило, заполняет все возможные поля и отправляет запрос. И тем самым выдает себя (ведь настоящий пользователь не видит это поле), вследствие чего происходит обычное перенаправление робота на свой IP-адрес.
Переименовать страницу логина
Бочка с медом
Защита от спама
Дополнительные меры по борьбе со спамом в комментариях путем блокирования спам-ботов и отслеживание IP-адресов. Кто считает нужным, может активировать еще и капчу.
Спам в комментариях
Отслеживание IP-адресов
Сканнер
Сканнер поможет отслеживать изменение файлов и показывать точную дату и время, когда это случилось. Можете установить автоматическое сканирование, указав определенную частоту на выбранный период времени. Вкладка «Сканирование от вредоносных программ»— это отдельный сервис.
Функция «Сканирование базы данных» временно является деактивированной. Разработчики обещают в ближайшее время ее переделать и представить в рабочем состоянии.
Режим обслуживания
Закрывается доступ пользователям к сайту, кроме админа, и включается технический режим обслуживания сайта WordPress.
Разное
В последнем разделе все функции менее важные и могут быть активированы по своему усмотрению.
где он хранит настройки?
забыл на что поменял wp-login.php, физически он не переименовывался, теперь не могу войти в админку.
Через SQL запрос отключите все плагины и войдите под старым адресом. И больше не забывайте, это важная деталь.
UPDATE wp_options SET option_value = '' WHERE option_name = 'active_plugins';
WordSmall, уже разобрался, чуть по иному, может не так правильно, переименовал папку /wp-content/plugins/all-in-one-wp-security-and-firewall/, залогинелся переименовал обратно.
neveDimka, можно и так.
Пасиб Неведимка
помогло:
переименовал папку /wp-content/plugins/all-in-one-wp-security-and-firewall/
а то получил бекап для редизайна а там черт ногу сломит
Столкнулся с такой проблемой: после подключения данного плагина не стал работать менеджер тем — не ищет и не загружает новые темы. Никто с таким не сталкивался?
С помощью PHP console вижу ошибку Call to undefined function install_themes_upload ()
Не знаю, что случилось, но помогло простое обновление WP из Консоли админки по ссылке обновить
Главное, что обошлось.