Плагин All In One WP Security

Приветствую вас!

Поговорим о защите блога на Word Press, а именно о плагине  All In One WP Security & Firewall.

All In One WP Security & Firewall  осуществляет комплексную защиту по очень многим параметрам. У плагина хороший рейтинг пользователей и он совершенно бесплатен.

Одно из явных достоинств, этого плагина, это его русификация. Перевод полный — то есть не только основных функций, но и почти всех подсказок к ним.

Приступим! 

Устанавливаем плагин, любым из удобных способов. Я это сделаю, через панель поиска плагинов, в репозитории. Посмотреть, как установить плагин, можно здесь.

Путь: Плагины > Добавить новый > Поиск плагинов

Устанавливаем и активируем, наш плагин.

Идём: WP Security > Панель управления

Панель управления:

 Информационные виджеты с наглядным индикатором защиты, диаграмма всех очков защиты, показ активных сессий и заблокированных IP.

Особое внимание стоит уделить виджету — текущий статус самых важных функций. Тут вы можете сразу, не углубляясь в настройки включить самые важные элементы защиты.

Информация о системе. Выводится инфо о сайте, версии PHP и всех установленных плагинах.

Таб — заблокированные IP адреса и таб с логами плагина. В начале в этих табах у вас, разумеется всё будет пусто.

Табы — заблокированные IP и логи. Тут ничего настраивать не надо.

Настройки.

Табы с общими настройками. Ничего не настраивается, но я бы посоветовал, сразу сделать резервные копии .htaccess, базы данных и wp-config.php.

 Тут же можно одним махом вырубить все настройки, если что-то пошло не так и появились проблемы.

WP мета информация. Включаем.

Администраторы.

Если ваш логин Admin, то вам необходимо его поменять, что собственно и предложено в этом разделе. Идём далее.

Авторизация.

Блокировка авторизаций. Полезная функция от подбора паролей. Обязательно включите и настройте на свой вкус параметры или оставьте как есть по умолчанию. Рекомендую, по крайней мере на время, включить уведомления о сработавших блокировках на email. Просто, что бы понять, насколько важна эта функция.

Ошибочные авторизации. Тут статистика. Ничего настраивать не надо .

Автоматическое разлогинивание пользователей. Не удобная для ваших пользователей штука и при этом дает мало очков безопасности. Можно не включать.

Журнал активности и Активные сессии — информация и логи.

Регистрация пользователей.

Подтверждение вручную. В общем, вполне полезная функция если у вас на сайте не особо частые регистрации и если они вообще разрешены. Можно включить.

Капча при регистрации. Устанавливает простую, цифровую капчу на форму регистрации. Мне, честно говоря, не понравилось как она работает, поэтому её не включаю.

Защита базы данных.

Изменение префикса таблиц вашей базы данных. Стоит включить, но всё таки, советую обязательно сделать заранее резервную копию (бекап) БД.

Резервное копирование БД. Рекомендую включить. Обычно БД не занимают много места и лишним это не будет даже если вы используете еще какой то бекап для сайта.

Защита файловой системы.

Доступ к файловой системе. Установите нужное значение для доступа к папкам в колонке Рекомендуемое действие так, что бы весь список стал зеленым.

Редактирование фалов PHP. Можно включить запрет на редактирование из админ панели, если конечно, вы сами не правите файлы таким образом.

WP доступ к файлам. Запрет доступа к readme.html, license.txt и wp-config-sample.php. Включаем.

Системный журнал. Настройка формирование лога. Ничего не трогаем.

WHOIS поиск.

Ручная проверка IP адресов. Ничего не настраивается, да и работает почему-то не всегда.

Чёрный список.

Забанить пользователей. Включаем. Как вы понимаете, актуально только в случае если вы сами введете туда какие то IP адреса. Бывает полезно, когда нужно быстро забанить очередного идиота хулиганящего в комментариях.

Файрволл.

Базовые правила. Почитайте подсказки и включите обе галочки. Стоит перед этим сделать бекап своего файла .htaccess

Дополнительные правила. Стоит включить все. Однако авторы плагина предупреждают о возможной несовместимости с некоторыми плагинами.

Настройка 5G. Насколько я понял, включает некий дополнительный брандмаузэр. Включайте. Проблем после включения данной опции я не замечал.

Интернет роботы. По идее, блокирует ложных гугл роботов. Во избежании проблем с полезными роботами, я этот чекбокс на всякий случай, не включал.

Предотвратить хотлинки. Что это такое — читайте в подсказке. Включаем.

Отслеживание ошибок 404. Стоит включить, но время блокировки сделайте небольшим. Например, минут 5-10.

Защита от брутфорс-атак.

Переименовать страницу логина. Опция полезная, но имейте ввиду, что может возникнуть проблема в том случае, если вы разрешили регистрацию на сайте. Например, когда пользователь захочет восстановить потерянный пароль. В целом, стоит хорошенько её протестировать, после включения. К тому же, некоторые хостинг провайдеры используют эту защиту по умолчанию. Решайте по обстоятельствам.

Защита от брутфорс-атак, основанная на использовании куки. Как и с предыдущим пунктом, настройка строго индивидуальна. Внимательно читайте подсказки и решайте сами.

Капча на логин. Если все-таки используете встроенную капчу, то  лучше всё включить.

Белый список. Запретит доступ у логину всем кроме тех кто будет указан в списке. Для истинных маньяков, можно не включать.

Бочка с мёдом. Читайте детально описание этой интересной функции в подсказке.

Защита от SPAM.

Спам в комментариях. Капча в комментариях — включите, если используете встроенную, капчу. Блокировка спам роботов — помогите своему Акismet бороться со спам роботами — включайте.

Отслеживание IP. Можете тут вычислить самых активных спамеров и занести их в черный список.

BuddyPress. Актуально если у вас стоит этот плагин социальной сети.

Сканер.

Отслеживание любых изменений в файлах. Как мене кажется, больше предназначено для особо озабоченных, так как изменения в файлах непременно будут иногда происходить. Если хотите всё это постоянно отслеживать и контролировать — включайте.

Сканирование от вредоносных программ. Платная функция — от 5$ в месяц.

Режим обслуживания.

Можно включить опцию, просмотра только, администраторами. Полезно, когда на сайте, технические работы.

И последний раздел — Разное.

Защита контента от копирования и вставки внутри фрейма. Включение этих никак прямо не влияет на защиту сайта.

Внимание!!! После внесения каждого изменения, не забывайте их сохранять!

Резюмирую — All In One WP Security мне в целом, вполне понравился и я его использую на нескольких сайтах. По моему, он если и не лучший, то уж точно — один из лучших подобных плагинов. Справедливости ради отмечу, что ни в коей мере не являюсь экспертом в вопросах безопасности. Всё вышеописанное только результат моего опыта использования и личного мнения. Так что, если у опытных читателей есть свои мысли по настройкам данного плагина или лучшие варианты альтернатив ему, прошу высказываться в комментариях.

Вот такой, объёмный, получился пост.

Желаю успехов в  настройке!

С уважением, Максим!

Понравилось,оставьте свой email:


1+

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *