Плагин All In One WP Security – повсеместная защиты WordPress

Плагин All In One WP Security представляет собой многофункциональный плагин защиты, который работает со всеми аспектами безопасности сайта. В нём огромное количество настроек, и пользоваться им сравнительно легко, так как весь интерфейс на русском языке.

В этой статье мы рассмотрим и опишем все функции и возможности данного плагина. Если вы решите использовать этот плагин на своём сайте, то вам следует быть внимательным при его настройке и тщательно изучить каждую опцию.

В прошлой статье мы уже начали обзор этого плагина, а здесь продолжаем.

Настройка All In One WP Security: список опций и возможностей

Регистрация пользователя

  • Подтверждение вручную. Можно включить подтверждение регистраций администратором сайта. Это предотвратит нежелательные регистрации.
  • CAPTCHA при регистрации. Можно включить капчу в форме регистрации. Это предотвратит спам-регистрации.
  • Ловушка регистрации. Ещё один способ борьбы со спам регистрациями. Эта функция создаёт невидимое поле в форме регистрации, которое видно только роботам. Соответственно заполнят его только роботы, что и позволит определить спам.

Защиты базы данных

  • Префикс таблиц БД. По умолчанию префикс базы данных в WordPress – это wp_ И, так как все об этом знают, это упрощает работу взломщикам. Здесь можно изменить префикс на любой другой.
  • Резервное копирование БД. Можно настроить автоматическое периодическое резервное копирование базы.

Защита Файловой системы

  • Доступ к файлам. Можно управлять правами на файлы и папки, а также получать рекомендации по ним.
  • Редактирование файлов PHP. Можно отключить возможность редактирования файлов тем и плагинов из панели управления WordPress.
  • Доступ к файлам WP. Можно отключить доступ к файлам readme.html, license.txt и другим, в которых могут содержаться данные, полезные для взлома.
  • Системные журналы. Можно просматривать файлы логов.

WHOIS-поиск

  • Результаты WHOIS-поиска. Здесь можно получить детальные данные о том или ином IP адресе какого-либо пользователя. Это удобный, встроенный прямо в плагин, инструмент.

Черный список

  • Забанить пользователей. Позволяет блокировать пользователей по IP адресам или по User-agent.

Файрволл

  • Базовые правила файрволла. Здесь можно отключить доступ по XMLRPC (удалённая публикация), а также запретить доступ к файлу ведения логов отладки debug.log.
  • Дополнительные правила файрволла. Здесь можно отключить возможность просматривать папки сайта, HTTP-трассировку, убрать возможность комментирования с помощью прокси-серверов, и другое, что так или иначе может использоваться для взлома сайта.
  • Правила черного списка 6G. Здесь можно актировать либо устаревшую защиту 5G, либо новую – 6G. Суть защиты в том, что она уменьшает вероятность использовать тех или иных вредоносных запросов к сайту.
  • Интернет-боты. Боты — это хорошо. Значит какой-то сервис сканирует сайт и занесёт его в свою базу, например в поиск Яндекса или Google. Но некоторые боты могут притворяются хорошими, а выполнять плохие функции, например, искать уязвимости. Здесь можно отключить доступ таким ботам.
  • Предотвратить хотлинки. Хотлинки позволяют публиковать изображения с вашего сайта, на других сайтах с помощью размещения прямой ссылки на них. Это повышает нагрузку на ваш сайт. И здесь можно отключить эту возможность
  • Детектирование 404. Можно блокировать пользователей, которые часто получают от сайта ошибку 404. Многократное её получение за кроткое время говорит о сканировании сайта в целях попытки взлома.
  • Пользовательские правила. Если вы разбираетесь в веб-программировании, то можете создать пользовательские правила для файла .htaccess.

Защита от брутфорс-атак

  • Переименовать страницу логина. Стандартная страница входа /wp-login.php здесь может быть переименована в любую другу. Это уменьшит вероятность взлома. Ведь взламывать будут по адресу /wp-login.php.
  • Защита от брутфорс-атак с помощью куки. Здесь можно включить защиту от взлома с помощью подбора логина и пароля.
  • CAPTCHA на логин. Здесь можно добавить к странице авторизации капчу от Google – reCAPTCHA.
  • Белый список для логина. Создаёт белый список IP, вход которым не будет заблокирован никогда.
  • Бочка с медом (Honeypot). Способ защиты от спам-входа путём создания невидимого поля в форме входа, которое заполняют только роботы.

Защита от SPAM

  • Спам в комментариях. Позволяет включить капчу в комментариях и блокировать тех, кто её не пройдёт.
  • Отслеживание IP-адресов по спаму в комментариях. Позволяет определять IP тех пользователей, кто оставлял спам в комментариях и блокировать их для других операций на сайте тоже. Например, для авторизации.
  • BuddyPress. Интеграция с плагином BuddyPress.
  • BBPress. Интеграция с плагином BBPress.

Сканнер

  • Отслеживание изменений в файлах. Можно настроить периодическое сканирование сайта на изменение в его файлах.
  • Сканирование от вредоносных программ. Можно включить сканирование на вредоносный код.

Режим обслуживания

  • Блокирование доступа посетителей к сайту. Можно включить режим обслуживания, когда посетители видят заставку вместо сайта.

Разное

  • Защита от копирования. При включении этой опции с сайта нельзя будет скопировать текст.
  • Фреймы. Позволяет блокировать возможность отображения контента на других сайтах во фреймах.
  • Перечисление пользователей. Предотвращает возможность получения логинов всех имеющихся пользователей на сайте.
  • WP REST API. Блокирует несанкционированные запросы по API.

11 комментариев

Оставить комментарий
  1. Спасибо большее,очень полезная запись.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *