Плагин All In One WP Security представляет собой многофункциональный плагин защиты, который работает со всеми аспектами безопасности сайта. В нём огромное количество настроек, и пользоваться им сравнительно легко, так как весь интерфейс на русском языке.
В этой статье мы рассмотрим и опишем все функции и возможности данного плагина. Если вы решите использовать этот плагин на своём сайте, то вам следует быть внимательным при его настройке и тщательно изучить каждую опцию.
В прошлой статье мы уже начали обзор этого плагина, а здесь продолжаем.
Оглавление
Регистрация пользователя
- Подтверждение вручную. Можно включить подтверждение регистраций администратором сайта. Это предотвратит нежелательные регистрации.
- CAPTCHA при регистрации. Можно включить капчу в форме регистрации. Это предотвратит спам-регистрации.
- Ловушка регистрации. Ещё один способ борьбы со спам регистрациями. Эта функция создаёт невидимое поле в форме регистрации, которое видно только роботам. Соответственно заполнят его только роботы, что и позволит определить спам.
Защиты базы данных
- Префикс таблиц БД. По умолчанию префикс базы данных в WordPress – это wp_ И, так как все об этом знают, это упрощает работу взломщикам. Здесь можно изменить префикс на любой другой.
- Резервное копирование БД. Можно настроить автоматическое периодическое резервное копирование базы.
Защита Файловой системы
- Доступ к файлам. Можно управлять правами на файлы и папки, а также получать рекомендации по ним.
- Редактирование файлов PHP. Можно отключить возможность редактирования файлов тем и плагинов из панели управления WordPress.
- Доступ к файлам WP. Можно отключить доступ к файлам readme.html, license.txt и другим, в которых могут содержаться данные, полезные для взлома.
- Системные журналы. Можно просматривать файлы логов.
WHOIS-поиск
- Результаты WHOIS-поиска. Здесь можно получить детальные данные о том или ином IP адресе какого-либо пользователя. Это удобный, встроенный прямо в плагин, инструмент.
Черный список
- Забанить пользователей. Позволяет блокировать пользователей по IP адресам или по User-agent.
Файрволл
- Базовые правила файрволла. Здесь можно отключить доступ по XMLRPC (удалённая публикация), а также запретить доступ к файлу ведения логов отладки debug.log.
- Дополнительные правила файрволла. Здесь можно отключить возможность просматривать папки сайта, HTTP-трассировку, убрать возможность комментирования с помощью прокси-серверов, и другое, что так или иначе может использоваться для взлома сайта.
- Правила черного списка 6G. Здесь можно актировать либо устаревшую защиту 5G, либо новую – 6G. Суть защиты в том, что она уменьшает вероятность использовать тех или иных вредоносных запросов к сайту.
- Интернет-боты. Боты — это хорошо. Значит какой-то сервис сканирует сайт и занесёт его в свою базу, например в поиск Яндекса или Google. Но некоторые боты могут притворяются хорошими, а выполнять плохие функции, например, искать уязвимости. Здесь можно отключить доступ таким ботам.
- Предотвратить хотлинки. Хотлинки позволяют публиковать изображения с вашего сайта, на других сайтах с помощью размещения прямой ссылки на них. Это повышает нагрузку на ваш сайт. И здесь можно отключить эту возможность
- Детектирование 404. Можно блокировать пользователей, которые часто получают от сайта ошибку 404. Многократное её получение за кроткое время говорит о сканировании сайта в целях попытки взлома.
- Пользовательские правила. Если вы разбираетесь в веб-программировании, то можете создать пользовательские правила для файла .htaccess.
Защита от брутфорс-атак
- Переименовать страницу логина. Стандартная страница входа /wp-login.php здесь может быть переименована в любую другу. Это уменьшит вероятность взлома. Ведь взламывать будут по адресу /wp-login.php.
- Защита от брутфорс-атак с помощью куки. Здесь можно включить защиту от взлома с помощью подбора логина и пароля.
- CAPTCHA на логин. Здесь можно добавить к странице авторизации капчу от Google – reCAPTCHA.
- Белый список для логина. Создаёт белый список IP, вход которым не будет заблокирован никогда.
- Бочка с медом (Honeypot). Способ защиты от спам-входа путём создания невидимого поля в форме входа, которое заполняют только роботы.
Защита от SPAM
- Спам в комментариях. Позволяет включить капчу в комментариях и блокировать тех, кто её не пройдёт.
- Отслеживание IP-адресов по спаму в комментариях. Позволяет определять IP тех пользователей, кто оставлял спам в комментариях и блокировать их для других операций на сайте тоже. Например, для авторизации.
- BuddyPress. Интеграция с плагином BuddyPress.
- BBPress. Интеграция с плагином BBPress.
Сканнер
- Отслеживание изменений в файлах. Можно настроить периодическое сканирование сайта на изменение в его файлах.
- Сканирование от вредоносных программ. Можно включить сканирование на вредоносный код.
Режим обслуживания
- Блокирование доступа посетителей к сайту. Можно включить режим обслуживания, когда посетители видят заставку вместо сайта.
Разное
- Защита от копирования. При включении этой опции с сайта нельзя будет скопировать текст.
- Фреймы. Позволяет блокировать возможность отображения контента на других сайтах во фреймах.
- Перечисление пользователей. Предотвращает возможность получения логинов всех имеющихся пользователей на сайте.
- WP REST API. Блокирует несанкционированные запросы по API.
Спасибо большее,очень полезная запись.