Марафон v2.0

Урок 399 All In One WP Security — лучший плагин для безопасности для WordPress

All In One WP Security

Привет, ребята! Когда твой сайт становится немного раскрученным, появляются постоянные читатели, получаешь огромное удовольствие. Вроде бы все круто. Растет и поток денег, и отклик получаешь от аудитории, увеличивается узнаваемость. Но существует и обратная сторона медали. Это завистники, это внимание со стороны недоброжелателей.

Чтобы вы представляли, о чем идет речь: мой блог только за прошлую неделю взламывали 2 раза. Постоянные посетители, думали, заметили. Ребята, я настоятельно рекомендую ознакомиться с данным уроком, потратить время на внедрение советов, о которых говорю, чтобы больше обезопасить свой сайт и сэкономить время, деньги и нервы.

Существует довольно много плагинов, связанных с улучшением безопасности, я пробовал многие, но все что-то не то. Либо блог "падал" непонятно из-за чего, либо сложно было понять, как работать. И все же, благодаря советам ребят, с которыми общаюсь на марафоне, удалось найти достойный, похвальный плагин, который очень сильно понравился. Абсолютно всем. Поэтому сразу же спешу поделиться с вами этой информацией.

All In One WP Security - это самый необходимый плагин для увеличения безопасности в WordPress. Ставить его нужно всем, кто владеет сайтом на Вордпресс. Всем без исключения.

Если мой любимый плагин Yoast SEO - это комбайн в сфере SEO для WordPress, то плагин WP Security - аналог в сфере безопасности. То есть, если благодаря Yoast SEO я перестал нуждаться в нескольких SEO плагинах, то здесь точно также, благодаря All In One WP Security можно избавиться от других плагинов, которые лишь частично выполняют функции данного. Например, как:

  • Login Lockdown;
  • WordPress Database Backup;
  • Anti-XSS attack;
  • и другие подобные.

Огромные плюсы плагина All In One WP Security:

  • бесплатный;
  • настраивается очень просто;
  • практически все переведено на русский язык, поэтому понятно о чем идет речь.

Настройка плагина All In One WP Security

Обязательно сделайте бэкап (резервную копию) перед началом работы (на всякий случай) следующих файлов:

  • база данных;
  • файл wp-config;
  • файл htaccess.

Кстати, резервные копии этих трех файлов можно сделать прямо в данном же плагине, просто в админке перейдите в WP Security - Настройки:

WP Security резерв

Панель управления

Тут есть очень крутой информер, который показывает уровень защищенности вашего сайта:

Панель управления All In One WP Security

Этот показатель поможет держать руку на пульсе и понимать, что еще нужно сделать для улучшения безопасности. Не рекомендую делать все, ради достижения максимальных баллов. Могут быть плохие последствия, ваш сайт может упасть, ошибочно функционировать.

Текущий статус самых важных функций. В этом блоке можно активировать самый необходимый функционал по безопасности вашего сайта (можете пока не трогать их, в ходе настроек по уроку, данные параметры активизируются итак):

Статус All In One WP Security

Остальные параметры в Панели управления малоинтересны, Вы можете ради любопытства ознакомиться с ними (Информация о системе, Заблокированные IP адреса, AIOWPS.

Настройки

Общие настройки. Тут можно создать резервные копии файлов, о которых я говорил выше. Также отключить функции безопасности и файерволла, если что-то перестало работать.

WP мета-информация. Нажимаем на галочку напротив "Удаление метаданных WP Generator", чтобы не отображать версию WordPress:

Удаление WP Generator

Вкладка "Импорт/Экспорт". Здесь можно экспортировать свои настройки, чтобы потом на другом сайте не тратить время на настройки и импортировать в 2 клика все необходимые "галочки".

Администраторы

Пользовательское имя WP. Обязательно (!) смените имя администратора, если оно у вас "admin". Вы не представляете как много и часто подбираются пароли с логином admin. Если еще к тому же пароль очень легкий, ваш сайт легко может быть взломан.

Логин admin WP Security

Отображаемое имя. Если на вашем сайте есть аккаунты, у которых имя пользователя и отображаемое имя совпадает, то рекомендуется изменить отображаемое имя (никнейм).

Пароль. Очень интересная вкладка. Тут можно узнать, за какой промежуток времени можно подобрать в автоматическом режиме ваш пароль. Введите свой пароль и сильно удивитесь, насколько быстро его можно взломать. Обязательные условия для усиления безопасности:

  • в вашем пароле должны быть как заглавные, так и строчные буквы;
  • обязательно наличие хотя бы 1-ой цифры, но никак пароль не должен состоять только из цифр;
  • желательно еще наличие какого-либо спецсимвола;
  • длина пароля должна быть более 10 символов.

В итоге у вас должен быть максимальный степень безопасности вашего пароля, что-то в этом роде (пароль ниже домашний компьютер взломал бы за 57 337 лет (!) ):

Надежность пароля

Авторизация

Блокировка авторизаций. Обязательно включите эту функцию. Если пароль в течении 5-ти минут (по умолчанию)  введется 3 раза неправильно, то IP блокируется на 60 минут (тоже по умолчанию). Я не рекомендую ставить блокировку больше по времени, а то можно столкнуться  с тем, что сами администраторы вводят логин 3 раза неправильно, ставят блокировку на 10 лет и не знают что делать. Оставляем по умолчанию 60 минут и не паримся.

Также я рекомендую поставить галочку напротив "Сразу заблокировать неверные пользовательские имена". К примеру, вы поменяли логин с admin на krutysh, то при вводе логина admin в поле для авторизации, сразу же заблокируется IP адрес. "Уведомлять по email" - тут по мере необходимости. Я не люблю лишний спам, поэтому здесь галочку не ставлю.

Итоговые настройки данной вкладки у меня выглядят так:

Блокировка авторизаций

Если вам любопытно, можете глянуть список заблокированных IP, ссылка на раздел приводится в данной же вкладке ниже.

Ошибочные попытки авторизации. Вот здесь как раз видны те логины, которые подбираются. Чаще всего у меня сверкают логины admin, root, font. Также видны время "попыток". Обратите внимание, как часто пытаются войти в админку:

Ошибочный вход

Автоматическое разлогинивание пользователей. Рекомендую тоже включить данный чекбокс. Позволяет через определенное количество минут завершить сессию и разлогинить пользователя. Я ставлю 600 минут:

Разлогинирование пользователей

Вкладки "Журнал активности аккаунта" и "Активных сессий" носят информационный характер.

Регистрация пользователей

Ставим галочку напротив "Активировать ручное одобрение новых регистраций":

Ручное одобрение

Да и можно поставить галочку CAPTCHA при регистрации:

Captcha при регистрации

Конечно, если нельзя зарегистрироваться другим людям на вашем сайте, верхние 2 пункта просто бесполезны, от них не станет ни лучше, ни хуже. Но, если вы сомневаетесь, лучше поставьте галочки в этих пунктах.

Защита базы данных

Здесь будьте аккуратны во вкладке "Префикс таблиц БД". Прежде чем поставить галочку, обязательно сделайте резервную копию своей базы данных (там же увидите ссылку на создание бэкапа своей БД). Если боитесь, сомневаетесь, лучше оставьте без галочки:

Префикс БД WP Security

Резервное копирование БД. Здесь уже ставим галочку, выбираем частоту создания бэкапов и их количество. У меня. к примеру, такие цифры:

Бэкап БД

Если вы не так категорически относитесь к чистоте в почте как я, то можете включить чекбокс для отправки бэкапов на свой электронный ящик.

Защита файловой системы

Доступ к файлам. Здесь в правой части у вас будут кнопки, вам нужно будет изменить права доступа к файлам, нажав на эти кнопки. В результате все строчки у вас должны стать зелеными:

Разрешения файлов

Редактирование файлов PHP. Если вы не правите свои PHP файлы через админку, ставим галочку. Править файлы через админку я не рекомендую хотя бы потому, что у вас нет возможности нажать CTRL+Z в случае чего и вы не сможете вернуть файл в исходное положение:

Правка PHP

Доступ к файлам WP.  Ставим галочку:

Доступ к файлам WP

Системные журналы. Оставляем по умолчанию.

WHOIS-поиск

Можете вбить IP адрес, либо домен для получения WHOIS какого-либо домена. А так по сути тут нечего трогать.

Черный список

Если у вас нет недоброжелателей, можете не включать данный пункт. Если какой-то IP адрес постоянно сверкает в комментариях, к примеру, можете включить чекбокс и внести данный IP в черный список.

Файрволл

Базовые правила файрволла. Если вы не делали до этого момента резервную копию htaccess, то обязательно делаем его. И ставим галочки напротив всех пунктов:

Файрволл WP Security

Дополнительные правила файерволла. Тут тоже включаем все галочки:

Правила Файрволл

UPDATE: ниже во вкладке "Дополнительная фильтрация символов" я убрал галочку, потому что некоторые комментарии не проходили, отдавали 403 ошибку. Наверное, все-таки, вам тоже я посоветовал бы убрать эту галочку, чтобы не было у пользователей проблем с комментированием.

Дополнительные настройки Файрволл

Настройки 5G файрволл. Тоже включаем:

5g файрволл

Интернет-боты. Здесь могут возникнуть проблемы с индексацией, поэтому я рекомендую не включать данный пункт.

Блокировка ботов

Предотвратить хотлинки. Тоже включаем.

Предотвращение хотлинков

Детектирование 404. Рекомендую включить. А время ставить минут 5.

Детектирование 404

Custom Rules. Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.

Защита от брутфорс-атак

Переименовать страницу логина. Включаем. Меняем адрес логина на свой:

Страницы логина

Защита от брутфорс-атак с помощью куки. Я не включаю данную функцию, чтобы не было проблем со входом с разных устройств.

С помощью куки (авторизация)

CAPTCHA на логин. Можете включить CAPTCHA при авторизации, я же не включаю:

Captcha на страницу логина

Белый список для логина. Так как я часто захожу на сайт с разных мест, IP у меня разный, поэтому данную опцию я не включаю:

Белый список IP

Бочка с медом. Создается дополнительное поле, которое видят только роботы. Поэтому, при заполнении данного поля, робот будет перенаправлен на свой адрес. Включаем:

Бочка с медом

Защита от SPAM

CAPTCHA в форме комментариев. Я не включаю, так как не люблю усложнять комментирование, а вот функцию "Блокировка спам-ботом от комментирования" рекомендую включить:

Спам в комментах

Отслеживание IP-адресов по спаму в комментариях. Тут можно глянуть на "частосверкающие" IP по спаму в комментах и занести их в черный список.

BuddyPress. Добавляет CAPTCHA в форме регистрации BuddyPress. Я не использую ее.

Сканер

Отслеживание изменений в файлах. Рекомендую включить, так как часто при взломе сайтов не совсем понятно, какой файл изменили, где искать вредоносный код. А с помощью этой функции сможете отследить изменения в файлах вашего сайта и быстро найти тот файл, который изменялся в последнее время.

Сканер

Сканирование от вредоносных программ. Функция платная, стоит от 7$ в месяц.

Режим обслуживания

Позволяет "закрыть" сайт на время, чтобы сделать какие-то правки. То есть посетителям сайта будет предложена "заглушка", что ведутся работы на сайте. Полезно при смене дизайна, проверке работоспособности плагинов.

Разное

Защита от копирования текста и прочее. Здесь я нигде в трех вкладках не ставлю галочки. Тоже рекомендую не ставить.

Итоги

После завершения всех этих настроек, вы можете перейти в "Панель управления" и глянуть показатель уровня безопасности, у вас должно получится что-то вроде этого:

Уровень безопасности WordPress

Повторюсь, не нужно необдуманно делать все, чтобы достигнуть максимально возможного балла. Не занимайтесь ненужным вредом для своего сайта, его работоспособности и удобства.

На этом все, плагин рекомендую ставить всем, действительно очень классный "комбайн" в плане безопасности для WordPress.

Если возникнут вопросы - пишите. Спасибо отдельное за ретвиты и репосты, за то, что помогаете людям донести эту важную информацию.

Новый марафон 2.0 от WPnew
С уважением, Пётр Александров.
Подпишитесь на бесплатные уроки

Понравился урок? Вы не хотите пропускать новые бесплатные уроки по созданию, раскрутке и монетизации блога? Тогда подпишитесь на RSS или на электронный ящик в форме выше и получайте новые уроки мгновенно! Также можете следить за мной в Twitter.

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.

26 комментариев

по хронологии
по рейтингу сначала новые по хронологии

>Сканирование от вредоносных программ. Функция платная, стоит от 7$ в месяц.

Есть бесплатные аналоги для такой защиты, я об этом писал тут http://vasilenko.info/protect-site/ настройка занимает пару минут, но в итоге все изменения внутри сайта (добавился новый файл вирус, удалили какой-то файл, отредактировали шаблон и вставили рекламу) будут приходить в отчете сразу на email.

И все это бесплатно, а после первого взлома вашего сайта, сразу можно узнать где кто лазил и какие правки делал. Советую!

Спасибо Пётр за ещё одну полезную статью. Вечером буду устанавливать и по приведённой инструкции настраивать.

Очень интересный плагин. Установил, сейчас буду настраивать. Спасибо Петр за интересную и полезную статью, особенно за рассказ о настройках плагина. Кстати мой самый короткий и простой пароль от маил почты, взломали бы вот за столько: 47623938873 years, 8 months 🙂

Руслан http://abdullinru.ru

Ну очень функциональный плагинчик!
Плагина три моих как минимум заменит)

Сергей

Очень полезный плагин и детально расписано что и как делать. Спасибо

Игорь http://kochetov.su

Прочитал и побёг испытывать новый плагин 🙂

Андрей http://www.5starsplus.com/

Приветствую, Пётр!
Спасибо большое за весьма полезную информацию. Всё сделал, как у тебя написано, потестирую несколько дней, смогу сказать что к чему.
Плагин действительно замечательный. Такое впечатление, что разработчики собрали в одном плагине все те приёмы, которые раньше нужно было делать "ручками" или при помощи приличного количества плагинов. Дай Бог, чтобы этот плагин стал действительно таким же эффективным "комбайном безопасности", как плагин Yoast SEO в SEO.
Ещё раз тебе спасибо!

Наталья http://aristocratka.ru

Функция «Блокировка спам-ботом от комментирования» заменяет собой плагин Акисмет?

Наталья http://aristocratka.ru

Достаточно большой материал. Тут надо походу настройки на своём сайте, заглядывать сюда и сверяться, всё ли правильно делаешь.

У меня после этого плагина файл .htaccess увеличился в 3 раза где-то )) столько правил там появилось. Не знаю из-за него или нет, но мне показалось что сайт стал немного медленнее грузиться и пришлось два раза пытаться залить один плагин (постоянно откл от сервера). Может что-то хостер делал, но обычно такого не было. Посмотрим еще пару дней - что будет. А так плагин понравился.

seoonly.ru http://seoonly.ru/

Ушел ставить)))

Евгений

Привет Петя. Поставил себе этот плагин несколько дней назад. Каждый день по 3-4 раза мне приходит сообщение на почту, что кто-то пытается меня взломать. Сообщение приходит с попыткой подбора логина и пароля. Пробуют написать "admin" или "administrator", но у меня там совсем другое.

Автор
Пётр Александров http://wpnew.ru

Это автоподборщики работают. Отключи уведомления на почту.

Тимур http://psixik.ru/

Спасибо за плагин.

Сергей http://Onasekomi.ru

All In One WP Security конфликтует с WindowsLiveWriter. для того, чтобы можно было размещать статьи через эту прогу, надо в настройках All In One WP Security отключить галочку напротив "Активировать Пингбэк-защиту" в Настройки-файрвол. Проколупался сам целый вечер, покуда разобрался.

Ильнур http://sxemy.ru

Спасибо, Все настроил - деактивировал 3 лишних плагина.

Влад Клинков http://klinkov.biz/

Настроек много конечно, но я думаю и защита хорошая. Как буду за компьютером обязательно себе поставлю.

После установки этого плагина блог больше не пробивали?

С уважением, Влад Клинков!

Влад Клинков http://klinkov.biz/

Уже установил плагин 🙂 И правда, очень много того о чем я даже не думал скрывать. Потратил немало времени, но это своего рода временная инвестиция от будущих проблем 🙂

С уважением, Влад Клинков!

А проблема с обновлением и установкой плагинов у кого-нибудь есть после настройки данного плагина?
Не могу обновить плагины и установить новые, думаю проблема в WP Security.

Заблокировал сам себя All In One WP Security. При переименовании плагина в админку сайта зайти мог, но после нескольких переименований также уже не могу. Плагин удалял и заливал снова результат - 0. Полное отчаяние. Может сталкивались?
Плагин отключен, но зайти не могу. Как его полностью удалить? Похоже пахнет переустановкой сайта.

Автор
Пётр Александров http://wpnew.ru

Папку с плагином через ftp попробуйте удалить

Как с помощью этого плагина изменить ссылку на вход в админ панель со стандартной http//site.ru/wp-login.php на более сложную? скажите. пожалуйста. Вообще можно этим плагином это сделать или нет?

Автор
Пётр Александров http://wpnew.ru

Да, с помощью плагина это возможно сделать.

Как после настройки плагина внести изменения в htaccess?
Добавить сжатие и кеширование напр.

Тамара http://polohova.ru

Петр! С помощью Вашей статьи я с легкостью настроила плагин All In One WordPress Security! Статья очень развернутая и понятная. Спасибо за помощь! Добавила Ваш сайт в закладки, так как тоже вебмастер. Есть чему поучиться у Вас.

Автор
Пётр Александров http://wpnew.ru

Отлично, присоединяйтесь к марафону) Там очень много чего полезного, стартует во вторник, не упустите)

Наверх Рейтинг@Mail.ru