BloGGood.ru

Блог Костаневича Степана

WordPress, PHP, HTML, CSS, Windows

Блог на разные темы, seo-оптимизация, раскрутка сайта, создание сайта, вкусные эффекты для сайта и многое другое…

Главная » Безопасность » All In One WP Security – крутая защита сайта на WordPress

All In One WP Security – крутая защита сайта на WordPress

2018-10-23 / Вр:16:10 / просмотров: 4987

Всем привет!
Сегодня поговорим о защите сайта на WordPress.
Уже год, как я пользуюсь отличнейшим плагином  для защиты - All In One WP Security.
Возможностями, которые предоставляет плагин, я  очень доволен. И его работа по защите восхищает своей надежностью.

Плагин All In One WP Security многофункционален, например, защитит сайт от:

  • взлома;
  • от неверных попыток входа в систему;
  • брутфорс-атак;
  • спам-комментариев;
  • копирования;
  • и многое другое

А теперь я расскажу, как настроить данный плагин!

По измерителю безопасности на тестовом сайте было 15 баллов из 505:

All In One WP Security – крутая защита сайта на WordPress

Нужно сделать хотя бы больше половины, чтобы сайт стал хорошо защищенным.
Приступаем к настройкам и к обороне сайта.

Пункт «НАСТРОЙКИ»

Перейдите в админке WordPress «WP Security» =>  «Настройки»:

All In One WP Security – крутая защита сайта на WordPress

На странице «Настройки» перейдите по вкладке «WP Version Info»:

All In One WP Security – крутая защита сайта на WordPress

Ставим птичку над пунктом «Удаление мета-данных WP Generator» и жмите на кнопку «Сохранить настройки»:

All In One WP Security – крутая защита сайта на WordPress

Таким вот маленьким движением мы убрали с сайта версию WordPress:

All In One WP Security – крутая защита сайта на WordPress

Пункт «Администраторы»

Пользовательское имя WP.

Внимание! Обязательно  смените имя администратора, если оно у вас «admin», так как часто подбираются пароли с логином «admin».

У меня все ок:

All In One WP Security – крутая защита сайта на WordPress

Теперь перейдите на вкладку «Отображаемое имя».

Если вы увидели на этой странице вот такое сообщение:

«Следующие аккаунты на Вашем сайте имеют имя пользователя, совпадающее с отображаемым именем. (Перейдите по ссылке, чтобы внести изменения в соответствующий аккаунт»

Значит, если логин пользователя и отображаемое имя совпадает, то рекомендуется изменить отображаемое имя на другое (никнейм). Например, логин «BlogGood» и имя  «BlogGood». Меняем имя «BlogGood» на другое.

Итак, перейдите по ссылке снизу:

All In One WP Security – крутая защита сайта на WordPress

И делаем замену в поле «Ник (обязательно)». Потом после сохранения выставляете это имя в поле «Отображать как» и снова сохраняете (жмите «Обновить профиль»).

Смотрим на результат:

All In One WP Security – крутая защита сайта на WordPress

Отлично!

Пункт «Авторизация»

- вкладка «блокировка авторизаций».

В случае, если злоумышленник попытается вас взломать и введет неверный логин или пароль определенное количество раз, его ip блокируется тоже на указанное вами время. Очень полезная штука, похожая есть у плагина «Limit logins Attempts».

Отметьте птичкой пункт «Включить опции блокировки попыток авторизации» и «Сразу заблокировать неверные пользовательские имена».
All In One WP Security – крутая защита сайта на WordPress

- вкладка «Ошибочные попытки авторизации».
Здесь можно посмотреть на логины, которые вводил взломщик.

All In One WP Security – крутая защита сайта на WordPress

- вкладка «Автоматическое разлогинивание пользователей».

Позволяет через определенное количество минут завершить сессию и разлогинить пользователя (то есть, осуществится выход из админки). Я ставлю 600 минут:

All In One WP Security – крутая защита сайта на WordPress

- вкладка «Журнал активности аккаунта»
Тут будет информация, которая может пригодиться, если Вы будете проводить исследование пользовательской активности, так как здесь будут показаны последние 50 событий авторизации с данными имени пользователя, IP-адресом и временем входа.

- вкладка «Активных сессий»
Здесь отображаются все пользователи, которые в настоящий момент авторизованы на Вашем сайте.

Если Вы подозреваете, что в системе есть активный пользователь, которого не должно быть, тогда Вы можете их заблокировать, проверив их адрес IP в списке внизу, и добавить их в черный список.

Пункт «Регистрация пользователя»

- вкладка «Подтверждение вручную»
«Активировать ручное одобрение новых регистраций» отмечаете птичкой

All In One WP Security – крутая защита сайта на WordPress

- вкладка «CAPTCHA при регистрации».
Если нужно, выставляйте над пунктом: «Активировать CAPTCHA на странице регистрации»:

All In One WP Security – крутая защита сайта на WordPress

Пункт «Защита Базы данных»

Вкладка «префикс таблиц БД», если у Вас текущий префикс таблиц БД «wp_».
Я ставлю птичку над пунктом «Сгенерировать новый префикс таблиц БД» и жму «Изменить префикс таблиц БД»:

All In One WP Security – крутая защита сайта на WordPress

- Вкладка «Резервное копирование БД»
Здесь можно настроить параметр, когда делать резервную копию БД. Копия автоматически будет отсылаться на email.

Пункт «Защита файловой системы»

Доступ к файлам. Здесь в правой части у вас будут кнопки, вам нужно будет изменить права доступа к файлам, нажав на эти кнопки - «Установить рекомендуемое разрешения».

В конечном счете, все строчки у вас должны стать зелеными:

All In One WP Security – крутая защита сайта на WordPress

- Вкладка «Редактирование файлов»
Ставите галочку над пунктом «Отключить возможность редактирования PHP-файлов», если вы не хотите из админки править код.

- Вкладка «Доступ к файлам WP»
Ставим галочку над пунктом «Запретить доступ к информационным файлам, создаваемых по умолчанию при установке WordPress.»

Пункт «Файрволл»

- Вкладка «Базовые правила Файрволл».
Отметьте такие пункты как:
«Активировать основные функции брандмауэра»,
«Disable Pingback Functionality From XMLRPC»,
«Block Access to debug.log File».
Теперь жмите на кнопку «Сохранить основные настройки брандмауэра»

- Вкладка «Дополнительные правила файрволла»
Тут отметьте такие пункты:
«Отключить возможность просмотра директорий»,
«Отключить HTTP-трассировку»,
«Запретить комментарии через прокси»,
«Запретить вредоносные строки в запросах»

- Вкладка «6G Blacklist Firewall Rules»
Отметьте тут птичкой «Enable 6G Firewall Protection»

- Вкладка «Интернет-боты»
Пункт «Блокировать ложные Googlebots» не отмечайте, чтобы случайно не возникли проблемы с индексацией.

Пункт «Защита от брутфорс-атак»

- Вкладка «переименования страницы логина».
Эта функция похожа на плагин «Lockdown WP Admin»

Итак, отметьте строку «Включить опцию переименования страницы логина» птичкой.
Далее в строчке «Адрес (URL) страницы логина» придумайте секретный адрес входа, например, «bloggood»:

All In One WP Security – крутая защита сайта на WordPress

В итоге вместо http://адрес_сайта/wp-admin, адрес входа будет  http://адрес_сайта/bloggood

- Вкладка «CAPTCHA на логин»

Тут я отметил все поля, а вы смотрите сами, нужна ли вам капча  на странице логина или на странице «потерянного пароля».

- вкладка «Бочка с медом (Honeypot)»

Отметьте пункт «Активировать медовый бочонок (honey pot) на странице логина»

All In One WP Security – крутая защита сайта на WordPress

Пункт «Защита от SPAM»

- вкладка «Спам в комментариях»
Отметьте птичкой «Блокировать спам-ботов от комментирования»

Пункт «Сканер»

Отслеживание изменений в файлах. Я рекомендую включить, так как вы сможете отследить, какие файлы изменились и где искать вредоносный код после взлома или заражения.

All In One WP Security – крутая защита сайта на WordPress

Дорогие мои читатели, считаю важным предупредить вас, что пока я готовил данную статью, в плагине All In One WP Security были внесены дополнения, которые я еще не исследовал на том уровне, чтобы о них вам писать.

Понравился пост? Помоги другим узнать об этой статье, кликни на кнопку социальных сетей ↓↓↓

Получай обновления блога!!! Подпишись:

Популярные статьи:

2 Ответов на комментарий - All In One WP Security – крутая защита сайта на WordPress

  1. Александр

    Здравствуй Степан ! Спасибо за, как обычно, разложенную по полочкам инфу !!
    Подскажи будь добр.. Как защитить форму обратной связи от спама ?
    Форма обратной связи была сделана, как ты написал в своём блоге.

  2. Avatar photo Степан => автор блога

    Здравствуйте, Александр.
    Спасибо за комментарий.
    Можно ссылку на мою статью про форму обратной связи?

Добавить комментарий

;-) :| :x :twisted: :smokes: :smile: :shock: :sad: :rose: :roll: :razz: :pop-corne: :oops: :o :mrgreen: :lol: :idea: :grin: :gazeta: :evil: :cry: :cool: :coffe: :arrow: :???: :?: :!:

Чтобы добавить в комментарий код HTML, PHP, CSS, JavaScript, нужно сделать так: [code] ваш код [/code]

Метки: ,

Мои цели на 2018-2019:

1). Закончить тему «Bootstrap»

2). Закончить тему «Все про PHP и MySQL»

3). Создать портфолио и мини интернет-магазин шаблонов

4). Довести количество статей до 800

5). Добиться посещаемости 3000 человек/сутки

6). Увеличить число подписчиков до 250

Статистика по блогу

Количество записей на блоге: 810
Количество страниц на блоге: 20
Количество рубрик на блоге: 28
Количество меток на блоге: 72
Количество комментариев на блоге: 4716