Привет, ребята! Когда твой сайт становится немного раскрученным, появляются постоянные читатели, получаешь огромное удовольствие. Вроде бы все круто. Растет и поток денег, и отклик получаешь от аудитории, увеличивается узнаваемость. Но существует и обратная сторона медали. Это завистники, это внимание со стороны недоброжелателей.
Чтобы вы представляли, о чем идет речь: мой блог только за прошлую неделю взламывали 2 раза. Постоянные посетители, думали, заметили. Ребята, я настоятельно рекомендую ознакомиться с данным уроком, потратить время на внедрение советов, о которых говорю, чтобы больше обезопасить свой сайт и сэкономить время, деньги и нервы.
Существует довольно много плагинов, связанных с улучшением безопасности, я пробовал многие, но все что-то не то. Либо блог “падал” непонятно из-за чего, либо сложно было понять, как работать. И все же, благодаря советам ребят, с которыми общаюсь на марафоне, удалось найти достойный, похвальный плагин, который очень сильно понравился. Абсолютно всем. Поэтому сразу же спешу поделиться с вами этой информацией.
All In One WP Security – это самый необходимый плагин для увеличения безопасности в WordPress. Ставить его нужно всем, кто владеет сайтом на Вордпресс. Всем без исключения.
Если мой любимый плагин Yoast SEO – это комбайн в сфере SEO для WordPress, то плагин WP Security – аналог в сфере безопасности. То есть, если благодаря Yoast SEO я перестал нуждаться в нескольких SEO плагинах, то здесь точно также, благодаря All In One WP Security можно избавиться от других плагинов, которые лишь частично выполняют функции данного. Например, как:
- Login Lockdown;
- WordPress Database Backup;
- Anti-XSS attack;
- и другие подобные.
Огромные плюсы плагина All In One WP Security:
- бесплатный;
- настраивается очень просто;
- практически все переведено на русский язык, поэтому понятно о чем идет речь.
Настройка плагина All In One WP Security
Обязательно сделайте бэкап (резервную копию) перед началом работы (на всякий случай) следующих файлов:
- база данных;
- файл wp-config;
- файл htaccess.
Кстати, резервные копии этих трех файлов можно сделать прямо в данном же плагине, просто в админке перейдите в WP Security – Настройки:
Панель управления
Тут есть очень крутой информер, который показывает уровень защищенности вашего сайта:
Этот показатель поможет держать руку на пульсе и понимать, что еще нужно сделать для улучшения безопасности. Не рекомендую делать все, ради достижения максимальных баллов. Могут быть плохие последствия, ваш сайт может упасть, ошибочно функционировать.
Текущий статус самых важных функций. В этом блоке можно активировать самый необходимый функционал по безопасности вашего сайта (можете пока не трогать их, в ходе настроек по уроку, данные параметры активизируются итак):
Остальные параметры в Панели управления малоинтересны, Вы можете ради любопытства ознакомиться с ними (Информация о системе, Заблокированные IP адреса, AIOWPS.
Настройки
Общие настройки. Тут можно создать резервные копии файлов, о которых я говорил выше. Также отключить функции безопасности и файерволла, если что-то перестало работать.
WP мета-информация. Нажимаем на галочку напротив “Удаление метаданных WP Generator”, чтобы не отображать версию WordPress:
Вкладка “Импорт/Экспорт”. Здесь можно экспортировать свои настройки, чтобы потом на другом сайте не тратить время на настройки и импортировать в 2 клика все необходимые “галочки”.
Администраторы
Пользовательское имя WP. Обязательно (!) смените имя администратора, если оно у вас “admin”. Вы не представляете как много и часто подбираются пароли с логином admin. Если еще к тому же пароль очень легкий, ваш сайт легко может быть взломан.
Отображаемое имя. Если на вашем сайте есть аккаунты, у которых имя пользователя и отображаемое имя совпадает, то рекомендуется изменить отображаемое имя (никнейм).
Пароль. Очень интересная вкладка. Тут можно узнать, за какой промежуток времени можно подобрать в автоматическом режиме ваш пароль. Введите свой пароль и сильно удивитесь, насколько быстро его можно взломать. Обязательные условия для усиления безопасности:
- в вашем пароле должны быть как заглавные, так и строчные буквы;
- обязательно наличие хотя бы 1-ой цифры, но никак пароль не должен состоять только из цифр;
- желательно еще наличие какого-либо спецсимвола;
- длина пароля должна быть более 10 символов.
В итоге у вас должен быть максимальный степень безопасности вашего пароля, что-то в этом роде (пароль ниже домашний компьютер взломал бы за 57 337 лет (!) ):
Авторизация
Блокировка авторизаций. Обязательно включите эту функцию. Если пароль в течении 5-ти минут (по умолчанию) введется 3 раза неправильно, то IP блокируется на 60 минут (тоже по умолчанию). Я не рекомендую ставить блокировку больше по времени, а то можно столкнуться с тем, что сами администраторы вводят логин 3 раза неправильно, ставят блокировку на 10 лет и не знают что делать. Оставляем по умолчанию 60 минут и не паримся.
Также я рекомендую поставить галочку напротив “Сразу заблокировать неверные пользовательские имена”. К примеру, вы поменяли логин с admin на krutysh, то при вводе логина admin в поле для авторизации, сразу же заблокируется IP адрес. “Уведомлять по email” – тут по мере необходимости. Я не люблю лишний спам, поэтому здесь галочку не ставлю.
Итоговые настройки данной вкладки у меня выглядят так:
Если вам любопытно, можете глянуть список заблокированных IP, ссылка на раздел приводится в данной же вкладке ниже.
Ошибочные попытки авторизации. Вот здесь как раз видны те логины, которые подбираются. Чаще всего у меня сверкают логины admin, root, font. Также видны время “попыток”. Обратите внимание, как часто пытаются войти в админку:
Автоматическое разлогинивание пользователей. Рекомендую тоже включить данный чекбокс. Позволяет через определенное количество минут завершить сессию и разлогинить пользователя. Я ставлю 600 минут:
Вкладки “Журнал активности аккаунта” и “Активных сессий” носят информационный характер.
Регистрация пользователей
Ставим галочку напротив “Активировать ручное одобрение новых регистраций”:
Да и можно поставить галочку CAPTCHA при регистрации:
Конечно, если нельзя зарегистрироваться другим людям на вашем сайте, верхние 2 пункта просто бесполезны, от них не станет ни лучше, ни хуже. Но, если вы сомневаетесь, лучше поставьте галочки в этих пунктах.
Защита базы данных
Здесь будьте аккуратны во вкладке “Префикс таблиц БД”. Прежде чем поставить галочку, обязательно сделайте резервную копию своей базы данных (там же увидите ссылку на создание бэкапа своей БД). Если боитесь, сомневаетесь, лучше оставьте без галочки:
Резервное копирование БД. Здесь уже ставим галочку, выбираем частоту создания бэкапов и их количество. У меня. к примеру, такие цифры:
Если вы не так категорически относитесь к чистоте в почте как я, то можете включить чекбокс для отправки бэкапов на свой электронный ящик.
Защита файловой системы
Доступ к файлам. Здесь в правой части у вас будут кнопки, вам нужно будет изменить права доступа к файлам, нажав на эти кнопки. В результате все строчки у вас должны стать зелеными:
Редактирование файлов PHP. Если вы не правите свои PHP файлы через админку, ставим галочку. Править файлы через админку я не рекомендую хотя бы потому, что у вас нет возможности нажать CTRL+Z в случае чего и вы не сможете вернуть файл в исходное положение:
Доступ к файлам WP. Ставим галочку:
Системные журналы. Оставляем по умолчанию.
WHOIS-поиск
Можете вбить IP адрес, либо домен для получения WHOIS какого-либо домена. А так по сути тут нечего трогать.
Черный список
Если у вас нет недоброжелателей, можете не включать данный пункт. Если какой-то IP адрес постоянно сверкает в комментариях, к примеру, можете включить чекбокс и внести данный IP в черный список.
Файрволл
Базовые правила файрволла. Если вы не делали до этого момента резервную копию htaccess, то обязательно делаем его. И ставим галочки напротив всех пунктов:
Дополнительные правила файерволла. Тут тоже включаем все галочки:
UPDATE: ниже во вкладке “Дополнительная фильтрация символов” я убрал галочку, потому что некоторые комментарии не проходили, отдавали 403 ошибку. Наверное, все-таки, вам тоже я посоветовал бы убрать эту галочку, чтобы не было у пользователей проблем с комментированием.
Настройки 5G файрволл. Тоже включаем:
Интернет-боты. Здесь могут возникнуть проблемы с индексацией, поэтому я рекомендую не включать данный пункт.
Предотвратить хотлинки. Тоже включаем.
Детектирование 404. Рекомендую включить. А время ставить минут 5.
Custom Rules. Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.
Защита от брутфорс-атак
Переименовать страницу логина. Включаем. Меняем адрес логина на свой:
Защита от брутфорс-атак с помощью куки. Я не включаю данную функцию, чтобы не было проблем со входом с разных устройств.
CAPTCHA на логин. Можете включить CAPTCHA при авторизации, я же не включаю:
Белый список для логина. Так как я часто захожу на сайт с разных мест, IP у меня разный, поэтому данную опцию я не включаю:
Бочка с медом. Создается дополнительное поле, которое видят только роботы. Поэтому, при заполнении данного поля, робот будет перенаправлен на свой адрес. Включаем:
Защита от SPAM
CAPTCHA в форме комментариев. Я не включаю, так как не люблю усложнять комментирование, а вот функцию “Блокировка спам-ботом от комментирования” рекомендую включить:
Отслеживание IP-адресов по спаму в комментариях. Тут можно глянуть на “частосверкающие” IP по спаму в комментах и занести их в черный список.
BuddyPress. Добавляет CAPTCHA в форме регистрации BuddyPress. Я не использую ее.
Сканер
Отслеживание изменений в файлах. Рекомендую включить, так как часто при взломе сайтов не совсем понятно, какой файл изменили, где искать вредоносный код. А с помощью этой функции сможете отследить изменения в файлах вашего сайта и быстро найти тот файл, который изменялся в последнее время.
Сканирование от вредоносных программ. Функция платная, стоит от 7$ в месяц.
Режим обслуживания
Позволяет “закрыть” сайт на время, чтобы сделать какие-то правки. То есть посетителям сайта будет предложена “заглушка”, что ведутся работы на сайте. Полезно при смене дизайна, проверке работоспособности плагинов.
Разное
Защита от копирования текста и прочее. Здесь я нигде в трех вкладках не ставлю галочки. Тоже рекомендую не ставить.
Итоги
После завершения всех этих настроек, вы можете перейти в “Панель управления” и глянуть показатель уровня безопасности, у вас должно получится что-то вроде этого:
Повторюсь, не нужно необдуманно делать все, чтобы достигнуть максимально возможного балла. Не занимайтесь ненужным вредом для своего сайта, его работоспособности и удобства.
На этом все, плагин рекомендую ставить всем, действительно очень классный “комбайн” в плане безопасности для WordPress.
Если возникнут вопросы – пишите. Спасибо отдельное за ретвиты и репосты, за то, что помогаете людям донести эту важную информацию.
>Сканирование от вредоносных программ. Функция платная, стоит от 7$ в месяц.
Есть бесплатные аналоги для такой защиты, я об этом писал тут http://vasilenko.info/protect-site/ настройка занимает пару минут, но в итоге все изменения внутри сайта (добавился новый файл вирус, удалили какой-то файл, отредактировали шаблон и вставили рекламу) будут приходить в отчете сразу на email.
И все это бесплатно, а после первого взлома вашего сайта, сразу можно узнать где кто лазил и какие правки делал. Советую!
Спасибо Пётр за ещё одну полезную статью. Вечером буду устанавливать и по приведённой инструкции настраивать.
Очень интересный плагин. Установил, сейчас буду настраивать. Спасибо Петр за интересную и полезную статью, особенно за рассказ о настройках плагина. Кстати мой самый короткий и простой пароль от маил почты, взломали бы вот за столько: 47623938873 years, 8 months 🙂
Ну очень функциональный плагинчик!
Плагина три моих как минимум заменит)
Очень полезный плагин и детально расписано что и как делать. Спасибо
Прочитал и побёг испытывать новый плагин 🙂
Приветствую, Пётр!
Спасибо большое за весьма полезную информацию. Всё сделал, как у тебя написано, потестирую несколько дней, смогу сказать что к чему.
Плагин действительно замечательный. Такое впечатление, что разработчики собрали в одном плагине все те приёмы, которые раньше нужно было делать “ручками” или при помощи приличного количества плагинов. Дай Бог, чтобы этот плагин стал действительно таким же эффективным “комбайном безопасности”, как плагин Yoast SEO в SEO.
Ещё раз тебе спасибо!
Функция «Блокировка спам-ботом от комментирования» заменяет собой плагин Акисмет?
Достаточно большой материал. Тут надо походу настройки на своём сайте, заглядывать сюда и сверяться, всё ли правильно делаешь.
У меня после этого плагина файл .htaccess увеличился в 3 раза где-то )) столько правил там появилось. Не знаю из-за него или нет, но мне показалось что сайт стал немного медленнее грузиться и пришлось два раза пытаться залить один плагин (постоянно откл от сервера). Может что-то хостер делал, но обычно такого не было. Посмотрим еще пару дней – что будет. А так плагин понравился.
Ушел ставить)))
Привет Петя. Поставил себе этот плагин несколько дней назад. Каждый день по 3-4 раза мне приходит сообщение на почту, что кто-то пытается меня взломать. Сообщение приходит с попыткой подбора логина и пароля. Пробуют написать “admin” или “administrator”, но у меня там совсем другое.
Это автоподборщики работают. Отключи уведомления на почту.
Спасибо за плагин.
All In One WP Security конфликтует с WindowsLiveWriter. для того, чтобы можно было размещать статьи через эту прогу, надо в настройках All In One WP Security отключить галочку напротив “Активировать Пингбэк-защиту” в Настройки-файрвол. Проколупался сам целый вечер, покуда разобрался.
Спасибо, Все настроил – деактивировал 3 лишних плагина.
Настроек много конечно, но я думаю и защита хорошая. Как буду за компьютером обязательно себе поставлю.
После установки этого плагина блог больше не пробивали?
С уважением, Влад Клинков!
Уже установил плагин 🙂 И правда, очень много того о чем я даже не думал скрывать. Потратил немало времени, но это своего рода временная инвестиция от будущих проблем 🙂
С уважением, Влад Клинков!
А проблема с обновлением и установкой плагинов у кого-нибудь есть после настройки данного плагина?
Не могу обновить плагины и установить новые, думаю проблема в WP Security.
Заблокировал сам себя All In One WP Security. При переименовании плагина в админку сайта зайти мог, но после нескольких переименований также уже не могу. Плагин удалял и заливал снова результат – 0. Полное отчаяние. Может сталкивались?
Плагин отключен, но зайти не могу. Как его полностью удалить? Похоже пахнет переустановкой сайта.
Папку с плагином через ftp попробуйте удалить
У меня такое было, отключение и даже удаление плагина не помогает удалить блокировку.
Как делала я: бекапом за предыдущее время восстановила плагин, через ФТП удала файл htaccess, затем вошла в админку и заново настроила плагин, удалила при этом все, что было в белом списке
Как с помощью этого плагина изменить ссылку на вход в админ панель со стандартной http//site.ru/wp-login.php на более сложную? скажите. пожалуйста. Вообще можно этим плагином это сделать или нет?
Да, с помощью плагина это возможно сделать.
Как после настройки плагина внести изменения в htaccess?
Добавить сжатие и кеширование напр.
Петр! С помощью Вашей статьи я с легкостью настроила плагин All In One WordPress Security! Статья очень развернутая и понятная. Спасибо за помощь! Добавила Ваш сайт в закладки, так как тоже вебмастер. Есть чему поучиться у Вас.
Отлично, присоединяйтесь к марафону) Там очень много чего полезного, стартует во вторник, не упустите)
Стоит этот плагин, насчет защиты не знаю, но вот черный список точно не работает, тролли как заходят на сайт и комментят, по барабану на якобы бан. IP комментов те же и не динамические.
Испортился чет плагин после обновления. У меня постоянно на странице авторизации выдает ошибку 403 и надпись что у меня нет прав на просмотр. Защиту по IP не использую.
Благодарю за полезную информацию. Установила плагин, посмотрим как пойдет.
Только возник один вопрос по поводу “резервная копия htaccess” и в принципе резервных копий которые не сохраняются на компьютер. Я только начинаю во всем разбираться, но так и не поняла как получить доступ к резервным копиям, чтобы в случае чего ими воспользоваться 🙁
В “Защита от SPAM” пришлось убрать галочку “Блокировать спам-ботов от комментирования” так как удалялись любые комментарии от посетителей. Даже о тех, кто комментарии уже оставлял. Когда мне сказали – проверила со своего компьютера, но с другого браузера где я посетитель. Комментарии моментально удаляются.
Может быть потому что посетители не зарегистрированные, а может для корректной работы таки надо включить капчу.
PS. Так, просто информация к сведению 🙂
Добрый день, Петр! Используем плагин All In One WP Security для отслеживания и одобрения новых пользователей. Подскажите пожалуйста, как после подтверждения регистрации нового пользователя отправить ему уведомления на E-mail о том, что его учетная запись одобрена и она могут войти в личный кабинет? Спасибо!
Хорошая статья. Настроил, как было указано.
Отличная инструкция. Для меня, далеко не вебмастера – эта пошаговая инструкция помогла настроить все от А до Я
Все сделал по вашей инструкции, но при попытке отправить комментарий со своего сайта мне пишется “Обнаружен дубликат комментария. Кажется, вы уже сказали это!”, а сверху “Ошибка при отправке комментария” . Как поступить? Посоветуйте пожалуйста
Пётр, огромное спасибо за такую подробную инструкцию. Под вашим руководством удалось быстро всё настроить.
Здравствуйте!
Забыл адрес входа в админ.
Удалить плагин или переименовать это не выход, так как плагин нужен.
Где можно посмотреть сохраненные данные адреса?
Здравствуйте! Насколько этот плагин актуален на конец 2017 года и чем он отличается от “WP Cerber”?
Спасибо за развернутое описание! Плагин очень понравился во всем, кроме того, что теперь ни один юзер не может зайти на сайт – нет прав ) пойду разбираться дальше )
Разобрались? Может где-то лишнюю галочку поставили?
Здравствуйте!
Установил плагин на один из своих сайтов, поменял АДРЕС входа в админку и… забыл его. На хостинге искал НОВЫЙ АДРЕС в файлах плагина – не могу найти. Может быть Вы знаете, где и в каком файле можно этот адрес обнаружить.
Ведь, если я АДРЕС входа изменил в самом плагине, значит плагин этот адрес где-то прописал, чтобы знать – кого впускать, а кого нет. Вот только ГДЕ?
Такая вот у меня возникла проблема. Если возможно, подскажите, пожалуйста. Буду очень благодарен.
Попробуйте посмотреть в корне сайта файл wp-config.php
Не могу найти как сменить логин для входа в админку в данном плагине, потом передам сайт останется мой логин, хочу изменить логин, потом отключить настройки плагина деактивировать его и удалить. Последнее выполнял, но логин остался старый на стандартной странице входа в админку, пришлось все заново сайт заливать искать где изменить. При установке плагина и создавал этот логин
Привет Петр! У меня стоит плагин iThemes Security, нужно ли еще устанавливать All In One WP Security, или оставить один, какой посоветуешь? Благодарю.
Очень классный плагин. У меня отметка 250 баллов и никаких взломов не было. Скажите, а вы не знаете, как скрыть версию php с помощью плагина, а то в код не очень хочется лезть
Спасибо за подробное описание ! Плагин нравится. Однако после установки и настройки плагина время работы из админки ограничилось 10 минутами. По истечении этого времени требует повторный вход в админку. Такая вот проблема. Если возможно, подскажите, пожалуйста можно ли его увеличить в два раза? Буду очень благодарен.
В плане защиты от спам-регистраций плагин совершенно бесполезный. Включил все функции защиты – спамеры всё равно валят гурьбой, будто и нет защиты вовсе. Попробовал сам зайти на страницу регистрации, и не увидел там никакой капчи, хотя она в плагине включена. Плагин “дырка”. )))
Спасибо огромное. Здорово помогли с этим плагином и настройками. Это реально КОМБАЙН и работает.
Было бы здорово, если бы подсказали, если такой плагин, который смог бы исправить на моем сайте изображения. До не давнего вместо изображений к статьям стал отображаться мой логотип. Раньше не было этого. Огромное СПАСИБО и РЕСПЕКТ ВАМ ПАРНИ.
Если не трудно, вот ссылка
https://gazetabalakovo.ru/den-truda-internacionala-tanca-landysha-i-suslika/
Пётр, здравствуй!
Как быть с “ловушкой регистрации” в версии 4.4.3 Эта новая опция подразумевает
ловлю ботов с сообщением на сервер с помощью скрытых полей на форме регистрации ?
Этой опции в предыдущей версии 4.4.1 не было…
Доброго времени.
“All In One WP Security”, после написания комментария, перенаправляет на localhost.
При этом, ничего не отправляется.
Как решить эту проблему?
Ещё, после настройки “google recapcha”, не работает контактная форма