В плагин All In One WP Security разработчики постарались собрать по максимуму известные науке способы защиты сайтов и перекрыть насколько возможно все уязвимости движка WordPress. Получилось что-то вроде война из индийского эпоса, с множеством рук, несколькими головами и увешенного с ног до головы оружием разной степени смертоносности.

Плагин действительно хорошо, хотя и имеет три серьёзных недостатка.

Во-первых, он ресурсоёмкий и неслабо грузит сервер.

Во-вторых, любой телохранитель имеет тенденцию превращаться в конвоира, если переборщить с наделением его полномочиями.

В третьих, он может конфликтовать с другими плагинами или темой.

Чтобы проблем не возникало, борьба за безопасность не должна превращаться в паранойю, а кроме того, полезно почитать документацию на официальном сайте плагина, которая составлена очень грамотно. А если погружаться в документацию лень – то хотя бы эту статью.

Установка и активация

Подключается плагин точно так же, как и все его братишки и сестрёнки – просто заходите в админке в меню «Плагины -> Добавить новый» и пишете в строке поиска волшебную фразу «All In One WP Security». После чего остаётся найденный плагин установить и активировать.

Обзор и панель управления

После установки ваш новый охранник сразу же создаёт собственное и очень солидное меню в админке.

фото 1

Общее состояние дел с защитой сайта показано в «Панели управления».

фото 2

Она в основном имеет информационный характер и чрез неё особо ничего не настраивают. Главная гордость разработчиков – «защитометр», который показывает надёжность защиты по шкале от 0 до 505. Изначально он стоит на нуле. Цифры эти по факту означают количество подключенных возможностей плагина, и гнаться за их максимизацией не следует.

Также в панельке можно увидеть другие вкладки. «Информация о системе» покажет вам версию движка, PHP, MySQL и базовые настройки сервера. «Заблокированные IP-адреса» и «Постоянный список блокировки» выдают список злоумышленников, пытавшихся взломать ваш сайт или засыпать спамом. Последняя вкладка покажет логи плагина, где можно посмотреть что и когда он делал.

Настройки

фото 3

В процессе работы плагин вносит изменения в базу данных, файл .htaccess и wp-config.php. Каждое из этих изменений может привести к сбою на сайта, поэтому перед началом операции по принуждению мамкиных хакеров к миру рекомендуется сделать бэкапы. В это вкладке можно сохранить (и в дальнейшем восстановить, если понадобится) файлы .htaccess и wp-config.php. Это нужно сделать обязательно.

Ещё одна полезная функция – зайдите во вкладку «Информация о версии WP» и отметьте там галочку.

фото 4

Злоумышленники часто стараются узнать номер версии, чтобы использовать типичные дыры в безопасности.

В разделе «Импорт / Экспорт» можно сохранить настройки плагина и потом использовать их в других проектах. Лично мне не пригодилось. Больше в настройках ничего интересного нет.

Администраторы

фото 5

Важный раздел. Здесь вам нужно заменить стандартный логин администратора admin на что-то авторское, если, конечно, вы не сделали это на стадии установки WordPress. Без плагина заменить логин admin можно только через phpmyadmin, с помощью редактирования базы данных.

Во вкладке «Пароль» ещё один измерительный прибор, к которым разработчики, похоже, питали слабость.

фото 6

Здесь можно примерно оценить уровень сложности своего пароля. Как видим, работает он так себе, считая что пароль qwerty12345 придётся подбирать целый год. Однако по факту такое сочетание уже давно попало во все типовые базы паролей, которыми пользуются хакеры.

Итак, меняем логин админа, если нужно и идём дальше.

Авторизация

фото 7

Обязательно остановитесь на этой странице, если вы разрешаете пользователям регистрацию на сайте. Например, это необходимо для интернет-магазинов. Расставляйте галочки и значения как указано на скрине. Основной смысл – после трёх неудачных попыток входа IP-адрес блокируется на час. Этого достаточно, чтобы предотвратить автоматизированный подбор паролей.

«Автоматическое разлогинивание пользователей» не трогаем, разве что вы любите входить в админку с чужих компьютеров. Остальные вкладки – журналы, на которых вы можете посмотреть кто и с каких IP пытался вас взломать. Ну, или просто неудачно заходил.

Регистрация пользователя

фото 8

Опять-таки, обязательный пункт для тех владельцев сайтов, которым нужны зарегистрированные пользователи. Пролистываете все три вкладки и везде отмечаете галочки. В результате новые аккаунты будут создаваться только после вашего одобрения, плюс на странице создания аккаунта появится капча.

Защита базы данных

Важно! Перед всеми операциями с БД создавайте бэкап.

фото 9

Поэтому прежде всего идите во вкладку «Резервное копирование БД», где указываете почтовый адрес, на который будете получать бэкапы базы данных и делаете копию. На будущее также устанавливаете регулярное копирование не реже 1 раза в неделю – плагин будет сам по расписанию делать бэкапы и присылать вам.

В разделе «Префикс таблицы БД» только одна настройка

фото 10

По умолчанию все таблицы WordPress имеют префикс wp_. Это хорошо известный факт, который упрощает злоумышленникам проведение sql-инъекций. Свой  префикс можно выбрать на стадии установки, а если не сделали этого – то воспользоваться возможностью плагина. Ещё раз – не забудьте предварительно сделать копию БД!

Защита файловой системы

фото 11

В этом разделе главное, что нужно сделать – проставить нужные уровни доступа к файлам и каталогам сайта. Плагин анализирует то, что уже прописано и если находит потенциальную уязвимость, выводит кнопку с предложением сменить разрешения. Нажимаете до тех пор, пока все строки не будут подсвечены зелёным.

Остальные вкладки можно не трогать.

WHOIS-поиск

Полезный встроенный инструмент, который позволяет сразу же посмотреть, кому принадлежит IP, с которого к вам заходили.

фото 12

Вот например, что выдал поиск по запросу 8.8.8.8 – сервер Гугл.

Чёрный список

фото 13

Простая, но полезная функция, позволяющая банить спамеров, хакеров, хейтеров и прочий сброд, который совершенно не нужен на вашем сайте. Просто добавляете IP в чёрный список и экономите своё время. К сожалению, запросто обходится при помощи анонимайзеров и бесполезна при динамической адресации.

Файрвол

Важный раздел с большим количеством настроек, причём очень легко заполнить их таким образом, чтобы полностью заблокировать сайт.

фото 14

Минимальные установки:

В «Базовых правила» – подключаем основные настройки файрвола.

В «Дополнительных правилах» – ставим галочки:

  • отключить возможность просмотра содержимого директорий;
  • запретить вредносные строки в запросах;
  • дополнительная фильтрация символов.

В «Правилах чёрного списка» – включаем защиту 5G и 6G.

В «Интернет ботах» – включаем «блокировать ложных ботов Гугл».

Остальное не трогаем.

Защита от брутфорс-атак

Проще говоря, защита от подбора пароля админа методом перебора. Здесь вам нужно во-первых, поменять страницу логина со стандартной wp-admin на что-то авторское.

фото 15

А во-вторых, установить на эту страницу капчу, что делает на вкладке «CAPTCHA на логин». Здесь нужно отметить галочки в трёх местах:

  • включить капчу на странице логина;
  • активировать форму капча на изменённой странице логина;
  • активировать капчу на странице «потерянного пароля».

Защита от SPAM

Очень грамотно организованная защита от спамеров. Если вы несколько раз пометите сообщение как спам, плагин автоматически добавляет IP, с которого оно было отправлено в чёрный список. Плюс неплохо блокируются большинство ботов.

фото 16

На этой странице отмечаем все галочки, на следующей одну. Максимальное количество спама ставим три.

фото 17

В принципе, при использовании этой функции можно отключить остальные плагины для борьбы со спамерами.

Сканер

фото 18

Выставьте еженедельное сканирование сайта на предмет изменения файлов. Это позволит выявить вмешательство хакеров на началом этапе.

Режим обслуживания

Вкладка позволяет выводить объявление «сайт на реконструкции». Однако пользоваться этой функцией не очень удобно. Могу порекомендовать вам более практичное решение, которое подходит для всех CMS и языков программирования.

Заключение

Теперь вы знаете, как настроить для своего сайта плагин All In One WP Security. Пользоваться им нужно аккуратно, делая бэкапы всех изменяемых файлов и относясь к активации возможностей плагина без излишнего фанатизма.

Он обеспечит вам защиту от большинства «мамкиных хакеров» и любителей похулиганить на чужих сайтах. Между тем, нужно помнить, что любую, сколь угодно надёжную защиту при большом желании и терпении можно обойти. Поэтому заведите себе золотое правило – постоянно делать копии своего сайта. До тех пор, пока у вас есть сохранённый дамп базы данных и папка wp-content со всем содержимым, вы всегда сможете восстановить свой сайт, что бы ни сотворили с ним супостаты.