Плагин All-In-One Security. Полная настройка защиты.

плагин all-in-one security

Всем привет!!! Сегодня мы поговорим про настройку одного из многочисленного семейства плагинов безопасности All-In-One Security и о базовых принципах безопасности сайта на WordPress. Безопасность сайта — это важно!!! Даже если вы только-только создали сайт, не думайте, что он ни кому не нужен. Потому что, взломы сайтов на ВордПрессе идут в автоматическом режиме. Не думайте, что какой-то хакер самоучка, сидит на том конце провода и ломает именно ваш сайт. Нет. Есть специальные программы, идёт просто-напросто волна и ваш сайт оказывается взломанным и начинает, что ни будь распространять.

А зачем, собственно, ломают сайты?

Ссылки. Размещение ссылок на сторонние ресурсы, как видимые, так и не заметные ни для вас, ни для посетителей. Не редко встречаются услуги по размещению ссылок именно на взломанных сайтах. И на такие «не честные» ссылки имеется спрос, т.к. они в разы дешевле.

Вредоносный код. Размещение различных скриптов, вирусов, заражающих компьютеры других пользователей, ворующих данные и пароли. Конечно, со временем, поисковые системы определят наличие вредоносного кода на сайте, и для вас это может стать большой проблемой. Но разместивший код, сможет получить много пользы.

Ресурсы хостинга. Не думайте, что если у вас небольшая или нулевая посещаемость, то ваш сайт не принесет пользы. Сам сайт может и нет, но вот ресурсы вашего хостинга могут быть использованы как площадка для атаки на другие сайты.

Так вот, чтобы такого не случалось, надо использовать плагины защиты. И один из таких плагинов — All-In-One Security.

Хотелось бы упомянуть еще несколько моментов. Всегда нужно обновлять WordPress, даже если вы не любите этого делать, делать это надо. Потому что в новых версиях WordPress, как правило, закрывают обнаруженные дыры. Есть специальные команды, которые сидят и проверяют само ядро ВордПресса на наличие различных дыр в безопасности. Поэтому обновление нужно делать всегда, как только оно появилось.

Для входа в админ панель сайта используйте сложные логины и пароли. Причем логин типа «admin», вообще запрещено использовать правилами безопасности. Потому что любой робот, любая программа настраивается именно на этот логин. Получается, что логин он уже знает, а пароли начинает просто перебирать. Так называемая брутфорс-атака.

Настраиваем плагин All-In-One Security.

Панель управления. Здесь вы увидите, что есть такой вот измеритель уровня безопасности.

плагин All-In-One Security

Вполне достаточно вывести уровень безопасности на 220-250 баллов. Как показывает практика, сайты с такими показателями не ломаются.

Информация о системе. Если вам интересно можете посмотреть информацию по своему сайту. Иногда это бывает важно для работы некоторых плагинов.

Заблокированные ip-адреса. Ну это, собственно, журнал. Можно настроить блокировку некоторых ip, которые, например, очень часто обращаются к вашему сайту. Здесь их можно, просто-напросто забанить.

плагин All-In-One Security

Сейчас немного отвлечемся, расскажу, как работают все эти плагины и плагин All-In-One Security не исключение. Формально на безопасность влияют два файла, это .htaccess и wp-config.php. Т.е. плагины работают по принципу записи специальных строк в файл .htaccess. Поэтому, если он у вас какой-то сильно настроенный, потому что через него делают редиректы, подключают сжатие и всякие такие вещи, то желательно делать бэкап периодически.

Теперь пробежимся по настройкам.

.htaccess и wp-config.php. Как раз в этих двух вкладках, нам и предлагают сделать бэкап файлов. Если, плагин All-In-One Security установлен на чистый сайт, то сохранять еще нечего. Ну а после настройки рекомендуется.

WP Version info. Здесь, галочку нужно поставить обязательно. Потому что, как раз через эту вещь, частенько и ломают сайты.

плагин All-In-One Security

Администраторы. Пользовательское имя WP. Это как раз то, о чем говорилось выше. То что, следует поменять первым делом, имя пользователя с «admin» на любое свое.

плагин All-In-One Security

Отображаемое имя. Ну это такая вещь, когда в комментариях выводится имя пользователя как nickname. На безопасность это не сильно влияет. Это влияет в основном на внешний вид, если у вас логин выглядит как имя почтового ящика, то не очень хорошо смотрится. Лучше, конечно, поменять.

плагин All-In-One Security

Пароль. Есть такой интересный функционал, который имеет плагин All-In-One Security, это проверить надежность вашего пароля. Показывает, за сколько обычный домашний компьютер подберет пароль к вашему сайту.

плагин All-In-One Security

Авторизация. Блокировка авторизаций. Поставьте галочку напротив блокировки попыток авторизации. Это как раз блокировка подбора паролей, брутфорс атак. Т.е. например, робот начинает логиниться под вашим логином и начинает пароли подбирать. Можете так же на этой вкладке указать количество попыток и время блокировки.

плагин All-In-One Security

Ошибочные попытки авторизации. В этой вкладке отображается лог ошибочных попыток.

Автоматическое разлогинивание пользователей. Если вы часто что-то делаете с сайтом, то вещь не очень удобная. К примеру, вы залогинились, а через некоторое время он вас разлогиневает и вам приходится заново вводить пароль.

Регистрация пользователей. Если у вас на сайте используются, какая то дополнительная регистрация, к примеру, нужно зарегистрироваться, чтобы получить доступ к контенту, то эту галочку надо ставить. Чтобы новые пользователи получили одобрение вручную. Эту вещь тоже частенько используют не хорошие человеки и пробивают безопасность, начинают регистрировать новых пользователей, а новые пользователи ковырять ваш сайт.

плагин All-In-One Security

Защита базы данных. Префикс таблиц БД. Это обязательная вещь, префикс таблиц надо менять обязательно. По умолчанию, в файле config.php, используется префикс  wp_. Не хорошие люди могут использовать эту лазейку, чтобы добраться до вашего контента или настроек. Либо впишите любые 6 символов на ваше усмотрение, либо отметьте галочкой, чтобы плагин All-In-One Security сгенерировал эти символы сам.

плагин All-In-One Security

Резервное копирование БД. Здесь вы можете настроить автоматическое резервное копирование вашей базы данных, с различной частотой копирования, и с возможностью отправлять копию вам на почту.

Защита файловой системы. Доступ к файлам. Ну, здесь все довольно просто, если имеются какие либо рекомендации, установите то, что вам рекомендуют.

Редактирование файлов php. По умолчанию, вы можете редактировать файлы сайта прямо из админ. панели ВордПресса. Так же это может сделать тот, кто получил доступ к вашей админ. панели. Поэтому, если вы не желаете, чтобы такое происходило, можете отметить этот чекбокс.

плагин All-In-One Security

Доступ к файлам WP. Надо ставить галочку в чекбоксе!!! Закрывается доступ к файлам, которые не участвуют в работе всего сайта, но они всегда есть. Можно их, конечно, удалить, но они все равно, с каждым обновлением будут появляться. Проще запретить доступ к ним.

WHOIS поиск и Черный список. Здесь я думаю все понятно. Через WHOIS поиск вы можете получить информацию о каком либо ip-адресе. Ну а в черный список вносить ip-адреса, которые вы считаете подозрительными или с них идет рассылка спама.

Файрволл. Можно поставить галочки везде.

Защита от брутфорс атак. Страница логина. Тоже такая базовая вещь. Как вы знаете, чтобы попасть на страницу ввода логина и пароля, достаточно поставить в конце URL-адреса вашего сайта «wp-login.php» или «wp-admin». Чтобы злоумышленники не могли попасть на эту страницу, можете изменить концовку на любую свою.

Бочка с медом. Интересная функция, которую имеет плагин All-In-One Security. На странице ввода логина и пароля, создается дополнительное поле, которое не видно для нормального пользователя. А вот робот, пытающийся попасть в вашу админку, увидит его и будет пытаться заполнить. Плагин увидит такую попытку и перенаправит робота на другую страницу.

Остались у нас: Защита от спама, Сканнер, Режим обслуживания. Это уже дополнительные фишки плагина All-In-One Security. На ваше усмотрение, можете включить ввод капчи в форме комментариев или заблокировать ip-адреса, если видите, что с них идет много спама.

Хотелось бы обратить внимание на сканер, как он работает. Включив эту функцию, система будет сканировать ваши файлы на наличие изменений в них, с определенной частотой. Если хакеры нашли дыру в вашей безопасности и внедрили код в файл, то сканер это определит и сообщит об этом. Только имейте в виду, что такое сканирование сильно нагружает хостинг.

Ну и наконец, режим обслуживания. Когда вы проводите, какие либо «ремонтные работы» на сайте, чтобы не отпугивать посетителей надписью типа «сайт не существует», можно установить специальную заглушку и оформить ее на свое усмотрение.

Вот и все, что касается настройки данного плагина. Надеюсь с этой инструкцией, вы сможете без труда настроить плагин All-In-One Security. Если остались вопросы – задавайте их в комментариях.

Оставляйте Ваши комментарии к статье!!!
Не забываем нажимать на кнопки соц.сетей!!! Заранее благодарю!!!
До встречи!!! Всегда с уважением к Вам, Долгов Антон. «Сайтостроение и способы заработка«

comments powered by HyperComments