Apostrofkoda'ru
Работы с сайтом

26.02.2021

Рекомендации для настройки плагина All In One WP Security & Firewall

Содержание:

Плагин All In One WP Security & Firewall создан специально для защиты вашего сайта. В данной статье рассмотрим рекомендации для его настройки. Устанавливается, как обычно, из стандартного репозитория WordPress.

Настройка плагина All In One WP Security & Firewall

Переходим в раздел «Плагины», жмем кнопку «Добавить плагин» и в поле поиска вписываем его полное название. Затем устанавливаем и активируем его.

Что сделать перед настройкой

Обязательно создайте резервную копию файлов сайта и БД. У вас должен быть доступ к хостингу. Или обратитесь за помощью к разработчику вашего сайта/специалисту.

Важно!

  • Внимательно читайте подсказки возле каждого чекбокса, прежде чем активировать и сохранить новые настройки. Если что-то пойдет не так, то вы можете потерять доступ в админ-панель сайта. А имея заранее созданную резервную копию — сможете исправить ситуацию.

Подсказки в All In One WP Security & Firewall

  • Не рекомендую пользоваться режимом обслуживания с помощью этого плагина. Однажды активировав его — выкинуло из системы и пришлось откатываться до ближайшей сохраненной резервной копии сайта. После этого, использую «Режим обслуживания» в плагине «Elementor».

Режим обслуживания в Elementor

  • Все остальные настройки, которые опишу в данной статье — рабочие. Применяю не только на своем блоге, но и на клиентских сайтах.

Настройка плагина

После установки и активации All In One WP Security & Firewall, в левом боковом меню появится раздел «WP Security».

Раздел WP Security

Переходим в «Настройки» вкладка «Информация версии WP».

Внизу напротив пункта «Удаление мета-данных WP Generator» устанавливаем флажок в чекбоксе и жмем кнопку «Сохранить настройки».

Скрываем информацию о версии WordPress

Далее, в левом меню справа выбираем «Авторизация» и в первой вкладке «Блокировка авторизаций» ставим флажок напротив пункта «Включить опции блокировки попыток авторизации».

Контроль авторизации

Опускаемся чуть ниже и в полях уже установлены по умолчанию следующие значения:

  • Максимальное количество попыток входа — 3;
  • Ограничение времени попыток авторизации (минуты) — 5;
  • Период блокирования (минуты) — 60.

Устанавливаем опции ограничения попыток авторизации

Если во время авторизации на сайте, вы или любой другой пользователь введет неправильно пароль и/или логин 3 раза в течение 5 минут, то система заблокирует его на 60 минут.

Измените эти значения по своему усмотрению или оставте как есть. Стандартные параметры вполне приемлемы.

Спускаемся еще ниже и по желанию активируем отчет.

В поле «Уведомлять по Email» указываем адрес электронной почты для получения отчетов о неудачных попытках входа на сайт. По умалчанию в этом поле прописан email администратора сайта.

Обязательно жмем кнопку «Сохранить настройки».

Укажите email, если не совпадает

Раздел «Регистрация пользователей» необходим если у вас на сайте разрешена регистрация. Если нет — то пропускаем его.

Если регистрация доступна любому посетителю вашего сайта, то вы можете отметить пункт «Активировать ручное одобрение новых регистраций».

Тогда, без подтверждения администратора сайта, создаваемые учетные записи пользователеми самостоятельно — будут неактивны. Вам придется каждый раз подтверждать регистрацию вручную.

В этом случае важно, чтобы на вашем сайте было настроено SMTP. В противном случае, письма отправляемые WordPress могут попадать в спам вашего почтового ящика и вы упустите клиента/пользователя.

О том, как это сделать, читайте в предыдущей статье, раздел: Настройка Easy WP SMTP.

Также, в этом разделе вы можете, активировать «CAPTCHA» и включить ловушку на странице регистрации для борьбы со спам-ботами. В настройка ничего сложного нет, просто уставите необходимы параметры и сохраните их.

Меняем префикс базы данных WordPress

Движемся дальше. И переходим в следующий раздел «Защита базы данных».

Этот раздел создан для пользователей, которые не меняли префикс базы данных во время установки WordPress на хостинг и оставили его по умолчанию (стандартный префикс wp_). Что крайне не рекомендуется. Если вы его изменили на свой, то пропустите этот пункт настройки.

В начале этой статьи я писал о необходимости создания резервной копии файлов сайта и базы данных перед настройкой. И если вы еще этого не сделали, то крайне рекомендую это сделать перед тем как преступить к смене префикса БД.

Создание резервной копии БД доступно и из этого плагина, в соседней вкладке справа.

После того, как резервная копия готова вписываем в поле напротив пункта «Введите собственный вариант префикса,...».

Плагин рекомендует использовать префикс до 6 символов. Также он должен быт сложным для восприятия, например: mgtbq_
Если затрудняетесь с выбором, то отметьте чекбокс для автомачитеского создания нового префикса таблиц БД.

Затем нажмите кнопку «Изменить префикс таблиц».

Меняем префикс базы данных в WordPress

По завершению, система оповестит вас о выполнении задачи.

Раздел «Защита Файловой системы», вкладка «Доступ к файлам» — установите все значения в рекомендуемые. В результате все строки должны стать зеленого цвета.

Права доступа к файлам в WordPress

Раздел «Защита Файловой системы», вкладка «Редактирование файлов PHP» — тут вы можете запретить возможность редактирования PHP-файлов. По умолчанию отключено.

Не рекомендуется включать, поскольку вам может понадобится вносить изменения, например, в файл темы functions.php для дополнительных настроек без помощи плагинов.

Редактирование файлов PHP

Раздел «Защита Файловой системы», вкладка «Доступ к файлам WP» — напротив поля «Запретить доступ к информационным файлам, создаваемых по умолчанию при установке WordPress» устанавливаем флажок и жмем кнопку «Сохранить настройки».

Доступ к файлам WP

Раздел «Файрволл» вкладка «Базовые правила файрволла». Напротив пункта «Активировать основные функции брандмауэра» ставим флажок в чекбоксе и жмем кнопку «Сохранить основные настройки».

Активировать основные функции брандмауэра

Раздел «Файрволл» вкладка «Дополнительные правила файрволла». В этой вкладке напротив следующих пунктов устанавливаем флажки и жмем кнопку «Сохранить дополнительные настройки»:

  • Отключить возможность просмотра директорий;

Отключить возможность просмотра директорий

  • Отключить HTTP-трассировку;

Отключить HTTP-трассировку

  • Запретить вредоносные строки в запросах;
  • Активировать дополнительную фильтрацию символов.

Запретить вредоносные строки в запросах и активировать дополнительную фильтрацию символов

Раздел «Файрволл» вкладка «Правила черного списка 6G» — напротив «Включить старую защиту фаерволлом 5G» ставим флажок и сохраняем настройки.

Отмечу, что защиту фаерволла 6G я не побывал, поэтому на этот счет, ничего сказать не могу.

Правила черного списка

Раздел «Файрволл» вкладка «Интернет-боты» — пропускаем.

В данном разделе вы можете ограничить доступ к сайту для ложных ботов Google. Но, есть вероятность того, что данный плагин не верно распознает их и возможно заблокирует доступ для поисковых ботов от Google. В результате сайт может «выпасть» из выдачи этой поисковой системы. Поэтому, эту опцию лучше обходить стороной.

Раздел «Файрволл» вкладка «Предотвратить хотлинки» касается изображений вашего сайта — отмечаем чекбокс флажком и сохраняем настройки.

Предотвратить хотлинки

Раздел «Файрволл» вкладки «Детектирование 404» и «Пользовательские правила» — пропускаем.

Если есть необходимость, то вы можете включить отслеживание 404 ошибки. Полезно для больших или старых ресурсов, а также для интернет-магазинов.

Например, вы удалили страницу, а заходы на нее все еще есть. Тогда эта ошибка отобразится в этом журнале. При помощи редиректа, вы сможете перенаправить интернет-пользователя на актуальную страницу.

Отслеживание 404 ошибки

Редирект, скорее всего, вы будите организовывать через специальный плагин и некоторые из них уже имеют встроенную функцию отслеживания 404 ошибки. Поэтому, в данный момент активировать эту опцию — нет смысла.

Узнать о появлении 404 ошибки можно зайдя в панель «Вебмастер» от Яндекса, виджет «История обхода».

В разделе «Пользовательские правила» вы можете самостоятельно внести изменения в работу файла .htaccess с помощью специальных директив.

Будьте внимательны — вносимые вами изменения в файл .htaccess могут иметь негативные последствия для сайта. Тогда придется «чистить» этот файл от лишнего кода или «откатывать» состояние сайта до ближайшего бекапа, а если его нет — то возможно и начинать делать сайт заново.

Как изменить страницу входа WordPress?

Переходим в новый раздел — «Защита от брутфорс-атак».

В данном разделе вы можете сменить страницу входа в адмику WordPress, повысив уровень безопасности в несколько раз.

Смена страницы входа для администратора в WordPress

Для этого, во вкладке «Переименовать страницу логина» активируем чекбокс напротив пункта «Включить опцию переименования страницы логина» и в поле «Адрес (URL) страницы логина» вводим новый адрес, длиной не менее 11 символов из строчных букв и цифр.

Используйте сложные комбинации, например, czr3ksbdfs7

Не используйте спец символы, например, ~ ? # % * } | / & . , \

Тогда новый путь доступа в адмику будет таким: «https://domennoeimya/czr3ksbdfs7» вместо старого «https://domennoeimya/wp-admin».

Обязательно сохраните новый адрес входа в админку, записав или скопировав его туда, где вы храните пароли. Прежний адрес входа в админ-панель — будет недоступен!

Раньше All In One WP Security скрывал страницу входа от поисковых систем. Недавно, я с удивлением для себя обнаружил, что теперь это не так (возможно баг версии и у вас такого не будет).

Чтобы удостовериться, что поисковая система не индексирует новую страницу входа, переходим в инструменты «Вебмастер» от Яндекс (необходима авторизация), раздел «Инструменты», подраздел «Анализ robots.txt».

В поле «Разрешены ли URL?» вставляем новый адрес входа в админ-панель и жмем кнопку - «Проверить». Если индексация разрешена — то отметка будет зеленого цвета, если нет — красного.

Как проверить страницу на доступность индексации

Если страница все же индексируется, то необходимо добавить следующую директиву в файл «robots.txt» на хостинге или через редактор файлов в разделе «Инструменты» плагина Yoast SEO:

Disallow: /czr3*

Не забудте заменить czr3* на часть своего адреса страницы

Сохраняем файл.

Этой директивой мы закрываем для индексации все файлы/папки/страницы, которые имеют имя начинающиеся с «czr3» включительно и выше, но при этом все что имеет начало «czr», «cz», «c» - индексируется.

В файле robots.txt не указывайте полный относительный адрес страницы входа (в нашем случае это: /czr3ksbdfs7). Иначе, смысл переименования — теряется. Поскольку получить доступ к robots.txt не так уж и сложно, то любой желающий — быстро найдет ее.

После внесения изменений в файл robots.txt возвращаемся в панель Вебмастера и вновь проверяем адрес входа. Для надежности, вы можете проверить полный адрес и его часть, например:

https://domennoeimya/czr
https://domennoeimya/czr3
https://domennoeimya/czr3ks
https://domennoeimya/czr3ksbdfs7

Если вы все сделали правильно — то адрес «https://domennoeimya/czr» будет доступен для индексации, а остальные — нет. Этого мы и добивались.

Остальные вкладки в разделе «Защита от брутфорс-атак» можно не использовать или использовать по усмотрению. Но будьте внимательны, читайте все подсказки и рекомендации плагина.

Защита от SPAM и другие оставшиеся разделы, необходимы для более детальной настройки и в большинстве случаев этого не требуется.


Теперь, когда основные настройки All In One WP Security & Firewall активированы — переходим в «Панель управления» и видим текущий статус измерителя безопасности. У меня — это 190.

Панель управления All In One WP Security в WordPress

На этой панели вы можете переставлять виджеты плагина по вашему усмотрению, подобрав на первом экране самое важное. Например, как на скриншоте выше.

Таких настроек, которые описаны в этой статье, вполне достаточно для того, чтобы обеспечить безопасность сайта.