All In One WP Security - лучший плагин безопасности для WordPress

Обзор, установка и подробная настройка All In One WP Security - лучшего плагина безопасности, обеспечивающего надёжную защиту сайта на Вордпресс от взлома, брутфорс и XSS-атак, SQL-инъекций, спама и прочих видов угроз.

576

Полное название плагина All In One WP Security & Firewall, он постоянно поддерживается/обновляется разработчиками (Tips and Tricks HQ, Peter Petreski, Ruhul, Ivy) и полностью совместим с последней версией WordPress (5.5.3 на момент написания этого обзора). На сегодняшний день это не самый популярный плагин безопасности, тем не менее 900000+ активных установок и оценки говорят сами за себя:

оценки плагина all in one wp security
5 звёзд

Из плюсов:

  • бесплатный;
  • переведён на русский язык;
  • интуитивно понятный интерфейс с пояснениями и внятными подсказками;
  • содержит дополнительный функционал - бекап (бекапит только базу данных с возможностью отправки её на почту) и защиту от спама;
  • нагрузка на сервер минимальная;
  • практически не конфликтует с плагинами и темами (проверил более чем на 30 вордпресс-сайтах с различными темами и самым разнообразным набором плагинов);
  • не бесит навязчивыми предложениями платных возможностей.

Из минусов:

  • а ЯВНЫХ минусов то и НЕТ!? Да, что-то нужно будет делать в ручном режиме и конечно, хотелось бы видеть ещё кое-какие дополнительный возможности, но тут я ещё раз отмечу, AIOWPS бесплатный и безопасность обеспечивает на должном уровне. И именно поэтому считаю, что это лучший плагин для защиты WordPress.

Установка плагина All In One WP Security

С установкой всё стандартно: Плагины - Добавить новый - в строку поиска пишем "all in one wp security" (без кавычек) - затем жмём Установить и Активировать.

иконка плагина all in one wp security
Иконка плагина в поиске выглядит так

После активации WP Security появится в левом меню CMS.

wp security
WP Security

Переходим в самую первую вкладку - "Панель управления" и начинаем настройку.

меню плагина wp security
Меню WP Security

Настройка плагина All In One WP Security

Настройки плагина рекомендую производить именно в том порядке, в каком они описаны ниже - т.е. последовательно открывая каждый пункт меню и каждый из подпунктов (вкладок) меню, соответственно.

Панель управления

Панель управления

измеритель уровня безопасности
Измеритель уровня безопасности

"Измеритель" показывает общее количество баллов в соответствии с выбранными вариантами защиты. Максимально возможный балл - 515. Предложенные мной пункты "тянут" на 435 баллов, однако, это не означает, что у всех и каждого должно получится столько же - какие-то из пунктов включаются/отключаются исходя из потребностей конкретного сайта.

Пожалуй, из виджетов вкладки "Панель управления" отмечу ещё один:

индикатор активных сессий
Индикатор активных сессий

Индикатор может быть полезен для контроля залогиненных на сайте пользователей.

Информация о системе

Обзорная информация о системе.

Заблокированные IP-адреса

Таблица заблокированных в настоящий момент IP-адресов и диапазонов.

Постоянный список блокировки

Таблица IP-адресов заблокированных навсегда.

Логи AIOWPS

Просмотр журналов лог-файлов. Если кто не понял ещё, AIOWPS - это аббревиатура All In One WP Security.

Настройки

Общие настройки

создание резервных копий важных файлов и базы данных
Опция создания резервных копий важных файлов и базы данных

Перед любыми действиями с файлами sql, wp-config.php и .htaccess обязательно делайте их бэкап!

.htaccess Файл

Операции с файлом .htaccess: создание резервной копии и восстановление из резервной копии.

wp-config.php Файл

Операции с файлом wp-config.php: создание резервной копии и восстановление из резервной копии.

Информация версии WP

мета данные wp generator
Мета-данные WP Generator

Похоже, что функция удаляет не только <meta name="generator" content="WordPress X.X.X" />!? При активации этого чекбокса возникают проблемы с автоматическим обновлением CMS. К тому же определить актуальную версию WordPress можно и с отключенными метаданными.

Импорт/Экспорт

импорт настроек aiowps
Импорт настроек AIOWPS

Данная секция может быть очень полезна в случаях, когда необходимо быстро настроить плагин для большого количества сайтов (сетки сайтов, например).

Расширенные настройки

Не трогаем, если вам не требуется ничего, что описано в подсказке.

Администраторы

Пользовательское имя WP

изменение имени пользователя администратора
Изменение имени пользователя Администратора

Меняем имя пользователя, если оно "admin".

Отображаемое имя

редактирование аккаунтов с совпадающими именем пользователя и отображаемым именем
Редактирование аккаунтов с совпадающими именем пользователя и отображаемым именем

Добавляем отображаемое имя отличное от имени пользователя.

Пароль

измеритель надёжности пароля
Измеритель надёжности пароля

Ещё один "измеритель", определяющий за какое время домашний компьютер неизвестной комплектации смог бы подобрать указанный пароль.

Авторизация

Блокировка авторизаций

опции блокировки авторизации
Опции блокировки авторизации

Включаем.

белый список настроек блокировки входа
Белый список настроек блокировки входа

Пользуемся, если есть такая необходимость.

Ошибочные попытки авторизаций

Таблица с записями о безуспешных попытках авторизации.

Автоматическое разлогинивание пользователей

опции автоматического разлогинивания пользователей
Опции автоматического разлогинивания пользователей

Включаем, чем значение будет меньше, тем лучше.

Журнал активности аккаунта

Таблица отображает действия для учетных записей пользователей, зарегистрированных на сайте: когда/с какого IP вошли и когда вышли из системы.

Активных сессий

Таблица всех пользователей, которые в настоящий момент авторизованы на сайте.

Регистрация пользователя

Подтверждение вручную

ручное одобрение новых регистраций
Ручное одобрение новых регистраций

Активируем.

CAPTCHA при регистрации

настройки captcha на странице регистрации
Настройки CAPTCHA на странице регистрации

Ставим, если не используется другой плагин.

Ловушка регистрации

настройки ловушки регистрационной формы
Настройки ловушки регистрационной формы

Включаем.

Защита Базы данных

Префикс таблиц БД

опции изменения префикса таблиц бд
Опции изменения префикса таблиц БД

Если префикс таблиц не был изменён в файле wp-config.php при инсталяции CMS на хостинг, обязательно меняем.

Резервное копирование БД

автоматическое создание резервных копий
Автоматическое создание резервных копий

После включения этой функции бэкапы создаются и хранятся в папке aiowps_backups, автоматически созданной плагином, найти её можно в папке wp-content. Для пересылки бэкапов на почту нужно сначала её настроить! Email-адресов через запятую можно указать несколько.

Защита Файловой системы

Доступ к файлам

результат сканирования разрешений на директории и файлы wordpress
Результат сканирования разрешений на директории и файлы WordPress

Здесь для всех указанных папок и файлов выставляем текущее разрешение равное значению рекомендуемого разрешения.

Редактирование файлов PHP

отключение редактирования php файлов
Отключение редактирования PHP-файлов

Эта опция не просто так помечена как "Основное". Также порекомендую как можно скорее приступить к изучению методов редактирования PHP-файлов вне админ-панели WordPress.

Доступ к файлам WP

запрет доступа к информационным файлам wordpress
Запрет доступа к информационным файлам WordPress

Запрещаем.

Системные журналы

Просмотр отчётов об ошибках в системных лог-файлах.

Черный список

настройки чёрного списка для блокировки ip адресов и юзер агентов
Настройки Чёрного списка для блокировки IP-адресов и юзер-агентов

15 баллов зачислят, когда в этом списке появится хотя бы один IP-адрес.

Файрволл

Базовые правила файрволла

основные функции брандмауэра
Основные функции брандмауэра

По умолчанию максимально загружаемый файл не более 10 Мб.

защита от уязвимостей wordpress xmlrpc и уведомлений
Защита от уязвимостей WordPress XMLRPC и уведомлений

Если XMLRPC не используется, отключаем уведомления и полностью блокируем доступ.

блокировать доступ к файлу журнала отладки
Блокировать доступ к файлу журнала отладки

Запрещаем.

Дополнительные правила файрволла

просмотр содержимого директорий
Просмотр содержимого директорий

Отключаем в обязательном порядке!

http трассировка
HTTP-трассировка

Отключаем.

комментарии через прокси серверы
Комментарии через Прокси-серверы

Если комментарии на сайте включены, рекомендую запретить.

нежелательные строки в запросах
Нежелательные строки в запросах

Обязательно активируем защиту от XSS-атак.

дополнительная фильтрация символов
Дополнительная фильтрация символов

И эту тоже.

Правила чёрного списка 6G

настройки чёрного списка 6g
Настройки чёрного списка 6G

Включаем и 5G и 6G.

Интернет-боты

блокировать ложные googlebots
Блокировать ложные Googlebots

Блокируем.

Предотвратить хотлинки

предотвратить хотлинки
Предотвратить хотлинки

Хотлинки и попадание изображений с вашего сайта в сервисы картинок Яндекса и Google - это вещи не связанные!

Детектирование 404

настройки детектирования ошибок 404
Настройки детектирования ошибок 404

Удобный функционал, но блокировать враждебно настроенные IP-адреса нужно вручную. Если не знаете, какой URL перенаправления указать при ошибке 404, оставляем установленный по умолчанию http://127.0.0.1.

Пользовательские правила

пользовательские htaccess правила
Пользовательские .htaccess правила

Все дополнительные (свои) правила в основной файл .htaccess вносим в этой вкладке. Не рекомендую устанавливать чекбокс "Расположить пользовательские правила сверху" - чтобы случайно либо по незнанию не отменить действие правил, устанавливаемых плагином защиты!

Защита от брутфорс-атак

Переименовать страницу логина

настройки по переименованию адреса страницы для логина
Настройки по переименованию адреса страницы для логина

Включив опцию переименования страницы wp-login.php крайне важно со временем не забыть новое значение!

Защита от брутфорс-атак с помощью Куки

защита от брутфорс атак основанная на использовании куки
Защита от брутфорс-атак, основанная на использовании куки

Эту опцию включать не рекомендую.

CAPTCHA на логин

Если никаких других CAPTCHA-плагинов не установлено, рекомендую включить все 3 опции в этой вкладке.

настройки формы captcha на странице логина
Настройки формы CAPTCHA на странице логина
настройки captcha на странице потерянного пароля
Настройки CAPTCHA на странице "потерянного пароля"
особые настройки формы captcha на странице логина
Особые настройки формы CAPTCHA на странице логина

Белый список для логина

белый список ip адресов для логина
Белый список IP-адресов для логина

Это может быть полезно при затяжных атаках.

Бочка с мёдом (Honeypot)

бочка с мёдом honeypot
Бочка с мёдом (Honeypot)

Активировать - не помешает, даже если ранее активировали переименование страницы логина.

Защита от SPAM

Спам в комментариях

добавить captcha в форму комментариев
Добавить CAPTHA в форму комментариев

Если никаких других плагинов для работы с комментариями на сайте не установлено, включаем.

блокировка комментариев от спам ботов
Блокировка комментариев от спам-ботов

Включаем - помогает.

Отслеживание IP-адресов в комментариях

автоматически блокировать ip адреса спамеров
Автоматически блокировать IP-адреса спамеров

Не рекомендую здесь ничего автоматически блокировать, могут случайно уйти в "вечную" блокировку и хорошие комментарии.

список ip адресов спаммеров
Список IP-адресов спаммеров

Если всё-таки со спамом совсем беда, этот поиск может понадобиться.

BuddyPress

Если не установлен, даже не заходим.

BBPress

Если не знаете что это, даже не заходим.

Сканнер

Отслеживание изменений в файлах

настройки детектирования изменений файлов
Настройки детектирования изменений файлов

Крайне полезный функционал, главное - своевременно заметить изменения в файлах и восстановить сайт из резервной копии по возможности "закрыв дыру" через которую был осуществлён взлом.

Сканирование от вредоносных программ

Платная функция.

Режим обслуживания

Опция переводит сайт в режим обслуживания - это может быть полезно, когда на сайте проводятся какие-нибудь технические работы (смена темы, например) - неавторизованные пользователи, зайдя на сайт, будут видеть только информацию, которая будет введена в поле "Введите сообщение".

Разное

Защита от копирования

отключить возможность копировать текст
Отключить возможность копировать текст

Не рекомендую активировать, подобная защита не актуальна - текст и без правой кнопки мыши копируется прекрасно, а ещё это снижает поведенческие факторы.

Фреймы

предотвратить показ сайта внутри фрейма
Предотвратить показ сайта внутри фрейма

Активируем.

Перечисление пользователей

запретить перечисление пользователей
Запретить перечисление пользователей

Перечисление пользователей отключаем.

WP REST API

блокировать доступ wordpress rest api для несанкционированных запросов
Блокировать доступ WordPress REST API для несанкционированных запросов

Если REST API используется, то не запрещаем.

С настройками всё.

Рассмотренных выше настроек плагина вполне достаточно, чтобы обеспечить безопасность Вордпресс. О том, как дополнительно повысить защиту сайта помимо установки All In One WP Security, читайте в других публикациях моего блога noodlin.ru.

Конечно, это не единственный достойный рассмотрения плагин для защиты сайта на WordPress, но в отличие от других бесплатных аналогов, сайты с установленным All In One WP Security & Firewall, в моей практике ни разу взломаны не были!