Полное название плагина All In One WP Security & Firewall, он постоянно поддерживается/обновляется разработчиками (Tips and Tricks HQ, Peter Petreski, Ruhul, Ivy) и полностью совместим с последней версией WordPress (5.5.3 на момент написания этого обзора). На сегодняшний день это не самый популярный плагин безопасности, тем не менее 900000+ активных установок и оценки говорят сами за себя:
Из плюсов:
- бесплатный;
- переведён на русский язык;
- интуитивно понятный интерфейс с пояснениями и внятными подсказками;
- содержит дополнительный функционал - бекап (бекапит только базу данных с возможностью отправки её на почту) и защиту от спама;
- нагрузка на сервер минимальная;
- практически не конфликтует с плагинами и темами (проверил более чем на 30 вордпресс-сайтах с различными темами и самым разнообразным набором плагинов);
- не бесит навязчивыми предложениями платных возможностей.
Из минусов:
- а ЯВНЫХ минусов то и НЕТ!? Да, что-то нужно будет делать в ручном режиме и конечно, хотелось бы видеть ещё кое-какие дополнительный возможности, но тут я ещё раз отмечу, AIOWPS бесплатный и безопасность обеспечивает на должном уровне. И именно поэтому считаю, что это лучший плагин для защиты WordPress.
Установка плагина All In One WP Security
С установкой всё стандартно: Плагины - Добавить новый - в строку поиска пишем "all in one wp security" (без кавычек) - затем жмём Установить и Активировать.
После активации WP Security появится в левом меню CMS.
Переходим в самую первую вкладку - "Панель управления" и начинаем настройку.
Настройка плагина All In One WP Security
Настройки плагина рекомендую производить именно в том порядке, в каком они описаны ниже - т.е. последовательно открывая каждый пункт меню и каждый из подпунктов (вкладок) меню, соответственно.
Панель управления
Панель управления
"Измеритель" показывает общее количество баллов в соответствии с выбранными вариантами защиты. Максимально возможный балл - 515. Предложенные мной пункты "тянут" на 435 баллов, однако, это не означает, что у всех и каждого должно получится столько же - какие-то из пунктов включаются/отключаются исходя из потребностей конкретного сайта.
Пожалуй, из виджетов вкладки "Панель управления" отмечу ещё один:
Индикатор может быть полезен для контроля залогиненных на сайте пользователей.
Информация о системе
Обзорная информация о системе.
Заблокированные IP-адреса
Таблица заблокированных в настоящий момент IP-адресов и диапазонов.
Постоянный список блокировки
Таблица IP-адресов заблокированных навсегда.
Логи AIOWPS
Просмотр журналов лог-файлов. Если кто не понял ещё, AIOWPS - это аббревиатура All In One WP Security.
Настройки
Общие настройки
Перед любыми действиями с файлами sql, wp-config.php и .htaccess обязательно делайте их бэкап!
.htaccess Файл
Операции с файлом .htaccess: создание резервной копии и восстановление из резервной копии.
wp-config.php Файл
Операции с файлом wp-config.php: создание резервной копии и восстановление из резервной копии.
Информация версии WP
Похоже, что функция удаляет не только <meta name="generator" content="WordPress X.X.X" />!? При активации этого чекбокса возникают проблемы с автоматическим обновлением CMS. К тому же определить актуальную версию WordPress можно и с отключенными метаданными.
Импорт/Экспорт
Данная секция может быть очень полезна в случаях, когда необходимо быстро настроить плагин для большого количества сайтов (сетки сайтов, например).
Расширенные настройки
Не трогаем, если вам не требуется ничего, что описано в подсказке.
Администраторы
Пользовательское имя WP
Меняем имя пользователя, если оно "admin".
Отображаемое имя
Добавляем отображаемое имя отличное от имени пользователя.
Пароль
Ещё один "измеритель", определяющий за какое время домашний компьютер неизвестной комплектации смог бы подобрать указанный пароль.
Авторизация
Блокировка авторизаций
Включаем.
Пользуемся, если есть такая необходимость.
Ошибочные попытки авторизаций
Таблица с записями о безуспешных попытках авторизации.
Автоматическое разлогинивание пользователей
Включаем, чем значение будет меньше, тем лучше.
Журнал активности аккаунта
Таблица отображает действия для учетных записей пользователей, зарегистрированных на сайте: когда/с какого IP вошли и когда вышли из системы.
Активных сессий
Таблица всех пользователей, которые в настоящий момент авторизованы на сайте.
Регистрация пользователя
Подтверждение вручную
Активируем.
CAPTCHA при регистрации
Ставим, если не используется другой плагин.
Ловушка регистрации
Включаем.
Защита Базы данных
Префикс таблиц БД
Если префикс таблиц не был изменён в файле wp-config.php при инсталяции CMS на хостинг, обязательно меняем.
Резервное копирование БД
После включения этой функции бэкапы создаются и хранятся в папке aiowps_backups, автоматически созданной плагином, найти её можно в папке wp-content. Для пересылки бэкапов на почту нужно сначала её настроить! Email-адресов через запятую можно указать несколько.
Защита Файловой системы
Доступ к файлам
Здесь для всех указанных папок и файлов выставляем текущее разрешение равное значению рекомендуемого разрешения.
Редактирование файлов PHP
Эта опция не просто так помечена как "Основное". Также порекомендую как можно скорее приступить к изучению методов редактирования PHP-файлов вне админ-панели WordPress.
Доступ к файлам WP
Запрещаем.
Системные журналы
Просмотр отчётов об ошибках в системных лог-файлах.
Черный список
15 баллов зачислят, когда в этом списке появится хотя бы один IP-адрес.
Файрволл
Базовые правила файрволла
По умолчанию максимально загружаемый файл не более 10 Мб.
Если XMLRPC не используется, отключаем уведомления и полностью блокируем доступ.
Запрещаем.
Дополнительные правила файрволла
Отключаем в обязательном порядке!
Отключаем.
Если комментарии на сайте включены, рекомендую запретить.
Обязательно активируем защиту от XSS-атак.
И эту тоже.
Правила чёрного списка 6G
Включаем и 5G и 6G.
Интернет-боты
Блокируем.
Предотвратить хотлинки
Хотлинки и попадание изображений с вашего сайта в сервисы картинок Яндекса и Google - это вещи не связанные!
Детектирование 404
Удобный функционал, но блокировать враждебно настроенные IP-адреса нужно вручную. Если не знаете, какой URL перенаправления указать при ошибке 404, оставляем установленный по умолчанию http://127.0.0.1.
Пользовательские правила
Все дополнительные (свои) правила в основной файл .htaccess вносим в этой вкладке. Не рекомендую устанавливать чекбокс "Расположить пользовательские правила сверху" - чтобы случайно либо по незнанию не отменить действие правил, устанавливаемых плагином защиты!
Защита от брутфорс-атак
Переименовать страницу логина
Включив опцию переименования страницы wp-login.php крайне важно со временем не забыть новое значение!
Защита от брутфорс-атак с помощью Куки
Эту опцию включать не рекомендую.
CAPTCHA на логин
Если никаких других CAPTCHA-плагинов не установлено, рекомендую включить все 3 опции в этой вкладке.
Белый список для логина
Это может быть полезно при затяжных атаках.
Бочка с мёдом (Honeypot)
Активировать - не помешает, даже если ранее активировали переименование страницы логина.
Защита от SPAM
Спам в комментариях
Если никаких других плагинов для работы с комментариями на сайте не установлено, включаем.
Включаем - помогает.
Отслеживание IP-адресов в комментариях
Не рекомендую здесь ничего автоматически блокировать, могут случайно уйти в "вечную" блокировку и хорошие комментарии.
Если всё-таки со спамом совсем беда, этот поиск может понадобиться.
BuddyPress
Если не установлен, даже не заходим.
BBPress
Если не знаете что это, даже не заходим.
Сканнер
Отслеживание изменений в файлах
Крайне полезный функционал, главное - своевременно заметить изменения в файлах и восстановить сайт из резервной копии по возможности "закрыв дыру" через которую был осуществлён взлом.
Сканирование от вредоносных программ
Платная функция.
Режим обслуживания
Опция переводит сайт в режим обслуживания - это может быть полезно, когда на сайте проводятся какие-нибудь технические работы (смена темы, например) - неавторизованные пользователи, зайдя на сайт, будут видеть только информацию, которая будет введена в поле "Введите сообщение".
Разное
Защита от копирования
Не рекомендую активировать, подобная защита не актуальна - текст и без правой кнопки мыши копируется прекрасно, а ещё это снижает поведенческие факторы.
Фреймы
Активируем.
Перечисление пользователей
Перечисление пользователей отключаем.
WP REST API
Если REST API используется, то не запрещаем.
С настройками всё.
Рассмотренных выше настроек плагина вполне достаточно, чтобы обеспечить безопасность Вордпресс. О том, как дополнительно повысить защиту сайта помимо установки All In One WP Security, читайте в других публикациях моего блога noodlin.ru.
Конечно, это не единственный достойный рассмотрения плагин для защиты сайта на WordPress, но в отличие от других бесплатных аналогов, сайты с установленным All In One WP Security & Firewall, в моей практике ни разу взломаны не были!