Полное название плагина All In One WP Security & Firewall, он постоянно поддерживается/обновляется разработчиками (Tips and Tricks HQ, Peter Petreski, Ruhul, Ivy) и полностью совместим с последней версией WordPress (5.5.3 на момент написания этого обзора). На сегодняшний день это не самый популярный плагин безопасности, тем не менее 900000+ активных установок и оценки говорят сами за себя:
![оценки плагина all in one wp security](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-01.jpg)
Из плюсов:
- бесплатный;
- переведён на русский язык;
- интуитивно понятный интерфейс с пояснениями и внятными подсказками;
- содержит дополнительный функционал - бекап (бекапит только базу данных с возможностью отправки её на почту) и защиту от спама;
- нагрузка на сервер минимальная;
- практически не конфликтует с плагинами и темами (проверил более чем на 30 вордпресс-сайтах с различными темами и самым разнообразным набором плагинов);
- не бесит навязчивыми предложениями платных возможностей.
Из минусов:
- а ЯВНЫХ минусов то и НЕТ!? Да, что-то нужно будет делать в ручном режиме и конечно, хотелось бы видеть ещё кое-какие дополнительный возможности, но тут я ещё раз отмечу, AIOWPS бесплатный и безопасность обеспечивает на должном уровне. И именно поэтому считаю, что это лучший плагин для защиты WordPress.
Установка плагина All In One WP Security
С установкой всё стандартно: Плагины - Добавить новый - в строку поиска пишем "all in one wp security" (без кавычек) - затем жмём Установить и Активировать.
![иконка плагина all in one wp security](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-02.jpg)
После активации WP Security появится в левом меню CMS.
![wp security](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-03.jpg)
Переходим в самую первую вкладку - "Панель управления" и начинаем настройку.
![меню плагина wp security](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-04.jpg)
Настройка плагина All In One WP Security
Настройки плагина рекомендую производить именно в том порядке, в каком они описаны ниже - т.е. последовательно открывая каждый пункт меню и каждый из подпунктов (вкладок) меню, соответственно.
Панель управления
Панель управления
![измеритель уровня безопасности](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-05.jpg)
"Измеритель" показывает общее количество баллов в соответствии с выбранными вариантами защиты. Максимально возможный балл - 515. Предложенные мной пункты "тянут" на 435 баллов, однако, это не означает, что у всех и каждого должно получится столько же - какие-то из пунктов включаются/отключаются исходя из потребностей конкретного сайта.
Пожалуй, из виджетов вкладки "Панель управления" отмечу ещё один:
![индикатор активных сессий](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-06.jpg)
Индикатор может быть полезен для контроля залогиненных на сайте пользователей.
Информация о системе
Обзорная информация о системе.
Заблокированные IP-адреса
Таблица заблокированных в настоящий момент IP-адресов и диапазонов.
Постоянный список блокировки
Таблица IP-адресов заблокированных навсегда.
Логи AIOWPS
Просмотр журналов лог-файлов. Если кто не понял ещё, AIOWPS - это аббревиатура All In One WP Security.
Настройки
Общие настройки
![создание резервных копий важных файлов и базы данных](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-07.jpg)
Перед любыми действиями с файлами sql, wp-config.php и .htaccess обязательно делайте их бэкап!
.htaccess Файл
Операции с файлом .htaccess: создание резервной копии и восстановление из резервной копии.
wp-config.php Файл
Операции с файлом wp-config.php: создание резервной копии и восстановление из резервной копии.
Информация версии WP
![мета данные wp generator](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-08.jpg)
Похоже, что функция удаляет не только <meta name="generator" content="WordPress X.X.X" />!? При активации этого чекбокса возникают проблемы с автоматическим обновлением CMS. К тому же определить актуальную версию WordPress можно и с отключенными метаданными.
Импорт/Экспорт
![импорт настроек aiowps](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-09.jpg)
Данная секция может быть очень полезна в случаях, когда необходимо быстро настроить плагин для большого количества сайтов (сетки сайтов, например).
Расширенные настройки
Не трогаем, если вам не требуется ничего, что описано в подсказке.
Администраторы
Пользовательское имя WP
![изменение имени пользователя администратора](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-10.jpg)
Меняем имя пользователя, если оно "admin".
Отображаемое имя
![редактирование аккаунтов с совпадающими именем пользователя и отображаемым именем](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-11.jpg)
Добавляем отображаемое имя отличное от имени пользователя.
Пароль
![измеритель надёжности пароля](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-12.jpg)
Ещё один "измеритель", определяющий за какое время домашний компьютер неизвестной комплектации смог бы подобрать указанный пароль.
Авторизация
Блокировка авторизаций
![опции блокировки авторизации](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-13.jpg)
Включаем.
![белый список настроек блокировки входа](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-14.jpg)
Пользуемся, если есть такая необходимость.
Ошибочные попытки авторизаций
Таблица с записями о безуспешных попытках авторизации.
Автоматическое разлогинивание пользователей
![опции автоматического разлогинивания пользователей](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-15.jpg)
Включаем, чем значение будет меньше, тем лучше.
Журнал активности аккаунта
Таблица отображает действия для учетных записей пользователей, зарегистрированных на сайте: когда/с какого IP вошли и когда вышли из системы.
Активных сессий
Таблица всех пользователей, которые в настоящий момент авторизованы на сайте.
Регистрация пользователя
Подтверждение вручную
![ручное одобрение новых регистраций](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-16.jpg)
Активируем.
CAPTCHA при регистрации
![настройки captcha на странице регистрации](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-17.jpg)
Ставим, если не используется другой плагин.
Ловушка регистрации
![настройки ловушки регистрационной формы](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-18.jpg)
Включаем.
Защита Базы данных
Префикс таблиц БД
![опции изменения префикса таблиц бд](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-19.jpg)
Если префикс таблиц не был изменён в файле wp-config.php при инсталяции CMS на хостинг, обязательно меняем.
Резервное копирование БД
![автоматическое создание резервных копий](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-20.jpg)
После включения этой функции бэкапы создаются и хранятся в папке aiowps_backups, автоматически созданной плагином, найти её можно в папке wp-content. Для пересылки бэкапов на почту нужно сначала её настроить! Email-адресов через запятую можно указать несколько.
Защита Файловой системы
Доступ к файлам
![результат сканирования разрешений на директории и файлы wordpress](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-21.jpg)
Здесь для всех указанных папок и файлов выставляем текущее разрешение равное значению рекомендуемого разрешения.
Редактирование файлов PHP
![отключение редактирования php файлов](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-22.jpg)
Эта опция не просто так помечена как "Основное". Также порекомендую как можно скорее приступить к изучению методов редактирования PHP-файлов вне админ-панели WordPress.
Доступ к файлам WP
![запрет доступа к информационным файлам wordpress](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-23.jpg)
Запрещаем.
Системные журналы
Просмотр отчётов об ошибках в системных лог-файлах.
Черный список
![настройки чёрного списка для блокировки ip адресов и юзер агентов](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-24.jpg)
15 баллов зачислят, когда в этом списке появится хотя бы один IP-адрес.
Файрволл
Базовые правила файрволла
![основные функции брандмауэра](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-25.jpg)
По умолчанию максимально загружаемый файл не более 10 Мб.
![защита от уязвимостей wordpress xmlrpc и уведомлений](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-26.jpg)
Если XMLRPC не используется, отключаем уведомления и полностью блокируем доступ.
![блокировать доступ к файлу журнала отладки](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-27.jpg)
Запрещаем.
Дополнительные правила файрволла
![просмотр содержимого директорий](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-28.jpg)
Отключаем в обязательном порядке!
![http трассировка](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-29.jpg)
Отключаем.
![комментарии через прокси серверы](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-30.jpg)
Если комментарии на сайте включены, рекомендую запретить.
![нежелательные строки в запросах](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-31.jpg)
Обязательно активируем защиту от XSS-атак.
![дополнительная фильтрация символов](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-32.jpg)
И эту тоже.
Правила чёрного списка 6G
![настройки чёрного списка 6g](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-33.jpg)
Включаем и 5G и 6G.
Интернет-боты
![блокировать ложные googlebots](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-34.jpg)
Блокируем.
Предотвратить хотлинки
![предотвратить хотлинки](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-35.jpg)
Хотлинки и попадание изображений с вашего сайта в сервисы картинок Яндекса и Google - это вещи не связанные!
Детектирование 404
![настройки детектирования ошибок 404](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-36.jpg)
Удобный функционал, но блокировать враждебно настроенные IP-адреса нужно вручную. Если не знаете, какой URL перенаправления указать при ошибке 404, оставляем установленный по умолчанию http://127.0.0.1.
Пользовательские правила
![пользовательские htaccess правила](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-37.jpg)
Все дополнительные (свои) правила в основной файл .htaccess вносим в этой вкладке. Не рекомендую устанавливать чекбокс "Расположить пользовательские правила сверху" - чтобы случайно либо по незнанию не отменить действие правил, устанавливаемых плагином защиты!
Защита от брутфорс-атак
Переименовать страницу логина
![настройки по переименованию адреса страницы для логина](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-38.jpg)
Включив опцию переименования страницы wp-login.php крайне важно со временем не забыть новое значение!
Защита от брутфорс-атак с помощью Куки
![защита от брутфорс атак основанная на использовании куки](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-39.jpg)
Эту опцию включать не рекомендую.
CAPTCHA на логин
Если никаких других CAPTCHA-плагинов не установлено, рекомендую включить все 3 опции в этой вкладке.
![настройки формы captcha на странице логина](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-40.jpg)
![настройки captcha на странице потерянного пароля](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-41.jpg)
![особые настройки формы captcha на странице логина](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-42.jpg)
Белый список для логина
![белый список ip адресов для логина](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-43.jpg)
Это может быть полезно при затяжных атаках.
Бочка с мёдом (Honeypot)
![бочка с мёдом honeypot](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-44.jpg)
Активировать - не помешает, даже если ранее активировали переименование страницы логина.
Защита от SPAM
Спам в комментариях
![добавить captcha в форму комментариев](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-45.jpg)
Если никаких других плагинов для работы с комментариями на сайте не установлено, включаем.
![блокировка комментариев от спам ботов](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-46.jpg)
Включаем - помогает.
Отслеживание IP-адресов в комментариях
![автоматически блокировать ip адреса спамеров](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-47.jpg)
Не рекомендую здесь ничего автоматически блокировать, могут случайно уйти в "вечную" блокировку и хорошие комментарии.
![список ip адресов спаммеров](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-48.jpg)
Если всё-таки со спамом совсем беда, этот поиск может понадобиться.
BuddyPress
Если не установлен, даже не заходим.
BBPress
Если не знаете что это, даже не заходим.
Сканнер
Отслеживание изменений в файлах
![настройки детектирования изменений файлов](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-49.jpg)
Крайне полезный функционал, главное - своевременно заметить изменения в файлах и восстановить сайт из резервной копии по возможности "закрыв дыру" через которую был осуществлён взлом.
Сканирование от вредоносных программ
Платная функция.
Режим обслуживания
Опция переводит сайт в режим обслуживания - это может быть полезно, когда на сайте проводятся какие-нибудь технические работы (смена темы, например) - неавторизованные пользователи, зайдя на сайт, будут видеть только информацию, которая будет введена в поле "Введите сообщение".
Разное
Защита от копирования
![отключить возможность копировать текст](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-50.jpg)
Не рекомендую активировать, подобная защита не актуальна - текст и без правой кнопки мыши копируется прекрасно, а ещё это снижает поведенческие факторы.
Фреймы
![предотвратить показ сайта внутри фрейма](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-51.jpg)
Активируем.
Перечисление пользователей
![запретить перечисление пользователей](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-52.jpg)
Перечисление пользователей отключаем.
WP REST API
![блокировать доступ wordpress rest api для несанкционированных запросов](http://www.noodlin.ru/wp-content/images/2020/all-in-one-wp-security-luchshij-plagin-bezopasnosti-dlya-wordpress-53.jpg)
Если REST API используется, то не запрещаем.
С настройками всё.
Рассмотренных выше настроек плагина вполне достаточно, чтобы обеспечить безопасность Вордпресс. О том, как дополнительно повысить защиту сайта помимо установки All In One WP Security, читайте в других публикациях моего блога noodlin.ru.
Конечно, это не единственный достойный рассмотрения плагин для защиты сайта на WordPress, но в отличие от других бесплатных аналогов, сайты с установленным All In One WP Security & Firewall, в моей практике ни разу взломаны не были!