Плагин All In One WP Security представляет собой многофункциональный плагин защиты, который работает со всеми аспектами безопасности сайта. В нём огромное количество настроек, и пользоваться им сравнительно легко, так как весь интерфейс на русском языке.
В этой статье мы рассмотрим и опишем все функции и возможности данного плагина. Если вы решите использовать этот плагин на своём сайте, то вам следует быть внимательным при его настройке и тщательно изучить каждую опцию.
В прошлой статье мы уже начали обзор этого плагина, а здесь продолжаем.
Регистрация пользователя
Подтверждение вручную. Можно включить подтверждение регистраций администратором сайта. Это предотвратит нежелательные регистрации.
CAPTCHA при регистрации. Можно включить капчу в форме регистрации. Это предотвратит спам-регистрации.
Ловушка регистрации. Ещё один способ борьбы со спам регистрациями. Эта функция создаёт невидимое поле в форме регистрации, которое видно только роботам. Соответственно заполнят его только роботы, что и позволит определить спам.
Защиты базы данных
Префикс таблиц БД. По умолчанию префикс базы данных в WordPress – это wp_ И, так как все об этом знают, это упрощает работу взломщикам. Здесь можно изменить префикс на любой другой.
Резервное копирование БД. Можно настроить автоматическое периодическое резервное копирование базы.
Защита Файловой системы
Доступ к файлам. Можно управлять правами на файлы и папки, а также получать рекомендации по ним.
Редактирование файлов PHP. Можно отключить возможность редактирования файлов тем и плагинов из панели управления WordPress.
Доступ к файлам WP. Можно отключить доступ к файлам readme.html, license.txt и другим, в которых могут содержаться данные, полезные для взлома.
Системные журналы. Можно просматривать файлы логов.
WHOIS-поиск
Результаты WHOIS-поиска. Здесь можно получить детальные данные о том или ином IP адресе какого-либо пользователя. Это удобный, встроенный прямо в плагин, инструмент.
Черный список
Забанить пользователей. Позволяет блокировать пользователей по IP адресам или по User-agent.
Файрволл
Базовые правила файрволла. Здесь можно отключить доступ по XMLRPC (удалённая публикация), а также запретить доступ к файлу ведения логов отладки debug.log.
Дополнительные правила файрволла. Здесь можно отключить возможность просматривать папки сайта, HTTP-трассировку, убрать возможность комментирования с помощью прокси-серверов, и другое, что так или иначе может использоваться для взлома сайта.
Правила черного списка 6G. Здесь можно актировать либо устаревшую защиту 5G, либо новую – 6G. Суть защиты в том, что она уменьшает вероятность использовать тех или иных вредоносных запросов к сайту.
Интернет-боты. Боты — это хорошо. Значит какой-то сервис сканирует сайт и занесёт его в свою базу, например в поиск Яндекса или Google. Но некоторые боты могут притворяются хорошими, а выполнять плохие функции, например, искать уязвимости. Здесь можно отключить доступ таким ботам.
Предотвратить хотлинки. Хотлинки позволяют публиковать изображения с вашего сайта, на других сайтах с помощью размещения прямой ссылки на них. Это повышает нагрузку на ваш сайт. И здесь можно отключить эту возможность
Детектирование 404. Можно блокировать пользователей, которые часто получают от сайта ошибку 404. Многократное её получение за кроткое время говорит о сканировании сайта в целях попытки взлома.
Пользовательские правила. Если вы разбираетесь в веб-программировании, то можете создать пользовательские правила для файла .htaccess.
Защита от брутфорс-атак
Переименовать страницу логина. Стандартная страница входа /wp-login.php здесь может быть переименована в любую другу. Это уменьшит вероятность взлома. Ведь взламывать будут по адресу /wp-login.php.
Защита от брутфорс-атак с помощью куки. Здесь можно включить защиту от взлома с помощью подбора логина и пароля.
CAPTCHA на логин. Здесь можно добавить к странице авторизации капчу от Google – reCAPTCHA.
Белый список для логина. Создаёт белый список IP, вход которым не будет заблокирован никогда.
Бочка с медом (Honeypot). Способ защиты от спам-входа путём создания невидимого поля в форме входа, которое заполняют только роботы.
Защита от SPAM
Спам в комментариях. Позволяет включить капчу в комментариях и блокировать тех, кто её не пройдёт.
Отслеживание IP-адресов по спаму в комментариях. Позволяет определять IP тех пользователей, кто оставлял спам в комментариях и блокировать их для других операций на сайте тоже. Например, для авторизации.
BuddyPress. Интеграция с плагином BuddyPress.
BBPress. Интеграция с плагином BBPress.
Сканнер
Отслеживание изменений в файлах. Можно настроить периодическое сканирование сайта на изменение в его файлах.
Сканирование от вредоносных программ. Можно включить сканирование на вредоносный код.
Режим обслуживания
Блокирование доступа посетителей к сайту. Можно включить режим обслуживания, когда посетители видят заставку вместо сайта.
Разное
Защита от копирования. При включении этой опции с сайта нельзя будет скопировать текст.
Фреймы. Позволяет блокировать возможность отображения контента на других сайтах во фреймах.
Перечисление пользователей. Предотвращает возможность получения логинов всех имеющихся пользователей на сайте.
WP REST API. Блокирует несанкционированные запросы по API.