wp-beveiligingsplug-in. All In One WP Security instellen om uw WordPress-blog tegen hacking te beschermen. Beperking van inlogpogingen

Artikelen in dezelfde categorie

En vandaag, mijn vrienden, zullen we onszelf verdedigen.

Ja. Precies. Van wie? Van die smerige kameraden die inbreuk zullen maken op onze ‘welvaart’. Ik kan niet zeggen wie deze mensen zijn, maar ze bestaan ​​en ik begrijp niet waarom de grond niet onder hun voeten brandt. Waarom valt er geen steenregen op hun hoofd en stikken ze niet in het speeksel van hun leedvermaak?

En als zulke mensen bestaan, dan moet je jezelf adequaat tegen hen beschermen. En vandaag leveren we je een supercoole plug-in om je blog te beschermen.

Wees gerust, er zal niet meer dan één teef je blog binnensluipen en je kwaad doen nadat je het hebt geplaatst.

En deze plug-in is All In One WP Security.

Ik gebruikte natuurlijk beveiligingsplug-ins, en op de een of andere manier maakte ik me niet echt zorgen over de beveiliging. De login is uiteraard ADMIN, het wachtwoord bestaat uit vijf letters, en dat was voorlopig natuurlijk het geval. Ik heb nog nooit naar de plug-ins gekeken, nou, het is het waard, het is het waard, het betekent dat het beschermt. Kortom, alles is in het donker.

En toen een hackeraanval deze bescherming doorbrak en de host begon te overbelasten, begon ik te denken... En heel toevallig kwam ik een plug-in tegen die mij erg aardig en vriendelijk leek. En tegelijkertijd, een zeer serieuze bewaker, door naar hem te luisteren en zijn instructies op te volgen, wordt u betrouwbaar beschermd.

Terwijl je een jonge blogger bent en je pad zich in de ontwikkelingsfase bevindt, zal onzorgvuldigheid natuurlijk de overhand krijgen. Maar als je aankomt en concurrenten met je ellebogen begint weg te duwen, waardoor je ruimte in de zon vrijmaakt, zul je jaloerse mensen en slechte wensen hebben. Maak er dus een gewoonte van om jezelf vanaf het begin goed te verdedigen.

Dus wat is er zo geweldig aan deze All In One WP Security-plug-in?

• Betrouwbaar;
• Vrij;
• Gerussificeerd;
• Eenvoudig.

Je moet het op WordPress installeren volgens het standaardschema: Plug-ins - Nieuw toevoegen, voer All In One WP Security in de zoekopdracht in, Enter, de eerste, en dit is geen toeval, het zal je favoriet zijn...

Laten we verder gaan met het instellen van de All In One WP Security-plug-in

Ik raad u aan om vóór de installatie een kopie van uw database te maken. 1. De database zelf. 2. Bestand wp-config. 3. bestand.htaccess.

En dit alles, hoe handig het ook is, kan worden gedaan in de instellingen van de plug-in zelf.

Controlepaneel

In het admin-menu vinden we WP-beveiliging, submenu voor plug-ins Controlepaneel.

Het eerste dat opvalt is een soort manometer van onze beveiliging en een diagram van het werk dat door de plug-in wordt gedaan. Dit is helemaal gaaf.

Wat ik wil zeggen. BELANGRIJK! Laat u niet meeslepen door maximale bescherming. Breng de druk van bescherming niet op een kritiek niveau. Dit kan resulteren in een storing van de site. Ze zeggen dus: ik heb zelf geen problemen ondervonden, waarschijnlijk simpelweg omdat ik gewoon iets meer dan de helft houd van wat ik zou moeten.

Hier in het configuratiescherm doen we niets anders en gaan we naar instellingen.

Instellingen

Hier maken wij kopieën van onze website en database. Hier zullen we, indien nodig, de Firewall uitschakelen.

Vink het vakje aan op het tabblad WP-meta-informatie

Op het tabblad “Importeren/Exporteren” worden acties ondernomen om uw instellingen naar een andere site te exporteren, als u die heeft, om niet alle vakjes aan te vinken die we nu zullen aanvinken. Alles gebeurt in twee klikken.

Beheerders

WP-gebruikersnaam.

Hier wijzigt u de beheerdersnaam en dit MOET u doen. Standaard admin of wp-admin. Verander naar iets anders, bijvoorbeeld mijnblog-admin, of Ja-Vasja-Ivanov. En vergeet het woord helemaal beheerder Voor eens en altijd.

Weergavenaam.

Verzin een willekeurige naam behalve admin. Ik adviseer ook dat als u meerdere accounts op uw site heeft, u de weergavenamen anders maakt.

Wachtwoord.

Het meest interessante tabblad. Met onze monometer, waarmee u in een seconde kunt bepalen in welke mate uw wachtwoord kan worden gekraakt. Voer gewoon het verwachte wachtwoord in de apparaatregel in, het geeft u onmiddellijk de tijd waarin het kan worden gehackt. In ons geval 9 jaar en 6 maanden.

Autorisatie

Autorisaties blokkeren.

Schakel het in zoals in de schermafbeelding. Het is redelijk om waarden vast te stellen die consistent zijn met het gezonde verstand. Als u bijvoorbeeld binnen 5 minuten 3 keer het verkeerde wachtwoord invoert, wordt uw IP-adres voor een uur geblokkeerd. Dit is de standaardinstelling. Ik ben het eens met deze regeling. Je kunt alleen binnen redelijke grenzen veranderen.

Geblokkeerde IP's kunt u hieronder bekijken.

Onjuiste autorisatiepogingen.

Hier kun je de wezens zien. Houd bij wie er vaak klimt en onderneem actie. Ik heb er voorlopig één, dit komt omdat ik onlangs de lijst heb gewist.

Automatisch uitloggen van gebruikers.

We zetten hem aan en stellen de tijd in op 600 minuten, waarna de verbinding met de gebruiker wordt verbroken.

Accountactiviteitenlogboek" En Actieve sessies informatief.

Gebruikersregistratie

IN Handmatige bevestiging En CAPTCHA tijdens registratie vink de selectievakjes aan.

Voorvoegsel databasetabel.

Ik heb het vakje hier niet aangevinkt, maar als je het wilt aanvinken, maak dan eerst een back-up van je database. Voor de zekerheid.

Back-up.

Vink het vakje aan en wijs de frequentie van hun creatie toe. We wijzen ook het aantal van deze back-ups toe, die worden opgeslagen in een speciale plug-inmap.

Beveiliging van bestandssysteem

Toegang tot bestanden.

PHP-bestanden bewerken.

Dit is voor degenen die bestanden bewerken via het beheerderspaneel. Wed als je niet bewerkt, wed niet als je wel bewerkt. Maar het wordt over het algemeen niet aanbevolen om bestanden in het beheerdersdashboard te bewerken. Ook al is het een zaak van iedereen. Maar als je het verprutst, kun je niet snel alles terughalen met de CTRL Z-toetsen.

Toegang tot WP-bestanden.

We installeren Galya en weigeren daarmee de toegang tot WordPress-informatiebestanden

Systeemlogboeken.

Laat het zoals het is

WHOIS-zoekopdracht

Ik heb niets gedaan. Ik hoef geen informatie te vinden over dit of dat IP-adres.

Zwarte lijst

Dit is voor degenen die vaak met verdachte bedoelingen op uw site verschijnen, u kunt ze zien in (Autorisatie - blokkeren van autorisaties - geblokkeerde IP's). Als die er zijn, vink dan het vakje aan en registreer deze IP's.

Firewall

Basis firewallregels.

Allereerst: doen kopieer het .htaccess-bestand Als u dit nog niet heeft gedaan, vinkt u het vakje aan.

Aanvullende firewallregels.

En bij Extra tekenfiltering vinkt u het vakje niet aan. Het kan zijn dat niet alle reacties doorkomen, waardoor er een 403-foutmelding ontstaat, wat ook niet erg goed is.

5G-instellingen

Aanzetten

Internetbots.

Schakel het selectievakje niet in

Voorkom hotlinks.

Aanzetten

404 detectie.

Zet hem aan en stel de tijd in op 5 minuten

Bescherming tegen brute force-aanvallen

Bescherming tegen brute force-aanvallen met behulp van cookies.

Schakel het niet in als u geen problemen wilt ervaren met verschillende soorten apparaten.

CAPTCHA voor inloggen.

Ik weet niet hoe het met jou zit, als je captcha wilt inschakelen, schakel het dan in. Ik heb het niet gedaan.

Witte lijst voor inloggen.

Schakel het niet in. Je hebt waarschijnlijk toegang tot je blog vanaf verschillende apparaten, locaties en IP's.

Vat honing.

Aanzetten

Beveiliging tegen spam

Spam in de reacties.

CAPTCHA in commentaarformulier - Wij plaatsen het niet. Reacties van spambots blokkeren - We zetten

BuddyPress.

Voegt een CAPTCHA toe aan het BuddyPress-formulier. Geen noodzaak om te gebruiken.

Scanner

Dit is hoe ik het proces van schade tijdens het hacken begrijp. Hackers wijzigen enkele bestanden in het systeem, zonder deze te vinden. Pogingen om de site te herstellen zullen niet succesvol zijn. Met behulp van deze functie kunt u dus bijhouden wat er precies is veranderd in de nabije toekomst. Ik bewonder gewoon... Schakel het automatisch scannen van bestanden in.

Scannen op malware.

Hiervoor moet u betalen.

Onderhoudsstand

Let op de betekenis van deze service. Als u de onderhoudsmodus inschakelt, betekent dit dat u uw site helemaal uitschakelt. Het zal voor niemand zichtbaar zijn, inclusief robots, en zal daarom niet worden geïndexeerd. Houd hier daarom rekening mee en vink dit vakje niet aan, tenzij dit absoluut noodzakelijk is.

Uw nederige dienaar heeft de site twee dagen uitgeschakeld totdat hij een daling in het verkeer opmerkte en naar de reden zocht.

Schrijf in het tekstveld wat bezoekers te zien krijgen als de site offline is.

Gemengd

Hier begrijp ik alleen kopieerbeveiliging. Ik vink het vakje niet aan, laat iedereen het kopiëren, het is zo leuk)))

Resultaat

We hebben de plug-in geconfigureerd. Laten we naar het configuratiescherm gaan en het nieuwe beveiligingsniveau bekijken. Ik weet zeker dat hij veel groter is dan hij was. Nu kunt u er zeker van zijn dat uw site veilig is.

En bovendien, wat typisch is, zul je hier regelmatig kijken, wat je nog niet eerder hebt gedaan met dit soort plug-ins.

Geniet, leef en werk rustig en productief.

Tot online!

Vrienden, als u een webmaster bent en uw sites op WordPress maakt, bent u waarschijnlijk spam tegengekomen in reacties en pogingen van aanvallers om uw site te hacken. In dit artikel zullen we met u praten over hoe u uw WordPress-website kunt beschermen tegen spam met behulp van de All in One WP Security & Firewall-plug-in. Als ik wat vooruitkijk, wil ik zeggen dat deze plug-in een groot aantal instellingen heeft en een universeel middel is om uw WordPress-site te beschermen.

1. Het installeren van de plug-in.
2. Installatie van plug-ins
   • Algemene instellingen
   • Beheerders
   • Autorisatie
   • Gebruikersregistratie
   • Databasebescherming
   • Beveiliging van bestandssysteem

Laten we dus beginnen met het beheersen van de All in One WP Security & Firewall-plug-in. Om een ​​plug-in te installeren, gaat u naar het tabblad Plug-ins in het beheerderspaneel en klikt u op de knop “Nieuw toevoegen”.

Houd er rekening mee dat in de schermafbeelding de knop niet actief is en er “Actief” staat. Dit komt doordat de plug-in al is geïnstalleerd. Uw knop is actief en er staat 'Installeren'. Zodra u op de knop klikt, wordt de plug-in geïnstalleerd. Hierna zal de knop “activeren” zeggen, klik erop en activeer daarmee de plug-in.

Na het installeren en activeren van de plug-in verschijnt het tabblad “WP Security” aan de linkerkant van het configuratiescherm. Laten we erop klikken en het uitzoeken:

Let op het getal 340. De plug-in laat dus zien hoeveel punten de site beschermd is van de mogelijke 500.

Alles in één WP Security & Firewall plug-in-instellingen

Instellingen

1. Ga naar Instellingen,

Tabblad "Algemene instellingen".

Hier kunt u back-ups maken:

• Database;
• Bestand.htaccess;
• Het wp-config.php-bestand.

1. Tab.htaccess-bestand. Het “.htaccess”-bestand is een belangrijk onderdeel van de websitebeveiliging, waardoor u de beveiligingsmechanismen aanzienlijk kunt variëren. In deze sectie kunt u een reservekopie van het .htaccess-bestand maken en deze, indien nodig, in de toekomst vanaf een reservekopie herstellen.
2. Tabblad wp-config.php bestand. Het wp-config.php-bestand is een van de belangrijkste WordPress-bestanden en bevat uw databasetoegangsgegevens en andere zeer waardevolle instellingen. In deze sectie kunt u een reservekopie van dit bestand maken en deze indien nodig in de toekomst herstellen met behulp van deze reservekopie.
3. Tabblad WP-versie-info. WP Generator geeft automatisch informatie over de huidige WordPress-versie weer in een speciale metatag in het ‘head’-gedeelte op alle pagina’s van de site. Hier is een voorbeeld van een dergelijke uitvoer:
   Deze informatie helpt hackers en hun spiders enorm om te bepalen of u een verouderde versie van WordPress gebruikt met bekende kwetsbaarheden.
4. Tabblad Importeren/exporteren. In deze sectie kunt u alle All In One WP Security & Firewall-instellingen exporteren of importeren. Dit kan handig zijn als u op meerdere sites dezelfde instellingen wilt gebruiken. Opmerking: Voordat u gaat importeren, moet u weten welke instellingen u probeert te importeren. Als u blindelings instellingen importeert, bestaat het risico dat u de toegang tot uw eigen site verliest. Als een instelling bijvoorbeeld afhankelijk is van de URL van een domein, werkt deze mogelijk niet correct wanneer u een site met een ander domein gebruikt.
5. Tabblad Geavanceerde instellingen. Met de IP Retrieval-parameters kunt u opgeven welke globale variabele $_SERVER u wilt gebruiken om het IP-adres van de bezoeker te verkrijgen. Standaard gebruikt deze plug-in de variabele $_SERVER['REMOTE_ADDR'] om het IP-adres van de bezoeker te verkrijgen. Dit is meestal de meest betrouwbare manier om een ​​IP-adres te verkrijgen. In sommige configuraties, zoals die waarbij proxy's, load balancers en CloudFlare worden gebruikt, moet u mogelijk echter een andere $_SERVER-variabele gebruiken. U kunt de onderstaande instellingen gebruiken om te configureren welke globale $_SERVER u wilt gebruiken om het IP-adres te verkrijgen.

Beheerders

1. Tabblad "Aangepast WP". Na installatie wijst WordPress automatisch de beheerdersgebruikersnaam “admin” toe (tenzij u deze handmatig wijzigt). Veel hackers proberen misbruik te maken van deze informatie door een ‘Brute Force Attack’ te gebruiken, waarbij ze systematisch het wachtwoord raden met het woord ‘admin’ als gebruikersnaam. Om veiligheidsredenen is een van de eerste en meest verstandige dingen die u op uw site moet doen het wijzigen van de standaard gebruikersnaam "admin". Deze sectie is bedoeld om de gebruikersnaam “admin” te wijzigen in een veiligere gebruikersnaam naar keuze.
2. "Weergavenaam". Wanneer u een bericht publiceert of op een opmerking reageert, geeft WordPress meestal uw “bijnaam” weer. Standaard is de weergavenaam van de gebruiker identiek aan de accountaanmelding. Om veiligheidsredenen mag dit niet worden toegestaan, omdat dit het werk van de hacker al half zo gemakkelijk maakt - sterker nog, u vertelt hem zelf uw accountaanmelding. Om de veiligheid van de site te verbeteren, raden wij u daarom aan uw bijnaam en weergavenaam te wijzigen, zodat deze anders zijn dan uw gebruikersnaam.
3. "Wachtwoord". Een onjuist wachtwoord is de meest voorkomende kwetsbaarheid op de meeste sites, en het eerste wat een hacker zal doen om in te breken op een site is proberen het wachtwoord te raden. Veel mensen zetten zichzelf in de val door een eenvoudig woord of een reeks cijfers als wachtwoord te gebruiken. Het kost een ervaren hacker slechts een paar minuten om zo'n voorspelbaar wachtwoord te selecteren, omdat hiervoor speciale programma's met grote databases van de meest voorkomende combinaties van letters, woorden en cijfers worden gebruikt. Hoe langer en complexer het wachtwoord, hoe moeilijker het voor een hacker zal zijn om het te raden, omdat het veel meer rekenkracht en tijd vergt. Hier kunt u uw wachtwoord controleren op sterkte.

Autorisatie

1. Het eerste tabblad is ‘Autorisatie blokkeren’. Hier kunt u het autorisatieproces op uw site configureren.

• Vink het vakje aan als u het blokkeren van autorisatiepogingen wilt activeren.
• Vink vervolgens het vakje aan als we gebruikers willen toestaan ​​hun account zelf te deblokkeren.
• Geef het maximale aantal inlogpogingen op.
• Geef de tijdslimiet voor autorisatiepogingen op in minuten.
• Stel de blokkeerperiode in minuten in.
• Vink het vakje aan als u een bericht over autorisatiefouten wilt weergeven (optioneel).
• Ik raad af om het selectievakje “Onjuiste gebruikersnamen onmiddellijk blokkeren” aan te vinken, omdat u zelf mogelijk een fout maakt bij het invoeren van een gebruikersnaam.

• Vervolgens kunt u in het invoerveld gebruikersnamen opgeven die niet worden geblokkeerd bij mislukte autorisaties
• Vink hieronder het vakje aan als u meldingen wilt ontvangen over mislukte autorisatiepogingen en geef uw mailbox op.

• Als u een witte lijst met geselecteerde IP-adressen wilt gebruiken, vink dan het vakje aan en voer de IP-adressen in het onderstaande veld in.

1. Ga vervolgens naar het tabblad ‘Valse autorisatiepogingen’. Records van mislukte inlogpogingen worden hier weergegeven.
2. Tabblad "Automatisch uitloggen van gebruikers". We vinken hier de vakjes aan als we willen dat de gebruiker automatisch uitlogt. Hieronder geven we de tijd in minuten van elke sessie aan.
3. Tabblad Accountactiviteitenlogboek. Hier wordt informatie over accountactiviteit op uw website weergegeven.
4. “Actieve sessies” - geeft actieve sessies weer.

Gebruikersregistratie

1. Tabblad Handmatige bevestiging. Als we de gebruikersregistratie op de site onafhankelijk willen bevestigen, vinkt u het vakje aan.
2. "CAPTCHA tijdens registratie." Vink het vakje aan als u een captcha wilt weergeven bij het registreren van gebruikers.
3. Registreer "Honingpot". Honeypot uit het Engels - een pot honing. Stel je een beer voor die bij iemand op bezoek kwam. Als hij een pot honing ziet, zal hij die zeker pakken, hij is een beer! Stel je nu een robot voor die zich op jouw site registreert. Honeypot is een soort verborgen veld dat alleen de robot ziet, en bij registratie zal hij dit verborgen veld zeker invullen. Zodra de plug-in detecteert dat dit veld is ingevuld, begrijpt hij onmiddellijk dat dit een robot is en blokkeert hij de registratie.

Databasebescherming

1. "Databasetabelvoorvoegsel." Het standaard WordPress-tabelvoorvoegsel is ‘wp_’. Websitedatabases worden vaak aangevallen door hackers. Om de bescherming te versterken, is het noodzakelijk om het tabelvoorvoegsel te wijzigen. Dit kan automatisch of handmatig worden gedaan. Vink het vakje aan en klik op “Tabelvoorvoegsel wijzigen” om het voorvoegsel automatisch te wijzigen. Als we dit handmatig willen doen, schrijf dan het voorvoegsel in het veld en klik op “Tabelvoorvoegsel wijzigen”.
2. "DB-back-up". Hier configureren we de databaseback-up: frequentie van back-ups en het aantal opgeslagen back-ups.

Beveiliging van bestandssysteem

1. "Toegang tot bestanden." Klik op de knop 'Aanbevolen instellingen toepassen waar nodig'.
2. "PHP-bestanden bewerken". Als u het bewerken van bestanden in het beheerdersdashboard wilt verbieden, vinkt u het vakje aan. AANDACHT! Door dit vakje aan te vinken, wordt het item “Editor” in het item “Uiterlijk” niet weergegeven. Om bestanden te bewerken, bijvoorbeeld header.php of style.css, moet je naar de hosting gaan en de bestanden bewerken in Bestandsbeheer.
3. Toegang tot WP-bestanden. Als we de toegang tot de bestanden readme.html, License.txt en wp-config-sample.php willen weigeren, vinkt u het vakje aan.
4. Systeemlogboeken. Uw server kan periodiek foutrapporten publiceren in speciale bestanden genaamd "error_log". Afhankelijk van de aard en oorzaken van de fout kan uw server meerdere logbestanden aanmaken in verschillende mappen van uw WordPress-installatie. Door deze logbestanden van tijd tot tijd te bekijken, bent u op de hoogte van eventuele grote problemen met uw site en kunt u deze informatie gebruiken om deze op te lossen.

Whois-zoekopdracht

Met deze functie kunt u gedetailleerde informatie krijgen over een IP-adres of domein. Om informatie te krijgen, voert u de domeinnaam in en klikt u op 'Zoeken op IP of domein'.

Zwarte lijst

Met de Blacklist-functie kunt u specifieke IP-adressen, bereiken en user agents blokkeren, waardoor de toegang tot de site wordt ontzegd aan gebruikers en bots die deze IP-adressen voor spam of andere redenen hebben gebruikt. Deze functie wordt geïmplementeerd door bepaalde regels aan het .htaccess-bestand toe te voegen. Door gebruikers te blokkeren met behulp van .htaccess-bestandsrichtlijnen, beschikt u over een eerste verdedigingslinie die ongewenste bezoekers zal weggooien zodra ze een verzoek proberen in te dienen bij uw server.

Firewall

1. Basis firewallregels. Met de opties op dit tabblad kunt u enkele basisbeveiligingsregels op uw site toepassen. Deze firewallfunctionaliteit wordt bereikt door enkele speciale richtlijnen aan uw .htaccess-bestand toe te voegen.
   Het inschakelen van deze opties zou geen invloed moeten hebben op de algehele functionaliteit van uw site, maar als u dat wenst, kunt u een back-up van uw .htaccess-bestand maken voordat u deze instellingen inschakelt.
   • “Activeer basisfirewallfuncties.” Vink het vakje aan als u de firewall wilt activeren.
   • "Toegang tot XMLRPC volledig blokkeren." Selecteer deze optie als u de WP XML-RPC-functionaliteit niet gebruikt en externe toegang tot XMLRPC volledig wilt blokkeren.
   • "Pingback-functionaliteit uitschakelen vanuit XMLRPC." Als je Jetpack of WP iOS of andere applicaties gebruikt die WP XML-RPC vereisen, selecteer dan deze optie. Dit beschermt tegen pingback-kwetsbaarheden in WordPress. JE MOET IETS KIEZEN.
   • "Blokkeer toegang tot het debug.log-bestand." Vink het vakje aan als u de toegang wilt blokkeren tot het debug.log-bestand dat WordPress maakt wanneer debug-logboekregistratie is ingeschakeld.
2. Aanvullende firewallregels. Op dit tabblad kunt u aanvullende firewall-instellingen activeren om uw site te beschermen.
   • Schakel de mogelijkheid om door mappen te bladeren uit. Door dit vakje aan te vinken, verbieden we het bekijken van sitemappen.
   • Schakel http-tracering uit. Vink het vakje aan als u http-tracering wilt uitschakelen.

Op internet kun je alle nuttige informatie vinden, maar helaas is het ook een gunstige omgeving voor de activiteiten van aanvallers. De kwaadaardige software die ze ontwikkelden, wordt zowel gebruikt om waardevolle informatie te stelen als om destructieve controle uit te oefenen over verschillende internetsites en computers.

Er is een aanval, maar er is ook een verdediging. Deze universele WordPress-beschermer bevat de plug-in "All In One WP Security".
De plug-in heeft bij veel gebruikers een welverdiende, goede reputatie. Het voordeel is bovendien dat het perfect in het Russisch is vertaald, waardoor we volledige informatie en begrip hebben van alle functies van de instellingen.

Dit programma richt zich op verschillende veiligheidsgebieden. Het wijzigen van de gebruikersnaam is dezelfde kwaadaardige "admin". Er zijn tools om de wachtwoordbeveiliging te vergroten, de toegang tot de site te blokkeren, code te beschermen tegen kopiëren, te beschermen tegen spam, een beveiligingsscanner en de beoordeling ervan.

Er zijn beveiligingsopties voor databases en bestandssystemen beschikbaar. Het is mogelijk om een ​​back-up te maken van het richtlijnbestand " .htaccess " en het belangrijkste configuratiebestand "wp-config.php "

Bovendien is het mogelijk om het bestand te wijzigen " .htaccess" - een paar klikken op instellingen die diepgaande bescherming bieden. Automatische updates en nog veel meer, meer specifiek hieronder in de plug-in-instellingen.

Laten we dus beginnen met het installeren van de plug-in "All In One WP Security" op onze website.

Klik op afb.

Ga naar uw WordPress-dashboard

1) . Sleutel "Plug-ins"

"Nieuwe toevoegen"

2). In veld " Zoek naar plug-ins"voer de naam in - All In One WP Security

en druk op het toetsenbord van de computer op Enter

Klik op afb.

Een paar seconden zoeken

Plug-in gevonden.

Klik op de tekst " Installeren"

De volgende stap is het installeren van de plug-in. Klik op " Activeren"

Klik op afb.

De plug-in is erg belangrijk en verdient daarom zijn plaats
WordPress Dashboard-menukolom

Sleutel " WP-beveiliging "

Wanneer u met de muis over deze toets beweegt, verschijnt er een submenu met alle instellingen.

Er zijn er veel, we zullen ze allemaal behandelen tijdens het opzetten van de sitebeveiliging.

______________________________________________________________________________________

(Eerst) - Opening "Controlepaneel" inpluggen

Klik op afb.

In dit controlepaneel zijn de metingen van de visuele informant belangrijk voor ons. De groene sector is al een goede terreinbeveiliging. Ik raad niet aan om naar maximale prestaties te streven. Er zijn twee kanten aan elk bedrijf. In sommige opzichten win je en in andere opzichten verlies je. U kunt deze sluiten zodat niemand de site kan zien. En toch moet de meest noodzakelijke bescherming ten koste gaan van enkele website-indicatoren.

Hieronder staat de informant.

Statusstatus van de belangrijkste beveiligingsfuncties.

De afbeelding toont de initiële status en wat we moeten verkrijgen na alle noodzakelijke instellingen. In dit geval zullen de metingen van de visuele informant uiteraard aanzienlijk hoger zijn.

We haasten ons niet en klikken op de statusactiveringsknoppen. Tijdens het instellen ontvangen wij de benodigde status!

____________________________________________________________

(Seconde)Opening "Instellingen"

Klik op afb.

Deze plug-in brengt enkele wijzigingen aan in de belangrijkste WordPress-bestanden.

Gevorderde gebruiker,

Voordat u iets wijzigt, is het verplicht om eerst een reservekopie te maken in het programma of bestand dat u wijzigt.
Hetzelfde doen wij hier:
1). Back-up. Database, evenals bestanden .htaccessEn wp-config

Kopiëren kan rechtstreeks vanaf het hoofdbestand worden gedaan
instellingenpagina - klik op "Knoppentekst",

Hetzelfde als u afzonderlijke tabbladen gebruikt
(bovenste paneelmenu "Instellingen") .htaccess En wp-config pxp

2). In het WP - tabblad Meta-informatie

Klik op afb.

Vink het vakje aan naast 'Metagegevens van WP Generator verwijderen'. Op deze manier wordt de informatie dat deze op basis van WordPress is gemaakt, uit de sitecode verwijderd en wordt er bescherming geboden tegen het scannen van de siteversie. Klik vervolgens op de knop

3). Tab "Importeren exporteren". Tabblad Toekomst/verleden.
De algemeen aanvaarde procedure voor het exporteren/importeren van uw instellingen is
U maakt bijvoorbeeld een nieuwe website waarop u geen tijd hoeft te verspillen aan de instellingenprocedure, maar de exportbeveiligingsinstellingen van uw vorige website importeert.

4). 5). Items Schakel de functies “Beveiliging” en “Firewall” uit (indien nodig).

Er kunnen verschillende levensomstandigheden zijn die deze functies enige tijd uitschakelen, maar andere zullen wel werken. Er is iets bevroren, er moet iets opnieuw worden geïnstalleerd.

(We zijn allemaal wel eens een voorbeeld tegengekomen waarbij we onze antivirus een paar minuten moesten uitschakelen om een ​​of ander frauduleus programma op de computer te downloaden).

Conclusie: Paneel "Instellingen" Biedt een back-up van de hoofdbestanden voordat u gaat werken aan het activeren van de beveiligingshulpmiddelen voor onze site.

Biedt import/export van kant-en-klare instellingen.

Stopt met werken "WP Generator" metagegevensversie van de site.

Het probleem van het indien nodig uitschakelen van beveiligings- en firewallfuncties is ook opgelost.

_______________________________________________________

(Derde) Open het submenugedeelte"Beheerders"

Hier is het probleem van het wijzigen van het wachtwoord en het inloggen opgelost.

De acties zijn precies hetzelfde, kijk

Als de login bekend is - "beheerder" Het enige dat overblijft is het kiezen van het wachtwoord. Moderne programma's zullen onmiddellijk worden gehackt.

Het is verplicht om uw login en wachtwoord te wijzigen.

Het tabblad "Wachtwoord" biedt zeer interessante informatie over het wachtwoord dat we hebben gekozen. Namelijk, binnen welke periode kan deze wachtwoordcombinatie worden geselecteerd en gekraakt? Resultaten van enkele seconden tot duizenden jaren.

Het is raadzaam om hoofdletters en kleine letters en minimaal 1 cijfer in het wachtwoord te gebruiken;

Het wachtwoord mag niet alleen uit cijfers bestaan;

Het bijzondere karakter is welkom;

Het wachtwoord moet minimaal 12 tekens lang zijn.

Zie de foto. Hierdoor krijgt u de maximale mate van veiligheid voor uw wachtwoord.

_______________________________________________

(Vierde) Autorisatie

Klik op afb.

Opties 3, 5, 60 zijn standaard. Dit is de beste optie. Laten we het zo laten.

"Blokkeer onmiddellijk ongeldige gebruikersnamen." We zetten Kruis aan.

Nadat u bijvoorbeeld de loginnaam “admin” hebt gewijzigd in uw persoonlijke login, wordt het IP-adres geblokkeerd wanneer u een andere login invoert. Een paar keer heb ik uit traagheid mijn oude login ingevoerd en een uur gewacht; ik kon het admin-gedeelte niet betreden omdat ik geblokkeerd was. Wees daarom voorzichtig met dit item, anders riskeer je het vakje niet aan te vinken.

"Melding per e-mail" - Naar goeddunken van elke persoon. Ik heb het niet geplaatst.

Klik op de knop"Instellingen opslaan"

Klik op afb.

2).

Vink op dit tabblad het vakje aan "Automatisch uitloggen inschakelen"

We stellen het werkinterval in 600 minuten.

Overige - Informatieve tabbladen:
"Valse autorisatiepogingen" "Accountactiviteitenlogboek"
"Actieve sessies" helpen beveiligingsproblemen op te lossen.

_________________________________________________________________

(Vijfde)

Klik op afb.

Deze sectie is relevant als het gebruikersregistratieproces op de site is geactiveerd.

Op het tabblad "Handmatige bevestiging" Zet een vinkje bij het artikel "Activeer handmatige goedkeuring van nieuwe registraties"

Op het "tabblad" CAPTCHA tijdens registratie" afhankelijk van de behoefte aan dit attribuutplaats een vinkje bij het artikel "Activeer CAPTCHA op de registratiepagina" Klik op de knop

_____________________________________________________________________

(Zesde) Databasebescherming

Klik op afb.

Gelijktijdig met de installatie van WordPress wordt de enginedatabase aangemaakt. Dit zijn verschillende tabellen waarin alle informatie over de site wordt vastgelegd (instellingen, inhoud, opmerkingen, links, informatie over gebruikers, enz.). Dit is de basis van de werking van de motor.

De naam van elke tabel begint standaard met een voorvoegsel "wp_" En deze bekende eentonigheid is onveilig. Taak nr. 1 verander het voorvoegsel (genereer met behulp van het hulpprogramma of maak het zelf en registreer het).

Maar voordat u iets wijzigt, moet u altijd en overal een reservekopie maken. Als er een probleem is, kunt u terugdraaien.

Open daarom in het databasebeveiligingspaneel het tabblad "DB-back-up" Vul alle velden in zoals weergegeven in de afbeelding. Klik op de knop "Maak nu een databaseback-up" en nadat u een back-up heeft gemaakt, klikt u op de onderstaande knop "Instellingen opslaan"

Ga naar het eerste tabblad "DB-tabelvoorvoegsel"

Klik op afb.

Kiezen:

“Genereer een nieuw databasetabelvoorvoegsel” Wij hebben een vinkje gezet.

Klik "Tabelvoorvoegsel wijzigen"

De plug-in zelf zal het door hem gemaakte voorvoegsel genereren en toevoegen aan alle tabelnamen, zoiets als « latil_ ».

Er verschijnt informatie in welke bestanden dit voorvoegsel is geregistreerd.

Als u de Database Protection-instellingen afsluit en opnieuw inlogt, ziet u naast de regel "Genereer een nieuw databasetabelvoorvoegsel" uw werkelijke voorvoegsel. Maar zeker niet meer "wp_"

______________________________________________________________________________

(Zevende)

Klik op afb.

Op het eerste tabblad "Toegang tot bestanden" we moeten het juiste niveau van toegangsrechten instellen. Bij het installeren van WordPress wordt dit niveau meestal verlaagd.

Na activering controleert de plug-in onmiddellijk de naleving van dit niveau, waarover dit tabblad ons informeert.

Als er een bestand is met een laag toegangsniveau, meldt de knop in de extreme tekstkolom ons dat het noodzakelijk is om de aanbevolen machtigingen in te stellen. Wij gaan akkoord en klikken op deze knop

In werkelijkheid is een dergelijke actie in eerste instantie voor alle bestanden nodig. Het is onze taak om het resultaat te zien Aangeraden actie - Wat geen actie nodig .

Klik op afb.

Volgende tabblad "PHP-bestanden bewerken"

Ten eerste is het bewerken van PHP-bestanden via het WordPress-configuratiescherm duurder. Heb je iets verkeerd gedaan? Er is geen return (CTRL+Z) werkt niet. Laat professionals dit soort zaken afhandelen. Maar de veiligheid wordt onderschat als er zo’n mogelijkheid tot bewerken bestaat.

Vink het vakje "Bewerken van PHP-bestanden uitschakelen" aan

Hetzelfde voor het volgende tabblad "Toegang tot WP-bestanden"

Zet een vinkje "Verbied toegang tot informatiebestanden die standaard zijn aangemaakt bij het installeren van WordPress.:"

Tab "Systeemlogboeken ‘Wij raken niets aan.

________________________________________________________________________________

(Achtste) WHOIS - zoeken

WHOIS (uit het Engels. Wie is dit?) Er zijn geen instellingen op dit tabblad Instellingen. Hier is een informatie- en analysepagina. Je kunt zien wie je bombardeert met onnodige, lelijke berichten. Wanneer u de meest voorkomende anonimizer gebruikt, is het echter vrijwel onmogelijk om erachter te komen wiens IP-adres dit is. En toch zal deze zoekopdracht volledige informatie opleveren over respectabele sites en hun eigenaren.

___________________________________________________________________________________

(Negende) Zwarte lijst

Een zwarte lijst is precies dat: een zwarte lijst.
Als je iemand wilt verbannen, voer dan zijn IP-adres in en hij of zij zal vanaf een ander adres naar je toe komen.

_____________________________________________________________________________________

(Tiende) Firewall

Firewall of Firewall (beveiligingsmuur) is een softwareplug-in voor sitebescherming
De append to your file-methode wordt gebruikt .htaccess enkele bijzondere richtlijnen.

Elke firewallconfiguratieoptie heeft een gedetailleerde beschrijving van alle functies van deze optie. Klik op + Meer details. rechterrand

Open het dus in de Firewall-instellingen.

Tab Basis firewallregels

Wij vinken alle vakjes aan. Klik op "Basisfirewallinstellingen opslaan"

Tab Aanvullende firewallregels

We vinken de vakjes overal aan (analyseer het laatste punt; veel webmasters adviseren om het vakje niet aan te vinken - er kunnen problemen zijn met de opmerkingen op uw site). En klik door "Sla geavanceerde firewall-instellingen op "

Tabblad Instellingen 5G-firewall

Vink het vakje aan en klik op"Bewaar 5G-firewallinstellingen"

Internettabblad - bots

Laten we het overslaan. Wij vinken het vakje voor deze optie niet aan. Zoekrobots komen mogelijk niet op onze pagina's en er zullen problemen zijn met de site-indexering.

Tabblad Hotlinks voorkomen

Vink het vakje aan om de server tegen belasting te beschermen en te voorkomen dat onze afbeeldingen op andere sites worden gebruikt

Tabbladen" 404 detectie" en "Aangepaste regels"

Wij raken elkaar niet aan

___________________________________________________________________________________________

(Elfde)

Klik op afb.

Een brute force-aanval is een aanval door softwarerobots met als taak eenvoudigweg alle opties en combinaties van wachtwoorden op een website uit te proberen.

1). Het tabblad Bescherming tegen brute krachtaanvallen biedt "Hernoem inlogpagina"

Voorbeeld van een standaard login op het WordPress-dashboard

http://agrig.ru/wp-admin op dit tabblad wordt aanbevolen om de naam naar eigen goeddunken te wijzigen.

Zet een vinkje "Schakel de optie in om de inlogpagina te hernoemen:"

Onder de lijn Adres (URL) van de inlogpagina:

activeren veld(http://agrig.ru/ veld)

en schrijf bijvoorbeeld in dit veld dz-wp

Als gevolg hiervan krijgen we het inlogadres voor het configuratiescherm

http://agrig.ru/dz-wp
De kwaadaardige robot zal zo’n adres niet meer vinden!

2). Tab
"Bescherming tegen brute force-aanvallen met behulp van cookies"

Deze bescherming moet worden gebruikt voor degenen die slechts één browser gebruiken.

Ik gebruik deze bescherming niet. Ik werk vanuit verschillende browsers en verwijder vaak cookies.

3). Tab CAPTCHA voor inloggen.

Ik gebruik deze bescherming ook niet.

Het blijkt dat ik voor mezelf ook een extra controle invoer om te zien of ik een robot ben? Hoewel situaties anders kunnen zijn.

4). Tabblad "Witte lijst voor inloggen"

Met de All In One WP Security whitelist-functie kunt u alleen toegang tot de WordPress-inlogpagina toestaan ​​vanaf bepaalde adressen of IP-bereiken.
Deze functie zal de inlogtoegang weigeren voor alle IP-adressen die niet in de onderstaande witte lijst staan.
Om dit te doen, schrijft de plug-in de overeenkomstige regels naar het .htaccess-bestand.
Door verschillende IP-adressen toe te staan/te blokkeren met behulp van .htaccess-bestandsrichtlijnen, gebruikt u de eerste verdedigingslinie, omdat toegang tot de inlogpagina is alleen toegankelijk voor IP-adressen uit de witte lijst. Alle andere adressen worden geblokkeerd zodra ze de inlogpagina proberen te openen.

Dit is een citaat uit informatie van de plug-inontwikkelaars. Als je deze bescherming gebruikt, kun je eigenlijk vergeten wat een brute force-aanval is.

Ik gebruik het nog niet, ik moet vaak inloggen vanaf verschillende IP-adressen. Maar ik zal het meteen gebruiken als ik stilsta en natuurlijk als er minstens één aanval volgt.

5). Tab"Vat honing (Honeepot)"

En hier zorgen we ervoor dat we het vakje aanvinken voor de optie “Activeer honingpot op de inlogpagina:”
Klik "Instellingen opslaan"

Robots die proberen in te loggen met brute force wachtwoordcombinaties mogen het inlogformulier invullen. Maar als resultaat noteren ze hun registratieadres op het formulier. En met eer worden ze doorgestuurd naar hun huis. 'De student kwam in de problemen'

_______________________________________________________________________________________

(Twaalfde) Bescherming tegen SPAM

Klik op afb.

Ik kwam spam letterlijk tegen vanaf de eerste dagen dat ik de site maakte. Bots waren de eersten die van het bestaan ​​ervan op de hoogte waren. Er begonnen opmerkingen (abracadabra) op verschillende inzendingen te verschijnen. Hier moest iets aan gedaan worden. Zoals aanbevolen heb ik de plug-in "Akismet" geïnstalleerd en het probleem was opgelost.

Inpluggen "Alles-in-één WP-beveiliging" Hij heeft ook goede hulpmiddelen in zijn arsenaal om deze plaag te bestrijden.

Op het tabblad "Spam in de reacties" Er wordt voorgesteld om CAPTCHA te activeren in commentaarformulieren:

Mijn mening is dat het niet nodig is om het commentaarformulier op uw site te kneden, te verdraaien en aan te vullen, maar iedereen maakt zijn eigen beslissing\. aanvinken of niet aanvinken.

Hier is het volgende hulpmiddel "Blokkeer spambots voor commentaar:" Zorg ervoor dat u het vakje aanvinkt en klik op "Instellingen opslaan"

Tab "IP-adressen bijhouden voor reactiespam" Tabblad Informatie en analyse.
Je kunt zien waar de bijzonder ijverige bots vandaan komen en een beslissing nemen.

Tab BuddyPress

BuddyPress is een plug-in voor uitbreidingen en extra functies voor het werken op sociale netwerken. Wie heeft deze plug-in geïnstalleerd en vervolgens geactiveerd in de plug-in "Alles-in-één WP-beveiliging"dit tabblad wordt geactiveerd.

______________________________________________________________________

(Dertiende) Scanner

Klik op afb.

Tabblad Bestandswijzigingen bijhouden

Dit biedt informatie over verschillende wijzigingen in de systeembestanden van de site.

Gezien het feit dat deze bestanden zeer zelden worden gewijzigd en in de regel onder persoonlijke controle. Elke wijziging of aanvulling in het bestand zonder uw medeweten wordt u onmiddellijk medegedeeld, met specifieke instructies over waar en wat er is toegevoegd of gewijzigd.

Dit betekent helemaal niet dat dergelijke problemen wekelijks, maandelijks moeten worden opgelost. Maar het scanproces zou moeten werken.

Zet een vinkje "Activeer automatisch scannen op bestandswijzigingen:"

In de negeervelden kunt u bestanden markeren die regelmatig zullen veranderen.

Markeer met een vinkje "E-mail verzenden wanneer wijziging gevonden:" Controleer de correspondentie van uw e-mailadres of voer uw andere e-mailadres in.

Tab "Scannen tegen malware" Deze tool wordt betaald (7-9 dollar per maand). Wij kopen op aanvraag. Maar als uw site plotseling op de zwarte lijst van zoekmachines staat, kunt u niet zonder zo'n programma. Wij zullen waakzaam zijn en tijdig reageren op verdachte verschijnselen. We zullen de site niet op de zwarte lijst zetten.

Opmerking: Ustan Laten we nog een plug-in toevoegen. Naam van plug-in AntiVirus.

Plug-in "AntiVirus"

De installatie is standaard. Na activering - toets "Instellingen" Klik in het vervolgkeuzemenu op "AntiVirus"

Automatisch scannen instellen.

Schakel de dagelijkse antivirusscan in - Vink het vakje aan om automatisch scannen in te schakelen.
Alternatief e-mailadres voor meldingen - Geef uw alternatieve e-mailadres op.
Malware- en phishing-detectie door Google - Vink het vakje Detectie van malware en phishing op Google aan.

_________________________________________________________________________

(Veertiende)

Klik op afb.

Handig hulpprogramma. U kunt de site tijdelijk afsluiten voor bezoekers en de nodige werkzaamheden op de site uitvoeren.

Wijzig de websitesjabloon of alleen het ontwerp van de werksjabloon. Controleer of repareer de plug-in. Breng grote wijzigingen aan in berichten of websitepagina's.

Om dit op de pagina te doen

zet een vinkje "Onderhoudsmodus inschakelen:"

In het veld van de visuele editor schrijven we wat bezoekers van uw site moeten zien (voorbeeld in de afbeelding)

Klik

Na voltooiing van het werk: schakel het selectievakje uit en klik "Site-uitsluitingsinstellingen opslaan"

____________________________________________________________________________

(Vijftiende) Diversen

Deze tools in alle drie de tabbladen hebben geen enkele invloed op de veiligheid van de site. De pagina kan niet worden verborgen voor kopiëren. Er zijn dus extra problemen en er is iets meer tijd nodig om zo'n pagina te kopiëren. Ik heb nergens iets geactiveerd. Neem eens een kijkje, misschien zit er iets voor je bij.

Opening "Controlepaneel" WP-beveiliging

OVERZICHT VAN INSTELLINGEN

Klik op afb.

Deze foto geeft een goede beveiliging van de site aan.

Ga op zoek naar de maximale meetwaarden "Beveiligingsniveaumeter" Het niet waard. De wet is immers overal hetzelfde
"Je wint wat je verliest wat"
Je kunt je zo van alles afsluiten dat je zelfs niets meer ziet. Of laat bezoekers een hindernissenrace door het labyrint maken.

Let ook op Huidige status van de belangrijkste kenmerken - ALLES INCLUSIEF. Als we iets niet hebben, wees dan niet verlegen: we zullen het krijgen.

Misschien is er iets beters op internet als het gaat om het garanderen van de veiligheid, maar ik ben het nog niet tegengekomen. Als iemand het weet, deel het dan.

Het belangrijkste: de site is gemaakt. De veiligheid is gegarandeerd. Nu kunt u uw volgende taken in een rustige omgeving oplossen.

SUCCES!

Ik heb de plug-in voor uitgebreide WordPress-blogbescherming iThemes Security al beoordeeld, maar ik besloot nog een All In One WP Security & Firewall te testen. Het is de beste optie om het op uw sites te laten staan. Dus laten we installeren.

Ga naar de hoofdpagina van de All In One WP Security & Firewall-plug-in. Wij zien het volgende beeld. En meteen zien we de “Security Level Meter”. Mijn site scoorde 50 punten van de 470 mogelijke punten. Nou ja, niet veel. Misschien zal het niveau na het instellen ervan stijgen. Maar je moet er niet naar streven om de hoogst mogelijke score te behalen, omdat dit problemen met de site kan veroorzaken. Aan de rechterkant zien we het “Beveiligingsdiagram van onze site”.

Instellingen

Beheerders

WP-gebruikersnaam

Na installatie wijst WordPress automatisch de beheerdersgebruikersnaam “admin” toe (tenzij u deze handmatig wijzigt). Veel hackers proberen misbruik te maken van deze informatie door een ‘Brute Force Attack’ te gebruiken, waarbij ze systematisch het wachtwoord raden met het woord ‘admin’ als gebruikersnaam. Daarom wordt aanbevolen om het naar een ander te wijzigen.

Weergavenaam

Wanneer u een bericht publiceert of op een opmerking reageert, geeft WordPress meestal uw “bijnaam” weer. Standaard is de weergavenaam van de gebruiker identiek aan de accountaanmelding. Uit veiligheidsoverwegingen is het raadzaam deze te wijzigen, zodat niemand kan achterhalen met welke login u inlogt.

Wachtwoord

Een onjuist wachtwoord is de meest voorkomende kwetsbaarheid op de meeste sites, en het eerste wat een hacker zal doen om in te breken op een site is proberen het wachtwoord te raden. In dit gedeelte kunt u de sterkte van het wachtwoord dat u gebruikt controleren. Als een hacker uw wachtwoord probeert te raden, kunt u hier een schatting maken van de tijd die hij hieraan zal besteden.

Autorisatie

Een van de meest voorkomende methoden die hackers gebruiken om een ​​website binnen te dringen, is een brute force-aanval. Dit is de naam voor meerdere inlogpogingen waarbij wachtwoorden worden geraden. Naast het kiezen van sterke wachtwoorden, het monitoren en blokkeren van IP-adressen die betrokken zijn bij herhaalde mislukte inlogpogingen binnen een korte periode, is het blokkeren van het aantal inlogpogingen en het beperken van de tijdsperiode voor dergelijke pogingen een zeer effectieve manier om dit soort pogingen tegen te gaan. van aanvallen.

Autorisaties blokkeren

• Schakel opties in om autorisatiepogingen te blokkeren. Wij hebben een vinkje gezet.
• Sta ontgrendelingsverzoeken toe. Ik begrijp niet helemaal wat deze functie betekent. Ik heb het niet ingeschakeld.
• Maximaal aantal inlogpogingen. Stel de waarde in voor het maximale aantal inlogpogingen voordat het IP-adres wordt geblokkeerd. Ik heb standaard drie pogingen achtergelaten.
• Tijdslimiet voor autorisatiepogingen (minuten). De standaardinstelling is vijf minuten. Drie pogingen uit de vorige paragraaf resulteren in een blokkering van de gebruiker als de pogingen binnen de hier aangegeven tijdsperiode plaatsvinden.
• Blokkeerperiode (minuten). Geef de periode op gedurende welke IP-adressen worden geblokkeerd
• Autorisatiefoutmeldingen weergeven. Vink deze optie aan als u wilt dat er een foutmelding wordt weergegeven wanneer inlogpogingen mislukken. Ik heb het niet aangetrokken. Het is niet nodig dat een aanvaller informatie over fouten ontvangt.
• Blokkeer ongeldige gebruikersnamen onmiddellijk. Deze optie heb ik niet ingeschakeld omdat ik zelf de login verkeerd kon invoeren en voor een uur geblokkeerd kon worden. Anderen kunnen ook fouten maken.
• Blokkeer specifieke gebruikersnamen onmiddellijk. Onmiddellijke blokkering van specifieke gebruikers. Meestal proberen ze de logins “admin” en “administrator” te hacken. Als u ze dus niet gebruikt, kunt u ze aan de lijst toevoegen.
• Informeer per e-mail. Als u een site heeft met weinig verkeer, kunt u het vakje aanvinken. Anders wordt u mogelijk overspoeld met deze meldingen.

Records van mislukte inlogpogingen op uw site worden hier weergegeven. De onderstaande informatie kan nuttig zijn als u inlogpogingen moet onderzoeken. Hier vindt u het IP-bereik, de gebruikersnaam en de ID (indien mogelijk) en de tijd/datum van een mislukte poging om in te loggen op de site.

Automatische uitlogopties voor gebruikers

Het instellen van een tijdslimiet voor de beheersessie is een eenvoudige manier om u te beschermen tegen ongeoorloofde toegang tot uw website vanaf uw computer. Met deze optie kunt u een tijdsperiode instellen waarna de beheerderssessie verloopt en de gebruiker opnieuw moet inloggen.

• Schakel automatisch uitloggen in. Vink deze optie aan om de inlogsessies van gebruikers na een bepaalde periode automatisch te beëindigen. Vink het vakje aan als je het nodig hebt. Ik denk dat als je alleen vanaf je thuiscomputer inlogt, dit niet nodig is.
• Gebruiker uitloggen via. Na deze periode wordt de gebruiker automatisch uitgelogd.

Dit toont de activiteit van beheerders op uw site. De onderstaande informatie kan nuttig zijn als u onderzoek doet naar gebruikersactiviteit, omdat deze de laatste 50 inloggebeurtenissen toont met gebruikersnaam, IP-adres en inlogtijd.

Alle gebruikers die momenteel zijn ingelogd op uw site worden hier weergegeven. Als u vermoedt dat er een actieve gebruiker op het systeem is die dat niet zou moeten zijn, kunt u deze blokkeren door het IP-adres in de onderstaande lijst te controleren en deze aan de zwarte lijst toe te voegen.

Gebruikersregistratie

Handmatige bevestiging

Als uw site mensen toestaat hun eigen accounts aan te maken via een WordPress-registratieformulier, kunt u SPAM en frauduleuze registraties tot een minimum beperken door elke registratie handmatig te bevestigen. Deze functie markeert nieuwe registratieaccounts automatisch als 'in behandeling' totdat de beheerder ze activeert. In dit geval kunnen ongewenste registranten niet inloggen zonder uw bevestiging. In de handige tabel hieronder zie je alle recent geregistreerde accounts en je kunt ook meerdere accounts tegelijk activeren, deactiveren of verwijderen.

• Activeer handmatige goedkeuring van nieuwe registraties. Vink hier het vakje aan als u wilt dat alle nieuwe accounts automatisch als inactief worden aangemaakt, zodat u ze handmatig kunt bevestigen.

Captca bij registratie

Met deze functie kunt u een CAPTCHA-veld toevoegen aan de WordPress-registratiepagina. Bovendien moeten gebruikers die zich proberen te registreren een eenvoudige wiskundevraag beantwoorden. Als het antwoord onjuist is, voorkomt de plug-in dat ze zich registreren. Omdat ik de Google captcha al geïnstalleerd heb, heb ik deze functie niet geactiveerd.

Databasebescherming

Databaseback-up

• Schakel het automatisch maken van back-ups in. Schakel dit selectievakje in om het systeem automatisch volgens een schema databaseback-ups te laten maken.
• Back-upfrequentie. Hangt af van uw achterdocht en de frequentie waarmee uw site wordt bijgewerkt. Ik heb het maken van een databasekopie één keer per week ingesteld.
• Aantal back-ups voor opslag. Geef in dit veld het aantal back-upkopieën op dat moet worden opgeslagen in de back-upmap van de plug-in. Ik heb de standaardwaarde achtergelaten: twee exemplaren.
• Stuur een back-up naar e-mail. Schakel dit selectievakje in als u een databaseback-up in uw e-mail wilt ontvangen. Ik raad aan om het in te schakelen.

Beveiliging van bestandssysteem

Bestandstoegang

Stel lees-/schrijfrechten in voor WordPress-bestanden en -mappen om de toegang tot die bestanden te controleren. Wanneer u WordPress voor het eerst installeert, wijst het automatisch redelijke machtigingen toe aan het bestandssysteem. Soms wijzigen mensen of plug-ins echter de machtigingen voor bepaalde mappen en bestanden, waardoor het beveiligingsniveau van hun site wordt verlaagd door onjuiste machtigingen in te stellen. Deze optie scant alle belangrijke mappen en WordPress-kernbestanden en markeert eventuele onveilige instellingen.

PHP-bestanden bewerken

Standaard kunt u in het WordPress-beheerderspaneel PHP-bestanden voor plug-ins en thema's bewerken. Dit is de eerste hulp voor een hacker die toegang heeft gekregen tot de beheerdersconsole, waardoor hij de mogelijkheid heeft om welke code dan ook op uw server uit te voeren.
Deze optie schakelt de mogelijkheid uit om bestanden vanuit het beheerderspaneel te bewerken.

• Schakel de mogelijkheid uit om PHP-bestanden te bewerken. Vink dit vakje aan om te voorkomen dat PHP-bestanden vanuit het WordPress-beheerderspaneel worden bewerkt.

Naar mijn mening is dit geen erg nuttige functie. Dezelfde hacker kan immers dezelfde plugin uitvinken als hij toegang krijgt tot jouw beheerdersprofiel. Als gevolg hiervan ondervindt u hinder, aangezien u voor het invoeren van de code voor hetzelfde loket naar de hosting moet gaan.

Toegang tot WP-bestanden

Deze optie ontzegt de toegang tot bestanden zoals readme.html, License.txt en wp-config-sample.php, die zijn gemaakt tijdens de installatie van WordPress en geen systeembelasting met zich meebrengen, maar door de toegang tot deze bestanden te beperken, kunt u deze verbergen belangrijke informatie van hackersinformatie (zoals WordPress-versie).

• Voorkom toegang tot informatiebestanden die standaard worden aangemaakt bij het installeren van WordPress. Vink dit vakje aan.

Systeemlogboeken

Uw server kan periodiek foutrapporten publiceren in speciale bestanden genaamd "error_log". Afhankelijk van de aard en oorzaken van de fout kan uw server meerdere logbestanden aanmaken in verschillende mappen van uw WordPress-installatie. Door deze logbestanden van tijd tot tijd te bekijken, bent u op de hoogte van eventuele grote problemen met uw site en kunt u deze informatie gebruiken om deze op te lossen.

WHOIS-zoekopdracht

Met deze functie kunt u gedetailleerde informatie krijgen over een IP-adres of domein. Een handige functie, omdat u nieuwsgierig zult zijn naar informatie over de adressen van de aanvallers. Het is niet nodig om naar internet te gaan op zoek naar dergelijke diensten.

Met de Blacklist-functie kunt u specifieke IP-adressen, bereiken en user agents blokkeren, waardoor de toegang tot de site wordt ontzegd aan gebruikers en bots die deze IP-adressen voor spam of andere redenen hebben gebruikt. Deze functie wordt geïmplementeerd door bepaalde regels aan het .htaccess-bestand toe te voegen.

• Zwarte lijst bijhouden. Vink dit vakje aan als u gespecificeerde IP-adressen of user agents wilt kunnen verbieden.
• Voer IP-adressen in. Elk adres staat op een nieuwe regel.
• Voer de namen van de user-agents in. Voer elke user-agent op een aparte regel in.

Om deze optie in te schakelen en 15 beveiligingspunten te ontvangen, moet u minimaal één IP-adres of user-agent invoeren.

Firewall

Basis firewallregels

Met de opties op dit tabblad kunt u enkele basisbeveiligingsregels op uw site toepassen. Deze firewallfunctionaliteit wordt bereikt door enkele speciale richtlijnen aan uw .htaccess-bestand toe te voegen. Het inschakelen van deze opties zou geen invloed moeten hebben op de algehele functionaliteit van uw site, maar als u dat wenst, kunt u een back-up van uw .htaccess-bestand maken voordat u deze instellingen inschakelt.

• Activeer de basisfirewallfuncties. Vink dit vakje aan om de basisfirewallfuncties op uw site te activeren. Ik raad aan om het te installeren.

Met deze optie wordt het volgende basisbeveiligingsmechanisme op uw site gestart:

1. Beschermt het htaccess-bestand tegen ongeoorloofde toegang.
2. Schakelt de serverhandtekening uit in reacties op verzoeken.
3. Beperkt de limiet voor de grootte van geüploade bestanden tot 10 MB.
4. Beschermt uw wp-config.php-bestand tegen ongeautoriseerde toegang.

De bovenstaande functionaliteit wordt bereikt door bepaalde richtlijnen aan het .htaccess-bestand toe te voegen en zou de algehele prestaties van uw site niet moeten beïnvloeden. Voor de zekerheid is het echter raadzaam eerst een reservekopie van uw .htaccess-bestand te maken.

WordPress XMLRPC & Pingback-kwetsbaarheidsbescherming

• Blokkeer de toegang tot XMLRPC volledig. Ik raad aan om het te installeren. Een van mijn sites werd opnieuw geladen met dergelijke verzoeken en de host bombardeerde mij met klachten over overbelasting van de server.

Deze functie is nodig voor degenen die via smartphones berichten op hun blog publiceren en bewerken. Als je het niet nodig hebt, kun je het gerust uitschakelen. Op deze manier kan een aanvaller niet:

1. Overbelast de server met verzoeken en schakel deze daardoor uit (DoS-aanval).
2. Hack interne routers.
3. Scan interne netwerkpoorten om informatie te verkrijgen van verschillende hosts op de server.

Deze optie verbetert niet alleen de sitebeveiliging, maar helpt ook de belasting van uw server aanzienlijk te verminderen, vooral als uw site veel ongewenst verkeer ontvangt dat zich richt op de XML-RPC API.

• Schakel de Pingback-functionaliteit van XMLRPC uit. Vink het vakje aan. Pingback-beveiliging.

Blokkeer de toegang tot het foutopsporingslogbestand

• Toegang tot het debug.log-bestand blokkeren. Toegang tot het foutopsporingslogbestand blokkeren. Vink het vakje aan.

Aanvullende firewallregels

Op dit tabblad kunt u aanvullende firewall-instellingen activeren om uw site te beschermen. Deze opties worden geïmplementeerd door bepaalde regels aan uw .htaccess-bestand toe te voegen. Vanwege bepaalde functies kunnen deze regels de functionaliteit van sommige plug-ins ondermijnen. Het wordt daarom aanbevolen om een ​​back-up van het .htaccess-bestand te maken voordat u deze inschakelt.

• Directory-inhoud bekijken. Schakel dit selectievakje in om gratis browsen door mappen op uw site te voorkomen. Om deze functie te laten werken, moet de instructie "AllowOverride" zijn ingeschakeld in uw httpd.conf-bestand. Als u geen toegang heeft tot het httpd.conf-bestand, neem dan contact op met uw hostingprovider.
• HTTP-trace. Vink dit vakje aan om uzelf te beschermen tegen HTTP-tracering. HTTP-tracing-aanvallen (cross-site tracing, of XST) worden gebruikt om informatie te verkrijgen uit de HTTP-headers die door de server worden geretourneerd en om cookies en andere informatie te stelen. Deze hacktechniek wordt meestal gebruikt in combinatie met cross-site scripting (XSS). Deze optie is ontworpen om bescherming te bieden tegen dit soort aanvallen.
• Schakel opmerkingen via proxy uit. Vink dit vakje aan om proxycommentaar uit te schakelen. Verbied kwaadaardige tekenreeksen in verzoeken. Deze optie is ontworpen om te beschermen tegen het injecteren van kwaadaardige code tijdens XSS-aanvallen. WAARSCHUWING: Sommige van de geblokkeerde tekenreeksen kunnen in sommige plug-ins of in uw thema worden gebruikt, en daarom kan deze optie hun functionaliteit verbreken. Zorg ervoor dat u een back-up van .htaccess maakt voordat u deze optie installeert.
• Verbied kwaadaardige tekenreeksen in verzoeken. Deze optie is ontworpen om te beschermen tegen het injecteren van kwaadaardige code tijdens XSS-aanvallen. WAARSCHUWING: Sommige van de geblokkeerde tekenreeksen kunnen in sommige plug-ins of in uw thema worden gebruikt, en daarom kan deze optie hun functionaliteit verbreken. Zorg ervoor dat u een reservekopie maakt van uw .HTACCESS-BESTAND.
• Schakel extra tekenfiltering in. Dit is een aanvullende tekenfiltering om kwaadaardige opdrachten te blokkeren die worden gebruikt bij XSS-aanvallen (cross-site scripting). Met deze optie worden veelvoorkomende malwarevoorbeelden en exploits vastgelegd en wordt een 403-foutmelding (Toegang geweigerd) aan de hacker geretourneerd. WAARSCHUWING: Sommige richtlijnen in deze instellingen kunnen de functionaliteit van de site verstoren (dit is afhankelijk van de hostingprovider). Zorg ervoor dat u een reservekopie maakt van uw .HTACCESS-BESTAND.

6G Blacklist-firewallregels

Schakel deze opties in als u het volgende wilt:

1. Blokkeren van verboden tekens die vaak worden gebruikt bij hackeraanvallen.
2. Blokkeren van kwaadwillig gecodeerde tekenreeksen in URL's zoals ".css" enz.
3. Bescherming tegen veelvoorkomende kwaadaardige codepatronen en specifieke exploits (reeksen van opdrachten die misbruik maken van bekende kwetsbaarheden) in URL's.
4. Blokkeren van verboden tekens in aanvraagparameters.

Schakel 6G-firewallbescherming in. Met deze optie wordt de 6G-bescherming op uw website geactiveerd.

Schakel verouderde 5G-firewallbescherming in. Deze optie activeert 5G-bescherming op uw website.

Internetbots

• Blokkeer valse Googlebots. Vink dit vakje aan als u alle valse Google-bots wilt blokkeren.

Deze functie controleert of het User Agent-informatieveld de string “Googlebot” bevat. In dit geval voert de functie verschillende tests uit om er zeker van te zijn dat het inderdaad een Google-bot is. Zo ja, dan kan de bot blijven werken. Gebruik deze functie met voorzichtigheid om problemen met de indexering in geval van een fout te voorkomen.

Voorkom hotlinks

Hotlinking is wanneer iemand op zijn site een afbeelding weergeeft die daadwerkelijk op uw site staat, met behulp van een directe link naar de afbeeldingsbron op uw server. Omdat de afbeelding die op de site van iemand anders wordt getoond, afkomstig is van uw site, kan dit voor u resulteren in een verlies aan snelheid en middelen, omdat uw server deze afbeelding moet doorgeven aan de mensen die deze op de site van iemand anders zien. Deze functie voorkomt directe hotlinks naar afbeeldingen van uw pagina's door een paar instructies toe te voegen aan uw .htaccess-bestand.

• Voorkom hotlinks naar afbeeldingen. Vink dit vakje aan om te voorkomen dat afbeeldingen van deze site op pagina's van andere sites (hotlinks) worden gebruikt.

404 detectie

Er treedt een 404- of 'Pagina niet gevonden'-fout op wanneer iemand een pagina opvraagt ​​die niet op uw site staat. De meeste 404-fouten gebeuren wanneer een bezoeker de URL van een pagina verkeerd heeft gespeld of een oude link naar een pagina heeft gebruikt die niet meer bestaat. Soms merk je echter in relatief korte tijd een groot aantal 404-fouten achter elkaar vanaf hetzelfde IP-adres, met verzoeken om URL’s van pagina’s die niet bestaan. Dit gedrag kan betekenen dat de hacker met kwaadaardige bedoelingen een speciale pagina of URL probeert te vinden.

• Schakel 404 IP-detectie en vergrendeling in. Vink dit vakje aan als u bepaalde IP-adressen wilt kunnen blokkeren.
• Blokkeerperiode vanwege 404-fouten (minuten). Geef de periode op gedurende welke IP-adressen worden geblokkeerd.
• Omleidings-URL voor 404-fout. De geblokkeerde bezoeker wordt automatisch doorgestuurd naar de URL die u heeft opgegeven.

U kunt alle IP-adressen blokkeren die zijn vastgelegd in de onderstaande tabel met 404-foutlogboeken. Om een ​​IP-adres te blokkeren, beweegt u uw muis over de ID-kolom en klikt u op de link “Tijdelijk blokkeren” voor het overeenkomstige IP-adres.

Aangepaste regels

U kunt aanvullende regels instellen in het htaccess-bestand. Wij raken niets aan.

Bescherming tegen brute force-aanvallen

Hernoem de inlogpagina

Een effectieve maatregel om u te beschermen tegen brute kracht van wachtwoorden is het wijzigen van het adres van de inlogpagina. Om in te loggen bij WordPress typt u doorgaans de basis-URL van de site, gevolgd door wp-login.php (of wp-admin).

• Schakel de optie in om de inlogpagina te hernoemen. Vink het vakje aan als u de functie voor het wijzigen van de naam van de inlogpagina wilt activeren.
• Adres (URL) van de inlogpagina. Geef een nieuw pad naar het beheerdersdashboard op.

Bescherming tegen brute force-aanvallen met behulp van cookies

• Activeer de bescherming tegen brute force-aanvallen. Deze functie ontzegt de toegang tot uw inlogpagina aan elke gebruiker die geen speciale cookie in zijn browser heeft.
• Geheim woord. Voer een geheim woord in dat bestaat uit alfanumerieke tekens (Latijnse letters), die moeilijk te raden zijn. Dit woord wordt gebruikt om een ​​speciale URL aan te maken waarmee u toegang krijgt tot de inlogpagina (zie volgend punt).
• Omleidings-URL. Voer de URL in waarnaar de hacker wordt omgeleid wanneer hij probeert toegang te krijgen tot uw inlogformulier. Je kunt creatief zijn en hackers doorverwijzen naar bijvoorbeeld de CIA- of FSB-website.
• Mijn site bevat berichten of pagina's die zijn vergrendeld door de ingebouwde wachtwoordbeveiligingsfunctie van WordPress.. Als u uw berichten en pagina's met wachtwoorden beveiligt met behulp van de overeenkomstige ingebouwde WordPress-functie, moet u enkele aanvullende richtlijnen toevoegen aan het .htaccess-bestand. Als u deze optie inschakelt, worden de benodigde regels aan het .htaccess-bestand toegevoegd, zodat mensen die toegang proberen te krijgen tot deze pagina's niet automatisch worden geblokkeerd.
• Deze site heeft een thema of plug-in die AJAX gebruikt. Vink het vakje aan als uw site AJAX-functionaliteit gebruikt.

Captcha voor inloggen

Met deze functie kunt u een CAPTCHA-veld toevoegen aan uw WordPress-inlogpagina.

• Schakel CAPTCHA in op de inlogpagina. Schakel dit selectievakje in om een ​​CAPTCHA toe te voegen aan de inlogpagina van uw site.
• Activeer het CAPTCHA-formulier op de gewijzigde inlogpagina. Vink hier het vakje aan om een ​​CAPTCHA toe te voegen aan een speciaal inlogformulier, dat wordt gegenereerd door de functie wp_login_form()
• Activeer CAPTCHA op de pagina “wachtwoord vergeten”.. Vink hier het vakje aan om een ​​CAPTCHA toe te voegen op de wachtwoordherstelpagina.

Witte lijst voor inloggen

Met de All In One WP Security whitelist-functie kunt u alleen toegang tot de WordPress-inlogpagina toestaan ​​vanaf bepaalde adressen of IP-bereiken. Voeg een lijst met op de witte lijst geplaatste IP-adressen of IP-bereiken toe. Alle andere adressen worden geblokkeerd zodra ze de inlogpagina proberen te openen.

Vat honing (honingpot)

Met deze functie kunt u een speciaal, verborgen “honingpot”-veld toevoegen op de inlogpagina. Het zal alleen zichtbaar zijn voor robots. Omdat robots vullen meestal alle velden van het inlogformulier in, ze sturen ook wat waarde naar een speciaal, verborgen veld van de honingpot. Als de plug-in ziet dat dit veld is ingevuld, wordt de robot die probeert in te loggen op uw site daarom doorgestuurd naar zijn eigen adres, namelijk http://127.0.0.1.

• Activeer de honingpot op de inlogpagina. Schakel dit selectievakje in om de honeypot-functie op de inlogpagina in te schakelen.

Beveiliging tegen spam

Spam in reacties

• Schakel CAPTCHA in commentaarformulieren in. Vink dit vakje aan om een ​​CAPTCHA-veld in het commentaarformulier in te voegen.
• Voorkom dat spambots reageren. Vink dit vakje aan om firewallregels te activeren om reacties van spambots te blokkeren. Deze functie creëert een firewallregel die pogingen blokkeert om een ​​reactie op te nemen als het verzoek niet afkomstig is van een pagina op uw domein. Een eerlijke reactie wordt altijd ingediend door iemand die het reactieformulier invult en op de knop 'Verzenden' klikt. In dit geval heeft het veld HTTP_REFERRER altijd een waarde die verwijst naar uw domein. Een reactie van een spambot wordt onmiddellijk verzonden met een verzoek naar het bestand comments.php, dit betekent meestal dat het HTTP_REFERRER-veld leeg kan zijn, of verwijst naar een buitenlands domein. Deze functie controleert en blokkeert reacties die niet afkomstig zijn van uw domein. Dit vermindert het totale aantal SPAM- en PHP-verzoeken op uw server aanzienlijk bij het verwerken van spamverzoeken.

IP-adres bijhouden voor reactiespam

De Akismet-plug-in moet geïnstalleerd zijn.

• Schakel automatisch blokkeren van SPAM-commentaar-IP's in. Instellen om automatisch IP-adressen te blokkeren waarvandaan opmerkingen worden verzonden.
• Minimum aantal SPAM-opmerkingen. Geef het minimumaantal spamreacties op voor één IP-adres, waarna het wordt geblokkeerd.
• Minimumaantal spamreacties per IP. Deze informatie kan nuttig zijn bij het identificeren van IP-adressen of reeksen IP-adressen die het meest consistent door spammers worden gebruikt. Door deze informatie te analyseren, kunt u snel bepalen welke adressen of bereiken moeten worden geblokkeerd door ze aan de zwarte lijst toe te voegen.

BuddyPress

Deze functie voegt een CAPTCHA met een eenvoudig wiskundig probleem toe aan het BuddyPress-registratieformulier. Het toevoegen van een CAPTCHA-veld aan het registratieformulier is een eenvoudige manier om het aantal spamregistraties van robots aanzienlijk te verminderen, zonder de regels in het .htaccess-bestand te wijzigen.

Scanner

• Schakel automatisch scannen naar bestandswijzigingen in. Schakel dit selectievakje in om het systeem automatisch te laten controleren of er wijzigingen in bestanden zijn op basis van de onderstaande instellingen.
• Scanfrequentie. Geef de scanfrequentie op.
• Negeer de volgende bestandstypen. Voer allereerst afbeeldingsbestanden in die regelmatig kunnen veranderen zonder de veiligheid van de site in gevaar te brengen: jpg, jpeg, png, bmp.
• Negeer bepaalde bestanden en mappen. Geef eerst de cachemap op.

Onderhoudsstand

Met deze optie kunt u uw site in de onderhoudsmodus zetten, waardoor het voor bezoekers onmogelijk wordt om de site te bekijken, met uitzondering van beheerders. Dit kan erg handig zijn als u iets aan het aanpassen bent, het ontwerp wijzigt, de werking van plug-ins controleert, enz. enzovoort.

Gemengd

• Activeer de kopieerbeveiliging. Schakel deze optie in als u de functies ‘Rechts klikken’, ‘Tekst markeren’ en ‘Kopiëren’ op openbare pagina’s van uw site wilt blokkeren.
• Activeer iframe-beveiliging. Vink dit vakje aan als u wilt voorkomen dat andere sites uw inhoud in een frame of iframe weergeven.
• Schakel gebruikerstelling uit. Met deze functie kunt u voorkomen dat gebruikers/bots gebruikersinformatie zoals "/?Author=1" extraheren. Indien ingeschakeld, genereert deze functie een fout in plaats van gebruikersinformatie te verstrekken.

Beoordeel dit artikel

Alles-in-één WP Security & Firewall-beveiligingsplug-in voor WordPress

4,3 (86,67%) 3 stemmen

Goedemiddag aan alle lezers, vandaag zullen we opnieuw de kwestie van websitebeveiliging op WordPress bespreken. Maar niet in abstracte zin, maar met behulp van het voorbeeld van het opzetten van de uitstekende All In One WP Security & Firewall-plug-in, die ik met succes op een aantal van mijn sites gebruik en u met vertrouwen kan aanbevelen.

All In One WP Security & Firewall is een van de universele WordPress-beschermers waarover u kunt lezen. Dit soort ‘hoeders van alle beroepen’ biedt in principe in veel opzichten uitgebreide bescherming. De plug-in heeft een goede gebruikersbeoordeling en is volledig gratis.

Een van de belangrijke voordelen is dat All In One WP Security & Firewall perfect in het Russisch is vertaald en dat het beheersen van alle functies niet moeilijk is voor degenen die op school geen vreemde talen hebben geleerd. De vertaling is voltooid - dat wil zeggen, niet alleen de hoofdfuncties, maar bijna alle tips ervoor. Ze geven u een compleet beeld en inzicht in de noodzaak en het belang van bepaalde instellingen.

Structureel bestaat de plug-in uit enkele tientallen opties die u vrij kunt in- of uitgeschakeld laten. De opname van bepaalde opties wordt weergegeven in speciale selectievakjes. De prioriteit van deze optie is daar ook zichtbaar.

Het doel van dit artikel is niet zozeer het opsommen van de instellingen (je kunt ze toch gemakkelijk zien, bestuderen en begrijpen), maar mijn visie op wat er wel in moet staan ​​en wat om de een of andere reden kan worden verwaarloosd. Laten we beginnen.

Alles-in-één WP-beveiliging en firewall instellen

Controlepaneel

• Informatiewidgets met een visuele beschermingsindicator, een diagram van alle beschermingspunten, met actieve sessies en geblokkeerde IP's. Er moet bijzondere aandacht worden besteed aan de widget - Actuele status van de belangrijkste functies. Hier kunt u direct, zonder u te verdiepen in de instellingen, de belangrijkste beveiligingselementen inschakelen.
• Systeem informatie. Informatie over de site, PHP-versie en alle geïnstalleerde plug-ins wordt weergegeven. Tabblad - Geblokkeerde IP-adressen en een tabblad met plug-inlogboeken. In het begin zal alles op deze tabbladen natuurlijk leeg zijn.
• Tabbladen - Geblokkeerde IP's en logboeken. U hoeft hier niets te configureren.

Instellingen

• Tabbladen met algemene instellingen. Er is niets geconfigureerd, maar u kunt onmiddellijk back-ups maken van .htaccess, database en wp-config.php. Je kunt alle instellingen in één klap meteen uitschakelen als er iets misgaat en er problemen ontstaan.
• WP-meta-informatie. Zet het aan.

Beheerders

• WP-gebruikersnaam. Als uw login niet Admin is, dan is alles in orde. Anders moet je het zeker veranderen. Dit is een heel belangrijk kenmerk. Als u in de toekomst opgeeft dat u e-mailmeldingen ontvangt over tijdelijk geblokkeerde gebruikers die hebben geprobeerd in te loggen met de beheerderslogin, zult u onaangenaam verrast zijn. Voor mij zijn dit minimaal 2-5 e-mails per dag (zie Autorisaties blokkeren).
• Weergavenaam. Toont alle geregistreerde gebruikers waarvan de login overeenkomt met hun naam (bijnaam). Als u naast uzelf niemand heeft, is de lijst leeg. Als er gebruikers zijn, kunt u beginnen met het corrigeren van bijnamen. Geen erg belangrijke functie - je kunt hem met rust laten.
• Wachtwoord. Een interessante tool die u visueel de sterkte van elk wachtwoord laat zien. Afgaande hierop is het zinvol om complexe wachtwoorden van minimaal 10 tekens in te stellen.

Autorisatie

• Autorisaties blokkeren. Een handige functie voor het raden van wachtwoorden. Zorg ervoor dat u de instellingen naar uw smaak inschakelt en aanpast, of laat ze zoals ze standaard zijn. Ik raad aan om, in ieder geval tijdelijk, meldingen over geactiveerde blokkering per e-mail in te schakelen. Gewoon om te begrijpen hoe belangrijk deze functie is.
• Onjuiste autorisaties. Hier zijn de statistieken. U hoeft niets te configureren.
• Automatisch uitloggen van gebruikers. Het is niet handig voor uw gebruikers en geeft u weinig beveiligingspunten. Je hoeft het niet aan te zetten.
• Activiteitenlogboek en actieve sessies - informatie en logboeken.

Gebruikersregistratie

• Handmatige bevestiging. Over het algemeen is dit een zeer nuttige functie als u niet zo vaak registraties op uw site heeft en als deze überhaupt zijn toegestaan. Je kunt het inschakelen.
• Captcha tijdens registratie. Installeert een eenvoudige, digitale captcha op het registratieformulier. Eerlijk gezegd vond ik de manier waarop het werkte niet leuk. Ik gebruik een aparte: Math Captcha. Het lijkt in alles hetzelfde te zijn, maar in tegenstelling tot de ingebouwde werkt het veel beter. Bepaal zelf wat u kiest.

Database

• Het voorvoegsel van uw databasetabellen wijzigen. Het is de moeite waard om dit in te schakelen, maar toch raad ik u aan om vooraf een back-up van de database te maken.
• Databaseback-up. Ik raad aan om het in te schakelen. Normaal gesproken nemen databases niet veel ruimte in beslag en is het ook niet overbodig als u een andere back-up voor de site gebruikt.

Bestandssysteem

• Toegang tot bestandssysteem. Stel de gewenste waarde voor toegang tot mappen in de kolom Aanbevolen actie in, zodat de hele lijst groen wordt.
• PHP-bestanden bewerken. U kunt een bewerkingsverbod inschakelen via het beheerdersdashboard, tenzij u uiteraard zelf bestanden op deze manier bewerkt.
• Toegang tot WP-bestanden. Toegang weigeren tot readme.html, licentie.txt en wp-config-sample.php. Zet het aan.
• Systeem log. Het genereren van logboeken instellen. Wij raken niets aan.

WHOIS-zoekopdracht

• Handmatige verificatie van IP-adressen. Er kan niets worden geconfigureerd en om de een of andere reden werkt het niet altijd.

Zwarte lijst

• Gebruikers verbieden. Zet het aan. Zoals u begrijpt is dit alleen relevant als u daar zelf enkele IP-adressen invoert. Het kan handig zijn als je snel een andere idiote hooligan in de reacties wilt verbannen.

Firewall

• Basisregels. Lees de tips en zet beide selectievakjes aan. Voordat u dit doet, moet u een back-up maken van uw .htaccess-bestand
• Aanvullende regels. Het is de moeite waard om alles erbij te betrekken. De auteurs van de plug-in waarschuwen echter voor mogelijke incompatibiliteit met sommige plug-ins.
• 5G opzetten. Voor zover ik het begrijp, bevat het een soort extra firewall. Zet het aan. Ik heb geen problemen opgemerkt nadat ik deze optie had ingeschakeld.
• Internet-robots. In theorie blokkeert het nep-Google-robots. Om problemen met nuttige robots te voorkomen, heb ik dit selectievakje voor de zekerheid niet toegevoegd.
• Voorkom hotlinks. Wat is het - lees in de tip. Zet het aan.
• Fouttracking van 404. De moeite waard om in te schakelen, maar houd de blokkeertijd kort. Bijvoorbeeld 5-10 minuten.

Bescherming tegen brute force-aanvallen

• Hernoem de inlogpagina. De optie is handig, maar houd er rekening mee dat er een probleem kan ontstaan ​​als u registratie op de site heeft toegestaan. Bijvoorbeeld wanneer een gebruiker een verloren wachtwoord wil herstellen. Over het algemeen is het de moeite waard om grondig te testen nadat je het hebt ingeschakeld. Bovendien maken sommige hostingproviders standaard gebruik van deze bescherming. Beslis op basis van de omstandigheden.
• Bescherming tegen brute force-aanvallen op basis van het gebruik van cookies. Net als bij het vorige punt is de opzet strikt individueel. Lees de tips aandachtig en beslis zelf.
• Captcha voor inloggen. Als je nog steeds de ingebouwde captcha gebruikt, kun je beter alles aanzetten.
• Witte lijst. Weigert inlogtoegang voor iedereen behalve degenen die in de lijst staan. Voor echte maniakken hoef je hem niet aan te zetten.
• Vat honing. Lees de uitgebreide beschrijving van deze interessante functie in de tooltip. Het lijkt mij dat je het veilig kunt inschakelen.

Beveiliging tegen spam

• Spam in reacties. Captcha in opmerkingen - schakel dit in als u de ingebouwde captcha gebruikt. Spamrobots blokkeren - help uw Akismet om spamrobots te bestrijden - schakel hem in.
• IP-tracking. Hier kunt u de meest actieve spammers identificeren en op de zwarte lijst zetten.
• BuddyPress. Relevant als je deze sociale netwerkplug-in hebt.

Scanner

• Houd eventuele wijzigingen in bestanden bij. Het lijkt mij dat dit meer bedoeld is voor degenen die zich er vooral zorgen over maken, aangezien er zeker van tijd tot tijd wijzigingen in bestanden zullen optreden. Als je dit allemaal constant wilt monitoren en controleren, schakel het dan in.
• Scannen op malware. Betaalde functie - vanaf $ 5 per maand.

Onderhoudsstand

• Hier kunt u de “onderhoudsmodus” voor de site inschakelen en het uiterlijk van de pagina aanpassen met een waarschuwing voor de lezers. Lees verder.

Gemengd

• Bescherm inhoud tegen kopiëren en plakken in een frame. Het inschakelen hiervan heeft geen directe invloed op de veiligheid van de site.

conclusies

Over het algemeen vond ik All In One WP Security best leuk en ik gebruik het op sommige sites. Naar mijn mening, zo niet de beste, dan zeker een van de beste plug-ins. Eerlijk gezegd merk ik op dat ik geenszins een expert ben op het gebied van veiligheid. Al het bovenstaande is slechts het resultaat van mijn gebruikservaring en persoonlijke mening. Dus als ervaren lezers hun eigen mening hebben over de instellingen van deze plug-in of de beste alternatieven ervoor, laat het ons dan weten. De smaak van kleur, zoals ze zeggen...