wp sikkerhetsplugin. Sette opp All In One WP Security for å beskytte WordPress-bloggen din mot hacking. Begrenser påloggingsforsøk

Artikler i samme kategori

Og i dag, mine venner, skal vi forsvare oss selv.

Ja. Nøyaktig. Fra hvem? Fra de drittsekkene kameratene som vil gjøre inngrep i vår «velferd». Jeg kan ikke si hvem disse menneskene er, men de eksisterer og jeg kan ikke forstå hvorfor bakken ikke brenner under føttene deres. Hvorfor faller det ikke steinregn på hodene deres, og de kveles ikke av spyttet fra glaningen deres?

Og hvis slike mennesker eksisterer, må du beskytte deg selv mot dem. Og i dag vil vi levere deg en superkul plugin for å beskytte bloggen din.

Vær trygg, mer enn én tispe vil ikke snike seg inn på bloggen din og skade deg etter at du har lagt den opp.

Og denne plugin er All In One WP Security.

Jeg pleide å bruke sikkerhetsplugins, selvfølgelig, og på en eller annen måte var jeg ikke spesielt bekymret for sikkerheten, påloggingen er naturligvis ADMIN, passordet er på fem bokstaver, og det var selvfølgelig tilfellet foreløpig. Jeg har aldri sett på pluginene, vel, det er verdt det, det er verdt det, det betyr at det beskytter. Kort sagt, alt er i mørket.

Og da et hackerangrep brøt gjennom denne beskyttelsen og begynte å overbelaste verten, begynte jeg å tenke... Og helt tilfeldig kom jeg over en plugin som virket veldig hyggelig og vennlig for meg. Og på samme tid, en veldig seriøs vakt, ved å lytte til ham og følge instruksjonene hans vil du være under pålitelig beskyttelse.

Selvsagt, mens du er en ung blogger og mens veien din er på utviklingsstadiet, vil uforsiktigheten ta overhånd. Men når du går opp i vekt og begynner å skyve bort konkurrenter med albuene, og frigjør plass i solen, vil du få misunnelige mennesker og dårlige ønsker. Så ta for vanen med å forsvare deg godt helt fra begynnelsen.

Så hva er så bra med denne All In One WP Security-pluginen?

• Pålitelig;
• Gratis;
• russifisert;
• Enkel.

Du må installere det på WordPress i henhold til standardskjemaet: Plugins - Legg til nye, skriv inn All In One WP Security i søket, Enter, den første, og dette er ikke tilfeldig, det vil være din favoritt...

La oss gå videre til å sette opp All In One WP Security-plugin

Jeg anbefaler deg å lage en kopi av databasen din før installasjon. 1. Selve databasen. 2. Fil wp-config. 3. file.htaccess.

Og alt dette, så praktisk som det er, kan gjøres i innstillingene til selve plugin-en.

Kontrollpanel

I admin-menyen finner vi WP Sikkerhet, plugin undermeny Kontrollpanel.

Det første som fanger oppmerksomheten er en slags trykkmåler for sikkerheten vår og et diagram over arbeidet utført av plugin-modulen. Dette er helt kult.

Det jeg vil si. VIKTIG! Ikke la deg rive med med maksimal beskyttelse. Ikke bring beskyttelsestrykket til kritisk. Dette kan føre til feil på nettstedet. Så de sier at jeg selv ikke har opplevd noen problemer, sikkert rett og slett fordi jeg rett og slett beholder litt mer enn halvparten av det jeg burde.

Her i kontrollpanelet gjør vi ingenting annet og går til innstillinger.

Innstillinger

Det er her vi lager kopier av nettsiden og databasen vår. Her vil vi om nødvendig deaktivere brannmuren om nødvendig.

Merk av i boksen i WP-metainformasjon-fanen

I "Importer/Eksporter"-fanen tas skritt for å eksportere innstillingene dine til et annet nettsted, hvis du har en, for ikke å merke av i alle boksene som vi nå vil merke av. Alt vil gjøres med to klikk.

Administratorer

WP brukernavn.

Her endrer du administratornavnet og dette MÅ du gjøre. Som standard admin eller wp-admin. Bytt til noe annet, for eksempel myblog-admin, eller Ja-Vasja-Ivanov. Og glem ordet helt admin En gang for alle.

Visningsnavn.

Kom opp med et hvilket som helst navn bortsett fra admin. Jeg anbefaler også at hvis du har flere kontoer på nettstedet ditt, gjør visningsnavnene forskjellige.

Passord.

Den mest interessante kategorien. Med vårt monometer, som lar deg bestemme på et sekund i hvilken grad passordet ditt kan bli knekt. Bare skriv inn det forventede passordet i enhetslinjen, det vil umiddelbart gi deg tiden det kan bli hacket. I vårt tilfelle 9 år 6 måneder.

Autorisasjon

Blokkering av autorisasjoner.

Slå den på som på skjermbildet. Det er rimelig å sette verdier som er i samsvar med sunn fornuft. For eksempel, hvis feil passord skrives inn 3 ganger på 5 minutter, vil IP-en din bli blokkert i en time. Dette er standard. Jeg er enig i denne ordningen. Du kan bare endre innenfor rimelige grenser.

Blokkerte IP-er kan sees nedenfor.

Feil autorisasjonsforsøk.

Her kan du se skapningene. Spor hvem som ofte klatrer og ta grep. Jeg har en for nå, dette er fordi jeg nylig tømte listen.

Automatisk utlogging av brukere.

Vi slår den på og setter tiden til 600 minutter, hvoretter brukeren kobles fra.

Kontoaktivitetslogg"Og Aktiv økt informativ.

Bruker registrering

I Manuell bekreftelse Og CAPTCHA under registrering huk av i avmerkingsboksene.

Databasetabellprefiks.

Jeg krysset ikke av i boksen her, men hvis du vil sjekke det, må du først lage en sikkerhetskopi av databasen din. For sikkerhets skyld.

Sikkerhetskopiering.

Merk av i boksen og tilordne frekvensen av opprettelsen. Vi tildeler også antallet av disse sikkerhetskopiene, som vil bli lagret i en spesiell plugin-katalog.

Filsystembeskyttelse

Tilgang til filer.

Redigering av PHP-filer.

Dette er for de som redigerer filer gjennom administrasjonspanelet. Spill hvis du ikke redigerer, ikke spill hvis du redigerer. Men det anbefales generelt ikke å redigere filer i administrasjonspanelet. Selv om det er alles sak. Selv om du roter til, vil du ikke raskt kunne returnere alt ved å bruke CTRL Z-tastene.

Tilgang til WP-filer.

Vi installerer Galya, og nekter dermed tilgang til WordPress-informasjonsfiler

Systemlogger.

La det være som det er

WHOIS-søk

Jeg gjorde ingenting. Jeg trenger ikke å finne ut noen informasjon om denne eller den IP-adressen.

Svarteliste

Dette er for de som ofte dukker opp på nettstedet ditt med mistenkelige hensikter, du kan se dem i (Autorisasjon - blokkering av autorisasjoner - blokkerte IP-er). Hvis det er noen, merk av i boksen og registrer disse IP-ene.

Brannmur

Grunnleggende brannmurregler.

Først av alt, gjør det kopier .htaccess-filen Hvis du ikke har gjort det ennå, merk av i boksen.

Ytterligere brannmurregler.

Og i tilleggstegnfiltrering, ikke merk av i boksen. Ikke alle kommentarer går kanskje gjennom, og gir en 403-feil, som heller ikke er veldig bra.

5G-innstillinger

Slå på

Internett-roboter.

Ikke aktiver avmerkingsboksen

Forhindre hotlinks.

Slå på

404-deteksjon.

Slå den på og still inn tiden til 5 minutter

Beskyttelse mot brute force-angrep

Beskyttelse mot brute force-angrep ved hjelp av informasjonskapsler.

Ikke aktiver den hvis du ikke vil oppleve problemer med ulike typer enheter.

CAPTCHA for pålogging.

Jeg vet ikke om deg, hvis du vil aktivere captcha, aktiver det. Jeg gjorde det ikke.

Hviteliste for innlogging.

Ikke slå den på. Du vil sannsynligvis få tilgang til bloggen din fra forskjellige enheter, steder og IP-er.

Tønne med honning.

Slå på

Spambeskyttelse

Spam i kommentarfeltet.

CAPTCHA i kommentarskjema - Vi legger det ikke. Blokkering av kommentarer fra spam-roboter - Vi putter

BuddyPress.

Legger til en CAPTCHA i BuddyPress-skjemaet. Ikke nødvendig å bruke.

Skanner

Dette er hvordan jeg forstår skadeprosessen under hacking. Hackere endrer noen filer i systemet, uten å finne hvilke, forsøk på å gjenopprette nettstedet vil ikke lykkes. Så ved hjelp av denne funksjonen kan du spore hva som har endret seg i nær fremtid. Jeg bare beundrer... Slå på automatisk filskanning.

Skanning mot skadelig programvare.

Du må betale for dette.

Vedlikeholdsmodus

Vær oppmerksom på betydningen av denne tjenesten. Å slå på vedlikeholdsmodus betyr å slå av nettstedet ditt helt. Det vil ikke være synlig for noen, inkludert roboter, og vil følgelig ikke bli indeksert. Husk derfor på dette og ikke merk av i denne boksen med mindre det er absolutt nødvendig.

Din ydmyke tjener slo av siden i 2 dager til han la merke til en nedgang i trafikken og søkte etter årsaken.

I tekstfeltet skriver du hva besøkende vil se mens nettstedet er offline.

Diverse

Her forstår jeg kun kopibeskyttelse. Jeg merker ikke av i boksen, la alle kopiere det, det er så fint)))

Resultat

Vi har konfigurert plugin-en. La oss gå til kontrollpanelet og se det nye sikkerhetsnivået. Jeg er sikker på at han er mye høyere enn han var. Nå kan du være trygg på sikkerheten til nettstedet ditt.

Og også, som er typisk, vil du se her regelmessig, noe du ikke har gjort før med denne typen plugins.

Nyt, lev og arbeid rolig og produktivt.

Vi sees på nett!

Venner, hvis du er en webmaster og oppretter nettstedene dine på WordPress, har du sannsynligvis støtt på spam i kommentarer og forsøk fra angripere på å hacke nettstedet ditt. I denne artikkelen vil vi snakke med deg om hvordan du beskytter WordPress-nettstedet ditt mot spam ved å bruke All in One WP Security & Firewall-plugin. Ser jeg litt fremover, vil jeg si at denne pluginen har et stort antall innstillinger og er et universelt middel for å beskytte WordPress-nettstedet ditt.

1. Installerer plugin.
2. Plugin-oppsett
   • Generelle innstillinger
   • Administratorer
   • Autorisasjon
   • Bruker registrering
   • Databasebeskyttelse
   • Filsystembeskyttelse

Så la oss begynne å mestre All in One WP Security & Firewall-plugin. For å installere en plugin, må du gå til plugins-fanen i administrasjonspanelet og klikke på "legg til ny" -knappen.

Vær oppmerksom på at på skjermbildet er knappen ikke aktiv og det står "Aktiv". Dette skyldes det faktum at plugin allerede er installert. Knappen din vil være aktiv og den vil si "Installer". Når du klikker på knappen, vil plugin-en begynne å installere. Etter dette vil knappen si "aktiver", klikk på den, og aktiverer dermed plugin.

Etter at du har installert og aktivert plugin-en, vil fanen "WP Security" vises på venstre side av kontrollpanelet. La oss klikke på det og finne ut av det:

Vær oppmerksom på tallet 340. Dermed viser pluginen hvor mange poeng siden er beskyttet av mulige 500.

Alt i ett WP Security & Firewall-plugininnstillinger

Innstillinger

1. Gå til Innstillinger,

Fanen "Generelle innstillinger".

Her kan du lage sikkerhetskopier:

• Database;
• File.htacces;
• Filen wp-config.php.

1. Tab.htacces-fil. ".htaccess"-filen er en nøkkelkomponent i nettstedets sikkerhet, som lar deg variere dens beskyttelsesmekanismer betydelig. I denne delen kan du lage en sikkerhetskopi av .htaccess-filen og, om nødvendig, gjenopprette den fra en sikkerhetskopi i fremtiden.
2. Tab wp-config.php fil. Wp-config.php-filen er en av de viktigste WordPress-filene, som inneholder databasetilgangsdata og andre svært verdifulle innstillinger. I denne delen kan du lage en sikkerhetskopi av denne filen og, om nødvendig, gjenopprette den i fremtiden ved å bruke denne sikkerhetskopien.
3. WP versjonsinformasjon-fanen. WP Generator viser automatisk informasjon om gjeldende WordPress-versjon i en spesiell metakode i "head"-delen på alle sidene på nettstedet. Her er et eksempel på slik utgang:
   Denne informasjonen hjelper hackere og deres edderkopper i stor grad med å finne ut om du bruker en utdatert versjon av WordPress med kjente sårbarheter.
4. Importer/eksporter-fanen. Denne delen lar deg eksportere eller importere alle All In One WP Security & Firewall-innstillinger. Dette kan være praktisk hvis du vil bruke de samme innstillingene på flere nettsteder. Merk: Før du importerer, må du forstå hvilke innstillinger du prøver å importere. Hvis du blindt importerer innstillinger, er det en risiko for at du mister tilgangen til din egen side. For eksempel, hvis en innstilling er avhengig av et domenes URL, kan det hende at den ikke fungerer som den skal når du bruker et nettsted med et annet domene.
5. Avanserte innstillinger-fanen. IP Retrieval-parameterne lar deg spesifisere hvilken $_SERVER global variabel du vil bruke for å få den besøkendes IP-adresse. Som standard bruker denne plugin-variabelen $_SERVER['REMOTE_ADDR'] for å få den besøkendes IP-adresse. Dette er vanligvis den mest pålitelige måten å få en IP-adresse på. Men i noen oppsett, for eksempel de som bruker proxyer, lastbalansere og CloudFlare, må du kanskje bruke en annen $_SERVER-variabel. Du kan bruke innstillingene nedenfor for å konfigurere hvilken globale $_SERVER du vil bruke for å få IP-adressen.

Administratorer

1. "Custom WP"-fanen. Når det er installert, tildeler WordPress automatisk administratorbrukernavnet "admin" (med mindre du endrer det manuelt). Mange hackere prøver å utnytte denne informasjonen ved å bruke et "Brute Force Attack" for å angripe, hvor de systematisk gjetter passordet ved å bruke ordet "admin" som brukernavn. Av sikkerhetsmessige årsaker er en av de første og mest fornuftige tingene du bør gjøre på nettstedet ditt å endre standard brukernavn "admin". Denne delen er ment å endre brukernavnet "admin" til et sikrere etter eget valg.
2. "Visningsnavn". Når du publiserer et innlegg eller svarer på en kommentar, viser WordPress vanligvis "kallenavnet ditt". Som standard er brukerens visningsnavn identisk med kontopåloggingen. Av sikkerhetsmessige årsaker bør dette ikke tillates, siden dette allerede gjør hackerens jobb halvparten så enkel - faktisk forteller du ham din kontopålogging. Derfor, for å øke sikkerheten til nettstedet, anbefaler vi at du endrer kallenavnet og visningsnavnet ditt til å være forskjellig fra brukernavnet ditt.
3. "Passord". Et dårlig passord er den vanligste sårbarheten på de fleste nettsteder, og vanligvis er det første en hacker vil gjøre for å bryte seg inn på et nettsted å prøve å gjette passordet. Mange setter en felle for seg selv ved å bruke et enkelt ord eller en rekke tall som passord. Det vil ta en erfaren hacker bare noen få minutter å velge et så forutsigbart passord, siden spesielle programmer med store databaser med de vanligste kombinasjonene av bokstaver, ord og tall brukes til dette. Jo lengre og mer komplekst passordet er, desto vanskeligere vil det være for en hacker å gjette det, fordi det krever mye mer datakraft og tid. Her kan du sjekke passordet ditt for styrke.

Autorisasjon

1. Den første fanen er "Autorisasjonsblokkering". Her kan du konfigurere autorisasjonsprosessen på nettstedet ditt.

• Kryss av i boksen hvis du vil aktivere blokkering av autorisasjonsforsøk.
• Deretter merker du av i boksen hvis vi vil tillate brukere å oppheve blokkeringen av kontoen sin på egen hånd.
• Angi maksimalt antall påloggingsforsøk.
• Angi tidsfristen for autorisasjonsforsøk i minutter.
• Still inn blokkeringsperioden i minutter.
• Kryss av i boksen hvis du vil vise en melding om autorisasjonsfeil (valgfritt).
• Jeg anbefaler ikke å merke av for "Blokker feil brukernavn umiddelbart", siden du kan gjøre en feil selv når du skriver inn et brukernavn.

• Deretter kan du i inndatafeltet spesifisere brukernavn som ikke vil bli blokkert i tilfelle mislykkede autorisasjoner
• Merk av i boksen nedenfor hvis du ønsker å motta varsler om mislykkede autorisasjonsforsøk og spesifiser postkassen din.

• Hvis du vil bruke en hvit liste over valgte IP-adresser, merk av i boksen og skriv inn IP-adressene i feltet nedenfor.

1. Deretter går du til fanen "Falske autorisasjonsforsøk". Registreringer over mislykkede påloggingsforsøk vil bli vist her.
2. Fane "Automatisk utlogging av brukere". Vi krysser av i boksene her hvis vi ønsker at brukeren skal logge ut automatisk. Nedenfor angir vi tiden i minutter for hver økt.
3. Kontoaktivitetslogg-fanen. Informasjon om kontoaktivitet på nettstedet ditt vises her.
4. "Aktive økter" - viser aktive økter.

Bruker registrering

1. Fanen for manuell bekreftelse. Hvis vi uavhengig vil bekrefte brukerregistrering på nettstedet, merk av i boksen.
2. "CAPTCHA under registrering." Merk av i boksen hvis du vil vise en captcha når du registrerer brukere.
3. Registrer "Honeypot". Honeypot fra engelsk - en pott med honning. Se for deg en bjørn som kom for å besøke noen. Hvis han ser en krukke med honning, vil han definitivt ta den, han er en bjørn! Tenk deg nå en robot som registrerer seg på nettstedet ditt. Honeypot er et slags skjult felt som bare roboten ser, og ved registrering vil den definitivt fylle ut dette skjulte feltet. Så snart pluginet oppdager at dette feltet er fylt ut, vil det umiddelbart forstå at dette er en robot og vil blokkere registreringen.

Databasebeskyttelse

1. "Databasetabellprefiks." Standard WordPress-tabellprefiks er "wp_". Nettstedsdatabaser blir ofte angrepet av hackere. For å styrke beskyttelsen er det nødvendig å endre tabellprefikset. Dette kan gjøres automatisk eller manuelt. Merk av i boksen og klikk "Endre tabellprefiks" for å endre prefikset automatisk. Hvis vi ønsker å gjøre dette manuelt, skriv prefikset i feltet og klikk "Endre tabellprefiks".
2. "DB backup". Her konfigurerer vi database backup: hyppighet av backup og antall lagrede backups.

Filsystembeskyttelse

1. "Tilgang til filer." Klikk på "Bruk anbefalte innstillinger der det er nødvendig".
2. "Redigering av PHP-filer". Hvis du vil forby redigering av filer i administrasjonspanelet, merk av i boksen. MERK FØLGENDE! Ved å merke av i denne boksen vil ikke "Editor"-elementet i "Utseende"-elementet vises. For å redigere filer, for eksempel header.php eller style.css, må du gå til hosting og redigere filene i filbehandleren.
3. Tilgang til WP-filer. Hvis vi ønsker å nekte tilgang til filene readme.html, license.txt og wp-config-sample.php, merk av i boksen.
4. Systemlogger. Serveren din kan med jevne mellomrom publisere feilrapporter i spesielle filer kalt "error_log". Avhengig av arten og årsakene til feilen, kan serveren din lage flere loggfiler i forskjellige kataloger for WordPress-installasjonen. Ved å gå gjennom disse loggene fra tid til annen, vil du være klar over eventuelle store problemer med nettstedet ditt og kan bruke denne informasjonen til å løse dem.

Whois-søk

Denne funksjonen lar deg få detaljert informasjon om en IP-adresse eller et domene. For å få informasjon, skriv inn domenenavnet og klikk "Søk etter IP eller domene."

Svarteliste

Svartelistefunksjonen lar deg blokkere spesifikke IP-adresser, områder og brukeragenter, og nekter tilgang til nettstedet for de brukerne og robotene som brukte disse IP-adressene av spam eller andre grunner. Denne funksjonen implementeres ved å legge til visse regler i .htaccess-filen. Ved å blokkere brukere som bruker .htaccess-fildirektiver, har du en første forsvarslinje som vil forkaste uønskede besøkende så snart de prøver å opprette en forespørsel til serveren din.

Brannmur

1. Grunnleggende brannmurregler. Alternativene på denne fanen lar deg bruke noen grunnleggende sikkerhetsregler på nettstedet ditt. Denne brannmurfunksjonaliteten oppnås ved å legge til noen spesielle direktiver til .htaccess-filen.
   Aktivering av disse alternativene bør ikke ha noen innvirkning på den generelle funksjonaliteten til nettstedet ditt, men hvis du ønsker det, kan du lage en sikkerhetskopi av .htaccess-filen din før du aktiverer disse innstillingene.
   • "Aktiver grunnleggende brannmurfunksjoner." Kryss av i boksen hvis du vil aktivere brannmuren.
   • "Blokker fullstendig tilgang til XMLRPC." Velg dette alternativet hvis du ikke bruker WP XML-RPC-funksjonalitet og vil blokkere ekstern tilgang til XMLRPC fullstendig.
   • "Deaktiver Pingback-funksjonalitet fra XMLRPC." Hvis du bruker Jetpack eller WP iOS eller andre applikasjoner som krever WP XML-RPC, velg dette alternativet. Dette vil beskytte mot WordPress-pingback-sårbarheter. DU MÅ VELGE NOE.
   • "Blokkér tilgang til debug.log-filen." Merk av i boksen hvis du vil blokkere tilgang til debug.log-filen som WordPress oppretter når feilsøkingslogging er aktivert.
2. Ytterligere brannmurregler. I denne kategorien kan du aktivere ytterligere brannmurinnstillinger for å beskytte nettstedet ditt.
   • Deaktiver muligheten til å bla gjennom kataloger. Ved å merke av i denne boksen vil vi forby visning av nettstedkataloger.
   • Deaktiver http-sporing. Merk av i boksen hvis du vil deaktivere http-sporing.

Du kan finne all nyttig informasjon på Internett, men dessverre er det også et gunstig miljø for angripernes aktiviteter. Den ondsinnede programvaren de utviklet brukes både til å stjele verdifull informasjon og til å utøve destruktiv kontroll over ulike nettsteder og datamaskiner.

Det er et angrep, men det er også et forsvar. Denne universelle WordPress-beskytteren inkluderer "All In One WP Security"-plugin.
Plugin har et velfortjent, godt rykte blant mange brukere. I tillegg er fordelen at den er perfekt oversatt til russisk, noe som betyr at vi har fullstendig informasjon og forståelse av alle funksjonene til innstillingene.

Dette programmet tar for seg flere sikkerhetsområder. Å endre brukernavnet er den samme ondsinnede "admin". Det finnes verktøy for å øke passordbeskyttelsen, blokkere tilgangen til nettstedet, beskytte kode mot kopiering, beskytte mot spam, en sikkerhetsskanner og vurdering.

Database- og filsystemsikkerhetsalternativer er tilgjengelige. Det er mulig å sikkerhetskopiere direktivfilen " .htaccess " og den viktigste konfigurasjonsfilen "wp-config.php "

I tillegg er det mulig å endre filen " .htaccess" - noen få klikk med innstillinger som vil gi dyp beskyttelse. Automatiske oppdateringer og mye mer, mer spesifikt nedenfor i plugin-innstillingene.

Så la oss starte med å installere "All In One WP Security"-plugin på nettstedet vårt.

Klikk på fig.

Gå til WordPress-dashbordet

1) . Nøkkel "Plugins"

"Legg til ny"

2). I feltet " Søk etter plugins"skriv inn navnet - All In One WP Security

og trykk Enter på datamaskinens tastatur

Klikk på fig.

Noen sekunders leting

Plugin funnet.

Klikk på teksten " Installere"

Neste trinn er å installere plugin-en. Klikk på " Aktiver"

Klikk på fig.

Plugin-en er veldig viktig, så den fortjener sin plass i
WordPress Dashboard Menykolonne

nøkkel " WP Sikkerhet "

Når du holder musen over denne tasten, dukker det opp en undermeny med alle innstillinger.

Det er mange av dem, vi vil håndtere dem alle i prosessen med å sette opp nettstedsikkerhet.

______________________________________________________________________________________

(Først) - Åpning "Kontrollpanel" plugg inn

Klikk på fig.

I dette kontrollpanelet er avlesningene til den visuelle informanten viktige for oss. Den grønne sektoren er allerede god plasssikkerhet. Jeg anbefaler ikke å strebe etter maksimal ytelse. Det er to sider ved enhver virksomhet. På noen måter vinner du og på andre taper du. Du kan lukke den slik at ingen ser siden. Og likevel må den mest nødvendige beskyttelsen gjøres på bekostning av enkelte nettstedsindikatorer.

Nedenfor er informanten.

Statusstatus for hovedbeskyttelsesfunksjonene.

Figuren viser startstatus og hva vi må oppnå etter alle nødvendige innstillinger. I dette tilfellet vil avlesningene til den visuelle informanten selvfølgelig være betydelig høyere.

Vi vil ikke skynde oss og klikke på statusaktiveringsknappene. Under innstillingene vil vi motta den nødvendige statusen!

____________________________________________________________

(Sekund)Åpning "Innstillinger"

Klikk på fig.

Denne plugin-en vil gjøre noen endringer i de viktigste WordPress-filene.

Avansert bruker,

Før du endrer noe, er det obligatorisk å først lage en sikkerhetskopi i programmet eller filen som endres.
Vi gjør det samme her:
1). Sikkerhetskopiering. Database, samt filer .htaccessOg wp-config

Kopiering kan gjøres direkte fra hovedsiden
innstillingsside - klikk på "Knapper tekst",

Samme når du bruker separate faner
(topppanelmenyen "Innstillinger") .htaccess Og wp-config pxp

2). I WP - Metainformasjon-fanen

Klikk på fig.

Merk av i boksen ved siden av "Fjern WP Generator-metadata". På denne måten vil informasjonen om at den ble opprettet på grunnlag av WordPress bli fjernet fra nettstedskoden og beskyttelse mot skanning av nettstedsversjonen vil bli gitt. Deretter må du klikke på knappen

3). Tab "Import Eksport". Fanen Fremtid/fortid.
Den generelt aksepterte prosedyren for å eksportere/importere innstillingene dine er
Du oppretter for eksempel et nytt nettsted der du ikke trenger å kaste bort tid på innstillingsprosedyren, men importerer eksportsikkerhetsinnstillingene til det forrige nettstedet ditt.

4). 5). Elementer Deaktiver funksjonene "Sikkerhet" og "Brannmur" (hvis nødvendig).

Det kan være ulike livsforhold som deaktiverer disse funksjonene i noen tid, men andre vil fungere. Noe er frosset, noe må installeres på nytt.

(Vi har alle støtt på et eksempel da vi trengte å deaktivere antivirusprogrammet vårt i noen minutter for å laste ned et slags uredelig program til datamaskinen).

Konklusjon: Panelet "Innstillinger" Gir sikkerhetskopiering av hovedfilene før arbeidet med å aktivere beskyttelsesverktøyene for nettstedet vårt.

Gir import/eksport av ferdige innstillinger.

Stopper "WP Generator"-metadataversjonen av nettstedet.

Spørsmålet om å deaktivere sikkerhets- og brannmurfunksjoner om nødvendig er også løst.

_______________________________________________________

(Tredje) Åpne undermenydelen"Administratorer"

Her er problemet med å endre passord og pålogging løst.

Handlingene er nøyaktig de samme, se

Hvis påloggingen er kjent - "admin" Alt som gjenstår er å velge passordet. Moderne programmer vil bli hacket umiddelbart.

Det er obligatorisk å endre brukernavn og passord.

Fanen "Passord" gir veldig interessant informasjon om passordet vi har valgt. Nemlig i hvilken tidsperiode kan denne passordkombinasjonen velges og knekkes? Resultater fra noen få sekunder til tusenvis av år.

Det anbefales å ha store og små bokstaver og minst 1 tall i passordet;

Passordet skal ikke bare bestå av tall;

Spesialkarakteren er velkommen;

Passordet må være på minst 12 tegn.

Se bildet. Som et resultat vil du motta maksimal grad av sikkerhet for passordet ditt.

_______________________________________________

(Fjerde) Autorisasjon

Klikk på fig.

Alternativer 3, 5, 60 er standard. Dette er det beste alternativet. La oss la det være sånn.

"Blokker ugyldige brukernavn umiddelbart." Vi putter sett kryss.

For eksempel, etter å ha endret "admin"-påloggingen til din personlige, når du skriver inn en annen pålogging, vil IP-adressen bli blokkert. Et par ganger, av treghet, gikk jeg inn på min gamle pålogging og ventet i en time; Jeg kunne ikke gå inn i admin-området fordi jeg ble blokkert. Vær derfor forsiktig med denne varen eller risiker å ikke merke av i boksen.

"Varsle via e-post" - Etter hver persons skjønn. Jeg la det ikke.

Klikk på knappen"Lagre innstillinger"

Klikk på fig.

2).

Merk av i boksen på denne fanen "Aktiver automatisk utlogging"

Vi setter arbeidsintervallet 600 minutter.

Andre – Informasjonsfaner:
"Falske autorisasjonsforsøk" "Kontoaktivitetslogg"
"Aktive økter" vil bidra til å løse sikkerhetsproblemer.

_________________________________________________________________

(Femte)

Klikk på fig.

Denne delen er relevant hvis brukerregistreringsprosessen er aktivert på nettstedet.

På fanen "Manuell bekreftelse" Sett et hake på varen "Aktiver manuell godkjenning av nye registreringer"

På "fanen" CAPTCHA under registrering" i henhold til behovet for denne egenskapensett et hake på varen "Aktiver CAPTCHA på registreringssiden" Klikk på knappen

_____________________________________________________________________

(Sjette) Databasebeskyttelse

Klikk på fig.

Samtidig med installasjonen av WordPress opprettes motordatabasen. Dette er ulike tabeller der all informasjon om nettstedet er registrert (innstillinger, innhold, kommentarer, lenker, informasjon om brukere osv.). Dette er grunnlaget for motorens drift.

Navnet på hver tabell starter som standard med et prefiks "wp_" Og denne velkjente monotonien er utrygg. Oppgave nr. 1 endre prefikset (generer ved hjelp av verktøyet eller opprett og registrer det selv).

Men før du endrer noe, må du alltid og overalt lage en sikkerhetskopi. Hvis det er et problem, kan du rulle tilbake.

Derfor åpner du fanen i databasebeskyttelsespanelet "DB Backup" Fyll ut alle feltene som vist på figuren. Klikk på knappen "Lag en databasesikkerhetskopi nå" og etter å ha opprettet en sikkerhetskopi, klikk på knappen nedenfor "Lagre innstillinger"

Gå til den første fanen "DB-tabellprefiks"

Klikk på fig.

Velge:

"Generer nytt databasetabellprefiks" Vi setter en hake.

Klikk "Endre tabellprefiks"

Selve plugin-modulen vil generere og legge til prefikset den oppretter til alle tabellnavn, noe sånt som « latil_ ».

Informasjon vil vises i hvilke filer dette prefikset er registrert.

Hvis du avslutter innstillingene for Databasebeskyttelse og logger på igjen, vil du se ved siden av linjen "Generer nytt databasetabellprefiks" ditt faktiske prefiks. Men definitivt ikke lenger "wp_"

______________________________________________________________________________

(Syvende)

Klikk på fig.

På den første fanen "Tilgang til filer" vi må angi riktig nivå for tilgangsrettigheter. Når du installerer WordPress, senkes vanligvis dette nivået.

Etter aktiveringen overvåker plugin-modulen umiddelbart overholdelse av dette nivået, som denne fanen informerer oss om.

Hvis det er en fil med lavt tilgangsnivå, varsler knappen i den ekstreme tekstkolonnen oss om at det er nødvendig å angi de anbefalte tillatelsene. Vi godtar og klikker på denne knappen

I virkeligheten er en slik handling i utgangspunktet nødvendig for alle filer. Vår oppgave er å se resultatet Anbefalt handling - Hva ingen handling nødvendig .

Klikk på fig.

Neste fane "Redigering av PHP-filer"

For det første er det dyrere å redigere PHP-filer gjennom WordPress-kontrollpanelet. Gjorde du noe galt? Det er ingen retur (CTRL+Z) fungerer ikke. La fagfolk ta seg av slike saker. Men sikkerheten er undervurdert hvis det er en slik mulighet for redigering.

Merk av i boksen "Deaktiver redigering av PHP-filer"

Samme for neste fane "Tilgang til WP-filer"

Sett en hake "Forby tilgang til informasjonsfiler som er opprettet som standard når du installerer WordPress.:"

Tab "Systemlogger "Vi rører ingenting.

________________________________________________________________________________

(Åttende) WHOIS - søk

WHOIS (fra engelsk. Hvem er dette?) Det er ingen innstillinger på denne innstillingsfanen. Her er en informasjons- og analyseside. Du kan se hvem som bombarderer deg med unødvendige, stygge meldinger. Men når du bruker den vanligste anonymizeren, er det nesten umulig å finne ut hvem sin IP-adresse det er. Og likevel vil dette søket fullstendig gi informasjon om respektable nettsteder og deres eiere.

___________________________________________________________________________________

(Niende) Svarteliste

En svarteliste er nettopp det: en svarteliste.
Hvis du vil utestenge noen, skriv inn IP-adressen deres, og de vil begynne å komme til deg fra en annen adresse.

_____________________________________________________________________________________

(Tiende) Brannmur

Brannmur eller brannmur (sikkerhetsmur) er en programvareplugin for beskyttelse av nettstedet
Tillegget til filmetoden din brukes .htaccess noen spesialdirektiver.

Hvert har en detaljert beskrivelse av alle funksjonene til dette alternativet. Klikk på + Flere detaljer. høyre kant

Så åpne den i brannmurinnstillingene.

Tab Grunnleggende brannmurregler

Vi krysser av for alle boksene. Klikk på "Lagre grunnleggende brannmurinnstillinger"

Tab Ytterligere brannmurregler

Vi sjekker boksene overalt (analyserer det siste punktet; mange nettmestere anbefaler å ikke merke av i boksen - det kan være problemer med kommentarene på nettstedet ditt). Og klikk videre "Lagre avanserte brannmurinnstillinger "

Innstillinger-fanen 5G-brannmur

Merk av i boksen og klikk på"Lagre 5G-brannmurinnstillinger"

Internett-fanen - roboter

La oss hoppe over det. Vi merker ikke av i boksen for dette alternativet. Søkeroboter kommer kanskje ikke til sidene våre, og det vil være problemer med nettstedindeksering.

Forhindre hotlinks-fanen

Merk av i boksen for å beskytte serveren mot belastninger og forhindre at bildene våre brukes på andre nettsteder

Faner" 404-deteksjon" og "Egendefinerte regler"

Vi rører ikke

___________________________________________________________________________________________

(Ellevte)

Klikk på fig.

Et brute force-angrep er et angrep fra programvareroboter med oppgaven å bare prøve alle alternativene og kombinasjonene av passord på et nettsted.

1). Den brute force angrepsbeskyttelseskategorien tilbyr "Gi nytt navn til påloggingsside"

Eksempel på standard pålogging til WordPress-dashbordet

http://agrig.ru/ wp-admin på denne fanen anbefales det å gi den nytt navn etter eget skjønn.

Sett en hake "Aktiver alternativet for å gi nytt navn til påloggingssiden:"

Under linje Adresse (URL) til påloggingssiden:

aktivere felt(http://agrig.ru/ felt)

og skriv i dette feltet - for eksempel dz-wp

Som et resultat får vi innloggingsadressen til kontrollpanelet

http://agrig.ru/dz-wp
Den ondsinnede roboten vil ikke lenger finne en slik adresse!

2). Tab
"Beskyttelse mot brute force-angrep ved bruk av informasjonskapsler"

Denne beskyttelsen må brukes for de som kun bruker én nettleser.

Jeg bruker ikke denne beskyttelsen. Jeg jobber fra flere nettlesere og sletter ofte informasjonskapsler.

3). Tab CAPTCHA for pålogging.

Jeg bruker heller ikke denne beskyttelsen.

Det viser seg at jeg også introduserer en ekstra sjekk for meg selv for å se om jeg er en robot? Selv om situasjonene kan være annerledes.

4). Fane "Hvit liste for pålogging"

All In One WP Security-hvitelistefunksjonen lar deg bare tillate tilgang til WordPress-påloggingssiden fra bestemte adresser eller IP-områder.
Denne funksjonen vil nekte påloggingstilgang til alle IP-adresser som ikke er på hvitelisten nedenfor.
For å gjøre dette, vil plugin-en skrive de tilsvarende reglene til .htaccess-filen.
Ved å tillate/blokkere forskjellige IP-adresser ved å bruke .htaccess-fildirektiver, bruker du den første forsvarslinjen, fordi tilgang til påloggingssiden vil kun være åpen for IP-adresser fra hvitelisten. Alle andre adresser vil bli blokkert så snart de prøver å åpne påloggingssiden.

Dette er et sitat fra informasjon fra plugin-utviklerne. Faktisk, hvis du bruker denne beskyttelsen, kan du faktisk glemme hva et brute force-angrep er.

Jeg bruker det ikke ennå, jeg må ofte logge inn fra forskjellige IP-adresser. Men jeg bruker den umiddelbart når jeg står stille, og selvfølgelig hvis minst ett angrep følger.

5). Tab"Tønne med honning (Honeepot)"

Og her sørger vi for å merke av i boksen for alternativet "Aktiver honningkrukke på påloggingssiden:"
Klikk "Lagre innstillinger"

Roboter som prøver å logge på med brute force passordkombinasjoner har lov til å fylle ut påloggingsskjemaet. Men som et resultat skriver de ned registreringsadressen sin på skjemaet. Og med æresbevisninger blir de omdirigert til hjemmet sitt. "Eleven kom i trøbbel"

_______________________________________________________________________________________

(Tolvte) Beskyttelse mot SPAM

Klikk på fig.

Jeg møtte spam bokstavelig talt fra de første dagene jeg opprettet siden. Bots var de første som fikk vite om dens eksistens. Kommentarer (abracadabra) begynte å vises på forskjellige oppføringer. Dette måtte gjøres noe med. Som anbefalt installerte jeg "Akismet"-pluginen. Problemet ble løst.

Plugg inn "Alt i ett WP-sikkerhet" Han har også gode verktøy i arsenalet for å bekjempe denne plagen.

På fanen "Spam i kommentarfeltet" Det foreslås å aktivere CAPTCHA i kommentarskjemaer:

Min mening er at det er unødvendig å forme, vri og supplere kommentarskjemaet på siden din, men alle tar sin egen avgjørelse\. å krysse av eller ikke å krysse av.

Her er neste verktøy "Blokker spam-roboter fra å kommentere:" Sørg for å merke av i boksen og klikk på "Lagre innstillinger"

Tab "Sporing av IP-adresser for kommentarspam" Informasjon og analytisk fane.
Du kan se hvor de spesielt ivrige robotene kommer fra og ta en avgjørelse.

Tab BuddyPress

BuddyPress er en plugin for utvidelser og tilleggsfunksjoner for arbeid på sosiale nettverk. Hvem har denne plugin installert og aktivert da i plugin "Alt i ett WP-sikkerhet"denne fanen vil bli aktivert.

______________________________________________________________________

(Trettende) Skanner

Klikk på fig.

Filendringssporing-fanen

Dette gir informasjon om ulike endringer i nettstedets systemfiler.

Tatt i betraktning at disse filene endres svært sjelden og, som regel, under personlig kontroll. Enhver endring eller tillegg til filen uten din viten vil umiddelbart bli varslet til deg, med spesifikke instruksjoner om hvor og hva som er lagt til eller endret.

Dette betyr slett ikke at slike problemer må løses ukentlig, månedlig. Men skanneprosessen skal fungere.

Sett et hake på "Aktiver automatisk skanning for filendringer:"

I ignoreringsfeltene kan du merke filer som vil endres ofte.

Merk med en hake "Send e-post når endringen er funnet:" Sjekk korrespondansen til e-posten din, eller skriv inn din andre e-post.

Tab "Skanning mot skadelig programvare" Dette verktøyet er betalt (7-9 dollar per måned). Vi kjøper på forespørsel. Men hvis nettstedet ditt plutselig er svartelistet i søkemotorer, kan du ikke klare deg uten et slikt program. Vi vil være på vakt og reagere på mistenkelige fenomener i tide. Vi vil ikke bringe nettstedet til svartelisten.

Merk: Ustan La oss legge til en plugin til. Pluginnavn Antivirus.

Plugin "AntiVirus"

Installasjonen er standard. Etter aktivering - "Innstillinger"-tast I rullegardinmenyen, klikk på "AntiVirus"

Sette opp automatisk skanning.

Aktiver den daglige antivirusskanningen - Merk av i boksen for å aktivere automatisk skanning.
Alternativ e-postadresse for varsler - Spesifiser din alternative e-postadresse.
Oppdagelse av skadelig programvare og nettfisking fra Google – Merk av for Deteksjon av skadelig programvare og nettfisking på Google.

_________________________________________________________________________

(Fjortende)

Klikk på fig.

Nyttig verktøy. Du kan midlertidig stenge siden for besøkende og utføre nødvendig arbeid på siden.

Endre nettsidemalen eller bare utformingen av arbeidsmalen. Sjekk eller reparer plugin-en. Gjør store endringer i innlegg eller nettsider.

For å gjøre dette på siden

sette en hake "Aktiver vedlikeholdsmodus:"

I feltet til den visuelle editoren skriver vi hva besøkende på nettstedet ditt skal se (eksempel i figuren)

Klikk

Etter å ha fullført arbeidet - Fjern merket i boksen og klikk "Lagre innstillinger for nettstedsperring"

____________________________________________________________________________

(Femtende) Diverse

Disse verktøyene i alle tre fanene har ingen innvirkning på sikkerheten til nettstedet. Siden kan ikke skjules fra kopiering. Så det er ekstra vanskeligheter og det trengs litt mer tid for å kopiere en slik side. Jeg har ikke aktivert noe noe sted. Ta en titt, kanskje noe vil være nyttig for deg.

Åpning "Kontrollpanel" WP Sikkerhet

SAMMENDRAG AV INNSTILLINGER

Klikk på fig.

Dette bildet indikerer god sikkerhet på nettstedet.

Chase til maksimale avlesninger "Sikkerhetsnivåmåler" Ikke verdt det. Tross alt er loven lik overalt
"Du vinner noen, du taper noen"
Du kan stenge deg fra alt så mye at du ikke en gang kan se noe. Eller gi besøkende et hinderløp gjennom labyrinten.

Vær også oppmerksom på Nåværende status for de viktigste funksjonene - ALT INKLUDERT. Hvis vi ikke har noe, ikke vær sjenert - vi får det.

Kanskje det er noe bedre på Internett når det gjelder å sikre sikkerhet, men jeg har ikke kommet over det ennå. Hvis noen vet, del gjerne.

Det viktigste: Siden er opprettet. Sikkerheten er garantert. Nå kan du løse dine neste oppgaver i et rolig miljø.

SUKSESS!

Jeg har allerede gjennomgått plugin for omfattende WordPress-bloggbeskyttelse iThemes Security, men jeg bestemte meg for å teste en annen All In One WP Security & Firewall. Vel, å la det ligge på nettstedene dine er det beste alternativet. Så la oss installere.

Gå til hovedsiden til All In One WP Security & Firewall-plugin. Vi ser følgende bilde. Og umiddelbart ser vi "Sikkerhetsnivåmåleren". Nettstedet mitt fikk 50 poeng av 470 mulige. Vel, ikke mye. Kanskje nivået vil øke etter å ha satt det opp. Men du bør ikke strebe etter å få høyest mulig poengsum, da dette kan forårsake problemer med siden. På høyre side ser vi "Sikkerhetsdiagrammet for nettstedet vårt".

Innstillinger

Administratorer

WP brukernavn

Når det er installert, tildeler WordPress automatisk administratorbrukernavnet "admin" (med mindre du endrer det manuelt). Mange hackere prøver å utnytte denne informasjonen ved å bruke et "Brute Force Attack" for å angripe, hvor de systematisk gjetter passordet ved å bruke ordet "admin" som brukernavn. Derfor anbefales det å endre den til en hvilken som helst annen.

Visningsnavn

Når du publiserer et innlegg eller svarer på en kommentar, viser WordPress vanligvis "kallenavnet ditt". Som standard er brukerens visningsnavn identisk med kontopåloggingen. Av sikkerhetsgrunner anbefales det å endre det slik at ingen kan finne ut under hvilken pålogging du logger på.

Passord

Et dårlig passord er den vanligste sårbarheten på de fleste nettsteder, og vanligvis er det første en hacker vil gjøre for å bryte seg inn på et nettsted å prøve å gjette passordet. I denne delen kan du sjekke styrken på passordet du bruker. Hvis en hacker prøver å gjette passordet ditt, kan du her anslå tiden han vil bruke.

Autorisasjon

En av de vanlige metodene som brukes av hackere for å penetrere et nettsted er et brute force-angrep. Dette er navnet på flere påloggingsforsøk med passordgjetting. I tillegg til å velge sterke passord, overvåke og blokkere IP-adresser som er involvert i gjentatte mislykkede påloggingsforsøk i løpet av kort tid, er blokkering av antall påloggingsforsøk og begrense tidsperioden for slike forsøk en svært effektiv måte å motvirke disse typene. av angrep.

Blokkering av autorisasjoner

• Aktiver alternativer for å blokkere autorisasjonsforsøk. Vi setter en hake.
• Tillat opplåsingsforespørsler. Jeg forstår ikke helt hva denne funksjonen betyr. Jeg slo den ikke på.
• Maksimalt antall påloggingsforsøk. Angi verdien for maksimalt antall påloggingsforsøk før IP-adressen blokkeres. Jeg la tre forsøk som standard.
• Tidsbegrensning for autorisasjonsforsøk (minutter). Standard er fem minutter. Tre forsøk fra forrige avsnitt vil resultere i at brukeren blir blokkert dersom forsøkene gjøres innenfor tidsperioden som er spesifisert her.
• Blokkeringsperiode (minutter). Spesifiser tidsperioden IP-adresser skal blokkeres for
• Vis autorisasjonsfeilmeldinger. Merk av for dette alternativet hvis du vil at en feilmelding skal vises når påloggingsforsøk mislykkes. Jeg tok den ikke på meg. Det er ikke nødvendig for en angriper å motta informasjon om feil.
• Blokker ugyldige brukernavn umiddelbart. Jeg aktiverte ikke dette alternativet på grunn av at jeg selv kunne angi feil pålogging og bli blokkert i en time. Andre kan også gjøre feil.
• Øyeblikkelig sperre spesifikke brukernavn. Øyeblikkelig blokkering av spesifikke brukere. Oftest prøver de å hacke påloggingene "admin" og "administrator". Derfor, hvis du ikke bruker dem, kan du legge dem til listen.
• Gi beskjed på e-post. Hvis du har et nettsted med lite trafikk, kan du merke av i boksen. Ellers kan du bli bombardert med disse varslene.

Registreringer over mislykkede påloggingsforsøk til nettstedet ditt vises her. Informasjonen nedenfor kan være nyttig hvis du trenger å undersøke påloggingsforsøk - den viser IP-området, brukernavnet og ID-en (hvis mulig), og klokkeslettet/datoen for et mislykket forsøk på å logge på nettstedet.

Alternativer for automatisk brukerutlogging

Å sette en tidsbegrensning for administrasjonsøkten er en enkel måte å beskytte mot uautorisert tilgang til nettstedet ditt fra datamaskinen din. Dette alternativet lar deg angi en tidsperiode hvoretter administratorøkten skal utløpe og brukeren må logge på igjen.

• Aktiver automatisk utlogging. Merk av for dette alternativet for å automatisk avslutte brukernes påloggingsøkter etter en spesifisert tidsperiode. Merk av i boksen hvis du trenger det. Jeg tror at hvis du kun logger på fra hjemmedatamaskinen, er dette ikke nødvendig.
• Logg ut bruker via. Brukeren vil automatisk logges ut etter denne tidsperioden.

Dette viser aktiviteten til administratorer på nettstedet ditt. Informasjonen nedenfor kan være nyttig hvis du forsker på brukeraktivitet, da den vil vise de siste 50 påloggingshendelsene med brukernavn, IP-adresse og påloggingstid.

Alle brukere som er logget inn på nettstedet ditt vises her. Hvis du mistenker at det er en aktiv bruker på systemet som ikke burde være det, kan du blokkere vedkommende ved å sjekke IP-adressen deres i listen nedenfor, og legge dem til på svartelisten.

Bruker registrering

Manuell bekreftelse

Hvis nettstedet ditt lar folk opprette sine egne kontoer via et WordPress-registreringsskjema, kan du holde SPAM og falske registreringer på et minimum ved å bekrefte hver registrering manuelt. Denne funksjonen merker automatisk nye registreringskontoer som "venter" til administratoren aktiverer dem. I dette tilfellet kan ikke uønskede registranter logge på uten din bekreftelse. Du kan se alle nylig registrerte kontoer i den praktiske tabellen nedenfor, og du kan også aktivere, deaktivere eller slette flere kontoer samtidig.

• Aktiver manuell godkjenning av nye registreringer. Merk av i boksen her hvis du vil at alle nye kontoer automatisk skal opprettes inaktive og du kan bekrefte dem manuelt.

Captca ved registrering

Denne funksjonen lar deg legge til et CAPTCHA-felt på WordPress-registreringssiden. I tillegg må brukere som forsøker å registrere seg svare på et enkelt matematisk spørsmål. Hvis svaret er feil, vil plugin-en hindre dem i å registrere seg. Siden jeg allerede har Google captcha installert, har jeg ikke aktivert denne funksjonen.

Databasebeskyttelse

Database backup

• Aktiver automatisk oppretting av sikkerhetskopier. Aktiver denne avmerkingsboksen for å få systemet til automatisk å lage databasesikkerhetskopier etter en tidsplan.
• Sikkerhetskopieringsfrekvens. Avhenger av mistenksomheten din og hvor ofte du oppdaterer nettstedet ditt. Jeg setter opprettelsen av en databasekopi en gang i uken.
• Antall sikkerhetskopier for lagring. I dette feltet angir du antall sikkerhetskopier som skal lagres i plugin-sikkerhetskopikatalogen. Jeg forlot standardverdien - to kopier.
• Send sikkerhetskopi til e-post. Aktiver denne avmerkingsboksen hvis du ønsker å motta en databasesikkerhetskopi til e-posten din. Jeg anbefaler å slå den på.

Filsystembeskyttelse

Filtilgang

Angi lese-/skrivetillatelser for WordPress-filer og -mapper for å kontrollere tilgangen til disse filene. Når du først installerer WordPress, tildeler den automatisk rimelige tillatelser til filsystemet. Noen ganger endrer imidlertid folk eller plugins tillatelser på visse kataloger og filer, og reduserer dermed sikkerhetsnivået på nettstedet deres ved å angi feil tillatelser. Dette alternativet skanner alle viktige kataloger og WordPress-kjernefiler og fremhever eventuelle usikre innstillinger.

Redigering av PHP-filer

Som standard lar WordPress-administrasjonspanelet deg redigere PHP-filer for plugins og temaer. Dette er førstehjelpen til en hacker som har fått tilgang til administratorkonsollen, og gir ham muligheten til å kjøre hvilken som helst kode på serveren din.
Dette alternativet deaktiverer muligheten til å redigere filer fra administrasjonspanelet.

• Deaktiver muligheten til å redigere PHP-filer. Merk av i denne boksen for å forhindre redigering av PHP-filer fra WordPress-administrasjonspanelet.

Etter min mening er ikke dette en veldig nyttig funksjon. Tross alt kan den samme hackeren fjerne merket for samme plugin hvis han får tilgang til administratorprofilen din. Som et resultat vil du bli plaget, siden for å sette inn koden for den samme telleren, må du gå til hostingen.

Tilgang til WP-filer

Dette alternativet vil nekte tilgang til filer som readme.html, license.txt og wp-config-sample.php, som opprettes under WordPress-installasjon og ikke har en systembelastning, men å begrense tilgangen til disse filene vil tillate deg å skjule viktig informasjon fra hackerinformasjon (som WordPress-versjon).

• Hindre tilgang til informasjonsfiler som er opprettet som standard når du installerer WordPress. Kryss av i denne boksen.

Systemlogger

Serveren din kan med jevne mellomrom publisere feilrapporter i spesielle filer kalt "error_log". Avhengig av arten og årsakene til feilen, kan serveren din lage flere loggfiler i forskjellige kataloger for WordPress-installasjonen. Ved å gå gjennom disse loggene fra tid til annen, vil du være klar over eventuelle store problemer med nettstedet ditt og kan bruke denne informasjonen til å løse dem.

WHOIS-søk

Denne funksjonen lar deg få detaljert informasjon om en IP-adresse eller et domene. En praktisk funksjon, da du vil være nysgjerrig på å vite informasjon om adressene til angriperne. Det er ikke nødvendig å gå til Internett på jakt etter slike tjenester.

Svartelistefunksjonen lar deg blokkere spesifikke IP-adresser, områder og brukeragenter, og nekter tilgang til nettstedet for de brukerne og robotene som brukte disse IP-adressene av spam eller andre grunner. Denne funksjonen implementeres ved å legge til visse regler i .htaccess-filen.

• Oppretthold svartelisten. Kryss av i denne boksen hvis du vil kunne utestenge spesifiserte IP-adresser eller brukeragenter.
• Skriv inn IP-adresser. Hver adresse er på en ny linje.
• Skriv inn brukeragentnavnene. Skriv inn hver brukeragent på en egen linje.

For å kunne aktivere dette alternativet og motta 15 sikkerhetspunkter, må du angi minst én IP-adresse eller brukeragent.

Brannmur

Grunnleggende brannmurregler

Alternativene på denne fanen lar deg bruke noen grunnleggende sikkerhetsregler på nettstedet ditt. Denne brannmurfunksjonaliteten oppnås ved å legge til noen spesielle direktiver til .htaccess-filen. Aktivering av disse alternativene bør ikke ha noen innvirkning på den generelle funksjonaliteten til nettstedet ditt, men hvis du ønsker det, kan du lage en sikkerhetskopi av .htaccess-filen din før du aktiverer disse innstillingene.

• Aktiver grunnleggende brannmurfunksjoner. Kryss av i denne boksen for å aktivere de grunnleggende brannmurfunksjonene på nettstedet ditt. Jeg anbefaler å installere den.

Dette alternativet vil starte følgende grunnleggende sikkerhetsmekanisme på nettstedet ditt:

1. Beskytter htaccess-filen mot uautorisert tilgang.
2. Deaktiverer serversignaturen i svar på forespørsler.
3. Begrenser grensen for størrelsen på opplastede filer til 10 MB.
4. Beskytter wp-config.php-filen din mot uautorisert tilgang.

Ovennevnte funksjonalitet oppnås ved å legge til visse direktiver til .htaccess-filen og bør ikke påvirke den generelle ytelsen til nettstedet ditt. Men for å være på den sikre siden, anbefales det at du tar en sikkerhetskopi av .htaccess-filen først.

WordPress XMLRPC og Pingback-sårbarhetsbeskyttelse

• Blokker tilgang til XMLRPC fullstendig. Jeg anbefaler å installere den. En av sidene mine ble lastet inn på nytt med slike forespørsler, og hosteren bombarderte meg med klager på at serveren ble overbelastet.

Denne funksjonen er nødvendig for de som publiserer og redigerer oppføringer på bloggen sin via smarttelefoner. Hvis du ikke trenger det, slå det gjerne av. På denne måten vil ikke en angriper kunne:

1. Overbelast serveren med forespørsler og deaktiver den derved (DoS-angrep).
2. Hack interne rutere.
3. Skann interne nettverksporter for å få informasjon fra ulike verter på serveren.

I tillegg til å forbedre nettstedets sikkerhet, vil dette alternativet bidra betydelig til å redusere belastningen på serveren din, spesielt hvis nettstedet ditt mottar mye uønsket trafikk rettet mot XML-RPC API.

• Deaktiver Pingback-funksjonalitet fra XMLRPC. Merk av i boksen. Pingback-beskyttelse.

Blokker tilgang til feilsøkingsloggfil

• Blokker tilgang til debug.log-filen. Blokkering av tilgang til feilsøkingsloggfilen. Merk av i boksen.

Ytterligere brannmurregler

I denne kategorien kan du aktivere ytterligere brannmurinnstillinger for å beskytte nettstedet ditt. Disse alternativene implementeres ved å legge til visse regler i .htaccess-filen. På grunn av visse funksjoner kan disse reglene bryte funksjonaliteten til enkelte plugins, så det anbefales å ta en sikkerhetskopi av .htaccess-filen før du aktiverer dem.

• Se kataloginnhold. Aktiver denne avmerkingsboksen for å forhindre gratis surfing av kataloger på nettstedet ditt. For at denne funksjonen skal fungere, må "AllowOverride"-direktivet være aktivert i httpd.conf-filen. Hvis du ikke har tilgang til httpd.conf-filen, kontakt din vertsleverandør.
• HTTP-sporing. Merk av i denne boksen for å beskytte deg mot HTTP-sporing. HTTP-sporingsangrep (cross-site tracing, eller XST), brukes til å hente informasjon fra HTTP-hodene som returneres av serveren og stjele informasjonskapsler og annen informasjon. Denne hackingteknikken brukes vanligvis i kombinasjon med cross-site scripting (XSS). Dette alternativet er laget for å beskytte mot denne typen angrep.
• Deaktiver kommentarer via proxy. Merk av i denne boksen for å deaktivere proxy-kommentarer. Forby ondsinnede strenger i forespørsler. Dette alternativet er designet for å beskytte mot ondsinnet kodeinjeksjon under XSS-angrep. ADVARSEL: Noen av de blokkerte strengene kan brukes i enkelte plugins eller temaet ditt, og derfor kan dette alternativet bryte funksjonaliteten deres. Sørg for å sikkerhetskopiere .htaccess før du installerer dette alternativet.
• Forby ondsinnede strenger i forespørsler. Dette alternativet er designet for å beskytte mot ondsinnet kodeinjeksjon under XSS-angrep. ADVARSEL: Noen av de blokkerte strengene kan brukes i enkelte plugins eller temaet ditt, og derfor kan dette alternativet bryte funksjonaliteten deres. HUSK Å LAGE EN SIKKERHETSKOPI AV .HTACCESS-FILEN DIN.
• Aktiver ekstra tegnfiltrering. Dette er ekstra tegnfiltrering for å blokkere ondsinnede kommandoer som brukes i XSS-angrep (skripting på tvers av nettsteder). Dette alternativet vil fange opp vanlige eksempler på skadelig programvare og utnyttelser og vil returnere en 403 (Access Denied) feilmelding til hackeren. ADVARSEL: Noen direktiver i disse innstillingene kan ødelegge funksjonaliteten til nettstedet (dette avhenger av vertsleverandøren). HUSK Å LAGE EN SIKKERHETSKOPI AV .HTACCESS-FILEN DIN.

6G svarteliste brannmurregler

Aktiver disse alternativene hvis du vil:

1. Blokkering av forbudte karakterer som vanligvis brukes i hackerangrep.
2. Blokkering av skadelig kodede strenger i URL-er som ".css" osv.
3. Beskyttelse mot vanlige ondsinnede kodemønstre og spesifikke utnyttelser (sekvenser av kommandoer som utnytter kjente sårbarheter) i URL-er.
4. Blokkering av forbudte tegn i forespørselsparametere.

Aktiver 6G-brannmurbeskyttelse. Dette alternativet vil aktivere 6G-beskyttelse på nettstedet ditt.

Aktiver eldre 5G-brannmurbeskyttelse. Dette alternativet vil aktivere 5G-beskyttelse på nettstedet ditt.

Internett-roboter

• Blokker falske Googlebots. Merk av i denne boksen hvis du vil blokkere alle falske Google-roboter.

Denne funksjonen sjekker om brukeragentinformasjonsfeltet inneholder strengen "Googlebot". I dette tilfellet utfører funksjonen flere tester for å sikre at den faktisk er en Google-bot. Hvis ja, la boten fortsette å jobbe. Bruk denne funksjonen med forsiktighet for å unngå problemer med indeksering i tilfelle feil.

Forhindre hotlinks

Hotlinking er når noen på nettstedet deres viser et bilde som faktisk er på nettstedet ditt, ved å bruke en direkte lenke til bildekilden på serveren din. Siden bildet som vises på andres nettsted er levert fra nettstedet ditt, kan dette føre til tap av hastighet og ressurser for deg fordi serveren din må overføre dette bildet til folk som ser det på andres nettsted. Denne funksjonen forhindrer direkte hurtigkoblinger til bilder fra sidene dine ved å legge til noen få instruksjoner til .htaccess-filen.

• Forhindre hotlinks til bilder. Kryss av i denne boksen for å forhindre bruk av bilder fra dette nettstedet på sidene til andre nettsteder (hotlinks).

404-deteksjon

En 404- eller «Page Not Found»-feil oppstår når noen ber om en side som ikke er på nettstedet ditt. De fleste 404-feil oppstår når en besøkende feilstavet URL-en til en side eller brukte en gammel lenke til en side som ikke lenger eksisterer. Noen ganger kan du imidlertid legge merke til et stort antall 404-feil på rad i løpet av relativt kort tid fra samme IP-adresse, med forespørsler om URL-er til sider som ikke eksisterer. Denne oppførselen kan bety at hackeren prøver å finne en spesiell side eller URL med ondsinnet hensikt.

• Aktiver 404 IP-deteksjon og låsing. Kryss av i denne boksen hvis du vil kunne utestenge spesifiserte IP-adresser.
• Blokkeringsperiode på grunn av 404-feil (minutter). Spesifiser tidsperioden IP-adresser skal blokkeres for.
• Redirect URL for 404-feil. Den blokkerte besøkende blir automatisk omdirigert til URL-en du spesifiserte.

Du kan blokkere alle IP-adresser som er registrert i 404-feilloggtabellen nedenfor. For å blokkere en IP-adresse, hold musen over ID-kolonnen og klikk på koblingen "Blokker midlertidig" for den tilsvarende IP-adressen.

Egendefinerte regler

Du kan angi flere regler i htaccess-filen. Vi rører ingenting.

Beskyttelse mot brute force-angrep

Gi nytt navn til påloggingssiden

Et effektivt tiltak for å beskytte mot passord brute force er å endre adressen til påloggingssiden. Vanligvis, for å logge på WordPress, skriver du inn nettstedets basis-URL, etterfulgt av wp-login.php (eller wp-admin).

• Aktiver alternativet for å gi nytt navn til påloggingssiden. Merk av i boksen hvis du vil aktivere funksjonen for å endre navn på påloggingssiden.
• Adresse (URL) til påloggingssiden. Angi en ny bane til administrasjonspanelet.

Beskyttelse mot brute force-angrep ved hjelp av informasjonskapsler

• Aktiver beskyttelse mot brute force-angrep. Denne funksjonen vil nekte alle brukere som ikke har en spesiell informasjonskapsel i nettleseren tilgang til påloggingssiden din.
• Hemmelig ord. Skriv inn et hemmelig ord som består av alfanumeriske tegn (latinske bokstaver), som vil være vanskelig å gjette. Dette ordet vil bli brukt til å lage en spesiell URL for deg å få tilgang til påloggingssiden (se neste punkt).
• Redirect URL. Skriv inn nettadressen som hackeren vil bli omdirigert til når du prøver å få tilgang til påloggingsskjemaet ditt. Du kan være kreativ og omdirigere hackere, for eksempel til CIA- eller FSB-nettstedet.
• Nettstedet mitt har innlegg eller sider som er låst av WordPresss innebygde passordbeskyttelsesfunksjon.. I tilfelle du beskytter innleggene og sidene dine med passord ved å bruke den tilsvarende innebygde WordPress-funksjonen, må du legge til noen tilleggsdirektiver til .htaccess-filen. Aktivering av dette alternativet vil legge til de nødvendige reglene til .htaccess-filen, slik at personer som prøver å få tilgang til disse sidene ikke blokkeres automatisk.
• Denne siden har et tema eller plugin som bruker AJAX. Merk av i boksen hvis nettstedet ditt bruker AJAX-funksjonalitet.

Captcha for pålogging

Denne funksjonen lar deg legge til et CAPTCHA-felt på WordPress-påloggingssiden.

• Aktiver CAPTCHA på påloggingssiden. Aktiver denne avmerkingsboksen for å legge til en CAPTCHA på påloggingssiden til nettstedet ditt.
• Aktiver CAPTCHA-skjemaet på endret påloggingsside. Merk av i boksen her for å legge til en CAPTCHA i et spesielt påloggingsskjema, som genereres av funksjonen wp_login_form()
• Aktiver CAPTCHA på siden "tapt passord".. Merk av i boksen her for å legge til en CAPTCHA på siden for passordgjenoppretting.

Hviteliste for innlogging

All In One WP Security-hvitelistefunksjonen lar deg bare tillate tilgang til WordPress-påloggingssiden fra bestemte adresser eller IP-områder. Legg til en liste over hvitelistede IP-adresser eller IP-områder. Alle andre adresser vil bli blokkert så snart de prøver å åpne påloggingssiden.

Tønne med honning (honninggryte)

Denne funksjonen lar deg legge til et spesielt, skjult "honeypot"-felt på påloggingssiden. Det vil bare være synlig for roboter. Fordi roboter fyller vanligvis ut alle feltene i innloggingsskjemaet, de vil også sende en viss verdi i et spesielt, skjult felt i honningkrukken. Derfor, hvis plugin-en ser at dette feltet er fylt ut, vil roboten som prøver å logge på nettstedet ditt bli omdirigert til sin egen adresse, nemlig http://127.0.0.1.

• Aktiver honningkrukken på påloggingssiden. Aktiver denne avmerkingsboksen for å aktivere honeypot-funksjonen på påloggingssiden.

Spambeskyttelse

Spam i kommentarer

• Aktiver CAPTCHA i kommentarskjemaer. Kryss av i denne boksen for å sette inn et CAPTCHA-felt i kommentarskjemaet.
• Blokker spambotter fra å kommentere. Kryss av i denne boksen for å aktivere brannmurregler for å blokkere kommentarer fra spambotter. Denne funksjonen vil opprette en brannmurregel som blokkerer forsøk på å registrere en kommentar hvis forespørselen ikke kom fra en side på domenet ditt. En ærlig kommentar sendes alltid av en person som fyller ut kommentarskjemaet og klikker på "Send"-knappen. I dette tilfellet har HTTP_REFERRER-feltet alltid en verdi som refererer til domenet ditt. En kommentar fra en spambot sendes umiddelbart med en forespørsel til comments.php-filen, dette betyr vanligvis at HTTP_REFERRER-feltet kan være tomt, eller refererer til et utenlandsk domene. Denne funksjonen sjekker og blokkerer kommentarer som ikke kom fra domenet ditt. Dette reduserer det totale antallet SPAM- og PHP-forespørsler på serveren din når du behandler spam-forespørsler.

IP-adressesporing for kommentarspam

Akismet-plugin må være installert.

• Aktiver automatisk blokkering av IP-er for SPAM-kommentarer. Sett til å automatisk blokkere IP-adresser som kommentarer sendes fra.
• Minimum antall SPAM-kommentarer. Angi minimum antall spam-kommentarer for én IP-adresse, hvoretter den vil bli blokkert.
• Minimum antall spam-kommentarer per IP. Denne informasjonen kan være nyttig for å identifisere IP-adresser eller områder med IP-adresser som brukes mest konsekvent av spammere. Ved å analysere denne informasjonen kan du raskt finne ut hvilke adresser eller områder som skal blokkeres ved å legge dem til på svartelisten.

BuddyPress

Denne funksjonen vil legge til en CAPTCHA med et enkelt matematisk problem til BuddyPress-registreringsskjemaet. Å legge til et CAPTCHA-felt i registreringsskjemaet er en enkel måte å redusere antallet spamregistreringer fra roboter betydelig, uten å endre reglene i .htaccess-filen.

Skanner

• Aktiver automatisk skanning for filendringer. Aktiver denne avmerkingsboksen for å få systemet til automatisk å sjekke om det er endringer i filer basert på innstillingene nedenfor.
• Skannefrekvens. Spesifiser skannefrekvensen.
• Ignorer følgende filtyper. Først av alt, skriv inn bildefiler som kan endres ofte uten å kompromittere sikkerheten til nettstedet: jpg, jpeg, png, bmp.
• Ignorer visse filer og mapper. Først av alt, spesifiser cache-mappen.

Vedlikeholdsmodus

Dette alternativet lar deg sette nettstedet ditt i vedlikeholdsmodus, noe som gjør det umulig for besøkende å se nettstedet, med unntak av administratorer. Dette kan være veldig nyttig hvis du tilpasser noe, endrer design, sjekker driften av plugins osv. og så videre.

Diverse

• Aktiver kopibeskyttelse. Aktiver dette alternativet hvis du vil blokkere funksjonene "Høyreklikk", "Merk tekst" og "Kopier" på offentlige sider på nettstedet ditt.
• Aktiver iframe-beskyttelse. Merk av i denne boksen hvis du vil forhindre at andre nettsteder viser innholdet ditt i en ramme eller iframe.
• Deaktiver brukeroppregning. Denne funksjonen lar deg hindre brukere/roboter i å trekke ut brukerinformasjon som "/?Author=1". Når den er aktivert, vil denne funksjonen generere en feil i stedet for å gi brukerinformasjon.

Vurder denne artikkelen

Alt i ett WP Security & Firewall Security Plugin for WordPress

4,3 (86,67%) 3 stemmer

God ettermiddag til alle lesere, i dag skal vi igjen diskutere spørsmålet om nettstedssikkerhet på WordPress. Men ikke i det abstrakte, men ved å bruke eksemplet med å sette opp den utmerkede All In One WP Security & Firewall-plugin, som jeg ganske vellykket bruker på en rekke av nettstedene mine og trygt kan anbefale til deg.

All In One WP Security & Firewall er en av de universelle WordPress-beskytterne du kan lese om. Denne typen "vokter av alle branser" og gir i prinsippet omfattende beskyttelse i mange henseender. Programtillegget har en god brukervurdering og er helt gratis.

En av de viktige fordelene er at All In One WP Security & Firewall er perfekt oversatt til russisk og å mestre alle funksjonene er ikke vanskelig for de som ikke studerte fremmedspråk så godt på skolen. Oversettelsen er fullført - det vil si ikke bare hovedfunksjonene, men nesten alle tipsene for dem. De vil gi deg et fullstendig bilde og forståelse av behovet og viktigheten av visse innstillinger.

Strukturelt sett består pluginen av flere dusin alternativer som du står fritt til å aktivere eller la være deaktivert. Inkludering av visse alternativer vises i spesielle avmerkingsbokser. Prioriteten til dette alternativet er også synlig der.

Hensikten med denne artikkelen er ikke så mye å liste opp innstillingene (du kan enkelt se, studere og forstå dem uansett), men min visjon om hva som bør inkluderes og hva som kan neglisjeres av en eller annen grunn. La oss komme i gang.

Sette opp Alt i ett WP Security & Firewall

Kontrollpanel

• Informasjonswidgeter med en visuell beskyttelsesindikator, et diagram over alle beskyttelsespunkter, som viser aktive økter og blokkerte IP-er. Spesiell oppmerksomhet bør rettes mot widgeten - Gjeldende status for de viktigste funksjonene. Her kan du umiddelbart, uten å fordype deg i innstillingene, aktivere de viktigste beskyttelseselementene.
• Systeminformasjon. Informasjon om nettstedet, PHP-versjonen og alle installerte plugins vises. Tab - Blokkerte IP-adresser og en fane med plugin-logger. I begynnelsen vil selvfølgelig alt i disse fanene være tomt.
• Faner - Blokkerte IP-er og logger. Det er ikke nødvendig å konfigurere noe her.

Innstillinger

• Faner med generelle innstillinger. Ingenting er konfigurert, men du kan umiddelbart lage sikkerhetskopier av .htaccess, database og wp-config.php. Du kan umiddelbart slå av alle innstillingene med ett slag hvis noe går galt og problemer oppstår.
• WP-metainformasjon. Slå den på.

Administratorer

• WP brukernavn. Hvis påloggingen din ikke er Admin, er alt i orden. Ellers må du definitivt endre det. Dette er en veldig viktig funksjon. Hvis du i fremtiden spesifiserer at du mottar e-postvarsler om midlertidig blokkerte brukere som forsøkte å logge på med Admin-påloggingen, vil du bli ubehagelig overrasket. For meg er dette minst 2-5 e-poster per dag (se Blokkering av autorisasjoner).
• Visningsnavn. Viser alle registrerte brukere hvis pålogging samsvarer med navnet deres (kallenavnet). Hvis du ikke har noen utenom deg, vil listen være tom. Hvis det er brukere, kan du begynne å korrigere kallenavn. Ikke en veldig viktig funksjon - du kan la den være i fred.
• Passord. Et interessant verktøy som visuelt viser deg styrken til ethvert passord. Etter det å dømme, er det fornuftig å angi komplekse passord på minst 10 tegn.

Autorisasjon

• Blokkering av autorisasjoner. En nyttig funksjon for passordgjetting. Sørg for å aktivere og tilpasse innstillingene til din smak eller la dem være som standard. Jeg anbefaler, i det minste midlertidig, å slå på varsler om utløst blokkering via e-post. Bare for å forstå hvor viktig denne funksjonen er.
• Feil autorisasjoner. Her er statistikken. Du trenger ikke konfigurere noe.
• Automatisk utlogging av brukere. Det er ikke praktisk for brukerne dine og gir deg få sikkerhetspunkter. Du trenger ikke å slå den på.
• Aktivitetslogg og Aktive økter - informasjon og logger.

Bruker registrering

• Manuell bekreftelse. Generelt er dette en veldig nyttig funksjon hvis du ikke har veldig hyppige registreringer på nettstedet ditt og hvis de er tillatt i det hele tatt. Du kan slå den på.
• Captcha under registrering. Installerer en enkel, digital captcha på registreringsskjemaet. For å være ærlig likte jeg ikke hvordan det fungerte. Jeg bruker en egen - Math Captcha. Den ser ut til å være lik i alt, men i motsetning til den innebygde fungerer den mye bedre. Bestem selv hva du skal velge.

Database

• Endre prefikset til databasetabellene dine. Det er verdt å aktivere, men likevel anbefaler jeg deg å ta en sikkerhetskopi av databasen på forhånd.
• Database backup. Jeg anbefaler å slå den på. Vanligvis tar ikke databaser mye plass, og det vil ikke være overflødig selv om du bruker annen sikkerhetskopi for nettstedet.

Filsystem

• Filsystemtilgang. Angi ønsket verdi for tilgang til mapper i kolonnen Anbefalt handling slik at hele listen blir grønn.
• Redigering av PHP-filer. Du kan aktivere forbud mot redigering fra administrasjonspanelet, med mindre du selvfølgelig redigerer filer på denne måten selv.
• WP-filtilgang. Nekter tilgang til readme.html, license.txt og wp-config-sample.php. Slå den på.
• Systemlogg. Sette opp logggenerering. Vi rører ingenting.

WHOIS-søk

• Manuell verifisering av IP-adresser. Ingenting kan konfigureres, og av en eller annen grunn fungerer det ikke alltid.

Svarteliste

• Forby brukere. Slå den på. Som du forstår er dette kun aktuelt hvis du selv legger inn noen IP-adresser der. Det kan være nyttig når du raskt skal utestenge en annen idiot-hooligan i kommentarfeltet.

Brannmur

• Grunnleggende regler. Les tipsene og slå på begge avmerkingsboksene. Før du gjør dette, bør du ta en sikkerhetskopi av .htaccess-filen
• Ytterligere regler. Det er verdt å inkludere alt. Forfatterne av pluginet advarer imidlertid om mulig inkompatibilitet med enkelte plugins.
• Sette opp 5G. Så vidt jeg forstår, inkluderer den en slags ekstra brannmur. Slå den på. Jeg la ikke merke til noen problemer etter å ha aktivert dette alternativet.
• Internett-roboter. I teorien blokkerer det falske Google-roboter. For å unngå problemer med nyttige roboter, tok jeg ikke med denne avmerkingsboksen, for sikkerhets skyld.
• Forhindre hotlinks. Hva er det - les i tipset. Slå den på.
• 404 feilsporing. Verdt å aktivere, men hold blokkeringstiden kort. For eksempel 5-10 minutter.

Beskyttelse mot brute force-angrep

• Gi nytt navn til påloggingssiden. Alternativet er nyttig, men husk at det kan oppstå et problem hvis du har tillatt registrering på siden. For eksempel når en bruker ønsker å gjenopprette et tapt passord. Totalt sett er det verdt å teste grundig etter at du har slått den på. I tillegg bruker noen vertsleverandører denne beskyttelsen som standard. Bestem deg etter omstendighetene.
• Beskyttelse mot brute force-angrep basert på bruk av informasjonskapsler. Som med forrige punkt, er oppsettet strengt individuelt. Les tipsene nøye og avgjør selv.
• Logg inn captcha. Hvis du fortsatt bruker den innebygde captchaen, er det bedre å slå på alt.
• Hvit liste. Nekter påloggingstilgang for alle unntatt de som er oppført. For ekte galninger trenger du ikke å slå den på.
• Tønne med honning. Les den detaljerte beskrivelsen av denne interessante funksjonen i verktøytipset. Det virker for meg som om du trygt kan slå den på.

Spambeskyttelse

• Spam i kommentarer. Captcha i kommentarer - aktiver hvis du bruker den innebygde captchaen. Blokkering av spamroboter – hjelp Akismet-en din med å bekjempe spamroboter – slå den på.
• IP-sporing. Her kan du identifisere de mest aktive spammerne og svarteliste dem.
• BuddyPress. Relevant hvis du har denne plugin for sosiale nettverk.

Skanner

• Spor eventuelle endringer i filer. Det ser ut til at dette er mer ment for de som er spesielt bekymret, siden endringer i filer sikkert vil skje fra tid til annen. Hvis du vil kontinuerlig overvåke og kontrollere alt dette, slår du det på.
• Skanning mot skadelig programvare. Betalt funksjon - fra $5 per måned.

Vedlikeholdsmodus

• Her kan du aktivere "vedlikeholdsmodus" for nettstedet og tilpasse utseendet til siden med en advarsel for leserne. Les mer.

Diverse

• Beskytt innhold fra å kopiere og lime inn i en ramme. Aktivering av disse påvirker ikke sikkerheten til nettstedet direkte.

konklusjoner

Totalt sett likte jeg veldig godt All In One WP Security, og jeg bruker det på noen nettsteder. Etter min mening, om ikke den beste, så absolutt en av de beste slike plugins. For å være rettferdig merker jeg at jeg på ingen måte er en ekspert på sikkerhetsspørsmål. Alt det ovennevnte er kun et resultat av min erfaring med bruk og personlige meninger. Så hvis erfarne lesere har sine egne tanker om innstillingene til denne plugin-en eller de beste alternativene til den, vennligst si ifra. Smaken av farge, som de sier...