Какво представлява плъгина All In One WP Security & Firewall


Ще разгледаме въпроса, относно сигурността в WordPress, но по-конкретно.Става въпрос за един отличен плъгин – All In One WP Security & Firewall, който въпреки че е безплатен, успешно се използва в много сайтове.
All In One WP Security & Firewall е един от топ плъгините за комплексна защита на сайтове, изградени върху WordPress, има много добър рейтинг в официалното хранилище за плъгини от потребителите и осигурява доста прилична защита, благодарение на многото си комплексни опции за настройка.
За съжаление няма превод за български, дори за основните функции, не само за настройките.
Плъгина има десетки опции, структурирани в специални раздели, в които се вижда приоритетът им.Съществуват много подобни плъгини за WordPress, но благодарение на AIOWP (както понякога може да го намерите в съкратен вариант) може да се отървете от някои други плъгини.Например:

Login Lockdown
WordPress Database Backup
Prevent XSS Vulnerability
WP Content Copy Protection & No Right Click
и прочие.
Нека видим за какво става дума всъщност.

Целта на тази статия е не само да ги изброим (лесно можете да тествате, опитвате и научите сами),а да споделим какво си струва и какво не от неговите настройки(според нас), за да се избегнат евентуални грешки, пилеене на нерви и бюджет и т.н.

Силно препоръчително е направите бекъп на важните файлове и базата си данни (за всеки случай), а това удобство ни е предоставено директно от секция Settings, както споменахме – без да се нуждаем от допълнителни плъгини за това.

Основен панел (Dashboard)

Тук можете да видите обща информация за степента на защита на сайта.

Dashboard

dashboard
На първо време, обърнете внимание на т.н. Security Strenght Meter, който ще намерим в началото на поредицата опции, които ни предлага плъгина.
security strenght meter
Не се притеснявайте, ако след всички настройки, повечето от които са специфични за всеки сайт и хостинг, (затова ще предложим най-безопасните в настоящия текст) не достигнете максималните 500+ точки.От опита ни с него, доста прилична защита означава стойност от порядъка на 250-300 точки.
Те се натрупват според критериите във всеки таб с настройки, зададени от разработчиците, както в тази картинка:

Другото ценно нещо е, че благодарение на уиджета Critical Info Status, може бързо да достъпите най-важните елементи на защитата.
Другите бързо достъпни джаджи са информативни – Logged In Users, Locked IP Addresses, Last 5 Logins.
Останалите параметри в дашборд-а са чисто информативни, в началото не съдържат нищо, но може да се запознаете с тях от любопитство (системна информация, блокирани IP адреси, логове и т.н).

System Info

Показва се информация за сайта, PHP версията и всички инсталирани плъгини.

Locked IP Addresses

Блокирани IP адреси – в началото, разбира се, ще бъде празен.

Permanent Block List

Няма какво да се конфигурира.

AIOWPS Logs

Няма какво да се конфигурира.

Настройки (Settings)

General Settings

Тук освен препоръчителните бекъпи, можете бързо да отмените всички настройки, ако нещо се обърка и се появят проблеми.

.htaccess File

Направете бекъп на този файл!

wp-config.php File

И на този!

WP Version Info

Сложете отметка, за да не се вижда в кода на сайта версията на WordPress.

Toва може да попречи на хакери или роботи да сканират сайта ви да видят дали имате по-стара версия на WordPress и да пробват някаква беля с познат експлойт.

Import/Export

Тук можете да експортирате настройките си, така че да не губите време за настройките на друг сайт и да импортирате всички необходими опции с две кликвания.

Advanced Settings

Тази опция не е по темата, използва се за да се получи информация за даден IP адрес, избирайки желаната глобална променлива, но няма да се спираме на нея.
Оставяме без промяна!

Потребителски акаунти (User Accounts)

WP Username

Ако потребителското ви име не е admin, тогава всичко е наред. В противен случай – необходимо е да го промените. Това е наистина важен „трик“. Ако по-късно посочите, че ще получавате известия по имейл за блокирани потребители, които са се опитали да влязат с това потребителско име за администратор, ще бъдете изненадани.Силно вероятно е, да получавате по 2-5 подобни мейла на ден, ако сайта ви е с по-голяма посещаемост.
Ако сте оставили потребителското има, каквото е по-подразбиране при инсталацията на WordPress – силно препоръчваме да го смените от тук!

Display Name

Показва всички регистрирани потребители, чийто логин съвпада с името (псевдонима). Ако нямате никой друг освен вас, списъкът ще бъде празен. Ако има потребители, можете да коригирате псевдонимите им. Не е много важна функция – но можете да я промените.

Password

Забавен инструмент, който визуално ви показва надеждността на всяка парола. Съдейки по него, има смисъл да се задават сложни пароли с дължина най-малко 10 символа.

Потребителски вход (User Login)

Login Lockdown

Уверете се, че сте активирали тази функция. Ако паролата се въведе 3 пъти неправилно в рамките на 5 минути (по подразбиране), тогава IP-то се блокира за 60 минути (също по подразбиране). Не препоръчвам да се заключва за повече време, в противен случай може да се сблъскате с факта, че администраторите въвеждат данните за вход 3 пъти неправилно, заключват се за 10 години и не знаят какво да правят. Оставяме по подразбиране 60 минути и не се притесняваме.

Също така препоръчваме да отбележите „Instantly Lockout Invalid Usernames“. Например променихте потребителското име от admin на shef, след това, когато се въведе admin в полето за вход, IP адресът ще бъде незабавно блокиран. „Notify By Email“ – тук е по желание. Не обичаме допълнителния спам, така че рядко поставяме отметка тук.
Eто така:

Failed Login Records

Само статистика, тук не се настройва нищо

Force Logout

Автоматично разлогване на потребителя. Не е удобно за потребителите и в същото време дава малко точки за сигурност.Можете да не го включите.

Account Activity Logs

и

Logged In Users

Само информация и логове, няма какво да се пипа.

Потребителска регистрация (User Registration)

Manual Approval

Поставете отметка в квадратчето ‘Enable manual approval of new registrations’, като не забравяте да натиснете „Save Settings“ 🙂

Registration Captcha

Инсталира простa, цифрова captcha на формата за регистрация.Нещо подобно е отделния плъгин Math Captcha. Изглежда, че е сходна във всичко, но за разлика от вградената, според някои отделния плъгин работи много по-добре. Решете сами какво да изберете.
Разбира се, ако не позволявате регистриране на други хора на вашия сайт, горните 2 точки са просто безполезни, няма да стане по-добре или по-лошо. Но, ако се съмнявате, по-добре е да сложите отметки в тези точки, поне ще увеличите точките за защита в Security Strenght Meter-a :).

Registration Honeypot

Тази функция ви позволява да добавите специално скрито поле „honeypot“ в страницата за регистрация на WordPress. Това ще бъде видимо само за роботи, а не за хора.Тъй като роботите обикновено попълват всяко поле за въвеждане от формуляр за регистрация, те ще подадат стойност и за специалното скрито поле.Следователно, ако плъгинът открие, че това поле има стойност при подаване на формуляра за регистрация, роботът, който се опитва да се регистрира на вашия сайт, ще бъде пренасочен към неговия адрес localhost – http://127.0.0.1.
Сложете отметка!

Сигурност на базата данни (Database Security)

DB Prefix

Сложете отметка САМО ако знаете, какво правите, в противен случай може да се сблъскате с доста сериозни проблеми, особено ако нямате бекъп на базата си!

DB Backup

Препоръчваме да включите. Обикновено базите данни не заемат много място и това няма да е излишно, дори ако използвате някакъв друг архив за сайта.Оставете другите стойности по-подразбиране.

Сигурност на файловата система (Filesystem Security)

File Permissions

Тук от дясната страна ще имате бутони и ще трябва да промените разрешенията на файла, като кликнете върху тези бутони. Всички трябва да станат зелени.

PHP File Editing

Забранете го, ако имате и други потребители с администраторски права в сайта!

WP File Access

Сложете отметка, за да скриете информацията от тези файлове, която може да е чувствителна.

Host System Logs

Няма смисъл да се пипа.

WHOIS Търсене (WHOIS Lookup)

Нищо не пипаме, а и то по някаква причина не винаги работи.

Управление на черен списък (Blacklist Manager)

Ban Users

Включете. Както разбирате, то е от значение само ако въведете някои IP адреси там. Това е полезно, когато трябва бързо да баннете поредния нахалник в коментарите.

Защитна стена (Firewall)

Basic Firewall Rules

Основни правила за защитната стена. Ако преди тази точка не сте направили резервно копие на htaccess, то определено е време го направим. И поставете отметка пред всички елементи:

Additional Firewall Rules

Струва си да се включи всичко. Въпреки това, авторите на плъгина предупреждават за възможна несъвместимост с някои други плъгини.
Можета за всеки случай да оставите празно „Deny Bad Query Strings“, понякога дава грешки 403.

6G Blacklist Firewall Rules

Хубаво е да се включи, не сме забелязали проблеми с активация на тази опция.Това е наследник на 5G Blacklist Firewall Rules от по-стари версии на плъгина.А и все пак от PerishablePress.com го препоръчват. 🙂

Internet Bots

Възможно е да има проблеми с индексирането, затова препоръчваме да не включвате това!

Prevent Hotlinks

Включете.

404 Detection

Препоръчваме да се включи, а за време поставете 5 минути.Отдолу има само логове.

Custom Rules

Можете да зададете допълнителни правила в файла htaccess. Не докосвайте нищо, ако не знаете, какво правите.

Brute Force

Rename Login Page

Много добра опция, но с няколко условия.Имайте предвид, че може да има проблем, ако сте разрешили регистрация в сайта. Например, когато потребител иска да възстанови изгубена парола. Като цяло си струва, но вземете решение според обстоятелствата.И най-важното – запомнете новия си адрес за вход в сайта! 🙂
Препоръчваме да се тества и да се активира.

Cookie Based Brute Force Prevention

Не активирайте тази функция, така че да нямате проблеми с входа от различни устройства.

Login Captcha

Ако имате site key и secret key за Google reCAPTCHA, може да ги поставите тук (разрешавайки, разбира се съответния домейн в платформата на Google) и поставяйки всички отметки да имате reCAPTCHA на логин формите.
Препоръчваме да се включи.

Login Whitelist

Отказване на достъп до формата вход за всички, с изключение на тези IP адреси, които ще бъдат включени в списъка.Само за истински маниаци на тема сигурност, можете да не го включвате.

Honeypot

Както в горния случай, може да се включи!

SPAM предотвратяване (SPAM Prevention)

Comment SPAM

Ако не искате да усложнявате коментирането, не го активирайте, но препоръчвам да включите функцията „Block Spambots From Posting Comments“!

Comment SPAM IP Monitoring

Тук можете да видите „най-упоритите“ IP адреси, които спамят в коментарите и да ги поставяте в черния списък.Хубаво е да използвате Akismet, така работи по-добре.

BuddyPress

и

BBPress

може да отметнете, в случай, че ги използвате!

Скенер (Scanner)

File Change Detection

Проследяване на всички промени в файловете.Това е по-скоро предназначено за тези, които са особено загрижени, тъй като промени в файловете със сигурност ще възникнат от време на време. Ако искате постоянно да наблюдавате и контролирате всичко това – включете го.

Malware Scan

Платена опция, може да минем и без нея.

Поддръжка (Maintenance)

Тук можете да активирате „режим на поддръжка“ за сайта и да персонализирате външния вид на страницата с предупреждение за читателите.Полезно при промяна на дизайна, тестване на плъгини и подобни важни промени.

Visitor Lockout

Разни (Miscellaneous)

Copy Protection

Защита от копиране на текст и подобни.Доста досадна и дразнеща опция за много потребители.Препоръчваме да не настройвате.

Frames

Тази функция ви позволява да попречите на други сайтове да показват съдържанието Ви чрез вградени iframes.Може да пропуснете..

Users Enumeration

Сложете отметка, винаги е дразнещо, когато ботове и потребители се опитват да крадат инфо от сайта.

WP REST API

Оставете празна отметката на Disallow Unauthorized REST Requests, може да създаде проблеми с някои плъгини.

Важно!
В този текст са посочени настройки за версия 4.3.8.3 на плъгина All In One WP Security & Firewall.
Въпреки, че и в по-стари версии няма големи разлики е добре да се отбележи!

Повтарям, не е нужно да отмятате всичко неразумно, за да постигнете възможно най-високия резултат в Dashboard-a. Не причинявайте ненужна вреда на сайта си, неговата производителност и удобство.

Това е всичко, което препоръчваме да поставите като отметки в този наистина много добър „Всичко В Едно“ плъгин за защита на WordPress.

Настройка на All In One WP Security
4.9 (97.14%) 7 votes

Вашият коментар

Затвори