All In One WP Security
Привет, ребята! Когда твой сайт становится немного раскрученным, появляются постоянные читатели, получаешь огромное удовольствие. Вроде бы все круто. Растет и поток денег, и отклик получаешь от аудитории, увеличивается узнаваемость. Но существует и обратная сторона медали. Это завистники, это внимание со стороны недоброжелателей.
Чтобы вы представляли, о чем идет речь: мой блог только за прошлую неделю взламывали 2 раза. Постоянные посетители, думали, заметили. Ребята, я настоятельно рекомендую ознакомиться с данным уроком, потратить время на внедрение советов, о которых говорю, чтобы больше обезопасить свой сайт и сэкономить время, деньги и нервы.
Существует довольно много плагинов, связанных с улучшением безопасности, я пробовал многие, но все что-то не то. Либо блог «падал» непонятно из-за чего, либо сложно было понять, как работать. И все же, благодаря советам ребят, с которыми общаюсь на марафоне, удалось найти достойный, похвальный плагин, который очень сильно понравился.
All In One WP Security — это самый необходимый плагин для увеличения безопасности в WordPress. Ставить его нужно всем, кто владеет сайтом на Вордпресс. Всем без исключения.
Если мой любимый плагин Yoast SEO — это комбайн в сфере SEO для WordPress, то плагин WP Security — аналог в сфере безопасности. То есть, если благодаря Yoast SEO я перестал нуждаться в нескольких SEO плагинах, то здесь точно также, благодаря All In One WP Security можно избавиться от других плагинов, которые лишь частично выполняют функции данного. Например, как:
- Login Lockdown;
- WordPress Database Backup;
- Anti-XSS attack;
- и другие подобные.
Огромные плюсы плагина All In One WP Security:
- бесплатный;
- настраивается очень просто;
- практически все переведено на русский язык, поэтому понятно о чем идет речь.
Настройка плагина All In One WP Security
Обязательно сделайте бэкап (резервную копию) перед началом работы (на всякий случай) следующих файлов:
- база данных;
- файл wp-config;
- файл htaccess.
Кстати, резервные копии этих трех файлов можно сделать прямо в данном же плагине, просто в админке перейдите в WP Security — Настройки:
Панель управления
Тут есть очень крутой информер, который показывает уровень защищенности вашего сайта:
Этот показатель поможет держать руку на пульсе и понимать, что еще нужно сделать для улучшения безопасности. Не рекомендую делать все, ради достижения максимальных баллов. Могут быть плохие последствия, ваш сайт может упасть, ошибочно функционировать.
Текущий статус самых важных функций. В этом блоке можно активировать самый необходимый функционал по безопасности вашего сайта (можете пока не трогать их, в ходе настроек по уроку, данные параметры активизируются итак):
Остальные параметры в Панели управления малоинтересны, Вы можете ради любопытства ознакомиться с ними (Информация о системе, Заблокированные IP адреса, AIOWPS.
Настройки
Общие настройки. Тут можно создать резервные копии файлов, о которых я говорил выше.
Также отключить функции безопасности и файерволла, если что-то перестало работать.
WP мета-информация. Нажимаем на галочку напротив «Удаление метаданных WP Generator», чтобы не отображать версию WordPress:
Вкладка «Импорт/Экспорт». Здесь можно экспортировать свои настройки, чтобы потом на другом сайте не тратить время на настройки и импортировать в 2 клика все необходимые «галочки».
Администраторы
Отображаемое имя. Если на вашем сайте есть аккаунты, у которых имя пользователя и отображаемое имя совпадает, то рекомендуется изменить отображаемое имя (никнейм).
Пароль. Очень интересная вкладка. Тут можно узнать, за какой промежуток времени можно подобрать в автоматическом режиме ваш пароль. Введите свой пароль и сильно удивитесь, насколько быстро его можно взломать.
- в вашем пароле должны быть как заглавные, так и строчные буквы;
- обязательно наличие хотя бы 1-ой цифры, но никак пароль не должен состоять только из цифр;
- желательно еще наличие какого-либо спецсимвола;
- длина пароля должна быть более 10 символов.
В итоге у вас должен быть максимальный степень безопасности вашего пароля, что-то в этом роде (пароль ниже домашний компьютер взломал бы за 57 337 лет (!) ):
Авторизация
Блокировка авторизаций. Обязательно включите эту функцию. Если пароль в течении 5-ти минут (по умолчанию) введется 3 раза неправильно, то IP блокируется на 60 минут (тоже по умолчанию). Я не рекомендую ставить блокировку больше по времени, а то можно столкнуться с тем, что сами администраторы вводят логин 3 раза неправильно, ставят блокировку на 10 лет и не знают что делать. Оставляем по умолчанию 60 минут и не паримся.
Также я рекомендую поставить галочку напротив «Сразу заблокировать неверные пользовательские имена».
К примеру, вы поменяли логин с admin на krutysh, то при вводе логина admin в поле для авторизации, сразу же заблокируется IP адрес. «Уведомлять по email» — тут по мере необходимости. Я не люблю лишний спам, поэтому здесь галочку не ставлю.
Итоговые настройки данной вкладки у меня выглядят так:
Если вам любопытно, можете глянуть список заблокированных IP, ссылка на раздел приводится в данной же вкладке ниже.
Ошибочные попытки авторизации. Вот здесь как раз видны те логины, которые подбираются. Чаще всего у меня сверкают логины admin, root, font. Также видны время «попыток». Обратите внимание, как часто пытаются войти в админку:
Автоматическое разлогинивание пользователей. Рекомендую тоже включить данный чекбокс. Позволяет через определенное количество минут завершить сессию и разлогинить пользователя. Я ставлю 600 минут:
Вкладки «Журнал активности аккаунта» и «Активных сессий» носят информационный характер.
Регистрация пользователей
Ставим галочку напротив «Активировать ручное одобрение новых регистраций»:
Да и можно поставить галочку CAPTCHA при регистрации:
Конечно, если нельзя зарегистрироваться другим людям на вашем сайте, верхние 2 пункта просто бесполезны, от них не станет ни лучше, ни хуже. Но, если вы сомневаетесь, лучше поставьте галочки в этих пунктах.
Защита базы данных
Здесь будьте аккуратны во вкладке «Префикс таблиц БД». Прежде чем поставить галочку, обязательно сделайте резервную копию своей базы данных (там же увидите ссылку на создание бэкапа своей БД). Если боитесь, сомневаетесь, лучше оставьте без галочки:
Резервное копирование БД. Здесь уже ставим галочку, выбираем частоту создания бэкапов и их количество. У меня. к примеру, такие цифры:
Если вы не так категорически относитесь к чистоте в почте как я, то можете включить чекбокс для отправки бэкапов на свой электронный ящик.
Защита файловой системы
Доступ к файлам.
Здесь в правой части у вас будут кнопки, вам нужно будет изменить права доступа к файлам, нажав на эти кнопки. В результате все строчки у вас должны стать зелеными:
Редактирование файлов PHP. Если вы не правите свои PHP файлы через админку, ставим галочку. Править файлы через админку я не рекомендую хотя бы потому, что у вас нет возможности нажать CTRL+Z в случае чего и вы не сможете вернуть файл в исходное положение:
Доступ к файлам WP. Ставим галочку:
Системные журналы. Оставляем по умолчанию.
WHOIS-поиск
Можете вбить IP адрес, либо домен для получения WHOIS какого-либо домена. А так по сути тут нечего трогать.
Черный список
Если у вас нет недоброжелателей, можете не включать данный пункт. Если какой-то IP адрес постоянно сверкает в комментариях, к примеру, можете включить чекбокс и внести данный IP в черный список.
Файрволл
Базовые правила файрволла. Если вы не делали до этого момента резервную копию htaccess, то обязательно делаем его.
И ставим галочки напротив всех пунктов:
Дополнительные правила файерволла. Тут тоже включаем все галочки:
UPDATE: ниже во вкладке «Дополнительная фильтрация символов» я убрал галочку, потому что некоторые комментарии не проходили, отдавали 403 ошибку. Наверное, все-таки, вам тоже я посоветовал бы убрать эту галочку, чтобы не было у пользователей проблем с комментированием.
Настройки 5G файрволл. Тоже включаем:
Интернет-боты. Здесь могут возникнуть проблемы с индексацией, поэтому я рекомендую не включать данный пункт.
Предотвратить хотлинки. Тоже включаем.
Детектирование 404. Рекомендую включить. А время ставить минут 5.
Custom Rules. Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.
Защита от брутфорс-атак
Переименовать страницу логина. Включаем. Меняем адрес логина на свой:
Защита от брутфорс-атак с помощью куки. Я не включаю данную функцию, чтобы не было проблем со входом с разных устройств.
CAPTCHA на логин. Можете включить CAPTCHA при авторизации, я же не включаю:
Белый список для логина. Так как я часто захожу на сайт с разных мест, IP у меня разный, поэтому данную опцию я не включаю:
Бочка с медом. Создается дополнительное поле, которое видят только роботы. Поэтому, при заполнении данного поля, робот будет перенаправлен на свой адрес. Включаем:
Защита от SPAM
CAPTCHA в форме комментариев. Я не включаю, так как не люблю усложнять комментирование, а вот функцию «Блокировка спам-ботом от комментирования» рекомендую включить:
Отслеживание IP-адресов по спаму в комментариях. Тут можно глянуть на «частосверкающие» IP по спаму в комментах и занести их в черный список.
BuddyPress. Добавляет CAPTCHA в форме регистрации BuddyPress. Я не использую ее.
Сканер
Отслеживание изменений в файлах. Рекомендую включить, так как часто при взломе сайтов не совсем понятно, какой файл изменили, где искать вредоносный код.
А с помощью этой функции сможете отследить изменения в файлах вашего сайта и быстро найти тот файл, который изменялся в последнее время.
Сканирование от вредоносных программ. Функция платная, стоит от 7$ в месяц.
Режим обслуживания
Позволяет «закрыть» сайт на время, чтобы сделать какие-то правки. То есть посетителям сайта будет предложена «заглушка», что ведутся работы на сайте. Полезно при смене дизайна, проверке работоспособности плагинов.
Разное
Защита от копирования текста и прочее. Здесь я нигде в трех вкладках не ставлю галочки. Тоже рекомендую не ставить.
Итоги
После завершения всех этих настроек, вы можете перейти в «Панель управления» и глянуть показатель уровня безопасности, у вас должно получится что-то вроде этого:
Повторюсь, не нужно необдуманно делать все, чтобы достигнуть максимально возможного балла. Не занимайтесь ненужным вредом для своего сайта, его работоспособности и удобства.
На этом все, плагин рекомендую ставить всем, действительно очень классный «комбайн» в плане безопасности для WordPress.
Если возникнут вопросы — пишите. Спасибо отдельное за ретвиты и репосты, за то, что помогаете людям донести эту важную информацию.
Better WP Security: настройка основных параметров
22267 Посещений
Better WP Security является надежным средством по обеспечению комплексных мер безопасности в CMS WordPress. Плагин включает список разнообразных уязвимостей, которые создают «дыры» в системе защиты вашего ресурса. Давайте познакомимся с ним подробнее и узнаем об оптимальных настройках.
Better WP Security – установка
Установка плагина происходит вполне стандартно, потому долго останавливаться на данном пункте не стоит. Авторизуйтесь в админке, зайдите в категорию «Плагины», а потом в «Добавить новый». Если вы предварительно скачали нужный плагин, перейдите в «Загрузить плагин» и выберите zip-архив. Второй метод еще проще – введите «Better WP Security» без кавычек, нажмите на кнопку «Поиск плагинов» и выберите «Установить» на нужном пункте.
Не забывайте об активации!
Далее будем говорить о настройках. Следует понимать, что некоторые из них могут нарушить стабильность работы сайта, потому относиться к ним нужно крайне серьезно. Причем это касается как первостепенных настроек, так и второстепенных.
Better WP Security – настройки
Об успешной установке и активации плагина можно судить по появлению кнопки «Безопасность» в административной панели сайта.
Нажав на данную кнопку, вы увидите приветствующее окно:
Советуем воспользоваться предложением и создать резервную копию БД. Также не будет лишним полный бекап ресурса, который вы должны выполнить самостоятельно.
Когда резервная копия будет создана, плагин предложит воспользоваться защитой в один клик:
Защита сайта от базовых атак – это полностью безопасное предложение, не способное негативно повлиять на работу. Отказываться от него не стоит, потому выбираем первый вариант и продвигаемся дальше.
Статус системы
Better WP Security покажет вам список наиболее распространенных уязвимостей.
Не стоит пугаться, пункты статуса всегда статичны, независимо от сайта. Однако ориентироваться нужно по цветовой окраске каждого из них. Зеленый цвет свидетельствует об отсутствии замечаний, красный – о необходимости незамедлительного исправления. Оранжевым и синим цветом обозначают частичную защиту.
Настройки распределены по определенным категориям, переключаться между которыми можно при помощи вкладок вверху экрана.
Исправляем уязвимости без риска для сайта
Давайте рассмотрим пункты, не способные подорвать работоспособность ресурса.
1. Надежные пароли (Tweaks —> Strong Password Tweaks).
Всем хорошо известно о том, что пароль всегда должен быть сложным. Именно об этом нам и говорит первый пункт в чек-листе плагина. Жмем «исправить»:
Сложный пароль в понимании разработчиков плагина представляет собою длинную комбинацию символов разного регистра с участием цифр и вообще всего, что можно встретить на клавиатуре.
В твике вы должны указать группу пользователей (администратор, редактор и т.п.), которые будут обязаны пользоваться «надежными» паролями. Если же на сайте всего один администратор, который уверен в качестве своего «ключа», пункт можно пропустить.
2. Your WordPress header is still revealing some information to users (Tweaks à Header Tweaks).
Стандартный для WP файл header.php часто содержит лишние данные, которые могут использоваться злоумышленниками для взлома. Специально для этого и создан следующий твик. У вас будет три опции:
- Remove WP Generator Meta Tag. Так называемый «мета-тег генератор» передает текущую версию CMS. Зная версию, можно найти самые популярные баги и уязвимости в ней.
- Remove wlwmanifest header. Windows Live Writer сейчас нигде и никем не используется. Убираем без раздумий.
- Remove EditURI header. RSD заголовки нужны только тем, кто для добавления контента использует сторонние приложения для мобильных устройств.
Ставим галочки на трех пунктах и сохраняем.
3. Не администраторы могут видеть доступные обновления (Tweaks —> Панель настроек).
Обновления CMS, плагинов и тем по умолчанию отображается всем, кто имеет доступ к административной панели. С помощью данного пункта вы можете ограничить видимость апдейтов только для администратора.
4. The admin user still exists (Пользователь).
Администратор в WordPress изначально всегда имеет логин admin. Это упрощает работу злоумышленникам, которые, например, подбирают пароль при помощи брута, ведь правильный логин у них уже есть. Измените имя пользователя!
Тут же можно изменить и айди администратора, которое по умолчанию равняется «единице».
5. A user with id 1 still exists (Пользователь).
Смотрите предыдущий пункт.
6. Ваш префикс таблиц не должен быть wp_. (
Все таблицы в БД WordPress имеют приставку wp_, и это хорошо известно всем, кто интересуется. Лучше будет, если часть названия ваших таблиц будет уникальной и сложной.
Префикс базы данных генерируется плагином автоматически, также он в очередной раз напоминает о необходимости сделать бекап, но мы это уже прошли.
7. Вы не планировали регулярного резервного копирования БД WordPress (Backup).
Данный пункт Better WP Security поможет организовать регулярный бекап базы данных с отправкой архива на электронную почту.
Выберите «архивацию по расписанию», укажите желаемый интервал и напишите e-mail, на который и будет отправляться резервная копия.
Важно: довольно часто возникает ситуация, когда письма с бекапом на почту не приходят. Для решения проблемы можно попробовать зайти во вкладку Logs, выбрать «Очистить БД», отметить все пункты в списке и нажать на «Удаление», однако даже это помогает не всегда. Лучшим решением будет использование специализированных плагинов для создания резервных копий.
8. Админка WordPress доступна в режиме 24/7
Особой роли в обеспечении безопасности пункт не играет. Смело пропускаем двигаемся дальше.
9. You are not blocking known bad hosts and agents (Ban).
Плохие хосты и юзер-агенты предполагаемых хакеров собираются энтузиастами проекта HackRepair, мы же можем воспользоваться этим списком в своих целях.
Ставим галочку на первом чекбоксе и жмем «Add Host and Agent Blacklist». Тем самым вы организуете собственный blacklist, позволяющий блокировать потенциальные опасности.
10. Your login area is not protected from brute force attacks (Login).
В нашем примере ошибка не выявлена, потому логин определяется защищенным от перебора.
Брут – это массированная попытка авторизоваться, используя, например, миллионный список популярных паролей. Наиболее оптимальной защитой от этого считается ограничение попыток неверного ввода.
Пройдемся по всем опциям данной защиты:
- Enable Login Limits – активация ограничения попыток авторизации в админке;
- Max Login Attempts Per Host – максимум попыток входа для конкретного хоста;
- Max Login Attempts Per User – максимум попыток входа для конкретного юзера;
- Login Time Period – время (в минутах), на протяжении которого неверный логин будет в памяти;
- Lockout Time Period – длительность блокировки доступа в минутах;
- Blacklist Repeat Offender – добавление в blacklist IP-адресов, которые неудачно пытались авторизоваться;
- Blacklist Threshold – кол-во блокировок IP-адреса перед тем, как добавить его в постоянный черный список из предыдущего пункта.
11. Ваша WordPress админка не скрыта (Hide).
Тут вы можете скрыть адрес административной панели. Не сказать, что нюанс очень важный, но иногда даже такая мелочь может помочь.
12. Your .htaccess file is NOT secured (Tweaks —> Server Tweaks).
А вот защита файла .htaccess играет серьезную роль в обеспечении комплексной безопасности сайта.
Предлагаются следующие опции:
- Защита файлов от публичного доступа;
- Отключение листинга папок и файлов;
- Фильтр для небезопасных запросов;
- Фильтр для применения кириллицы или других необычных символов.
Советуем отметить все галочками и сохранить. Предупреждение о конфликте с плагинами и темами и плагинами редко подтверждается на практике.
13. Your installation is actively blocking attackers trying to scan your site for vulnerabilities (Detect).
Блокировка сканирования уязвимостей. Данный пункт обычно активирован по умолчанию. Однако справедливости ради отметим, что современные хакеры находят способы обхода блокировки, если сильно этого хотят.
14. Your installation is not actively looking for changed files (Detect —> File Change Detection).
Инструмент, который ведет логи всех изменений, касающихся файлов вашего сайта. Советуем включать его только тем, кто различает опасные и безопасные изменения.
15. Your installation accepts long (over 255 character) URLS. This can lead to vulnerabilities (Tweaks —> Другие хитрости).
Запрещаем ссылки, длина которых превышает 255 символов. Это действительно очень много, так что даже самые изощренные вебмастера никогда их не используют. А вот хакеры для различных инъекций и т.п. очень даже пользуются длинными url’ами.
Включаем опцию и вставляем очередную палку в их колеса.
16. You are allowing users to edit theme and plugin files from the WordPress backend (Tweaks —> Другие хитрости).
WordPress создавался с целью максимального упрощения жизни владельцам сайтов на этой CMS. Так, вы можете редактировать системные файлы, плагины и темы прямо через веб-интерфейс. Однако такая возможность может принести вред, если за нее берутся хакеры. Отключите редактирование файлов с админки, а когда это понадобится, включите обратно.
17. Better WP Security is allowed to write to wp-config.php and .htaccess (Tweaks —> Другие хитрости).
Данная опция активируется автоматически после включения базовой защиты. Плагину разрешается изменять два важнейших файла (wp-config и .
htaccess), что гарантирует повышение общего уровня безопасности.
18. Wp-config.php and .htacess are writeable (Tweaks —> Другие хитрости).
А вот для внешнего мира эти файлы обязательно должны быть закрыты на запись.
19. Users may still be able to get version information from various plugins and themes (Tweaks —> Другие хитрости).
Подобная информация отображается в случаях, когда версии тем и плагинов все еще видны сторонним пользователям.
Ставим галочку в указанном месте и наслаждаемся. Информация показываться будет, вот только номера версий уже будут случайными.
20. You should rename the wp-content directory of your site (Dir).
Инструмент меняет название папки wp-content и настраивает систему на правильную работу с папкой под новым именем.
Не является критичным, можно пропускать.
21. You are not requiring a secure connection for logins or for the admin area (SSL).
Административная часть сайта переводится на защищенное соединение SSL. Предварительно нужно узнать, работает ли данная функция на вашем сервере.
В данной статье были рассмотрены только первостепенные настройки, на которые важнее всего обращать внимание. Отметим наличие большого количества дополнительных опций, но это уже повод для новой статьи.
Home — комплексная защита для WordPress
Home — комплексная безопасность для WordPress перейти к содержанию$0,00 0 Корзина
Мы все продумали, так что вам не придется. AIOS на самом деле — плагин WordPress «все-в-одном-безопасности» .
Бесплатное скачивание
Пришло время успокоиться
Бесплатная версия Айос
AIOS — один из самых полных, многофункциональных плагинов безопасности WordPress.
Айос Премиум
Сканирование вредоносных программ, гибкая двухфакторная аутентификация, интеллектуальная блокировка 404 и страны, а также премиальная поддержка за меньшие деньги, чем вы думаете.
Общие вопросы
Нужно задать какие-либо вопросы перед покупкой премиум-класса? Посетите нашу предпродажную справочную страницу.
Почему стоит выбрать All-In-One Security?
5* Rated
Мы являемся единственным плагином безопасности WordPress с пятизвездочным рейтингом пользователей по более чем 1000 отзывам.
Простота в использовании
Вам не нужно быть экспертом по безопасности, чтобы использовать AIOS. Установите, забудьте, и AIOS сделает всю тяжелую работу за вас.
1 миллион+
Более 1 миллиона владельцев сайтов WordPress прямо сейчас используют AIOS для защиты своих инвестиций в веб-сайты.
Всеобъемлющий
AIOS реализует и применяет последние рекомендуемые методы и методы безопасности WordPress, чтобы обеспечить необходимую защиту ваших инвестиций в WordPress.
Trusted
От команды UpdraftPlus мы являемся самым надежным в мире поставщиком резервных копий WordPress, поэтому вы знаете, что можете доверить нам безопасность своего веб-сайта.
Что делает All-In-One Security?
Включено в бесплатную и расширенную версии:
Только премиум-функции
1 M+
УСТАНОВКИ
K+
ОБЗОРЫ
0 *
НОМИНАЛЬНЫЙ
Получите премиальную защиту AIOS уже сегодня!
Что говорят наши пользователи
Установил и забыл. Попробуйте Премиум сегодня!
Поддержка по техническим вопросам и общим вопросам доступна с понедельника по субботу.
Поддержка по учетным записям и выставлению счетов доступна в рабочее время в Великобритании. Мы предлагаем гарантированное время ответа в течение 3 дней и стремимся отвечать на все запросы в течение 24 часов.
Нам доверяют более 1 миллиона веб-сайтов WordPress
Функции
- — О нас
- — Восходящий потокПлюс
- — Легкий менеджер обновлений
- — WP-оптимизировать
- — WP на ночь
- — Восходящий центральный
Ресурсы
AIOS является товарным знаком Updraft WP Software Ltd. Зарегистрированный номер компании в Великобритании: 8570611, номер плательщика НДС: 202 1260 80 Политика конфиденциальности
Возможности— All-In-One Security для WordPress
Что делает All-In-One Security для WordPress?
Включено в бесплатную и расширенную версии:
БЕЗОПАСНОСТЬ ВХОДА
Защитите себя от атак грубой силы и держите ботов в страхе.
AIOS выводит стандартные функции безопасности входа в WordPress на совершенно новый уровень.
Поддерживает передовой опыт
AIOS определяет, имеет ли учетная запись имя пользователя по умолчанию «admin» или у пользователя одинаковые логин и отображаемое имя, предлагая пользователю изменить это для поддержки лучших методов безопасности.
Скрыть страницу входа от ботов
Настройте пользовательский URL-адрес для страницы входа администратора WordPress, чтобы ботам было сложнее ее найти.
Измените префикс базы данных WP по умолчанию на значение по вашему выбору
Хакеры используют автоматизированный код для атаки на веб-сайты, подобные вашему. Усложните им жизнь и защитите свой сайт с помощью этой простой, но эффективной функции безопасности AIOS.
Блокировка входа
Внешние пользователи, предпринимающие несколько попыток входа в систему, могут быть заблокированы на заданный период времени.
Вы также можете заблокировать пользователей с недопустимыми именами пользователей. Просматривайте список всех заблокированных пользователей и разблокируйте их одним щелчком мыши.
Reporting
AIOS предоставляет обширную информацию о пользователях вашего веб-сайта WordPress. Просмотр активности по имени пользователя, IP-адресу, дате и времени входа и выхода. Просматривайте список пользователей, которые в данный момент вошли в систему, и список всех неудачных попыток входа.
Принудительный выход из системы
Убедитесь, что пользователи не остаются в системе на неопределенный срок. С помощью AIOS вы можете принудительно выйти из системы для всех пользователей по истечении заданного периода времени.
CAPTCHA
Добавьте Google reCAPTCHA, простую математическую CAPTCHA или приманку на страницы регистрации, чтобы предотвратить спам-регистрацию, или вместо этого включите ручное утверждение учетных записей пользователей.
CAPTCHA альтернатива
Проверяйте своих посетителей «невидимо» с помощью Turnstile от Cloudflare, альтернативы CAPTCHA, которая более соблюдает конфиденциальность.
Простая двухфакторная аутентификация
Наша уникальная функция на основе ролей позволяет владельцам сайтов отключать TFA для некоторых ролей пользователей или делать ее обязательной для других. AIOS TFA поддерживает Google Authenticator, Microsoft Authenticator, Authy и многие другие.
Инструмент надежности пароля
Рассчитывает, сколько времени потребуется для взлома вашего пароля в случае атаки методом грубой силы.
Общая блокировка посетителей
Переведите свой сайт в «режим обслуживания» и заблокируйте внешний интерфейс для всех посетителей. Это может быть полезно при выполнении внутренних задач, таких как обновление сайта или исследование угроз безопасности.
Останавливает перечисление пользователей
Запретить внешним пользователям и ботам получать информацию о пользователях через постоянную ссылку автора.
БРАНДМАУЕР И ЗАЩИТА ФАЙЛОВ
Брандмауэр веб-приложений (WAF) — это первая линия защиты вашего веб-сайта, защищающая ваш сайт путем отслеживания трафика и блокировки вредоносных запросов. Активируйте настройки брандмауэра, начиная от базовых, промежуточных и расширенных. Получите комплексную и мгновенную защиту с помощью All-In-One Security.
Автоматическая защита от новейших угроз
Наша команда ведет список известных эксплойтов, активно создавая средства защиты от них, которые затем выпускаются в качестве новых правил брандмауэра для бесплатных и платных клиентов.
Защита файла .htaccess
Веб-серверы обрабатывают файл .htaccess в первую очередь на вашем сайте. Брандмауэр AIOS добавляет правила в ваш файл .htaccess, чтобы запретить доступ как к себе, так и к вашему файлу wp-config.php, ограничить размер загружаемого файла и отключить подпись сервера.
Черный список 6G
AIOS включает правила брандмауэра «Черный список 6G», защищающие ваш сайт от известного списка вредоносных URL-запросов, ботов, источников спама и других атак (любезно предоставлено Perishable Press).
Защита от поддельных ботов Google
Боты, выдающие себя за сканеры Google, могут украсть ваш контент и засорить вашу веб-страницу спамом в комментариях. Защититесь от этого с помощью брандмауэра AIOS.
Функциональность черного списка
Блокировка пользователей по IP-адресу, диапазону IP-адресов или указанию пользовательских агентов.
Предотвратить DDOS-атаки
Предотвратить DDOS-атаки злоумышленников с помощью известной уязвимости в функции проверки связи WordPress XML-RPC.
Предотвращение хотлинкинга изображений
Защитите пропускную способность сервера и контент вашего веб-сайта, запретив другим сайтам использовать ваши изображения с помощью хотлинкинга.
Защита от межсайтовых сценариев (XSS)
AIOS предотвращает внедрение злоумышленниками вредоносного сценария на ваш веб-сайт с помощью специального файла cookie.
File Change Detection
Наши сканеры оповещают вас об изменениях файлов в вашей системе WordPress, поэтому вы можете определить, является ли изменение законным или подозрительным, и провести соответствующее расследование.
Отключить редактирование файлов PHP
Защитите свой код PHP, отключив возможность редактирования файлов в области администрирования WordPress.
Оповещения о настройках разрешений
Идентифицируйте файлы или папки, для которых настройки разрешений не являются безопасными и корректными, одним щелчком мыши.
Возможность создавать собственные правила
Опытные пользователи могут добавлять собственные правила для блокировки доступа к различным ресурсам на вашем сайте.
Предотвращение доступа
Запретите внешним пользователям доступ к файлам readme.html, license.txt и wp-config-sample.php вашего сайта WordPress.
ЗАЩИТА КОНТЕНТА
Избавьтесь от спама, защитите свой контент WordPress и свой рейтинг в поисковых системах с помощью этих важных функций безопасности от All-In-One-Security.
Комментарий Защита от спама
Веб-страницы, изобилующие спам-комментариями, наносят ущерб вашему бренду, влияют на взаимодействие с пользователем и влияют на SEO. AIOS останавливает СПАМ в источнике, предотвращая комментарии, исходящие из других доменов. AIOS автоматически и навсегда блокирует IP-адреса спамеров. Владельцы сайтов могут использовать reCAPTCHA, чтобы уменьшить спам в комментариях и заблокировать злоумышленников одним щелчком мыши.
Защита iFrame
Предотвращение воспроизведения вашего контента другими веб-сайтами через «iFrame» является важной функцией, которая защищает вашу интеллектуальную собственность и посетителей вашего веб-сайта.
Защита от копирования
Не позволяйте пользователям красть ваш контент, отключив функцию щелчка правой кнопкой мыши, выбора и копирования текста.
Отключить RSS и Atom Feeds
RSS и Atom Feeds могут использоваться ботами для «очистки» содержимого вашего веб-сайта и представления его как своего собственного. Эта функция предотвращает это, отключая RSS и Atom Feeds на вашем веб-сайте.
Каковы дополнительные преимущества Premium?
Сканирование вредоносных программ, гибкая двухфакторная аутентификация, интеллектуальная блокировка 404, блокировка по стране, поддержка Premium и дополнительное спокойствие с AIOS Premium.
СКАНИРОВАНИЕ ВРЕДОНОСНЫХ ПРОГРАММ
Случайно узнать, что ваш сайт заражен вредоносным ПО, слишком поздно. Вредоносное ПО может сильно повлиять на рейтинг вашего сайта в поиске, а вы можете даже не знать об этом. Это может замедлить работу вашего сайта WordPress, получить доступ к данным клиентов, отправить нежелательные электронные письма, изменить ваш контент или запретить пользователям доступ к нему.
Автоматическое сканирование на наличие вредоносных программ:
Лучшее в своем классе сканирование на наличие новейших вредоносных программ, троянов и шпионских программ в режиме 24/7.
Предупреждение о занесении в черный список поисковыми системами:
Поисковые системы могут очень быстро внести в черный список сайт, взломанный с помощью вредоносного кода. AIOS Premium ежедневно отслеживает статус вашего сайта и предупреждает вас, если вы попали в черный список.
Уведомление, если что-то не так:
Мы сообщим вам о любых проблемах в течение 24 часов, чтобы вы могли принять меры, пока не стало слишком поздно.
Мониторинг времени отклика:
Вы сразу узнаете, если время отклика веб-сайта пострадает.
Мониторинг времени работы:
AIOS проверяет время работы сайта каждые 5 минут! Мы сразу же сообщим вам, если ваш сайт/сервер выйдет из строя.
Гибкое назначение:
Регистрация и удаление сайтов WordPress из службы сканирования в любое время.
Отчеты:
Отчеты доступны на странице «Моя учетная запись» и непосредственно по электронной почте.
Служба поддержки:
При обнаружении проблем наша специальная команда готова помочь.
ГИБКАЯ ДВУХФАКТОРНАЯ АУТЕНТИФИКАЦИЯ
При двухфакторной аутентификации (TFA) пользователи вводят свое имя пользователя и пароль, а также одноразовый код, отправляемый на устройство для входа в систему. TFA — это функция как в наших бесплатных, так и в премиальных пакетах, но AIOS Premium предоставляет совершенно новые уровни контроля над реализацией TFA.
Конфигурация для конкретной роли:
Сделать TFA обязательным для определенных ролей, например для ролей администратора и редактора.
Требовать TFA после установленного периода времени:
Например, вы можете потребовать, чтобы все администраторы имели TFA после того, как их учетным записям исполнится неделя.
Доверенные устройства — управляйте тем, как часто требуется TFA:
Запрашивайте TFA через выбранное количество дней для доверенных устройств, а не при каждом входе в систему.
Защита от ботов:
Возможность скрыть существование форм на страницах входа в WooCommerce, если не активен JavaScript.
Настройка макета дизайна:
Настройте дизайн TFA так, чтобы он соответствовал вашему существующему веб-дизайну.
Коды экстренной помощи:
Сгенерируйте одноразовый код экстренной помощи, чтобы разрешить доступ, если ваше устройство потеряно.
Совместимость с несколькими сайтами:
Совместимость с многосайтовыми сетями и дочерними сайтами WordPress.
Поддержка форм входа:
Поддержка WooCommerce и Affiliates-WP, Elementor Pro, bbPress и всех сторонних форм входа без необходимости дополнительного кодирования. Также совместим с «Тема моего входа».
Приложения для аутентификации:
AIOS поддерживает протоколы TOTP и HOTP. Его можно использовать с Google и Microsoft Authenticator, Authy и многими другими.
SMART 404 БЛОКИРОВКА
Ошибки 404 могут возникать, когда кто-то законно неправильно набирает URL-адрес, но они также генерируются хакерами, которые ищут слабые места на вашем сайте.
Блокировка ботов, создающих ошибки 404:
AIOS Premium обеспечивает большую защиту, чем конкуренты, автоматически и навсегда блокируя IP-адреса ботов и хакеров в зависимости от того, сколько ошибок 404 они генерируют.
Отчетность:
Удобные диаграммы информируют вас о том, сколько ошибок 404 произошло и какой IP-адрес или страна их вызвали.
СТРАНА БЛОКИРОВКИ
Большинство вредоносных атак исходят из нескольких стран, поэтому можно предотвратить большинство атак с помощью нашего инструмента блокировки страны.
Блокировка трафика на основе страны происхождения:
AIOS Premium использует базу данных IP-адресов, которая обещает 9Точность 9,5%.
Блокировать трафик на определенные страницы:
Блокировать доступ ко всему вашему сайту WordPress или к каждой странице.