All In One WP Security & Firewall год спустя

Плагин активно развивается. Прошел год с написания первой статьи, плагин подрос, много корректировался и изменялся. Краткие заметки по использованию данного плагина и настройки. Следует помнить, что применение некоторых настроек чревато отключением некоторых функций сайта, потерей доступа к админке, падению базы и другим прелестям. Поэтому бэкап перед настройкой обязателен.

Администраторы

Администраторы-WP Username проверить имя администратора, стараться избегать предложенных по умолчанию.

Администраторы-Display Name — имя пользователя, которое будет видно посетителям сайта не должно совпадать с именем пользователя указываемом при подключении к админке.

Авторизация — этот раздел отвечает за вход пользователя в административную панель.

Авторизация- Блокировка авторизаций — контролирует процесс входа и блокирует ip в случае если за указанное время будет сделано несколько неудачных попыток входа.

Авторизация — Force Logout — разрыв связи после истечения указанного интервала времени, автоматический выход из админки.

Авторизация — Журнал активности — содержит последние 50 входов с указанием логина и IP администратора.

User Registration

User Registration — Registration Captcha — добавляет проверку от автоматической регистрации на странице входа.

Раздел Файерволл

«Файерволл»-«5G Blacklist Fierwall Rule» — блокирование запрещенных символов (обычно используемых в хакерских атаках), запрет вредоносных закодированных строк в URL, таких как «.css(» и пр., ащиту от распространенных шаблонов вредоносного кода и специфических эксплойтов (последовательностей команд, использующих известные уязвимости) в URL, блокировку запрещенных символов в параметрах запросов. Кроме вышеперечисленного есть еще масса всего. Включать в трудные времена.

«Файерволл»-«Prevent Hotlinking» — использование картинок с вашего сайта на других ресурсах. Это подключать по желанию.

«Файерволл»-«404 Detection» — контроль запросов к несуществующим страницам. Есть логирование и временное блокирование IP заваливающих запросами 404.

Отключение XML-RPC — «Файерволл»-«Baisic Firewall Rules»-«Защита от Пингбэк-уязвимостей». Добавляет в .htaccess к файлу xmlrpc.php. Использовать если XML-RPC API не используется для удаленного управления записями блога. Можно полностью выключить сервис как тут.

Brute Force

Brute Force-Rename Login Page — сменить стандартную страницу логина на пользовательскую. Главное потом ее не забывать.

SPAM Prevention

SPAM Prevention — Comment Spam — Block Spambot Comment  Очень желательно запретить комментарии во всех местах где в них нет особой необходимости.

Режим обслуживания

Этот блок предназначен для блокировки доступа к сайту для незарегистрированных пользователей.

После завершения настройки плагина, необходимо проверить работоспособность сайта с другой системы, желательно с другого компьютера без входа в админку.