WordPress wp security: All-In-One Security (AIOS) – Security and Firewall — Плагин для WordPress

Leave a Comment / Разное / By /

Содержание

All In One WP Security

Привет, ребята! Когда твой сайт становится немного раскрученным, появляются постоянные читатели, получаешь огромное удовольствие. Вроде бы все круто. Растет и поток денег, и отклик получаешь от аудитории, увеличивается узнаваемость. Но существует и обратная сторона медали. Это завистники, это внимание со стороны недоброжелателей.

Чтобы вы представляли, о чем идет речь: мой блог только за прошлую неделю взламывали 2 раза. Постоянные посетители, думали, заметили. Ребята, я настоятельно рекомендую ознакомиться с данным уроком, потратить время на внедрение советов, о которых говорю, чтобы больше обезопасить свой сайт и сэкономить время, деньги и нервы.

Существует довольно много плагинов, связанных с улучшением безопасности, я пробовал многие, но все что-то не то. Либо блог «падал» непонятно из-за чего, либо сложно было понять, как работать. И все же, благодаря советам ребят, с которыми общаюсь на марафоне, удалось найти достойный, похвальный плагин, который очень сильно понравился.

Абсолютно всем. Поэтому сразу же спешу поделиться с вами этой информацией.

All In One WP Security — это самый необходимый плагин для увеличения безопасности в WordPress. Ставить его нужно всем, кто владеет сайтом на Вордпресс. Всем без исключения.

Если мой любимый плагин Yoast SEO — это комбайн в сфере SEO для WordPress, то плагин WP Security — аналог в сфере безопасности. То есть, если благодаря Yoast SEO я перестал нуждаться в нескольких SEO плагинах, то здесь точно также, благодаря All In One WP Security можно избавиться от других плагинов, которые лишь частично выполняют функции данного. Например, как:

  • Login Lockdown;
  • WordPress Database Backup;
  • Anti-XSS attack;
  • и другие подобные.

Огромные плюсы плагина All In One WP Security:

  • бесплатный;
  • настраивается очень просто;
  • практически все переведено на русский язык, поэтому понятно о чем идет речь.

Настройка плагина All In One WP Security

Обязательно сделайте бэкап (резервную копию) перед началом работы (на всякий случай) следующих файлов:

  • база данных;
  • файл wp-config;
  • файл htaccess.

Кстати, резервные копии этих трех файлов можно сделать прямо в данном же плагине, просто в админке перейдите в WP Security — Настройки:

Панель управления

Тут есть очень крутой информер, который показывает уровень защищенности вашего сайта:

Этот показатель поможет держать руку на пульсе и понимать, что еще нужно сделать для улучшения безопасности. Не рекомендую делать все, ради достижения максимальных баллов. Могут быть плохие последствия, ваш сайт может упасть, ошибочно функционировать.

Текущий статус самых важных функций. В этом блоке можно активировать самый необходимый функционал по безопасности вашего сайта (можете пока не трогать их, в ходе настроек по уроку, данные параметры активизируются итак):

Остальные параметры в Панели управления малоинтересны, Вы можете ради любопытства ознакомиться с ними (Информация о системе, Заблокированные IP адреса, AIOWPS.

Настройки

Общие настройки. Тут можно создать резервные копии файлов, о которых я говорил выше. Также отключить функции безопасности и файерволла, если что-то перестало работать.

WP мета-информация. Нажимаем на галочку напротив «Удаление метаданных WP Generator», чтобы не отображать версию WordPress:

Вкладка «Импорт/Экспорт». Здесь можно экспортировать свои настройки, чтобы потом на другом сайте не тратить время на настройки и импортировать в 2 клика все необходимые «галочки».

Администраторы

Пользовательское имя WP. Обязательно (!) смените имя администратора, если оно у вас «admin». Вы не представляете как много и часто подбираются пароли с логином admin. Если еще к тому же пароль очень легкий, ваш сайт легко может быть взломан.

Отображаемое имя. Если на вашем сайте есть аккаунты, у которых имя пользователя и отображаемое имя совпадает, то рекомендуется изменить отображаемое имя (никнейм).

Пароль. Очень интересная вкладка. Тут можно узнать, за какой промежуток времени можно подобрать в автоматическом режиме ваш пароль. Введите свой пароль и сильно удивитесь, насколько быстро его можно взломать.

Обязательные условия для усиления безопасности:

  • в вашем пароле должны быть как заглавные, так и строчные буквы;
  • обязательно наличие хотя бы 1-ой цифры, но никак пароль не должен состоять только из цифр;
  • желательно еще наличие какого-либо спецсимвола;
  • длина пароля должна быть более 10 символов.

В итоге у вас должен быть максимальный степень безопасности вашего пароля, что-то в этом роде (пароль ниже домашний компьютер взломал бы за 57 337 лет (!) ):

Авторизация

Блокировка авторизаций. Обязательно включите эту функцию. Если пароль в течении 5-ти минут (по умолчанию)  введется 3 раза неправильно, то IP блокируется на 60 минут (тоже по умолчанию). Я не рекомендую ставить блокировку больше по времени, а то можно столкнуться  с тем, что сами администраторы вводят логин 3 раза неправильно, ставят блокировку на 10 лет и не знают что делать. Оставляем по умолчанию 60 минут и не паримся.

Также я рекомендую поставить галочку напротив «Сразу заблокировать неверные пользовательские имена». К примеру, вы поменяли логин с admin на krutysh, то при вводе логина admin в поле для авторизации, сразу же заблокируется IP адрес. «Уведомлять по email» — тут по мере необходимости. Я не люблю лишний спам, поэтому здесь галочку не ставлю.

Итоговые настройки данной вкладки у меня выглядят так:

Если вам любопытно, можете глянуть список заблокированных IP, ссылка на раздел приводится в данной же вкладке ниже.

Ошибочные попытки авторизации. Вот здесь как раз видны те логины, которые подбираются. Чаще всего у меня сверкают логины admin, root, font. Также видны время «попыток». Обратите внимание, как часто пытаются войти в админку:

Автоматическое разлогинивание пользователей. Рекомендую тоже включить данный чекбокс. Позволяет через определенное количество минут завершить сессию и разлогинить пользователя. Я ставлю 600 минут:

Вкладки «Журнал активности аккаунта» и «Активных сессий» носят информационный характер.

Регистрация пользователей

Ставим галочку напротив «Активировать ручное одобрение новых регистраций»:

Да и можно поставить галочку CAPTCHA при регистрации:

Конечно, если нельзя зарегистрироваться другим людям на вашем сайте, верхние 2 пункта просто бесполезны, от них не станет ни лучше, ни хуже. Но, если вы сомневаетесь, лучше поставьте галочки в этих пунктах.

Защита базы данных

Здесь будьте аккуратны во вкладке «Префикс таблиц БД». Прежде чем поставить галочку, обязательно сделайте резервную копию своей базы данных (там же увидите ссылку на создание бэкапа своей БД). Если боитесь, сомневаетесь, лучше оставьте без галочки:

Резервное копирование БД. Здесь уже ставим галочку, выбираем частоту создания бэкапов и их количество. У меня. к примеру, такие цифры:

Если вы не так категорически относитесь к чистоте в почте как я, то можете включить чекбокс для отправки бэкапов на свой электронный ящик.

Защита файловой системы

Доступ к файлам. Здесь в правой части у вас будут кнопки, вам нужно будет изменить права доступа к файлам, нажав на эти кнопки. В результате все строчки у вас должны стать зелеными:

Редактирование файлов PHP. Если вы не правите свои PHP файлы через админку, ставим галочку. Править файлы через админку я не рекомендую хотя бы потому, что у вас нет возможности нажать CTRL+Z в случае чего и вы не сможете вернуть файл в исходное положение:

Доступ к файлам WP.  Ставим галочку:

Системные журналы. Оставляем по умолчанию.

WHOIS-поиск

Можете вбить IP адрес, либо домен для получения WHOIS какого-либо домена. А так по сути тут нечего трогать.

Черный список

Если у вас нет недоброжелателей, можете не включать данный пункт. Если какой-то IP адрес постоянно сверкает в комментариях, к примеру, можете включить чекбокс и внести данный IP в черный список.

Файрволл

Базовые правила файрволла. Если вы не делали до этого момента резервную копию htaccess, то обязательно делаем его. И ставим галочки напротив всех пунктов:

Дополнительные правила файерволла. Тут тоже включаем все галочки:

UPDATE: ниже во вкладке «Дополнительная фильтрация символов» я убрал галочку, потому что некоторые комментарии не проходили, отдавали 403 ошибку. Наверное, все-таки, вам тоже я посоветовал бы убрать эту галочку, чтобы не было у пользователей проблем с комментированием.

Настройки 5G файрволл. Тоже включаем:

Интернет-боты. Здесь могут возникнуть проблемы с индексацией, поэтому я рекомендую не включать данный пункт.

Предотвратить хотлинки. Тоже включаем.

Детектирование 404. Рекомендую включить. А время ставить минут 5.

Custom Rules. Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.

Защита от брутфорс-атак

Переименовать страницу логина. Включаем. Меняем адрес логина на свой:

Защита от брутфорс-атак с помощью куки. Я не включаю данную функцию, чтобы не было проблем со входом с разных устройств.

CAPTCHA на логин. Можете включить CAPTCHA при авторизации, я же не включаю:

Белый список для логина. Так как я часто захожу на сайт с разных мест, IP у меня разный, поэтому данную опцию я не включаю:

Бочка с медом. Создается дополнительное поле, которое видят только роботы. Поэтому, при заполнении данного поля, робот будет перенаправлен на свой адрес. Включаем:

Защита от SPAM

CAPTCHA в форме комментариев. Я не включаю, так как не люблю усложнять комментирование, а вот функцию «Блокировка спам-ботом от комментирования» рекомендую включить:

Отслеживание IP-адресов по спаму в комментариях. Тут можно глянуть на «частосверкающие» IP по спаму в комментах и занести их в черный список.

BuddyPress. Добавляет CAPTCHA в форме регистрации BuddyPress. Я не использую ее.

Сканер

Отслеживание изменений в файлах. Рекомендую включить, так как часто при взломе сайтов не совсем понятно, какой файл изменили, где искать вредоносный код. А с помощью этой функции сможете отследить изменения в файлах вашего сайта и быстро найти тот файл, который изменялся в последнее время.

Сканирование от вредоносных программ. Функция платная, стоит от 7$ в месяц.

Режим обслуживания

Позволяет «закрыть» сайт на время, чтобы сделать какие-то правки. То есть посетителям сайта будет предложена «заглушка», что ведутся работы на сайте. Полезно при смене дизайна, проверке работоспособности плагинов.

Разное

Защита от копирования текста и прочее. Здесь я нигде в трех вкладках не ставлю галочки. Тоже рекомендую не ставить.

Итоги

После завершения всех этих настроек, вы можете перейти в «Панель управления» и глянуть показатель уровня безопасности, у вас должно получится что-то вроде этого:

Повторюсь, не нужно необдуманно делать все, чтобы достигнуть максимально возможного балла. Не занимайтесь ненужным вредом для своего сайта, его работоспособности и удобства.

На этом все, плагин рекомендую ставить всем, действительно очень классный «комбайн» в плане безопасности для WordPress.

Если возникнут вопросы — пишите. Спасибо отдельное за ретвиты и репосты, за то, что помогаете людям донести эту важную информацию.

Better WP Security: настройка основных параметров

21813 Посещений

Better WP Security является надежным средством по обеспечению комплексных мер безопасности в CMS WordPress. Плагин включает список разнообразных уязвимостей, которые создают «дыры» в системе защиты вашего ресурса. Давайте познакомимся с ним подробнее и узнаем об оптимальных настройках.

Better WP Security – установка

Установка плагина происходит вполне стандартно, потому долго останавливаться на данном пункте не стоит. Авторизуйтесь в админке, зайдите в категорию «Плагины», а потом в «Добавить новый». Если вы предварительно скачали нужный плагин, перейдите в «Загрузить плагин» и выберите zip-архив. Второй метод еще проще – введите «Better WP Security» без кавычек, нажмите на кнопку «Поиск плагинов» и выберите «Установить» на нужном пункте. Не забывайте об активации!

Далее будем говорить о настройках. Следует понимать, что некоторые из них могут нарушить стабильность работы сайта, потому относиться к ним нужно крайне серьезно. Причем это касается как первостепенных настроек, так и второстепенных.

Better WP Security – настройки

Об успешной установке и активации плагина можно судить по появлению кнопки «Безопасность» в административной панели сайта.

Нажав на данную кнопку, вы увидите приветствующее окно:

Советуем воспользоваться предложением и создать резервную копию БД. Также не будет лишним полный бекап ресурса, который вы должны выполнить самостоятельно.  

Когда резервная копия будет создана, плагин предложит воспользоваться защитой в один клик:

Защита сайта от базовых атак – это полностью безопасное предложение, не способное негативно повлиять на работу. Отказываться от него не стоит, потому выбираем первый вариант и продвигаемся дальше.

Статус системы

Better WP Security покажет вам список наиболее распространенных уязвимостей.

Не стоит пугаться, пункты статуса всегда статичны, независимо от сайта. Однако ориентироваться нужно по цветовой окраске каждого из них. Зеленый цвет свидетельствует об отсутствии замечаний, красный – о необходимости незамедлительного исправления. Оранжевым и синим цветом обозначают частичную защиту.

Настройки распределены по определенным категориям, переключаться между которыми можно при помощи вкладок вверху экрана.

Исправляем уязвимости без риска для сайта

Давайте рассмотрим пункты, не способные подорвать работоспособность ресурса.

 

1. Надежные пароли (Tweaks —> Strong Password Tweaks).

Всем хорошо известно о том, что пароль всегда должен быть сложным. Именно об этом нам и говорит первый пункт в чек-листе плагина. Жмем «исправить»:

Сложный пароль в понимании разработчиков плагина представляет собою длинную комбинацию символов разного регистра с участием цифр и вообще всего, что можно встретить на клавиатуре.

В твике вы должны указать группу пользователей (администратор, редактор и т.п.), которые будут обязаны пользоваться «надежными» паролями. Если же на сайте всего один администратор, который уверен в качестве своего «ключа», пункт можно пропустить.

 

2. Your WordPress header is still revealing some information to users (Tweaks à Header Tweaks).

Стандартный для WP файл header.php часто содержит лишние данные, которые могут использоваться злоумышленниками для взлома. Специально для этого и создан следующий твик. У вас будет три опции:

  • Remove WP Generator Meta Tag. Так называемый «мета-тег генератор» передает текущую версию CMS. Зная версию, можно найти самые популярные баги и уязвимости в ней.
  • Remove wlwmanifest header. Windows Live Writer сейчас нигде и никем не используется. Убираем без раздумий.
  • Remove EditURI header. RSD заголовки нужны только тем, кто для добавления контента использует сторонние приложения для мобильных устройств.
    Удаляйте, если у вас такой потребности нет.

Ставим галочки на трех пунктах и сохраняем.

 

3. Не администраторы могут видеть доступные обновления (Tweaks —> Панель настроек).

Обновления CMS, плагинов и тем по умолчанию отображается всем, кто имеет доступ к административной панели. С помощью данного пункта вы можете ограничить видимость апдейтов только для администратора.

 

4. The admin user still exists (Пользователь).

Администратор в WordPress изначально всегда имеет логин admin. Это упрощает работу злоумышленникам, которые, например, подбирают пароль при помощи брута, ведь правильный логин у них уже есть. Измените имя пользователя!

Тут же можно изменить и айди администратора, которое по умолчанию равняется «единице».

 

5. A user with id 1 still exists

(Пользователь).

Смотрите предыдущий пункт.

 

6. Ваш префикс таблиц не должен быть wp_. (Prefix).  

Все таблицы в БД WordPress имеют приставку wp_, и это хорошо известно всем, кто интересуется. Лучше будет, если часть названия ваших таблиц будет уникальной и сложной.

Префикс базы данных генерируется плагином автоматически, также он в очередной раз напоминает о необходимости сделать бекап, но мы это уже прошли.

 

7. Вы не планировали регулярного резервного копирования БД WordPress (Backup)

.

Данный пункт Better WP Security поможет организовать регулярный бекап базы данных с отправкой архива на электронную почту.

Выберите «архивацию по расписанию», укажите желаемый интервал и напишите e-mail, на который и будет отправляться резервная копия.

Важно: довольно часто возникает ситуация, когда письма с бекапом на почту не приходят. Для решения проблемы можно попробовать зайти во вкладку Logs, выбрать «Очистить БД», отметить все пункты в списке и нажать на «Удаление», однако даже это помогает не всегда. Лучшим решением будет использование специализированных плагинов для создания резервных копий.

 

8. Админка WordPress доступна в режиме 24/7 (Away).

Особой роли в обеспечении безопасности пункт не играет. Смело пропускаем двигаемся дальше.

 

9. You are not blocking known bad hosts and agents (Ban).

Плохие хосты и юзер-агенты предполагаемых хакеров собираются энтузиастами проекта HackRepair, мы же можем воспользоваться этим списком в своих целях.

Ставим галочку на первом чекбоксе и жмем «Add Host and Agent Blacklist». Тем самым вы организуете собственный blacklist, позволяющий блокировать потенциальные опасности.

 

10. Your login area is not protected from brute force attacks (Login).

В нашем примере ошибка не выявлена, потому логин определяется защищенным от перебора.

Брут – это массированная попытка авторизоваться, используя, например, миллионный список популярных паролей. Наиболее оптимальной защитой от этого считается ограничение попыток неверного ввода.

Пройдемся по всем опциям данной защиты:

  • Enable Login Limits – активация ограничения попыток авторизации в админке;
  • Max Login Attempts Per Host – максимум попыток входа для конкретного хоста;
  • Max Login Attempts Per User – максимум попыток входа для конкретного юзера;
  • Login Time Period – время (в минутах), на протяжении которого неверный логин будет в памяти;
  • Lockout Time Period – длительность блокировки доступа в минутах;
  • Blacklist Repeat Offender – добавление в blacklist IP-адресов, которые неудачно пытались авторизоваться;
  • Blacklist Threshold – кол-во блокировок IP-адреса перед тем, как добавить его в постоянный черный список из предыдущего пункта.

 

11. Ваша WordPress админка не скрыта

(Hide).

Тут вы можете скрыть адрес административной панели. Не сказать, что нюанс очень важный, но иногда даже такая мелочь может помочь.

 

12. Your .htaccess file is NOT secured (Tweaks —> Server Tweaks).

А вот защита файла .htaccess играет серьезную роль в обеспечении комплексной безопасности сайта.

Предлагаются следующие опции:

  • Защита файлов от публичного доступа;
  • Отключение листинга папок и файлов;
  • Фильтр для небезопасных запросов;
  • Фильтр для применения кириллицы или других необычных символов.

Советуем отметить все галочками и сохранить. Предупреждение о конфликте с плагинами и темами и плагинами редко подтверждается на практике.

 

13. Your installation is actively blocking attackers trying to scan your site for vulnerabilities (Detect).

Блокировка сканирования уязвимостей. Данный пункт обычно активирован по умолчанию. Однако справедливости ради отметим, что современные хакеры находят способы обхода блокировки, если сильно этого хотят.

 

14. Your installation is not actively looking for changed files (Detect —> File Change Detection).

Инструмент, который ведет логи всех изменений, касающихся файлов вашего сайта. Советуем включать его только тем, кто различает опасные и безопасные изменения.

 

15. Your installation accepts long (over 255 character) URLS. This can lead to vulnerabilities (Tweaks —> Другие хитрости).

Запрещаем ссылки, длина которых превышает 255 символов. Это действительно очень много, так что даже самые изощренные вебмастера никогда их не используют. А вот хакеры для различных инъекций и т.п. очень даже пользуются длинными url’ами. Включаем опцию и вставляем очередную палку в их колеса.

 

16. You are allowing users to edit theme and plugin files from the WordPress backend (Tweaks —> Другие хитрости).

WordPress создавался с целью максимального упрощения жизни владельцам сайтов на этой CMS. Так, вы можете редактировать системные файлы, плагины и темы прямо через веб-интерфейс. Однако такая возможность может принести вред, если за нее берутся хакеры. Отключите редактирование файлов с админки, а когда это понадобится, включите обратно.

 

17. Better WP Security is allowed to write to wp-config.php and .htaccess (Tweaks —> Другие хитрости).

Данная опция активируется автоматически после включения базовой защиты. Плагину разрешается изменять два важнейших файла (wp-config и . htaccess), что гарантирует повышение общего уровня безопасности.

 

18. Wp-config.php and .htacess are writeable (Tweaks —> Другие хитрости).

А вот для внешнего мира эти файлы обязательно должны быть закрыты на запись.

 

19. Users may still be able to get version information from various plugins and themes (Tweaks —> Другие хитрости).

Подобная информация отображается в случаях, когда версии тем и плагинов все еще видны сторонним пользователям.

Ставим галочку в указанном месте и наслаждаемся. Информация показываться будет, вот только номера версий уже будут случайными.

 

20. You should rename the wp-content directory of your site (Dir).

Инструмент меняет название папки wp-content и настраивает систему на правильную работу с папкой под новым именем. Не является критичным, можно пропускать.

 

21. You are not requiring a secure connection for logins or for the admin area (SSL).

Административная часть сайта переводится на защищенное соединение SSL. Предварительно нужно узнать, работает ли данная функция на вашем сервере.

В данной статье были рассмотрены только первостепенные настройки, на которые важнее всего обращать внимание. Отметим наличие большого количества дополнительных опций, но это уже повод для новой статьи. 

WordPress Security — брандмауэр, сканер вредоносных программ, безопасный вход и резервное копирование — плагин WordPress

  • Детали
  • отзывов
  • Монтаж
  • Поддерживать
  • Развитие
САМЫЙ ПОПУЛЯРНЫЙ БРАНДМАУЕР И СКАНЕР БЕЗОПАСНОСТИ WORDPRESS

Сканер вредоносных программ и брандмауэр конечной точки, созданные специально для WordPress, включены в Wp security pro. Чтобы обеспечить безопасность вашего веб-сайта, наш канал защиты от угроз предоставляет Wp Security Pro самые последние правила брандмауэра, сигнатуры вредоносных программ и опасные IP-адреса. Наиболее полное решение для безопасности WordPress — это Wp security pro, которое дополняется 2FA и множеством дополнительных функций.

Особенности
  • Полный пакет веб-безопасности для защиты WordPress от любых атак
  • Брандмауэр веб-приложений (WAF): Брандмауэр WordPress для защиты вашего сайта
  • Защита OWASP TOP 10
  • Защита входа: спам и защита входа
  • Сканер вредоносных программ: Обнаруживает любые вирусы, вредоносные программы и трояны
    • Резервное копирование
  • : создание зашифрованной резервной копии с локальным хранилищем и облачным хранилищем
  • Ограничить количество попыток входа в систему, чтобы предотвратить подбор пароля
  • Глобальная блокировка IP-адресов в режиме реального времени
  • Ограничение частоты запросов: защита ресурсов от любой уязвимости безопасности
  • Обнаружение и блокировка обходчика
  • Блокировка IP и атак
  • Блокировка страны и блокировка браузера
  • Предотвращение атак грубой силы для предотвращения взлома пароля
  • Капча для обнаружения ботов
  • Google Рекапча
  • Защита формы входа
  • Защита регистрационной формы
  • Интеграция с различными плагинами – Woo commerce, BuddyPress, Ultimate Member и др.
  • Отчетность
  • Журнал аудита
Брандмауэр веб-приложений
  • Брандмауэр WordPress создан специально для WordPress и блокирует вредоносный трафик на вашем сайте WordPress.
  • Блокировка атак и предотвращение доступа
  • Защита от внедрения SQL (SQL)
  • Межсайтовый скриптинг (XSS) Атаки
  • Включение удаленного файла (RFI)
  • Включение локального файла (LFI)
  • Ограничение безопасной скорости — контролирует количество входящих запросов с определенного IP-адреса к службе (веб-сайту).
  • Глобальная блокировка IP-адресов в реальном времени — защищает от вредоносных IP-адресов и пропускает подлинный трафик на ваш WordPress.
  • Обновление правил и сигнатур в реальном времени — Постоянное обновление сигнатур на основе угроз.
  • Блокировка IP-адреса — заблокируйте любой IP-адрес одним щелчком мыши.
Защита входа в систему и защита от спама
  • Вход в систему методом грубой силы / Защита от атак. Мы отслеживаем попытки входа пользователей в систему и отправляем предупреждения администраторам о необычных действиях, если кто-то превышает разрешенные неудачные попытки входа в систему.
  • Защищает от перебора пароля и подбора пароля на странице входа.
  • Ограничить количество попыток входа. Автоматические атаки на страницу входа с целью подбора пароля могут представлять опасность для учетных записей пользователей. Вы можете просто ограничить количество попыток входа и скорость запросов на сайте.
  • Безопасность входа — ограничение количества попыток входа и отслеживание попыток входа пользователей
  • Защита общим паролем — выявляйте, используют ли пользователи пароли, которые обычно утекают
  • Безопасность регистрации пользователей — запретить одноразовые/поддельные адреса электронной почты
  • Защита Google reCAPTCHA для входа и регистрации.
  • Защита от спама и защита от спама в комментариях
Безопасность регистрации
  • Капча в регистрационной форме
  • Защита файлов WordPress. Мы предоставляем вам возможность запретить пользователям доступ к просмотру содержимого каталога и редактированию файлов из WP Dashboard (темы и плагины).
  • Block Fake Users — мы поможем вам мгновенно обнаружить подозрительные адреса электронной почты. Большинство пользователей используют одноразовые, поддельные или временные адреса электронной почты для регистрации на онлайн-сайтах. Мы помогаем вам перестать принимать регистрации с этих электронных писем.
Сканер вредоносных программ
  • Сканер вредоносных программ сканирует все файлы, включая ядро ​​WordPress, плагины и файлы тем, чтобы узнать, есть ли в них вредоносные программы и вредоносные URL-адреса.
  • Сканер вредоносных программ. Сканер сканирует все файлы, включая ядро ​​WordPress, плагины и файлы тем, чтобы узнать, есть ли в них вредоносные программы и вредоносные URL-адреса.
  • Сигнатуры обнаружения вредоносных программ — с помощью обновлений сигнатур в режиме реального времени он проверяет наличие последних угроз и уведомляет вас о любых обнаруженных проблемах.
Резервное копирование
  • Зашифрованное резервное копирование базы данных и резервное копирование файлов. Простое резервное копирование файлов базы данных WordPress одним щелчком мыши. Вы можете скачать резервную копию или сохранить ее на своем сервере.
  • облачных резервных копий — храните их в облачных хранилищах или удаленных местах, таких как Google Drive, Amazon S3, DropBox и других.
  • One-Click Restore — восстановление файлов стало проще благодаря функции One-Click Restore.
Блокировка
  • Блокировка IP – ручная и автоматическая блокировка IP-адреса (включая черный и белый списки).
  • Блокировка страны. Если ваш веб-сайт завален СПАМом или попытками взлома со стороны посетителей или ботов из определенных стран, мы можем помочь вам заблокировать эти попытки. Вы можете заблокировать запрос, поступающий из таких стран, как Россия, Бразилия, Китай и других.
Мониторинг трафика в режиме реального времени и отчетность
  • Мониторинг трафика — следите за трафиком в режиме реального времени и получайте подробные сведения о каждом запросе. Кроме того, вы получаете возможность фильтровать отчеты по различным критериям, таким как имя пользователя, IP-адрес и дата. Также вы можете экспортировать отчеты в форматы CSV и pdf.
  • IP Lookup — IP Lookup дает вам возможность узнать, кому принадлежит IP-адрес или доменное имя, которое посещает ваш веб-сайт или участвует в злонамеренных действиях на вашем веб-сайте.
  • Журнал безопасности — регистрирует заблокированные IP-адреса, спамеров, ботов, протоколирование HTTP 404, 403 и 400
Расширенные функции: —
  • Расширенная блокировка — блокировка пользователей на основе: диапазона IP-адресов, страны, браузера/агента пользователя, реферера и имени хоста (DNS)
  • Защита веб-сайта Htaccess. Защитите свой веб-сайт от непреднамеренных пользователей с помощью защиты веб-сайта ht-access, которая блокирует запросы пользователей на уровне сервера (apache).
  • Фильтр спама в комментариях и проверка сайта на спам. Мы проверяем, генерирует ли ваш сайт спам, чтобы защитить ваш сайт от блокировки поисковыми системами. Кроме того, мы помогаем вам фильтровать комментарии на наличие вредоносных программ и фишинговых URL-адресов.
  • Защита от спама и Google reCAPTCHA для комментариев — Google reCAPTCHA защищает ваш сайт от спама и злоупотреблений. reCAPTCHA использует усовершенствованный механизм анализа рисков и адаптивные CAPTCHA, чтобы автоматизированное программное обеспечение не участвовало в неправомерных действиях на вашем сайте.
  • Уведомление для администратора и конечных пользователей — отправка предупреждений по электронной почте о блокировке IP-адресов и необычных действиях с учетной записью пользователя
  • Защита от DOS-атак (отказ в обслуживании) — Защитите свои ресурсы от DOS-атак, замедляя атакующих, задерживая ответ и увеличивая задержку в каждом из его запросов и, в конечном итоге, полностью блокируя их.
  • Уведомления — получайте оповещения по электронной почте о необычных действиях с вашими учетными записями пользователей. Мы также поддерживаем настраиваемые шаблоны электронной почты, которые вы можете использовать для брендинга.
Чем отличается miniOrange?

miniOrange имеет различные типы развертывания, что дает покупателю безопасный и надежный выбор. miniOrange предлагает плагины, облачные и локальные серверные модули. Плагин будет блокировать все входящие запросы в сети, где размещен сайт. Вы можете заблокировать запрос до того, как он достигнет сервера с сетевыми решениями. И сохранение резервных копий имеет важное значение, чтобы вы могли вернуться в случае потери или изменения данных преднамеренно или непреднамеренно. miniOrange обеспечивает зашифрованные резервные копии файлов и баз данных с восстановлением одним щелчком мыши.

= miniOrange обеспечивает три уровня безопасности, на которых владельцы могут решить, какое решение будет для них лучшим =

  • Брандмауэр веб-приложений на уровне WordPress
  • Уровень сервера Локальный WAF
  • Уровень сервера Облачный WAF
Хотите поддержать?

Напишите нам по адресу info@xecurify. com или свяжитесь с нами

  • Панель безопасности
  • Панель управления брандмауэра
  • Настройки брандмауэра
  • Безопасность входа и защита от спама
  • Сканер вредоносных программ
  • Резервное копирование
Из панели инструментов WordPress
  1. Посетите Плагины > Добавить новый
  2. Найдите «Безопасность входа в систему грубой силой, защита от спама и ограничение попыток входа». Найдите и установите плагин.
  3. Активируйте плагин на странице плагинов
С WordPress.org
  1. Загрузите плагин «Безопасность входа в систему, защита от спама и ограничение попыток входа».
  2. Разархивируйте и загрузите каталог wp-security-pro в каталог /wp-content/plugins/.
  3. Активируйте плагин на панели инструментов WordPress.
После активации
  1. Перейдите в Настройки-> WP Security PRO и следуйте инструкциям.
  2. Нажмите Сохранить

большинство функций плагинов доступны только премиум… это нормально, но дайте знать пользователям, прежде чем они установят ваш плагин! удалил сразу.

Плагин и поддержка!!

Этот плагин спас мой блог от недельного перебора. Команда поддержки быстро помогла мне установить его, помогла решить пару проблем и помогла мне начать работу. Установка этого явно защитила мой сайт. Спасибо.

Прости. Я не должен писать это как обзор. Я нашел серьезную проблему. Я переместил основной текст на страницу поддержки здесь.

Это простой плагин, который позволяет нам видеть IP-адреса пользователей, входящих в систему. Он помогает предотвратить атаки методом перебора и медленные DOS-атаки, а также добавляет Google reCaptcha на наш экран входа в систему. Поддержка полезная и отзывчивая. Мы также используем «Интеграцию с Active Directory для облака» того же автора, и эти два плагина хорошо работают вместе.

Привет всем, Этот плагин безопасности в сочетании с плагином двухфакторной аутентификации Mini Orange просто великолепен и отлично работает. Мне нужно было индивидуальное решение для обеспечения безопасности моего бизнес-сайта:

Astro Pixel Processor by Aries Productions
Помимо решения TFA, я теперь использую настроенную версию этого плагина Brute Force Login Security, защиты от спама и ограничения попыток входа от Mini Orange. Качество и скорость обслуживания были всем, что я мог когда-либо желать. Настоятельно рекомендуется. Я очень благодарен MiniOrange. Мой запуск бизнеса прошел очень успешно и без проблем благодаря MiniOrange! С уважением, Мабула Хаверкамп

Прочитать все 14 отзывов

«Безопасность WordPress — брандмауэр, сканер вредоносных программ, безопасный вход и резервное копирование» — это программное обеспечение с открытым исходным кодом. Следующие люди внесли свой вклад в этот плагин.

Авторы

  • миниоранжевый
  • миниапельсин
4.
3.2
  • Тестирование совместимости для WordPress 6.1
4.3.1
  • Добавлена ​​форма обратной связи
4.3
  • Добавлены руководства и изменения пользовательского интерфейса
4.2.3
  • Исправления безопасности Wp
4.1.1
  • Тестирование совместимости для WordPress 5.9 и улучшение формы обратной связи.
4.1.0
  • Тестирование совместимости для WordPress 5.5 и улучшение формы обратной связи.
4.0.9
  • Изменения и устранение проблем, связанных с вредоносным ПО.
4.0.8
  • Исправление проблем с брандмауэром и вредоносным ПО.
4.0.7
  • Исправлена ​​перезагрузка сканера вредоносных программ и исправлены проблемы CSS с брандмауэром и безопасностью.
4.0.6
  • Исправление ошибок проверки Google Recaptcha.
4.0.5
  • Вопросы безопасности WordPress Readme
4.
0.4
  • Обновление информации о безопасности
4.0.3
  • Брандмауэр веб-приложений: обновление информации о новых функциях.

Служба поддержки

Проблемы, решенные за последние два месяца:

1 из 1

Посмотреть форум поддержки

Пожертвовать

Хотите поддержать продвижение этого плагина?

Пожертвовать этому плагину

Плагин безопасности WordPress | Wordfence

Доверьтесь мировым лидерам в области безопасности WordPress

Просмотрите наши продукты

Комплексное решение безопасности для WordPress

Wordfence — это глобальная команда аналитиков безопасности WordPress, исследователей угроз, инженеров-программистов и сотрудников службы поддержки. Мы являемся лидерами в своей области, и мы сосредоточены исключительно на обеспечении безопасности веб-сайтов WordPress и исследованиях безопасности WordPress. Мы предоставляем 24-часовое обслуживание, 365 дней в году для критически важных веб-сайтов, со временем ответа 1 час через Wordfence Response. Чтобы узнать больше о наших продуктах, посетите нашу страницу сравнения продуктов.

Безопасность входа

Wordfence лидирует в отрасли по средствам контроля безопасности входа, включая защиту от грубой силы, защиту XMLRPC, reCAPTCHA для блокировки автоматических атак и контроль доступа по IP.

Централизованное управление

Централизованное управление событиями безопасности и управлением конфигурацией безопасности на основе шаблонов, 100% бесплатно. Наши клиенты постоянно говорят нам, что Wordfence Central слишком хорош, чтобы быть правдой. Даже пользователи бесплатной версии Wordfence получают полный доступ к Wordfence Central бесплатно.

Круглосуточная группа реагирования на инциденты

Клиенты Wordfence Care and Response получают практическую поддержку по установке, настройке и оптимизации Wordfence, а также постоянный мониторинг безопасности нашей командой. Клиенты Wordfence Response получают круглосуточную поддержку и мониторинг с временем ответа 1 час.

Двухфакторная аутентификация

Двухфакторная аутентификация или 2FA стала стандартным требованием для любой защищенной службы. Wordfence предоставляет надежную двухфакторную аутентификацию для ваших администраторов и пользователей, использующую безопасные открытые стандарты.

Сканирование вредоносных программ

Wordfence поддерживает крупнейшую в мире базу данных вредоносных программ для WordPress. Используя эту интеллектуальную базу данных, мы создаем сигнатуры вредоносных программ, чтобы блокировать попытки вторжения, обнаруживать вредоносные действия и обеспечивать надежную защиту вашего сайта WordPress.

Брандмауэр Wordfence

Группа анализа угроз Wordfence постоянно обнаруживает новые уязвимости в ядре, плагинах и темах WordPress. Мы немедленно выпускаем новые правила брандмауэра, защищающие от этих уязвимостей, которые развертываются в режиме реального времени для наших платных клиентов, обеспечивая наилучшую доступную защиту от вторжений для WordPress.

Получите брандмауэр конечной точки с помощью Wordfence

Все дело в данных

Наши уникальные данные делают Wordfence столь эффективным. Клиенты Premium, Care и Response получают в режиме реального времени обновления правил защиты и обнаружения.

Всего заблокировано атак

10 898 435 224

Вредоносные IP-адреса занесены в черный список

54 907

Wordfence Premium Повышение цен в декабре — первое с 2016 года

Прошло более 6 лет с тех пор, как мы в последний раз повышали цены. С тех пор наша команда увеличилась более чем вдвое, и мы внесли значительные улучшения в основной продукт Wordfence, запустили ряд бесплатных и платных продуктов, а также внедрили новые услуги, в том числе круглосуточное реагирование на инциденты. С 5 декабря 2022 г. …
Подробнее

Что взламывает Fox? Разрушение скрипта Anonymous Fox F-Automatical

Во время обычного исследования безопасности один из наших аналитиков угроз обнаружил последнюю версию скрипта Command and Control (C2), который в коде скрипта называется F-Automatical и был широко известный как FoxAuto в старых версиях. Это седьмая версия этого автоматического скрипта C2, которая разработана и распространена …
Подробнее

Wordfence Intelligence запускает новый поток хэшей вредоносных программ!

Сегодня команда Wordfence запускает фид хэшей вредоносных программ как часть нашего API Wordfence Intelligence. Это дает нашим корпоративным пользователям еще один способ быстро и точно идентифицировать вредоносное ПО, нацеленное на веб-приложения. Являясь ведущим в мире поставщиком средств защиты WordPress, Wordfence обладает тщательно подобранной базой данных, содержащей почти три с половиной миллиона уникальных вредоносных программ,… , команда Wordfence Threat Intelligence начала отслеживать активность, направленную на CVE-2022-42889. или «Text4Shell» в нашей сети из 4 миллионов веб-сайтов. Мы начали наблюдать активность, направленную на эту уязвимость, 18 октября 2022 г. Text4Shell — это уязвимость в текстовой библиотеке Apache Commons версий 1.5–1.9, которую можно использовать для достижения …
Подробнее

Две недели мониторинга ProxyNotShell (CVE-2022-41040 & CVE-2022-41082) Threat Activity

Команда Wordfence Threat Intelligence отслеживала попытки эксплойта, направленные на две уязвимости нулевого дня в Microsoft Exchange Server, отслеживаемые как CVE-2022-41040 и CVE-2022-41082, известные под общим названием ProxyNotShell. Эти уязвимости активно эксплуатируются в дикой природе. На момент написания мы наблюдали 1 658 281 попытку эксплойта в нашей сети из 4 миллионов защищенных веб-сайтов. …
Подробнее

Исправление: обновление безопасности WordPress 6.0.3 содержит важные исправления

Обновление безопасности WordPress 6.0.3 содержит исправления для большого количества уязвимостей, большинство из которых имеют низкий уровень серьезности или требуют наличия учетной записи пользователя с высоким уровнем привилегий. или дополнительный уязвимый код для использования. Как и в случае с каждым основным выпуском WordPress, содержащим исправления безопасности, команда Wordfence Threat Intelligence подробно проанализировала изменения кода…
Подробнее

Официальный список рассылки Wordfence

Получайте новости безопасности WordPress перед публикацией.

Критические недостатки выполнения кода исправлены в плагине «PHP Everywhere» для WordPress Неприятные ошибки плагина WordPress могут позволить злоумышленникам зарегистрироваться в качестве администраторов сайта

ПРОСМОТРЕТЬ СТАТЬЮ

Многочисленные уязвимости в плагине WordPress создают риск удаленного выполнения кода веб-сайта

Критический плагин WordPress нулевого дня в активной эксплуатации

ПОСМОТРЕТЬ СТАТЬЮ

Выпуск WordPress 5.7.2 содержит исправление для критической уязвимости

ПОСМОТРЕТЬ СТАТЬЮ

  • Wordfence лучший!

    Я уже некоторое время использую Wordfence на 6 своих сайтах. Он работает очень хорошо и обеспечивает мне необходимую защиту от злоумышленников. У меня было всего несколько незначительных проблем, в основном из-за отсутствия у меня опыта, но служба поддержки Wordfence отлично помогла мне выйти из затруднительного положения. Я настоятельно рекомендую плагин, и покупка обновления до профессиональной версии стоит каждой копейки. Плагин прост в установке и настройке. И… если ваш хост — GoDaddy, это один из их рекомендуемых партнеров по плагинам.

    логово

    @lairbear

  • Удивительно, обязательно для безопасности сайта WP

    Сайт WP моего малого бизнеса был взломан (создан, установлен и поддерживается мной), и где-то в моем коде был спрятан майнер криптовалюты.

    Я потратил неделю, пытаясь устранить этот код, и мой Хост тоже искал его, но безуспешно, тем временем я выглядел как придурок, пытающийся майнить криптовалюту с клиентов и потенциальных клиентов!

    Я попробовал несколько других плагинов безопасности WP и веб-сайтов сканирования, но ни один из них не смог найти или решить мою проблему.

    Я скачал и установил Wordfence, он нашел и устранил мою проблему менее чем за 5 минут!

    С тех пор я включил многие из его дополнительных функций и был ошеломлен, узнав, сколько попыток ежедневно предпринимается для входа на мою страницу! Неудивительно, что его взломали. Какой-то придурок даже придумал себе новое имя пользователя!

    Во всяком случае, у меня никогда не будет другой страницы WP без Wordfence, и у вас тоже не должно быть!

    Удивительный плагин, очень простой и очень мощный.

    Каин57

    @Каин57

  • Команда по очистке сайтов Wordfence значительно спасла моего клиента

    У меня есть подключаемый модуль Wordfence (бесплатная версия) на десятках моих личных и клиентских сайтов в течение нескольких лет. Его легко установить и настроить, он заблокировал множество атак, и у меня никогда не было взломанного сайта, на котором он был бы. На одном клиентском сайте мы его не использовали, его взломали и это было противно, они продавали билеты на свои мероприятия и их платежная система перестала принимать платежи (и заразила некоторых клиентов вирусом/вредоносным ПО).

    Заражен не один сайт, а весь хостинг-аккаунт клиента. Я связался с Wordfence для очистки сайта, и они сразу же взялись за дело. Через два дня сайт почистили и снова принимают платежи. Wordfence, запущенный на сайтах после очистки, сообщил о наличии вредоносного бэкдора в моем скрипте клонирования сайта wptwin. Я отправил отчет и скрипт wptwin.php аналитику по безопасности, который чистил сайт, и через несколько часов он ответил, что действительно это ложное срабатывание. Это был отличный сервис, и я успокоился, что сайт клиента не заразился повторно.

    воображаемый

    @воображаемый

  • Awesome

    Wordfence — мой любимый плагин для WordPress. Сразу установил на все сайты моих клиентов. Спасал мой бекон много раз.

    bluesix

    @bluesix

  • Фантастическая поддержка — лучшее решение для взломанного веб-сайта

    Если вам знаком ужас взлома вашего веб-сайта, то вы знаете, какой огромный стресс это сопровождает. Еще хуже пытаться найти решение для исправления вашего взломанного веб-сайта по разумной цене без чрезмерной продажи. Вот где WordFence приходит на помощь.

    Они очень быстро и тщательно исправили мой взломанный веб-сайт, постоянно информируя меня о его статусе. Я также получил длинный отчет с подробным описанием того, что было взломано, как это было исправлено, и инструкциями по защите моего веб-сайта от будущих взломов. Через несколько дней мой сайт был удален из черного списка Google, и я снова в деле!

    Хотя я пока не могу сказать, насколько хорошо WordFence защищает ваш веб-сайт от взлома, я могу сказать, что они были лучшим решением для исправления моего взломанного веб-сайта. Основываясь на этом опыте, я без проблем доверю им защиту моего веб-сайта в будущем.

    СПАСИБО ВОРДФЕНС! Это стоило каждого пенни.

    сюзиппи

    @сузиппи

  • Отличная поддержка и лучший плагин безопасности

    Мы используем Wordfence (бесплатная версия) в течение многих лет на всех наших 100+ веб-сайтах WordPress. С тех пор у нас не было взломанных сайтов. Совсем недавно мы приобрели премиум-лицензию, чтобы еще больше повысить безопасность наших веб-сайтов. У нас возникло несколько вопросов относительно установки нескольких WP на одном домене в разных подпапках, и мы получили своевременную и профессиональную поддержку в течение дня. Теперь все настроено правильно, и мы спокойно спим по ночам, зная, что все в безопасности.

    ByteMotion

    @bytemotion

  • Awesome Plugin и поддержка Premium

    Wordfence Premium обеспечивает превосходное обслуживание клиентов. Плагин прост в использовании, а премиальная поддержка дружелюбна и информативна. Очень доволен их обслуживанием.

    докмолли

    @докмолли

  • Обзор Wordfence

    Wordfence — первоклассный плагин, даже бесплатная версия имеет массу функций. Я настоятельно рекомендую его не только начинающим веб-дизайнерам, но и опытным. Это, несомненно, отличный продукт.

    Стив Ф.

    sfekete111

  • Большое спасибо за предоставление такого хорошего плагина и сервиса

    Изучив и опробовав различные плагины безопасности, Wordfence каждый раз выигрывает. Все наши веб-сайты работают под управлением Wordfence Premium, и этот плагин очень хорошо служил нам в течение нескольких лет, а команда поддержки не имеет себе равных. Поскольку у малого бизнеса есть множество задач, о которых нужно позаботиться, и это очень небольшая цена, которую нужно заплатить за Wordfence Premium, чтобы позаботиться о чрезвычайно важной задаче, и она стоит каждой копейки.

    Надежный плагин безопасности имеет первостепенное значение, но само собой разумеется, что он должен быть подкреплен хорошей командой технической поддержки, которая может помочь вам в случае возникновения проблемы. Техническая поддержка Wordfence выходит за рамки служебного долга, и их знания очень обнадеживают, когда что-то идет не так с вашим сайтом.

    Фил предоставил отличные услуги, что дало нам уверенность в том, что мы работаем с нужными людьми, которые действительно знают, что делают, и могут объяснить и помочь очень кратко, со знанием дела и полезным способом.

    • Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *