Блог по продвижению сайтов Блог по SEO

Безопасность WordPress в 2 клика с помощью All In One WP Security

Просмотров: 17920

Безопасности в WordPress уделяется немало внимания, и все равно бывают случаи взломов сайта. Однако можно воспользоваться специальным плагином и значительно увеличить защиту вашего сайта, тем более что сделать это можно буквально в 2 клика.

безопасность-wordpress

Зачем вообще нужно повышать безопасность WordPress?
Конечно, чтобы избежать взломов и несанкционированного использования пространства сайта.

Но неужели это так плохо? Ну и пусть ломают - у меня все равно брать нечего!

Дело не в самом взломе, а в его последствиях. Хакеры ломают сайты не просто так, они начинают рассылать от вашего имени спам, расставляют ссылки на другие сомнительные сайты, становятся рассадниками вирусов и прочей заразы. Поисковые системы довольно быстро это распознают и реагируют с помощью уведомлений, предостерегая посетителей, переходящих на сайт примерно такой вот формой:

Этот сайт может нанести вред вашему компьютеру

Редкий смельчак отважится все-таки перейти на заразный сайт, поэтому трафик из поисковых систем взломанных сайтов падает в разы. А вместе с посещаемостью доходы владельцев сайтов также стремительно снижаются.

Поэтому, несмотря на то, что взломать можно любой сайт, но я рекомендую максимально усложнить злоумышленникам эту задачу: в результате, возможно, отпадет желание связываться именно с вашим сайтом, когда вокруг множество менее защищенных и простых для взлома сайтов.

Плагин All In One WP Security

Я устанавливал на сайты разные плагины для повышения безопасности WordPress (они еще часто называются firewall), но порекомендую вам тот, который лично я считаю самым лучшим по большинству параметров, это - All In One WP Security.

Его основные преимущества:

  • бесплатный
  • удобный русскоязычный интерфейс
  • множество вариантов защиты
  • частое обновление
  • мгновенный импорт и экспорт настроек

Я рекомендую обязательно использовать этот плагин на любом сайте/блоге под WordPress.

Инсталлируется он как обычный плагин Вордпресс (если не знаете как это сделать, то читайте "Как установить плагин WordPress за 5 минут"). Так что с установкой у вас проблем возникнуть не должно.

Но затем еще нужно будет настроить All In One WP Security, то есть выбрать и активировать параметры защиты. Их много, включать стоит далеко не все, иначе сайт может просто оказаться неработоспособным. Так какие параметры нужно выбрать обязательно, а какими стоит пренебречь?

Ниже в статье я дам ссылку на файл импорта лично моих настроек, которые я использую для повышения безопасности на большинстве сайтов - вы сможете их импортировать и, таким образом, не разбираться с настройками программы, которых очень много. Поэтому если все эти описания настроек вам неинтересны, мотайте вниз до социального замка и получайте ссылку на готовый файл с настройками. Там же будет краткая инструкция по добавлению  в свой плагин All In One WP Security.

А я пока в двух словах опишу настройки плагина.

Основные настройки All In One WP Security

Настроек плагина довольно много, они все собраны в панели управления, в пункте WP Security:

Настройки All In One WP Security

Начнем по порядку.

Панель управления

Здесь удобно собрана основная информация по системе: текущий уровень защиты, задействованные основные настройки, версия php сервера, логи заходов пользователей в админку и так далее. То есть на этой вкладке менять нечего - она играет информативную роль.

Читайте также:  Лучшие SEO плагины для Wordpress

Стремиться к тому, чтобы у вас было задействовано максимум очков защиты - не стоит. Ведь в этом случае некоторые другие плагины могут быть заблокированными, и сайт может не функционировать должным образом. Важно в целом устранить наиболее уязвимые и очевидные "дыры" не в ущерб удобству и функционалу сайта.

Настройки

Здесь вы можете создать бекапы основных файлов WordPress, в которых плагин меняет параметры безопасности: .htaccess и wp-config. Если, конечно, не сделали еще это через FTP (читайте "Как зайти на сайт через FTP"). Обязательно сделайте это перед внесением изменений в настройки плагина.

Важный пункт это "WP мета информация".
Установите галочку, это уберет из кода сайта информацию, что он создан на базе WordPress, это повысит безопасность от массового сканирования хакерскими роботами версий сайтов.

И последний пункт - это "Импорт и экспорт".
Именно здесь можно быстро экспортировать и импортировать настройки плагина с сайта на сайт.

Администраторы

В данном пункте речь пойдет про аккаунты зарегистрированных администраторов в панели управления.

Общеизвестно, что нельзя использовать стандартные имена администраторов, например, "admin" в WordPress или "administrator" в Joomla. Это крайне негативно влияет на безопасность, ведь когда логин известен, хакеру остается только подобрать пароль.

Так что если у вас в качестве имени администратора используется стандартное "admin", то мысленно выругайтесь в сторону разработчика и быстренько смените его на что-то более сложное. Чтобы это сделать в Вордпрессе нужно завести новый аккаунт пользователя. Старый удалите, все записи свяжите с новым аккаунтом.

Также важно, чтобы имя пользователя совпадало с логином.
И проверьте сложность пароля. Плохим является пароль вроде "serega", нормальным - "serega1212", идеальным - "dfw&uuhsU2%".

Авторизация

Что делать если кто-то несколько раз ввел неверный пароль при попытке входа в админку? По умолчанию система не делает ничего. А если "Включить опции блокировки попыток авторизации", то система будет блокировать такие подключения после какого-то количества неудачных попыток в течение определенного времени. Количество попыток, время и другие параметры, вы сами задаете в пунктах ниже.

Также рекомендую включить "Уведомление на емейл" о блокировках, так вы будете в курсе, что кто-то ломится в вашу уже закрытую дверь.

Остальные вкладки в основном информационные.

Регистрация пользователя

Я бы рекомендовал в любом случае поставить галочку: "Активировать ручное одобрение новых регистраций". Вам ведь не нужны никакие "левые" регистрации.

Каптча при регистрации актуальна только если у вас на сайте или блоге есть возможность регистрации новых пользователей.

База данных

Обязательно смените префикс таблиц в базе данных. По умолчанию таблицы в базе данных WordPress начинаются с "wp_" - это плохо для безопасности.  Выберите "Сгенерировать новый префикс таблиц БД" и установите флажок, чтобы плагин сам сгенерировал что-то вроде "hwy1e2_".

Хоть я менял префикс на многих сайтах WordPress - все было ок, но осторожность лишней не будет: обязательно сделайте бекап базы данных, можно, кстати, прямо на соседней вкладе это сделать.

Файловая система

На основной вкладке "Доступ к файлам" все пункты должны быть отмечены зеленым цветом. Если это не так - просто кликните на соответствующий пункт.

Отметьте флажки и на следующих вкладка "Редактирование файлов PHP" и "WP доступ к файлам". Вам вовсе необязательно оставлять возможность вносить любые программные изменения через панель управления - лучше это делать через FTP-доступ, который взломать гораздо сложнее, ведь там безопасностью занимаются профессиональные программисты вашего хостера. Плюс не стоит "светить" важные информационные файлы системы.

Читайте также:  Вызов шорткода из PHP в Wordpress

Whois-поиск

Тут настроек нет, но если к вам кто-то ломится или какой-то неадекватный пользователь оставляет дурацкие сообщения , то можно попробовать узнать о его провайдере и пожаловаться на неадеквата или просто пригрозить ему в личку.

Конечно, если хакер пользуется IP-анонимайзером, толком вы ничего не узнаете, но все равно функция может оказаться полезной, так как в целом можно быстро получать информацию о владельцах сайтов и их контактах.

Черный список

Допустим, вы "пробили" через whois, что на вашем блоге активно в комментариях распространяется спам с ip-адреса частное лицо. Вы можете добавить его в черный список и он не получит доступ к станицам сайта.

Также можно массово банить "левых" роботов, которые могут прочесывать интернет в поисках уязвимостей.

В основном эта функция имеет смысл, если вам активно кто-то пытается взломать. В большинстве случаев эти поля останутся пустыми.

Файрволл

Ну вот и добрались до основной функции плагина - брандмауера. Эти функции рассредоточены по нескольким вкладкам.

Во вкладке "Базовые правила" рекомендую включить оба флажка: "Основные функции брандмауэра" и "Защита от Пингбэк-уязвимостей". По каждому пункту там подробно расписываются все функции, которые будут задействованы. Это базовые правила - они, как правило, не влияют на работоспособность сайта.

В "Дополнительных правилах" лично я задействую:

  • Просмотр содержимого директорий
  • HTTP-трассировка

Остальные пункты:

  • Комментарии через Прокси-серверы
  • Нежелательные строки в запросах
  • Дополнительная фильтрация символов

на тех или иных сайтах вызывали нестабильности в работе, поэтому я не могу однозначно рекомендовать их к применению.

Если же вы захотите их задействовать, то сделайте бекап htaccess, включите и тщательно протестируйте сайт на прежнюю работоспособность. Попробуйте оставить комментарий, скачать файл, зарегистрироваться, выполнить поиск по сайту, отправить форму обратной связи и т.п. Если все в порядке, то ок, вам повезло :smile:

Далее во вкладке "5G-файрволл" можно включить комплексную защиту от хакерских атак через URL сайта. Это полезная функция, однако на моем блоге Moytop.com она вызвала ошибку при скачивании файлов пользователями, поэтому я ее отключил и отключаю на всех других сайтах, так как предпочитаю задействовать только те параметры, которые никогда не вызывают нареканий в работе.

Во вкладке "Интернет-роботы" я не включал флажок, так как все же есть опасения как-то помешать основному роботу Google делать свое дело. Если кто-то сможет развеять мои опасения в комментариях, буду признателен.

"Предотвратить хотлинки" я также оставляю отключенным, так как сам загружаю картинки блога с других сайтов. И отмечал что многие мои клиенты также это делают, например, загружают со своего сайта картинки на разные доски объявлений, форумы и так далее. Но если вы уверены, что нигде не задействуете картинки с сайта, то в целях снижения излишней нагрузки на хостинг, конечно, можете поставить флажок.

"Детектирование ошибок 404" нужно задействовать только если в логах у вас много подозрительных ошибок ненайденных страниц. У меня на всех сайтах все ок, поэтому и нечего вносить в список IP-адресов, которые нужно банить.

Защита от брутфорс-атак

Что такое "брутфорс"? Это грубая атака, которая заключается в простом переборе всех возможных паролей на сайте.  То есть робот заходит на страницу со входом в админку и начинает пробовать то один, то другой пароль.

Читайте также:  CMS для блога: какой движок выбрать?

Поэтому я рекомендую обязательно "Переименовать страницу логина". Стандартное /wp-admin ничего хорошего в плане безопасности вашего WordPress-сайта не даст.

Назовите страницу входа на свое усмотрение, например, /lg-wp и в вашу админку робот для перебора паролей попасть уже не сможет - он ее просто не найдет!

"Защиту на основе куки" я не применяю - так как часто выхожу в сеть с разных браузеров, плюс периодически чищу куки и поэтому процедура залогинивания с этим параметром была бы довольно утомительной.  По этой же причине не использую "Каптчу на логин". Мне и так хватает всяких каптч в интернете, и поэтому на своем сайте стараюсь свести их к минимуму.

"Белый список для логина" - это почти 100% защита от брутфорс-роботов, так как логин и пароль может вводиться только с конкретного IP-адреса. Но я и мои клиенты часто заходят на свои сайты с разных IP-адресов, например, из офиса, с мобильного телефона, из гостей и так далее. В этом случае защита будет избыточной, так как не пустит на сайт самого владельца. Однако если вы работаете на своем сайте стационарно с одним IP-адресом, то можно задействовать данную функцию.

"Бочку с медом" - рекомендую включить. Это интересная приманка для роботов, которая быстро и безболезненно позволяет отсечь многие попытки брутфорса.

Защита от спама

Эту защиту я не включал, так как у меня прекрасно работает специализированный плагин Antispam Bee (читать "Обзор плагина защиты от спама на WordPress").

Сканер

Если вдруг какой-то гад все-таки пробрался через все ваши системы защиты и вставил свой вредоносный код или левые ссылки в файлах сайта, то система вас об этом уведомит. И вы сможете более внимательно и пристально взглянуть на эти изменения: вдруг вас и правда, взломали?

Я сканирую сайты раз в 7 дней, игнорирую картинки, личные файлы, бекапы и т.п. Все это есть в настройках, которые вы сможете скачать в конце статьи.

Остальные вкладки вам вряд ли понадобятся.

Режим обслуживания

Это просто утилита, но довольно полезная. Позволяет временно отключить сайт для всех, кроме админов, если на нем ведутся какие-то работы.

Разное

"Защиту от копирования" я не включаю, так как в современных реалиях проверки уникальности текстов она довольно бессмысленна, а жизнь некоторым пользователям затрудняет. А вот включить флажок "Активировать фрейм-защиту" не помешает, так как она не позволит открывать ваш сайт во фрейме какого-то другого сайта.

Вот, собственно и все настройки.

Безопасность сайта на WordPress - в ваших руках!

Если у вас есть сайт на WordPress, то я настоятельно рекомендую принять все возможные меры для его безопасности. Поверьте, очень неприятно, например, получать письмо от хостера о том, что ваш сайт блокируется, так как он распространяет вирусы.

А потом бегать в мыле и искать толкового программиста, который все вычистит, найдет дыры, залатает и в конце концов установит вам файрволл.

Лучше побеспокоиться обо всем заранее и как минимум установить этот простой и надежный плагин.

Полезный совет: Нажатие клавиш "WIN + D" позволяет быстро скрыть текущие окна и перейти к рабочему столу Windows.

Блог — Сергея Арсентьева 📈
image
Сергей Арсентьев
Всего материалов на сайте: 241
Активных комментариев: 3 519
Работает онлайн: 11.2 лет
Читателей за это время: 2 577 775
Я в соцсетях —
Фото
Бесплатный видеокурс для начинающих. Что такое фриланс, можно ли на нем зарабатывать и сколько?
Бесплатно Подробнее
Фото
Бесплатная мини книга для тех, кто хочет заказать сайт, но растерялся во множестве CMS и вариантов выбора.
Бесплатно Подробнее
Фото
Пошаговый видеокурс "Как работать в Опенкарт" с уроками по добавлению товаров и статей.
Комментариев 55
  • S Base

    Прекрасный плагин, мне реально этот способ помог. Раньше для работы использовал другие плагины, тестирую его дальше - пока полет нормальный.

    Комментировать
  • rieltor

    Спасибо - плагин действительно очень достойный. Пока тестирую - полет нормальный. Раньше активно пользовался плагином Wordfence Security, надо будет их сравнить

    Комментировать
  • SeoIL

    Сам пепеустановил плагин, вроде все Ок! Дальше будем посмотреть. Спасибо за труды
    ПС: обязательно буду тестить на новых сайтах!

    Комментировать
  • Roman

    Так себе плагин, я установил другой- Wordfence Security

    Комментировать
  • Анастасия

    Статья и файл на сегодня еще акутальны?)

    Комментировать
  • optimize

    Отличный плагин надеюсь теперь все будет ОК! Файл .htaccess "потяжелел" в разы

    Комментировать
  • Сat
    Сat

    Спасибо за быстрый ответ. Переустановил сайт сам.

    Комментировать
  • Сat
    Сat

    Заблокировал сам себя All In One WP Security. При переименовании плагина в админку сайта зайти мог, но после нескольких переименований также уже не могу(что-то намутил). Плагин удалял не мог попасть и заливал снова результат - 0. Полное отчаяние. Может сталкивались?

    Комментировать
    • Сергей Арсентьев

      Я бы сделал следующее:
      1) переименовал бы .htaccess в корневой директории (например в htaccess.old)
      2) удалил бы папку с плагином
      3) открыл бы админку /wp-admin из другого браузера, все должно заработать.

      Если не получилось, то написал бы хостеру просьбу восстановить сайт + базу данных на заведомо рабочую дату, например, вчера или позавчера.
      Нормальный хостер делает это бесплатно и быстро.

      Комментировать
  • OmarSK

    Установил сей плагин, сделал настройки. Несколько дней все шло нормально...потом не смог зайти в админку - «Cookies либо заблокированы, либо не поддерживаются вашим браузером. Чтобы использовать WordPress, нужно разрешить cookies.». В итоге зашел через fttp и переименовал папку с плагином, только так смог зайти. С чем это связано?

    Комментировать
    • Сергей Арсентьев

      У меня такое было в нестандартных браузерах типа firefox (с измененными настройками безопасности). Лечилось обычной перезагрузкой страницы, появлялось редко, примерно раз в один-два месяца, так что сильно не раздражало и я дальше не копал.

      Можете попробовать зайти с другого браузера со свежими дефолтными настройками, должно все работать.

      Как вариант - скинуть настройки самого плагина на "заводские" и включать их не все сразу, а по немногу, чтобы понять на каких может глючить. Мне кажется, что копать имеет смысл на вкладку логина, что-то типа "бочонка с медом" и т.п.

      Комментировать
  • Инна
    Инна

    Сергей, спасибо за совет.
    Сменила Windows-хостинг на Linux. Плагин установила без проблем.
    Спасибо вам огромное!

    Комментировать
  • Инна
    Инна

    Сергей, вот что хостер еще написал "Так как ваш хостинг располагается на сервере с операционной системой Windows вам необходимо вносить изменения в файл web.config вместо .htaccess или конвертировать правила .htaccess в web.config."
    Файл .htaccess проверила, он есть, лежит в корне сайта. В правах доступах отмечены все пункты. В числовом значении стоит три х. Меняла на 600, все равно не получается. Переустановила плагин все без изменения.
    Также в пункте Защита Файловой системы, "доступ к файлам" не меняются права. Все строчки красные. А можно ли изменить их вручную, через FTP . Будет ли это корректно?
    Сергей, если у мня не получится все таки с этим плагином. на какие его можно заменить?

    Комментировать
    • Сергей Арсентьев

      Я понял.
      Проблема, скажем так, в Windows-хостинге.
      Просто смените его на любой Linux-хостинг

      Linux - это стандарт для большинства хостингов (как Windows - стандарт для большинства компьютеров).

      Перейдя на Lunix вы не заметите визуально никакой разницы, а избавите себя от многих подобных проблем в будущем, такой как работа с этим плагином. Какой хостинг выбрать: http://moytop.com/zarabotok-na-bloge/5-6/chto-takoe-xosting

      Комментировать
  • Инна
    Инна

    Здравствуйте, Сергей.
    Устанавливаю All In One WP Security. Но плагин не может внести изменения в файл .htaccess .
    Выдает ошибку, следующего рода. "Файл .htaccess недоступен для записи. Пожалуйста, проверьте разрешения на запись для этого файла."
    Обратилась в сл. под. хостинга. Вот что они пишут: "При доступе к административной панели WordPress по стандартному адресу: http://.../wp-admin наблюдаем следующую ошибку:
    Not available.
    Для решения данной ошибки отключили плагин All In One WP Security & Firewall переименованием его директории в ~\.../wp-content/plugins/all-in-one-wp-security..
    При повторном подключении указанного плагина ошибка повторяется.
    Вообщем, помощь ничем не смогли. Может быть вы знаете, в чем причина?

    Комментировать
    • Сергей Арсентьев

      Добрый день, у вас вообще есть .htaccess файл в корне сайта? (смотреть по FTP - что такое ftp есть тут - http://moytop.com/optimizaciya-raboty/rabochee-mesto/kak-zajti-na-sajt-
      cherez-ftp-klient)

      Если файл есть - проверьте права на его изменение. Кликайте на него правой кнопкой, "Права доступа к файлу" - там должно быть что-то вроде "600" выставлено.

      Насчет сообщения хостера.
      По стандартному адресу админки у них войти не получилось, так как WP-Security мог поменять его в настройках на другой. Видимо, они не разобрались в этом, поэтому ничего и не решили.

      Но тут как мне кажется дело не в настройках, а в самом файле htaccess.
      В крайнем случае попробуйте сбросить и настройки самого плагина тоже, но сначала посмотрите на файл в вашем сайте и права доступа к нему + если не получится потрясите хостера, уточните, зачем ему админка, скиньте правильный доступ к админке.

      Комментировать
  • Сергей Арсентьев

    приветствую, взломать могут любой сайт, не переживайте.
    wp-security это основной инструмент, остальное это уже так, по мелочи.

    у меня проект висит на отдельном виртуальном сервере, чтобы не пересекаться в рамках одного хостинг-пространства с другими сайтами, плюс стараюсь задействовать сложные пароли, если храню их по ftp или в браузере, то только в секретной зоне, которая под другими паролями.

    стараюсь не ставить левые скрипты (хотя один раз тоже зацепило, подхватил вирус из скрипта с взлетающей ракетой), пришлось отдавать специалистам в лечение.

    Ну а так, в принципе, пока тьфу-тьфу, вроде проносило.

    Комментировать
  • Борис
    Борис

    Сергей, доброй ночи! Спасибо за статью!
    Взломали один из моих сайтов, теперь вот начал изучать)

    Подскажите, помимо данного плагина, что вы еще сделали для безопасности сайта на вордпрес?

    Комментировать
  • Zed
    Zed

    если я забыл название страницы доступа к админке сайта с установленным All In One WP Security. как теперь поспать в админку? )

    Комментировать
    • Сергей Арсентьев

      Самый простой способ - просто отключить плагин вручную через FTP (переименовать папку, например). Тогда вход в админку сразу станет прежним, а попав туда можно все сделать как нужно.

      Комментировать
      • Zed
        Zed

        так и сделал. спасибо.

        Комментировать
  • Олег

    Тоже тестирую сейчас этот плагин на новых сайтах. Только я в отличии от Вас решил включить защиту от спама и поставить капчу на комментарии (тестирую пока такой способ защиты от спама)

    Комментировать
    • Сергей Арсентьев

      От спама мне реально помогает Antispam BEE, рекомендую, простой и понятный плагин:
      http://moytop.com/zarabotok-na-bloge/5-5/zashhita-ot-spama-sajtov-na-wordpress

      Комментировать
  • Алексей

    это не помогало
    помогло только убрав в httaccess 5g 6g

    Комментировать
    • Сергей Арсентьев

      Да, htaccess можно вернуть на исходный, а 5g и 6g я бы вообще не включал, как и не советую это делать в статье.

      Комментировать
  • Алексей

    он не дает больше в админку войти подозреваю дело прописано в htaccess

    Комментировать
    • Сергей Арсентьев

      Я понимаю, что в админку не попасть, поэтому и посоветовал:

      "Удалить можно не через админку (куда не пускает), а по FTP — просто папку с плагином удалите /wp-content/plugins/all-in-one-wp-security-and-firewall."

      Комментировать
  • Алексей

    теперь не могу в админку попасть после настройки перебрасывает сюда http://127.0.0.1/

    Комментировать
    • Сергей Арсентьев

      Видимо, какие-то настройки неправильно сделали.
      Удалите плагин, поставьте заново и попробуйте еще раз.

      Удалить можно не через админку (куда не пускает), а по FTP - просто папку с плагином удалите /wp-content/plugins/all-in-one-wp-security-and-firewall. После этого должно начать пускать в админку и там вы уже определитесь что делать.

      Как зайти на сайт по FTP есть информация тут: http://moytop.com/optimizaciya-raboty/rabochee-mesto/kak-zajti-na-sajt-cherez-ftp-klient

      Комментировать
  • Константин
    Константин

    Автор, огромное тебе спасибо! Я искал плагин для защиты от спам-ботов, а ты дал инфу о плагине, который делает практически все!

    Респект и уважуха, просто не знаю как благодарить!

    В рунете мало толковой инфы по плагинам для ВП, но ты переплюнул всех. Кстати, нашел твой текст по запросу на английском, так что твои старания не пропали втуне.

    Комментировать
  • Vitaliy
    Vitaliy

    ага, еще и я завис на настройке... столько всякого хлама в инете пишут, но меня в первую очередь интересует больше Better WP Security и его настройка((( я бы и рад, если бы мне кто помог, а то стараюсь сам настраивать, но не получается :whew:

    Комментировать
  • Ольга
    Ольга

    Спасибо, Сергей! Так хочется решить все самостоятельно :-) Попытаюсь еще немного, а не получится, обращусь за помощью к программистам по Вашему совету.

    Комментировать
  • Ольга
    Ольга

    Спасибо, Сергей, за ответы!
    И все же: можно ли каким либо из плагинов (1. Anti-Malware, 2. AIO WP Security & Firewall) вылечить сайт от появившейся всплывающей рекламы наподобие уведомления соцсети о новом сообщении?

    Комментировать
    • Сергей Арсентьев

      Навскидку не скажу, нужно видеть что за сообщение и понять: то ли это вирус/троян, то ли просто какой-то плагин другой вы поставили, то ли сообщение об ошибке.

      Так как у вас нестандартная проблема, я бы рекомендовал обратиться к любому программисту на том же fl.ru, обычно это стоит рублей 300-500.

      Или вбейте сообщение в этом окне в Google и почитайте, может кто-то уже сталкивался именно с вашей бедой.

      Комментировать
  • Ольга
    Ольга

    Сергей, и еще вопрос:

    какие плагины безопасности оставить из:
    1. Anti-Malware
    2. AIO WP Security & Firewall
    3. Securi Security

    И можно ли каким либо из них вылечить сайт от появившейся всплывающей рекламы наподобие уведомления соцсети о новом сообщении?

    Комментировать
    • Сергей Арсентьев

      Anti-Malware я бы оставил
      AIO WP Security & Firewall - это и есть тот плагин, о котором идет речь в статье
      Securi Security - не сталкивался, удалил бы

      Комментировать
  • Ольга
    Ольга

    да, сделала все, как Вы, Сергей, сказали.
    А если ее не восстановить, что будет?

    Комментировать
    • Сергей Арсентьев

      ну ошибка будет показываться, я так понял именно в ней проблема

      Комментировать
  • Ольга
    Ольга

    А у меня при попытке изменить префикс вышло вот что:

    Fatal error: Class 'mysqli' not found in /home/dabanglobal/public_html/wp-content/plugins/all-in-one-wp-security-and-firewall/admin/wp-security-database-menu.php on line 547

    Что это означает? И что с этим делать?

    Комментировать
    • Сергей Арсентьев

      Самый простой вариант - восстановите базу данных.
      Перед внесением изменений, надеюсь, делали бекап? Программа рекомендует это при изменении префикса, так как меняется структура базы данных.

      Если бекап не сделали - напишите хостеру просьбу восстановить бекап базы данных за последнее число. Все сделанные изменения от даты файла бекапа до текущего времени, конечно, пропадут. Но обычно хостер делает бекап каждый день, поэтому если вы сегодня мало чего вносили, то это не критично, можно восстанавливать.

      Комментировать
  • Tanya

    Мне этот плагин более понятен, чем, например, iThemes Security. Там с настройкой сплошные мучения. В вашей статье все пошагово разъяснено, так что спасибо. Думаю, с яндексом проблем не должно возникнуть. Посмотрим. сайт еще молодой)

    Комментировать
  • Дмитрий
    Дмитрий

    После установки плагина и его настройки на полную мощность (почти все рекомендуемые действия выполнены) сайт стал хуже индексироваться в яндекс. Плагин удалил и новые статьи попали в яндекс, снова установил плагин и снова мимо индекса. Может Вы знаете какой параметр у плагина закрывает доступ яндексу в новым статьям?

    Комментировать
    • Сергей Арсентьев

      Я не выставляю настройки данного плагина на полную мощность и вам не рекомендую.
      У меня примерно половина от всех его функций задейстована, остальные могут повлиять на работу сайта, как я заметил.

      Можете скачать мой конфиг, у меня с ним все статьи попадают в индекс без проблем, в том числе и та, которую сейчас обсуждаем :smile:

      Комментировать
      • Дмитрий
        Дмитрий

        простите а где можно увидеть ваш конфиг?

        Комментировать
        • Сергей Арсентьев

          Мой конфиг можно скачать, если кликнуть по какому-то значку, например, Вконтакте или Google+ и порекомендовать страничку в любой из соцсети.

          Откроется скрытое содержимое со ссылкой на файл конфига с настройками безопасности для блога на WordPress и инструкцией по установке.

          Если вдруг по каким-то причинам не открылось, то или кликните другой значок и порекомендуйте там или напишите мне в обратную связь в Контакты (http://moytop.com/kontakty)

          Комментировать
  • Валерий
    Валерий

    Спасибо

    Комментировать
  • Валерий
    Валерий

    Здравствуйте,поставив этот плагин,какие можно удалить?.Какие плагины он может заменить?Например плагины нужно удалять такие как - Anti-XSS attack,AntiVirus,BackUpWordPress,Lockdown WP Admin,Login LockDown,Semisecure Login Reimagined,WordPress Database Backup, LIMIT-LOGIN-ATTEMPTS .Спасибо.

    Комментировать
    • Сергей Арсентьев

      Не сисадмин, но я бы удалил в этом случае: Anti-XSS attack (там вроде тоже защита была от XSS), Login LockDown (однозначно не нужен, будет дублировать функции), WordPress Database Backup (можно делать бекапы базы и этим плагином - я так вообще не заморачиваюсь с бекапом базы ибо хостер автоматом делает каждый день и хранит потом за последние 30 дней - выбирай базу на любой день).

      Комментировать
  • Ивашка

    Клёвый плагин, от многих проблем избавил

    Комментировать
  • Сергей Арсентьев

    Да, кстати, имейте ввиду, что все-таки изменения лучше вносить в основной CSS-файл темы, взяв из файла выше лишь классы, так как при обновлении плагина он все свои файлы перезапишет :wait:

    Комментировать
  • Сергей Арсентьев

    Здравствуйте, штатными средствами в админке там ничего сделать нельзя.
    Картинки для режима обслуживания файервола All In One WP Security просто не предусмотрены к подгрузке, просто выводится текст в рамке и все. Как по мне - так более чем достаточно, чтобы выключить сайт на какое-то время. Может в новых версиях чего намудрят?

    Но если все же хотите больше красоты, то самый простой способ - внести нужные изменения в CSS:
    wp-content\plugins\all-in-one-wp-security-and-firewall\css\wp-security-site-lockout-page.css, например поменять цвет фона на белый, поставить картинку в центр бэкграундом и поменять стиль надписи.

    Комментировать
  • Alex

    Здравствуйте! Сейчас "строю" новый сайт, установил этот плагин. Удобно настраивается в отличие от iThemes Security, который стоит у меня на действующем сайте. Но мне не нравится как выводится надпись в Режиме обслуживания. В какой-то желтой рамке на сером фоне, огромный шрифт. Предусмотрена загрузка картинки, но она не загружается (я разные пробовал). Там ничего изменить нельзя? До этого я ставил Wp Maintenance Mode, но убрал, раз здесь такая функция есть. Но выводится надпись довольно-таки уродливо.

    Комментировать
  • Сергей
    Сергей

    Здравствуйте, у меня стоит плагин "фаервол 2" и "секури секурити" если установить All In One WP Security они не будут конфликтовать? И как узнать конфликтуют плагины или нет?

    Комментировать
    • Сергей Арсентьев

      Здравствуйте, если говорить вообще, то конфликтовать плагины, конечно, могут, тем более одного направления.

      Но реально вы это не узнаете пока не включите их одновременно и не поработаете какое-то время.

      Признаки конфликта: выскакивают ошибки, не работают те функции, которые заложены в плагине, не работает что-то на сайте как положено. Если этих признаков нет, значит плагины, скорее всего, работают нормально.

      Но я бы все-таки рекомендовал оставить по функционалу что-то одно, так как два файрвола для сайта ни к чему. Лучше один, но нормальный.

      Комментировать
Смотреть еще комментарии
Добавить свой комментарий