Настройка All In One WP Security и базовые принципы безопасности в WordPress

Артем Абрамович

Меня зовут Артем Абрамович и я являюсь фрилансером-вордпресером. Занимаюсь настройкой и редактированием сайтов созданных на CMS WordPress. Это основная моя специализация, есть еще несколько работ, которыми я занимаюсь, но обо этом вы можете более подробно узнать из моего портфолио.

100 комментариев к “Настройка All In One WP Security и базовые принципы безопасности в WordPress”

  1. Спасибо. Всё руки не доходили разобраться с плагином для защиты.

    Ответить
  2. У меня один сайт ломанули, давно еще, некоторые файлы пришлось в ручную чистить и в них было написано — иди нах… мы здесь работаем! )))

    Ответить
    • Так да, Артём прикинь, в те времена, когда еще жили динозавры наверное и версия ВП была 2.2 примерно, тупо блоговая фигня не как сейчас… пробили весь сайт, в functions.php и во всех плагинах в индексе.php иди мол нАФИГ, мы тут работаем)) А я тогда только начинал в вебе работать, и ВП, друпал и жумлу пробовал, вообще как разработчик я с говноджумлы начинал не зная пхп мубд итд, ставил говно всякое халявное, ВП вообще ненавидел и думал, что джумла самый офигительный двиг…

      нА ТОТ МОМЕНТ ЕДИНСТВЕННЫЕ ВИДЕОУРОКИ БЫЛИ ОТ еВГЕНИЯ пОПОВА. Так вот, после этого серьезно занялся кодингом на пхп, что то сам вкуривать начал, зарепгал свое ИП … и через что я только не проходил = самописные двиги, говнодвиги, короче ВП самый офигительный движок и на нем можно многое реализовать. Мне 31 год и я веб-разработчик, 7 лет учился и до сих пор учусь. Зарабатываю как могу так сказать…

      Ответить
    • Фигасе ты монстр:) Я начал с ВП 3.5, мне наверное повезло. Тогда ВП уже более стабильный был и я даже дергаться на другие движки не стал…

      Ответить
  3. Плагин просто супер!!! Если он действительно обеспечивает весь этот функционал.
    Автору ОГРОМНОЕ СПАСИБО !!! Попутно разобрался, почему у меня в админке был отключен редактор и нельзя было редактировать html.
    Артём, спасибо Вам за Ваш труд. Удачи и успехов!!!

    Ответить
  4. небольшой вопрос по опции All In One WP Security, видео снимали давненько. Сейчас во вкладке «Файрволл» — Firewall Rules появилось помимо 5G 6G и оба доступны для активации (я выбрал 6ой, пятый не выбирал) особой информации по 6G не нашел. Вы у себя что врубали в этой вкладке?

    И ещё по поводу вот этого пункта — https://goo.gl/EL7T1d защита от XMLRPC, тут как-то всколь говориться, что может положить плагин JetPack (правильно я понял), и мне не совсем понятен второй пункт… JetPack я пользуюсь (у меня на нем портфолио и отзывы подвязаны), подскажите…мне вообще стоит выбирать эти пункты…я весь в сомнениях

    Ответить
  5. После изменения в защите базы данных сбрасывается wordpress, и приходится проходить всё по новой.Ставлю галочку на автоматическую генерацию т.к не знаю,что вводить..?

    Ответить
    • А-а-а, префикс таблиц. Там надо латиницией 4-5 знаков указывать, без цифр и прочих лишних символов

      Ответить
    • Лучше вообще не используйте данную штуку — это чревато тем что база данных отвалится

      Ответить
    • приходиться перенастраивать все по новой…..блинннннн!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

      Ответить
  6. Добрый вечер!У вас есть видео заполнении страниц,в частности интересует правильное заполнение.,что означает заголовок 1,2,3,абзац

    Ответить
    • Спасибо,вчера смотрел,там,что-то о семантике.,из-за плагина yoast seo,голова кругом идёт,устал подстраиваться,чтоб красных кружочков не было,подсказки типо во «втором заголовке» нет ключевого слова,заставляют перекапывать,кучу информации-что это за «второй заголовок»,а ещё ж оно жирнее шрифт становиться,что может запутать читателя..

      Ответить
    • Так упираться и не следует, все от статьи зависит. Второй заголовок — это заголовок второго уровня в теге Н2 обычно. Им разделяют текст по смыслу, как в книгах — Глава такая-то. А жирный — это стили надо править

      Ответить
  7. 11:40 Включив все галки в «Настройки файрволла (брандмауэра)» автоматично недаете работать плагину JetPack

    Ответить
  8. Спасибо Вам за столь подробное видео. Вместе с тем на многих хостингах, к примеру взять тот же Fozzy уже установлена базовая защита, в связи с чем плагин может дублировать ряд защитных функций хостинга. У меня допустим скорость в pagespeed падает примерно на 30% при данной настройке, при том что я не трогую защиту от бутфорс атак и фаеровол.

    Ответить
    • Пожалуйста. А что понимается под базовой защитой? На Фоззи точно не ничего подобного, у самого там сайты работают

      Ответить
  9. Спасибо Артем, как раз тебе писал, что мне не хватает этого видео, для закрытия всех вопросов. Единственное, с того времени плагин обновился. Появились некоторые пункты в основных настройках фаервола, которых в видео не было.

    Completely Block Access To XMLRPC: Check this if you are not using the WP XML-RPC functionality and you want to completely block external access to XMLRPC.

    Disable Pingback Functionality From XMLRPC: If you use Jetpack or WP iOS or other apps which need WP XML-RPC functionality then check this. This will enable protection against WordPress pingback vulnerabilities.

    Block Access to debug.log File: Check this if you want to block access to the debug.log file that WordPress creates when debug logging is enabled.

    Первые 2, наверно разъединили сделав более тонкую блокировку удаленного доступа, кстати, а что это?
    А последний, неизвестен.
    Можешь вкратце описать за что они отвечают, спасибо! 🙂

    Ответить
    • А, и во вкладке 5G, добавился режим 6G. Судя по описанию, улучшенная версия 5G, которая меньше карябает htaccess. Стоит ли ей пользоваться, каково твое мнение?

      Ответить
    • Completely Block Access To XMLRPC: Check this if you are not using the WP XML-RPC functionality and you want to completely block external access to XMLRPC. Полная блокировка XMLRPC

      Disable Pingback Functionality From XMLRPC: If you use Jetpack or WP iOS or other apps which need WP XML-RPC functionality then check this. This will enable protection against WordPress pingback vulnerabilities. Частичная блокировка, для работы Jetpack

      Block Access to debug.log File: Check this if you want to block access to the debug.log file that WordPress creates when debug logging is enabled. Блокировка к файлу debug.log если включена отладка

      6G у меня включен иногда

      Ответить
  10. Сложный пароль теперь кнопкой генерируется прямо в настройках WP. Через этот плагин п у меня не поменялся

    Ответить
  11. Лучшее видео из всех в сети!!! Артем подскажите в разделе защита файловой системы почему то не получается изменить текущие разрешения на рекомендованные (0777 на 0775) в чем может быть проблема???

    Ответить
    • Скорее всего у вас на хостинге так установлено, напишите в поддержку, пусть посмотрят

      Ответить
    • WPRUSe · Финты WordPress Проблема в том что это на локалке даже нельзя поменять (

      Ответить
    • Ну так не бывает, что не то с настройками сервера. На локалке все должно меняться

      Ответить
    • Ну так не бывает, что не то с настройками сервера. На локалке все должно меняться

      Ответить
  12. Спасибо, Артём за подробный обзор плагина, хотелось бы услышать от Вас обзор плагина iThemes Security

    Ответить
    • Пожалуйста! Дак это аналогичный плагин, ну при случае сделаю

      Ответить
  13. Привет. Я сделал перенаправление на https и этот плагин перестал меня пускать в админку wordpress. как его теперь настроить чтобы в дальнейшем все было нормально?

    Ответить
    • Привет! Попробуй удалить плагин и по новой установить

      Ответить
    • Спасибо. На Fozzy посоветовали папку с плагином переименовать (old в конце названия удалить), они его отключали чтобы я мог в админку зайти. Пока все работает, мож я сам где-то затупил. В любом случае спасибо за Ваши уроки, делаю по ним себе сайт. Вроде получается.

      Ответить
    • Ну можно и так сделать, на эту тему даже видео есть на канале

      Ответить
  14. Супер плагин, Супер обзор. Спасибо!!!
    Сделал всё как на видео. Но как быть если сайт УЖЕ взломан?(рассылает спам)

    Ответить
    • Пожалуйста! Лечить только, но лечение это тот еще гемор, приходится руками все файлы проверять

      Ответить
  15. Не могу никак в защите файловой системы, установить рекомендуемые разрешения! Нажимаю на кнопку — «установить рекомендуемые разрешения» — страница обновляется, но ничего не изменяется. Как еще можно изменить эти значения?

    Ответить
    • На хостинге разве что. Или попросите поддержку хостинга нужные разрешения на нужные файлы установить

      Ответить
  16. Согласна! Это лучший обзор! Вы меня убедили подписаться на ВАС)))), ибо такого разумного подхода не встречала! Все доступным языком рассказано, ничего лишнего, все по теме. Даже такой чайник как я понял! Спасибо.

    Ответить
    • У Артема вообще по моему лучшие обзоры на Ютюбе касаемо вордпресс и «всего такого»

      Ответить
  17. Плагин, кстати, тоже обновился и там некоторые функции новые появились. Вопрос — а имеил, который везде по умолчанию прописывается админ@домен сайта — где проверяется эта почта?

    Ответить
    • Этот емайл берется из настроек сайта (Настройки — Общие), что там написано, то и будет

      Ответить
    • те он по сути не работает, и надо менять или делать почту с таким мылом или любой рабочий адрес подставлять? И если второе, то куда надо вставить мыло, чтобы оно изменилось во всех настройках вп и плагинов?

      Ответить
    • админ@домен сайта ? Да, это виртуальный такой адрес, для правильной работы почты. Мыло меняется Настройки — Общие

      Ответить
    • там если сменить во всем вуу и вп изменится или надо все вручную будет менять?

      Ответить
    • Это глобальная настройка, изменили один раз — поменялось везде

      Ответить
  18. Обновил префикс таблиц, сайт полетел к хуям. Ладно хоть резервную копию сделал…

    Ответить
    • Блядь, я сам обосрался… Да вроде язык выбрал русский, выдал инфу что ВП уже стоит и залогинело в админку — всё норм…

      Ответить
  19. Может кому пригодится (если не с нуля ставите, а меняете, например):
    в firewall 5g и 6g пишут, что
    Дополнительным преимуществом применения брандмауэра 6G на вашем сайте является то, что он был протестирован и подтвержден людьми PerishablePress.com как оптимальный и наименее разрушительный набор правил безопасности .htaccess для общих сайтов WP, работающих на сервере Apache или аналогичных ,
    Поэтому правила брандмауэра 6G не должны влиять на общую функциональность вашего сайта, но если вы хотите, вы можете сделать резервную копию своего файла .htaccess, прежде чем продолжить.

    А смена ссылки входа имеет примечание Если вы размещаете свой сайт на WPEngine или провайдере, который выполняет кеширование сервера, вам нужно попросить пользователей поддержки хоста НЕ кэшировать вашу переименованную страницу входа.
    еКст если сменить домен сайта, то эта защита работать перестает, можно по вп админ зайти тоже

    Если забанить сам себя можно зайти с другого браузера с анон, у меня такое было однажды) поэтому лучше добавить сообщение, что ошибка логина или с 3х авторизаций чуть увеличить.

    Ответить
  20. Есть плагин Stream , который мониторит всю движуху на сайте и работает по принципу бортового самописца. Там настроек совсем чуть чуть, но было бы интересно хотя бы базовые какие-то знания иметь что ботом делать с той информацией, если вдруг что-то будет не так. Сделайте пожалуйста доброе дело — обзор как-нибудь 🙂

    Ответить
  21. СПАСИБО за подробное объяснение — настроил 220 дальше ( чет Славик я очкую)

    Ответить
    • Все что угодно может быть, кеш не обновился, файлы не догрузились или просто не смогли загрузиться. потому что им через плагин запретили это делать. Отключайте плагин и проверяйте

      Ответить
  22. Здравствуйте, спасибо за канал. Зачем закрывать хотлинки ? Ведь паук засчитывает это как внешнюю ссылку на сайт …
    Что хорошо для SEO

    Ответить
    • Доброго! Хотлинки обычно закрывают, чтобы сторонние ресурсы не могли использовать их. Например, на стороннем сайте выводятся картинки с вашего сайта…
      А насчет сео не уверен, что это правильно

      Ответить
  23. Здравствуйте,спасибо за обзор.поясните плиз как забить в чёрный список диапазон айпишников.я чёт не догнал про маску. я чайник!Чтобы указать диапазон IP-адресов, используйте маску «*».К примеру Диапазон IP: 555.555.55.5 — 555.555.555.555 Спасибо

    Ответить
  24. Установил себе в магазин этот плагин безопасности, настроил. Но какая-то настройка блокирует оплату, т.е. не дает перейти на платежный шлюз.. Не могу понять какую именно настройку нужно отключить. Если деактивирую плагин, все начинает работать, платежи проходят. Использую плагин WebMoney для приема платежей.
    Помогите решить вопрос, если не затруднит

    Ответить
    • Тут только методом тыка, отключать настройки по очереди и проверять

      Ответить
    • Так и сделал. В итоге полностью скинул все настройки и начал заново. В итоге все заработало. В чем был затык, так и не понял.

      Ответить
  25. Есть у Вас видео как можно определить ip чтобы его потом заблокировать?

    Ответить
  26. Спасибо вам большое за этот обзор!

    У меня вопрос по плагину WP Security. В последнее время он стал себя вести очень странно, раньше таких проблем не было. WP Security стал создавать кучу бэкапов. Все это забило дисковое пространство на хостинге под завязку. Работа на сайте встала. Ничего загрузить не удается соответсвенно. Ранее такого не наблюдалось никогда — первый раз произошло пару недель назад.

    Как чистить дисковое пространство и где хранятся бэкапы — я не знаю. Посоветуйте, что можно сделать. Как отключить эти постоянные создания резервных копий и как почистить диск.пространство? Спасибо!

    Ответить
    • Доброго! Значит у вас настроено создание бекапов темы. Все бекапы хранятся на хостинге, их надо выгружать или удалять периодически.
      Проверьте настройки работы с базой данных
      Папка с бекапами wp-content/aiowps_backups
      Проверьте этот момент

      Ответить
  27. Здравствуйте, Артем, вчера настроила WP Security по этому видео, теперь при обращении к сайту показывает, что попытка не удалась — Firefox не может установить соединение с сервером 127.0.0.1. Как это починить?

    Ответить
    • переименовала папку плагина через ispпанель — стал виден сайт, но в админку так и не смогла сама зайти, пока тех.поддержка пароль мне не обновили… буду разбираться с настройками плагина, устанавливать заново.

      Ответить
  28. Добрый день! Пытался повторить ваши настройки. На вкладке «Защита файловой системы» мне выдало это сообщение (This plugin has detected that your site is running on a Windows server.
    This feature is not applicable for Windows server installations.)
    Подскажите, как мне поменять права доступа к папкам и файлам? В настоящее время работы с сайтом ведутся на localhoste.

    Ответить
    • Добрый! Видимо только через хостинг. Вам плагин говорит что у вас сервер на Windows работает, а на таких серверах все по другому настраивается. Спросите в поддержке хостинга

      Ответить
  29. Привет! Спасибо за видео. Вопрос, этот плагин нужно устанавливать после того как сделал сайт локально на компе или можно его установить перед натяжкой темы на вордпресс, не возникнул ли у меня проблемы при выгрузке сайта на хостинг?

    Ответить
    • Привет! Можно уже на рабочем проекте делать, на локалке не обязательно

      Ответить
  30. 404 ошибку включаете, а как интересно боты яши и гугла будут смотреть ?

    Ответить
    • Никак, они этого не видят, это внутренний лог плагина, просто для информации что вот есть такие ошибки с такого айпи

      Ответить
    • я кто му, что если поставить бан на 404 ошибку, боты будут туда залетать ))

      Ответить
    • Я смотрел обзор про Wordfence 4-х летней давности, там говорилось, что это единственный плагин, который сверяет файлы сайта плагинов, тем и ВП с репозиторием, и в случае изменений может прямо внутри плагина открывать файл и подчеркивать измененный код, с функциями удаления, правки и игнора.
      Я недавно скачал, там сто обновлений прошло, все по другому, не слова по русски и ничего не понятно. И обзоры на ютубе либо старые, либо на иностранных языках.

      Ответить
    • Ну да, сей плагин умеет такое, попробую сделать если подобный обзор сильно нужен

      Ответить
  31. Спасибо Артему! Подписался на канал, очень поучительные видео.
    Довел балл до 240, но при загрузке картинок (гружу через Imsanity) стала выскакивать http ошибка. При отключении плагина все ОК. Однозначного ответа в сети не нашел((
    Подскажите пожалуйста что исправить? Спасибо!

    Ответить
    • Скорее всего что-то плагином отключили. Тут только методом тыка отключать настройки в WP all Security и смотреть какая мешает

      Ответить

Добавить комментарий

%d такие блоггеры, как: