Описание
ЛУЧШИЙ ПЛАГИН БЕЗОПАСНОСТИ И БРАНДМАУЭР ДЛЯ WORDPRESS
All-in-One Security (AIOS) — это плагин безопасности, разработанный специально для WordPress, который предоставлен вам командой UpdraftPlus.
Клиенты любят All-In-One Security, потому что он прост в использовании и многое делает бесплатно.
All-In-One Security предоставляет вам Инструменты защиты входа, чтобы держать ботов на расстоянии и защитить ваш сайт от атак методом перебора.
Наш Web Application Firewall обеспечивает автоматическую защиту от угроз безопасности.
Функции защиты контента защищают то, над созданием чего вы так упорно трудились; All-In-One Security устраняет спам в комментариях и предотвращает кражу вашего контента другими веб-сайтами с помощью таких функций, как защита от iFrame и защита от копирайтинга.
Все еще сомневаетесь?
- В настоящее время мы являемся единственным плагином безопасности WordPress с 5-звездочным пользовательским рейтингом на более чем 1 миллионе установок.
- Наша команда безопасности ведет список известных эксплойтов, активно создает средства защиты от них и одновременно выпускает их в виде новых правил брандмауэра для бесплатных и платных клиентов.
- Мы уже являемся номером один в мире по резервному копированию, поэтому вы знаете, что можете доверить нам и безопасность вашего сайта.
НАБОР ФУНКЦИЙ БЕЗОПАСНОСТИ ВХОДА
Защитите себя от атак методом перебора и держите ботов на расстоянии. All-In-One Security поднимает стандартные функции безопасности входа в WordPress на совершенно новый уровень.
- Соответствует рекомендациям. All-In-One Security определяет, имеет ли учетная запись имя пользователя по умолчанию «admin» или у пользователя одинаковые логин и отображаемое имя, предлагая пользователю изменить это для обеспечения большей безопасности.
- Скрытие страницы входа в систему от ботов: Настройте пользовательский URL для страницы входа в систему WordPress ‘Admin’, чтобы ботам было сложнее ее найти.
- Изменить префикс
wp_
по умолчанию: хакеры используют автоматизированный код для атаки на веб-сайты, подобные вашему. Усложните им жизнь и защитите свой сайт с помощью этой простой, но эффективной функции безопасности AIOS. - Блокировка входа: Внешние пользователи, совершившие несколько попыток входа, могут быть заблокированы на заданный период времени. Вы также можете заблокировать пользователей с недействительными именами. Просмотрите список всех заблокированных пользователей и разблокируйте их одним щелчком мыши.
- Отчетность: All-In-One Security предоставляет обширную информацию о пользователях веб-сайта. Просматривайте активность по имени пользователя, IP-адресу, датам и времени входа и выхода из системы. Просмотрите список пользователей, вошедших в систему в данный момент, и список всех неудачных попыток входа.
- Принудительный выход из системы. Убедитесь, что пользователи не остаются в системе на неопределенный срок. С помощью All-In-One Security вы можете принудительно вывести из системы для всех пользователей по истечении заданного периода времени.
- Верификация роботом: Для дополнительной безопасности и предотвращения спам-регистраций внедрите на страницы регистрации турникет Cloudflare, Google reCAPTCHA, простую математическую CAPTCHA или honeypot, или включите вместо этого ручное одобрение учетных записей пользователей.
- Остановка перечисления пользователей: запретить внешним пользователям и ботам получать информацию о пользователях через постоянную ссылку автора.
- Двухфакторная аутентификация. All-In-One Security TFA поддерживает Google Authenticator, Microsoft Authenticator, Authy и многие другие.
- Инструмент для определения стойкости пароля: рассчитывает, сколько времени потребуется для взлома вашего пароля методом грубой силы.
- Общая блокировка посетителей Переведите ваш сайт в «режим обслуживания» и заблокируйте внешний интерфейс для всех посетителей. Это может быть полезно при выполнении внутренних задач, таких как обновление сайта или исследование угроз безопасности.
- Расширенная функция безопасности WordPress Соли: All-In-One Security добавляет 64 новых символа в WordPress Соли и изменяет их еженедельно, что еще больше усложняет задачу хакеров по взлому паролей WordPress ваших пользователей.
БРАНДМАУЭР & ПАКЕТ БЕЗОПАСНОСТИ ЗАЩИТЫ ФАЙЛОВ
Брандмауэр веб-приложений (WAF) — это первая линия обороны вашего сайта, защищающая его путем мониторинга трафика и блокировки вредоносных запросов.
- Постепенная активация настройки брандмауэра: они варьируются от базовых, промежуточных и продвинутых.
- Автоматическая защита от новейших угроз: Наша команда ведет список известных эксплойтов, активно создавая средства защиты от них, которые затем выпускаются в виде новых правил брандмауэра для бесплатных и платных клиентов.
- Черный список 6G: All-In-One Security включает правила брандмауэра ‘Черный список 6G’, защищая ваш сайт от известного списка вредоносных URL-запросов, ботов, спам-рефереров и других атак (любезно предоставлено Perishable Press).
- Защита от поддельных ботов Google. Боты, выдающие себя за сканеры Google, могут украсть ваш контент и засорить вашу веб-страницу спамом в комментариях. Защититесь от него с помощью брандмауэра веб-приложений All-In-One Security.
- Функциональность черного списка: Запрет пользователей по IP-адресу, диапазону IP-адресов или путем указания пользовательских агентов.
- Предотвращение DDOS-атак: не позволяйте злоумышленникам выполнять DDOS-атаки через известную уязвимость в функции проверки уведомлений WordPress XML-RPC.
- Предотвращение хотлинкинга изображений. Защитите пропускную способность сервера и контент вашего веб-сайта, запретив другим сайтам использовать ваши изображения с помощью хотлинкинга.
- Защита от межсайтового скриптинга (XSS): All-In-One Security предотвращает внедрение злоумышленниками вредоносного скрипта на ваш сайт через специальный файл cookie.
- Обнаружение изменений файлов: Сканеры безопасности предупреждают вас об изменениях файлов в системе WordPress, чтобы вы могли понять, является ли изменение законным или подозрительным, и провести соответствующее расследование.
- Запрет редактирования файлов PHP: Защитите свой PHP-код, отключив возможность редактирования файлов в области администрирования WordPress.
- Оповещения о настройках разрешений: Определите файлы или папки, в которых настройки разрешений небезопасны, и исправьте их одним щелчком мыши.
- Возможность создания пользовательских правил: Опытные пользователи могут добавлять пользовательские правила для блокирования доступа к различным ресурсам на вашем сайте.
- Предотвращение доступа: Предотвращение доступа внешних пользователей к файлам readme.html, license.txt и wp-config-sample.php вашего сайта WordPress.
ПАКЕТ БЕЗОПАСНОСТИ ЗАЩИТЫ СОДЕРЖИМОГО
Избавьтесь от спама, защитите свой контент WordPress и свой рейтинг в поисковых системах с помощью этих важных функций безопасности от All-In-One-Security.
- Предотвращение спама в комментариях : Веб-страницы, засоренные спам-комментариями, наносят ущерб вашему бренду, влияют на пользовательский опыт и SEO.
Система All-In-One Security останавливает спам в самом его источнике, предотвращая появление комментариев с других доменов. AIOS автоматически и навсегда блокирует IP-адреса спамеров. Владельцы сайтов могут использовать Cloudflare Turnstile или Google reCAPTCHA для уменьшения спама в комментариях и блокировки вредоносных пользователей одним щелчком мыши. - Защита от iFrame: предотвращение воспроизведения вашего контента другими сайтами через «iFrame» — полезная функция безопасности, которая защищает вашу интеллектуальную собственность и посетителей вашего сайта.
- Защита от копирования: запретите пользователям красть ваш контент, отключив функцию щелчка правой кнопкой мыши, выбора и копирования текста.
- Отключение RSS и Atom Feeds: RSS и Atom Feeds могут использоваться ботами для «клонировать» содержимого вашего сайта и представления его как своего собственного. Данная функция предотвращает это, отключая RSS и Atom Feeds на вашем сайте.
НОВЕЙШИЕ И ОБЩИЕ ФУНКЦИИ БЕЗОПАСНОСТИ
- Журнал аудита: журнал аудита All-In-One Security дает администраторам возможность просматривать события, происходящие на их сайте WordPress. Они могут увидеть, не происходит ли что-то странное, и обнаружить риски безопасности. Например, вы можете узнать, был ли плагин или тема добавлены, удалены, обновлены, активированы или деактивированы без вашего ведома или согласия.
ЗАИНТЕРЕСОВАНЫ В AIOS PREMIUM?
Для еще большей защиты рассмотрите вариант All-In-One Security (AIOS) Premium. Это один из самых эффективных и комплексных плагинов WordPress Security на рынке, который расширяет возможности «Бесплатного»:
СКАНИРОВАНИЕ ВРЕДОНОСНЫХ ПРОГРАММ (только Премиум)
Случайно обнаружить, что безопасность вашего сайта нарушена из-за вредоносного ПО, будет слишком поздно.
Вредоносное ПО может оказать существенное влияние на рейтинг в поисковой выдаче. Оно может замедлить работу вашего сайта, получить доступ к данным клиентов, отправлять нежелательные электронные письма, изменять содержимое вашего сайта или препятствовать доступу пользователей к нему.
- Предупреждает о внесении в черный список: поисковые системы могут очень быстро внести в черный список сайт, взломанный с помощью вредоносного кода. All-In-One Security Premium ежедневно отслеживает статус вашего сайта и предупреждает вас, если вы попали в черный список.
- Уведомление, если что-то не так: мы уведомим вас о любых проблемах с вредоносным ПО в течение 24 часов, чтобы вы могли принять меры, пока не стало слишком поздно.
- Мониторинг времени отклика: вы сразу же узнаете, если время отклика веб-сайта ухудшится.
- Мониторинг времени работы: All-In-One Security проверяет время работы сайта каждые 5 минут. Мы уведомим вас, если ваш сайт/сервер упадет.
- Гибкое управление: регистрируйте и удаляйте сайты WordPress с проверки безопасности в любое время.
- Отчеты о безопасности: отчеты по безопасности доступны на странице «Моя учётная запись» или непосредственно по электронной почте.
УДОБНАЯ ДВУХФАКТОРНАЯ АУТЕНТИФИКАЦИЯ (ТОЛЬКО ПРЕМИУМ)
TFA доступен в наших бесплатных пакетах. All-In-One Security Premium обеспечивает совершенно новый уровень контроля над тем, как применяется TFA.
- Настройка для конкретной роли: сделайте TFA обязательным для определенных ролей, например, для ролей администратора и редактора.
- Требовать TFA после заданного периода времени: например, вы можете потребовать, чтобы все администраторы имели TFA, как только их учётной записи исполнится неделя.
- Доверенные устройства: запрашивайте TFA через заданное количество дней для доверенных устройств, а не при каждом входе в систему.
- Анти-бот защита: опция для скрытия существования форм на страницах входа в WooCommerce, если JavaScript не активен.
- Настройте макет дизайна: настройте дизайн TFA таким, чтобы он соответствовал вашему существующему веб-дизайну.
- Аварийные коды: создайте одноразовый аварийный код, чтобы разрешить доступ, если ваше устройство потеряно.
- Совместимость с мультисайтами: совместимость с многосайтовыми сетями и дочерними сайтами WordPress.
- Поддержка форм входа: поддержка WooCommerce и Affiliates-WP, Elementor Pro, bbPress и всех сторонних форм входа без необходимости дополнительного кодирования. Также совместим с ‘Theme my Login’
УМНАЯ БЛОКИРОВКА 404 (ТОЛЬКО ПРЕМИУМ)
Ошибки 404 возникают, когда кто-то неправильно вводит URL-адрес, но их также генерируют хакеры, ищущие слабые места в системе безопасности вашего сайта.
- Блокировка ботов, выдающих 404 ошибки: All-In-One Security Premium автоматически и навсегда блокирует IP-адреса ботов и хакеров на основании количества выдаваемых ими 404 ошибок.
- Отчетность: удобные диаграммы позволяют узнать, сколько 404 ошибок произошло и какой IP-адрес или страна их создает
БЛОКИРОВКА ПО СТРАНАМ (ТОЛЬКО ПРЕМИУМ)
Большинство атак на безопасность исходит из нескольких стран, поэтому большинство нападений можно предотвратить с помощью нашего инструмента блокировки по странам.
* Блокировать трафик на основе страны происхождения: All-In-One Security Premium использует базу данных IP-адресов, точность которой составляет 99,5%.
* Блокировать трафик на определенные страницы: Блокируйте доступ ко всему сайту WordPress или к отдельным страницам.
* Белые списки некоторых пользователей из заблокированных стран: Внесите IP-адреса или диапазоны IP-адресов в белый список, даже если они относятся к заблокированной стране.
ПРЕМИУМ ПОДДЕРЖКА
- Неограниченная поддержка: персональная поддержка по электронной почте по мере необходимости.
- Самое быстрое время ответа: мы предлагаем время ответа в течение трех дней. 99% клиентов All-In-One Security Premium получают ответ на
свой запрос в течение 24 часов.
Поддержка плагина
- Если у вас есть вопрос или проблема с плагином All-In-One Security, опубликуйте запись на форуме поддержки, и мы вам поможем. Премиум-клиенты могут напрямую обращаться с вопросами к команде через сайт aiosplugin.com
Разработчики
- Если вы разработчик и вам нужны дополнительные хуки или фильтры для этого плагина, сообщите нам об этом.
Переводы
- Плагин All-In-One Security может быть переведен на любой язык.
В настоящее время доступны переводы:
- Английский
- Немецкий
- Испанский
- Французский
- Венгерский
- Итальянский
- Шведский
- Русский
- Китайский
- Португальский (Бразилия)
- Персидский
Политика Конфиденциальности
Этот плагин может собирать IP-адреса в целях безопасности, например, для защиты от угроз входа в систему методом перебора и вредоносной активности.
Собранная информация хранится на вашем сервере. Никакая информация не передается третьим лицам или на удаленные серверы.
Применение
Перейдите в меню настроек после активации плагина и следуйте инструкциям.
Блоки
Этот плагин предоставляет 1 блок.
- Twofactor User Settings
Установка
Чтобы начать делать свой сайт WordPress более безопасным:
- Загрузите файл all-in-one-wp-security.zip со страницы Плагины->Добавить новый в панели администратора WordPress.
- Активируйте плагин используя меню ‘Плагины’ в WordPress
- Перейдите в меню «Настройки» в разделе «Безопасность WP» и начните активировать функции безопасности плагина.
Часто задаваемые вопросы
-
Как поддерживается система All-In-One Security (AIOS)?
-
Пользователи «бесплатной» AIOS могут получить поддержку на этой странице. Выберите «Поддержка» на вкладке выше и опубликуйте тему. Мы стараемся отвечать на все запросы в течение 24 часов в течение рабочей недели.
-
Совместим ли All-In-One Security с другими плагинами?
-
Да. AIOS работает без проблем с большинством популярных плагинов WordPress.
-
Регулярно ли обновляется All-in-One-Security?
-
Да. Безопасность WordPress — это то, что развивается с течением времени. Мы регулярно обновляем AIOS новыми функциями безопасности (и, при необходимости, исправлениями), поэтому вы можете быть уверены, что ваш сайт будет пользоваться новыми методами защиты до тех пор, пока они вам нужны.
-
Будет ли All-In-One Security замедлять работу моего сайта?
-
Нет.
-
Решение за вами. «Бесплатный» AIOS включает в себя брандмауэр веб-приложений, комплексные средства защиты входа в систему, включая двухфакторную аутентификацию, и все последние рекомендуемые методы и способы обеспечения безопасности WordPress.
Но если ваш WordPress-сайт является бизнес-сайтом, если он демонстрирует то, чем вы занимаетесь, или кто вы есть, мы обычно рекомендуем AIOS Premium. Цены начинаются всего от $70 в год. -
AIOS Premium сканирует ваш веб-сайт WordPress на наличие вредоносных программ, а также отслеживает время отклика и время безотказной работы вашего сайта, уведомляя вас о любых проблемах в течение 24 часов. Клиенты AIOS Premium также получают практическую поддержку по электронной почте (а не через форумы поддержки WP).↵
Дополнительные инструменты безопасности включают Блокировку Страны, Умную блокировку ошибок 404 и Расширенную Двухфакторную Аутентификацию.↵
Дополнительную информацию можно найти на нашем веб-сайте All-In-One Security. -
В интернет-магазине приобретите предпочитаемую подписку. После завершения покупки вам на почту будет отправлена ссылка для скачивания плагина. Вы также можете перейти по ссылке на странице «Моя учетная запись».↵
После загрузки zip-файла установите и активируйте плагин через WP Admin-> Плагины-> Добавить новый-> Загрузить плагин.↵
Премиум расширяет бесплатную версию. Поэтому вы должны оставить бесплатную версию установленной и активной. Вам также будет предложено ввести имя пользователя и пароль AIOS для подключения вашего сайта к лицензиям. Это позволит плагину получать обновления. -
Да, вам необходимо установить и активировать бесплатную версию плагина перед установкой Premium. Плагин Premium — это дополнение, которое требует наличия бесплатной версии.
-
Работает ли All-In-One Security с многосайтовыми сетевыми установками?
-
Да, AIOS Premium совместим с мультисайтами WordPress. Для многосайтовых сетей защита будет применяться к сети в целом, а консоль и настройки будут доступны на главном сайте многосайтовой сети WordPress.
-
Может ли плагин безопасности WordPress остановить все атаки на мой сайт?
-
Не существует 100% гарантии, что плагин безопасности сможет защитить от всех атак, так как всегда существует вероятность появления неизвестных уязвимостей WordPress или других непредвиденных факторов, а злоумышленники всегда стремятся разработать новые способы обхода защиты. Тем не менее, All-In-One Security обеспечивает хорошую защиту от известных методов атак, и постоянно развивается для мониторинга и улучшения защиты.
-
Работает ли All-In-One Security на всех серверах и хостах?
-
AIOS должен быть совместим с большинством хостов, если только хост специально не ограничил использование плагинов безопасности. Аналогично, некоторые функции могут не работать на некоторых серверах, особенно на платформах Windows/IIS. Функции, использующие файл ‘.htaccess’, не будут применяться на сервере Windows IIS или сервере NGINX (но в настоящее время ведется разработка по переносу этих средств защиты на все серверы).
-
Для сайтов разработки и тестирования требуется собственная лицензия, если требуются обновления плагина.↵
Однако эти сайты могут быть отключены от лицензии, когда они выполнили свою задачу. Вы можете отключить лицензию через страницу WP Admin->Plugins, и она будет доступна для переназначения на другой сайт. -
Соответствует ли плагин All In One Security & Firewall GDPR и другим законам о конфиденциальности?
-
Подробнее о соответствии GDPR читайте здесь: https://aiosplugin.com/privacy-policy/ .
Отзывы
Участники и разработчики
«All-In-One Security (AIOS) – Security and Firewall» — проект с открытым исходным кодом. В развитие плагина внесли свой вклад следующие участники:
Участники«All-In-One Security (AIOS) – Security and Firewall» переведён на 15 языков. Благодарим переводчиков за их работу.
Перевести «All-In-One Security (AIOS) – Security and Firewall» на ваш язык.
Заинтересованы в разработке?
Посмотрите код, проверьте SVN репозиторий, или подпишитесь на журнал разработки по RSS.
Журнал изменений
5.3.8 — 16/Dec/2024
- FIX: Updated the plugin notices to fix translation related fatal errors.
5.3.7 — 5/Dec/2024
- TWEAK: Change response code for blocked unauthorized REST requests to 403.
- НАСТРОЙКИ: временно удалено ведение журнала брандмауэра
5.3.6 — 3/Dec/2024
- FIX: Resolved an issue with the AIOS_Firewall_Resource class
5.3.5 — 24/Nov/2024
- FIX: Custom .htaccess rules are now properly escaped, with backslashes removed.
- FIX: Import settings failed when visitor lockout messages had text alignment or other formatting applied
- FIX: The audit log filter for event type now works correctly, even when the event type is translated into languages other than English
- FIX: Resolved text overflow in the blue box on the Settings > WP Version Info page
- FIX: Some user meta keys were not being removed after uninstalling the plugin
- FIX: Subsites no longer incorrectly detect the Database Prefix feature as active
- FIX: Prevented fatal errors from missing firewall resources, replacing them with debug log entries
- FIX: WordPress database error: BLOB, TEXT, GEOMETRY, or JSON columns cannot have a default value set
- FIX: The load_plugin_textdomain function is called during the init action, and translations are applied afterward
- FIX: Renamed login page is now using the WordPress translations
- TWEAK: Added a filter for PHP firewall rules templates
- НАСТРОЙКИ: обновлено поле кода страны для журналов аудита, теперь оно основано на IP-адресе (Premium)
- НАСТРОЙКА: улучшен текст на вкладке «Обнаружение 404»
- TWEAK: Moved the allowlist into the blacklist tab, and renamed it to «Block & Allow Lists»
- НАСТРОЙКИ: функция WP REST API перемещена на вкладку «Правила PHP»
- TWEAK: Refactored multiple command classes to use the new AJAX response helper method: Tools, File scan, Files, Settings, and Log commands classes
- НАСТРОЙКИ: обновлен пользовательский интерфейс для правил .htaccess, настройки Captcha и вкладок защиты файлов
- TWEAK: Added a note in Settings > Delete plugin settings tab
- TWEAK: Early calls to get_plugin_data() no longer require translations
- НАСТРОЙКИ: реорганизован класс команд брандмауэра для использования вспомогательного метода ответа
- TWEAK: Added a constant AIOS_DISABLE_HTTP_AUTHENTICATION. Define this in your wp-config.php to disable HTTP authentication
5.3.4 — 21/Oct/2024
- FEATURE: Added a HTTP authentication feature that allows protecting the site with a username/password login.
- FIX: Added a new method to reset the firewall rules under general settings
- FIX: Resolved the issue with post cache which caused an issue with comment spam prevention
- TWEAK: Added a helper class for API requests
- НАСТРОЙКИ: удалены пробелы в конце предложений
5.3.3 — 16/Sep/2024
- Свойство: добавлена опция captcha для классической гостевой страницы оформления заказа WooCommerce.
- ИСПРАВЛЕНО: устранены проблемы с адаптивным макетом логотипа уведомления на панели управления на мобильных устройствах.
- ИСПРАВЛЕНО: виджет Turnstile captcha отображался несколько раз
- FIX: Solved memory issue for reading larger host system log file
- FIX: Removed .htaccess options from the Settings menu on Nginx, IIS and unsupported web servers
- FIX: Resolved UX popup issue and firewall allowlist sanitization
- FIX: Resolved an issue where bulk table actions were still executed even if the confirmation dialog was canceled.
- FIX: Added a null check to prevent PHP warnings in firewall rules
- TWEAK: Ajaxified the actions in the settings, filesystem security, spam prevention and user security menu
- TWEAK: Added Ajax support to list tables and the audit log
- TWEAK: Added CAPTCHA field to MemberPress forgot password and registration forms
- TWEAK: Excluded .htaccess tabs from settings if the server is not supported
- НАСТРОЙКА: обновлен пользовательский интерфейс правил брандмауэра и описание сканера вредоносных программ
- НАСТРОЙКА: изменен метод резервного копирования htaccess для генерации случайного имени файла
- НАСТРОЙКА: удален «запретить доступ к файлам WP по умолчанию» из .htaccess и добавлен «license.txt» в список удаления.
5.3.2 — 06/Aug/2024
- ИСПРАВЛЕНО: ошибка, позволявшая администраторам дочерних сайтов удалять журналы аудита других дочерних сайтов
- ИСПРАВЛЕНИЕ: отключен черный список на дочерних сайтах, поскольку брандмауэр на основе PHP в настоящее время применяется ко всему мульти-сайту
- FIX: An issue with getting the google bot ip ranges
- TWEAK: Added extra protections in place before modifying the .htaccess file
- TWEAK: Actions in the tools, firewall and scanner menu are now processed via AJAX
- НАСТРОЙКА: обрезаны начальные и конечные пробелы во входных данных на вкладке поиска WHOIS
- TWEAK: Added a confirmation pop-up when users clear records in the Debug Logs table
- TWEAK: Added captcha support for the MemberPress plugin
- TWEAK: Improved the UX of the WP REST API options
- НАСТРОЙКА: внутренние улучшения кода для повышения удобства сопровождения
- НАСТРОЙКА: обновлен менеджер функций для повышения производительности
- TWEAK: Fixed the issue of blank tables on mobile view
5.3.1 — 26/Jun/2024
- СВОЙСТВО: добавлена CAPTCHA для страниц/записей, защищенных паролем
- ИСПРАВЛЕНО: Captcha не отображается на странице регистрации BuddyPress
- FIX: WooCommerce logout issue when the renamed login page and login whitelist features are both enabled
- FIX: Missing CAPTCHAs when multiple WooCommerce login and register forms are on the same page
- FIX: Fixed an issue with the 404 detection actions
- ИСПРАВЛЕНО: проблема с пользовательским интерфейсом при использовании изображения QR-кода 2FA
- TWEAK: Added the attribute data-cfasync=»false» to the default captcha url to allow loading on Cloudflare Rocket Loader
- НАСТРОЙКА: Очистка записей таблицы блокировки входа через 90 дней для ограничения размера. Для изменения значения по умолчанию была добавлена константа AIOS_PURGE_LOGIN_LOCKOUT_RECORDS_AFTER_DAYS.
- НАСТРОЙКА: Обновлен текст о частоте использования сканера вредоносных программ с ежедневного на еженедельный
- НАСТРОЙКА: Обновлен пользовательский интерфейс измерителя надежности пароля для инструмента паролей
- TWEAK: Add a ‘Lock IP’ and ‘Blacklist IP’ link to the IP column of the audit log.
- TWEAK: Enhance fake Googlebot detection. In the case where gethostbyaddr fails, the firewall will fallback to checking against known Googlebot IP ranges
- НАСТРОЙКА: Обновите заголовок столбца таблицы «Постоянные заблокированные IP-адреса», чтобы он соответствовал другим таблицам
- НАСТРОЙКА: Предотвращение предупреждений, когда DISALLOW_FILE_EDIT уже был использован
- TWEAK: Fix instances of one translation function being used for multiple sentences
- НАСТРОЙКА: улучшен UX во время вызовов AJAX
- НАСТРОЙКА: Удалены дублированные описания спам-комментариев
5.3.0 — 01/May/2024
- СВОЙСТВО: добавлена функция массового принудительного выхода из системы для вошедших пользователей
- ИСПРАВЛЕНО: проблема с функцией выхода из системы WooCommerce на странице своей учетной записи, когда включена функция «метод перебора» на основе файлов cookie
- FIX: Warning undefined array key SCRIPT_FILENAME
- FIX: Custom redirection after login not working if url contains the redirect_to parameter
- FIX: List of administrator accounts not showing on the user security page
- FIX: Issue with cookie based bruteforce prevention solved if salt postfix feature is on.
- FIX: Fixed country field not showing in the 404 event logs (Premium)
- FIX: Fixed country field not showing in the smart 404 blocked IP log (Premium)
- TWEAK: Fixed translation issue not showing as per admin user set language instead of site settings
- TWEAK: Firewall upgrade changes are applied without access to the admin interface
- TWEAK: Change the labels for the switches to a more appropriate wording
- НАСТРОЙКА: в результатах сканирования файлов, их размеры отображаются в удобочитаемом формате
- НАСТРОЙКА: обновлено сообщение по умолчанию для попыток получить доступ к wp-admin
- НАСТРОЙКА: внутренний рефакторинг кода обновления для улучшения ясности кода.
- НАСТРОЙКА: перенесите функцию ‘Блокировать фейковых роботов Google’ в брандмауэр на основе PHP
- НАСТРОЙКА: убрано требование наличия хотя бы одного IP-адреса для включения «Черного списка», «Белого списка входа» и «Белого списка IP-адресов для блокировки входа».
- TWEAK: Added error message when a user tries to block their own IP on registration approval
- TWEAK: Added method to update badge on AJAX call
- НАСТРОЙКА: внутренний рефакторинг класса AIOWPSecurity_Utility_File для улучшения ясности кода
- НАСТРОЙКА: обновление содержимого сезонных уведомлений для 2024 года
5.2.9 — 06/Mar/2024
- FIX: Remove call to update_event_table_column_to_timestamp in update routine
- FIX: Remove call to wp_timezone() which is only available in WP 5.3+
5.2.8 — 05/Mar/2024
- FIX: The user check that affects the Duo authentication plugin
- ИСПРАВЛЕНИЕ: процедура обновления базы данных теперь запускается без необходимости посещения интерфейса администратора или каждого отдельного сайта в мульти-сайте
- FIX: Some settings in the firewall menu not resetting after deactivating and reactivating the plugin.
- TWEAK: Audit log and 404 events CSV export file date time column is now in a human readable format not unix timestamp
- TWEAK: Debug log table existing datetime field converted to timestamp to be timezone independent
- TWEAK: Global meta table existing datetime field converted to timestamp to be timezone independent
- НАСТРОЙКА: в таблице постоянных блоков существующее поле datetime преобразовано в timestamp, чтобы не зависеть от часового пояса
- НАСТРОЙКА: рефакторинг действий элементов списка для дальнейшего улучшения ясности кода
- НАСТРОЙКА: удалено меню администрирования черного списка, как было объявлено ранее
- НАСТРОЙКА: удалено меню администратора, как было объявлено ранее
- Дополнение: удалены различные вкладки меню администратора, как было объявлено ранее
- НАСТРОЙКА: хранить результат поиска IP-адреса для других типов записей в таблице блокировки входа в систему
- НАСТРОЙКА: обновление подсказки для обзора в нижнем колонтитуле
- НАСТРОЙКА: удалено ограничение максимального размера загружаемого файла до 250 МБ с помощью фильтра aiowps_max_allowed_upload_config
- НАСТРОЙКА: улучшеное обнаружение спама в комментариях, для меньшего влияния на другие формы
5.2.7 — 06/Feb/2024
- SECURITY: Added nonce checks to various list table actions to prevent a CSRF vulnerability. Thanks to dhakal_ananda for disclosing this defect. This would allow an attacker who persuaded a logged-in administrator to visit a specially crafted link to perform actions on the 404 event records.
5.2.6 — 06/Feb/2024
- SECURITY: Removed unnecessary use of the «tab» query parameter on various admin menu pages to prevent a non-persistent XSS vulnerability. Thanks to Matthew Rollings for disclosing this defect. (This would allow an attacker who deliberately targets you whilst logged in as an administrator and persuades you to visit a link he controls to inject unwanted scripts on a single visit to your AIOS admin page).
- СВОЙСТВО: добавлено событие выхода из системы в журналы аудита
- СВОЙСТВО: добавлена возможность удаления файла readme.html по умолчанию и файла wp-config-sample.php
- FIX: Correct some translation calls that were using the wrong text domain
- FIX: PHP notice caused by the file scanner being unable to read its data file
- FIX: Unlock request button was not showing and redirects to 127.0.0.1
- ИСПРАВЛЕНИЕ: ошибки базы данных для таблицы aiowps_login_lockdown во время установки плагина
- НАСТРОЙКА: рефакторинг пользовательского интерфейса 6G
- TWEAK: Added an option to set the Cloudflare Turnstile CAPTCHA theme
- TWEAK: Added CSS styling for audit log details column
- TWEAK: Dashboard critical feature status links fixed and only show features that can be enabled in a multisite subsite
- TWEAK: Deactivating the plugin now removes stored login info so on the next activation users are not force logged out
- TWEAK: Display json string instead of null if json_decode does not work for audit log details
- TWEAK: Event table existing datetime field converted to timestamp to be timezone independent
- НАСТРОЙКА: различные исправления для приведения кодовой базы в соответствие со стандартами кодирования
- НАСТРОЙКА: различные настройки, гарантирующие, что несколько предложений не передаются в одну функцию перевода
- TWEAK: Fix the broken UI for RSS and Atom firewall settings and added a more info box
- TWEAK: Fix the issue of unique ID in DOM
- НАСТРОЙКА: объединение вкладок «Имя пользователя» и «Отображаемое имя» в настройки безопасности пользователя
- НАСТРОЙКА: вкладка «Обнаружение 404» перенесена в меню администратора «Грубая сила»
- НАСТРОЙКА: вкладка «Редактирование файлов PHP» перемещена на вкладку «Защита файлов»
- НАСТРОЙКА: вкладка «Перечисление пользователей» перемещена на вкладку «Учётные записи пользователей» в меню безопасности пользователей
- НАСТРОЙКА: вкладка ‘WP Rest API’ перемещена в меню брандмауэра
- НАСТРОЙКА: вкладки «Защита от копирования» и «Рамки» перемещены в меню безопасности файловой системы
- НАСТРОЙКА: вкладка «Соль» перемещена в меню безопасности пользователя
- НАСТРОЙКА: вкладка «Диспетчер чёрного списка» перенесена в меню брандмауэра.
- НАСТРОЙКА: сброс пароля, удаление пользователей теперь фиксируется в журнале аудита
- НАСТРОЙКА: запретить блокировку IP-адреса 404, если на этом IP-адресе имеется текущая блокировка
- НАСТРОЙКА: унификация преобразования даты и времени с поддержкой часовых поясов пользователей
- TWEAK: Changed how empty data in ip lookup result is stored in the database
- НАСТРОЙКА: переработана страница меню брандмауэра, теперь на ней есть две вкладки для правил PHP и .htaccess
- TWEAK: Add captcha support for Contact Form 7
- TWEAK: Added a AJAX save settings and get features details badge function as part of ongoing work to add AJAX support to the plugin settings
- TWEAK: Enhance reset password email by adding IP info
- НАСТРОЙКА: удален несуществующий метатег imagetoolbar
- НАСТРОЙКА: в таблицах блокировки входа существующее поле datetime преобразовано в timestamp, чтобы не зависеть от часового пояса
- TWEAK: Code improvements — utilising WP_Error objects instead of arrays
5.2.5 — 25/Oct/2023
- SECURITY: On a multisite install, if using the AIOS feature for renaming and hiding the login page, a route existed for an attacker to discover the hidden login page, thus negating the usefulness of the feature. Thanks to Naveen Muthusamy for disclosing this defect.
- СВОЙСТВО: блокировка POST-запросов, содержащих пустые user-agent и referer
- СВОЙСТВО: добавлены данные обратного поиска IP-адреса в электронное письмо с уведомлением о блокировке входа в систему
- FIX: Prevent a fatal error when setting up the firewall if the host has disabled the function parse_ini_file
- FIX: Prevent the firewall message store from filling up with unused entries
- FIX: Prevent legitimate Googlebot traffic being blocked on sites where the gethostbyaddr function fails or is disabled
- ИСПРАВЛЕНО: проблема, из-за которой обновления MainWP не выполнялись корректно
- FIX: Prevent user enumeration via the REST API and oEmbed protocol
- FIX: User agent blacklist not matching all strings correctly
- FIX: Logged in user table not showing the correct information
- TWEAK: Improve comment spam detection by using hidden fields and cookies
- TWEAK: Login whitelist suggests both IPv4 and IPv6 addresses to whitelist
- Дополнение: действия в меню консоли теперь обрабатываются через AJAX
- TWEAK: Converted checkboxes in the admin menu pages to switches
- TWEAK: Add network_id and site_id column to debug logs table for differentiating logs between sites on multisite
- TWEAK: Combined various user admin menus into a new ‘User Security’ admin menu
- TWEAK: Export configuration filename now reflects the local timezone.
- TWEAK: Improve the UI/UX of the file scanner making way for future improvements
- Дополнение: изменен дизайн значков менеджера функций
- Дополнение: удалены различные вкладки меню администратора, как было объявлено ранее
- TWEAK: Add features that depend on other plugins to the feature manager conditionally
- TWEAK: Added a null check to function that removes wp meta info from scripts and styles src to prevent a PHP deprecation warning
- TWEAK: Audit log date and time are now displayed in the sites timezone
- Дополнение: предупреждение PHP о неопределенном ключе массива REQUEST_METHOD в файле rule-proxy-comment-posting.php
- Дополнение: когда TranslatePress активен, при выходе из системы через WooCommerce не должна отображаться страница 404, если включен параметр «переименовать страницу входа».
5.2.4 — 16/Aug/2023
- FIX: Ported firewall settings from disabling on upgrade
5.2.3 — 09/Aug/2023
- FIX: Fatal error «set_value() on null» when the firewall config is missing
- FIX: PHP notices when running under cron
- FIX: Revert change that caused the Brute force login whitelist to show the server IPs and not the users
- TWEAK: Add communication mechanism so that firewall can send data to WordPress
- Дополнение: удаление некорректных упоминаний файла .htaccess в правилах брандмауэра PHP
5.2.2 — 04/Aug/2023
- СВОЙСТВО: разрешающий список IP-адресов, которые обходят правила брандмауэра
- FIX: Fix get_class() on null fatal error when updating via ManageWP
- ИСПРАВЛЕНИЕ: уведомление об отсутствии файла или каталога, созданного файлом конфигурации брандмауэра
- ИСПРАВЛЕНИЕ: отправка письма об обновлении происходила только в том случае, если одно или несколько перенесенных правил были включены
- FIX: Fake Google bots are now blocked if bot server IP address does not resolve to a hostname
- FIX: Google reCaptcha now appears correctly on the WooCommerce checkout page
- FIX: Prevent Woocommerce auto login if manual registration approval is turned on
- FIX: Premium upgrade tab UI overlapping issue.
- ИСПРАВЛЕНО: разрешить управление режимом обслуживания через WP-CLI (Premium)
- FIX: Use the correct site id for login success events added to audit log table on Multisite
- ИСПРАВЛЕНО: добавлены отсутствующие возможности в список менеджеров функций
- ИСПРАВЛЕНО: предупреждение при использовании команды «Обновить все» через WP-CLI
- TWEAK: AIOS settings based IP address is now used instead of the REMOTE_ADDR server variable for multiple wrong 2FA code notification
- TWEAK: Added ‘aios_audit_log_record_event’ filter to allow events to not be recorded
- НАСТРОЙКА: улучшение структуры кода менеджера элементов функций для будущих изменений
- НАСТРОЙКА: белый список для входа в систему предлагает включить в белый список адреса IPv4 и IPv6.
- НАСТРОЙКА: переместили вкладку «Пользовательские правила» из раздела «Брандмауэр» на отдельную вкладку в разделе «Инструменты»
- Дополнение: переместили вкладку «Предотвратить хотлинкинг» на вкладку «Защита файлов» в меню «Безопасность файловой системы»
- Дополнение: все настройки CAPTCHA перенесены на вкладку «Настройки CAPTCHA» в меню «Грубая сила»
- Дополнение: вкладка «Инструмент пароля» перемещена в меню администратора «Инструменты»
- Дополнение: вкладка «Блокировка посетителей» перемещена в меню администратора «Инструменты»
- НАСТРОЙКА: вкладка «Приманка для регистрации пользователей» перенесена в меню администратора «Грубая сила»
- Дополнение: удалили «Таблицу активности учетной записи», поскольку эти записи также записываются в журнал аудита
- Дополнение: удалена вкладка «Неудачные записи входа в систему», как было объявлено ранее, теперь они записываются в журнал аудита
- НАСТРОЙКА: улучшение производительности кода таблицы списков
- Дополнение: удалено использование $_GET, $_POST, $_REQUEST из всех файлов шаблонов, что дает возможности для будущих улучшений
5.2.1 — 12/Jul/2023
- FIX: Include helper class file from loader
- TWEAK: Conditionally load TFA block JavaScript
5.2.0 — 10/Jul/2023
- SECURITY: Remove authentication data from the stacktrace before saving to the database. This defect meant that a site administrator had the potential, between releases 5.1.9 to 5.2.0 (which purges the existing data), to know what site users’ passwords are. This information has limited value (an admin can already reset anyone’s password) except insofar as the passwords may be re-used by users on other sites. In that «hostile admin» scenario, your site has other problems (since the hostile admin has a whole raft of equivalent ways of causing mischief to users, especially if not on multisite where a site admin is potentially not a super admin and may not be able to install or configure plugins). This changelog has been expanded in response to incorrect reports which suggested a wider problem (for example, they did not mention that the attacker needs to already be logged in as an admin to read the log, or that upgrading to 5.2.0 deletes the affected data).
- SECURITY: Set tighter restrictions on what subsite admins can do in a multisite.
- ИСПРАВЛЕНО: после редактирования файла сбрасываются исходные разрешения
- FIX: Corrected some broken links in the plugin
- FIX: Fatal error: cannot declare class
- ИСПРАВЛЕНИЕ: нормализация всех аргументов в трассировке стека
- FIX: Wrong login entries added to login activity table on multisite when user logs into subsite they don’t belong to.
- FIX: Too many redirects error for forced logout users solved
- TWEAK: For Cronjob, WP CLI and AIOS_DISABLE_EXTERNAL_IP_ADDR defined constant do not use external services for user IP addresses. Silenced api.ipify.org request failed warning.
- Дополнение: на странице сброса пароля отсутствует перевод и добавлена кнопка создания пароля для переименованной страницы входа в систему
- TWEAK: Added ‘aios_audit_log_event_user_ip’ filter to allow filtering of IP addresses in the audit log
- TWEAK: Added action hook «aios_reset_all_settings» for reset all settings.
- Дополнение: переименована страница входа в систему, на которой теперь есть выпадающий список смены языка, и другие изменения в соответствии с WordPress 6.2
5.1.9 — 09/May/2023
- ДЕТАЛИ: IP-адреса — функциональность менеджера чёрного списка основана на PHP вместо правил .htaccess. Добавлена константа AIOS_DISABLE_BLACKLIST_IP_MANAGER, определите ее в вашем wp-config.php, чтобы отключить менеджер чёрных списков IP-адресов.
- ДЕТАЛИ: обнаружение спам-ботов, запись комментария, полное их удаление или пометка как спам.
- ДЕТАЛИ: шифрование секретных ключей TFA, которые хранятся в базе данных (дополнительная защита на случай взлома базы данных)
- ДЕТАЛИ: для таблицы журнала аудита добавлены массовые действия «Удалить все» и «Удалить отфильтрованное»
- ИСПРАВЛЕНО: предотвращение добавления Cloudflare Turnstile к формам входа, когда учетные данные не заданы
- ИСПРАВЛЕНО: изменение места загрузки обработчика событий журнала аудита, для предотвращения ошибки при удалении плагина
- ИСПРАВЛЕНО: проверки класса контекста для поддержки cli
- НАСТРОЙКА: супер админ мультисайта может получить доступ в консоль дочерних сайтов без повторного входа, если включен salt postfix
- НАСТРОЙКА: файл JavaScript капчи загружается без надобности на страницах сайта, если включена капча комментариев или пользовательская капча для входа в систему
- НАСТРОЙКА: изменены проверки одноразовых номеров, чтобы использовать внутреннюю функцию проверки возможностей пользователя и одноразовых номеров
- НАСТРОЙКА: регистрация пользователей и успешный вход в систему теперь регистрируются в журнал аудита
- НАСТРОЙКА: добавлен класс команд и переработаны обработчики AJAX
- НАСТРОЙКА: проверка капчи для избежания конфликтов с некоторыми плагинами, вызывающими код аутентификации WordPress
- НАСТРОЙКА: улучшение пользовательского интерфейса функции префикса таблиц базы данных.
- НАСТРОЙКА: обновления ядра WordPress теперь регистрируются в журнал аудита
- НАСТРОЙКА: обновления переводов теперь регистрируются в журнал аудита
- НАСТРОЙКА: добавление события изменения объекта в журнал аудита, когда информация об обновлении недоступна
- НАСТРОЙКА: автоматические электронные письма, отправленные AIOS, которые не удалось отправить из-за адреса from
5.1.8 — 11/April/2023
- ИСПРАВЛЕНО: обнаружение 404 — действия по занесению отдельных записей в черный список, удалению, временному блокированию перестали работать в 5.1.7
- ИСПРАВЛЕНО: непредвиденная фатальная ошибка при нулевом ‘set_value’
- ИСПРАВЛЕНО: удалены действия обработчика событий журнала аудита при удалении плагина, чтобы предотвратить ошибку
- ИСПРАВЛЕНО: удалены некоторые обработчики событий журнала аудита при удалении плагина, чтобы предотвратить ошибку
- ИСПРАВЛЕНО: получение правильного пути wp-config при установке в подкаталог
- НАСТРОЙКА: исключение AIOS_Helper::request_remote timed out проигнорировано.
- НАСТРОЙКА: имя класса Requests_IPv6 устарело в WordPress 6.2.
- НАСТРОЙКА: неудачные попытки входа в систему теперь регистрируются в журнал аудита
5.1.7 — 24/March/2023
- ИСПРАВЛЕНИЕ: Предотвращение фатальной ошибки при вызове get_server_detected_user_ip_address(), когда брандмауэр не настроен
- НАСТРОЙКА: уточнить заголовок уведомления консоли и изменить изображение.
5.1.6 — 21/March/2023
- FEATURE: добавлен журнал аудита
- FEATURE: добавьте опцию salt postfix для повышения безопасности вашего сайта
- FEATURE: общая библиотека, которую можно использовать из брандмауэра.
- FIX: переименование ярлыка логина, используемого как wp-login-RANDOM_SUFFIX, показывающего 404 страницу. Решена проблема и очищен код для активации на нескольких сайтах.
- FIX: конфликт дочерней темы Divi — обращение к неопределенной функции et_builder_get_fonts() в functions.php в строке 208 решено.
- FIX: вкладка настроек captcha в multisite установке дочерних сайтов не отображается
- FIX: ошибка изменения расписания событий cron для хука aios_15_minutes_cron_event, если плагин деактивирован или деинсталлирован
- TWEAK: остановка перечисления пользователей теперь показывает код 403 запрещенной ошибки вместо 500 ошибки сервера
- TWEAK: PHP 8.1 предупреждение rawurldecode передача null вместо типа string устарела для правила блокирования строки запроса 6g
- TWEAK: очистка кода для отключения константы brute force на основе cookie, поскольку правило перенесено в брандмауэр
- TWEAK: пользовательский интерфейс страницы мониторинга IP-адресов спама в комментариях
- TWEAK: обновленные сезонные предложения
- TWEAK: Улучшение внутренней структуры кода для будущих улучшений
- TWEAK: убрано упоминание о том, что правила брандмауэра 6g были основаны на .htaccess, так как теперь они основаны на php
- TWEAK: добавлена новая внутренняя функция для проверки возможностей пользователя и одноразовых номеров.
- TWEAK: улучшение кода конфигурации с помощью встроенного сохранения.
- TWEAK: позволяет фильтровать журнал проверок и экспортировать его в CSV
5.1.5 — 13/February/2023
- ОСОБЕННОСТЬ: Добавлена поддержка Cloudflare Turnstile CAPTCHA
- FIX: Решены проблемы с неопределенным ключом массива HTTP_USER_AGENT.
- FIX: Новые возможности v5 не сохраняются в файле экспорта и не сбрасываются должным образом после деинсталляции.
- FIX: Изменение прав доступа к файлу применяется к последней не выбранной записи. Кроме того, больше не меняйте разрешения, когда они уже более жесткие, чем предложено.
- FIX: Фатальная ошибка ‘Вызов функции-члена contains_contents() при нулевом значении’
- TWEAK: Удалена неверная информация о том, что белый список логинов может быть реализован через htaccess.
- TWEAK: Рефакторинг задач настройки для премиум-команд WP CLI AIOS.
- TWEAK: Улучшена проблема с производительностью загрузки страницы из-за активной проверки несовместимого премиум-плагина tfa.
- TWEAK: Убедитесь, что домен перевода зарегистрирован, прежде чем пытаться его использовать
- TWEAK: Щелчок заменен на нажатие в тексте, потому что пользователи могут быть на мобильных устройствах и не использовать мышь.
- TWEAK: Страницы регистрации, комментариев, администрирования Buddypress и bbPress, чтобы показать уведомление о включении настроек captcha.
- TWEAK: Улучшение пользовательского интерфейса для вкладки обнаружения 404
- TWEAK: Улучшение внутренней структуры кода для будущих улучшений
- TWEAK: Предупреждение об устаревании PHP 8.2 для динамических свойств
- TWEAK: Устранены непреднамеренную возможность обхода каталога и отсутствие экранирования при выводе файлов с помощью функции «просмотр системного журнала». Эта функция доступна только администратору (который, конечно, уже может делать все, что угодно на сайте, так что это не имеет последствий для безопасности) и позволяет ему просматривать (последние 50 строк) из любого файла или списка любого каталога в системе, где веб-сервер имеет доступ на чтение.
- FIX: Фатальная ошибка ‘Вызов функции-члена contains_contents() при нулевом значении’
- TWEAK: брандмауэр получает константы из одного источника.
5.1.4 — 14/December/2022
- ОСОБЕННОСТЬ: Добавьте возможность отключения RSS- и ATOM-каналов.
- FIX: Менеджер черного списка IP-адресов не работал.
5.1.3 — 09/December/2022
- БЕЗОПАСНОСТЬ: Файлы импорта настроек больше не сохраняются в общедоступной папке, где они могут быть потенциально проиндексированы поисковыми системами, если администратор не импортирует настройки (при этом файл импорта удаляется)
- ОСОБЕННОСТИ: Внедрение системы событий межсетевого экрана
- FIX: Защита дочерних сайтов при загрузке брандмауэра через plugins_hook
- TWEAK: Улучшение пользовательского интерфейса для загрузки файлов импорта
- TWEAK: Добавлена опция CAPTCHA по умолчанию, создавая возможность для новых CAPTCHA в будущем
5.1.2 — 07/December/2022
- ОСОБЕННОСТЬ: User Agent — функциональность менеджера черного списка должна основываться на PHP, а не на правилах .htaccess.
- FIX: Сортировка по ‘статусу’ в таблице спама комментариев
- FIX: Функция защиты от копирования не работает на iPhone
- FIX: Защита от перебора на основе куки блокируется, если плагин деактивирован и снова активирован.
- FIX: Уведомление о необходимости повторного применения правил .htaccess после повторной активации плагина отображается на дочерних сайтах.
- FIX: Различные уведомления командной строки WordPress о неопределенных индексах $_SERVER
- Исправление: решена проблема синхронизации файлов при деактивации и повторной активации настройки брандмауэра плагина.
- TWEAK: На странице настройки 2FA отображаются премиум настройки для AIOS premium.
- TWEAK: Удаление символов, которые не должны были находиться на странице сканера
- TWEAK: Организованы правила брандмауэра в подкаталогах
- TWEAK: Добавлен ответ на вопрос GDPR в раздел FAQ плагина AIOS WP org.
- TWEAK: Позволяет фильтровать разрешение управления AIOS через фильтр
aios_management_permission
. - TWEAK: Используйте функцию is_main_site().
- TWEAK: Скопируйте IP-адрес в буфер обмена при нажатии на него в WP Security -> Brute Force -> Белый список входа.
- TWEAK: Лучшее определение контекста для брандмауэра
5.1.1 — 16/November/2022
- БЕЗОПАСНОСТЬ: Исправлена ошибка проверки символов массовых операций, что приводило к уязвимости CSRF. Эксплуатация потребует от злоумышленника создать ссылку специально для вашего сайта и убедить вас щелкнуть по ней, пока вы вошли в систему; если вы это сделаете, это может привести к массовым действиям, выполняемым в таблицах списков AIOS (например, удалять записи из списков заблокированных IP-адресов), при этом злоумышленник может удалять записи по идентификационным номерам базы данных, которые он не может знать напрямую (например, 15, 16, 17), а не по IP-адресу (например, 100.101.102.103).
- ОСОБЕННОСТИ: Предотвращение перебора на основе куки-файлов реализовано в новой системе брандмауэра на базе PHP.
- FIX: Видимость метода AIOWPSecurity_WP_Loaded_Tasks::site_lockout_tasks()
- FIX: Предотвращение удаления с помощью кнопки «Отклонить уведомление» всех уведомлений со страницы, включая уведомления, содержащие важную информацию
- FIX: Решена проблема Brute Force > Login Whitelist с доступом пользователя к защищенным паролем страницам.
- FIX: Cсылка принудительного выхода из системы не работает в списке пользователей, вошедших в систему.
- FIX: Ключ сайта Google reCAPTCHA и секретный ключ не проверяются сразу.
- TWEAK: Изменения стиля кода для страниц, связанных со сканером, и будущего класса менеджера элементов.
- TWEAK: Стиль заглавных букв повторно применяется для вкладок меню брандмауэра.
- TWEAK: вместо блокировки входа использовалось слово блокировки входа в пользовательский интерфейс и содержимое почты. Константа AIOWPS_DISABLE_LOGIN_LOCKDOWN изменена на AIOWPS_DISABLE_LOGIN_LOCKOUT.
- TWEAK: Обновлена вкладки и ссылки, чтобы они соответствовали стилю заглавных букв других плагинов UpdraftPlus.
- TWEAK: Добавлен фильтр
aios_server_type
для переопределения возвращаемого значения методаAIOWPSecurity_Utility::get_server_type()
. - TWEAK: Уведомление — журналы учетной записи, журналы событий 404 старше 90 дней автоматически очищаются для отображения.
- TWEAK: FAQs на странице обновления Premium связаны с правильным URL-адресом.
- TWEAK: Поиск IP-адреса вызывается только один раз в одном и том же запросе страницы. Блокировка посетителей вызывается, когда пользователь не вошел в систему. Информация о пользователе обновляется только при входе в систему.
- TWEAK: Блокировка входа пользователя в систему — минимальная продолжительность блокировки должна быть меньше максимальной, подтвержденной.
- TWEAK: Создание резервной копии wp-config перед установкой содержимого брандмауэра.
- TWEAK: Возможность понизить уровень защиты брандмауэра, что позволяет пользователям отменить изменения, внесенные при настройке брандмауэра.
- TWEAK: Установлен глобальный контроль для контекста $wp_file_descriptions, чтобы он назначался правильно, предотвращая едва заметное визуальное изменение в редакторе темы
- TWEAK: Уведомление о Черной Пятнице
- TWEAK: Обновление файла readme.txt
5.1.0 — 12/October/2022
- FIX: Загрузчик логина бесконечно отображается на экране входа в систему, и администраторы не могут войти в систему, если пользователь включил режим обслуживания и аутентификацию 2FA одновременно.
- FIX: Нажатие кнопки «Отключить брандмауэр» не очищало новые правила брандмауэра 6G.
- FIX: Пароль приложения был отключен по умолчанию при активации плагина AIOS.
- FIX: The error occurred with the error message: Uncaught TypeError: …