Поддержка Плагины Вопросы по All In One WP Security & Firewall

  • 1) Стоит ли активировать Rename Login Page (могут ли быть конфликты с плагинами)?

    2) Стоит ли включить защиту от брут-форс атак, основанную на куки?

    3) Стоит ли включить в защите от брут-форс атак Login Captcha (она и так есть, но не помню от WP или установленного плагина Captcha)? Вообще имеет смысл снести плагин Captcha и ограничится настройками этого плагина?

    4) Стоит ли по максимуму включить файерволл (помимо Basic также — Additional, 5G Blacklist, Internet Bots, Prevent Hotlinks, 404 Detection)?

    5) Что за адрес 89.111.178.165, который добавился в .htaccess при активации белого списка (я туда добавил только свой IP)? Оставить все как есть?

    <FilesMatch «^(wp-login\.php)»>
    Order Allow,Deny
    Allow from мой сайт
    Allow from 89.111.178.165
    Allow from мой IP
    </FilesMatch>

    6) Стоит ли добавить в .htaccess рекомендованные мне раньше на форуме (и частично прописанные Better WP Security):

    <files readme.html>
    Order allow,deny
    Deny from all
    </files>
    
    <files readme.txt>
    Order allow,deny
    Deny from all
    </files>
    
    <files install.php>
    Order allow,deny
    Deny from all
    </files>
    
    <files xmlrpc.php>
    Order allow,deny
    Deny from all
    </files>

Просмотр 15 ответов — с 1 по 15 (всего 59)
  • Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    5) Что за адрес 89.111.178.165, который добавился в .htaccess при активации белого списка (я туда добавил только свой IP)?

    Это IP-адрес вашего сайта.

    Я тоже было так подумал, но мне почему-то выдал на сайте хостера

    Данный сайт сейчас недоступен на этом техническом сервере.

    Это они там просто блокируют доступ по IP?

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    Видимо, да. Узнать IP-адрес сайта можно с помощью утилиты tracert.

    Вы правы, подтвердил здесь.

    хотел кое-что уточнить по All In One WP Security & Firewall.

    Не мудрствуя лукаво скажу как я настроил этот плагин.
    1. Изменил стандартный логин admin на другой
    2. Включил блокировку по IP при попытках входа под несуществующим логином.
    3.Включил блокировку по IP при более чем 3-х попытках неправильного ввода пароля
    4. Активировал опцию смены URL страницы входа (Эта опция в плагине появилась недавно. До этого был буквально завален уведомлениями на еmail о попытках проникновения в сайт под несуществующем в нём логине admin и других)
    5. Отключил возможность просмотра версии WP в коде страниц сайта
    6. Создал резервные копии важнейших файлов и включил автоматическое резервное копирование баз данных.
    7. Активировал файерволл с настройками по умолчанию
    И кое что ещё по мелочам.

    Брутфорс-атаки. А вот это активировать не стал! Есть угроза. что сам когда либо не попадешь в свой сайт. ПРИМЕР ЭТОМУ

    Также рекомендую НЕ пользоваться опцией «Режим обслуживания». А если и пользуетесь — ни в коем случае не выходите из сайта как админ! Но лучше вообще ей не пользоваться. Но если это очень надо — использовать другие плагины для создания страниц-заглушек

    Спасибо, Константин. Если позволите уточню:

    4. Активировал опцию смены URL страницы входа (Эта опция в плагине появилась недавно. До этого был буквально завален уведомлениями на еmail о попытках проникновения в сайт под несуществующем в нём логине admin и других)

    Не вполне понял о чем речь. Об опции Enable IP Lockout For 404 Events?

    6. Создал резервные копии важнейших файлов и включил автоматическое резервное копирование баз данных.

    Насколько я понял, делается резервная копия только БД, но не всего сайта (раньше встречал настоятельные рекомендации делать бекап всего сайта, потому и поставил плагины, от которых ловил одни ошибки). Насколько все-таки это критично? Чтобы восстановить сайт (блог с тысячью записей) достаточно одной только резервной копии БД? В случае чего я потеряю только собственные картинки и буду вынужден заново поставить все плагины (не Бог весть какая проблема)?

    7. Активировал файерволл с настройками по умолчанию

    У меня по умолчанию в файерволл не включена куча опций: Additional, 5G Blacklist, Internet Bots, Prevent Hotlinks, 404 Detection. Может имеет смысл их включить? Или это чем-то чревато?

    Не вполне понял о чем речь

    Изменить URL страницы входа\регистрации со стандартного на свой, произвольный, можно в настройках раздела этих брут-форс атак

    Enable Rename Login Page Feature:
    введите произвольный URL и страница входа регистрация вместо обычного мой сайт/wp-login.php будет иметь адрес например мой сайт/stranitca-vhoda Это великое дело!

    Насколько я понял, делается резервная копия только БД, но не всего сайта (раньше встречал настоятельные рекомендации делать бекап всего сайта,

    Именно так!
    Я по этому поводу не парюсь, так как мой хостинг делает ежедневные полные бекапы сайтов, что не раз меня спасало. А эту функцию включил «на всякий случай»

    У меня по умолчанию в файерволл не включена куча опций: Additional, 5G Blacklist, Internet Bots, Prevent Hotlinks, 404 Detection. Может имеет смысл их включить? Или это чем-то чревато?

    Скажу честно. Я не стал лезть туда, в чем пока не разобрался.
    И вам тогоже советую

    Стоит ли добавить в .htaccess рекомендованные мне раньше на форуме (и частично прописанные Better WP Security)

    После включения Запрета доступа к информационным файлам в .htaccess добвились license.txt, wp-config-sample.php и readme.html. Файлы readme.txt, files install.php и xmlrpc.php не добавились.

    Еще вопросы — стоит ли:
    — запретить редактирование PHP-файлов из админ-панели WordPress?
    — удалить мета-тег WP Generator?

    Кстати, опять посыпались автокомменты при редактировании или создании записей.

    Скажу честно. Я не стал лезть туда, в чем пока не разобрался.
    И вам тогоже советую

    Понял, пока воздержусь (может кто по своему опыту посоветует).

    Enable Rename Login Page Feature:
    введите произвольный URL и страница входа регистрация вместо обычного мой сайт/wp-login.php будет иметь адрес например мой сайт/stranitca-vhoda Это великое дело!

    Спасибо, нашел. Т.е. введенный придуманный мною адрес переадресует меня к настоящему адресу, переименования системных папок не будет? Я помню что-то похожее по Better WP Security, и если не путаю, у меня после этого сбились шрифты (плагин по умолчанию обращается к стандартному имени папки).

    — запретить редактирование PHP-файлов из админ-панели WordPress?

    Если вы единственный админ сайта — не стоит. А может и стоит — что бы не было искушения лезть туда, куда не следует! (Эта опция отключает раздел «Редактор» в параметры-внешний вид

    — удалить мета-тег WP Generator?

    Очень рекомендуется!

    Т.е. введенный придуманный мною адрес переадресует меня к настоящему адресу, переименования системных папок не будет?

    Примерно так. При нажатии кнопки войти вы попадете на обычную страницу входа, но с необычным URL Никаких других проблем не будет

    Ясно. Еще раз большое спасибо!

    Внезапно перестал пускать в панель администратора, выдает Please log in to access the WordPress admin area. Через другие браузеры заходил — то же самое. Со вчерашнего дня по плагину в настройках (делал их как советовал Константин) ничего не менял, и с тех пор проблем не было. Сегодня только поставил и удалил плагин Magic Fields 2, но сразу после этого проблем тоже не замечал. Еще сегодня были проблема с доступностью сайта, но по другому сайту на том же хостере (где этот плагин не установлен) все в порядке.

    Подскажите пжст кто знает — чтобы это могло быть и как лучше решить эту проблему?

    Удаление относящегося к плагину кода в .htaccess не подействовало, помогло только переименование папки плагина. Как теперь быть — поставить плагин заново (с минимальными настройками), а старую папку просто удалить? Это ничем не чревато?

    Внезапно перестал пускать в панель администратора

    Никогда никаких проблем с этим плагином у меня не было.(Стоит на 3-х разных сайтах) За исключением того, что однажды включил «Режим обслуживания» и выйдя из сайта потом не мог войти в него…. Удалял плагин через FTР и потом вновь устанавливал его. (Вновь настроил всё как надо и больше режим обслкживания не включаю.)

    То есть был у меня случай, похожий на ваш. Но не понятно — чего вы там успели наковырять с файлом htaccess? Но если перед тем как начинать настройки плагина вы сделали его рез. копию — ничего страшного в принципе нет.

Просмотр 15 ответов — с 1 по 15 (всего 59)
  • Тема «Вопросы по All In One WP Security & Firewall» закрыта для новых ответов.