Поддержка Плагины Вопросы по All In One WP Security & Firewall

  • 1) Стоит ли активировать Rename Login Page (могут ли быть конфликты с плагинами)?

    2) Стоит ли включить защиту от брут-форс атак, основанную на куки?

    3) Стоит ли включить в защите от брут-форс атак Login Captcha (она и так есть, но не помню от WP или установленного плагина Captcha)? Вообще имеет смысл снести плагин Captcha и ограничится настройками этого плагина?

    4) Стоит ли по максимуму включить файерволл (помимо Basic также — Additional, 5G Blacklist, Internet Bots, Prevent Hotlinks, 404 Detection)?

    5) Что за адрес 89.111.178.165, который добавился в .htaccess при активации белого списка (я туда добавил только свой IP)? Оставить все как есть?

    <FilesMatch «^(wp-login\.php)»>
    Order Allow,Deny
    Allow from мой сайт
    Allow from 89.111.178.165
    Allow from мой IP
    </FilesMatch>

    6) Стоит ли добавить в .htaccess рекомендованные мне раньше на форуме (и частично прописанные Better WP Security):

    <files readme.html>
    Order allow,deny
    Deny from all
    </files>
    
    <files readme.txt>
    Order allow,deny
    Deny from all
    </files>
    
    <files install.php>
    Order allow,deny
    Deny from all
    </files>
    
    <files xmlrpc.php>
    Order allow,deny
    Deny from all
    </files>

Просмотр 15 ответов — с 16 по 30 (всего 59)
  • Резервную копию сайта? Не считая переставшего работать плагина, сайт в порядке. Как я понял, мне тоже надо удалить переименованную папку плагина и поставить его заново.

    В .htaccess ничего не делал. Вот его код на момент возникновения проблемы:

    # BEGIN All In One WP Security
    #AIOWPS_BLOCK_WP_FILE_ACCESS_START
    <Files license.txt>
    order allow,deny
    deny from all
    </files>
    <Files wp-config-sample.php>
    order allow,deny
    deny from all
    </Files>
    <Files readme.html>
    order allow,deny
    deny from all
    </Files>
    #AIOWPS_BLOCK_WP_FILE_ACCESS_END
    #AIOWPS_BASIC_HTACCESS_RULES_START
    <Files .htaccess>
    order allow,deny
    deny from all
    </Files>
    ServerSignature Off
    LimitRequestBody 10240000
    <Files wp-config.php>
    order allow,deny
    deny from all
    </Files>
    #AIOWPS_BASIC_HTACCESS_RULES_END
    #AIOWPS_PINGBACK_HTACCESS_RULES_START
    <IfModule mod_alias.c>
    RedirectMatch 403 /(.*)/xmlrpc\.php$
    </IfModule>
    #AIOWPS_PINGBACK_HTACCESS_RULES_END
    #AIOWPS_LOGIN_WHITELIST_START
    <FilesMatch "^(wp-login\.php)">
    Order Allow,Deny
    Allow from мой сайт
    Allow from IP моего сайта
    Allow from мой IP
    </FilesMatch>
    #AIOWPS_LOGIN_WHITELIST_END
    # END All In One WP Security
    
    php_value display_errors 1
    # BEGIN WordPress
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
    # END WordPress
    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    Вот его код на момент возникновения проблемы:

    Удалите всё, оставив только

    # BEGIN WordPress
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
    # END WordPress

    Как я уже писал выше, это не помогло, в панель администратора смог зайти только после переименования папки. Сейчас хочу понять как корректно снести плагин (просто удалить папку?) и что могло послужить причиной проблемы. В плагине делал минимальные настройки, без режима обслуживания и защиты от брут-форса (не считая блокировки чужих IP при обращении к wp-login).

    Сейчас хочу понять как корректно снести плагин (просто удалить папку?)

    Именно так. Вы же все равно отключили плагин, переименовав его папку. Но тем не менее после удаления плагина — проделайте то, что советует SeVlad.

    После этого вновь установите и настройте плагин. Перед настройкой — обязательно сделайте с его же помощью резервную копию важнейших WP файлоа.

    и что могло послужить причиной проблемы.

    Только ваше излишнее внимание к этому плагину и излишнее усердие в его настройке. Активируйте и настойте только основные функции защиты и далее никуда не ходите.

    Я не делал ничего лишнего, только то, что вы рекомендовали. Но сейчас подозреваю, что проблема могла возникнуть из-за моей невнимательности — я пытался войти через /wp-admin и забыл, что воспользовался опцией смены URL страницы входа. Самое интересное, что когда я захотел это проверить и все восстановил (вернул прежний код в .htaccess и переименовал обратно папку плагина), то смог зайти сразу, без ручного ввода нового имени (оно само появилось в адресной строке). Если проблема повторится, проверю в этом ли было дело.

    Уточните пжст — какие файлы важнейшие? Разве резервной копии БД не достаточно?

    какие файлы важнейшие?

    Плагин вам сам это подсказывает. На первой же странице его настроек!

    Разве резервной копии БД не достаточно?

    Копия базы данных и копия важнейших файлов — это разные вещи.

    я пытался войти через /wp-admin и забыл, что воспользовался опцией смены URL страницы входа.

    Если вы изменили URL страницы входа\регистрации — запомните раз и навсегда адрес входа на ваш сайт, сохраните его в закладках браузера.

    Если у вас на сайте есть виджет «Мета» (вызов страницы входа\регистрации), то всё равно при клике на его пункт «Войти» или «Регистрация» вы будете перенаправлены на стандартную страницу входа\регистрации, не смотря на то, что она будет иметь совершенно другой URL — тот, который вы написали в настройках плагина.

    Ну что тут такого сложного, чтобы не понять этого?!

    Вот два примера. Обратите внимание на окончание URL этих страниц
    1. Страница входа на сайт, где нет плагина. http://test.l-konstantin.ru/wp-login.php — это стандартный адрес (wp-login.php)
    2. Это — страница входа с произвольным URL http://l-konstantin.ru/input-for-admin

    P.S. (Почти ОФТОП) А теперь догадайтесь — как изменение URL страницы входа влияет на защиту вашего сайта

    Я разве сказал, что чего-то не понял? Просто забыл, что воспользовался этой опцией и поэтому в адресной строке набирал не новое имя, а /wp-admin.

    Ar1ur! Не обижайтесь, но надеюсь теперь проблема решена?

    Плагин вам сам это подсказывает. На первой же странице его настроек!

    Т.е. .htaccess и wp-config.php? Да их, делал. Точнее я периодически копирую сайт целиком по ftp себе на компьютер.

    Ar1ur! Не обижайтесь, но надеюсь теперь проблема решена?

    Константин, я вовсе не обижаюсь, напротив — очень вам признателен за подробные и весьма полезные разъяснения. Да, проблема решена, просто мне интересно почему система перестала впускать меня по новому имени URL ни с того ни с сего (я ведь даже не выходил), но зато когда я все восстановил — сразу впустила, мне даже не пришлось вводить новый URL.

    Т.е. .htaccess и wp-config.php?

    Вот именно!

    я периодически копирую сайт целиком по ftp себе на компьютер.

    Лично я, признаюсь честно, по неопытности делал так же. Но потом что то мне подсказало, что это не совсем верный путь. :)))
    Тем более резервные копии моих сайтов ежедневно делает мой хостинг. Причем не только баз данных, но и всего содержимого сайта. Впрочем я об этом уже говорил.

    Неужели ваш хостинг не делает этого?

    Насколько я помню, хостер делает только копирование БД (уточню с очередным звонком), но предпочел бы не полагаться на хостера.

    Не совсем верный — в смысле лишние действия, или недостаточные? Я правильно вас понял (выше), что если своих файлов (прикрепленных картинок) мало, то для восстановления сайта со всеми его записями достаточно сделать восстановление из бекапа БД, .htaccess с wp-config.php, и заново поставить плагины? Смущают нагугленные рекомендации делать полный бекап, и причем не полагаться в этом на хостера.

    Перестали автоматически создаваться резервные копии. В настройках частота создания бекапов указана ежедневно («1 — дней»), включена опция получения бекапов на почту. Но последний бекап был создан 19-ого апреля. В папке wp-content\aiowps_backups только пять бекапов (но с какими-то странными датами: 12-ого, 13-ого, 16-ого, 17-ого, 19-ого). Я предположил, что это как-то связано с количеством бэкапов для хранения (изначально указал пять), и поменял на сто — ничего не изменилось, автоматически бекапы по-прежнему не создаются. Вручную создаются (только на почту). Интересно, что точно такая же проблема у меня была на предыдущем плагине, Better WP Security.

    Подскажите пжст кто знает: какая может быть причина и как ее исправить?

Просмотр 15 ответов — с 16 по 30 (всего 59)
  • Тема «Вопросы по All In One WP Security & Firewall» закрыта для новых ответов.