Поддержка Плагины Вопросы по All In One WP Security & Firewall

Вопросы по All In One WP Security & Firewall

  • Ar1ur

    (@ar1ur)


    10 лет назад

    1) Стоит ли активировать Rename Login Page (могут ли быть конфликты с плагинами)?

    2) Стоит ли включить защиту от брут-форс атак, основанную на куки?

    3) Стоит ли включить в защите от брут-форс атак Login Captcha (она и так есть, но не помню от WP или установленного плагина Captcha)? Вообще имеет смысл снести плагин Captcha и ограничится настройками этого плагина?

    4) Стоит ли по максимуму включить файерволл (помимо Basic также — Additional, 5G Blacklist, Internet Bots, Prevent Hotlinks, 404 Detection)?

    5) Что за адрес 89.111.178.165, который добавился в .htaccess при активации белого списка (я туда добавил только свой IP)? Оставить все как есть?

    <FilesMatch «^(wp-login\.php)»>
    Order Allow,Deny
    Allow from мой сайт
    Allow from 89.111.178.165
    Allow from мой IP
    </FilesMatch>

    6) Стоит ли добавить в .htaccess рекомендованные мне раньше на форуме (и частично прописанные Better WP Security):

    <files readme.html>
Order allow,deny
Deny from all
</files>

<files readme.txt>
Order allow,deny
Deny from all
</files>

<files install.php>
Order allow,deny
Deny from all
</files>

<files xmlrpc.php>
Order allow,deny
Deny from all
</files>

Просмотр 15 ответов — с 16 по 30 (всего 59)
1 2 3 4
  • Автор Ar1ur

    (@ar1ur)

    10 лет назад

    Резервную копию сайта? Не считая переставшего работать плагина, сайт в порядке. Как я понял, мне тоже надо удалить переименованную папку плагина и поставить его заново.

    В .htaccess ничего не делал. Вот его код на момент возникновения проблемы:

    # BEGIN All In One WP Security
#AIOWPS_BLOCK_WP_FILE_ACCESS_START
<Files license.txt>
order allow,deny
deny from all
</files>
<Files wp-config-sample.php>
order allow,deny
deny from all
</Files>
<Files readme.html>
order allow,deny
deny from all
</Files>
#AIOWPS_BLOCK_WP_FILE_ACCESS_END
#AIOWPS_BASIC_HTACCESS_RULES_START
<Files .htaccess>
order allow,deny
deny from all
</Files>
ServerSignature Off
LimitRequestBody 10240000
<Files wp-config.php>
order allow,deny
deny from all
</Files>
#AIOWPS_BASIC_HTACCESS_RULES_END
#AIOWPS_PINGBACK_HTACCESS_RULES_START
<IfModule mod_alias.c>
RedirectMatch 403 /(.*)/xmlrpc\.php$
</IfModule>
#AIOWPS_PINGBACK_HTACCESS_RULES_END
#AIOWPS_LOGIN_WHITELIST_START
<FilesMatch "^(wp-login\.php)">
Order Allow,Deny
Allow from мой сайт
Allow from IP моего сайта
Allow from мой IP
</FilesMatch>
#AIOWPS_LOGIN_WHITELIST_END
# END All In One WP Security

php_value display_errors 1
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
    SeVlad

    (@sevlad)

    10 лет назад

    Вот его код на момент возникновения проблемы:

    Удалите всё, оставив только

    # BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

    Автор Ar1ur

    (@ar1ur)

    10 лет назад

    Как я уже писал выше, это не помогло, в панель администратора смог зайти только после переименования папки. Сейчас хочу понять как корректно снести плагин (просто удалить папку?) и что могло послужить причиной проблемы. В плагине делал минимальные настройки, без режима обслуживания и защиты от брут-форса (не считая блокировки чужих IP при обращении к wp-login).

    1596754as98

    (@adminstrelok)

    10 лет назад

    Сейчас хочу понять как корректно снести плагин (просто удалить папку?)

    Именно так. Вы же все равно отключили плагин, переименовав его папку. Но тем не менее после удаления плагина — проделайте то, что советует SeVlad.

    После этого вновь установите и настройте плагин. Перед настройкой — обязательно сделайте с его же помощью резервную копию важнейших WP файлоа.

    и что могло послужить причиной проблемы.

    Только ваше излишнее внимание к этому плагину и излишнее усердие в его настройке. Активируйте и настойте только основные функции защиты и далее никуда не ходите.

    Автор Ar1ur

    (@ar1ur)

    10 лет назад

    Я не делал ничего лишнего, только то, что вы рекомендовали. Но сейчас подозреваю, что проблема могла возникнуть из-за моей невнимательности — я пытался войти через /wp-admin и забыл, что воспользовался опцией смены URL страницы входа. Самое интересное, что когда я захотел это проверить и все восстановил (вернул прежний код в .htaccess и переименовал обратно папку плагина), то смог зайти сразу, без ручного ввода нового имени (оно само появилось в адресной строке). Если проблема повторится, проверю в этом ли было дело.

    Уточните пжст — какие файлы важнейшие? Разве резервной копии БД не достаточно?

    1596754as98

    (@adminstrelok)

    10 лет назад

    какие файлы важнейшие?

    Плагин вам сам это подсказывает. На первой же странице его настроек!

    Разве резервной копии БД не достаточно?

    Копия базы данных и копия важнейших файлов — это разные вещи.

    1596754as98

    (@adminstrelok)

    10 лет назад

    я пытался войти через /wp-admin и забыл, что воспользовался опцией смены URL страницы входа.

    Если вы изменили URL страницы входа\регистрации — запомните раз и навсегда адрес входа на ваш сайт, сохраните его в закладках браузера.

    Если у вас на сайте есть виджет «Мета» (вызов страницы входа\регистрации), то всё равно при клике на его пункт «Войти» или «Регистрация» вы будете перенаправлены на стандартную страницу входа\регистрации, не смотря на то, что она будет иметь совершенно другой URL — тот, который вы написали в настройках плагина.

    Ну что тут такого сложного, чтобы не понять этого?!

    Вот два примера. Обратите внимание на окончание URL этих страниц
    1. Страница входа на сайт, где нет плагина. http://test.l-konstantin.ru/wp-login.php — это стандартный адрес (wp-login.php)
    2. Это — страница входа с произвольным URL http://l-konstantin.ru/input-for-admin

    P.S. (Почти ОФТОП) А теперь догадайтесь — как изменение URL страницы входа влияет на защиту вашего сайта

    Автор Ar1ur

    (@ar1ur)

    10 лет назад

    Я разве сказал, что чего-то не понял? Просто забыл, что воспользовался этой опцией и поэтому в адресной строке набирал не новое имя, а /wp-admin.

    1596754as98

    (@adminstrelok)

    10 лет назад

    Ar1ur! Не обижайтесь, но надеюсь теперь проблема решена?

    Автор Ar1ur

    (@ar1ur)

    10 лет назад

    Плагин вам сам это подсказывает. На первой же странице его настроек!

    Т.е. .htaccess и wp-config.php? Да их, делал. Точнее я периодически копирую сайт целиком по ftp себе на компьютер.

    Автор Ar1ur

    (@ar1ur)

    10 лет назад

    Ar1ur! Не обижайтесь, но надеюсь теперь проблема решена?

    Константин, я вовсе не обижаюсь, напротив — очень вам признателен за подробные и весьма полезные разъяснения. Да, проблема решена, просто мне интересно почему система перестала впускать меня по новому имени URL ни с того ни с сего (я ведь даже не выходил), но зато когда я все восстановил — сразу впустила, мне даже не пришлось вводить новый URL.

    1596754as98

    (@adminstrelok)

    10 лет назад

    Т.е. .htaccess и wp-config.php?

    Вот именно!

    1596754as98

    (@adminstrelok)

    10 лет назад

    я периодически копирую сайт целиком по ftp себе на компьютер.

    Лично я, признаюсь честно, по неопытности делал так же. Но потом что то мне подсказало, что это не совсем верный путь. :)))
    Тем более резервные копии моих сайтов ежедневно делает мой хостинг. Причем не только баз данных, но и всего содержимого сайта. Впрочем я об этом уже говорил.

    Неужели ваш хостинг не делает этого?

    Автор Ar1ur

    (@ar1ur)

    10 лет назад

    Насколько я помню, хостер делает только копирование БД (уточню с очередным звонком), но предпочел бы не полагаться на хостера.

    Не совсем верный — в смысле лишние действия, или недостаточные? Я правильно вас понял (выше), что если своих файлов (прикрепленных картинок) мало, то для восстановления сайта со всеми его записями достаточно сделать восстановление из бекапа БД, .htaccess с wp-config.php, и заново поставить плагины? Смущают нагугленные рекомендации делать полный бекап, и причем не полагаться в этом на хостера.

    Автор Ar1ur

    (@ar1ur)

    9 лет, 11 месяцев назад

    Перестали автоматически создаваться резервные копии. В настройках частота создания бекапов указана ежедневно («1 — дней»), включена опция получения бекапов на почту. Но последний бекап был создан 19-ого апреля. В папке wp-content\aiowps_backups только пять бекапов (но с какими-то странными датами: 12-ого, 13-ого, 16-ого, 17-ого, 19-ого). Я предположил, что это как-то связано с количеством бэкапов для хранения (изначально указал пять), и поменял на сто — ничего не изменилось, автоматически бекапы по-прежнему не создаются. Вручную создаются (только на почту). Интересно, что точно такая же проблема у меня была на предыдущем плагине, Better WP Security.

    Подскажите пжст кто знает: какая может быть причина и как ее исправить?

Просмотр 15 ответов — с 16 по 30 (всего 59)
1 2 3 4
  • Тема «Вопросы по All In One WP Security & Firewall» закрыта для новых ответов.

Метки темы

Просмотр