All In One WP Security & Firewall — Плагин для WordPress


WordPress itself is a very secure platform. However, it helps to add some extra security and firewall to your site by using a security plugin that enforces a lot of good security practices.

The All In One WordPress Security plugin will take your website security to a whole new level.

This plugin is designed and written by experts and is easy to use and understand.

It reduces security risk by checking for vulnerabilities, and by implementing and enforcing the latest recommended WordPress security practices and techniques.

All In One WP Security also uses an unprecedented security points grading system to measure how well you are protecting your site based on the security features you have activated.

Our security and firewall rules are categorized into «basic», «intermediate» and «advanced». This way you can apply the firewall rules progressively without breaking your site’s functionality.

The All In One WordPress Security plugin doesn’t slow down your site and it is 100% free.

Visit the WordPress Security Plugin page for more details.

Below is a list of the security and firewall features offered in this plugin:

User Accounts Security
  • Detect if there is a user account which has the default «admin» username and easily change the username to a value of your choice.
  • The plugin will also detect if you have any WordPress user accounts which have identical login and display names. Having account’s where display name is identical to login name is bad security practice because
    you are making it 50% easier for hackers because they already know the login name.
  • Password strength tool to allow you to create very strong passwords.
  • Stop user enumeration. So users/bots cannot discover user info via author permalink.
User Login Security
  • Protect against «Brute Force Login Attack» with the Login Lockdown feature. Users with a certain IP address or range will be locked out of the system for a predetermined amount of time based on the configuration settings and you can also choose to be notified
    via email whenever somebody gets locked out due to too many login attempts.

  • As the administrator you can view a list of all locked out users which are displayed in an easily readable and navigable table which also allows you to unlock individual or bulk IP addresses at the click of a button.

  • Force logout of all users after a configurable time period
  • Monitor/View failed login attempts which show the user’s IP address, User ID/Username and Date/Time of the failed login attempt

  • Monitor/View the account activity of all user accounts on your system by keeping track of the username, IP address, login date/time, and logout date/time.

  • Ability to automatically lockout IP address ranges which attempt to login with an invalid username.
  • Ability to see a list of all the users who are currently logged into your site.
  • Allows you to specify one or more IP addresses in a special whitelist. The whitelisted IP addresses will have access to your WP login page.
  • Add Google reCaptcha or plain maths captcha to WordPress Login form.
  • Add Google reCaptcha or plain maths captcha to the forgot password form of your WP Login system.
User Registration Security
  • Enable manual approval of WordPress user accounts. If your site allows people to create their own accounts via the WordPress registration form, then you can minimize SPAM or bogus registrations by manually approving each registration.
  • Ability to add Google reCaptcha or plain maths captcha to the WordPress’s user registration page to protect you from spam user registration.
  • Ability to add Honeypot to the WordPress’s user registration form to reduce registration attempts by robots.
Database Security
  • Easily set the default WP prefix to a value of your choice with the click of a button.
  • Schedule automatic backups and email notifications or make an instant DB backup whenever you want with one click.
File System Security
  • Identify files or folders which have permission settings which are not secure and set the permissions to the recommend secure values with click of a button.
  • Protect your PHP code by disabling file editing from the WordPress administration area.
  • Easily view and monitor all host system logs from a single menu page and stay informed of any issues or problems occurring on your server so you can address them quickly.
  • Prevent people from accessing the readme.html, license.txt and wp-config-sample.php files of your WordPress site.
htaccess and wp-config.php File Backup and Restore
  • Easily backup your original .htaccess and wp-config.php files in case you will need to use them to restore broken functionality.
  • Modify the contents of the currently active .htaccess or wp-config.php files from the admin dashboard with only a few clicks
Blacklist Functionality
  • Ban users by specifying IP addresses or use a wild card to specify IP ranges.
  • Ban users by specifying user agents.
Firewall Functionality

This plugin allows you to easily add a lot of firewall protection to your site via htaccess file. An htaccess file is processed by your web server before any other code on your site.
So these firewall rules will stop malicious script(s) before it gets a chance to reach the WordPress code on your site.

  • Access control facility.
  • Instantly activate a selection of firewall settings ranging from basic, intermediate and advanced.
  • Enable the famous «6G Blacklist» Firewall rules courtesy of Perishable Press
  • Forbid proxy comment posting.
  • Block access to debug log file.
  • Disable trace and track.
  • Deny bad or malicious query strings.
  • Protect against Cross Site Scripting (XSS) by activating the comprehensive advanced character string filter.
    or malicious bots who do not have a special cookie in their browser. You (the site admin) will know how to set this special cookie and be able to log into your site.
  • WordPress PingBack Vulnerability Protection feature. This firewall feature allows the user to prohibit access to the xmlrpc.php file in order to protect against certain vulnerabilities in the pingback functionality. This is also helpful to block bots from constantly accessing the xmlrpc.php file and wasting your server resource.
  • Ability to block fake Googlebots from crawling your site.
  • Ability to prevent image hotlinking. Use this to prevent others from hotlinking your images.
  • Ability to log all 404 events on your site. You can also choose to automatically block IP addresses that are hitting too many 404s.
  • Ability to add custom rules to block access to various resources of your site.
Brute force login attack prevention
  • Instantly block Brute Force Login Attacks via our special Cookie-Based Brute Force Login Prevention feature. This firewall functionality will block all login attempts from people and bots.
  • Ability to add a simple math captcha to the WordPress login form to fight against brute force login attacks.
  • Ability to hide admin login page. Rename your WordPress login page URL so that bots and hackers cannot access your real WordPress login URL. This feature allows you to change the default login page (wp-login.php) to something you configure.
  • Ability to use Login Honeypot which will helps reduce brute force login attempts by robots.
Security Scanner
  • The file change detection scanner can alert you if any files have changed in your WordPress system. You can then investigate and see if that was a legitimate change or some bad code was injected.
Comment SPAM Security
  • Monitor the most active IP addresses which persistently produce the most SPAM comments and instantly block them with the click of a button.
  • Prevent comments from being submitted if it doesn’t originate from your domain (this should reduce some SPAM bot comment posting on your site).
  • Add a captcha to your wordpress comment form to add security against comment spam.
  • Automatically and permanently block IP addresses which have exceeded a certain number of comments labeled as SPAM.
Front-end Text Copy Protection
  • Ability to disable the right click, text selection and copy option for your front-end.
Regular updates and additions of new security features
  • WordPress Security is something that evolves over time. We will be updating the All In One WP Security plugin with new security features (and fixes if required) on a regular basis so you can rest assured that your site will be on the cutting edge of security protection techniques.
Works with Most Popular WordPress Plugins
  • It should work smoothly with most popular WordPress plugins.
Additional Features
  • Ability to remove the WordPress Generator Meta information from the HTML source of your site.
  • Ability to remove the WordPress Version information from the JS and CSS file includes of your site.
  • Ability to prevent people from accessing the readme.html, license.txt and wp-config-sample.php files
  • Ability to temporarily lock down the front end of your site from general visitors while you do various backend tasks (investigate security attacks, perform site upgrades, do maintenance work etc.)
  • Ability to export/import the security settings.
  • Prevent other sites from displaying your content via a frame or iframe.
Поддержка плагина
  • If you have a question or problem with the All In One Security plugin, post it on the support forum and we will help you.
  • If you are a developer and you need some extra hooks or filters for this plugin then let us know.
  • Github repository — https://github.com/Arsenal21/all-in-one-wordpress-security
  • All In One WP Security plugin can be translated to any language.

Currently available translations:

  • Английский
  • Немецкий
  • Испанский
  • Французский
  • Венгерский
  • Итальянский
  • Swedish
  • русский
  • Chinese
  • Portuguese (Brazil)
  • Persian

Visit the WordPress Security Plugin page for more details.

Privacy Policy

This plugin may collect IP addresses for security reasons such as mitigating brute force login threats and malicious activity.
The collected information is stored on your server. No information is transmitted to third parties or remote server locations.


Go to the settings menu after you activate the plugin and follow the instructions.

To begin making your WordPress site more secure:

  1. Upload the ‘all-in-one-wp-security. zip’ file from the Plugins->Add New page in the WordPress administration panel.
  2. Активируйте плагин используя меню ‘Плагины’ в WordPress
  3. Go to Settings menu under ‘WP Security’ and start activating the security features of the plugin.

Check the following page for F.A.Q (see the faq section):

hemos tenido un ataque cibernético que nos ha estropeado todo nuestro espacio web, espero que con este plugin tengamos protegida nuestra web.

I would like to thank the authors of this excellent plugin, which allows you to significantly increase security, has many useful features and is easy to configure, allows you to activate only what you need. Thanks for the work.

Excelente plugin. Es muy amigable y didáctico. Fácil de configurar

Provides an easy path to security through (what is for some) unknown territory

This plugin have features I need.

Easy to use, lots of features, feeling perfectly safe with this plugin

Посмотреть все 1 018 отзывов

«All In One WP Security & Firewall» — проект с открытым исходным кодом. В развитие плагина внесли свой вклад следующие участники:


  • Fixed bugs and improved functionality related to «logged in users» functionality.
  • Google recaptha checks for WooCommerce product reviews
  • Replaced use of deprecated hook «wpmu_new_blog» with «wp_insert_site»
  • Fixed a potential XSS issue in the settings menu of the plugin for IE11 or older browsers.
  • Improved file change detection feature to address DB backups failing silently in some cases due to very large serialized data stored in a single row.
  • Added new action hook (aiowps_rename_login_load) just before renamed login page is loaded.
  • Added a check to ensure that woocommerce captcha settings are displayed only if woocommerce plugin is installed/active.
  • Fixed recaptcha bugs.
  • Added configurable item for max file upload size in basic firewall rules.
  • Fixed vulnerability related to open redirect and exposure of hidden login page for specific case. (Thanks to Erwan (wpscanteam) for letting us know)
  • Fixed bug where Apache directives were not being re-added into the .htaccess file after plugin re-activation.
  • Fixed bug related to account activity logout date not being set.
  • Added robustness to login lockdown feature by replacing the strtotime function with DateTime/DateInterval.
    This should prevent 32-bit systems from being constrained to the max date of 19 Jan 2038.
  • Fixed bugs related to captcha features.
  • Fixed and improved «Logged In Users» functionality for multisite.
  • Always set valid dates, to avoid errors when strict mode is enabled on mysql. Thanks to Davide.
  • Removed whois feature because it adds relatively little value and the third-party library used is not being maintained regularly.
  • Fixed «headers already sent» error when bulk action performed using aiowps list table.
  • Fixed another captcha bug related to comment form.
  • Fixed various captcha bugs: woocommerce lost password page, custom login form page, etc
  • Fixed rename login page feature bug introduced after WP core change in version 5.2.
  • Fixed captcha bug.
  • Fixed PHP_EOL issue where some IPv6 and v4 addresses saved in settings were incorrectly deemed invalid.
  • Tightened file permission for wp-config.php to «640»
  • Fixed DB prefix change bug for cases where DB had tables of type «view».
  • Fixed some translation string issues.
  • Minor style fix for wp list table pagination nav buttons.
  • Trying again — Fixed login captcha authentication bug.
  • Fixed login captcha authentication bug.
  • Minor bug fix — added missing check to enqueue recaptcha script only if that feature is enabled.
  • Added ability to hide secret rename login page link when sending emails to people asking for personal data export.
  • Fixed Google reCaptcha not showing on comment page.
  • Fixed activation handler and creation of DB tables to handle multi-site activations more robustly.
  • Improved reCaptcha code to prevent the occasional occurrence of «Uncaught Error: reCAPTCHA placeholder element must be an element or id» error.
  • Added extra check for PHP_OS value to prevent Apple «DARWIN» being interpreted as windows server.
  • Corrected some minor translation issues on rename login page.
  • Increased priority of authenticate hook for captcha check.
  • Updated the Dutch Language file.
  • More «get_home_path» fatal error preventions.
  • Fixed fatal error regarding «get_home_path» function.
  • Added Google reCaptcha feature for login forms.
  • Improved code which checks if site is main for multi-site installations.
  • Removed the text domain string from the translation functions in the wp-security-rename-login-feature.php file.
  • Changed .htaccess path location to use get_home_path().
  • Fixed minor woocommerce captcha bug
  • Added new tab called «WP REST API» in the Miscellaneous menu and created separate feature which disables unauthorized REST access for non-logged in users independent of the users enumeration feature.
  • Improved dashboard page widget area display.
  • Small translation string fix in the rename login page feature.
  • Fix — Error: Call to undefined function the_privacy_policy_link() in older versions of WordPress.
  • Added a check to disable file change detection feature and prevent fatal errors when FilesystemIterator is not available due to old versions of PHP.
  • Improved get_login_fail_count method in the AIOWPSecurity_User_Login class which will fix cases where login lockdown
    was not working on some servers due to timestamp difference between PHP current_time( ‘mysql’ ) and mysql now().
  • Modified rename login page to handle GDPR Export/Erase Personal Data request.
  • Fixed woocommerce registration page captcha bug.
  • Improved users enumeration so that authenticated requests to the REST API are allowed but others are blocked.
  • Improved logic in Renamed Login Page settings such that unnecessary call of AIOWPSecurity_Utility_Htaccess::write_to_htaccess() function is avoided.
  • Fixed a typo with the newly added action hook — aiowps_before_wp_die_renamed_login
  • Fixed bug — aiowps will now allow access to admin-post.php from front-end when rename login feature is active.
  • Modified login lockdown feature so that the exact IP address is locked down and not the IP range.
  • Added new filter (aiowps_ip_blocked_output_page) which allows user to filter the complete output when someone’s IP has been locked out.
  • Added new action hook (aiopws_before_wp_die_renamed_login) for the renamed login feature which fires just before the wp_die event which produces the «Not available» behaviour.
  • Removed unused code.
  • Modified get_user_ip_address to get the first IP address in cases where there are multiple comma separated addresses provided — example X-Forwarded-For.
  • Added new IP address settings page which user the ability to configure which $_SERVER global the IP address will be retrieved from. (New setting found in WP Security >> Settings >> Advanced Settings)
  • Fixed bug in .htaccess rules caused when 6G and IP blacklist firewall rules were simultaneously enabled.
  • Fixed bug where captcha answer was being ignored on woocommerce login page.
  • Added support for unlock requests made from woocomerce account login page when rename login feature is active.
  • Added useful debug code for troubleshooting in the fake googlebot function.
  • Some general code cleanup and improvement.
  • Added code to prevent direct access data leaks.
  • Added captcha settings for BBPress new topic form.
  • Fixed minor bug in dashboard page when checking if htaccess rules applied.
  • Added a check for Windows server installation in File Permissions feature — this feature is not applicable for Windows servers.
  • Added check to display comment captcha only when user not logged in.
  • Improved white list directives to cater for Apache 2.4 and earlier versions.
  • Added 3 filters for the manual account registration approval email: aiowps_register_approval_email_subject, aiowps_register_approval_email_msg, aiowps_register_approval_email_from_name
  • Added configuration option to allow custom firewall rules to be applied at beginning of all rules applied by aiowps.
  • Changed record insertions to DB table aiowps_failed_logins to store the full IP address instead of IP range.
  • Updated wp-security-rename-login-feature.php to include latest WordPress core changes.
  • Added captcha for woocommerce login and registration forms.
  • Fixed «mixed line endings» warnings for whois library.
  • Moved DB cleanup task cron job from daily to hourly.
  • Updated the reapply htaccess function so it doesn’t create the header already sent error.
  • Changed the parameter in current_user_can function to use an administrator capability instead of the «administrator» role name.
  • Added some new hooks to the AIOWPSecurity_WP_Loaded_Tasks called aiowps_wp_loaded_tasks_start and aiowps_wp_loaded_tasks_end.
  • Improved get_locked_ips() function and added $wpdb->prepare statement.
  • Added more missing translation domain parameters for translatable strings in the rename login page.
  • Deleted local copy of the Persian and Italian language files. These translations are available on translate. wordpress.org.
  • Domain path and text domain added to plugin header.
  • Changed the get_user_ip_address functions so that $_SERVER[‘REMOTE_ADDR’] is the primary method used to obtain IP address.
  • Added enumeration block via REST API (wp >= 4.7)
  • Improved «User Registration» feature to bypass the pending approval status for new users created in admin side.
  • Fixed bug in whois library.
  • Added translation domain parameter for translatable strings in the rename login page.
  • Updated the chinese language file.
  • The PHPWhois library updated to their latest version to include a security patch.
  • Added new Login Lockdown whitelist feature which allows immunity for IP address or ranges from being locked by the lockdown feature.
  • Fixed bug — Replaced date_i18n with current_time to prevent cases where some localizations produce foreign characters in date stamp output.
  • Added a new feature to add Honeypot to the WordPress’s user registration form (this can help reduce registration attempts by robots).
  • Added «Export to CSV» buttons for 404 Event Logs, Account Activity Logs and Failed Login Records.
  • Minor update to 6G rules.
  • Minor spelling and wording fixes and changes.
  • Fixed bug — added code which caters for mysql view definitions when DB prefix is changed.
  • Fixed a typo in the user login security menu.
  • Fixed storage of time stamp in lockdown table to match the local WordPress server time and be consistent with the timestamp stored in the failed logins table.
  • Prevent direct access to wp-security-core.php
  • Updated the POT file.
  • Fix error on block_ip_if_locked(), doesn’t exit with a wp_user. This is needed for other plugins that create the $user (aka ldap auth plugins).
  • Fix login error message for users with pending account approval.
  • WordPress 4.7 compatibility.
  • Fixed bug when math captcha was displayed on Woocommerce registration page.
  • Fixed login page bug for cases where email address and captcha are used to submit login form (thanks to @chesio for fix).
  • Logs directory now contains a .htaccess file with proper deny directives.
  • Small UX improvement: add for attribute to captcha label.
  • Added check for IIS server in get_server_type function.
  • Debug logger class improvements.
  • Added a message in the debug settings area to state that the log files are reset on every plugin update.
  • Always return an array from scan_dir_sort_date() to prevent PHP notices.
  • Improvements for Automated DB backups filling up space — old backup file will be deleted first.
  • Thanks to RIPS Analyzer for sending us the vulnerability report.
  • Improve output of .htaccess to include checks and RewriteEngine On directives.
  • Fall back to default DB backup interval in case of invalid value.
  • The aiowps_delete_backup_files() function will produce a debug log message on every call (to help with troubleshooting when needed).
  • WPML plugin compatibility fix for the renamed admin login page feature.
  • Fixed a few potential XSS vulnerabilities.
  • Small improvement to the new «immediate blocking of specific usernames» feature.
  • New feature to allow immediate blocking of specific usernames.
  • Only activate copy (right-click) protection for non-admin users.
  • Fixed bug where logout link in admin bar does not get updated on after the $_POST submit to reflect the new rename login setting.
  • Fixed small bug in return_regularized_url function.
  • Improvement/bug fix: When currently logged in user attempts to access renamed login page, redirect them to dashboard.
  • Removed Spanish language files so they can be automatically pulled from WordPress.org.
  • Drop unnecessary WHERE clause in some backend listings.
  • Improvement: do not schedule a cronjob, if it is already scheduled.
  • Added sanitisation for log file data in textarea.
  • Disabled autocomplete for Captcha field.
  • Added cleanup code for captcha string info transients.
  • Minor change to the username label in the renamed login page to keep it inline with the standard WordPress login page.
  • Fixed a potential vulnerability when viewing AIOWPS log files in the Dashboard menu. Thanks to Manuel LLOP for pointing this out.
  • Fixed bug where username is an email and captcha was being ignored.
  • Reduce memory footprint of database backup.
  • Improvements: Make hard-coded strings localizable.
  • Partial Apache 2.3 compatibility.
  • Improved: Hide WP version number by replacing it with a hash. This way, WordPress version number is not exposed, but browser caching is not obscured by missing version numbers.
  • Improved and tweaked the login captcha feature to avoid some issues people had with the last modification.
  • Deleted reference to ini_get(‘safe_mode’) to avoid fatal errors for newer versions of PHP where that setting has been totally removed.
  • Added new checkbox for XMLRPC to disable only pingback methods but leave other XMLRPC functionality accessible. This will be useful for people who use Jetpack or WordPress iOS or other apps.
  • Updated the French language file.
  • Fix: decbin doesn’t add leading zero. Comparing empty strings return bad results.
  • Fix: bugfix in the login captcha. Thanks to Sipke Mellema for pointing it out.
  • Fixed bug introduced by last file change scanner code changes.
  • Fixed bug in SPAM comment blocking functionality.
  • Fixed fatal error case when Divi theme and front end lockout is enabled.
  • Fixed Fatal error conflict between Rename Login feature and Yoast SEO and some themes when attempting to access wp-admin page directly.
  • Added «Pending Approval» message when manual registration approval feature is enabled and a user registers.
  • Fix (minor): No need to use strcmp to compare integer values.
  • Updated and simplified wp-security-stop-users-enumeration.php for bug (thanks to @davidegiunchidiennea)
  • Minor code cleanup (Thanks to @chesio for the following changes).
  • File scanner codebase cleanup.
  • Fix: properly report invalid email addresses in file scanner configuration.
  • Code clean-up in AIOWPSecurity_Scan::do_file_change_scan() method.
  • Tweak: Compare file scan data faster.
  • Fixed bug in Maintenance menu page when trying to attach a media file to the message text box.
  • Added a new filter (called «aiowps_ip_blocked_error_msg») which allows the modification of the error message displayed on the login page when an IP address has been blocked by the login lockdown feature.
  • Updated French language translation. Thanks to Claude Ribaux for providing the translation files.
  • Thanks to @chesio for making the following two changes.
  • Replaced deprecated call to get_currentuserinfo() function.
  • Minor code fixes in the backup class file.
  • Fix: display correct (error) message when write_to_htaccess() fails.
  • Tweak: database backup filename is more human-readable.
    Before: 24x7eg8l6i-database-backup-1463042767.zip
    After: database-backup-20160512-104607-24x7eg8l6i.zip
  • Made file change scanner code more robust for cases when open_basedir restriction is in effect. (Thanks to Manuel Jeanne for pointing this out).
  • Added code which will remove WordPress version info during CSS and JS script loading if you have the «Remove WP Generator Meta Info» option checked. (Thanks to aldemarcalazans for pointing this out).
  • Fixed some potential SQL injection vulnerabilities. (Thanks to Julio Potier for pointing these out).
  • Changed the feature category of blacklist manger from «Intermediate» to «Advanced».
  • Tweak: Remove «@» from list of characters blocked by advanced character string filter. (Because it is often used in retina-ready images).
  • Fix: Use home URL instead of site URL in lock notification email subject. Thanks to @chesio for fixing this.
  • Added ability to identify IP addresses during user registration and option to block selected IPs.
  • Added login form captcha functionality for sub-sites in a multi-site installation. (see the Brute Force menu)
  • Fixed multi-site bug related to manual user-chosen DB prefix change.
  • Added extra XSS protection inside admin menu pages for the «tab» query parameter.
  • Added a note to the features that has the potential to lock you out if it doesn’t work correctly on your site.
  • Updated Brazil-Portuguese language file.
  • Fixed issue with firewall custom rules being corrupted by magic quotes. Thanks to @chesio for fixing this.
  • Added a new action hook «aiopws_before_set_404» which triggers just before the AIOWPS sets a 404. (handy for cases when rename login page is used which affects some themes when accessing «wp-admin» directly)
  • Fixed some potential SQL injection vulnerabilities.
  • Thanks to @chesio for submitting the following changes and applying the fixes.
  • Sub-directory install fixes.
  • Improve behavior of WP File Access tab.
  • Fix invalid nesting of HTML elements.
  • Do not block HTTP requests that contain «tag=» in query string.
  • Option to enable the 6G firewall.
  • Removed the viewing of contents of wp-config.php and .htaccess files in order to protect sensitive info.
  • Fixed more potential XSS vulnerabilities in some other settings pages. (Once again many thanks to Erin Germ for pointing these out)
  • Fixed some potential XSS vulnerability in the blacklist, file system and file change detection settings pages. (Many thanks to Erin Germ for pointing these out)
  • Added new feature: Auto Block Spammer IPs. This feature will automatically and permanently block IP addresses which are linked to comment SPAM. (see SPAM Prevention -> Comment SPAM IP Monitoring tab)
  • Added compatibility fix for the qTranslate-X plugin in the rename login page feature.
  • Added ability to send to more than one email address for file change detection feature notification.
  • Fixed bug in whois library when searching ARIN registry.
  • Fixed the handling of display of longer IPV6 strings in dashboard summary table.
  • Added hook for WooCommerce login form to display unlock button.
  • Added Dutch language translation. Thanks to Jeroen van der Linde for providing the translation files.
  • Typo fix in the «stop users enumeration» feature.
  • Added urlencode to query strings in URLs to prevent unexpected behaviour. Thanks to @chesio for spotting the issue.
  • Added new feature to stop users enumeration. Thanks to Davide Giunchi @davidegiunchidiennea for adding this.
  • Added a more robust code for check_user_exists function. Thanks to Christian Carey.
  • Added cron cleanup of the global meta table.
  • Added a title in each of the admin interface menu.
  • Added ability to enable/disable debug from the settings menu.
  • Fixed bug related to using IP ranges in the whitelist settings.
  • Added IPv6 support for the whitelist feature.
  • Added check in file permissions feature for cases where wp-config.php may be located outside of root.
  • Added wp cron DB cleanup events for various tables which may grow large over time.
  • Changed firewall rule for proxy comment prevention to reflect suggestion made by Thomas O. in forum (https://wordpress.org/support/topic/high-server-cpu-with-proxy-login)
  • Fixed CSS styling issue in admin pages for WordPrss 4.4
  • Renamed the language files to match the new textdomain slug to fix the language translation bug.
  • Fixed bug related to the rename login feature and force logout or logout expiry events.
  • Applied fix for log being generated by events table DB insert.
  • Corrected a function call to static version of display error msg.
  • Updated text domain to match expected value for translate.wordpress.org translation system.
  • Fixed bug related to multi-site user_roles not being updated for child sites.
  • Fixed minor bug in rename login feature.
  • Updated the Italian language file.
  • Fixed an issue with the rename login page feature for WordPress 4.3
  • Added esc_attr() sanitization to some of the relevant parameters
  • Added the necessary changes to allow activation via wp-cli
  • Added guard against possible XSS in the unlock request feature.
  • Added new feature which allows custom .htaccess rules. (See «Custom Rules» tab in Firewall menu). You can now use this to add custom rules to block access to various resources on your site.
  • Added a new feature to block access to the wp-content/debug.log file (WordPress creates this file if you enabled debug loggin option in the config file).
  • Removed the «v» from version number of the plugin.
  • Completed testing with WordPress 4.3.
  • Added Rename Login page feature from the «Brute Force» menu to multisite sub-sites.
  • Removed invalid «length» attribute from input element in captcha code.
  • Fixed reset password feature whereby the URL which is sent out in the email for cases when rename login feature is enabled was not decoded properly.
  • Corrected the check for boolean false if returned from wpdb query result.
  • Added media button for wp editor in maintenance settings page.
  • Fixed minor bug — IP addresses blocked due to ‘404’ were not being listed in the display table.
  • Updated the Russian language translation file.
  • The automatic database table prefix generation value will use a-z characters only.
  • Added esc_url sanitization to the add_query_arg/remove_query_arg function instances to prevent possible XSS.
  • The sort order and orderby parameters now use a whitelisting approach for sanitization.
  • Fixed the sort order not working in the 404 error logging and account activity page.
  • Added a check for registration captcha feature to prevent errors when using another captcha plugin.
  • Improved a few SQL statements.
  • Added new «Force Logout» feature which will instantly force a certain user to be logged out of their session. (See the «Logged In Users» tab in User Login menu)
  • Added more security protection for aiowps log files by creating .htaccess file and rules. AIOWPS log files can now only be viewed via dashboard menu, in new tab called «AIOWPS Logs». (NOTE:This security currently applies only for apache or similar servers)
  • Added backticks to SQL statement for DB prefix change to help prevent errors.
  • Added protection against possible SQL injection attacks.
  • Added some robustness to the file-scan code.
  • Added extra security to all relevant list table instances to prevent unlikely malicious deletion commands.
  • Fixed the user agent part of the blacklist settings code to allow user-agents to be cleared upon saving.
  • Fixed bug in the new feature which allows permanent blocking of IP addresses that create 404 events.
  • Fixed minor bug for all instances where wpdb «prepare» was being used with order/orderby parameters.
  • Fixed a possible open redirect vulnerability. Thanks to Sucuri for pointing it out.
  • Added extra robustness and security for wp list table db commands by using wpdb «prepare» command.
  • Fixed minor bug with undeclared variable in rename login feature page.
  • Added an improvement for login lockdown feature — locked IP addresses will no longer be allowed to register.
  • Added a «view» link for each account in the pending registration approval table list.
  • Fixed 404 logging/lockout bug.
  • Added ability to permanently block IP addresses from the 404 event list for both bulk and single cases.
  • Added ability to do bulk temp blocking for IP addresses in 404 list.
  • Fixed a minor bug with validate_ip_list function.
  • DB cleanup cron event bug fixed.
  • Added Swedish language translation. The translation was submitted by Tor-Björn Fjellner.
  • Updated the Russian language translation file. Update submitted by Tor-Björn Fjellner.
  • The events table will automatically be cleaned up so it only keeps the last 5000 entries. You can override it using a filter (if you wanted to).
  • Added functionality to prevent the aiowps_events table from getting too large.
  • Added file change scan summary inside the alert email.
  • Fixed the unlock feature so that it works correctly when the Rename Login Page feature is active.
  • Added a check in the list logged in users file to prevent error when get_transient returns false.
  • Updated POT language file.
  • Tweaked the function which retrieves the IP address to handle cases where traffic is coming from cloudflare
  • The MySQL database will not be forced anymore at the time of creating the table. It also reads the characters set value from the system first.
  • Applied fixes to prevent remotely exploitable vulnerabilities.
  • Modified «Pingback Protection» .htaccess rules to prevent xmlrpc login attacks and to be compatible with more servers.
  • Made improvements to ensure that the rename login and white list features can be used together.
  • Added a check to force user to enter alphanumeric string for renamed login slug.
  • Improved the turn_off_all_firewall_rules() and turn_off_all_security_features() functions so that they also handle the updating of the htaccess file.
  • Added an alternative way to import settings via a text box (Thanks to Dave McHale). This is for people who might have issues using the config settings file uploader.
  • Added fix to properly update options tables when changing DB prefix in multisite system.
  • Greatly improved the Renamed Login Page feature by removing various potential vulnerabilities.
  • Added an if statement check to fix bug with rename login page feature — special case where user had non permalink structure was not working correctly in some rare scenarios.
  • Updated the Italian language file.
  • Fixed bug regarding wp_mail malformed header when «From» string was empty due to «site title» not being set.
  • Fixed bug in IP list validation function for blacklist feature.
  • Removed strict filtering of IP addresses so as to allow internal IP address ranges.
  • Added stripping of orderby and order query parameters in the plugin.
  • Added search capability by IP address, URL or referer for the 404 events list table.
  • Fixed a CSS issue with the honeypot feature.
  • Fixed a call to the login action handler static function.
  • Minor bug fix for the honeypot feature — loading of css style sheet was not occurring when main login page rendered.
  • Improved deactivation and re-activation tasks — AIOWPS will now gracefully clean up the .htaccess rules when the plugin is deactivated.
  • Tweaked code so that all login pages including custom ones will correctly load the CSS style sheet file needed for honeypot feature.
  • Updated the Portugese language translation.
  • Fixed the copy protection feature so it doesn’t interfere with iframes and shortcodes.
  • The plugin will now work fine even if your wp-config.php file is outside the wordpress root folder.
  • copy protection feature JS code improvement
  • Added captcha functionality for custom login form which is produced by the WP function: wp_login_form()
  • Fixed a minor bug with the copy protection feature’s JavaScript code.
  • Tweaked file change scan algorithm to help prevent getMTime fatal runtime errors.
  • Added a link to the github repository in the readme.txt file for developers.
  • Fixed a small bug related to the cookie test in the Cookie Based Brute Force feature.
  • Added new feature called Login Honeypot which will help reduce brute force login attempts by robots. (This can be found in the Brute Force menu)
  • Added new feature to prevent other sites from displaying your content via a frame or iframe. (This can be found in the Miscellaneous menu)
  • Added captcha feature for BuddyPress registration form.
  • Added a new filter for the site lockout message so it can be customized.
  • Added a new filter for template include of the site lockout feature.
  • Temporarily deactivated the «DB Scan» feature.
  • Improved DB prefix change code to make it more robust.
  • Fixed a minor bug for the Rename Login page feature.
  • Added check when processing rename login page to see if maintenance (lockout) mode enabled. Plugin will now display lockout message instead of 404 page if site lockout enabled.
  • Made the Cookie Based Brute Force Prevention feature more secure by introducing a 10 digit random suffix to the test cookie name.
  • Added ability to insert captcha in WordPress Multi Site registration form.
  • Added a condition around the management permission constant. This will allow users to define a custom capability for this plugin’s admin side via the wp-config file. This was submitted by Samuel Aguilera.
  • Fixed a bug with the hidden login page feature.
  • Fixed a small settings bug with the «block fake google bot» feature.
  • Added a new DB scan feature. Go to the «Scanner» menu to use this new feature.
  • Added new settings import/export feature.
  • Modified user accounts feature to alert administrator if one or both «admin» or «Admin» usernames are being used.
  • Added Persian language translation. The translation was submitted by Amir Mousavi Pour ([email protected]).
  • Small change to get_mysql_tables function to prevent fatal error when mysqli query is unsuccessful.
  • Added Italian language translation. The translation was submitted by Marco Guglielmetti.
  • Added a new feature to add copy protection for your front-end. You can find this feature under the «Miscellaneous» menu.
  • Fixed comment captcha bug for multi-site. Now this feature can be activated/deactivated for subsites of a multisite installation.
  • Added Hungarian language translation. The translation was submitted by Daniel Kocsis.
  • Moved the custom login page feature’s handling code to wp-loaded hook so other plugins that modify the login page can do their task before our one is triggered. This change was suggested by Mark Hudnall.
  • Added German language translation. The translation was submitted by Manuel Fritsch.
  • Updated the Brazilian language translation file.
  • Added Brazilian language translation. The translation was submitted by Sergio Siqueira.
  • Added two new action hooks for plugin activation and deactivation time.
  • Improved the get_user_ip_address() function so it handles cases when multiple addresses are returned due to proxy.
  • Fixed the mis-alignment of login page which was broken by WP3.9 when rename login feature is used.
  • WordPress 3.9 compatibility
  • Added a PHP Info section in the system info interface to show some important PHP details of the server.
  • Added a filter to allow the user to have a custom translation in a place (which will be loaded instead of the default one from the plugin). This change was submitted by Samuel Aguilera.
  • Replaced myslqi fetch_all method with fetch_assoc to cover cases where some servers do not have the correct mysql drivers.
  • Added a new filter to allow manipulation of the htaccess rules from your custom code. The name of the filter is ‘aiowps_htaccess_rules_before_writing’.
  • Added a «Delete All 404 Event Logs» button to purge all 404 logs from DB
  • Added code to automatically send an email to the registrant when an account has been manually «Approved» from the User Registration menu.
  • Fixed a minor bug: dashboard link was pointing to the wrong tab for the «Logged In Users» tab.
  • Fix a bug with the login page captcha. The captcha wansn’t shown if the rename login page feature was enabled at the same time.
  • Added new feature — 404 detection. This allows you to log 404 events and block selected IPs. This feature can be found in the Firewall menu.
  • Added new dashboard info box to display number of blocked IP addresses in the lockout table.
  • Fixed bug where user could not access login page when maintenance mode and rename login page features were both active.
  • Tweaked the hotlinking .htaccess directives to cover both http and https.
  • Fixed code to prevent mysql errors due to some variables not having default value in failed login and lockdown tables
  • Replaced deprecated PHP function mysql_query with mysqli.
  • Added language file for Spanish language. The Spanish translation was done by Samuel Montoya.
  • Added code to hide the «DB Prefix» menu for the non-main sites in multi-site installation
  • Added a new feature to prevent image hot-linking. (See the «Prevent Hotlinks» tab in the firewall menu)
  • Added a check in the Rename Login Page feature to prevent people from setting the slug to «wp-admin»
  • Fixed a small bug with Login Lockdown feature.
  • Fixed a bug where the cookie-based brute force directives were not being deleted from the .htaccess file when the Rename Login Page feature was being activated.
  • Added new feature which will Block Fake Googlebots from crawling your site. Check the Firewall menu for this new feature.
  • Added code to prevent users from having both the Rename Login Page and Cookie-Based Brute Force features active at the same time.
  • Added some useful info boxes in the dashboard: 1) to inform the user if the cookie based brute force or rename login page features are active, 2) last 5 logins to your site.
  • Fixed minor bug with .htaccess backup feature.
  • Updated the from email address value used for sending backups and file change notification. Thanks to @TheAssurer for the tip.
  • Updated the warning message for the disable index view feature.
  • Consolidated «Brute Force» features by moving all such features to the «Brute Force» menu.
  • Improved the file change detection scan feature: Introduced a button allowing admin to view the file change results from the last scan and fixed small bug whereby the change detected flag was not being cleared for applicable cases.
  • Fixed a small bug with «rename login page» (hide admin login) feature.
  • Made wp-config.php and .htaccess file backups more secure. Thanks to @TheAssurer for the tip.
  • Made the login code more robust by catering for cases where the «wp_login» action was not passing 2 parameters.
  • Added a brand new brute force prevention feature — Rename Login Page. This feature can be found in the new menu item called «Brute Force».
  • Modified the new unlock request feature so that the locked out user will only have to enter email address when they submit an unlock request.
  • Replaced the deprecated PHP function «mysql_list_tables» with alternative code.
  • Added warning message regarding WordPress iOS app when pingback protection feature in the firewall settings is active.
  • Added Malware scan tab and information.
  • Some minor html form and CSS corrections.
  • Added new feature which allows users to generate an automated unlock request link via email when they get locked out because of the login lockdown feature.
  • Added a check to ensure that user cannot enter 0 minutes in the Force Logout feature.
  • Fixed translations so that various previously omitted strings can now be translated.
  • Added a new filter before locking down a user’s IP address — aiowps_before_lockdown.
  • Generated a new translation (POT) file.
  • Added a new feature that will allow you to add a captcha to the lost password form (useful if you are allowing user registration on your site).
  • Added ability to specify a system log file in the «Host System Logs» tab of the «File System Security» menu
  • Fixed a tab link bug. One link was going to the wrong menu tab.
  • Updated the POT file of the plugin.
  • Added a new feature which allows you to add captcha to the WordPress user registration page.
  • Added some more helpful comments and link to video tutorial in the brute force and white list features settings pages.
  • Added new feature which automatically sets the status of newly registered wordpress user accounts to «pending» and allows manual approval by an administrator.
  • Improved robustness of file change detection iteration code.
  • WordPress 3.7 compatibility
  • Improved the login captcha implementation
  • Changed the management permission to manage_options
  • Added a feature to insert a simple math captcha to the WordPress comment form (to reduce comment spam). Check the spam prevention menu for this new feature.
  • Fixed a minor bug with bulk unlock/delete in user login menu
  • Fixed a minor bug with math captcha logic.
  • Added a simple math captcha functionality for the WP login page. This is another easy yet effective way to combat Brute Force Login Attacks. You can enable this new feature from the user login security menu.
  • Added a new Login Whitelist feature. This feature enables you to specify one or more IP addresses in a special whitelist which will have access to your WP login page.
    All other IP addresses trying to access your WP login page which are not in the whitelist will be automatically blocked.
  • The IP address will also be included in the email that gets sent to the admin for the ip address lockout notification.
  • Language file loading fix for Chinese language.
  • Tweaked the code which creates a .htaccess file in the backup directory to ensure it gets run even if the directory already existed.
  • Made DB backups more secure.
  • Added more useful debug logs for .htaccess file manipulation failure scenarios.
  • Added a new feature which will list the currently logged in users who have been active within the last 15 minutes.
  • Added a new feature in settings menu which will disable all firewall rules and clear all applicable directives in the .htaccess file.
  • Improved the way the wp-config.php file is handled when it contains an ending PHP tag «?>» (older sites that were using PHP4 earlier).
  • Added new feature/checkbox which will instantly lockout IP address ranges which attempt to login with an invalid username.
  • Fixed a bug in the Comment SPAM IP Monitoring page where trying to block one or more IPs was failing.
  • Removed the word «config» from the list of bad query strings check (to add compatibility with a few more plugins)
  • Added a notice in the dashboard menu to show you if there are any recent file changes that the plugin detected.
  • Fixed bug with php File Editing feature. Code now also handles older style wp-config.php files which have the php end tag «?>»
  • Fixed bug with «Disable All Security Features» button functionality. When clicked, this will now also make the appropriate changes to the .htacces and wp-config.php files if necessary.
  • Changed the storage of backup files from the plugin’s directory to the uploads directory. Also added a .htaccess file for security.
  • Fixed the way user-agent strings were written to the .htacess file from the Blacklist feature. The code now will correctly identify and represent spaces and escaped chars.
  • Fixed a bug related to sending backup to correct email address.
  • Added new menu called Scanner with a new feature called File Change Detection. This feature will alert you if any files have changed, added or removed from your system.
  • Fixed «Deny Bad Query Strings» rules to not break the ability to drag components in the WordPress «Appearance->Menus» page
  • Fixed an activation time warning (on sites with WP_DEBUG option enabled)
  • Re-implemented the wp-config.php file content backup feature. It now directly downloads the contents of the file to your computer.
  • Multi-site enhancements: Suppressed access to configuration settings for features which are not allowed to be configured from subsites of multi-site installations.
  • Fixed a bug with login lockdown feature.
  • Added a new feature which will block some spambots from submitting comments.
  • Moved Comment SPAM IP monitoring interface to the new «SPAM Prevention» menu.
  • Fixed a bug with login lockdown feature for both multi and single site.
  • Improved firewall feature for multi-site by making the «Firewall» menu available only for the main site and not the sub-sites.
  • Added random prefix to backup file names.
  • Fixed a bug for WP multi-site install where DB tables do not get created when new blog are created in the network.
  • Fixed a version tagging issue.
  • Fixed an issue with install time error on some sites for WordPress 3.6
  • Fixed some WP Debug related errors for WordPress 3.6
  • Replaced the deprecated $wpdb->escape() function calls with esc_sql() calls
  • Fixed a bug for general DB backup functionality.
  • Fixed multi-site DB backup — the plugin will now backup only the tables relevant for the sub-site in question.
  • Added blank index.html files in various folders inside the plugin.
  • Disabled the wp-config.php file backup feature until we find a more secure method of doing the backup.
  • Added new WordPress PingBack Vulnerability Protection feature. This allows the user to prohibit access to the xmlrpc.php file in order to protect against certain vulnerabilities in the pingback functionality.
  • Added a configuration item in the brute force login prevention feature to allow ajax functionality to work properly when this feature is enabled.
  • Added a POT file for language translations.
  • Made the DB Prefix feature more robust by adding a check to ensure that plugin can write to the wp-config.php file. This will prevent user from losing access to their site in cases where the system changed the prefix but not the entry in the wp-config.php file.
  • Tightened the data validation for the cookie based brute force login feature to ensure that the user must enter a secret word which consists of alphanumeric characters.
  • Added edit links to the user account list in the «User Acounts» menu.
  • Moved the front end site lockout feature to a new menu called «Maintenance».
  • Added a feature in the front-end lockout feature to allow people to specify their own message which will be displayed on the front-end to visitors who try to access the site when it is in lock out state.
  • Fixed a bug in the front-end lockout feature by adding some checks which ensure that the admin will not get locked if the feature is still active and their login session expires or they log out.
  • Added a widget in the dashboard menu to show the status of the «maintenance mode» feature.
  • Added a new feature which is a password strength tool which calculates how easy it is for your chosen password to be cracked using a desktop PC and the appropriate SW. This tool should help you create strong passwords.
  • Added a front-end general visitor lockout feature. This feature allows you to temporarily lock down the front end of your site while you do security investigation, site upgrades, tweaks etc.
  • Added a new option in the cookie-based Brute Force Login Attack prevention feature to allow users to use this feature together with the WordPress’s post/page password protection feature.
  • Fixed a bug in the 5G firewall rules to so that the printed rules include the correct number of ‘\’ characters.
  • Fixed a minor bug in the «restore from backed up htaccess file» feature.
  • Enhanced the «Save current wp-config.php file» feature so it will continue to work with all of the firewall rules active on the site.
  • Added extra checks to account for some error scenarios caused on some servers when recursive file search is done.
  • Added new feature — Cookie-based Brute Force Login Attack Prevention. Check under the «Firewall» menu for this new feature.
    This feature will stop hackers in their tracks when they try to access your wp-admin or login pages. This feature will secure your WordPress backend by enforcing the requirement that anybody trying to access these pages will require a special cookie.

  • Fixed bug related to setting of default configuration for first-time plugin activation.

  • Tweaked the «Deny Bad Query Strings» firewall rules so that plugin deletion and update operations from the WordPress plugins menu are not affected.
  • Fixed a minor bug related to scheduled database backups.
  • Added some extra default settings to be applied to the plugin’s configuration pages upon activation for the first time.
  • Plugin will now display a recommendation message if user sets scheduled backup frequency to less than 24 hours.
  • Added a new feature to remove the WordPress Generator Meta information from the HTML source of your site.
  • Tweaked the «Advanced Character String Filter» to fix issue which was affecting plugins such as «Admin Management Xtended» and also pages with keywords such as «password» in the URL.
  • Updated one rule in the «Advanced Character String Filter» feature to make it compatible with W3 Total Cache Plugin’s minify feature.
  • Added a «Delete All Failed Login Records» option in the «Failed Login Records» tab. This will delete all entries in the failed logins table and will make it less tedious for users who get a lot of brute force attacks on their site.
  • Moved the rules which disable index views from the «basic firewall» rules to the «additional rules» section. This will prevent any site breakage for
    those who want to enable the basic firewall but do not have «AllowOverride» option enabled in their httpd.conf
  • Added the following new feature:
  • Prevent people from accessing the readme.html, license.txt and wp-config-sample.php files.
  • First commit to the WP repository.

All In One WP Security

Привет, ребята! Когда твой сайт становится немного раскрученным, появляются постоянные читатели, получаешь огромное удовольствие. Вроде бы все круто. Растет и поток денег, и отклик получаешь от аудитории, увеличивается узнаваемость. Но существует и обратная сторона медали. Это завистники, это внимание со стороны недоброжелателей.

Чтобы вы представляли, о чем идет речь: мой блог только за прошлую неделю взламывали 2 раза. Постоянные посетители, думали, заметили. Ребята, я настоятельно рекомендую ознакомиться с данным уроком, потратить время на внедрение советов, о которых говорю, чтобы больше обезопасить свой сайт и сэкономить время, деньги и нервы.

Существует довольно много плагинов, связанных с улучшением безопасности, я пробовал многие, но все что-то не то. Либо блог “падал” непонятно из-за чего, либо сложно было понять, как работать. И все же, благодаря советам ребят, с которыми общаюсь на марафоне, удалось найти достойный, похвальный плагин, который очень сильно понравился. Абсолютно всем. Поэтому сразу же спешу поделиться с вами этой информацией.

All In One WP Security – это самый необходимый плагин для увеличения безопасности в WordPress. Ставить его нужно всем, кто владеет сайтом на Вордпресс. Всем без исключения.

Если мой любимый плагин Yoast SEO – это комбайн в сфере SEO для WordPress, то плагин WP Security – аналог в сфере безопасности. То есть, если благодаря Yoast SEO я перестал нуждаться в нескольких SEO плагинах, то здесь точно также, благодаря All In One WP Security можно избавиться от других плагинов, которые лишь частично выполняют функции данного. Например, как:

  • Login Lockdown;
  • WordPress Database Backup;
  • Anti-XSS attack;
  • и другие подобные.

Огромные плюсы плагина All In One WP Security:

  • бесплатный;
  • настраивается очень просто;
  • практически все переведено на русский язык, поэтому понятно о чем идет речь.

Настройка плагина All In One WP Security

Обязательно сделайте бэкап (резервную копию) перед началом работы (на всякий случай) следующих файлов:

  • база данных;
  • файл wp-config;
  • файл htaccess.

Кстати, резервные копии этих трех файлов можно сделать прямо в данном же плагине, просто в админке перейдите в WP Security – Настройки:

Панель управления

Тут есть очень крутой информер, который показывает уровень защищенности вашего сайта:

Этот показатель поможет держать руку на пульсе и понимать, что еще нужно сделать для улучшения безопасности. Не рекомендую делать все, ради достижения максимальных баллов. Могут быть плохие последствия, ваш сайт может упасть, ошибочно функционировать.

Текущий статус самых важных функций. В этом блоке можно активировать самый необходимый функционал по безопасности вашего сайта (можете пока не трогать их, в ходе настроек по уроку, данные параметры активизируются итак):

Остальные параметры в Панели управления малоинтересны, Вы можете ради любопытства ознакомиться с ними (Информация о системе, Заблокированные IP адреса, AIOWPS.


Общие настройки. Тут можно создать резервные копии файлов, о которых я говорил выше. Также отключить функции безопасности и файерволла, если что-то перестало работать.

WP мета-информация. Нажимаем на галочку напротив “Удаление метаданных WP Generator”, чтобы не отображать версию WordPress:

Вкладка “Импорт/Экспорт”. Здесь можно экспортировать свои настройки, чтобы потом на другом сайте не тратить время на настройки и импортировать в 2 клика все необходимые “галочки”.


Пользовательское имя WP. Обязательно (!) смените имя администратора, если оно у вас “admin”. Вы не представляете как много и часто подбираются пароли с логином admin. Если еще к тому же пароль очень легкий, ваш сайт легко может быть взломан.

Отображаемое имя. Если на вашем сайте есть аккаунты, у которых имя пользователя и отображаемое имя совпадает, то рекомендуется изменить отображаемое имя (никнейм).

Пароль. Очень интересная вкладка. Тут можно узнать, за какой промежуток времени можно подобрать в автоматическом режиме ваш пароль. Введите свой пароль и сильно удивитесь, насколько быстро его можно взломать. Обязательные условия для усиления безопасности:

  • в вашем пароле должны быть как заглавные, так и строчные буквы;
  • обязательно наличие хотя бы 1-ой цифры, но никак пароль не должен состоять только из цифр;
  • желательно еще наличие какого-либо спецсимвола;
  • длина пароля должна быть более 10 символов.

В итоге у вас должен быть максимальный степень безопасности вашего пароля, что-то в этом роде (пароль ниже домашний компьютер взломал бы за 57 337 лет (!) ):


Блокировка авторизаций. Обязательно включите эту функцию. Если пароль в течении 5-ти минут (по умолчанию)  введется 3 раза неправильно, то IP блокируется на 60 минут (тоже по умолчанию). Я не рекомендую ставить блокировку больше по времени, а то можно столкнуться  с тем, что сами администраторы вводят логин 3 раза неправильно, ставят блокировку на 10 лет и не знают что делать. Оставляем по умолчанию 60 минут и не паримся.

Также я рекомендую поставить галочку напротив “Сразу заблокировать неверные пользовательские имена”. К примеру, вы поменяли логин с admin на krutysh, то при вводе логина admin в поле для авторизации, сразу же заблокируется IP адрес. “Уведомлять по email” – тут по мере необходимости. Я не люблю лишний спам, поэтому здесь галочку не ставлю.

Итоговые настройки данной вкладки у меня выглядят так:

Если вам любопытно, можете глянуть список заблокированных IP, ссылка на раздел приводится в данной же вкладке ниже.

Ошибочные попытки авторизации. Вот здесь как раз видны те логины, которые подбираются. Чаще всего у меня сверкают логины admin, root, font. Также видны время “попыток”. Обратите внимание, как часто пытаются войти в админку:

Автоматическое разлогинивание пользователей. Рекомендую тоже включить данный чекбокс. Позволяет через определенное количество минут завершить сессию и разлогинить пользователя. Я ставлю 600 минут:

Вкладки “Журнал активности аккаунта” и “Активных сессий” носят информационный характер.

Регистрация пользователей

Ставим галочку напротив “Активировать ручное одобрение новых регистраций”:

Да и можно поставить галочку CAPTCHA при регистрации:

Конечно, если нельзя зарегистрироваться другим людям на вашем сайте, верхние 2 пункта просто бесполезны, от них не станет ни лучше, ни хуже. Но, если вы сомневаетесь, лучше поставьте галочки в этих пунктах.

Защита базы данных

Здесь будьте аккуратны во вкладке “Префикс таблиц БД”. Прежде чем поставить галочку, обязательно сделайте резервную копию своей базы данных (там же увидите ссылку на создание бэкапа своей БД). Если боитесь, сомневаетесь, лучше оставьте без галочки:

Резервное копирование БД. Здесь уже ставим галочку, выбираем частоту создания бэкапов и их количество. У меня. к примеру, такие цифры:

Если вы не так категорически относитесь к чистоте в почте как я, то можете включить чекбокс для отправки бэкапов на свой электронный ящик.

Защита файловой системы

Доступ к файлам. Здесь в правой части у вас будут кнопки, вам нужно будет изменить права доступа к файлам, нажав на эти кнопки. В результате все строчки у вас должны стать зелеными:

Редактирование файлов PHP. Если вы не правите свои PHP файлы через админку, ставим галочку. Править файлы через админку я не рекомендую хотя бы потому, что у вас нет возможности нажать CTRL+Z в случае чего и вы не сможете вернуть файл в исходное положение:

Доступ к файлам WP.  Ставим галочку:

Системные журналы. Оставляем по умолчанию.


Можете вбить IP адрес, либо домен для получения WHOIS какого-либо домена. А так по сути тут нечего трогать.

Черный список

Если у вас нет недоброжелателей, можете не включать данный пункт. Если какой-то IP адрес постоянно сверкает в комментариях, к примеру, можете включить чекбокс и внести данный IP в черный список.


Базовые правила файрволла. Если вы не делали до этого момента резервную копию htaccess, то обязательно делаем его. И ставим галочки напротив всех пунктов:

Дополнительные правила файерволла. Тут тоже включаем все галочки:

UPDATE: ниже во вкладке “Дополнительная фильтрация символов” я убрал галочку, потому что некоторые комментарии не проходили, отдавали 403 ошибку. Наверное, все-таки, вам тоже я посоветовал бы убрать эту галочку, чтобы не было у пользователей проблем с комментированием.

Настройки 5G файрволл. Тоже включаем:

Интернет-боты. Здесь могут возникнуть проблемы с индексацией, поэтому я рекомендую не включать данный пункт.

Предотвратить хотлинки. Тоже включаем.

Детектирование 404. Рекомендую включить. А время ставить минут 5.

Custom Rules. Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.

Защита от брутфорс-атак

Переименовать страницу логина. Включаем. Меняем адрес логина на свой:

Защита от брутфорс-атак с помощью куки. Я не включаю данную функцию, чтобы не было проблем со входом с разных устройств.

CAPTCHA на логин. Можете включить CAPTCHA при авторизации, я же не включаю:

Белый список для логина. Так как я часто захожу на сайт с разных мест, IP у меня разный, поэтому данную опцию я не включаю:

Бочка с медом. Создается дополнительное поле, которое видят только роботы. Поэтому, при заполнении данного поля, робот будет перенаправлен на свой адрес. Включаем:

Защита от SPAM

CAPTCHA в форме комментариев. Я не включаю, так как не люблю усложнять комментирование, а вот функцию “Блокировка спам-ботом от комментирования” рекомендую включить:

Отслеживание IP-адресов по спаму в комментариях. Тут можно глянуть на “частосверкающие” IP по спаму в комментах и занести их в черный список.

BuddyPress. Добавляет CAPTCHA в форме регистрации BuddyPress. Я не использую ее.


Отслеживание изменений в файлах. Рекомендую включить, так как часто при взломе сайтов не совсем понятно, какой файл изменили, где искать вредоносный код. А с помощью этой функции сможете отследить изменения в файлах вашего сайта и быстро найти тот файл, который изменялся в последнее время.

Сканирование от вредоносных программ. Функция платная, стоит от 7$ в месяц.

Режим обслуживания

Позволяет “закрыть” сайт на время, чтобы сделать какие-то правки. То есть посетителям сайта будет предложена “заглушка”, что ведутся работы на сайте. Полезно при смене дизайна, проверке работоспособности плагинов.


Защита от копирования текста и прочее. Здесь я нигде в трех вкладках не ставлю галочки. Тоже рекомендую не ставить.


После завершения всех этих настроек, вы можете перейти в “Панель управления” и глянуть показатель уровня безопасности, у вас должно получится что-то вроде этого:

Повторюсь, не нужно необдуманно делать все, чтобы достигнуть максимально возможного балла. Не занимайтесь ненужным вредом для своего сайта, его работоспособности и удобства.

На этом все, плагин рекомендую ставить всем, действительно очень классный “комбайн” в плане безопасности для WordPress.

Если возникнут вопросы – пишите. Спасибо отдельное за ретвиты и репосты, за то, что помогаете людям донести эту важную информацию.

Лучшая защита WordPress — плагин All In One WP Security (настройка)

Меня взломали. Знаете как страницу во ВКонтакте. Но они не клянчили денег, а насоздавали множество “левых” страниц с ссылками на разные сайты. Тогда я задумался над защитой своего блога. И я нашел идеальное решение.

Первое что я сделал это обратился в техподдержку своего хостинга с просьбой восстановить мой сайт за день до взлома и уже через десять минут у меня был мой нормальный блог.

Потом я установил множество плагинов для защиты ВордПресса от взлома. Но блог стал жутко тормозить. Страницы грузились по пять десять секунд. Это очень долго.

Я начал искать плагины которые не так сильно нагружают систему. Читал отзывы по этим плагинами и все чаще стал натыкаться на All In One WP Security. По описанию он мне очень понравился и я решил поставить его себе на блог. И он защищает меня до сих пор, так как ничего лучше я не встречал.

Что умеет All In One WP Security (защита wordpress всё в одном):

  • Делает резервные копии базы данных, файла конфигурации wp-config. и файла .htaccess
  • Смена адреса страницы авторизации
  • Скрывает информацию о версии WordPress
  • Защита админки – блокировка при неправильной авторизации
  • Защита от роботов
  • И ещё много чего полезного

Я смело могу сказать, что плагин безопасности All In One WP Security – это лучшая защита wordpress сайта.

Настройка All In One WP Security

Зайдя в отдел Настройки, первым делом нужно сделать резервные копии:

  • база данных;
  • файл wp-config;
  • файл htaccess

Делается это на первой странице настройки плагина All In One WP Security.

сделайте бэкап (резервную копию) перед началом работы

Пройдусь только по самым важным пунктам.

пункты настройки плагина all in one wp security

Панель управления

Тут нас встречает счетчик “Измеритель безопасности”. Он показывает уровень защиты сайта. Ваш сайт должен быть как минимум в зеленой зоне. Не надо гнаться за максимальной планкой – лишние настройки могут нарушить функционал сайта. Добейтесь золотой середины.

Счетчик защиты сайта на wordpress

Когда вы будете изменять настройки защиты плагина, то увидете в каждом пункте зелёный щит с цифрами – это и есть те цифры которые прибавляются к общему счету безопасности.

цифра прибавляется к общему счету безопасности


Вкладка WP Version Info

Чекаем галочку Удаление метаданных WP Generator.

Удаление метаданных WP Generator

Делается это для того, чтобы в коде не отображалась установленная у вас версия движка WordPress. Злоумышленники знают в какой версии есть уязвимости, и зная установленную у вас версию ВордПресса смогут быстрее взломать ваш сайт.


Пользовательское имя WP

Если у вас логин для входа в админку admin, то обязательно меняем его. Admin это самый популярный логин. Многие ЦМСки предлагают его по умолчанию, а людям просто лень его менять.
Злоумышленники используют различные программы для взлома сайтов. Эти программы подбирают логины и пароли пока не найдут подходящую комбинацию.
Поэтому не используйте логин admin.

Отображаемое имя

Если ваш ник совпадает с логином, то обязательно меняем логин или ник.


Если ввести тут свой пароль, то плагин покажет за какое время можно взломать ваш сайт.
Рекомендации по усилению надёжности пароля:

  • Пароль должен состоять из букв и цифр
  • Используйте строчные и прописанные буквы
  • Не используйте короткие пароли (минимум 6 символов)
  • Желательно наличие в пароле спецсимволов (% # _  * @ $ и подробных)

Сложность пароля


вкладка Блокировка авторизаций

Обязательно включаем. Если в течении 5 минут кто-то неправильно введёт пароль 3 раза, то IP заблокируется на 60 минут. Можно поставить и больше, но лучше этого не делать. Может случится так, что вы сами неправильно введёте пароль и будете потом ждать месяцы или даже годы 🙂
Отмечаем галочку “Сразу заблокировать неверные пользовательские имена”.
Допустим ваш логин hozyainsayta, и если кто-то введёт другой логин (например login), то его IP адрес автоматически заблокируется.

опции блокировки авторизации

Автоматическое разлогинивание пользователей

Ставим галочку. Если вы зайдёте в админку сайта с другого компьютера и забудете выйти из админки, то через указанный промежуток времени система сама вас разлогинит.
Я ставлю 1440 минут (это 24 часа).

Опции автоматического разлогинивания пользователей

Регистрация пользователей

Подтверждение вручную

Чекаем “Активировать ручное одобрение новых регистраций”

Ручное одобрение новых регистраций

CAPTCHA при регистрации

Тоже ставим галочку. Это отсекает попытки зарегистрироваться боту-роботу, так как роботы не справляются с капчей.

Registration Honeypot (бочка мёда)

Отмечаем. И не оставляем роботам не единого шанса. Эта настройка создает дополнительное невидимое поле (типа Введите сюда текст). Это поле видят только роботы. Так как они автоматически заполняют все поля, то и в это поле что-то напишут. Система автоматически блокирует те попытки регистрации у которых будет заполнено это поле.

Защита базы данных

Префикс таблиц БД

Если ваш сайт существует уже достаточно давно и на нем много информации, то изменять префикс базы данных следует с максимальной осторожностью

обязательно сделайте резервную копию БД

Если вы только что создали свой сайт, то можете смело менять префикс.

Префикс таблиц Базы данных

Резервное копирование базы данных

Включаем автоматическое создание бэкапов.
Выбираем частоту создание резервных копий.
И количество файлов с этими резервными копиями, которые будут храниться. Потом они начнут перезаписывается.
Если вы хотите, чтобы эти файлы дополнительно посылались на вашу электронную почту, то отмечаем соответствующую галочку. У меня для этих целей в почтовом ящике заведена отдельная папка, туда пересылаются все бекапы (моих и клиентских сайтов).

Настройки резервного копирования Базы данных

Защита файловой системы

Доступ к файлам

Тут меняем права доступа к файлам, чтобы все было зелёным.

Доступ к файлам

Редактирование файлов php

Ставим в том случае, если вы не редактируете файлы через админку. Вообще вносить какие либо изменения в файлы нужно через программы ftp-менеджеры (типо файлзилла). Так в случае какого либо “косяка” всегда можно отменить предыдущее действие.

Доступ к файлам wp

Запрещаем доступ. Этим действием мы сможем скрыть важную для хакеров информацию.

Черный список

Если у вас уже есть IP адреса которым вы хотите запретить доступ к сайту, то включайте эту опцию.

Блокировка пользователей по IP


Базовые правила файрволла.

Файрволл и брандмауэр это программный комплекс представляющий собой фильтр несанкционированного трафика.

Эти правила вносятся в файл .htaccess, поэтому сначала делаем его резервную копию.

Теперь можно проставить нужные галочки:

Активировать основные функции брандмауэраЗащита от уязвимости XMLRPC и Pingback WordPressБлокировать доступ к debug.log

Дополнительные правила файрволла

На этой вкладке отмечаем следующие галочки:

  • Отключить возможность просмотра директорий
  • Отключить HTTP-трассировку
  • Запретить комментарии через прокси
  • Запретить вредоносные строки в запросах (Может нарушить функциональность других плагинов)
  • Активировать дополнительную фильтрацию символов (Тоже действуем с осторожностью, надо смотреть как влияет на работоспособность сайта)
      У каждого пункта есть кнопка “+ Подробнее” там вы можете почитать подробно про каждую опцию.

6G Blacklist Firewall Rules

Отмечаем оба пункта. Это проверенный список правил который дает плагин для безопасности wordpress сайта.

Настройки файрволла (брандмауэра)


Могут появиться проблемы с индексацией сайта. Я данную опцию не включаю.

Предотвратить хотлинки

Ставим галочку. Что-бы изображения с вашего сайта не показывались на других сайтах по прямой ссылке. Эта функция снижает нагрузку с сервера.

Детектирование 404

Ошибка 404 (такой страницы нет) появляется при ошибочном вводе адреса страницы. Хакеры перебором пытаются найти страницы с уязвимостями и поэтому вводят много несуществующих урлов в короткий промежуток времени.
Такие попытки взлома будут заноситься в таблицу на этой странице и чекнув галочку – вы сможете блокировать их IP адреса на указанное время.

Настройки отслеживания ошибок 404

Защита от брутфорс-атак

Переименовать страницу логина

По умолчанию у всех сайтов на Вордпрессе одинаковый адрес страницы авторизации. И поэтому злоумышленники точно знают где начать взламывать сайт.
Эта опция позволяет изменить адрес этой страницы. Это очень хорошая защита wordpress сайта. Обязательно меняем адрес. Я эту галочку не отметил, потому-что мой хостинг автоматически изменил мне эту страницу во время установки системы.

Переименовать страницу логина

Защита от брутфорс-атак с помощью куки

Я не стал включать эту настройку, так как есть вероятность блокировки самого себя при входе с разных устройств.

CAPTCHA на логин

Если на вашем сайте много пользователей или у вас интернет-магазин, то можете включать Капчу при авторизации во всех пунктах.

Защита капчей при авторизации

Белый список для логина

Заходите в админку только с домашнего компа и вы единственный пользователь своего сайта? Тогда впишите свой АйПи адрес и всем остальным доступ к странице авторизации будет закрыт.

Только указанные в списке IP имеют доступ к сайту

Бочка с медом (Honeypot)

Таже знакомая нам Бочка с мёдом – скрытое поле для роботов, но теперь для страницы авторизации.

Защита от роботов при попытке авторизации

Защита от SPAM

Вкладка Спам в комментариях

Капчу в формах для комментариев я не активирую, так как не хочу усложнять комментирование. Терпеть не могу когда приходится выполнять целый квест, что-бы написать пару строчек.
А вот блокировку спам-ботов от комментирования включаем обязательно.

Защита комментариев


Отслеживание изменений в файлах

Конечно ставим галочку.
Если защита wordpress плагина All In One WP Security все же пропустит хакера, то вы сможете узнать какие именно файлы изменил взломщик. Тогда вы сможете восстановить эти файлы из резервной копии.

Отслеживание изменений в файлах

Режим обслуживания

Защиты сайту не прибавит, но позволит создать заглушку на время пока вы “ремонтируете” сайт, тогда посетители поймут, что сайт не сломан, а идут профилактические работы.


Здесь может быть полезным только одна вкладка – Защита от копирования. Включив эту опцию – на сайте нельзя будет выделить и скопировать текст.

Защита от копирования текста

Настройка плагина безопасности WordPress All In One WP Security завершена.
Теперь самое время вернуться к пункту Панель управления и посмотреть, сколько балов показывает счетчик защиты.

Мой сайт защищен на 290 балов

Это был один из серии уроков про лучшие бесплатные плагины wordpress, так что подписывайся на новые статьи и читай только полезные уроки.
Шутка дня:
Если Вы проснулись на улице, значит Вы там заснули

Безопасность WordPress в 2 клика с помощью All In One WP Security

Безопасности в WordPress уделяется немало внимания, и все равно бывают случаи взломов сайта. Однако можно воспользоваться специальным плагином и значительно увеличить защиту вашего сайта, тем более что сделать это можно буквально в 2 клика.

Зачем вообще нужно повышать безопасность WordPress?
Конечно, чтобы избежать взломов и несанкционированного использования пространства сайта.

Но неужели это так плохо? Ну и пусть ломают — у меня все равно брать нечего!

Дело не в самом взломе, а в его последствиях. Хакеры ломают сайты не просто так, они начинают рассылать от вашего имени спам, расставляют ссылки на другие сомнительные сайты, становятся рассадниками вирусов и прочей заразы. Поисковые системы довольно быстро это распознают и реагируют с помощью уведомлений, предостерегая посетителей, переходящих на сайт примерно такой вот формой:

Редкий смельчак отважится все-таки перейти на заразный сайт, поэтому трафик из поисковых систем взломанных сайтов падает в разы. А вместе с посещаемостью доходы владельцев сайтов также стремительно снижаются.

Поэтому, несмотря на то, что взломать можно любой сайт, но я рекомендую максимально усложнить злоумышленникам эту задачу: в результате, возможно, отпадет желание связываться именно с вашим сайтом, когда вокруг множество менее защищенных и простых для взлома сайтов.

Плагин All In One WP Security

Я устанавливал на сайты разные плагины для повышения безопасности WordPress (они еще часто называются firewall), но порекомендую вам тот, который лично я считаю самым лучшим по большинству параметров, это — All In One WP Security.

Его основные преимущества:

  • бесплатный
  • удобный русскоязычный интерфейс
  • множество вариантов защиты
  • частое обновление
  • мгновенный импорт и экспорт настроек

Я рекомендую обязательно использовать этот плагин на любом сайте/блоге под WordPress.

Инсталлируется он как обычный плагин Вордпресс (если не знаете как это сделать, то читайте «Как установить плагин WordPress за 5 минут»). Так что с установкой у вас проблем возникнуть не должно.

Но затем еще нужно будет настроить All In One WP Security, то есть выбрать и активировать параметры защиты. Их много, включать стоит далеко не все, иначе сайт может просто оказаться неработоспособным. Так какие параметры нужно выбрать обязательно, а какими стоит пренебречь?

Ниже в статье я дам ссылку на файл импорта лично моих настроек, которые я использую для повышения безопасности на большинстве сайтов — вы сможете их импортировать и, таким образом, не разбираться с настройками программы, которых очень много. Поэтому если все эти описания настроек вам неинтересны, мотайте вниз до социального замка и получайте ссылку на готовый файл с настройками. Там же будет краткая инструкция по добавлению  в свой плагин All In One WP Security.

А я пока в двух словах опишу настройки плагина.

Основные настройки All In One WP Security

Настроек плагина довольно много, они все собраны в панели управления, в пункте WP Security:

Начнем по порядку.

Панель управления

Здесь удобно собрана основная информация по системе: текущий уровень защиты, задействованные основные настройки, версия php сервера, логи заходов пользователей в админку и так далее. То есть на этой вкладке менять нечего — она играет информативную роль.

Стремиться к тому, чтобы у вас было задействовано максимум очков защиты — не стоит. Ведь в этом случае некоторые другие плагины могут быть заблокированными, и сайт может не функционировать должным образом. Важно в целом устранить наиболее уязвимые и очевидные «дыры» не в ущерб удобству и функционалу сайта.


Здесь вы можете создать бекапы основных файлов WordPress, в которых плагин меняет параметры безопасности: .htaccess и wp-config. Если, конечно, не сделали еще это через FTP (читайте «Как зайти на сайт через FTP»). Обязательно сделайте это перед внесением изменений в настройки плагина.

Важный пункт это «WP мета информация».
Установите галочку, это уберет из кода сайта информацию, что он создан на базе WordPress, это повысит безопасность от массового сканирования хакерскими роботами версий сайтов.

И последний пункт — это «Импорт и экспорт».
Именно здесь можно быстро экспортировать и импортировать настройки плагина с сайта на сайт.


В данном пункте речь пойдет про аккаунты зарегистрированных администраторов в панели управления.

Общеизвестно, что нельзя использовать стандартные имена администраторов, например, «admin» в WordPress или «administrator» в Joomla. Это крайне негативно влияет на безопасность, ведь когда логин известен, хакеру остается только подобрать пароль.

Так что если у вас в качестве имени администратора используется стандартное «admin», то мысленно выругайтесь в сторону разработчика и быстренько смените его на что-то более сложное. Чтобы это сделать в Вордпрессе нужно завести новый аккаунт пользователя. Старый удалите, все записи свяжите с новым аккаунтом.

Также важно, чтобы имя пользователя совпадало с логином.
И проверьте сложность пароля. Плохим является пароль вроде «serega», нормальным — «serega1212», идеальным — «dfw&uuhsU2%».


Что делать если кто-то несколько раз ввел неверный пароль при попытке входа в админку? По умолчанию система не делает ничего. А если «Включить опции блокировки попыток авторизации«, то система будет блокировать такие подключения после какого-то количества неудачных попыток в течение определенного времени. Количество попыток, время и другие параметры, вы сами задаете в пунктах ниже.

Также рекомендую включить «Уведомление на емейл» о блокировках, так вы будете в курсе, что кто-то ломится в вашу уже закрытую дверь.

Остальные вкладки в основном информационные.

Регистрация пользователя

Я бы рекомендовал в любом случае поставить галочку: «Активировать ручное одобрение новых регистраций«. Вам ведь не нужны никакие «левые» регистрации.

Каптча при регистрации актуальна только если у вас на сайте или блоге есть возможность регистрации новых пользователей.

База данных

Обязательно смените префикс таблиц в базе данных. По умолчанию таблицы в базе данных WordPress начинаются с «wp_» — это плохо для безопасности.  Выберите «Сгенерировать новый префикс таблиц БД» и установите флажок, чтобы плагин сам сгенерировал что-то вроде «hwy1e2_».

Хоть я менял префикс на многих сайтах WordPress — все было ок, но осторожность лишней не будет: обязательно сделайте бекап базы данных, можно, кстати, прямо на соседней вкладе это сделать.

Файловая система

На основной вкладке «Доступ к файлам» все пункты должны быть отмечены зеленым цветом. Если это не так — просто кликните на соответствующий пункт.

Отметьте флажки и на следующих вкладка «Редактирование файлов PHP» и «WP доступ к файлам«. Вам вовсе необязательно оставлять возможность вносить любые программные изменения через панель управления — лучше это делать через FTP-доступ, который взломать гораздо сложнее, ведь там безопасностью занимаются профессиональные программисты вашего хостера. Плюс не стоит «светить» важные информационные файлы системы.


Тут настроек нет, но если к вам кто-то ломится или какой-то неадекватный пользователь оставляет дурацкие сообщения , то можно попробовать узнать о его провайдере и пожаловаться на неадеквата или просто пригрозить ему в личку.

Конечно, если хакер пользуется IP-анонимайзером, толком вы ничего не узнаете, но все равно функция может оказаться полезной, так как в целом можно быстро получать информацию о владельцах сайтов и их контактах.

Черный список

Допустим, вы «пробили» через whois, что на вашем блоге активно в комментариях распространяется спам с ip-адреса частное лицо. Вы можете добавить его в черный список и он не получит доступ к станицам сайта.

Также можно массово банить «левых» роботов, которые могут прочесывать интернет в поисках уязвимостей.

В основном эта функция имеет смысл, если вам активно кто-то пытается взломать. В большинстве случаев эти поля останутся пустыми.


Ну вот и добрались до основной функции плагина — брандмауера. Эти функции рассредоточены по нескольким вкладкам.

Во вкладке «Базовые правила» рекомендую включить оба флажка: «Основные функции брандмауэра» и «Защита от Пингбэк-уязвимостей«. По каждому пункту там подробно расписываются все функции, которые будут задействованы. Это базовые правила — они, как правило, не влияют на работоспособность сайта.

В «Дополнительных правилах» лично я задействую:

  • Просмотр содержимого директорий
  • HTTP-трассировка

Остальные пункты:

  • Комментарии через Прокси-серверы
  • Нежелательные строки в запросах
  • Дополнительная фильтрация символов

на тех или иных сайтах вызывали нестабильности в работе, поэтому я не могу однозначно рекомендовать их к применению.

Если же вы захотите их задействовать, то сделайте бекап htaccess, включите и тщательно протестируйте сайт на прежнюю работоспособность. Попробуйте оставить комментарий, скачать файл, зарегистрироваться, выполнить поиск по сайту, отправить форму обратной связи и т.п. Если все в порядке, то ок, вам повезло

Далее во вкладке «5G-файрволл» можно включить комплексную защиту от хакерских атак через URL сайта. Это полезная функция, однако на моем блоге Moytop.com она вызвала ошибку при скачивании файлов пользователями, поэтому я ее отключил и отключаю на всех других сайтах, так как предпочитаю задействовать только те параметры, которые никогда не вызывают нареканий в работе.

Во вкладке «Интернет-роботы» я не включал флажок, так как все же есть опасения как-то помешать основному роботу Google делать свое дело. Если кто-то сможет развеять мои опасения в комментариях, буду признателен.

«Предотвратить хотлинки» я также оставляю отключенным, так как сам загружаю картинки блога с других сайтов. И отмечал что многие мои клиенты также это делают, например, загружают со своего сайта картинки на разные доски объявлений, форумы и так далее. Но если вы уверены, что нигде не задействуете картинки с сайта, то в целях снижения излишней нагрузки на хостинг, конечно, можете поставить флажок.

«Детектирование ошибок 404» нужно задействовать только если в логах у вас много подозрительных ошибок ненайденных страниц. У меня на всех сайтах все ок, поэтому и нечего вносить в список IP-адресов, которые нужно банить.

Защита от брутфорс-атак

Что такое «брутфорс»? Это грубая атака, которая заключается в простом переборе всех возможных паролей на сайте.  То есть робот заходит на страницу со входом в админку и начинает пробовать то один, то другой пароль.

Поэтому я рекомендую обязательно «Переименовать страницу логина«. Стандартное /wp-admin ничего хорошего в плане безопасности вашего WordPress-сайта не даст.

Назовите страницу входа на свое усмотрение, например, /lg-wp и в вашу админку робот для перебора паролей попасть уже не сможет — он ее просто не найдет!

«Защиту на основе куки» я не применяю — так как часто выхожу в сеть с разных браузеров, плюс периодически чищу куки и поэтому процедура залогинивания с этим параметром была бы довольно утомительной.  По этой же причине не использую «Каптчу на логин«. Мне и так хватает всяких каптч в интернете, и поэтому на своем сайте стараюсь свести их к минимуму.

«Белый список для логина» — это почти 100% защита от брутфорс-роботов, так как логин и пароль может вводиться только с конкретного IP-адреса. Но я и мои клиенты часто заходят на свои сайты с разных IP-адресов, например, из офиса, с мобильного телефона, из гостей и так далее. В этом случае защита будет избыточной, так как не пустит на сайт самого владельца. Однако если вы работаете на своем сайте стационарно с одним IP-адресом, то можно задействовать данную функцию.

«Бочку с медом» — рекомендую включить. Это интересная приманка для роботов, которая быстро и безболезненно позволяет отсечь многие попытки брутфорса.

Защита от спама

Эту защиту я не включал, так как у меня прекрасно работает специализированный плагин Antispam Bee (читать «Обзор плагина защиты от спама на WordPress»).


Если вдруг какой-то гад все-таки пробрался через все ваши системы защиты и вставил свой вредоносный код или левые ссылки в файлах сайта, то система вас об этом уведомит. И вы сможете более внимательно и пристально взглянуть на эти изменения: вдруг вас и правда, взломали?

Я сканирую сайты раз в 7 дней, игнорирую картинки, личные файлы, бекапы и т.п. Все это есть в настройках, которые вы сможете скачать в конце статьи.

Остальные вкладки вам вряд ли понадобятся.

Режим обслуживания

Это просто утилита, но довольно полезная. Позволяет временно отключить сайт для всех, кроме админов, если на нем ведутся какие-то работы.


«Защиту от копирования» я не включаю, так как в современных реалиях проверки уникальности текстов она довольно бессмысленна, а жизнь некоторым пользователям затрудняет. А вот включить флажок «Активировать фрейм-защиту» не помешает, так как она не позволит открывать ваш сайт во фрейме какого-то другого сайта.

Вот, собственно и все настройки.

Безопасность сайта на WordPress — в ваших руках!

Если у вас есть сайт на WordPress, то я настоятельно рекомендую принять все возможные меры для его безопасности. Поверьте, очень неприятно, например, получать письмо от хостера о том, что ваш сайт блокируется, так как он распространяет вирусы.

А потом бегать в мыле и искать толкового программиста, который все вычистит, найдет дыры, залатает и в конце концов установит вам файрволл.

Лучше побеспокоиться обо всем заранее и как минимум установить этот простой и надежный плагин.

Подборка плагинов WordPress для безопасности сайта

Бесплатные плагины для сайта на WordPress, чтобы защитить сайт от атак и взломов, и несколько отдельных плагинов для бэкапа, чтобы восстановить ресурс, если все-таки злоумышленники изменили сайт.

Мошенники могут попытаются атаковать сайт, чтобы взломать админку, украсть пароли пользователей, изменить код сайта, получить доступ к конфиденциальной информации, разместить скрытые ссылки или еще как-то навредить ресурсу. Из-за таких атак можно потерять клиентов, позиции в выдаче, репутацию или даже сам сайт.

WordPress сам по себе достаточно защищенный движок, но базовой защиты недостаточно.

Статистика заражений за 2017 год

Повысить безопасность сайта помогут специальные плагины, они не сделают сайт полностью неуязвимым для любых атак, но будут препятствовать злоумышленникам.

Плагины для защиты сайта на WordPress

All In One WP Security & Firewall

Плагин защищает учетные записи пользователей, файлы кода, делает безопаснее вход на сайт через личные кабинеты, делает резервные копии баз данных.

Что делает плагин:

  • добавляет капчу на страницу регистрации и в форму входа на сайт, чтобы оградить от спама;
  • блокирует вход пользователям с определенным IP на время или навсегда и дает временный блок после нескольких неудачных попыток войти;
  • дает просматривать активности учетных записей пользователей;
  • делает резервные копии базы данных автоматически;
  • создает резервные копии исходных файлов .htaccess и wp-config.php;
  • обнаруживает уязвимости в учетных записях, к примеру, с одинаковым именем и логином;
  • генерирует сложные пароли;
  • отключает редактирование некоторых файлов из админки, чтобы защитить PHP-код;
  • закрывает доступ к файлам readme.html, license.txt и wp-config-sample.php;
  • устанавливает межсетевые экраны для защиты от вредоносных скриптов.

Подробнее о функциях безопасности на странице плагина.

Панель управления плагином

Понятно о настройке плагина:

All In One WP Security & Firewall переведен на русский язык, установка бесплатна.

BulletProof Security

Плагин сканирует вредоносный код, защищает авторизацию на сайте, не пропускает спам, делает резервные копии.

Что делает плагин:

  • защищает файлы wp-config.php, php.ini и php5.ini через файл .htaccess;
  • включает режим технических работ;
  • проверяет права на редактирование папок и файлов в админке;
  • не пропускает спам с помощью функции JTC-Lite;
  • создает резервные копии автоматически или вручную, отправляет архивы по e-mail;
  • ведет журналы ошибок и журнал безопасности.

Подробнее о функциях безопасности на странице плагина.

Сканер вредоносного кода

Плагин переведен на русский язык. Он бесплатный, есть премиум версия с расширенными возможностями защиты сайта и предупреждения атак.

Wordfence Security

Защищает CMS от взлома и атак вредоносного ПО благодаря защите входа в систему сайта, сканированию изменений кода, попыток входа и уведомлениям о подозрительных активностях.

Что делает плагин:

  • сравнивает основные темы и плагины с тем, что находится в репозитории WordPress.org и при расхождениях сообщает владельцу сайта;
  • выполняет функции антивируса, проверяет сайт на уязвимости;
  • проверяет сообщения и комментарии на подозрительный контент и ссылки.

В бесплатной версии доступны и другие функции.

Премиум версия дает чуть больше:

  • проверяет, попал ли сайт или IP в черный список спама или сайтов с проблемами в безопасности;
  • включает двухфакторную идентификацию для входа;
  • составляет черный список и блокирует все запросы от IP из базы.

Подробнее о функциях безопасности на странице плагина.

Сканер безопасности

Не переведен на русский, базовую версию можно скачать бесплатно.

Disable XML-RPC Pingback

Сайт закрывает возможную уязвимость XML-RPC, через которую мошенники могут атаковать другие сайты и замедлять работу вашего ресурса.

Что делает плагин:

  • Удаляет pingback.ping и pingback.extensions.getPingbacks из интерфейса XML-RPC;
  • удаляет X-Pingback из HTTP-заголовков.

Установка плагина

Плагин на английском языке, установка бесплатна.

iThemes Security

Старое название — Better WP Security. Плагин защищает при входе в панель администратора, выполняет функции антивируса.

Что делает плагин:

  • включает двухфакторную авторизацию при входе в администраторскую панель;
  • сканирует код сайта и сигнализирует, если находит подозрительные изменения;
  • мониторит сайт на автоматизированные атаки и блокирует их;
  • генерирует сложные пароли;
  • отслеживает активность аккаунтов пользователей;
  • включает Google reCAPTCHA при входе на сайт;
  • дает возможность создавать временные доступы в админке;
  • ограничивает редактирование файлов в админке.

Подробнее о функциях безопасности на странице плагина.

Настройки плагина

Переведен на русский язык и доступен бесплатно.

Sucuri Security

Комплексный плагин, отслеживающий изменения в файлах сайта и выполняющий функции антивируса.

Что делает плагин:

  • проверяет код сайта на подозрительные изменения и присылает уведомления;
  • сканирует вредоносные программы и запрещает доступ;
  • создает черный список IP и запрещает им взаимодействие с сайтом;
  • фиксирует IP посетителей, которые безуспешно пытаются войти на сайт, и блокируют их на ограниченное время;
  • автоматически проверяет сайт на вирусы и отправляет отчеты на e-mail.

В премиум-версии создает сетевой экран для дополнительной защиты от атак. Подробнее о функциях безопасности на странице плагина.

Сообщения о подозрительных активностях

Плагин не переведен на русский язык, доступен для бесплатного скачивания.

Keyy Two Factor Authentication

Плагин для защиты панели администратора от злоумышленников, делает доступ в админку удобнее и быстрее.

Что делает плагин:

  • защищает сайт от взломов;
  • хранит защищенный пароль на устройстве, его не нужно вводить при входе;
  • позволяет ходить в админку по отпечатку пальца;
  • администраторам нескольких сайтов дает переключаться между панелями в один клик.

Пример работы

Плагин не переведен, доступен бесплатно.

WWPass Two-Factor Authentication

Плагин для защиты от проникновения злоумышленников в панель администратора.

Что делает плагин:

  • добавляет QR-код для сканирования при попытке войти в админку;
  • дает доступ к бесплатному использованию менеджера паролей PassHub.

Пример работы плагина

Доступно бесплатное скачивание версии на английском.

Если злоумышленникам удалось что-то сделать с сайтом, и нужно восстановить его прежнее состояние, помогут бэкапы. Обычно хостеры периодически делают резервные копии, но на всякий случай лучше делать бэкапы самому. Некоторые плагины из подборки могут делать копии, а также есть отдельные решения для бэкапов.

Плагины для бэкапов сайта на WordPress

BackWPup – WordPress Backup Plugin

Плагин для создания резервных копий и восстановления прежних версий сайта.

Что делает плагин:

  • делает бэкапы полного сайта с контентом;
  • экспортирует XML WordPress;
  • собирает установленные плагины в файл;
  • проверяет и восстанавливает базы данных;
  • отсылает копии на внешние облачные хранилища, email или передает по FTP.

Платная PRO-версия шифрует архивы с бэкапами и восстанавливает резервные копии за пару кликов.

Управление архивами резервных копий

Доступен бесплатно, есть платная PRO-версия, не переведен на русский.

UpdraftPlus WordPress Backup Plugin

Что делает плагин:

  • копирует и восстанавливает данные в один клик;
  • делает автоматические резервные копии по расписанию;
  • проверяет и восстанавливает базы данных;
  • отправляет бэкапы в облако, на Google-диск и в другие места хранения по выбору.

Расширенная версия дает больший выбор мест для хранения копий и другие дополнительные функции.

Настройка хранения резервных копий

Не переведен на русский, доступен бесплатно.


Еще один плагин для резервного копирования и надежного хранения копий.

Что делает плагин:

  • ежедневно автоматически копирует все файлы сайта с контентом и комментариями;
  • восстанавливает сайт из копии по клику;
  • защищает сайт от атак и вредоносного ПО.

Работает бесплатно для одного сайта, хранит данные 30 дней. За дополнительную плату можно наблюдать за несколькими сайтами из одной панели и хранить данные дольше.

Рабочая панель

Плагин не переведен на русский язык, доступен для установки бесплатно.

Почитать по теме:
Что выбрать: SaaS, IaaS или PaaS? Сравнение облачных моделей ПО

Сайтам необходима защита от злоумышленников, чтобы они не смогли получить доступ к секретной информации, использовать ваш ресурс для атак на другие сайты, рассылать письма клиентам и нарушать стабильную работу ресурса. Плагины ставят мошенникам препятствия, защищают пользовательские данные и код сайта, а системы резервного копирования откатят сайт до прежнего состояния, если злоумышленникам все-таки удалось навредить.

All In One WP Security — настройка безопасности

Доброго дня всем читателям, обсудим сегодня еще раз вопрос безопасности сайта на WordPress. Но не абстрактно, а на примере настройки отличного плагина All In One WP Security & Firewall который я вполне успешно использую на ряде своих сайтов и могу смело порекомендовать вам.

All In One WP Security & Firewall относится к числу универсальных защитников WordPress о которых вы можете почитать здесь. Этакий «гвардеец на все руки» и в принципе, осуществляет комплексную защиту по очень многим параметрам. У плагина хороший рейтинг пользователей и он совершенно бесплатен.

Одно из важных достоинств в том, что All In One WP Security & Firewall прекрасно переведен на русский язык и освоение всех его особенностей не представляет труда для тех кто не слишком хорошо изучал иностранные языки в школе. Перевод полный — то есть не только основных функций, но почти всех подсказок к ним. Именно они дадут вам полное представление и понимание необходимости и важности тех или иных настроек.

Структурно плагин состоит из нескольких десятков опций, которые вы вольны задействовать или оставить выключенными. Включение тех или иных опций отображается в специальных флажках. Там же виден приоритет данной опции.

Целью данной статьи я ставлю не столько перечисление настроек (их вы и так сможете легко увидеть, изучить и понять), а своё видение того, что стоит включать, а чем можно по тем или иным причинам, пренебречь. Приступим.

Настройка All In One WP Security & Firewall

Панель управления

  • Информационные виджеты с наглядным индикатором защиты, диаграмма всех очков защиты, показ активных сессий и заблокированных IP. Особое внимание стоит уделить виджету — Текущий статус самых важных функций. Тут вы можете сразу, не углубляясь в настройки включить самые важные элементы защиты.
  • Информация о системе. Выводится инфо о сайте, версии PHP и всех установленных плагинах. Таб — Заблокированные IP адреса и таб с логами плагина. В начале в этих табах у вас разумеется всё будет пусто.
  • Табы — Заблокированные IP и логи. Тут ничего настраивать не надо.


  • Табы с общими настройками. Ничего не настраивается, но зато можно сразу сделать резервные копии .htaccess, базы данных и wp-config.php. Тут же можно одним махом вырубить все настройки если что-то пошло не так и появились проблемы.
  • WP мета информация. Включаем.


  • Пользовательское имя WP. Если ваш логин не Admin, то все в порядке. В противном случае — надо обязательно его поменять. Это реально важная «фишка». Если в дальнейшем вы укажите, что бы вам на почту приходили уведомления о временно заблокированных пользователях которые пытались войти с логином Admin — будете неприятно удивлены. У меня это как минимум по 2-5 писем в сутки (см. Блокировка авторизаций).
  • Отображаемое имя. Показывает всех зарегистрированных пользователей у кого логин совпадает с именем (ником). Если у вас нет никого кроме вас — список будет пустой. Если есть пользователи, можете заняться исправлением ников. Не слишком важная функция — можно не трогать.
  • Пароль. Занятный инструмент который визуально покажет вам надежность любого пароля. Судя по нему имеет смысл задавать сложные пароли длинной не менее 10 знаков.


  • Блокировка авторизаций. Полезная функция от подбора паролей. Обязательно включите и настройте на свой вкус параметры или оставьте как есть по умолчанию. Рекомендую, по крайней мере на время, включить уведомления о сработавших блокировках на емейл. Просто, что бы понять, насколько важна эта функция.
  • Ошибочные авторизации. Тут статистика. Ничего не надо настраивать.
  • Автоматическое разлогинивание пользователей. Не удобная для ваших пользователей штука и при этом дает мало очков безопасности. Можно не включать.
  • Журнал активности и Активные сессии — информация и логи.

Регистрация пользователей

  • Подтверждение вручную. В общем, вполне полезная функция если у вас на сайте не особо частые регистрации и если они вообще разрешены. Можно включить.
  • Капча при регистрации. Устанавливает простую, цифровую капчу на форму регистрации. Мне, честно говоря, не понравилось как она работает. Я использую отдельную — Math Captcha. Вроде бы во всем похожа, но в отличии от встроенной, работает на порядок лучше. Решайте сами, что выбрать.

База данных

  • Изменение префикса таблиц вашей базы данных. Стоит включить, но всё таки, советую обязательно сделать заранее бекап БД.
  • Резервное копирование БД. Рекомендую включить. Обычно БД не занимают много места и лишним это не будет даже если вы используете еще какой то бекап для сайта.

Файловая система

  • Доступ к файловой системе. Установите нужное значение для доступа к папкам в колонке Рекомендуемое действие так, что бы весь список стал зеленым.
  • Редактирование фалов PHP. Можно включить запрет на редактирование из админки, если конечно, вы сами не правите файлы таким образом.
  • WP доступ к файлам. Запрет доступа к readme.html, license.txt и wp-config-sample.php. Включаем.
  • Системный журнал. Настройка формирование лога. Ничего не трогаем.

WHOIS поиск

  • Ручная проверка IP адресов. Ничего не настраивается, да и работает почему-то не всегда.

Чёрный список

  • Забанить пользователей. Включаем. Как вы понимаете, актуально только в случае если вы сами введете туда какие то IP адреса. Бывает полезно когда нужно быстро забанить очередного идиота хулиганящего в комментах.


  • Базовые правила. Почитайте подсказки и включите обе галочки. Стоит перед этим сделать бекап своего файла .htaccess
  • Дополнительные правила. Стоит включить все. Однако авторы плагина предупреждают о возможной несовместимости с некоторыми плагинами.
  • Настройка 5G. Насколько я понял, включает некий дополнительный брандмаузер. Включайте. Проблем после включения данной опции я не замечал.
  • Интернет роботы. По идее, блокирует ложных гугло роботов. Во избежании проблем с полезными роботами, я этот чекбокс на всякий случай, не включал.
  • Предотвратить хотлинки. Что это такое — читайте в подсказке. Включаем.
  • Отслеживание ошибок 404. Стоит включить, но время блокировки сделайте небольшим. Например, минут 5-10.

Защита от брутфорс атак

  • Переименовать страницу логина. Опция полезная, но имейте ввиду, что может возникнуть проблема в том случае если вы разрешили регистрацию на сайте. Например, когда пользователь захочет восстановить потерянный пароль. В целом, стоит хорошенько потестировать после включения. К тому же, некоторые хостинг провайдеры используют эту защиту по умолчанию. Решайте по обстоятельствам.
  • Защита от брутфорс-атак, основанная на использовании куки. Как и с предыдущим пунктом, настройка строго индивидуальна. Внимательно читайте подсказки и решайте сами.
  • Капча на логин. Если все-таки используете встроенную капчу, то всё лучше всё включить.
  • Белый список. Запретит доступ у логину всем кроме тех кто будет указан в списке. Для истинных маньяков, можно не включать.
  • Бочка с мёдом. Читайте детально описание этой интересной функции в подсказке. Как мне кажется — можно смело включать.

Защита от СПАМА

  • Спам в комментах. Капча в комментариях — включите если используете встроенную капчу. Блокировка спам роботов — помогите своему Акисмету бороться со спам роботами — включайте.
  • Отслеживание IP. Можете тут вычислить самых активных спамеров и занести их в черный список.
  • BuddyPress. Актуально если у вас стоит этот плагин социальной сети.


  • Отслеживание любых изменений в файлах. Как мене кажется, больше предназначено для особо озабоченных, так как изменения в файлах непременно будут иногда происходить. Если хотите всё это постоянно отслеживать и контролировать — включайте.
  • Сканирование от вредоносных программ. Платная функция — от 5$ в месяц.

Режим обслуживания

  • Тут можно включить «режим обслуживания» для сайта и настроить внешний вид страницы с предупреждением для читателей. Дополнительно читайте вот здесь.


  • Защита контента от копирования и вставки внутри фрейма. Включение этих никак прямо не влияет на защиту сайта.


All In One WP Security мне в целом, вполне понравился и я его использую на некоторых сайтах. По моему, если не лучший, то уж точно — один из лучших подобных плагинов. Справедливости ради отмечу, что ни в коей мере не являюсь экспертом в вопросах безопасности. Всё вышеописанное только результат моего опыта использования и личного мнения. Так что, если у опытных читателей есть свои мысли по настройкам данного плагина или лучшие варианты альтернатив ему, прошу высказываться. На вкус цвет, как говорится…

Официальная страница плагина

All In One WP Security & Firewall — плагин для WordPress


WordPress сам по себе является очень безопасной платформой. Тем не менее, это помогает добавить дополнительную безопасность и брандмауэр на ваш сайт с помощью подключаемого модуля безопасности, который применяет множество передовых методов безопасности.

Плагин All In One WordPress Security поднимет безопасность вашего веб-сайта на совершенно новый уровень.

Этот плагин разработан и написан экспертами, прост в использовании и понимании.

Он снижает риск безопасности, проверяя уязвимости, а также внедряя и применяя последние рекомендуемые методы и методы безопасности WordPress.

All In One WP Security также использует беспрецедентную систему оценки точек безопасности, чтобы определить, насколько хорошо вы защищаете свой сайт на основе активированных функций безопасности.

Наши правила безопасности и брандмауэра делятся на «базовые», «промежуточные» и «продвинутые».Таким образом, вы можете применять правила брандмауэра постепенно, не нарушая функциональность вашего сайта.

Плагин All In One WordPress Security не замедляет работу вашего сайта и на 100% бесплатный.

Посетите страницу плагина безопасности WordPress для получения более подробной информации.

Ниже приведен список функций безопасности и брандмауэра, предлагаемых в этом плагине:

Безопасность учетных записей пользователей
  • Определите, существует ли учетная запись пользователя с именем пользователя по умолчанию «admin», и легко измените имя пользователя на значение по вашему выбору.
  • Плагин также определит, есть ли у вас учетные записи пользователей WordPress с идентичными логином и отображаемыми именами. Наличие учетной записи, в которой отображаемое имя совпадает с именем входа, является плохой практикой безопасности, потому что
    вы упрощаете работу хакерам на 50%, потому что они уже знают имя входа.
  • Инструмент надежности пароля, позволяющий создавать очень надежные пароли.
  • Остановить перечисление пользователей. Таким образом, пользователи / боты не могут найти информацию о пользователе по постоянной ссылке автора.
Безопасность входа пользователя
  • Защитите себя от «атаки методом грубой силы» с помощью функции блокировки входа в систему.Пользователи с определенным IP-адресом или диапазоном будут заблокированы в системе на заранее определенный период времени, основанный на настройках конфигурации, и вы также можете выбрать получение уведомления
    по электронной почте, когда кто-то будет заблокирован из-за слишком большого количества попыток входа в систему.

  • Как администратор, вы можете просматривать список всех заблокированных пользователей, которые отображаются в легко читаемой и управляемой таблице, которая также позволяет разблокировать отдельные или групповые IP-адреса одним нажатием кнопки.

  • Принудительный выход всех пользователей по истечении настраиваемого периода времени
  • Мониторинг / просмотр неудачных попыток входа, которые показывают IP-адрес пользователя, идентификатор пользователя / имя пользователя и дату / время неудачной попытки входа в систему

  • Мониторинг / просмотр активности учетных записей всех учетных записей пользователей в вашей системе, отслеживая имя пользователя, IP-адрес, дату / время входа в систему и дату / время выхода.

  • Возможность автоматической блокировки диапазонов IP-адресов, которые пытаются войти в систему с недопустимым именем пользователя.
  • Возможность увидеть список всех пользователей, которые в данный момент вошли на ваш сайт.
  • Позволяет указать один или несколько IP-адресов в специальном белом списке. IP-адреса из белого списка будут иметь доступ к вашей странице входа в WP.
  • Добавьте Google reCaptcha или простую математическую капчу в форму входа в WordPress.
  • Добавьте Google reCaptcha или простую математическую капчу в форму забытого пароля вашей системы входа в WP.
Безопасность регистрации пользователей
  • Включение ручного утверждения учетных записей пользователей WordPress.Если ваш сайт позволяет людям создавать свои собственные учетные записи через регистрационную форму WordPress, вы можете минимизировать спам или фиктивные регистрации, вручную одобряя каждую регистрацию.
  • Возможность добавить Google reCaptcha или простую математическую капчу на страницу регистрации пользователя WordPress, чтобы защитить вас от регистрации пользователей спама.
  • Возможность добавить Honeypot в форму регистрации пользователя WordPress, чтобы уменьшить количество попыток регистрации со стороны robots.
Безопасность базы данных
  • Простая установка префикса WP по умолчанию на значение по вашему выбору одним нажатием кнопки.
  • Запланируйте автоматическое резервное копирование и уведомления по электронной почте или сделайте мгновенное резервное копирование БД, когда захотите, одним щелчком мыши.
Безопасность файловой системы
  • Определите файлы или папки с небезопасными настройками разрешений и установите разрешения на рекомендуемые безопасные значения одним нажатием кнопки.
  • Защитите свой PHP-код, отключив редактирование файлов в области администрирования WordPress.
  • Легко просматривайте и контролируйте все журналы хост-системы с единой страницы меню и будьте в курсе любых проблем или проблем, возникающих на вашем сервере, чтобы вы могли быстро их решать.
  • Запретить людям доступ к файлам readme.html, license.txt и wp-config-sample.php на вашем сайте WordPress.
htaccess и wp-config.php Резервное копирование и восстановление файлов
  • Простое резервное копирование исходных файлов .htaccess и wp-config.php на случай, если вам понадобится их использовать для восстановления нарушенной функциональности.
  • Измените содержимое активных в данный момент файлов .htaccess или wp-config.php с панели администратора всего за несколько кликов
Черный список Функциональность
  • Заблокировать пользователей, указав IP-адреса или используя подстановочный знак для указания диапазонов IP-адресов.
  • Забанить пользователей, указав пользовательских агентов.
Функциональность межсетевого экрана

Этот плагин позволяет легко добавить к вашему сайту дополнительную защиту брандмауэра через файл htaccess. Файл htaccess обрабатывается вашим веб-сервером перед любым другим кодом на вашем сайте.
Таким образом, эти правила брандмауэра остановят вредоносный скрипт (-ы) до того, как он получит шанс достичь кода WordPress на вашем сайте.

  • Средство контроля доступа.
  • Мгновенно активируйте ряд настроек брандмауэра от базовых, промежуточных и дополнительных.
  • Включите знаменитые правила брандмауэра «Черный список 6G», любезно предоставленные Perishable Press.
  • Запретить публикацию комментариев через прокси.
  • Заблокировать доступ к файлу журнала отладки.
  • Отключить трассировку и отслеживание.
  • Запретить неверные или вредоносные строки запроса.
  • Защитите себя от межсайтовых сценариев (XSS), активировав комплексный расширенный фильтр строк символов.
    или вредоносные боты, у которых в браузере нет специального файла cookie. Вы (администратор сайта) будете знать, как установить этот специальный файл cookie, и сможете войти на свой сайт.
  • Функция защиты WordPress PingBack от уязвимостей. Эта функция брандмауэра позволяет пользователю запретить доступ к файлу xmlrpc.php для защиты от определенных уязвимостей в функции pingback. Это также полезно, чтобы запретить ботам постоянно обращаться к файлу xmlrpc.php и тратить впустую ресурсы вашего сервера.
  • Возможность блокировать сканирование вашего сайта поддельными роботами Googlebots.
  • Возможность запретить хотлинкинг изображений. Используйте это, чтобы запретить другим пользователям делать горячие ссылки на ваши изображения.
  • Возможность регистрировать все 404 события на вашем сайте. Вы также можете выбрать автоматическую блокировку IP-адресов, которые попадают слишком много 404.
  • Возможность добавлять собственные правила для блокировки доступа к различным ресурсам вашего сайта.
Предотвращение атак методом грубой силы
  • Мгновенно блокируйте атаки методом грубой силы при входе в систему с помощью нашей специальной функции предотвращения входа в систему методом грубой силы на основе файлов cookie. Эта функция брандмауэра блокирует все попытки входа в систему от людей и ботов.
  • Возможность добавить простую математическую капчу в форму входа в WordPress для борьбы с атаками методом грубой силы.
  • Возможность скрыть страницу входа администратора. Переименуйте URL-адрес страницы входа в WordPress, чтобы боты и хакеры не могли получить доступ к вашему реальному URL-адресу входа в WordPress. Эта функция позволяет вам изменить страницу входа по умолчанию (wp-login.php) на то, что вы настроите.
  • Возможность использовать приманку для входа в систему, которая помогает снизить количество попыток входа в систему с помощью грубой силы.
Сканер безопасности
  • Сканер обнаружения изменений файлов может предупредить вас, если какие-либо файлы были изменены в вашей системе WordPress.Затем вы можете исследовать и увидеть, было ли это изменение законным или был внедрен неправильный код.
Комментарий Защита от спама
  • Отслеживайте самые активные IP-адреса, которые постоянно создают наибольшее количество спама в комментариях, и мгновенно блокируйте их одним нажатием кнопки.
  • Запретить отправку комментариев, если они исходят не из вашего домена (это должно уменьшить количество сообщений, размещаемых ботами-спамом на вашем сайте).
  • Добавьте капчу в форму комментариев WordPress, чтобы защитить себя от спама в комментариях.
  • Автоматически и навсегда блокировать IP-адреса, по которым превышено определенное количество комментариев, помеченных как СПАМ.
Внешняя защита от копирования текста
  • Возможность отключить опцию правого щелчка, выделения текста и копирования для вашего интерфейса.
Регулярные обновления и добавления новых функций безопасности
  • WordPress Безопасность — это то, что со временем развивается. Мы будем регулярно обновлять плагин All In One WP Security новыми функциями безопасности (и исправлениями, если они требуются), чтобы вы могли быть уверены, что ваш сайт будет соответствовать передовым технологиям защиты.
Работает с самыми популярными плагинами WordPress
  • Он должен без проблем работать с большинством популярных плагинов WordPress.
Дополнительные функции
  • Возможность удалить метаинформацию генератора WordPress из HTML-источника вашего сайта.
  • Возможность удалить информацию о версии WordPress из файлов JS и CSS вашего сайта.
  • Возможность запретить людям доступ к файлам readme.html, license.txt и wp-config-sample.php файлы
  • Возможность временно заблокировать интерфейс вашего сайта от обычных посетителей, пока вы выполняете различные внутренние задачи (расследование атак на систему безопасности, выполнение обновлений сайта, выполнение работ по техническому обслуживанию и т. Д.)
  • Возможность экспорта / импорта настроек безопасности.
  • Запретить другим сайтам отображать ваш контент через фрейм или iframe.
Поддержка плагинов
  • Если у вас есть вопрос или проблема с плагином All In One Security, опубликуйте их на форуме поддержки, и мы поможем вам.
  • Если вы разработчик и вам нужны дополнительные хуки или фильтры для этого плагина, дайте нам знать.
  • Репозиторий

  • Github — https://github.com/Arsenal21/all-in-one-wordpress-security
  • Плагин All In One WP Security можно перевести на любой язык.

Сейчас доступных переводов:

  • Английский
  • Немецкий
  • Испанский
  • французский
  • Венгерский
  • Итальянский
  • шведский
  • Русский
  • китайский
  • Португальский (Бразилия)
  • Персидский

Посетите страницу плагина безопасности WordPress для получения более подробной информации.

Политика конфиденциальности

Этот плагин может собирать IP-адреса из соображений безопасности, таких как уменьшение угроз грубой силы при входе в систему и злонамеренных действий.
Собранная информация хранится на вашем сервере. Никакая информация не передается третьим лицам или удаленным серверам.


После активации плагина зайдите в меню настроек и следуйте инструкциям.

Для повышения безопасности вашего сайта WordPress:

  1. Загрузите «все-в-одном-wp-security.zip ’на странице Plugins-> Add New в панели администрирования WordPress.
  2. Активируйте плагин через меню «Плагины» в WordPress.
  3. Перейдите в меню «Настройки» в разделе «Безопасность WP» и активируйте функции безопасности плагина.

Найдите F.A.Q на следующей странице (см. Раздел часто задаваемых вопросов):

hemos tenido un ataque cibernético que nos ha estropeado todo nuestro espacio web, espero que con este plugin tengamos protegida nuestra web.

Хочу поблагодарить авторов этого отличного плагина, который позволяет значительно повысить безопасность, имеет множество полезных функций и прост в настройке, позволяет активировать только то, что вам нужно. Спасибо за работу.


Excelente. Es muy amigable y didáctico. Конфигурация

Обеспечивает легкий путь к безопасности через (что для некоторых) неизвестную территорию

У этого плагина есть нужные мне функции.

Простота использования, множество функций, чувство полной безопасности с этим плагином

Прочитать 1018 отзывов

«All In One WP Security & Firewall» — это программное обеспечение с открытым исходным кодом. Следующие люди внесли свой вклад в этот плагин.


  • Исправлены ошибки и улучшена функциональность, связанная с функцией «авторизованных пользователей».
  • Google recaptha проверяет отзывы о продуктах WooCommerce
  • Заменено использование устаревшего хука «wpmu_new_blog» на «wp_insert_site».
  • Исправлена ​​потенциальная проблема XSS в меню настроек плагина для IE11 или более старых браузеров.
  • Улучшенная функция обнаружения изменений файлов для обработки резервных копий БД, которые в некоторых случаях незаметно завершаются из-за очень больших сериализованных данных, хранящихся в одной строке.
  • Добавлен новый обработчик действия (aiowps_rename_login_load) непосредственно перед загрузкой переименованной страницы входа.
  • Добавлена ​​проверка, чтобы убедиться, что настройки captcha woocommerce отображаются только в том случае, если плагин woocommerce установлен / активен.
  • Исправлены ошибки рекапчи.
  • Добавлен настраиваемый элемент для максимального размера загружаемого файла в основные правила брандмауэра.
  • Исправлена ​​уязвимость, связанная с открытым редиректом и открытием скрытой страницы входа в конкретном случае. (Спасибо Erwan (wpscanteam) за то, что сообщили нам)
  • Исправлена ​​ошибка, из-за которой директивы Apache не добавлялись повторно в файл .htaccess после повторной активации плагина.
  • Исправлена ​​ошибка, связанная с неустановленной датой выхода из учетной записи.
  • Добавлена ​​надежность функции блокировки входа в систему путем замены функции strtotime на DateTime / DateInterval.
    Это должно предотвратить ограничение 32-битных систем максимальной датой 19 января 2038 года.
  • Исправлены ошибки, связанные с функциями капчи.
  • Исправлена ​​и улучшена функция «Пользователи, вошедшие в систему» ​​для мультисайтов.
  • Всегда устанавливайте допустимые даты, чтобы избежать ошибок, когда в mysql включен строгий режим. Спасибо Давиде.
  • Удалена функция whois, поскольку она добавляет относительно небольшую ценность, а используемая сторонняя библиотека не поддерживается на регулярной основе.
  • Исправлена ​​ошибка «заголовки уже отправлены» при выполнении массового действия с использованием таблицы списка aiowps.
  • Исправлена ​​еще одна ошибка капчи, связанная с формой комментария.
  • Исправлены различные ошибки капчи: страница потерянного пароля woocommerce, страница пользовательской формы входа и т. Д.
  • Исправлена ​​ошибка функции переименования страницы входа, появившаяся после изменения ядра WP в версии 5.2.
  • Исправлена ​​ошибка с капчей.
  • Исправлена ​​проблема PHP_EOL, из-за которой некоторые адреса IPv6 и v4, сохраненные в настройках, ошибочно считались недействительными.
  • Увеличено разрешение файла для wp-config.php до «640»
  • Исправлена ​​ошибка изменения префикса БД для случаев, когда в БД были таблицы типа «просмотр».
  • Исправлены некоторые проблемы со строкой перевода.
  • Незначительное исправление стиля для кнопок навигации разбивки на страницы таблицы списка WP.
  • Повторная попытка — Исправлена ​​ошибка аутентификации авторизации по капче.
  • Исправлена ​​ошибка аутентификации авторизации по капче.
  • Незначительное исправление ошибки — добавлена ​​отсутствующая проверка для постановки сценария recaptcha в очередь, только если эта функция включена.
  • Добавлена ​​возможность скрывать секретную ссылку на страницу переименования входа в систему при отправке писем людям с просьбой об экспорте личных данных.
  • Исправлена ​​ошибка, из-за которой Google reCaptcha не отображалась на странице комментариев.
  • Исправлен обработчик активации и создание таблиц БД для более надежной обработки мультисайтовых активаций.
  • Улучшен код reCaptcha для предотвращения случайного появления ошибки «Неперехваченная ошибка: элемент-заполнитель reCAPTCHA должен быть элементом или идентификатором».
  • Добавлена ​​дополнительная проверка значения PHP_OS для предотвращения интерпретации Apple «DARWIN» как сервера Windows.
  • Исправлены некоторые незначительные проблемы с переводом на странице входа с переименованием.
  • Повышен приоритет хука аутентификации для проверки капчи.
  • Обновлен файл на голландском языке.
  • Дополнительные меры по предотвращению фатальных ошибок «get_home_path».
  • Исправлена ​​критическая ошибка функции «get_home_path».
  • Добавлена ​​функция Google reCaptcha для форм входа.
  • Улучшенный код, который проверяет, является ли сайт основным для многосайтовых установок.
  • Удалена строка текстового домена из функций перевода в файле wp-security-rename-login-feature.php.
  • Изменено расположение пути .htaccess для использования get_home_path ().
  • Исправлена ​​незначительная ошибка с капчей в woocommerce
  • Добавлена ​​новая вкладка «WP REST API» в меню «Разное» и создана отдельная функция, которая отключает несанкционированный доступ к REST для не вошедших в систему пользователей независимо от функции перечисления пользователей.
  • Улучшено отображение области виджетов на странице панели инструментов.
  • Небольшое исправление строки перевода в функции переименования страницы входа.
  • Исправление — Ошибка: вызов неопределенной функции the_privacy_policy_link () в более старых версиях WordPress.
  • Добавлена ​​проверка для отключения функции обнаружения изменений файлов и предотвращения фатальных ошибок, когда FilesystemIterator недоступен из-за старых версий PHP.
  • Улучшенный метод get_login_fail_count в классе AIOWPSecurity_User_Login, который исправит случаи, когда блокировка входа в систему
    не работала на некоторых серверах из-за разницы в метках времени между PHP current_time («mysql») и mysql now ().
  • Измененная страница переименования входа в систему для обработки запроса GDPR Export / Erase Personal Data.
  • Исправлена ​​ошибка с капчей на странице регистрации woocommerce.
  • Улучшено перечисление пользователей, так что аутентифицированные запросы к REST API разрешены, но другие заблокированы.
  • Улучшена логика в настройках переименованной страницы входа, что позволяет избежать ненужного вызова функции AIOWPSecurity_Utility_Htaccess :: write_to_htaccess ().
  • Исправлена ​​опечатка с недавно добавленным хуком действия — aiowps_before_wp_die_renamed_login
  • Исправлена ​​ошибка — aiowps теперь разрешает доступ к admin-post.php из внешнего интерфейса, когда активна функция переименования входа в систему.
  • Изменена функция блокировки входа в систему, поэтому блокируется точный IP-адрес, а не диапазон IP-адресов.
  • Добавлен новый фильтр (aiowps_ip_blocked_output_page), который позволяет пользователю фильтровать весь вывод, когда чей-то IP заблокирован.
  • Добавлен новый обработчик действия (aiopws_before_wp_die_renamed_login) для переименованной функции входа в систему, которая срабатывает непосредственно перед событием wp_die, которое вызывает поведение «Недоступно».
  • Удален неиспользуемый код.
  • Изменен get_user_ip_address для получения первого IP-адреса в случаях, когда предоставлено несколько адресов, разделенных запятыми, например X-Forwarded-For.
  • Добавлена ​​новая страница настроек IP-адреса, на которой пользователь может настроить, из какого $ _SERVER global будет извлекаться IP-адрес. (Новая настройка находится в WP Security >> Настройки >> Расширенные настройки)
  • Исправлена ​​ошибка в правилах .htaccess, возникающая при одновременном включении правил брандмауэра 6G и черного списка IP.
  • Исправлена ​​ошибка, из-за которой ответ captcha игнорировался на странице входа в woocommerce.
  • Добавлена ​​поддержка запросов на разблокировку, сделанных со страницы входа в учетную запись woocomerce, когда активна функция переименования входа.
  • Добавлен полезный код отладки для устранения неполадок в поддельной функции googlebot.
  • Некоторая общая очистка и улучшение кода.
  • Добавлен код для предотвращения утечки данных прямого доступа.
  • Добавлены настройки капчи для формы новой темы BBPress.
  • Исправлена ​​небольшая ошибка на странице панели инструментов при проверке применения правил htaccess.
  • В функцию «Права доступа к файлам» добавлена ​​проверка установки сервера Windows — эта функция не применима для серверов Windows.
  • Добавлена ​​проверка для отображения капчи комментариев только когда пользователь не авторизован.
  • Улучшены директивы белого списка для Apache 2.4 и более ранних версий.
  • Добавлены 3 фильтра для электронного письма с подтверждением регистрации учетной записи вручную: aiowps_register_approval_email_subject, aiowps_register_approval_email_msg, aiowps_register_approval_email_from_name
  • Добавлен параметр конфигурации, позволяющий применять настраиваемые правила брандмауэра в начале всех правил, применяемых aiowps.
  • Изменена вставка записей в таблицу БД aiowps_failed_logins для хранения полного IP-адреса вместо диапазона IP-адресов.
  • Обновлен wp-security-rename-login-feature.php, чтобы включить последние изменения ядра WordPress.
  • Добавлена ​​капча для форм входа и регистрации в woocommerce.
  • Исправлены предупреждения о «смешанных окончаниях строк» ​​для библиотеки whois.
  • Задача cron по очистке БД перемещена с ежедневной на ежечасную.
  • Обновлена ​​функция повторного применения htaccess, поэтому она не создает уже отправленный заголовок с ошибкой.
  • Изменен параметр в функции current_user_can для использования полномочий администратора вместо имени роли «администратор».
  • Добавлено несколько новых хуков для AIOWPSecurity_WP_Loaded_Tasks, называемых aiowps_wp_loaded_tasks_start и aiowps_wp_loaded_tasks_end.
  • Улучшена функция get_locked_ips () и добавлен оператор $ wpdb-> prepare.
  • Добавлены дополнительные отсутствующие параметры домена перевода для переводимых строк на странице переименования входа в систему.
  • Удалена локальная копия файлов на персидском и итальянском языках. Эти переводы доступны на translate.wordpress.org.
  • Путь к домену и текстовый домен добавлены в заголовок плагина.
  • Изменены функции get_user_ip_address, так что $ _SERVER [‘REMOTE_ADDR’] является основным методом, используемым для получения IP-адреса.
  • Добавлен блок перечисления через REST API (wp> = 4.7)
  • Улучшенная функция «Регистрация пользователей» для обхода статуса ожидающего утверждения для новых пользователей, созданных на стороне администратора.
  • Исправлена ​​ошибка в библиотеке whois.
  • Добавлен параметр домена перевода для переводимых строк на странице входа в систему переименования.
  • Обновлен файл на китайском языке.
  • Библиотека PHPWhois обновлена ​​до последней версии и включает исправление безопасности.
  • Добавлена ​​новая функция белого списка блокировки входа в систему, которая позволяет защищать IP-адреса или диапазоны от блокировки функцией блокировки.
  • Исправлена ​​ошибка — date_i18n заменено на current_time, чтобы предотвратить случаи, когда некоторые локализации производят посторонние символы при выводе штампа даты.
  • Добавлена ​​новая функция для добавления Honeypot в форму регистрации пользователя WordPress (это может помочь уменьшить количество попыток регистрации со стороны роботов).
  • Добавлены кнопки «Экспорт в CSV» для 404 журналов событий, журналов активности учетной записи и записей о неудачных попытках входа в систему.
  • Незначительное обновление правил 6G.
  • Мелкие исправления и изменения орфографии и формулировки.
  • Исправлена ​​ошибка — добавлен код, обслуживающий определения представления mysql при изменении префикса DB.
  • Исправлена ​​опечатка в меню безопасности входа пользователя.
  • Исправлено хранение метки времени в таблице блокировки, чтобы она соответствовала времени локального сервера WordPress и была согласована с меткой времени, хранящейся в таблице неудачных входов в систему.
  • Запретить прямой доступ к wp-security-core.php
  • Обновлен файл POT.
  • Исправить ошибку в block_ip_if_locked (), не выходит с wp_user.Это необходимо для других плагинов, которые создают $ user (также известные плагины ldap auth).
  • Исправить сообщение об ошибке входа в систему для пользователей, ожидающих утверждения учетной записи.
  • Совместимость с

  • WordPress 4.7.
  • Исправлена ​​ошибка, когда на странице регистрации Woocommerce отображалась математическая капча.
  • Исправлена ​​ошибка страницы входа в систему для случаев, когда адрес электронной почты и капча используются для отправки формы входа (спасибо @chesio за исправление).
  • Каталог журналов теперь содержит файл.htaccess с соответствующими директивами deny.
  • Небольшое улучшение UX: добавлен атрибут для метки капчи.
  • Добавлена ​​проверка сервера IIS в функцию get_server_type.
  • Улучшения класса средства ведения журнала отладки.
  • Добавлено сообщение в области настроек отладки, чтобы указать, что файлы журнала сбрасываются при каждом обновлении плагина.
  • Всегда возвращать массив из scan_dir_sort_date (), чтобы предотвратить уведомления PHP.
  • Улучшения для автоматического резервного копирования БД заполняют пространство — старый файл резервной копии будет удален первым.
  • Спасибо RIPS Analyzer за отправку отчета об уязвимости.
  • Улучшить вывод .htaccess, чтобы включить проверки и директивы RewriteEngine On.
  • Возврат к интервалу резервного копирования БД по умолчанию в случае недопустимого значения.
  • Функция aiowps_delete_backup_files () будет создавать сообщение журнала отладки при каждом вызове (для помощи в устранении неполадок при необходимости).
  • Исправление совместимости плагина WPML для функции переименованной страницы входа администратора.
  • Исправлено несколько потенциальных уязвимостей XSS.
  • Небольшое улучшение новой функции «немедленная блокировка определенных имен пользователей».
  • Новая функция, позволяющая мгновенно блокировать определенные имена пользователей.
  • Активировать защиту от копирования (щелчок правой кнопкой мыши) только для пользователей без прав администратора.
  • Исправлена ​​ошибка, из-за которой ссылка выхода на панели администратора не обновлялась после отправки $ _POST, чтобы отразить новую настройку входа в систему переименования.
  • Исправлена ​​небольшая ошибка в функции return_regularized_url.
  • Улучшение / исправление ошибки: когда в настоящий момент пользователь пытается получить доступ к переименованной странице входа, перенаправьте его на панель управления.
  • Удалены файлы испанского языка, чтобы их можно было автоматически извлечь с WordPress.org.
  • Удалите ненужное предложение WHERE в некоторых списках серверных программ.
  • Улучшение: не планировать задание cron, если оно уже запланировано.
  • Добавлена ​​очистка данных файла журнала в текстовой области.
  • Отключено автозаполнение для поля Captcha.
  • Добавлен код очистки для переходных процессов в строке капчи.
  • Незначительное изменение метки имени пользователя на переименованной странице входа, чтобы оно соответствовало стандартной странице входа в WordPress.
  • Исправлена ​​потенциальная уязвимость при просмотре файлов журнала AIOWPS в меню панели инструментов. Спасибо Мануэлю ЛЛОП за указание на это.
  • Исправлена ​​ошибка, при которой имя пользователя — это адрес электронной почты, а капча игнорировалась.
  • Уменьшить объем памяти, занимаемой резервным копированием базы данных.
  • Улучшения: Сделано жестко запрограммированные строки локализуемыми.
  • Частичная совместимость с Apache 2.3.
  • Улучшено: Скрыть номер версии WP, заменив его хешем. Таким образом, номер версии WordPress не отображается, но кеширование браузера не затрудняется отсутствием номеров версий.
  • Улучшена и доработана функция ввода пароля для входа в систему, чтобы избежать некоторых проблем, которые возникли при последней модификации.
  • Удалена ссылка на ini_get (‘safe_mode’), чтобы избежать фатальных ошибок для новых версий PHP, где этот параметр был полностью удален.
  • Добавлен новый флажок для XMLRPC, чтобы отключить только методы pingback, но оставить доступными другие функции XMLRPC. Это будет полезно для людей, которые используют Jetpack, WordPress iOS или другие приложения.
  • Обновлен файл на французском языке.
  • Исправление: decbin не добавляет начальный ноль. Сравнение пустых строк возвращает плохие результаты.
  • Fix: исправление ошибки в системе авторизации. Спасибо Сипке Меллеме за указание на это.
  • Исправлена ​​ошибка, вызванная последними изменениями кода сканера изменений файла.
  • Исправлена ​​ошибка в функции блокировки спам-комментариев.
  • Исправлен случай фатальной ошибки при включении темы Divi и блокировки внешнего интерфейса.
  • Исправлен конфликт с фатальной ошибкой между функцией Rename Login и Yoast SEO и некоторыми темами при попытке прямого доступа к странице wp-admin.
  • Добавлено сообщение «Ожидает утверждения», когда включена функция подтверждения регистрации вручную и пользователь регистрируется.
  • Исправление (незначительное): нет необходимости использовать strcmp для сравнения целочисленных значений.
  • Обновленный и упрощенный файл wp-security-stop-users-enumeration.php для устранения ошибки (спасибо @davidegiunchidiennea)
  • Незначительная очистка кода (спасибо @chesio за следующие изменения).
  • Очистка базы кода сканера файлов.
  • Fix: правильно сообщать неверные адреса электронной почты в конфигурации сканера файлов.
  • Очистка кода в методе AIOWPSecurity_Scan :: do_file_change_scan ().
  • Tweak: Быстрее сравнивать данные сканирования файлов.
  • Исправлена ​​ошибка на странице меню «Обслуживание» при попытке прикрепить медиафайл к текстовому полю сообщения.
  • Добавлен новый фильтр (названный «aiowps_ip_blocked_error_msg»), который позволяет изменять сообщение об ошибке, отображаемое на странице входа в систему, когда IP-адрес был заблокирован функцией блокировки входа в систему.
  • Обновлен перевод на французский язык.Спасибо Клоду Рибо за предоставленные файлы перевода.
  • Спасибо @chesio за внесение следующих двух изменений.
  • Заменен устаревший вызов функции get_currentuserinfo ().
  • Незначительные исправления кода в файле класса резервного копирования.
  • Исправление: отображение правильного сообщения (ошибки) при сбое write_to_htaccess ().
  • Улучшено: имя файла резервной копии базы данных более читабельно.
    До: 24x7eg8l6i-database-backup-1463042767.zip
    После: database-backup-20160512-104607-24x7eg8l6i.молния
  • Код сканера изменений файлов стал более надежным для случаев, когда действует ограничение open_basedir. (Спасибо Мануэлю Жанне за указание на это).
  • Добавлен код, который удаляет информацию о версии WordPress во время загрузки скриптов CSS и JS, если у вас установлен флажок «Удалить метаинформацию WP Generator». (Спасибо aldemarcalazans за указание на это).
  • Исправлены некоторые потенциальные уязвимости SQL-инъекций. (Спасибо Хулио Потье за ​​указание на это).
  • Изменена категория функций диспетчера черных списков с «Средний» на «Продвинутый».
  • Tweak: Удалить «@» из списка символов, заблокированных расширенным фильтром символьных строк. (Потому что он часто используется в изображениях, готовых к сетчатке).
  • Исправление: использование домашнего URL-адреса вместо URL-адреса сайта в теме электронного письма с уведомлением о блокировке. Спасибо @chesio за исправление.
  • Добавлена ​​возможность определять IP-адреса при регистрации пользователя и возможность блокировать выбранные IP-адреса.
  • Добавлена ​​функция ввода кода для формы входа в систему для подсайтов в многосайтовой установке. (см. меню Brute Force)
  • Исправлена ​​ошибка с несколькими сайтами, связанная с ручным изменением префикса БД, выбранного пользователем.
  • Добавлена ​​дополнительная защита XSS на страницах меню администратора для параметра запроса «вкладка».
  • Добавил примечание к функциям, которые могут заблокировать вас, если они некорректно работают на вашем сайте.
  • Обновлен бразильско-португальский языковой файл.
  • Исправлена ​​ошибка, из-за которой пользовательские правила брандмауэра искажались магическими кавычками.Спасибо @chesio за исправление.
  • Добавлен новый перехватчик действия «aiopws_before_set_404», который срабатывает непосредственно перед тем, как AIOWPS устанавливает 404. (удобно для случаев, когда используется страница переименования входа, которая влияет на некоторые темы при прямом доступе к «wp-admin»)
  • Исправлены некоторые потенциальные уязвимости SQL-инъекций.
  • Спасибо @chesio за внесение следующих изменений и применение исправлений.
  • Исправления при установке подкаталога.
  • Улучшено поведение вкладки WP File Access.
  • Исправить недопустимое размещение элементов HTML.
  • Не блокировать HTTP-запросы, содержащие «tag =» в строке запроса.
  • Возможность включения межсетевого экрана 6G.
  • Убран просмотр содержимого файлов wp-config.php и .htaccess в целях защиты конфиденциальной информации.
  • Исправлено больше потенциальных XSS-уязвимостей на некоторых других страницах настроек. (Еще раз большое спасибо Эрин Герм за указание на это)
  • Исправлены некоторые потенциальные XSS-уязвимости в черных списках, на страницах настроек файловой системы и обнаружения изменений файлов. (Большое спасибо Эрин Герм за указание на это)
  • Добавлена ​​новая функция: автоматическая блокировка IP-адресов спамеров. Эта функция автоматически и навсегда блокирует IP-адреса, которые связаны со спамом в комментариях. (см. Предотвращение СПАМА -> Вкладка «Мониторинг IP-адресации спама»)
  • Добавлено исправление совместимости для плагина qTranslate-X в функцию переименования страницы входа.
  • Добавлена ​​возможность отправки более чем на один адрес электронной почты для уведомления функции обнаружения изменения файла.
  • Исправлена ​​ошибка в библиотеке whois при поиске в реестре ARIN.
  • Исправлена ​​обработка отображения более длинных строк IPV6 в сводной таблице панели инструментов.
  • Добавлен хук для формы входа в WooCommerce для отображения кнопки разблокировки.
  • Добавлен перевод на голландский язык. Спасибо Йеруну ван дер Линде за предоставленные файлы перевода.
  • Исправление опечатки в функции «остановить перечисление пользователей».
  • Добавлен urlencode для запроса строк в URL-адресах, чтобы предотвратить непредвиденное поведение. Спасибо @chesio за обнаружение проблемы.
  • Добавлена ​​новая функция, чтобы остановить перечисление пользователей. Спасибо Davide Giunchi @davidegiunchidiennea за это.
  • Добавлен более надежный код для функции check_user_exists. Спасибо Кристиану Кэри.
  • Добавлена ​​очистка cron глобальной мета-таблицы.
  • Добавлен заголовок в каждое из меню интерфейса администратора.
  • Добавлена ​​возможность включать / отключать отладку из меню настроек.
  • Исправлена ​​ошибка, связанная с использованием диапазонов IP-адресов в настройках белого списка.
  • Добавлена ​​поддержка IPv6 для функции белого списка.
  • Добавлена ​​функция проверки прав доступа к файлам для случаев, когда wp-config.php может находиться вне корневого каталога.
  • Добавлены события очистки базы данных wp cron для различных таблиц, размер которых со временем может увеличиваться.
  • Изменено правило брандмауэра для предотвращения комментариев прокси, чтобы отразить предложение, сделанное Томасом О.на форуме (https://wordpress.org/support/topic/high-server-cpu-with-proxy-login)
  • Исправлена ​​проблема стиля CSS на страницах администратора для WordPrss 4.4
  • Переименованы языковые файлы в соответствии с новым ярлыком текстового домена, чтобы исправить ошибку языкового перевода.
  • Исправлена ​​ошибка, связанная с функцией переименования входа в систему и событиями принудительного выхода или истечения срока выхода из системы.
  • Применено исправление для журнала, создаваемого при вставке БД таблицы событий.
  • Исправлен вызов функции для статической версии сообщения об ошибке отображения.
  • Обновлен текстовый домен в соответствии с ожидаемым значением для системы перевода translate.wordpress.org.
  • Исправлена ​​ошибка, связанная с тем, что роли user_roles для нескольких сайтов не обновлялись для дочерних сайтов.
  • Исправлена ​​небольшая ошибка в функции переименования входа в систему.
  • Обновлен файл итальянского языка.
  • Исправлена ​​проблема с функцией переименования страницы входа в WordPress 4.3
  • Добавлена ​​очистка esc_attr () для некоторых из соответствующих параметров
  • Добавлены необходимые изменения, чтобы разрешить активацию через wp-cli
  • Добавлена ​​защита от возможного XSS в функции запроса разблокировки.
  • Добавлена ​​новая функция, позволяющая настраивать правила .htaccess. (См. Вкладку «Пользовательские правила» в меню брандмауэра). Теперь вы можете использовать это, чтобы добавить пользовательские правила для блокировки доступа к различным ресурсам на вашем сайте.
  • Добавлена ​​новая функция для блокировки доступа к файлу wp-content / debug.log (WordPress создает этот файл, если вы включили опцию debug loggin в файле конфигурации).
  • В номере версии плагина удалена буква «v».
  • Завершено тестирование WordPress 4.3.
  • Добавлена ​​функция переименования страницы входа в систему из меню «Грубая сила» для мультисайтовых подсайтов.
  • Удален недопустимый атрибут «длина» из элемента ввода в коде капчи.
  • Исправлена ​​функция сброса пароля, при которой URL-адрес, который отправляется в электронном письме в случаях, когда включена функция переименования входа в систему, не декодировался должным образом.
  • Исправлена ​​проверка логического значения false при возврате из результата запроса wpdb.
  • Добавлена ​​кнопка мультимедиа для редактора WP на странице настроек обслуживания.
  • Исправлена ​​небольшая ошибка — IP-адреса, заблокированные из-за «404», не отображались в таблице отображения.
  • Обновлен файл перевода на русский язык.
  • В значении автоматического создания префикса таблицы базы данных будут использоваться только символы a-z.
  • Добавлена ​​очистка esc_url к экземплярам функции add_query_arg / remove_query_arg для предотвращения возможного XSS.
  • Параметры sort и orderby теперь используют белый список для очистки.
  • Исправлен порядок сортировки, который не работал на странице регистрации ошибок 404 и активности учетной записи.
  • Добавлена ​​функция проверки регистрационной капчи для предотвращения ошибок при использовании другого плагина капчи.
  • Улучшено несколько операторов SQL.
  • Добавлена ​​новая функция «Принудительный выход», которая мгновенно заставляет определенного пользователя выйти из своей сессии.(См. Вкладку «Пользователи, вошедшие в систему» ​​в меню «Вход в систему»)
  • Добавлена ​​дополнительная защита для файлов журнала aiowps путем создания файла .htaccess и правил. Файлы журнала AIOWPS теперь можно просматривать только через меню панели инструментов в новой вкладке под названием «Журналы AIOWPS». (ПРИМЕЧАНИЕ: эта безопасность в настоящее время применяется только для apache или подобных серверов)
  • Добавлены обратные кавычки к оператору SQL для изменения префикса БД, чтобы помочь предотвратить ошибки.
  • Добавлена ​​защита от возможных атак SQL-инъекций.
  • Добавлена ​​некоторая устойчивость к коду сканирования файлов.
  • Добавлена ​​дополнительная безопасность для всех соответствующих экземпляров таблиц списков для предотвращения маловероятных вредоносных команд удаления.
  • Исправлена ​​часть пользовательского агента в коде настроек черного списка, позволяющая очищать пользовательские агенты при сохранении.
  • Исправлена ​​ошибка в новой функции, которая позволяет постоянно блокировать IP-адреса, которые создают 404 события.
  • Исправлена ​​небольшая ошибка для всех случаев, когда wpdb «prepare» использовался с параметрами order / orderby.
  • Исправлена ​​возможная уязвимость открытого перенаправления. Спасибо Сукури за указание на это.
  • Добавлена ​​дополнительная надежность и безопасность для команд wp list table db с помощью команды wpdb «prepare».
  • Исправлена ​​небольшая ошибка с необъявленной переменной на странице функции переименования входа в систему.
  • Добавлено улучшение для функции блокировки входа в систему — заблокированные IP-адреса больше не смогут регистрироваться.
  • Добавлена ​​ссылка «просмотр» для каждой учетной записи в списке таблицы ожидающих утверждения регистрации.
  • Исправлена ​​ошибка регистрации / блокировки 404.
  • Добавлена ​​возможность навсегда заблокировать IP-адреса из списка событий 404 как для групповых, так и для единичных случаев.
  • Добавлена ​​возможность массовой временной блокировки IP-адресов в списке 404.
  • Исправлена ​​небольшая ошибка с функцией validate_ip_list.
  • Исправлена ​​ошибка события cron очистки БД.
  • Добавлен перевод на шведский язык. Перевод предоставил Тор-Бьёрн Фьелльнер.
  • Обновлен файл перевода на русский язык.Обновление предоставлено Тор-Бьорном Фьеллнером.
  • Таблица событий будет автоматически очищена, так что в ней останутся только последние 5000 записей. Вы можете переопределить его, используя фильтр (если хотите).
  • Добавлена ​​функция предотвращения слишком большого размера таблицы aiowps_events.
  • В электронное письмо с предупреждением добавлена ​​сводка сканирования изменений файла.
  • Исправлена ​​функция разблокировки, теперь она работает правильно, когда активна функция «Переименовать страницу входа».
  • Добавлена ​​проверка в файл списка зарегистрированных пользователей для предотвращения ошибки, когда get_transient возвращает false.
  • Обновлен языковой файл POT.
  • Изменена функция, которая извлекает IP-адрес для обработки случаев, когда трафик исходит от cloudflare
  • База данных MySQL больше не будет принудительно выполняться во время создания таблицы. Он также сначала считывает значение набора символов из системы.
  • Применены исправления для предотвращения удаленного использования уязвимостей.
  • Измененные правила «Pingback Protection» .htaccess для предотвращения атак на вход xmlrpc и совместимости с большим количеством серверов.
  • Внесены улучшения, обеспечивающие совместное использование функций переименования входа в систему и белого списка.
  • Добавлена ​​проверка, заставляющая пользователя вводить буквенно-цифровую строку для переименованного имени логина.
  • Улучшены функции turn_off_all_firewall_rules () и turn_off_all_security_features (), чтобы они также обрабатывали обновление файла htaccess.
  • Добавлен альтернативный способ импорта настроек через текстовое поле (спасибо Дэйву Макхейлу). Это для людей, у которых могут возникнуть проблемы с использованием загрузчика файла настроек конфигурации.
  • Добавлено исправление для корректного обновления таблиц опций при изменении префикса БД в многосайтовой системе.
  • Значительно улучшена функция переименованной страницы входа в систему, устранены различные потенциальные уязвимости.
  • Добавлена ​​проверка оператора if для исправления ошибки с функцией переименования страницы входа в систему — особый случай, когда у пользователя была структура без постоянных ссылок, которая не работала правильно в некоторых редких сценариях.
  • Обновлен файл итальянского языка.
  • Исправлена ​​ошибка, связанная с неправильным форматом заголовка wp_mail, когда строка «От» была пустой из-за того, что «заголовок сайта» не был установлен.
  • Исправлена ​​ошибка в функции проверки списка IP-адресов для функции черного списка.
  • Удалена строгая фильтрация IP-адресов, чтобы разрешить внутренние диапазоны IP-адресов.
  • В плагине добавлено разделение параметров orderby и order query.
  • Добавлена ​​возможность поиска по IP-адресу, URL-адресу или рефереру для таблицы списка событий 404.
  • Исправлена ​​ошибка CSS с функцией приманки.
  • Исправлен вызов статической функции обработчика действий входа в систему.
  • Незначительное исправление ошибки для функции приманки — загрузка таблицы стилей css не происходила при отображении главной страницы входа.
  • Улучшены задачи деактивации и повторной активации — AIOWPS теперь корректно очищает правила .htaccess при деактивации плагина.
  • Изменен код, чтобы все страницы входа, включая пользовательские, правильно загружали файл таблицы стилей CSS, необходимый для функции приманки.
  • Обновлен перевод на португальский язык.
  • Исправлена ​​функция защиты от копирования, поэтому она не мешает работе iframe и шорткодов.
  • Теперь плагин будет работать нормально, даже если ваш файл wp-config.php находится за пределами корневой папки wordpress.
  • Функция защиты от копирования Улучшение кода JS
  • Добавлена ​​функциональность капчи для пользовательской формы входа, которая создается функцией WP: wp_login_form ()
  • Исправлена ​​небольшая ошибка в коде JavaScript функции защиты от копирования.
  • Улучшен алгоритм сканирования изменений файлов для предотвращения фатальных ошибок выполнения getMTime.
  • Добавил ссылку на репозиторий github в файл readme.txt для разработчиков.
  • Исправлена ​​небольшая ошибка, связанная с тестом файлов cookie в функции грубой силы на основе файлов cookie.
  • Добавлена ​​новая функция под названием Login Honeypot, которая поможет снизить количество попыток входа в систему с помощью грубой силы со стороны роботов. (Это можно найти в меню грубой силы)
  • Добавлена ​​новая функция, позволяющая запретить другим сайтам отображать ваш контент через фрейм или iframe. (Его можно найти в меню «Разное»)
  • Добавлена ​​функция капчи для формы регистрации BuddyPress.
  • Добавлен новый фильтр для сообщения о блокировке сайта, поэтому его можно настроить.
  • Добавлен новый фильтр для шаблонов, включающих функцию блокировки сайта.
  • Временно отключена функция «Сканирование БД».
  • Улучшен код изменения префикса БД, чтобы сделать его более надежным.
  • Исправлена ​​небольшая ошибка функции переименования страницы входа.
  • Добавлена ​​проверка при обработке страницы входа с переименованием, чтобы увидеть, включен ли режим обслуживания (блокировки). Плагин теперь будет отображать сообщение о блокировке вместо страницы 404, если блокировка сайта включена.
  • Сделал функцию предотвращения грубой силы на основе файлов cookie более безопасной, добавив 10-значный случайный суффикс к имени тестового файла cookie.
  • Добавлена ​​возможность вставки капчи в регистрационную форму WordPress Multi Site.
  • Добавлено условие для константы разрешения управления. Это позволит пользователям определять индивидуальные возможности для админки этого плагина через файл wp-config. Это было представлено Сэмюэлем Агилерой.
  • Исправлена ​​ошибка со скрытой страницей входа в систему.
  • Исправлена ​​небольшая ошибка настроек с функцией «блокировать фальшивого бота Google».
  • Добавлена ​​новая функция сканирования БД. Перейдите в меню «Сканер», чтобы использовать эту новую функцию.
  • Добавлена ​​новая функция импорта / экспорта настроек.
  • Измененная функция учетных записей пользователей для предупреждения администратора, если используется одно или оба имени пользователя «admin» или «Admin».
  • Добавлен перевод на персидский язык. Перевод предоставил Амир Мусави Пур (me @ ameer.ir).
  • Небольшое изменение в функции get_mysql_tables для предотвращения фатальной ошибки, когда запрос mysqli завершается неудачно.
  • Добавлен перевод на итальянский язык. Перевод предоставил Марко Гульельметти.
  • Добавлена ​​новая функция для добавления защиты от копирования для вашего интерфейса. Вы можете найти эту функцию в меню «Разное».
  • Исправлена ​​ошибка капчи комментариев для мультисайта. Теперь эту функцию можно активировать / деактивировать для подсайтов мультисайтовой установки.
  • Добавлен перевод на венгерский язык. Перевод предоставил Даниэль Кочиш.
  • Перемещен код обработки функции пользовательской страницы входа в обработчик wp-loaded, чтобы другие плагины, которые изменяют страницу входа, могли выполнять свою задачу до того, как сработает наша. Это изменение было предложено Марком Хадноллом.
  • Добавлен перевод на немецкий язык. Перевод был представлен Мануэлем Фричем.
  • Обновлен файл перевода на бразильский язык.
  • Добавлен перевод на бразильский язык. Перевод предоставил Серхио Сикейра.
  • Добавлены два новых хука действий для времени активации и деактивации плагина.
  • Улучшена функция get_user_ip_address (), так что она обрабатывает случаи, когда несколько адресов возвращаются из-за прокси.
  • Исправлено неправильное выравнивание страницы входа в систему, которое было нарушено WP3.9 при использовании функции переименования входа в систему.
  • Совместимость с WordPress 3.9
  • Добавлен раздел информации о PHP в интерфейс информации о системе, чтобы показать некоторые важные сведения о сервере PHP.
  • Добавлен фильтр, позволяющий пользователю иметь собственный перевод в месте (который будет загружен вместо перевода по умолчанию из плагина). Это изменение было представлено Сэмюэлем Агилерой.
  • Заменен метод myslqi fetch_all на fetch_assoc, чтобы охватить случаи, когда на некоторых серверах отсутствуют правильные драйверы mysql.
  • Добавлен новый фильтр, позволяющий управлять правилами htaccess из вашего пользовательского кода.Имя фильтра — «aiowps_htaccess_rules_before_writing».
  • Добавлена ​​кнопка «Удалить все журналы событий 404» для очистки всех журналов 404 из БД
  • Добавлен код для автоматической отправки электронной почты регистранту, когда учетная запись была вручную «одобрена» из меню регистрации пользователя.
  • Исправлена ​​небольшая ошибка: ссылка на панели управления указывала на неправильную вкладку для вкладки «Пользователи, вошедшие в систему».
  • Исправить ошибку с капчей на странице входа.Капча не отображается, если одновременно была включена функция переименования страницы входа.
  • Добавлена ​​новая функция — обнаружение 404. Это позволяет вам регистрировать 404 события и блокировать выбранные IP-адреса. Эту функцию можно найти в меню брандмауэра.
  • Добавлено новое информационное окно панели инструментов для отображения количества заблокированных IP-адресов в таблице блокировки.
  • Исправлена ​​ошибка, из-за которой пользователь не мог получить доступ к странице входа, когда были активны как режим обслуживания, так и функции переименования страницы входа.
  • Изменены директивы хотлинкинга .htaccess, чтобы охватить как http, так и https.
  • Исправленный код для предотвращения ошибок mysql из-за того, что некоторые переменные не имеют значения по умолчанию в таблицах неудачных попыток входа и блокировки
  • Заменена устаревшая функция PHP mysql_query на mysqli.
  • Добавлен языковой файл для испанского языка. Испанский перевод был сделан Самуэлем Монтойей.
  • Добавлен код для скрытия меню «Префикс БД» для неосновных сайтов в многосайтовой установке.
  • Добавлена ​​новая функция для предотвращения горячей ссылки изображений. (См. Вкладку «Предотвращение горячих ссылок» в меню брандмауэра)
  • Добавлена ​​проверка в функции «Переименовать страницу входа в систему», чтобы люди не могли установить для слага значение «wp-admin».
  • Исправлена ​​небольшая ошибка с функцией блокировки входа в систему.
  • Исправлена ​​ошибка, из-за которой директивы грубой силы на основе файлов cookie не удалялись из файла .htaccess при активации функции «Переименовать страницу входа».
  • Добавлена ​​новая функция, которая блокирует сканирование вашего сайта поддельными роботами Googlebots. Проверьте меню брандмауэра на наличие этой новой функции.
  • Добавлен код, запрещающий пользователям одновременно активировать функции переименования страницы входа и грубой силы на основе файлов cookie.
  • Добавлены некоторые полезные информационные окна на панели инструментов: 1) для информирования пользователя о том, активны ли функции грубой силы на основе файлов cookie или переименования страницы входа, 2) последние 5 входов на ваш сайт.
  • Исправлена ​​небольшая ошибка с.Функция резервного копирования htaccess.
  • Обновлено значение адреса электронной почты отправителя, используемое для отправки резервных копий и уведомлений об изменении файлов. Спасибо @TheAssurer за подсказку.
  • Обновлено предупреждающее сообщение для функции отключения просмотра индекса.
  • Объединенные функции «грубой силы» путем перемещения всех таких функций в меню «грубой силы».
  • Улучшена функция сканирования с обнаружением изменений файла: введена кнопка, позволяющая администратору просматривать результаты изменения файла из последнего сканирования, и исправлена ​​небольшая ошибка, из-за которой флаг обнаруженного изменения не сбрасывался для соответствующих случаев.
  • Исправлена ​​небольшая ошибка с функцией «переименовать страницу входа» (скрыть логин администратора).
  • Сделано резервное копирование файлов wp-config.php и .htaccess более безопасным. Спасибо @TheAssurer за подсказку.
  • Сделал код входа в систему более надежным за счет учета случаев, когда действие «wp_login» не передавало 2 параметра.
  • Добавлена ​​новая функция предотвращения перебора — «Переименовать страницу входа». Эту функцию можно найти в новом пункте меню под названием «Грубая сила».
  • Изменена новая функция запроса разблокировки, так что заблокированному пользователю нужно будет вводить адрес электронной почты только при отправке запроса на разблокировку.
  • Заменена устаревшая функция PHP «mysql_list_tables» альтернативным кодом.
  • Добавлено предупреждающее сообщение о приложении WordPress для iOS, когда активна функция защиты pingback в настройках брандмауэра.
  • Добавлена ​​вкладка и информация о сканировании вредоносных программ.
  • Небольшие исправления в HTML-форме и CSS.
  • Добавлена ​​новая функция, которая позволяет пользователям генерировать ссылку автоматического запроса разблокировки по электронной почте, когда они блокируются из-за функции блокировки входа в систему.
  • Добавлена ​​проверка, чтобы убедиться, что пользователь не может ввести 0 минут в функции принудительного выхода.
  • Исправлены переводы, теперь можно переводить различные ранее пропущенные строки.
  • Добавлен новый фильтр перед блокировкой IP-адреса пользователя — aiowps_before_lockdown.
  • Создан новый файл перевода (POT).
  • Добавлена ​​новая функция, которая позволит вам добавить капчу в форму утерянного пароля (полезно, если вы разрешаете регистрацию пользователя на своем сайте).
  • Добавлена ​​возможность указать файл системного журнала во вкладке «Журналы хост-системы» меню «Безопасность файловой системы».
  • Исправлена ​​ошибка ссылки на вкладку. Одна ссылка велась не на ту вкладку меню.
  • Обновлен POT-файл плагина.
  • Добавлена ​​новая функция, которая позволяет добавлять капчу на страницу регистрации пользователя WordPress.
  • Добавлены еще несколько полезных комментариев и ссылка на видеоурок на страницах настроек функций грубой силы и белого списка.
  • Добавлена ​​новая функция, которая автоматически устанавливает статус вновь зарегистрированных учетных записей пользователей WordPress на «ожидающие» и позволяет администратору утверждать их вручную.
  • Повышена надежность итерационного кода обнаружения изменений файлов.
  • Совместимость с WordPress 3.7
  • Улучшена реализация кода входа в систему
  • Изменено разрешение управления на manage_options
  • Добавлена ​​возможность вставки простой математической капчи в форму комментариев WordPress (для уменьшения спама в комментариях). Проверьте меню предотвращения спама для этой новой функции.
  • Исправлена ​​небольшая ошибка с массовой разблокировкой / удалением в меню входа пользователя
  • Исправлена ​​небольшая ошибка с математической логикой ввода капчи.
  • Добавлена ​​простая математическая функция капчи для страницы входа в WP. Это еще один простой, но эффективный способ борьбы с атаками входа в систему методом грубой силы. Вы можете включить эту новую функцию из меню безопасности входа пользователя.
  • Добавлена ​​новая функция «Белый список» для входа. Эта функция позволяет вам указать один или несколько IP-адресов в специальном белом списке, который будет иметь доступ к вашей странице входа в WP.
    Все остальные IP-адреса, которые пытаются получить доступ к вашей странице входа в WP, но не находятся в белом списке, будут автоматически заблокированы.
  • IP-адрес также будет включен в электронное письмо, которое будет отправлено администратору для уведомления о блокировке IP-адреса.
  • Исправление загрузки языкового файла для китайского языка.
  • Изменен код, который создает файл .htaccess в каталоге резервных копий, чтобы гарантировать его запуск, даже если каталог уже существует.
  • Сделано резервное копирование БД более безопасным.
  • Добавлены более полезные журналы отладки для сценариев сбоя при манипулировании файлом .htaccess.
  • Добавлена ​​новая функция, в которой будут перечислены пользователи, вошедшие в систему в настоящее время, которые были активны в течение последних 15 минут.
  • Добавлена ​​новая функция в меню настроек, которая отключит все правила брандмауэра и удалит все применимые директивы в.htaccess файл.
  • Улучшен способ обработки файла wp-config.php, если он содержит завершающий тег PHP «?>» (Старые сайты, которые использовали PHP4 ранее).
  • Добавлена ​​новая функция / флажок, который мгновенно блокирует диапазоны IP-адресов, которые пытаются войти с недопустимым именем пользователя.
  • Исправлена ​​ошибка на странице «Мониторинг IP-адресов для спама», из-за которой не удавалось заблокировать один или несколько IP-адресов.
  • Удалено слово «config» из списка проверки неверных строк запроса (чтобы добавить совместимость с еще несколькими плагинами).
  • Добавлено уведомление в меню панели инструментов, чтобы показать вам, есть ли какие-либо недавние изменения файлов, обнаруженные плагином.
  • Исправлена ​​ошибка с функцией редактирования файлов php. Код теперь также обрабатывает файлы wp-config.php в старом стиле, которые имеют конечный тег php «?>»
  • Исправлена ​​ошибка с функциональностью кнопки «Отключить все функции безопасности». Если щелкнуть, то теперь при необходимости будут внесены соответствующие изменения в файлы .htacces и wp-config.php.
  • Изменено хранилище файлов резервных копий из каталога плагина в каталог загрузок. Также добавлен файл .htaccess для безопасности.
  • Исправлен способ записи строк пользовательского агента в.htacess из функции черного списка. Теперь код будет правильно определять и представлять пробелы и экранированные символы.
  • Исправлена ​​ошибка, связанная с отправкой резервной копии на правильный адрес электронной почты.
  • Добавлено новое меню под названием «Сканер» с новой функцией «Обнаружение изменений файлов». Эта функция предупредит вас, если какие-либо файлы были изменены, добавлены или удалены из вашей системы.
  • Исправлены правила «Запретить неверные строки запроса», чтобы не нарушать возможность перетаскивания компонентов на странице WordPress «Внешний вид-> Меню».
  • Исправлено предупреждение о времени активации (на сайтах с включенной опцией WP_DEBUG)
  • Повторно реализовал файл wp-config.функция резервного копирования содержимого файла php. Теперь он напрямую загружает содержимое файла на ваш компьютер.
  • Усовершенствования для нескольких сайтов: подавлен доступ к параметрам конфигурации для функций, которые не могут быть настроены с дочерних сайтов в многосайтовых установках.
  • Исправлена ​​ошибка с функцией блокировки входа в систему.
  • Добавлена ​​новая функция, которая блокирует отправку комментариев некоторым спам-ботам.
  • Комментарий Интерфейс мониторинга IP-спама перемещен в новое меню «Предотвращение спама».
  • Исправлена ​​ошибка с функцией блокировки входа в систему как для нескольких, так и для одного сайта.
  • Улучшена функция брандмауэра для нескольких сайтов: меню «Брандмауэр» теперь доступно только для основного сайта, а не для дополнительных сайтов.
  • Добавлен случайный префикс к именам файлов резервных копий.
  • Исправлена ​​ошибка для многосайтовой установки WP, когда таблицы БД не создавались при создании нового блога в сети.
  • Исправлена ​​проблема с тегами версии.
  • Исправлена ​​проблема с ошибкой времени установки на некоторых сайтах для WordPress 3.6
  • Исправлены некоторые ошибки, связанные с WP Debug для WordPress 3.6
  • Заменены устаревшие вызовы функции $ wpdb-> escape () на вызовы esc_sql ()
  • Исправлена ​​ошибка общей функции резервного копирования БД.
  • Фиксированное резервное копирование БД на нескольких сайтах — теперь плагин будет создавать резервные копии только таблиц, относящихся к рассматриваемому подсайту.
  • Добавлен пустой указатель.html в различных папках внутри плагина.
  • Отключил функцию резервного копирования файла wp-config.php, пока мы не найдем более безопасный метод резервного копирования.
  • Добавлена ​​новая функция защиты от уязвимостей WordPress PingBack. Это позволяет пользователю запретить доступ к файлу xmlrpc.php для защиты от определенных уязвимостей в функции pingback.
  • Добавлен элемент конфигурации в функцию предотвращения входа в систему методом грубой силы, чтобы функция ajax работала должным образом, когда эта функция включена.
  • Добавлен файл POT для языковых переводов.
  • Сделал функцию префикса БД более надежной, добавив проверку, гарантирующую, что плагин может писать в файл wp-config.php. Это предотвратит потерю пользователем доступа к своему сайту в случаях, когда система изменила префикс, но не запись в файле wp-config.php.
  • Усилена проверка данных для функции входа в систему методом грубой силы на основе файлов cookie, чтобы гарантировать, что пользователь должен ввести секретное слово, состоящее из буквенно-цифровых символов.
  • Добавлены ссылки для редактирования в список учетных записей пользователей в меню «Учетные записи пользователей».
  • Перемещена функция блокировки внешнего сайта в новое меню под названием «Обслуживание».
  • Добавлена ​​функция блокировки внешнего интерфейса, позволяющая людям указывать собственное сообщение, которое будет отображаться на интерфейсе для посетителей, которые пытаются получить доступ к сайту, когда он находится в состоянии блокировки.
  • Исправлена ​​ошибка в функции блокировки внешнего интерфейса путем добавления некоторых проверок, которые гарантируют, что администратор не будет заблокирован, если функция все еще активна, и их сеанс входа в систему истекает или они выходят из системы.
  • Добавлен виджет в меню панели инструментов для отображения статуса функции «режима обслуживания».
  • Добавлена ​​новая функция — инструмент надежности пароля, который вычисляет, насколько легко взломать выбранный вами пароль с помощью настольного ПК и соответствующего ПО. Этот инструмент должен помочь вам создавать надежные пароли.
  • Добавлена ​​внешняя функция блокировки посетителей. Эта функция позволяет вам временно заблокировать интерфейс вашего сайта, пока вы проводите расследование безопасности, обновления сайта, настройки и т. Д.
  • Добавлен новый параметр в функцию предотвращения атак грубой силы на основе файлов cookie, позволяющий пользователям использовать эту функцию вместе с функцией защиты паролем сообщений / страниц WordPress.
  • Исправлена ​​ошибка в правилах брандмауэра 5G, чтобы распечатываемые правила содержали правильное количество символов «\».
  • Исправлена ​​небольшая ошибка в функции «восстановления из файла htaccess из резервной копии».
  • Улучшена функция «Сохранить текущий файл wp-config.php», чтобы она продолжала работать со всеми правилами брандмауэра, активными на сайте.
  • Добавлены дополнительные проверки для учета некоторых сценариев ошибок, возникающих на некоторых серверах при выполнении рекурсивного поиска файлов.
  • Добавлена ​​новая функция — Предотвращение атак грубой силы на основе файлов cookie. Проверьте эту новую функцию в меню «Брандмауэр».
    Эта функция остановит хакеров, когда они попытаются получить доступ к вашему wp-admin или страницам входа. Эта функция защитит ваш бэкэнд WordPress, обеспечив выполнение требования о том, что всем, кто пытается получить доступ к этим страницам, потребуется специальный файл cookie.

  • Исправлена ​​ошибка, связанная с установкой конфигурации по умолчанию для первой активации плагина.

  • Изменены правила брандмауэра «Запретить неверные строки запроса», чтобы не затрагивать операции удаления и обновления плагинов из меню плагинов WordPress.
  • Исправлена ​​небольшая ошибка, связанная с запланированным резервным копированием базы данных.
  • Добавлены некоторые дополнительные настройки по умолчанию, которые будут применяться к страницам конфигурации плагина при первой активации.
  • Плагин

  • теперь будет отображать рекомендательное сообщение, если пользователь устанавливает периодичность резервного копирования по расписанию менее 24 часов.
  • Добавлена ​​новая функция для удаления метаинформации WordPress Generator из HTML-источника вашего сайта.
  • Изменен «Расширенный фильтр строки символов», чтобы исправить проблему, которая затрагивала плагины, такие как «Admin Management Xtended», а также страницы с такими ключевыми словами, как «пароль» в URL-адресе.
  • Обновлено одно правило в функции «Расширенный фильтр строки символов», чтобы сделать его совместимым с функцией минимизации плагина W3 Total Cache.
  • Добавлен параметр «Удалить все записи о неудачных попытках входа в систему» ​​на вкладке «Записи о неудачных попытках входа в систему». Это удалит все записи в таблице неудачных входов в систему и сделает ее менее утомительной для пользователей, которые подвергаются частым атакам грубой силы на своем сайте.
  • Правила, отключающие просмотр индекса, перемещены из правил «основного брандмауэра» в раздел «дополнительные правила». Это предотвратит поломку сайта для
    тех, кто хочет включить базовый брандмауэр, но не имеет включенной опции «AllowOverride» в своем httpd.conf
  • Добавлена ​​следующая новая функция:
  • Запретить доступ людей

iThemes Security (ранее Better WP Security) — плагин для WordPress

iThemes Security — плагин безопасности №1 WordPress

iThemes Security (ранее Better WP Security) дает вам более 30+ способов защиты и защиты вашего сайта WordPress. В среднем каждый день взламывают 30 000 новых веб-сайтов. Сайты WordPress могут быть легкой мишенью для атак из-за уязвимостей плагинов, слабых паролей и устаревшего программного обеспечения.

Большинство администраторов WordPress не знают, что они уязвимы, но iThemes Security работает, чтобы заблокировать WordPress, исправить общие дыры, остановить автоматические атаки и укрепить учетные данные пользователей. Наш плагин безопасности WordPress с расширенными функциями для опытных пользователей может помочь укрепить WordPress.

Поддерживается и поддерживается iThemes

iThemes создает и поддерживает инструменты WordPress с 2008 года, такие как BackupBuddy, наш плагин для резервного копирования WordPress. Благодаря нашему полному спектру плагинов, тем и обучения WordPress, безопасность WordPress — это следующий шаг в предоставлении вам всего необходимого для создания сети WordPress.

Получить поддержку плагинов и функции Pro

Получите дополнительное душевное спокойствие благодаря профессиональной поддержке со стороны нашей команды экспертов и профессиональным функциям, чтобы вывести безопасность вашего сайта на новый уровень с iThemes Security Pro.

Pro Характеристики:

  • Двухфакторная аутентификация — используйте мобильное приложение, такое как Google Authenticator или Authy, для генерации кода или отправки сгенерированного кода вам по электронной почте.
  • WordPress Salts & Security Keys — плагин iThemes Security упрощает обновление ваших ключей и ключей WordPress.
  • Расписание сканирования на вредоносное ПО. Ежедневно автоматически проверяйте свой сайт на наличие вредоносных программ. Если обнаружена проблема, будет отправлено электронное письмо с подробностями.
  • Password Security — Создавайте надежные пароли прямо с экрана вашего профиля.
  • Срок действия пароля — Установите максимальный срок действия пароля и заставьте пользователей выбрать новый пароль. Вы также можете заставить всех пользователей сразу же выбрать новый пароль (при необходимости).
  • Google reCAPTCHA — Защитите свой сайт от спамеров.
  • Ведение журнала действий пользователя — отслеживайте, когда пользователи редактируют контент, входят в систему или выходят из системы.
  • Import / Export Settings — экономит время при настройке нескольких сайтов WordPress.
  • Dashboard Widget — Управляйте важными задачами, такими как блокировка пользователей и сканирование системы, прямо с панели инструментов WordPress.
  • Онлайн-сравнение файлов — при обнаружении изменения файла выполняется сканирование источника файлов, чтобы определить, было ли изменение вредоносным или нет. В настоящее время работает только в ядре WordPress, но скоро появятся плагины и темы.
  • Временное повышение привилегий — предоставьте подрядчику или другому временному администратору или редактору доступ к вашему сайту, который автоматически сбросится.
  • wp-cli Integration — Управляйте безопасностью своего сайта из командной строки.
Интеграция iThemes Sync Pro

Управляете более чем одним сайтом WordPress? Управляйте режимом «Нет на месте», снимайте блокировки и обновляйте свои темы, плагины и ядро ​​WordPress с помощью одной панели управления с помощью iThemes Sync Pro. Начните бесплатную пробную версию Themes Sync Pro.

iThemes Сеть защиты от атак грубой силы

iThemes Security выводит защиту от атак методом перебора на новый уровень, запрещая пользователям, которые пытались проникнуть на другие сайты, взломать ваш. Сеть защиты от атак грубой силы iThemes автоматически сообщает IP-адреса о неудачных попытках входа в систему и блокирует их на время, необходимое для защиты вашего сайта, в зависимости от количества сайтов, подвергшихся подобной атаке.


iThemes Security защищает ваш сайт, блокируя плохих пользователей и повышая безопасность паролей и другой важной информации.

  • Предотвращает атаки методом перебора, запрещая хосты и пользователей со слишком большим количеством неверных попыток входа в систему
  • Сканирует ваш сайт, мгновенно сообщает о наличии уязвимостей и устраняет их за секунды.
  • Блокирует вызывающие проблемы пользовательские агенты, ботов и другие хосты
  • Повышает безопасность сервера
  • Обеспечивает надежные пароли для всех учетных записей с настраиваемой минимальной ролью
  • Принудительно использует SSL для административных страниц (на поддерживающих серверах)
  • Принудительно использует SSL для любой страницы или сообщения (на поддерживающих серверах)
  • Отключает редактирование файлов из админки WordPress.
  • Обнаруживает и блокирует многочисленные атаки на вашу файловую систему и базу данных

iThemes Security отслеживает ваш сайт и сообщает об изменениях в файловой системе и базе данных, которые могут указывать на взлом.iThemes Security также работает для обнаружения ботов и других попыток поиска уязвимостей.

  • Обнаруживает ботов и другие попытки поиска уязвимостей.
  • Отслеживает файловую систему на предмет несанкционированных изменений.
  • Запустите сканирование на наличие вредоносных программ и черных списков на главной странице вашего сайта.
  • Получать уведомления по электронной почте, когда кто-то блокируется после слишком большого количества неудачных попыток входа в систему или когда файл на вашем сайте был изменен.

iThemes Security скрывает распространенные уязвимости системы безопасности WordPress, не позволяя злоумышленникам слишком много узнать о вашем сайте и вдали от конфиденциальных областей, таких как логин вашего сайта, администратор и т. Д.

  • Изменяет URL-адреса для областей панели управления WordPress, включая логин, админку и многое другое.
  • Полностью отключает возможность входа в систему в течение заданного периода времени (режим отсутствия)
  • Удаляет уведомления об обновлении тем, плагинов и ядра от пользователей, у которых нет разрешения на их обновление.
  • Удаляет информацию заголовка записи Windows Live
  • Удаляет информацию заголовка RSD
  • Переименовывает учетную запись «admin»
  • Изменяет ID пользователя с ID 1
  • Изменяет префикс таблицы базы данных WordPress.
  • Изменяет путь wp-content
  • Удаляет сообщения об ошибках входа в систему

iThemes Security делает регулярные резервные копии вашей базы данных WordPress, позволяя вам быстро вернуться в онлайн в случае атаки.Используйте iThemes Security для создания резервных копий баз данных и электронной почты по настраиваемому расписанию.

Для полных резервных копий сайта и возможности восстановить или переместить WordPress на новый хост или домен, проверьте BackupBuddy.

Другие преимущества безопасности WordPress
  • Облегчает запоминание URL-адресов входа и администратора для пользователей, не привыкших к WordPress, путем настройки URL-адресов администратора по умолчанию
  • Обнаруживает скрытые ошибки 404 на вашем сайте, которые могут повлиять на SEO, например плохие ссылки и отсутствующие изображения.
WordPress Руководства по безопасности

Узнайте, как использовать наш плагин безопасности WordPress, из нашей серии подробных обучающих видео:

  • Работает на многосайтовых (сетевых) и односайтовых установках
  • Работает с Apache, LiteSpeed ​​или NGINX (Примечание: NGINX потребует от вас вручную отредактировать конфигурацию виртуального хоста)
  • Такие функции, как резервное копирование базы данных и проверка файлов, могут быть проблематичными на серверах без как минимум 64 МБ ОЗУ.Все тестовые серверы выделяют 128 МБ для WordPress и обычно не имеют установленных других плагинов.

Сообщите нам, если вы хотите предоставить перевод.


Пожалуйста, прочтите инструкции по установке и FAQ перед установкой этого плагина безопасности WordPress. iThemes Security вносит значительные изменения в вашу базу данных и другие файлы сайта, что может быть проблематичным, поэтому настоятельно рекомендуется сделать резервную копию, прежде чем вносить какие-либо изменения на ваш сайт с помощью этого плагина.Хотя проблемы возникают редко, большинство запросов в службу поддержки связаны с невозможностью сделать надлежащую резервную копию перед установкой.


Выпущено на условиях Стандартной общественной лицензии GNU.

ПРИМЕЧАНИЕ. IThemes Security вносит существенные изменения в вашу базу данных и другие файлы сайта, что может быть проблематичным, поэтому настоятельно рекомендуется сделать резервную копию, прежде чем вносить какие-либо изменения в ваш сайт с помощью этого плагина. Хотя проблемы возникают редко, большинство запросов в службу поддержки связаны с невозможностью сделать надлежащую резервную копию перед установкой.

  1. ПРЕЖДЕ ЧЕМ НАЧАТЬ: Создайте резервную копию базы данных WordPress, файла конфигурации и файла .htaccess. Мы рекомендуем использовать BackupBuddy, наш плагин резервного копирования WordPress для полного резервного копирования сайта.
  2. Загрузите zip-файл в каталог / wp-content / plugins /
  3. Распаковать
  4. Активируйте плагин через меню «Плагины» в WordPress.
  5. Перейдите в меню «Безопасность», чтобы просмотреть контрольный список и параметры.

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: мы ни при каких обстоятельствах не выпускаем этот плагин с какой-либо гарантией, подразумеваемой или иной.Мы не несем ответственности за любой ущерб, который может возникнуть в результате использования этого плагина.

6 лучших плагинов безопасности WordPress для защиты вашего сайта (по сравнению)

Недавно один из наших читателей спросил нас, какой плагин безопасности WordPress лучший? Использование плагина безопасности WordPress защищает ваш сайт WordPress от вредоносных программ, атак методом грубой силы и попыток взлома. В этой статье мы выбрали лучшие плагины безопасности WordPress, которые вы можете использовать для защиты своего сайта.

Зачем использовать плагин безопасности WordPress?

Их около 18.5 миллионов веб-сайтов, зараженных вредоносным ПО в любое время каждую неделю. Среднестатистический веб-сайт подвергается атаке 44 раза в день, включая веб-сайты WordPress и сторонние сайты.

Нарушение безопасности на вашем веб-сайте может нанести серьезный ущерб вашему бизнесу.

  • Хакеры могут украсть ваши данные или данные, принадлежащие вашим пользователям и клиентам
  • Скомпрометированный веб-сайт может использоваться для распространения вредоносного кода среди ничего не подозревающих пользователей и других веб-сайтов.
  • Вы можете потерять данные, потерять доступ к своему веб-сайту, быть заблокированным или ваши данные могут оказаться заложниками
  • Ваш веб-сайт может быть уничтожен или поврежден, что может повлиять на ваш рейтинг в SEO и репутацию бренда.

Вы можете просканировать свой сайт WordPress на предмет нарушений безопасности в любое время. Однако очистка взломанного сайта WordPress без профессиональной помощи может быть довольно сложной задачей для нетехнических пользователей.

Чтобы избежать взлома, вам необходимо следовать рекомендациям по безопасности для защиты своего веб-сайта. Мы собрали их все в простое пошаговое руководство по безопасности WordPress для начинающих.

Одним из наиболее важных шагов в обеспечении безопасности вашего сайта WordPress является использование плагина безопасности WordPress.Эти плагины помогут вам повысить безопасность WordPress, а также заблокировать атаки методом грубой силы на ваш сайт.

Давайте посмотрим на некоторые из лучших плагинов безопасности WordPress и на то, как они помогают защитить ваш сайт.

Примечание: Вам нужно использовать только один плагин из этого списка. Наличие нескольких активных плагинов из этого списка может привести к ошибкам.

1. Сукури

Sucuri — лидер отрасли в области безопасности WordPress. Это один из лучших плагинов безопасности WordPress на рынке.Они предлагают базовый бесплатный плагин Sucuri Security, который поможет вам усилить безопасность WordPress и сканировать ваш сайт на предмет распространенных угроз.

Но настоящая ценность заключается в платных планах, которые идут с лучшей защитой брандмауэра WordPress. Брандмауэр помогает заблокировать доступ к WordPress с помощью грубой силы и вредоносных атак.


Sucuri фильтрует плохой трафик еще до того, как он достигнет вашего сервера. Они также обслуживают статический контент со своих серверов CDN.

Помимо безопасности, их брандмауэр уровня DNS с CDN дает вам огромный прирост производительности и ускоряет работу вашего сайта.

Что наиболее важно, они предлагают очистить ваш сайт WordPress, если он подвергся воздействию вредоносных программ, без каких-либо дополнительных затрат. Вы даже можете взять веб-сайт, уже пораженный вредоносным ПО, и они очистят его за вас.

Мы используем Sucuri на всех наших сайтах. Для получения дополнительной информации см. Наш полный обзор Sucuri, чтобы узнать, как он помог нам защитить наши веб-сайты.

2. Wordfence

Wordfence — еще один популярный плагин безопасности WordPress. Они предлагают бесплатную версию своего плагина, в которой есть мощный сканер вредоносных программ, функции обнаружения эксплойтов и оценки угроз.

Плагин автоматически просканирует ваш сайт на предмет распространенных угроз, но вы также можете запустить полную проверку в любое время. Вы будете предупреждены, если будут обнаружены какие-либо признаки нарушения безопасности, с инструкциями по их устранению.

Wordfence также имеет встроенный брандмауэр WordPress. Однако этот брандмауэр запускается на вашем сервере непосредственно перед загрузкой WordPress. Это делает его немного менее эффективным, чем брандмауэр уровня DNS, такой как Sucuri.

Полные инструкции см. В нашем руководстве по установке и настройке Wordfence Security в WordPress.

3. Безопасность iThemes

iThemes Security — это плагин безопасности WordPress от разработчиков популярного плагина BackupBuddy. Как и все их продукты, iThemes Security предлагает приятный чистый пользовательский интерфейс с множеством опций.

Он включает в себя проверки целостности файлов, усиление безопасности, ограничение попыток входа в систему, надежное применение пароля, обнаружение 404, защиту от перебора и многое другое.

iThemes Security не включает брандмауэр веб-сайта.Он также не имеет собственного сканера вредоносных программ и использует сканер вредоносных программ Sitecheck от Sucuri.

4. Все в одном WP Безопасность


All in One WordPress Security — это мощный плагин для аудита, мониторинга и брандмауэра безопасности WordPress. Это позволяет вам легко применять основные передовые методы безопасности WordPress на вашем веб-сайте.

Он поставляется с такими функциями, как блокировка входа в систему для предотвращения атак методом грубой силы, фильтрация IP, мониторинг целостности файлов, мониторинг учетных записей пользователей, сканирование на предмет подозрительных схем внедрения базы данных и многое другое.

Он также поставляется с брандмауэром базового уровня веб-сайта, который может обнаруживать некоторые распространенные шаблоны и блокировать их за вас. Однако это не очень эффективно, и часто вам нужно вручную занести в черный список подозрительные IP-адреса.

5. Защита от вредоносного ПО

Anti-Malware Security — еще один полезный плагин для защиты от вредоносных программ и безопасности WordPress. Плагин поставляется с активно поддерживаемыми определениями, которые помогают находить наиболее распространенные угрозы.

Сканер вредоносных программ позволяет легко сканировать все файлы и папки на вашем сайте WordPress на предмет вредоносного кода, бэкдоров, вредоносных программ и других известных шаблонов вредоносных атак.

Плагин требует, чтобы вы создали бесплатную учетную запись на веб-сайте плагина, чтобы получить доступ к последним определениям, а также получить некоторые дополнительные функции, такие как защита от грубой силы. Плагин также обращается к веб-сайту разработчиков с просьбой найти обновленные определения.

Хотя плагин выполняет тщательные тесты, он часто показывает большое количество ложных срабатываний. Сопоставление каждого из них с исходным файлом — довольно большая работа.

6. Пуленепробиваемая безопасность

BulletProof Security — не самый красивый плагин безопасности WordPress на рынке, но он по-прежнему полезен с некоторыми замечательными функциями.Он поставляется с мастером установки, который поможет вам настроить плагин.

Панель настроек также включает ссылки на обширную документацию, которая поможет вам понять, как работают сканирование и настройки безопасности. Он поставляется со сканером вредоносных программ, который позволяет проверять целостность файлов и папок WordPress.

Для усиления безопасности он включает защиту входа в систему, выход из сеанса ожидания, журналы безопасности и утилиту резервного копирования базы данных. Вы также можете настроить уведомления по электронной почте с журналами безопасности и получать предупреждения, когда пользователь заблокирован.

Мы надеемся, что эта статья помогла вам найти лучший плагин безопасности WordPress для вашего сайта. Вы также можете увидеть наш список лучших плагинов для резервного копирования WordPress, которые помогут вам восстановить ваш сайт после нарушения безопасности.

Если вам понравилась эта статья, то подпишитесь на наш канал YouTube для видеоуроков по WordPress. Вы также можете найти нас в Twitter и Facebook.

14 плагинов безопасности WordPress для 99,99% безопасного веб-сайта (2020)

У нас для вас хорошие и плохие новости.

Во-первых, плохие новости : поскольку WordPress является одной из самых популярных используемых систем управления контентом, многие люди пытаются использовать сайты WordPress. В конце концов, многие люди не относятся к безопасности слишком серьезно. Если вы можете понять, как использовать один сайт, вы, вероятно, сможете использовать те же методы и для других сайтов.

Но не волнуйтесь (сильно), потому что у нас есть хороших новостей : есть множество плагинов, которые вы можете использовать для защиты своего сайта.На самом деле их так много, что выбрать вариант, который лучше всего подходит для вас, может оказаться непосильной задачей.

Мы хотим максимально упростить для вас обеспечение безопасности вашего сайта WordPress. Итак, если вы ошеломлены количеством доступных плагинов, читайте на . В этой статье мы рассмотрим лучших плагинов безопасности WordPress по состоянию на 2020 год.

В этой статье 🖐️

Наша команда в WP Buffs помогает владельцам веб-сайтов, партнерам агентств и партнерам-фрилансерам в круглосуточном режиме устанавливать плагины безопасности WordPress для сайтов WordPress.Если вам нужно, чтобы мы управляли 1 веб-сайтом или поддерживали 1000 клиентских сайтов, мы готовы помочь.

Почему вам нужно использовать плагины безопасности WordPress 🤷

Мы уже упоминали, что большинство людей не слишком серьезно относятся к безопасности веб-сайтов. Если это вы, то вот почему это очень плохо: в любой момент времени около 18,5 миллионов веб-сайтов в Интернете подвержены вредоносному ПО , при этом в среднем веб-сайты атакованы более 40 раз в день .

📈 18,5 миллионов веб-сайтов в Интернете подвержены вредоносному ПО, при этом средний веб-сайт атакуется более 40 раз в день.#WordPress Нажмите, чтобы написать твит

Для вывода веб-сайта в сеть требуются довольно значительные вложения ресурсов, и мы считаем целесообразным максимально защитить эти вложения. В конце концов, вы страхуете свой автомобиль, дом или бизнес и можете рассмотреть возможность использования системы безопасности, которая включает камеры и сигнализацию.

Мы не думаем, что к вашему сайту следует относиться иначе. В конце концов, если ваш веб-сайт подвергнется атаке, вы можете столкнуться с некоторыми из проблем:

  • Неспособность посетить ваш веб-сайт (если его отключат хакеры), что очень расстраивает пользователей и может нанести ущерб вашему бренду (на самом деле, простои настолько проблематичны, что мы написали 10 высокоэффективных инструментов мониторинга веб-сайтов и сервисы для WordPress (бесплатные и платные), которые помогут вам найти инструменты, чтобы вы знали, что это происходит немедленно)
  • Потеря доступа к вашему веб-сайту , если злоумышленник решит изменить учетные данные, используемые для входа в систему, чтобы вы больше не контролировали
  • Потеря ваших данных , если злоумышленник решит удалить что-нибудь
  • Кража частной информации , имеющей отношение к вам или вашим пользователям — это особенно проблематично, если у вас есть сайт электронной коммерции и у вас есть доступ к такой информации, как адреса и данные кредитной карты
  • Использование вашего веб-сайта для распространения вредоносного кода среди посетителей вашего сайта; хотя многие браузеры должны обнаруживать и блокировать такие сайты, подобное поведение вашего сайта нанесет ущерб репутации вашего сайта

Что делать с учетом рисков взлома сайта WordPress? Начни с обучения! В WPblog есть отличная статья о 30 проверенных советах по защите вашего сайта WordPress в 2020 году.

WordPress имеет встроенные базовые функции безопасности, но вы определенно захотите их улучшить.

Вы можете вручную защитить свой сайт WordPress, но это довольно длительный и трудоемкий процесс. Вот почему мы рекомендуем использовать плагины безопасности WordPress . Это не только несколько облегчит вашу рабочую нагрузку, но и вы получите дополнительные очень полезные функции, такие как:

  • Сканирование файлов
  • Мониторинг объекта
  • Обнаружение вредоносного ПО
  • Мониторинг черного списка
  • Межсетевые экраны
  • Защита от брутфорса, DDoS и других атак
  • Уведомления при возникновении проблем с безопасностью

Проведите сканирование безопасности WordPress 💥

Как вы думаете, ваш сайт WordPress уже взломан? Или вы не знаете, что происходит с вашим сайтом прямо сейчас?

Один из способов, так сказать, получить информацию о местности — это выполнить сканирование безопасности WordPress .Есть несколько причин, почему это хорошо сделать, прежде чем делать что-либо еще.

🔑 Выполнение сканирования безопасности сайта — важный шаг в установлении протокола безопасности для вашего сайта #WordPress. Ага, правда? Нажмите, чтобы твитнуть

Во-первых, вы узнаете, какие проблемы с безопасностью есть у вашего сайта. Существуют явные проблемы, например, если ваш сайт отключен, но проверка безопасности должна пролить свет на то, есть ли у вас какие-либо скрытые.

Во-вторых, вы будете знать, что вам нужно делать.Скорее всего, у вас есть некоторые меры безопасности, и , запустив полное сканирование, предоставит вам информацию по адресу:

  • Что вы сделали
  • Что делать

Ninja Scanner — хороший вариант для сканера безопасности. С 2013 года в Бангкоке, Таиландская сеть Ninja Technologies Network (NinTechNet) предлагает набор подключаемых модулей, связанных с безопасностью и резервным копированием, для сайтов WordPress.

Особый интерес для вас представляет NinjaScanner, мощный антивирусный сканер для WordPress.Он легкий (и, следовательно, быстрый), и он поставляется с дополнительными функциями, включая проверку и сравнение целостности файлов, песочницы для файлов, помещенных в карантин, несколько типов сканирования и многое другое. В бесплатной версии есть что понравиться, но при обновлении до премиум-класса версия предоставляет вам дополнительные функции, а также полную поддержку со стороны команды NinTechNet.

Другой вариант — это CleanTalk Security and Malware Scan.

CleanTalk — это небольшая частная компания, расположенная в Карсон-Сити, штат Невада, Алексом Безбородовым, Денисом Шагимуратовым и Алексеем Знаевым.Компания существует с 2014 года, предлагая инструменты безопасности, использующие модель «программное обеспечение как услуга».

CleanTalk Security and Malware Scan — это облачная служба, которая защищает ваш сайт WordPress от различных типов угроз. Этот плагин предлагает вам сканирование на вирусы и вредоносные программы, а также журнал аудита для функций, связанных с безопасностью. Он также поставляется с другими основными инструментами безопасности, такими как межсетевые экраны, защита от перебора и блокировка по IP.

CleanTalk Security and Malware scan можно использовать бесплатно, но компания предлагает инструменты премиум-класса, которые вы можете использовать для расширения своего пакета безопасности WordPress.
Наконец, вы можете запустить сканирование безопасности WordPress с помощью Security Ninja.

Security Ninja поставляется с модулем тестера безопасности (доступен даже в бесплатной версии), который выполняет более пятидесяти (50) тестов на вашем веб-сайте. Этот тест занимает всего несколько минут, и вы получите информацию о том, что не так, , а также о том, как исправить проблему , которую он определяет.

Однако вышеперечисленные сканеры не единственные ваши возможности. Из упомянутых ниже плагинов безопасности WordPress большинство предлагает какой-либо тип сканирования безопасности WordPress .Мы настоятельно рекомендуем вам использовать эту функцию.

Лучшие плагины безопасности WordPress (Премиум и бесплатно)


Спешите? Вот список плагинов, которые мы рекомендуем. Однако, если вы хотите узнать больше о , почему мы выбрали их как лучшие из лучших , читайте дальше.

  1. iThemes Security
  2. BlogVault
  3. MalCare
  4. Реактивный ранец
  5. Протокол аудита безопасности WP
  6. Пуленепробиваемая безопасность
  7. Скрыть мой WP
  8. Сукури
  9. Wordfence
  10. VaultPress
  11. SecuPress
  12. Защитник
  13. Щит безопасности
  14. Все в одном WordPress Безопасность

Обратите внимание, что вам нужен только один плагин безопасности .Если вы используете несколько плагинов одновременно, вы можете увидеть ошибки плагинов, вызывающие конфликты друг с другом. Однако вы можете выбрать добавление автономных инструментов для расширения вашего плагина безопасности (например, BlogVault для резервного копирования и восстановления веб-сайтов).

1. Безопасность iThemes

iThemes Security предоставляет вам более 30 различных способов защиты и обеспечения безопасности вашего сайта WordPress. Вы получите функции, необходимые для предотвращения несанкционированного доступа к вашему сайту WordPress (такие как двухфакторная аутентификация, соли и ключи безопасности, создание надежных паролей и Google reCaptcha).

Из внешнего интерфейса вы получите сканирование вредоносных программ (которое вы можете запланировать заранее), защиту от атак методом грубой силы, а также блокировку ботов и других проблемных сторон. Вы также получите инструменты мониторинга, чтобы знать, были ли на вашем сайте внесены изменения, требующие вашего внимания.

Наконец, iThemes Security вносит базовые изменения в ваш сайт, такие как имя и идентификатор учетной записи администратора , префиксы таблиц базы данных и URL-адреса для вашей панели управления WordPress (которые в противном случае были бы идентичны по формату большинству других сайтов WordPress. ).Он также позволяет использовать режим отсутствия, чтобы вход в систему не был разрешен в течение указанного периода времени , и удаляет сообщения об ошибках входа , которые позволяют злоумышленникам собирать информацию, которая затем может использоваться для угадывания ваших учетных данных.

Пользователи, которым требуется обслуживание клиентов, обновления подключаемого модуля iThemes Security и многосайтовая поддержка , должны выбрать премиум-версию. Лучше всего? Если вы подписались на план обслуживания подписки WP Buffs, вы можете получить iThemes Security Pro бесплатно .Довольно круто, правда?

iThemes — это компания из Оклахома-Сити, штат Оклахома, которая известна своими темами WordPress и услугами по обучению. Хотя компания небольшая (в ней работает чуть менее 20 человек), компания предлагает надежный набор продуктов , включая плагины безопасности и резервного копирования, которые, как мы думаем, вас заинтересуют.

2. BlogVault

Безопасность важна, но одна из лучших вещей, которые вы можете сделать для вашего душевного спокойствия, — это создать надежные и функциональные резервные копии вашего веб-сайта .Мы надеемся, что вам никогда не придется их использовать, но если ваши инструменты безопасности выйдут из строя по какой-либо причине, вы будете рады, что сможете выполнить откат вместо того, чтобы удалять все и начинать с нуля. Вот что нам нужно для BlogVault.

BlogVault позиционирует себя как самый надежный плагин для резервного копирования WordPress , обеспечивающий 100% восстановление веб-сайтов. Хотя BlogVault не является комплексным решением, вы можете рассмотреть возможность использования этого подключаемого модуля для расширения своего пакета безопасности , гарантируя, что у вас будет надежная резервная копия на случай, если ваш сайт будет настолько скомпрометирован, что единственный вариант — откат.

💯 BlogVault может похвастаться 100% восстановлением веб-сайтов. Это впечатляет. #WordPress Нажмите, чтобы написать твит

BlogVault может быстро создавать резервные копии, а также проверять ваши резервные копии перед восстановлением, чтобы убедиться, что все будет работать хорошо (даже если ваш веб-сайт на 100% отключен). Резервные копии также можно использовать для переноса вашего веб-сайта, а включенная в него промежуточная среда предоставляет вам пространство, необходимое для тестирования и проверки ваших миграций.

Вы можете попробовать BlogVault бесплатно, но компания предлагает множество планов подписки, из которых вы можете выбирать.Цены зависят от выбранных вами функций, а также от количества сайтов, которые необходимо защитить.

BlogVault управляется небольшой компанией из Бангалора под названием Inactiv.com Media Solutions , предназначенной для упрощения создания и использования резервных копий веб-сайтов. Несмотря на небольшие размеры, BlogVault , тем не менее, работает с более чем 10 000 клиентов по всему миру. Крошечный, но очень мощный!

Покупатели также очень довольны тем, что предлагает компания.

3. MalCare

MalCare — это простой плагин безопасности WordPress (установка занимает всего 60 секунд), но не думайте, что он недостаточно мощный. MalCare предлагает брандмауэр 24/7 для защиты от угроз и способен обнаруживать скрытые вредоносные программы и удалять их менее чем за 60 секунд с помощью функции Auto-Clean .

MalCare также поставляется с такими функциями, как защита WordPress (которые позволяют вносить изменения, связанные с безопасностью, с панели управления) и защита входа в систему на основе Captcha, , а также брандмауэр для защиты от хакеров и ботов.Кроме того, MalCare обещает, что он будет работать без негативного воздействия на производительность вашего сайта.

🏥 MalCare обещает своим клиентам: плагин работает, не влияя на производительность сайта. #WordPress Нажмите, чтобы написать твит

MalCare гарантирует 100% удаление вредоносного ПО с вашего сайта WordPress, и все это без каких-либо проблем, которые могут нарушить работу вашего сайта. Если это не так, вы получите в 3 раза больше денег.

Стоимость MalCare зависит от выбранного вами тарифного плана, количества веб-сайтов, которые необходимо защитить, а также от того, выбираете ли вы оплату ежемесячно или ежегодно.

Если вы замечаете какое-либо сходство между сайтами MalCare и BlogVault, значит, вы ничего не воображаете. Небольшая частная компания , стоящая за BlogVault, также разрабатывает MalCare .

Пользователи MalCare быстро говорят о высоком качестве обслуживания, которое предлагает этот плагин.

4. Реактивный ранец

Jetpack, выпускаемый Automattic, материнской компанией WordPress, представляет собой популярный плагин, который включает статистику / аналитику, поисковую оптимизацию (SEO), резервное копирование и функции безопасности .

В частности, функции безопасности Jetpack включают в себя защиту от атак методом грубой силы и фильтрацию спам-сообщений . Вы также получите мониторинг простоев, чтобы вы знали, когда ваш сайт становится недоступным, а защищенный вход (включая опциональную двухфакторную аутентификацию) затрудняет несанкционированный доступ к вашему сайту.

Когда дело доходит до вредоносного поведения, вы получаете , сканирование на наличие вредоносных программ и вредоносный код , а также автоматические исправления для любых выявленных проблем .Чтобы убедиться, что любые внесенные изменения авторизованы, Jetpack ведет подробные журналы изменений, чтобы вы точно знали, что произошло, когда и кто санкционировал изменение.

Наконец, Jetpack Premium поставляется с расширенными функциями резервного копирования , которые могут оказаться полезными, если вам потребуется откат назад в будущем.
Если вы не обновились, вполне вероятно, что вы не максимально используете потенциал Jetpack (тем более, что изрядное количество функций доступно только тем, кто заплатил). Поддержка JetPack осуществляется сотрудниками Automattic.

5. Протокол аудита безопасности WP

WP White Security — европейская компания, выпускающая плагинов безопасности и администрирования для WordPress . WP White Security, основанный Робертом Абелой, имеет небольшие размеры, но плагин WP Security Audit Log — один из наиболее широко используемых вариантов.

Журнал аудита безопасности WP — это , а не универсальное решение , как многие другие варианты в списке.Вместо этого это подробная платформа регистрации активности , которая позволяет отслеживать все, что происходит на вашем сайте WordPress. Другие инструменты могут поставляться с встроенным журналом активности , но если вам нужна дополнительная информация, рекомендуется использовать другой плагин для дополнения.

Для всех происходящих изменений WP Security Audio Log отслеживает дату и время изменения, пользователя, реализовавшего изменение, а также роль пользователя и IP-адрес, с которого произошло изменение.

6. Пуленепробиваемая безопасность

BulletProof Security предлагает защиту от всего, от вредоносных программ до спама. Плагин предлагает мастер установки в один клик , чтобы упростить установку, и вы можете выбрать автоматическое исправление проблем при обнаружении.
BulletProof Security добавляет брандмауэр на ваш сайт WordPress, скрывает общие переменные, такие как имя вашей учетной записи администратора , префиксы таблиц базы данных и URL-адреса для входа , а также выполняет резервное копирование ключевых файлов, таких как .htaccess и wp-config .

BulletProof Security также поставляется с надежными инструментами мониторинга , поэтому подозрительная активность сразу же отмечается. Он также поставляется с подробным журналом ошибок, чтобы упростить решение любых всплывающих проблем с веб-сайтом.

Другие бонусные функции, предлагаемые для использования, включают скины для ваших тем, доступ к 16 мини-плагинам для расширения функциональности BulletProof Security и защиту от спама . BulletProof — не самый простой в использовании плагин безопасности, но те, кто разбирается в технологиях, найдут более продвинутые функции этого инструмента ценными.

AITpro Website Security — калифорнийская компания, стоящая за BulletProof Security. Хотя Эд Александер является владельцем AITpro, BulletProof Security имеет открытый исходный код, а это означает, что в него вносят вклад люди со всего мира.

7. Hide My WP

Hide My WP — очень популярный плагин безопасности для WordPress с момента его создания в 2013 году. Когда злоумышленник узнает, что веб-сайт основан на WordPress, атака становится очень целевой, перечисляя плагины, темы и конфигурацию этой конкретной установки.

Основной вариант использования этого продукта: он полностью скрывает тот факт, что вы используете WordPress в качестве своей CMS. Это помогает защитить веб-сайты от хакеров и детекторов, таких как Wappalyzer и Builtwith.

Он также включает в себя современный детектор вторжений (IDS) для блокировки атак безопасности, таких как внедрение SQL, XSS и т. Д., В реальном времени. IDS основана на постоянно растущих сигнатурах, которые блокируют любые атаки (обнаруженные или неоткрытые), которые могут нанести вред веб-сайту.

Лучшие особенности Hide My WP:

  • Скрывает WordPress от детекторов и хакеров. Скрывает имя темы, плагина, изменяет постоянные ссылки, скрывает wp-admin, URL-адрес входа и многое другое.
  • Блокирует прямой доступ к файлам PHP, очищает имена классов WP, отключает список каталогов.
  • Защищает веб-сайты от необнаруженных уязвимостей и атак в реальном времени.
  • Получать уведомление о любом потенциально плохом поведении с полной информацией о злоумышленнике, включая имя пользователя, IP-адрес, дату и т. Д.
  • Включает сеть доверия, которая автоматически блокирует трафик с неверных IP-адресов источника.
  • Заменяет полные URL-адреса или любую строку в коде любым желаемым текстом.
  • Простота использования, выбор из готовых настроек для развертывания в один клик.
  • Совместимость с многосайтовыми, apache, nginx, IIS, темами премиум-класса и другими плагинами безопасности.

Купить Hide My WP за $ 29

8. Сукури

Sucuri — это многофункциональный плагин безопасности, который защищает ваши веб-сайты, устраняет проблемы и помогает предотвратить будущие атаки.

Sucuri брандмауэр веб-приложений (WAF) и система предотвращения вторжений (IPS) защищают ваш веб-сайт от:

  • Вредоносное ПО
  • Вредоносный код
  • Распределенные атаки типа «отказ в обслуживании» (DDoS)
  • Грубая сила атаки

Sucuri постоянно обновляет свой продукт в связи с быстро меняющимся ландшафтом угроз, и компания использует машинное обучение, чтобы защитить вас от будущих угроз.Вы также получите защищенных страницы , которые доступны только авторизованным пользователям, профилирование приложений и обнаружение сигнатур для предотвращения вредоносного трафика, блокировку плохих блоков и блокировку в зависимости от географического местоположения.

С помощью инструментов мониторинга Sucuri вы можете получать немедленных оповещений всякий раз, когда что-то происходит, и компания предлагает услуги реагирования на инциденты. Если вы заметили снижение производительности на своем сайте WordPress, вы можете воспользоваться CDN Sucuri.

Большинство пользователей будут довольны бесплатной версией Sucuri, хотя платные варианты поставляются с дополнительными функциями, такими как обслуживание клиентов , частое сканирование и сертификаты SSL . Сукури — не самый дешевый вариант, поэтому он может не подойти тем, у кого небольшой бюджет.

Для проверок безопасности веб-сайтов на ходу и сканирования на наличие вредоносных программ Sucuri предлагает SiteCheck. Это не всеобъемлющий инструмент, но это быстрый и простой способ запустить сканирование без необходимости запускать и использовать более надежные плагины.

Команду Sucuri возглавляет впечатляющая пара: соучредители выступают в качестве вице-президента по разработке и руководителя по продуктам безопасности в GoDaddy. Чтобы завершить команду, в компании работают 125 человек, которые работают в 25 разных странах.

9. Wordfence

Wordfence — это комплексный плагин безопасности для WordPress , который предлагает брандмауэр, сканирование на наличие вредоносных программ, блокировку вредоносных программ, аудит трафика в реальном времени и безопасность входа в систему. Команда Wordfence на 100% сосредоточена на безопасности WordPress.

В отличие от многих других брандмауэров, брандмауэр Wordfence работает на вашем сервере, что обеспечивает повышенную защиту от взломов и утечек данных . Встроенный сканер вредоносных программ идентифицирует вредоносный код, защищает от атак методом грубой силы, обеспечивает использование надежных паролей и многое другое.


Premium будут получать частые обновления для своих плагинов, чтобы быть уверенными в том, что они всегда будут на шаг впереди (бесплатные пользователи получат те же обновления через 30 дней). Вы можете использовать Wordfence для управления несколькими сайтами WordPress , и вся необходимая информация отображается в одном окне.

Цена на Wordfence начинается с 99 долларов, но компания предлагает надежные скидки для нескольких сайтов. Тем, у кого есть несколько веб-сайтов, для которых им нужна безопасность, следует проверить Wordfence.

Defiant — это небольшая группа разработчиков программного обеспечения, которая была загружена более 90 миллионов раз для защиты более 2 миллионов активных сайтов WordPress. Wordfence — флагманский продукт Defiant, Inc., хотя компания также освещает новые исследования в области безопасности WordPress.

10. VaultPress

Созданный Automattic, материнской компанией WordPress, VaultPress предлагает услуги резервного копирования и безопасности в реальном времени .

VaultPress работает на платформе Jetpack (которую мы рассмотрели выше), а с VaultPress вы получите:

  • Автоматическое ежедневное резервное копирование , без ограничений на пространство для хранения, которое использует ваш сайт
  • Восстановление вашего сайта в 1 клик
  • Защита от атак методом перебора
  • Мониторинг работоспособности
  • Фильтрация спама
  • Статистика и журнал активности
  • Приоритетная поддержка от инженеров счастья Automattic

В зависимости от уровня плана, который вы приобретаете, вы также можете получать вредоносные программы и сканирование на проникновение, , а также автоматическое устранение угроз.

Jetpack и VaultPress во многом пересекаются, так что вам не нужны оба варианта. Для тех, кто ищет удобства, Jetpack отлично подходит, поскольку он включает в себя множество функций безопасности (и многое другое!). Некоторые, однако, предпочли бы простоту или создать собственный пакет безопасности, а не использовать всеобъемлющий инструмент — для этого VaultPress будет хорошим вариантом.

VaultPress — еще один плагин в этом списке, разработанный Automattic, частной материнской компанией WordPress.(Интересный факт: Automattic — это полностью распределенная компания, в которой работает более 900 человек из 70 разных стран).

11. SecuPress

SecuPress — это плагин, который предлагает вам брандмауэр для вашего сайта, сканирование на наличие вредоносных программ, возможность блокировать ботов и пользователей с подозрительными IP-адресами, а также защиту от входа в систему методом грубой силы.

Одна интересная функция, которую предлагает SecuPress, которой нет у многих других, — это проверка на наличие уязвимых плагинов и тем. — одна из точек входа на сайты WordPress для хакеров — это темы и плагины, которые в некотором роде ошибочны.

Если SecuPress обнаружит какие-либо проблемы с вашим сайтом WordPress, SecuPress представит вам эту информацию в формате PDF.
SecuPress предлагает бесплатную версию, которую разработчики считают хорошей для тех, кто проявляет инициативу. Тем не менее, тем, кто хочет автоматизировать как сканирование, так и исправление , подойдет платная версия Pro. Есть также определенные функции (например, защита от перебора), которые поставляются только с версией Pro.

SecuPress — это плагин, впервые выпущенный французским разработчиком Хулио Потье в 2013 году после полутора лет разработки.Портье работал в области безопасности веб-сайтов в 2002 году и имеет многолетний опыт работы с WordPress.

12. Защитник

Defender предлагает своим пользователям несколько уровней безопасности с простым в использовании интерфейсом . Defender может похвастаться тем, что вы можете добавить «все необходимые настройки защиты и безопасности за считанные минуты».

Defender умеет все. Он выполняет сканирований безопасности WordPress, изменяет общие переменные WordPress (например, переименование учетной записи администратора, изменение префиксов таблицы базы данных, отключение редактора файлов и скрытие отчетов об ошибках), предлагает защиту входа и двухфакторную аутентификацию, а также IP-адрес. блокировка.Если Defender обнаружит какие-либо проблемы с вашим сайтом, он отправит вам соответствующее уведомление .

Defender можно использовать бесплатно, но те, кому нужно дополнительное сканирование, аудит и мониторинг, могут перейти на Defender Pro.

WPMU DEV, которая называет себя лигой экспертов WordPress, выпускает универсальную платформу WordPress с инструментами, которые помогут вам в таких вещах, как безопасность, производительность, SEO, маркетинг и многое другое. Однако компания получает помощь от пользователей со всего мира в таких вещах, как перевод плагинов, а также идентификация и отслеживание проблем.

13. Щит безопасности

Shield Security — один из самых простых вариантов настройки — все, что вам нужно сделать, это установить и активировать его . Как только вы это сделаете, вы будете получать предупреждения, если возникнут проблемы, и в них будет содержаться информация о шагах, которые необходимо предпринять для решения проблемы. Позже, если вы захотите, чтобы больше практиковался и более детально подходил к безопасности своего сайта WordPress, вы можете это сделать.

Если вы новичок в обеспечении безопасности своего сайта WordPress, Shield поставляется с управляемыми мастерами, которые помогут вам решить, что вам нужно сделать.Функции безопасности Shield включают :

  • Ограничения входа , двухфакторная аутентификация для запросов входа и защита от атак грубой силы
  • Сканеры файлов
  • Автоматические черные списки IP-адресов
  • Фильтрация спама
  • Контрольный журнал и регистрация активности

Для большинства пользователей достаточно бесплатной версии Shield Security. Тем не менее, компания предлагает Pro версии , которая предоставляет вам дополнительное сканирование, защиту WooCommerce, функции импорта и экспорта и премиальную поддержку.

One Dollar Plugin — небольшая компания, предлагающая безопасные и недорогие плагины WordPress. Первым крупным выпуском компании был Shield Security. С тех пор плагин One Dollar поставляет два дополнительных плагина.

14. Все в одном WP Безопасность и брандмауэр

All in One WP Security & Firewall стремится стать комплексным, но удобным для пользователя пакетом безопасности WordPress, которым может пользоваться любой человек. Компания разделила свои функции на три категории: базовый, средний и расширенный , поэтому вы можете работать только с функциями, соответствующими вашему уровню навыков.

All in One WP Security & Firewall будет:

  • Проверить на уязвимости
  • Добавьте брандмауэр на свой сайт
  • Защитим вас от угроз и спама
  • Убедитесь, что вы применяете новейшие методы и методы безопасности в соответствии с рекомендациями Automattic, материнской компании WordPress. Плагин делает все это, не замедляя работу вашего сайта.

All in One WP Security & Firewall также скроет общие переменные WordPress (например, плагин изменит имя вашей учетной записи администратора), поможет вам укрепить ваши пароли, защитит от атак методом грубой силы и контролирует вашу учетную запись на подозрительную активность .All in One WP Security & Firewall также защитит вашу базу данных и файловую систему, а также сделает резервную копию важных файлов (например, htaccess и wp-config).

All in One WP Security & Firewall в настоящее время доступен на 11 языках , включая испанский, русский и китайский. Его также можно использовать совершенно бесплатно.

All in One WP Security & Firewall — это бесплатный продукт с открытым исходным кодом. В отличие от многих других вариантов в этом списке, этот плагин включает в себя вклады Tips and Tricks HQ (компания, которая специализируется на разработке плагинов для WordPress), Питера Петрески, mbrsolution, wpsolutions, Рухула Амина и Чеслава Пшивары.

Лучшие практики (перед установкой плагинов безопасности WordPress)


Выбор плагина безопасности, который поможет вам с тяжелой работой, — это лишь первый шаг в обеспечении безопасности вашего сайта WordPress. Помимо использования плагина безопасности по вашему выбору, мы рекомендуем следующие передовые практики:

  1. Регулярно обновляйте плагины . Согласно Ars Technica, хакеры могут использовать уязвимости для таких действий, как перенаправление пользователей на плохие сайты; со временем эти проблемы обнаруживаются, но это не поможет вам, если вы не исправите свой сайт.
  2. Убедитесь, что вы используете подлинный продукт , который по-прежнему поддерживает . Варианты, которые мы представляем вам в этом списке, в настоящее время являются законными плагинами с надежной поддержкой, предлагаемой их пользователям. Однако, когда дело доходит до доступных плагинов, это не всегда так (и даже статус параметров в этом списке может измениться). Есть много злоумышленников, выдающих себя за настоящих разработчиков, которые поставляют плагины с вредоносным ПО. Более того, брошенные плагины проблематичны, потому что они устарели, и некому исправить проблемы.Согласно ZDNet, это делает вас уязвимыми.

🛡️ Перед установкой подключаемого модуля безопасности #WordPress убедитесь, что у вас есть основы: выбирайте только тот подключаемый модуль, который является актуальным и поддерживается в настоящее время. Нажмите, чтобы твитнуть

Безопасный хостинг

Было бы упущением, если бы мы не упомянули хостинг. Выберите безопасный хостинг . За кулисами происходит многое, и вы не можете контролировать это, поэтому важно, чтобы ваш веб-хостинг относился к безопасности так же серьезно, как и вы.Если вы ищете безопасный хостинг, обратите внимание на наших партнеров, которые, по нашему мнению, заботятся о безопасности.

  • ✅ Идеально для серьезных владельцев сайтов
  • ✅ Специализируется на сайтах с высокой посещаемостью
  • ✅ Бесплатная миграция , SSL и CDN
💰 От $ 30 / мес

Kinsta — это управляемый хостинг-провайдер WordPress, который позаботится обо всех ваших потребностях в отношении вашего веб-сайта.Они предоставляют свои услуги на основе передовых технологий и серьезно относятся к поддержке. Они специализируются на сайте WordPress с высокой посещаемостью , так что если он у вас есть, они станут идеальным партнером.
Перейти к Kinsta

  • ✅ Отмечено наградами скорость
  • ✅ Эксперт WordPress Поддержка под рукой
  • ✅ Бесплатные обновления SSL и WordPress
💰 От $ 25 / мес

Благодаря отмеченной наградами скорости и опытной команде поддержки WordPress, Pressable Hosting — отличный выбор для агентств и разработчиков. Компания принадлежит Automattic, так что вы знаете, что они делают отличную работу. Pressable подходит для владельцев веб-сайтов, фрилансеров и агентств WordPress, и каждый план поддерживает промежуточные сайты для тестирования.

См. Стратегическое партнерство
Перейти к публикации

Использование VPN для защиты сеанса


Использование подключаемого модуля безопасности для выполнения сканирования безопасности, отслеживания изменений и выявления любых проблем — хороший первый шаг. Однако вы также можете внести изменения в свой рабочий процесс, чтобы снизить вероятность атаки на вашу страницу WordPress.Одно из этих изменений — использование виртуальной частной сети (VPN).

Если вы ищете варианты, ознакомьтесь с нашей статьей «7 лучших бесплатных VPN для защиты 100% вашей онлайн-активности (2020 г.)».

Что такое VPN и как они работают

Виртуальные частные сети (VPN) используются для защиты вашего интернет-соединения, скрывая всю вашу активность от других. VPN обычно представляют собой платные услуги, для которых требуется установка программы на ваш компьютер. Как только вы это сделаете, ваша VPN зашифрует ваши данные, отправит данные на серверы VPN, а затем пересылает данные с сервера VPN в конечный пункт назначения.

Звук запутанный? Немного, но когда дело касается безопасности, нужно опережать хакеров. Итак, каковы преимущества этого процесса?
Во-первых, пункт назначения видит, что источником трафика является VPN-сервер, а не вы, который предлагает вам анонимность. Это затрудняет идентификацию вас как источника ваших данных, включая информацию о том, что вы делаете, откуда вы это делаете и т. Д.
Во-вторых, ваши данные зашифрованы. Даже если кто-то может «видеть» ваши передачи, он не сможет прочитать, что вы делаете.

Почему VPN имеют значение

Когда вы работаете на своем сайте WordPress, вы рискуете поделиться своими данными с неавторизованными сторонами (особенно если вы работаете в общественном месте и используете общедоступное соединение Wi-Fi). Используя VPN, вы скрываете свои действия.

All In One WP Security & Firewall Setup Guide 2019


Наведите указатель мыши на вкладку WP Security и щелкните Firewall .

Вкладка основных правил брандмауэра

All In One WP Security & Firewall Основные правила брандмауэра Функция позволяет вам включить базовую защиту брандмауэра для вашего сайта.Это одна из основных функций, которую вы должны включить на своем сайте, поэтому это не повлияет на общую функциональность вашего сайта.

В разделе «Основные настройки брандмауэра» установите флажок Включить базовую защиту брандмауэра . Базовая защита брандмауэра будет реализовывать следующее:

  1. Защитите свой файл .htaccess, запретив доступ к нему.
  2. Отключить подпись сервера.
  3. Установить ограничение на размер загружаемого файла только 10 МБ.
  4. Защитите свой файл wp-config.php, запретив доступ к нему.

Включить базовую защиту брандмауэром

Затем перейдите к разделу WordPress XMLRPC и Pingback Vulnerability Protection , отметьте Полностью блокировать доступ к XMLRPC , чтобы полностью заблокировать внешний доступ к XMLRPC.

Почему мы должны отключать XMLRPC?

XMLRPC — встроенная функция WordPress. Это файл PHP (xmlrpc.php), находящийся внутри WordPress, который позволяет передавать данные через HTTP с XML в качестве механизма кодирования.Он просто обеспечивает удаленный доступ к вашему сайту. Если вы находитесь на улице и у вас нет компьютера, вы все равно можете получить доступ к своему сайту через телефон благодаря этой функции. Разве это не поможет? Да, это было бы очень полезно, но функция XMLRPC имеет несколько серьезных уязвимостей. Если оставить XMLRPC включенным, ваш сайт подвергнется атаке грубой силы . Еще одна дыра в безопасности XMLRPC — это DDOS Attack , делающая ваш сетевой ресурс недоступным, короче говоря, переводя ваш сайт в автономный режим.

уязвимости XMLRPC делают саму функцию дырой в безопасности, а не решением. Вы должны обосновать преимущества и недостатки XMLRPC и включать XMLRPC только в том случае, если вы понимаете риск его активации.

Здесь мы проверим Completely Block Access To XMLRPC , чтобы полностью заблокировать внешний доступ к XMLRPC. Мы также проверим Disable Pingback Functionality From XMLRPC на случай, если нам понадобится использовать Jetpack, WP iOS или другие приложения, которым нужна функция WP XML-RPC.Отключение функции pingback из XMLRPC защитит ваш сайт от уязвимостей pingback WordPress. Нажмите кнопку Сохранить основные настройки брандмауэра , чтобы сохранить изменения.

WordPress XMLRPC и защита от Pingback-уязвимостей

Вкладка «Дополнительные правила брандмауэра»

Список содержимого каталога

Проверьте Отключите функцию просмотра индекса . Почему мы должны отключить просмотр индекса на нашем сайте? Допустим, вы создали папку в корневом каталоге вашего сайта и забыли создать внутри нее индексный файл.При доступе к этой папке из браузера вы увидите только список папок и файлов. Если эксперт в сети увидел ваш список каталогов, им будет легко определить, какую структуру использует ваш сайт. Отключение списка содержимого каталогов на самом деле не делает ваш сайт более безопасным, но, по крайней мере, он не будет отображать вашу папку и файлы в одном запросе.

Отключить просмотры индекса

Отслеживание и отслеживание

Проверьте Отключите функцию отслеживания и отслеживания . HTTP-трассировка / межсайтовая трассировка (XST) — это форма атаки межсайтового скриптинга (XSS), которая известна своей способностью получать информацию HTTP-заголовков (включая файлы cookie) веб-пользователей.Мы не должны преуменьшать значение этого старого типа атаки, поэтому он по-прежнему эффективен для кражи учетных данных жертв в Интернете.

Отключить трассировку и отслеживание

Прокси-комментарий Публикация

Включить Запретить публикацию комментария прокси . Эта функция будет отклонять любые запросы от прокси-сервера при публикации комментариев. Спамеры обычно используют прокси-сервер, когда они рассылают спам или спам-ботов. Зачем? Прокси-сервер просто скрывает свой реальный IP-адрес. Он шифрует их данные перед отправкой запроса на ваш веб-сервер, и все же ваш веб-сервер вернет правильный ответ.Сам по себе прокси-сервер не плох и не вреден, поэтому люди используют его для управления своей сетью. Они используют его для экономии полосы пропускания и повышения скорости интернета, настройки безопасности и многого другого. Тем не менее, прокси-сервер является наиболее подходящей машиной для рассылки спама злоумышленниками. Включив Запретить сообщение прокси-сервера , вы избавитесь от спама и других запросов через прокси.

Запретить размещение комментария прокси

Неверные строки запроса

Включить функцию Запретить неверные строки запроса .При переходе на свой сайт вы заметите, что иногда ваш URL-адрес содержит строку запроса (например, http://www.yoursite.com/contact?query=foo&query2=). При таком формате URL злоумышленник может просто изменить строку запроса или значение запроса. Злоумышленник может выполнить XSS-атаку, если вы неправильно используете свой запрос. Другие плагины WordPress используют строку запроса, поэтому убедитесь, что они правильно очищают значения запроса. Включение Deny Bad Query Strings обеспечивает защиту вашего сайта от вредоносных запросов через XSS.

Запретить неверные строки запроса

Расширенный фильтр строки символов

Установите флажок Включите функцию расширенного фильтра строк символов . Эта функция защитит ваш сайт от вредоносных строковых атак, исходящих от XSS. Расширенный фильтр строки символов просто обнаружит вредоносные строковые шаблоны и вернет ошибку 403 для злоумышленника, пытающегося выполнить XSS-атаку.

Включить расширенный фильтр строки символов

10 лучших плагинов безопасности WordPress для защиты сайтов WP 2020

По данным Forbes, до декабря 2016 года на WordPress работало 75 миллионов веб-сайтов.Это явно указывает на популярность самой удобной CMS — WordPress. По мере роста популярности он подвержен атакам из неэтичных источников. Безопасность вашего сайта может быть под угрозой. Некоторые из распространенных угроз безопасности — это атаки методом перебора , устаревшие плагины и версия WordPress, загрузки из непроверенных источников и незащищенный хостинг .

Есть несколько простых шагов, которые вы можете предпринять, чтобы защитить свой сайт WordPress. К ним относятся обновление вашей темы и плагинов, использование надежного имени пользователя и пароля, использование безопасного хостинга WordPress, установка известного плагина безопасности WordPress и планирование регулярного резервного копирования.

Хотя WordPress построен на безопасной платформе, вы должны принять меры для повышения безопасности своего сайта. И плагины безопасности WordPress пригодятся для защиты вашего сайта WordPress.

Здесь мы перечислили лучшие плагины безопасности WordPress 2020 года.

1) Wordfence (БЕСПЛАТНО + Премиум)

Имея более 2 миллионов активных установок, Wordfence Security является одним из самых востребованных решений безопасности для веб-сайтов WordPress.Высококачественные функции обеспечивают защиту от неопознанных угроз, исходящих из неизвестных источников. Механизм Threat Defense Feed управляет функциональностью этого замечательного плагина. Функция сканирования Wordfence способна выявлять и устранять более 44 000 известных типов вредоносных программ.

Основные характеристики

  • Wordfence Брандмауэр препятствует всем попыткам взлома вашего веб-сайта
  • Wordfence Scan тщательно проверяет все действия и сообщает владельцу об угрозах
  • Функция Live Traffic передает информацию об источниках трафика в режиме реального времени
  • Он предлагает многосайтовую безопасность для более чем одного веб-сайта
  • совместим с большинством тем и плагинов
  • Вы можете получить доступ к WordPress Security Learning Center , ценный обучающий ресурс на официальном сайте Wordfence
  • Некоторые функции, такие как блокировка страны, сканирование по расписанию и двухфакторная аутентификация, доступны в версии Premium

Скачать Wordfence Free View Wordfence Premium

2) Все в одном WP Security & Firewall (БЕСПЛАТНО)

Этот удобный плагин был разработан компанией Tips and Tricks HQ.Плагин All In One WP Security & Firewall с множеством мер безопасности доступен для бесплатной загрузки. Поднимите безопасность своего веб-сайта на более высокий уровень с помощью этого плагина безопасности для веб-сайтов WordPress.

Разработчики утверждают, что этот плагин безопасности не снизит скорость вашего сайта. Кроме того, пользователи могут запланировать автоматическую базу данных, чтобы минимизировать риск, связанный с потерей данных.

Основные характеристики

  • Уровни безопасности делятся на базовый, средний и расширенный
  • Блокировка входа в систему Функция защищает веб-сайт от атак грубой силы
  • Измеритель прочности снижает уровень безопасности
  • Регулярно обновляемый для предотвращения каких-либо лазеек в функциональности плагина
  • Обеспечивает общее решение безопасности, включая настройку брандмауэра , безопасность базы данных, безопасность пользователя и т. Д.
  • Промежуточный и продвинутый уровни могут быть несовместимы с темой и другими плагинами.Прежде чем приступить к этим функциям, ознакомьтесь с базовой функцией безопасности.

Скачать все в одном WP Security & Firewall бесплатно

3) iThemes Security (БЕСПЛАТНО + Премиум)

iThemes Security — эффективный подключаемый модуль безопасности, разработанный известными разработчиками тем, iThemes. Этот плагин, ранее известный как Better WP Security, предлагает более 30 способов защиты вашего сайта. Для более глубокого изучения вы можете получить доступ к видеоурокам iThemes Security.

Основные характеристики

  • Сканирование вредоносных программ через определенные промежутки времени
  • Двухфакторная аутентификация для предотвращения входа в систему из неэтичных источников
  • iThemes Sync для управления темами и плагинами с единой приборной панели
  • iThemes Сеть защиты от атак грубой силы снова принимает строгие меры для атак методом грубой силы
  • Доступно для бесплатно скачать и установить
  • Он предлагает руководств для подробного понимания
  • iThemes Security также доступен на испанском языке.
  • Вам необходимо приобрести Премиум версию для разблокировки всех функций

Скачать iThemes Security Free View iThemes Security Premium

4) Sucuri Security (БЕСПЛАТНО + Премиум)

Sucuri Security — это пакет безопасности веб-сайтов, охватывающий все основные аспекты, такие как аудит, сканирование на вредоносные программы и усиление безопасности.Профессиональный подход команды Sucuri Security предоставляет непревзойденные услуги в нише плагинов безопасности WordPress.

Основные характеристики

  • Безопасность Ведение аудита активности Функция для анализа изменений на веб-сайте
  • Мониторинг целостности файлов упрощает сравнение текущего состояния безопасности с идеальным состоянием безопасности
  • Удаленное сканирование на вредоносное ПО определяет все ключевые проблемы, связанные с безопасностью веб-сайта
  • Если ваш веб-сайт внесен в черный список движков, таких как Google Safe Browsing, Bitdefender, Norton и т. Д .; Sucuri Security поможет вам удалить его из своего черного списка безопасности
  • Исключительная поддержка и выдающиеся функции безопасности
  • Функция усиления безопасности обеспечивает общую безопасность
  • Интерфейс Sucuri может создавать сложности для пользователей

Загрузить Sucuri Security Free View Sucuri Security Premium

5) Bulletproof Security (БЕСПЛАТНО + Премиум)

Bulletproof Security для веб-сайтов WordPress утверждает, что обеспечивает защиту от более чем 100 000 атак.Этот плагин безопасности загружен множеством функций, чтобы обеспечить безопасную среду для эффективной работы веб-сайта. AITpro, разработчики плагина Bulletproof Security, также предоставляют видеоуроки. Таким образом, пользователи WordPress могут понять функции плагина, просмотрев эти видео.

Основные характеристики

  • Упрощенная установка с помощью мастера установки в один клик
  • Выход из сеанса ожидания функция
  • Регулярное резервное копирование базы данных для предотвращения потери данных
  • Монитор файлов в реальном времени функция
  • Впечатляющие отзывы пользователей
  • Доступны регулярные обновления
  • Со всеми основными функциями
  • Новичку может быть сложно настроить плагин из-за запутанного интерфейса

Скачать Bulletproof Security Free View Bulletproof Security Premium

6) Google Authenticator от miniOrange

Механизм двухфакторной аутентификации эффективен в борьбе с хакерскими атаками. Google Authenticator — двухфакторная аутентификация (2FA) — это плагин, который защищает ваш сайт WordPress двумя уровнями безопасности.

Основные характеристики

  • Обеспечивает двухфакторную аутентификацию для всех смартфонов, а также для стационарных телефонов
  • Возможность настройки для нескольких пользователей
  • miniOrange предлагает более 15 методов аутентификации
  • Опция идентификации устройства позволяет пользователю запомнить устройство для использования в будущем.
  • Сканирование QR-кода, push-уведомления и программный токен поддерживаются этим плагином безопасности
  • Чтобы получить доступ ко всем функциям, вам необходимо приобрести премиум-версию
  • Имеет ограниченную функциональность.

Скачать miniOrange Google Authenticator Free View Premium Version

7) Антивирусный сканер безопасности (БЕСПЛАТНО + Премиум)

Автоматизируйте процесс сканирования на своем веб-сайте WordPress с помощью плагина безопасности Security Antivirus Scanner. Вы можете запланировать использование этого удобного плагина для удаления вредоносных программ и спама. Он будет доставлять ежедневные отчеты на зарегистрированный адрес электронной почты.

Основные характеристики

  • Сканирование безопасности базы данных защищает базу данных от вредоносных программ
  • Подробные результаты сканирования можно использовать для анализа угроз безопасности
  • Начать процесс сканирования одним щелчком мыши
  • Функции уровня Premium доступны в бесплатной версии
  • По сравнению с другими плагинами, функциональность ограничена.

Скачать Security AntiVirus Scanner Бесплатная версия Premium

8) Hide My WP (Премиум)

Если мы говорим о надстройках безопасности премиум-класса, предпочтительным выбором будет Hide My WP . Он может похвастаться впечатляющим рейтингом 4.5+. Он постоянно работает над выявлением новых и старых уязвимостей каждый день. Итак, уклоняйтесь от хакеров, развернув Hide My WP для своего сайта WordPress.

Основные характеристики

  • Система обнаружения и предотвращения вторжений предотвращает все угрозы
  • Вы можете скрыть или переименовать постоянные ссылки, имена тем и имена плагинов, URL-адрес входа и т. Д.
  • Отлично работает для мультисайтов
  • Вы имеете право на пожизненную поддержку без дополнительной платы
  • Функция автоматического обновления постоянно обновляет плагин
  • Если ваши веб-сайты размещены на разных веб-серверах, Hide My WP не может работать с несколькими сайтами в этом случае

Посмотреть Hide My WP Plugin

9) VaultPress (БЕСПЛАТНО + Премиум)

Данные вашего веб-сайта всегда уязвимы для злоумышленников и хакеров.Это может привести к потере данных. Плагин VaultPress для WordPress обеспечивает постоянное резервное копирование ваших данных. Кроме того, сканирование данных предотвращает проникновение вредоносных программ.

Основные характеристики

  • Powered by Jetpack , плагин, который предоставляет основные функции WordPress, такие как социальный обмен, статистика пользователей и т. Д.
  • Резервное копирование всех данных в реальном времени
  • Это упрощает миграцию сайта. Вы можете начать процесс одним щелчком мыши
  • Разработано проверенными разработчиками, Automattic
  • Регулярные обновления обеспечивают актуальность алгоритма
  • Подписка на VaultPress действительна для одного веб-сайта
  • Ограниченные функции доступны в бесплатной версии

Загрузить VaultPress Free View VaultPress Premium

10) Swift Security Bundle (Премиум)

WordPress всегда в хит-листе хакеров.Но Swift Security остается на шаг впереди, скрывая детали WordPress. Таким образом, хакеры не могут распознать сайт WordPress. Устраните все типы проблем с безопасностью с помощью Swift Security Bundle.

Основные характеристики

  • Скрыть функцию WordPress скрывает уязвимые аспекты, такие как URL-адрес входа, файловая структура и т. Д.
  • IP-фильтр входа в систему ограничивает вход злонамеренных пользователей даже в случае кражи пароля
  • Установка в один клик защищает ваш сайт WordPress
  • Новичок может легко настроить плагин, не углубляясь в технические детали.
  • У него нет какой-либо уникальной функции, которая делает его лучшей покупкой в ​​нише безопасности WordPress.

Просмотреть подключаемый модуль пакета безопасности Swift


Это составленный список лучших плагинов безопасности WordPress 2020 года.