Плагин безопасности All In One WP Security & Firewall для WordPress

Я уже рассматривал плагин по комплексной защите блога WordPress iThemes Security, но решил потестить еще один All In One WP Security & Firewall. Ну и оставить на своих сайтах лучший вариант. Итак, устанавливаем.

решил потестить еще один All In One WP Security & Firewall

Переходим на главную страницу плагина All In One WP Security & Firewall. Видим следующую картину. И сразу же видим «Измеритель уровня безопасности». Мой сайт набрал 50 баллов из 470-ти возможных. Что же, не густо. Возможно после его настройки уровень подрастет. Но не следует стремится получить максимально возможный балл, так как это может вызвать проблемы работы с сайтом. В правой части видим «Диаграмму безопасности нашего сайта».

Переходим на главную страницу плагина All In One WP Security & Firewall. Видим следующую картину.

Настройки

Администраторы

Пользовательское имя WP

При установке WordPress автоматически присваивает администратору имя пользователя «admin» (если Вы вручную не измените его). Многие хакеры пытаются воспользоваться этой информацией, применяя для нападения «Брутфорс-атаку», когда они систематично подбирают пароль, используя слово «admin» в качестве имени пользователя. Поэтому рекомендуется его изменить на любое другое.

Отображаемое имя

Когда Вы публикуете пост или отвечаете на комментарий, WordPress обычно отображает Ваш «никнейм». По умолчанию отображаемое имя пользователя идентично логину аккаунта. Для безопасности рекомендуется поменять его, чтобы никто не мог узнать под каким логином вы авторизуетесь.

Пароль

Плохой пароль — это наиболее распространенная уязвимость на большинстве сайтов, и, как правило, первое, что будет делать хакер, чтобы проникнуть на сайт — попытается подобрать пароль. В данном разделе можно проверить надежность пароля, используемого вами. Если хакер будет подбирать ваш пароль, то здесь можно прикинуть время, которое он затратит.

Если хакер будет подбирать ваш пароль, то здесь можно прикинуть время, которое он затратит.

Авторизация

Один из распространенных способов, используемых хакерами для проникновения на сайт, является Брутфорс-атака. Так называются многократные попытки входа методом подбора паролей. Помимо выбора надежных паролей, мониторинга и блокирования IP-адресов, участвующих в повторных неудачных попытках входа в течение короткого периода времени, блокировка количества попыток авторизации и ограничение периода времени для таких попыток, является очень эффективным способом противодействия этим типам атак.

Блокировка авторизаций

  • Включить опции блокировки попыток авторизации. Ставим галочку.
  • Допускать запросы на разблокирование. Не совсем понял, что означает данная функция. Я не стал ее включать.
  • Максимальное количество попыток входа. Установите значение для максимального количества попыток входа, после чего IP-адрес будет заблокирован. Я оставил три попытки по умолчанию.
  • Ограничение времени попыток авторизации (минуты). По умолчанию пять минут. Три попытки из предыдущего пункта приведут к блокировке пользователя, если попытки будут выполнены в указанный здесь промежуток времени.
  • Период блокирования (минуты). Укажите период времени, на который будут блокироваться IP-адреса
  • Выводить сообщения об ошибках авторизации. Отметьте эту опцию, если Вы хотите, чтобы при неудачных попытках авторизации отображалось сообщение об ошибке. Я не стал ее ставить. Ни к чему злоумышленнику получать информацию об ошибках.
  • Сразу заблокировать неверные пользовательские имена. Я не стал включать эту опцию из-за того, что я сам могу неверно ввести логин и буду заблокирован на час. Также и другие могут ошибиться.
  • Instantly Lockout Specific Usernames. Мгновенная блокировка конкретных пользователей. Чаще всего пытаются взломать логины «admin» и «administrator». Поэтому, если вы их не используете — можно добавить их в список.
  • Уведомлять по Email. Если у вас слабопосещаемый сайт можете поставить галочку. В противном случае вас может засыпать данными уведомлениями.

Ошибочные попытки авторизации

Ошибочные попытки авторизации

Здесь отображаются записи о безуспешных попытках входа на Ваш сайт. Приведенная ниже информация может пригодиться, если Вам нужно провести исследование попыток авторизации — здесь отображается диапазон IP, имя пользователя и ID (если возможно) и время/дата неуспешной попытки входа на сайт.

Опции автоматического разлогирования пользователя

Установка ограничения срока действия сессии администрирования — это простой способ защиты от несанкционированного доступа к Вашему сайту с Вашего компьютера. Эта опция позволяет установить временной период, после истечения которого сессия администратора истекает и пользователю надо будет авторизоваться заново.

  • Включить авторазлогинивание. Отметьте эту опцию, чтобы автоматически прекращать авторизационную сессию пользователей по истечении определенного периода времени. Ставьте галочку, если вам это нужно. Думаю, если вы заходите только со своего домашнего компьютера — в этом нет необходимости.
  • Разлогинить пользователя через. Пользователь автоматически будет разлогинен по истечении этого периода времени.

Журнал активности аккаунта

Здесь отображается активность администраторов на Вашем сайте. Приведенная ниже информация может пригодиться, если Вы будете проводить исследование пользовательской активности, так как здесь будут показаны последние 50 событий авторизации с данными имени пользователя, IP-адресом и временем входа.

Журнал активности аккаунта

Активность сессий

Здесь отображаются все пользователи, которые в настоящий момент авторизованы на Вашем сайте. Если Вы подозреваете, что в системе есть активный пользователь, которого не должно быть, тогда Вы можете их заблокировать, проверив их адрес IP в списке внизу, и добавив их в черный список.

Активность сессий

Регистрация пользователя

Подтверждение в ручную

Если Ваш сайт позволяет людям самим создавать свои аккаунты через регистрационную форму WordPress, тогда можете свести количество СПАМ и левых регистраций до минимума, подтверждая каждую регистрацию вручную. Данная функция автоматически помечает аккаунты новых регистраций как «pending/в ожидании» пока администратор их не активирует. В этом случае нежеланные зарегистрировавшиеся не могут логиниться не имея Вашего подтверждения. Все недавно зарегистрированные аккаунты Вы можете увидеть в удобной таблице внизу, и также там можно одновременно выполнить активацию, деактивацию или удаление нескольких аккаунтов.

  • Активировать ручное одобрение новых регистраций. Поставьте галочку тут, если хотите, чтобы все новые аккаунты автоматически создавались неактивными и Вы их могли подтверждать вручную.

Captca при регистрации

Данная функция позволяет Вам добавить поле CAPTCHA на странице регистрации WordPress. Кроме того, пользователи, которые пытаются зарегистрироваться, должны ответить на простой математический вопрос. Если ответ неверный, плагин не даст им зарегистрироваться. Так как у меня уже установлена каптча от гугла — я не стал активировать данную функцию.

Защита Базы данных

Префикс таблиц БД

Рекомендуется перед изменением префикса создать DB Backup базы данных. Вдруг накосячите.

Резервное копирование БД

  • Включить автоматическое создание бэкапов. Включите этот чекбокс, чтобы система автоматически создавала резервные копии базы данных по расписанию.
  • Частота создания бэкапов. Зависит от вашей мнительности и частоты обновления вашего сайта. Я поставил создание копии БД один раз в неделю.
  • Количество бэкапов для хранения. Укажите в этом поле количество резервных копий, которые должны храниться в бэкап-директории плагина. Я оставил значение по умолчанию — две копии.
  • Пересылать бэкап на Email. Включите этот чекбокс, если хотите получать бэкап базы данных на свой Email. Рекомендую включить.

Защита Файловой системы

Доступ к файлам

Установки разрешений на чтение/запись для файлов и папок WordPress, позволяющие управлять доступом к этим файлам. При первоначальной установке WordPress автоматически присваивает разумные права доступа к своей файловой системе. Однако, иногда люди или плагины изменяют разрешения на определенные директории и файлы, снижая таким образом уровень безопасности своего сайта, установив неверные права доступа. Эта опция сканирует все важные директории и файлы ядра WordPress и подсвечивает все небезопасные настройки.

Установки разрешений на чтение/запись для файлов и папок WordPress, позволяющие управлять доступом к этим файлам

Установите рекомендуемые значения.

Редактирование файлов PHP

По умолчанию из панели администрирования WordPress позволяется редактировать PHP-файлы плагинов и тем. Это первейшее подспорье хакеру, получившему доступ в консоль администратора, предоставляющее ему возможность выполнить любой код на Вашем сервере.
Данная опция отключает возможность редактирования файлов из панели администратора.

  • Отключить возможность редактирования PHP-файлов. Отметьте этот чекбокс, чтобы запретить редактирование PHP-файлов из админ-панели WordPress.

На мой взгляд — это не очень полезная функция. Ведь тот же хакер может в этом же плагине снять галочку, если получит доступ к вашему профилю администратора. В результате вам будут доставлены неудобства, так как для вставки кода того же счетчика, придется лезть на хостинг.

Доступ к файлам WP

Данная опция запретит доступ к таким файлам как readme.html, license.txt и wp-config-sample.php, которые создаются во время установки WordPress и не несут в себе системной нагрузки, но ограничение доступа к этим файлам позволит Вам скрыть от хакеров важную информацию (такую как версия WordPress).

  • Запретить доступ к информационным файлам, создаваемых по умолчанию при установке WordPress. Отметьте этот чекбокс.

Системные журналы

Ваш сервер периодически может публиковать отчеты об ошибках в специальных файлах, которые называются «error_log». В зависимости от характера и причин ошибки, Ваш сервер может создать несколько файлов журналов в различных каталогах Вашей установки WordPress. Просматривая время от времени эти журналы, Вы будете в курсе любых основных проблем на Вашем сайте и сможете воспользоваться этой информацией для их решения.

WHOIS-поиск

Эта функция позволяет получить детальную информацию об IP-адресе или домене. Удобная функция, так как вам будет любопытно узнать информацию об адресах злоумышленников. Не потребуется лезть в Интернет в поисках подобных сервисов.

Эта функция позволяет получить детальную информацию об IP-адресе или домене.

Черный список

Функция «Черный список» позволяет блокировать определенные IP-адреса, диапазоны и юзер-агенты, отказывая в доступе к сайту тем пользователям и ботам, которые использовали эти IP-адреса для спама или по другим причинам. Данная функция реализуется добавлением в файл .htaccess определенных правил.

  • Вести Черный список. Отметьте этот чекбокс, если Вы хотите иметь возможнось банить указанные IP-адреса или юзер-агенты.
  • Введите IP-адреса. Каждый адрес с новой строки.
  • Введите названия юзер-агентов. Каждый юзер-агент прописывайте в отдельной строке.

Чтобы получить возможность включить данную опцию и получить 15 баллов безопасности, необходимо ввести хотя бы один ip-адрес или юзер-агент.

Черный список

Файрволл

Базовые правила файрволла

Опции в этой вкладке позволяют применить некоторые базовые правила защиты для Вашего сайта. Данная функциональность брандмауэра достигается методом добавления в Ваш файл .htaccess некоторых специальных директив. Активация этих опций не должна иметь никакого влияния на общую функциональность Вашего сайта, но при желании Вы можете создать backup Вашего .htaccess файла, перед тем, как включите эти настройки.

  • Активировать основные функции брандмауэра. Отметьте этот чекбокс, чтобы активировать основные функции файрволла на Вашем сайте. Рекомендую поставить.

Эта опция запустит следующий базовый механизм защиты на Вашем сайте:

  1. Защитит файл htaccess от несанкционированного доступа.
  2. Отключит сигнатуру сервера в ответах на запросы.
  3. Ограничит лимит на размер загружаемых файлов до 10Мб.
  4. Защитит Ваш файл wp-config.php от несанкционированного доступа.

Вышеперечисленная функциональность будет достигнута методом добавления в файл .htaccess определенных директив и не должна повлиять на общую работоспособность Вашего сайта. Однако, просто на всякий случай, рекомендуется предварительно сделать резервную копию файла .htaccess.

WordPress XMLRPC & Pingback Vulnerability Protection

  • Completely Block Access To XMLRPC. Рекомендую поставить. Один из моих сайтов перезагружали такими запросами и хостер меня засыпал жалобами о перегрузке сервера.

Данная функция необходима тем, кто через смартфоны публикует и редактирует записи на своем блоге. Если вам это не нужно — смело отключайте. Таким образом злоумышленник не сможет:

  1. Перегрузить сервер запросами и вывести тем самым его из строя (DoS-атака).
  2. Взломать внутренние маршрутизаторы.
  3. Просканировать порты внутренней сети, чтобы получить информацию от различных хостов на сервере.

Помимо усиления защиты сайта, эта опция поможет значительно снизить нагрузку на Ваш сервер, особенно если Ваш сайт получает много нежелательного трафика, нацеленного на XML-RPC API.

  • Disable Pingback Functionality From XMLRPC. Ставьте галочку. Пингбэк-защита.

Block access to Debug Log File

  • Block Access to debug.log File. Блокировка доступа к отладочному лог-файлу. Поставьте галочку.

Дополнительные правила файрволла

В этой вкладке Вы можете активировать дополнительные настройки файрволла для защиты Вашего сайта. Эти опции реализуются методом добавления определенных правил в Ваш файл .htaccess. В силу определенных особенностей, эти правила могут нарушить функциональность некоторых плагинов, поэтому рекомендуется до их включения сделать backup файла .htaccess.

  • Просмотр содержимого директорий. Включите этот чекбокс, чтобы предотвратить свободный просмотр директорий на Вашем сайте. Для того, чтобы эта функция работала, в Вашем файле httpd.conf должна быть включена директива «AllowOverride». Если у Вас нет доступа к файлу httpd.conf, обратитесь к своему хостинг-провайдеру.
  • HTTP-трассировка. Отметьте этот чекбокс, чтобы защититься от HTTP-трассировки. Атаки на основе HTTP-трассировки (межсайтовой трассировки, или XST), применяются, чтобы получить информацию из возвращаемых сервером http-заголовков и похитить куки и другую информацию. Эта хакерская технология обычно применяется в сочетании с межсайтовым скриптингом (XSS). Данная опция предназначена для защиты от этого типа атак.
  • Запретить комментарии через прокси. Отметьте этот чекбокс, чтобы запретить комментирование через прокси. Запретить вредоносные строки в запросах. Эта опция предназначена для защиты от ввода вредоносного кода при XSS-атаках. ВНИМАНИЕ: Некоторые из блокируемых строк могут использоваться в каких-то плагинах или Вашей теме, и, следовательно, данная опция может нарушить их функциональность. Обязательно сделайте резервную копию .htaccess до установки данной опции.
  • Запретить вредоносные строки в запросах. Эта опция предназначена для защиты от ввода вредоносного кода при XSS-атаках. ВНИМАНИЕ: Некоторые из блокируемых строк могут использоваться в каких-то плагинах или Вашей теме, и, следовательно, данная опция может нарушить их функциональность. ОБЯЗАТЕЛЬНО СДЕЛАЙТЕ РЕЗЕРВНУЮ КОПИЮ ВАШЕГО .HTACCESS-ФАЙЛА.
  • Активировать дополнительную фильтрацию символов. Это дополнительная фильтрация символов для блокировки вредоносных команд, используемых в XSS-атаках (межсайтовый скриптинг). Данная опция фиксирует распространенные образцы вредоносного кода и эксплойты и вернет хакеру сообщение об ошибке 403 (доступ запрещен). ВНИМАНИЕ: Некоторые директивы в этих установках могут нарушить функциональность сайта (это зависит от хостинг-провайдера). ОБЯЗАТЕЛЬНО СДЕЛАЙТЕ РЕЗЕРВНУЮ КОПИЮ ВАШЕГО .HTACCESS-ФАЙЛА.

6G Blacklist Firewall Rules

Включите данные опции, если хотите выполнить:

  1. Блокировку запрещенных символов, обычно используемых в хакерских атаках.
  2. Блокировку вредоносных закодированных строк в URL, таких как «.css» и т.п.
  3. Защиту от распространенных шаблонов вредоносного кода и специфических эксплойтов (последовательностей команд, использующих известные уязвимости) в URL.
  4. Блокировку запрещенных символов в параметрах запросов.

Enable 6G Firewall Protection. Эта опция активирует 6G-защиту на Вашем сайте.

Enable legacy 5G Firewall Protection. Эта опция активирует 5G-защиту на Вашем сайте.

Интернет-боты

  • Блокировать ложные Googlebots. Отметьте этот чекбокс, если хотите блокировать все ложные Google-боты.

Данная функция проверяет, содержит ли поле User Agent information строчку «Googlebot». В таком случае, функция выполняет несколько тестов для того, чтобы убедится, действительно ли это — бот от Google. Если да, тогда позволяет боту работать дальше. Отнеситесь к данной функции с осторожностью, чтобы не получить проблем с индексацией в случае ошибки.

Предотвратить хотлинки

Хотлинк — когда кто-то на своем сайте показывает изображение, которое, на самом деле, находится на Вашем сайте, используя прямую ссылку на исходник изображения на Вашем сервере. Так как изображение, которое показывается на чужом сайте, предоставляется с Вашего сайта, для Вас это может привести к потерям скорости и ресурсов, потому что Вашему серверу приходится передавать эту картину людям, которые видят ее на чужом сайте. Данная функция предотвращает прямые хотлинки на изображения с Ваших страниц, добавив несколько инструкций в Ваш файл .htaccess.

  • Предотвратить хотлинки на изображения. Отметьте этот чекбокс, чтобы предотвратить использование изображений этого сайта на страницах чужих сайтов (хотлинкс).

Детектирование 404

Ошибка 404 или «Страница не найдена» возникает, когда кто-то запрашивает страницу, которой нет на Вашем сайте. Большинство ошибок 404 случаются, когда посетитель написал URL страницы с ошибкой или использовал старую ссылку на страницу, которой уже нет. Однако, иногда можно заметить большое количество ошибок 404 подряд за относительно короткое время с одного и того же адреса IP, с запросами URL страниц, которых нет. Такое поведение может означать, что хакер пытается найти какую-то специальную страницу или URL со злым умыслом.

  • Enable 404 IP Detection and Lockout. Отметьте этот чекбокс, если Вы хотите иметь возможнось банить указанные IP-адреса.
  • Период блокирования из-за ошибок 404 (минуты). Укажите период времени, на который будут блокироваться IP-адреса.
  • URL перенаправления при ошибке 404. Заблокированный посетитель автоматически будет переадресован на указанный вами адрес URL.

Вы можете заблокировать любые IP-адреса, которые записаны в таблице «Логи ошибок 404» внизу. Для того, чтобы заблокировать адрес IP, наведите мышь на графу ID и нажмите на ссылку «Заблокировать временно» для соответствующего адреса IP.

Custom rules

Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.

Защита от брутфорс-атак

Переименовать страницу логина

Эффективная мера защиты от перебора паролей — изменение адреса страницы логина. Обычно, для того, чтобы логиниться в WordPress, Вы набираете базовый адрес сайта, и затем wp-login.php (или wp-admin).

  • Включить опцию переименования страницы логина. Ставьте галочку, если хотите активировать функцию переименования страницы логина.
  • Адрес (URL) страницы логина. Укажите новый путь к админке.

Защита от брутфорс-атак с помощью куки

  • Активировать защиту от брутфорс-атак. Эта функция запретит доступ к Вашей странице авторизации любому пользователю, у которого в браузере нет специального куки-файла.
  • Секретное слово. Введите секретное слово, состоящее из буквенно-цифровых символов (буквы латинские), которое будет трудно разгадать. Это слово будет использовано, чтобы создать для Вас специальный URL для доступа к странице авторизации (смотрите следующий пункт).
  • URL перенаправления. Введите URL, на который будет перенаправляться хакер при попытках получить доступ к Вашей форме авторизации. Вы можете проявить фантазию и перенаправлять хакеров, например, на сайт ЦРУ или ФСБ.
  • На моем сайте есть посты или страницы, закрытые встроенной функцией WordPress для защиты контента паролем. В случае, если Вы защищаете свои посты и страницы паролями, используя соответствующую встроенную функцию WordPress, в файл .htaccess необходимо добавить некоторые дополнительные директивы. Включение этой опции добавит в файл .htaccess необходимые правила, чтобы люди, пытающиеся получить доступ к этим страницам, не были автоматически заблокированы.
  • На этом сайте есть тема или плагин, которые используют AJAX. Поставьте галочку, если Ваш сайт использует функциональность AJAX.

Captcha на логин

Данная функция позволяет Вам добавить поле CAPTCHA на странице логина WordPress.

  • Включить CAPTCHA на странице логина. Включите этот чекбокс, чтобы добавить CAPTCHA на странице логина Вашего сайта.
  • Активировать форму CAPTCHA на измененной странице логина. Поставьте галочку тут, чтобы добавить CAPTCHA в специальную форму логина, которая генерируется функцией wp_login_form()
  • Активировать CAPTCHA на странице «потерянного пароля». Поставьте галочку тут, чтобы добавить CAPTCHA на странице восстановления пароля.

Белый список для логина

Функция белого списка All In One WP Security дает возможность открыть доступ на страницу логина WordPress только с определенных адресов или диапазонов IP. Добавьте список белых ip-адресов или диапазонов ip. Все остальные адреса будут заблокированы, как только пытаются открыть страницу логина.

Бочка с медом (honey pot)

Данная функция позволяет добавить специальное, скрытое поле «honeypot» на странице логина. Оно будет видно только роботам. Т.к. роботы обычно заполняют все поля в форме логина, они отправят и какое-то значение в специальном, скрытом поле медового бочка (honey pot). Поэтому, если плагин видит, что данное поле было заполнено, робот, который пытается логиниться на Вашем сайте, будет перенаправлен на свой собственный адрес, а именно — http://127.0.0.1.

  • Активировать медовый боченок (honey pot) на странице логина. Включите этот чекбокс, чтобы активировать функция медовый бачок / honeypot на странице логина.

Защита от SPAM

Спам в комментариях

  • Активировать CAPTCHA в формах для комментариев. Отметьте этот чекбокс, чтобы вставить поле CAPTCHA в форму для комментариев.
  • Блокировать спам-ботов от комментирования. Отметьте этот чекбокс, чтобы активировать правила файрволла для блокировки комментарии от спам-ботов.Данная функция создаст правило файрволла, который блокирует попытки записать комментарий, если запрос не пришел со страницы Вашего домена. Честный комментарий всегда отправлен человеком, который заполняет форму комментирования и кликает на кнопку «Отправить». В таком случае, поле HTTP_REFERRER всегда имеет значение, которые ссылается на Ваш домен. Комментарий от спам-бота отправляется сразу запросом на файл comments.php, это обычно означает, что поле HTTP_REFERRER может быть пустым, или ссылается на чужой домен. Данная функция проверяет и блокирует комментарии, которые не пришли с Вашего домена. Это сильно снижает общее количество СПАМА и PHP-запросов на Вашем сервера при обработке спам-запросов.

Отслеживание IP-адресов по спаму в комментариях

Должен быть установлен плагин Akismet.

  • Enable Auto Block of SPAM Comment IPs. Установите для автоматической блокировки ip-адресов с которых идет впам в комментарии.
  • Minimum number of SPAM comments. Укажите минимальное количество спам-комментариев для одного IP-адреса после чего он будет заблокирован.
  • Минимальное количество спам-комментариев на каждый IP. Эта информация может быть полезна для определения IP-адресов или их диапазонов, наиболее стабильно использующихся спаммерами. Анализ этой информации позволит Вам быстро определить, какие адреса или диапазоны следует заблокировать, добавив их в черный список.

BuddyPress

Данная функция добавит CAPTCHA с простой математической задачей в форму регистрации BuddyPress. Добавление поле CAPTCHA в регистрационной форме — простой способ значительно снизить количество спам-регистраций от роботов, без изменения правил в файле .htaccess.

Сканнер

  • Активировать автоматическое сканирование изменений файлов. Включите этот чекбокс, чтобы система автоматически проверяла, есть ли изменения в файлах, на основе настроек ниже.
  • Частота сканирования. Укажите периодичность сканирования.
  • Игнорировать файлы следующих типов. Прежде всего введите файлы изображений, которые могут часто изменяться без ущерба для безопасности сайта: jpg, jpeg, png, bmp.
  • Игнорировать определенные файлы и папки. В первую очередь укажите папку с кешем.

Режим обслуживания

Эта опция позволяет перевести Ваш сайт в режим обслуживания, сделав невозможным просмотр сайта посетителями, за исключением администраторов. Это может быть очень полезным, если Вы что-то настраиваете, меняете дизайн, проверяете работу плагинов и т.д. и т.п.

Разное

  • Активировать защиту от копирования. Включите эту опцию, если Вы хотите блокировать функции «Правая кнопка», «Пометка текста» и «Копировать», на публичных страницах Вашего сайта.
  • Активировать iframe-защиту. Отметьте, если Вы хотите, чтобы другие сайты не могли показывать Ваш контент внутри frame или iframe.
  • Disable Users Enumeration. Эта функция позволяет предотвратить пользователям/ботам извлекать информацию пользователя типа «/?Автор=1». При включении, эта функция будет выдавать ошибку, а не предоставлять информацию о пользователе.

После настройки некоторых правил безопасности получилось набрать 230 баллов.

После настройки некоторых правил безопасности получилось набрать 230 баллов.

Оценить статью

Плагин безопасности All In One WP Security & Firewall для WordPress
4 (80%) 2 голос[ов]

Оставить отзыв

Please Login to comment
Войти с помощью: 
  Подписка  
Подписка

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: