Skip to Content

Security Pilot

Security Pilot to kompleksowa wtyczka bezpieczeństwa dla WordPressa, która utwardza witrynę przeciwko typowym atakom i podatnościom. Stosuje branżowe nagłówki bezpieczeństwa HTTP, chroni stronę logowania przed atakami brute-force, blokuje złośliwe żądania wbudowanym firewallem, ogranicza wrażliwe endpointy REST API i dostarcza audyt jednym kliknięciem, który ocenia instalację od A do F.

W odróżnieniu od rozdmuchanych „pakietów” bezpieczeństwa, Security Pilot jest lekki i modułowy: włączaj tylko te ochrony, których potrzebujesz. Każdy moduł można przełączać niezależnie, a wszystkimi ustawieniami zarządzasz z menu najwyższego poziomu Security Pilot w bocznym pasku admina WordPressa.

Security Pilot — strona ustawień
Security Pilot — strona ustawień ze wszystkimi modułami w jednym, przewijalnym formularzu.

Wyróżniki

  • Nagłówki bezpieczeństwa HTTP — HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection oraz usunięcie nagłówka X-Powered-By.
  • Ochrona logowania — konfigurowalny rate limiting, czasowe blokady i permanentne bany dla recydywistów, z opcjonalnymi alertami e-mail.
  • Firewall żądań — wykrywanie wzorcowe SQL injection, cross-site scripting (XSS), path traversal, remote file inclusion (RFI) i command injection.
  • Ochrona REST API — blokuje nieautoryzowany dostęp do wrażliwych grup endpointów, takich jak /wp/v2/users, WooCommerce, Jetpack, wp-site-health, Divi Builder i Elementor.
  • Hardening WordPressa — wyłącz edytor plików i XML-RPC, wytłum pingbacki i trackbacki, ukryj wersję WordPressa, usuń link RSD i manifest Windows Live Writer.
  • Rate limiter — throttling per IP dla burz 404 i innych wzorców o wysokiej częstotliwości, z konfigurowalnym maksymalnym limitem blokad i przesuwnym oknem czasowym.
  • Ochrona formularzy — limituje wysyłki frontendowe, blokuje domeny tymczasowych e-maili i łapie boty ukrytymi polami honeypot oraz konfigurowalnym sprawdzaniem czasu wypełnienia.
  • Security Check — audyt jednym kliknięciem, który ocenia instalację od A do F i raportuje status per test (PASS / WARNING / FAIL) dotyczący hardeningu, ekspozycji REST API, nieaktualnych wtyczek/motywów, ustawień debug, edytora plików i wielu innych.
  • Reguły dostępu i logowanie ataków — zarządzaj zablokowanymi IP, IP na whiteliście i URL-ami na whiteliście z trzyzakładkowego ekranu i wchodź w szczegóły każdego zablokowanego żądania w Attack Logu.

Wymagania

Security Pilot jest stworzony dla nowoczesnych, samodzielnie hostowanych witryn WordPress.

  • Działająca instalacja WordPressa z dostępem administratora.
  • Wersja PHP wspierana przez aktualne wydanie WordPressa.
  • HTTPS jest zdecydowanie zalecany. Nagłówek HSTS należy włączyć dopiero wtedy, gdy witryna jest osiągalna przez TLS pod każdym URL-em, włącznie z subdomenami, które chcesz pokryć.
  • Wystarczające uprawnienia do modyfikacji nagłówków odpowiedzi HTTP. Na większości zarządzanych hostingów działa to od ręki; przed niektórymi reverse proxy lub CDN-ami nagłówki mogą wymagać przepuszczenia na edge’u.

Nie ma żadnych zewnętrznych usług do konfiguracji ani kluczy API. Ustawienia, logi i blocklisty są trzymane we własnej bazie WordPressa.

Instalacja

  1. Pobierz ZIP wtyczki Security Pilot.
  2. W WordPressie otwórz Wtyczki → Dodaj nową → Wyślij wtyczkę.
  3. Wybierz plik ZIP i kliknij Zainstaluj teraz.
  4. Po zakończeniu wgrywania kliknij Włącz wtyczkę.
  5. Otwórz Security Pilot → Ustawienia, by przejrzeć moduły. Cztery elementy podmenu, w kolejności, w jakiej się pojawiają, to Security Check, Reguły dostępu, Attack Log i Ustawienia.

Po aktywacji żadna ochrona nie jest na siłę włączana — każdy moduł startuje w znanym stanie i da się go przełączać indywidualnie. Dzięki temu można bezpiecznie zainstalować wtyczkę na produkcji i wprowadzać hardening w małych, odwracalnych krokach.

Konfiguracja

Cała konfiguracja odbywa się w Security Pilot → Ustawienia. Strona grupuje ustawienia w moduły — każdy moduł to zwijana karta z własnym przełącznikiem aktywacji i niewielką liczbą opcji.

Karta Licencja u góry przyjmuje klucz PILOT-XXXX-XXXX-XXXX-XXXX (z potwierdzenia zamówienia) i po weryfikacji włącza automatyczne aktualizacje wtyczki z kanału release GitHub. Wtyczka działa w pełni i bez klucza; bramkowany jest tylko kanał aktualizacji.

Nagłówki bezpieczeństwa HTTP

Moduł nagłówków dodaje oparte na standardach nagłówki odpowiedzi HTTP do każdego żądania serwowanego przez WordPressa. Przełączaj poszczególne nagłówki w zależności od potrzeb witryny.

NagłówekWartość domyślnaCel
X-Frame-OptionsSAMEORIGINZapobiega clickjackingowi, blokując osadzanie strony w ramkach stron trzecich.
X-Content-Type-OptionsnosniffPowstrzymuje przeglądarki przed zgadywaniem typu treści, ograniczając ataki MIME-confusion.
X-XSS-Protection1; mode=blockFiltr XSS dla starszych przeglądarek.
Strict-Transport-Securitywłączony z sensownymi domyślnymiWymusza w przeglądarce użycie HTTPS przy kolejnych wizytach. Włącz tylko, gdy witryna jest w pełni na HTTPS.
Referrer-Policystrict-origin-when-cross-originOgranicza informacje o referrerze wyciekające do stron trzecich.
Permissions-Policyrestrykcyjne domyślneWyłącza wrażliwe funkcje przeglądarki (kamera, mikrofon, geolokalizacja itd.), z których witryna nie korzysta.
Content-Security-PolicykonfigurowalnaOgranicza origin-y, z których mogą ładować się skrypty, style, obrazki i inne zasoby.
X-Powered-ByusuniętyUkrywa wartość X-Powered-By generowaną przez PHP lub inne komponenty, które inaczej zdradzałyby Twój stack.

Kilka uwag przy konfiguracji nagłówków:

  • HSTS jest w przeglądarkach permanentny po odebraniu. Zweryfikuj, że HTTPS działa wszędzie — łącznie z www i wszystkimi subdomenami, które planujesz objąć — zanim go włączysz.
  • Content-Security-Policy to najmocniejszy i najbardziej inwazyjny nagłówek. Zacznij od domyślnych ustawień przyjaznych raportowaniu, a potem zacieśniaj politykę po sprawdzeniu w konsoli przeglądarki, co zostało zablokowane na realnych stronach.
  • Jeśli witryna stoi za CDN-em albo reverse proxy, które przepisuje nagłówki, upewnij się, że te edge’e przepuszczają wartości dodawane przez Security Pilota bez zmian.

Ochrona logowania

Ochrona logowania liczy nieudane próby uwierzytelnienia per adres IP i nakłada blokadę po osiągnięciu progu. Po skonfigurowanej liczbie blokad IP może być zablokowane permanentnie.

Dostępne ustawienia:

  • Maks. nieudanych prób — liczba nieudanych logowań z danego IP, po której uruchamia się blokada. Akceptuje wartości od 1 do 20. Domyślne 5 to rozsądny punkt wyjścia.
  • Okno prób — przesuwne okno czasowe (w minutach), w którym liczy się porażki. Akceptuje wartości od 1 do 120.
  • Czas blokady — jak długo zablokowany IP pozostaje zablokowany, w minutach. Akceptuje wartości od 1 do 1440 (24 godziny).
  • Próg permanentnego bana — liczba osobnych blokad, jaką IP może zebrać, zanim zostanie zablokowany permanentnie. Akceptuje wartości od 1 do 20.
  • Alerty e-mail — po włączeniu administrator otrzymuje e-mail za każdym razem, gdy wykryto atak, oraz za każdym razem, gdy IP trafia na blocklistę.
  • Ukryj szczegółowe komunikaty błędów — ogólne komunikaty błędów („nieprawidłowe dane logowania”) zastępują domyślne komunikaty WordPressa, żeby atakujący nie dowiedział się, czy dany login istnieje.

Ochrona stosuje się zarówno do wp-login.php, jak i do standardowego endpointu uwierzytelniania XML-RPC, kiedy XML-RPC pozostaje włączone.

Firewall żądań

Firewall żądań inspekcjonuje przychodzące żądania pod kątem złośliwych wzorców i zwraca odpowiedź 403 Forbidden, gdy któryś trafi. Wzorce wykrywania są wbudowane i obejmują:

  • SQL injection — typowe payloady na query params, ciała POST i cookies.
  • Cross-site scripting (XSS) — sygnatury ataków reflected i stored.
  • Path traversal — próby ../ ucieczki z document root.
  • Remote file inclusion (RFI) — odwołania do zewnętrznych URL-i w kontekstach, w których oczekuje się lokalnych ścieżek.
  • Command injection — shellowe metaznaki w parametrach, które prawdopodobnie trafiają do funkcji typu system.

Firewall nie ma konfiguracji per reguła. Jest włączony albo wyłączony. Zablokowane żądania są zapisywane w logu ataków opisanym niżej, włącznie z parametrem-winowajcą i regułą, która wyzwoliła blokadę.

Rate Limiter (ochrona przed burzami 404)

Witryny pod brute-force scanningiem produkują setki odpowiedzi 404 per IP na minutę, w poszukiwaniu ukrytych zasobów wtyczek albo backupów wp-config. Rate Limiter ogranicza ten ruch per źródłowy IP, śledząc trafienia 404 w przesuwnym oknie:

PoleDomyślneUwagi
Maks. odpowiedzi 404 przed blokadą25Po przekroczeniu IP trafia na listę zablokowanych.
Okno czasowe (sekundy)60Przesuwne okno, w którym oceniany jest licznik.

Blokada jest egzekwowana tym samym mechanizmem, którego używa Ochrona logowania, więc pojawia się w zakładce Reguły dostępu → Zablokowane IP z powodem 404_flood.

Ochrona REST API

WordPress domyślnie wystawia obszerne REST API, w tym endpointy przydatne dla site builderów, ale często niepotrzebne na produkcji. Security Pilot potrafi blokować nieautoryzowany dostęp do całych grup endpointów, zostawiając resztę API nietknięte.

Chronione grupy:

  • /wp/v2/users — enumeracja użytkowników przez rdzeniowy endpoint users.
  • WooCommerce — endpointy sklepu, zamówień i klientów wystawiane przez WooCommerce, gdy jest zainstalowane.
  • Jetpack — własna przestrzeń REST Jetpacka.
  • wp-site-health — endpointy health-check, które mogą wyciekać informacje o środowisku.
  • Divi Builder — endpointy REST Divi.
  • Elementor — endpointy REST Elementora.

Włączaj ochronę tylko dla grup, których nie potrzebujesz. Na przykład witryna, która nie używa WooCommerce, może bezpiecznie zamknąć jego endpointy. Wtyczka sprawdza uwierzytelnienie przy każdym żądaniu i zwraca błąd autoryzacji wywołującym anonimowo, którzy próbują sięgnąć do chronionej grupy.

Ochrona formularzy

Chroni formularze kontaktowe / komentarzy / logowania w obrębie witryny przed spamem, rejestracjami z poczty tymczasowej i seriami botów:

PoleDomyślneUwagi
Maks. wysyłek per IP w cooldownie1Twardy limit per IP w oknie cooldown.
Okno cooldownu per IP (minuty)30Jak długo bramka per-IP pozostaje zamknięta po wysyłce.
Maks. łącznie maili z formularzy na godzinę (globalnie)15Globalny pułap mailowanych wysyłek formularzy na godzinę.
Zablokowane TLD-y e-mailirozdzielone przecinkamiOdrzuca wysyłki, w których TLD e-maila pasuje do listy (np. mfa, xyz, top, click, link, surf, icu, gq, ml, cf, tk, ga).
Zablokowane domeny e-mailirozdzielone przecinkamiOdrzuca wysyłki, w których pełna domena e-maila pasuje do listy — przydatne dla dostawców poczty tymczasowej.

Pułapki honeypot (ukryte pola wypełniane tylko przez boty) i minimalny czas wypełnienia działają obok bramek rate. Zablokowane próby trafiają do Attack Logu.

Hardening WordPressa

Moduł hardeningu wyłącza funkcje WordPressa, które bywają nadużywane lub które ujawniają informacje przydatne atakującym do zaplanowania exploitu. Każda opcja jest niezależna.

  • Wyłącz edytor plików — wyłącza wbudowany w dashboard edytor plików motywu i wtyczek (DISALLOW_FILE_EDIT). Atakujący, który zdobędzie poświadczenia admina, nie zmodyfikuje już kodu bezpośrednio z UI WordPressa.
  • Wyłącz XML-RPC — blokuje endpoint xmlrpc.php, popularny cel ataków brute-force i ataków amplifikacyjnych. Wyłącz XML-RPC tylko, jeśli żadna integracja na Twojej stronie z niego nie korzysta.
  • Wyłącz pingbacki i trackbacki — zamyka długo żyjący wektor amplifikacji wykorzystywany w kampaniach DDoS.
  • Ukryj wersję WordPressa — usuwa meta tag generator i parametry wersji z zakolejkowanych zasobów, dzięki czemu zainstalowana wersja WordPressa nie jest wystawiana w źródle strony.
  • Usuń link RSD — wycina link Really Simple Discovery używany przez zewnętrznych klientów publikujących.
  • Usuń manifest WLW — usuwa link do manifestu Windows Live Writer, który dziś rzadko bywa przydatny.

Dla większości stron produkcyjnych można bezpiecznie włączyć wszystkie opcje hardeningu. Wyłączenie edytora plików i XML-RPC jest w szczególności uznawane przez społeczność bezpieczeństwa WordPressa za bazową rekomendację.

Security Check

Strona Security Check — Security Pilot → Security Check — uruchamia audyt jednym kliknięciem i produkuje literową ocenę od A („świetnie, Twoje bezpieczeństwo jest mocne”) aż do F, obok liczników KPI dla zaliczonych, niezaliczonych, ostrzeżeń i łącznie testów.

Security Pilot — strona audytu Security Check
Security Check — ocena A–F oraz status per test PASS / WARNING / INFO w kategoriach hardening, ekspozycja REST API, ustawienia debug, aktualność wtyczek/motywów i wielu innych.

Check pokrywa każdą kategorię, jaką wtyczka jest w stanie zweryfikować z wnętrza WordPressa, w tym (ale nie wyłącznie):

  • HTTPS skonfigurowany dla URL-a witryny.
  • Edytor plików wyłączony (DISALLOW_FILE_EDIT).
  • XML-RPC wyłączone.
  • Debug logging i debug display wyłączone na produkcji.
  • Dostęp do wp-config.php zablokowany na poziomie serwera HTTP.
  • Rdzeń WordPressa, wtyczki i motywy zaktualizowane.
  • Nieaktywne wtyczki nadal zainstalowane (powierzchnia ataku).
  • Brak domyślnego loginu admin.
  • Ochrona REST API włączona.
  • Aktywne nagłówki bezpieczeństwa HTTP, ochrona logowania i firewall żądań.
  • Mocny prefiks bazy, ekspozycja PHP, sygnatura serwera.

Każdy wiersz drukuje krótki tytuł, jednolinijkowy opis i odznakę statusu (PASS, WARNING, FAIL, INFO). Moduł Ustawienia → Security Check wystawia trzy opt-in przełączniki dodające głębsze testy (nieaktualne wtyczki, nieaktualne motywy, lookup podatności wtyczek wobec publicznego feeda) — uruchamiają się, gdy żądasz raportu, i spowalniają go o kilka sekund, dlatego domyślnie są wyłączone. Z samego raportu poprawki są zazwyczaj o jedno kliknięcie w panelu WordPressa (zaktualizuj wtyczkę, usuń nieaktywną wtyczkę, przełącz wskazany przełącznik hardeningu).

Użytkowanie

Praktyczne pierwsze przejście przez wtyczkę wygląda tak.

  1. Zainstaluj i aktywuj Security Pilot.
  2. Otwórz Security Pilot → Ustawienia.
  3. Włącz nagłówki bezpieczeństwa HTTP z rekomendowanymi domyślnymi. Odwiedź parę stron witryny i sprawdź konsolę przeglądarki pod kątem nieoczekiwanych naruszeń Content-Security-Policy.
  4. Włącz ochronę logowania. Zostaw Maks. nieudanych prób na 5, wybierz 15-minutowe okno prób i 60-minutową blokadę dla typowej witryny. Włącz alerty e-mail, żebyś wiedział, kiedy witryna jest atakowana.
  5. Włącz firewall żądań. Dalsza konfiguracja nie jest potrzebna.
  6. Włącz rate limiter, żeby łapać burze 404 (domyślnie 25 trafień w 60 sekund → IP trafia na blocklistę).
  7. Przełącz ochronę REST API dla grup endpointów, których witryna nie używa publicznie. Grupę /wp/v2/users prawie zawsze można bezpiecznie zamknąć.
  8. Włącz ochronę formularzy na witrynach z formularzami kontaktu / komentarzy — wybierz sensowny cooldown per IP i blocklistę TLD-ów.
  9. Włącz opcje hardeningu WordPressa. Minimum: wyłącz edytor plików i XML-RPC na produkcji.
  10. Uruchom Security Check i obsłuż każdy wiersz WARNING i FAIL (zaktualizuj albo usuń wymienione wtyczki i motywy, przełącz oznaczone przełączniki hardeningu).

Po tym pierwszym przejściu wracaj do Security Pilot → Security Check okresowo, żeby utrzymać ocenę powyżej C, oraz do Attack Log + Reguły dostępu, by przejrzeć to, co zostało złapane.

Przegląd reguł dostępu

Ekran Reguły dostępu (Security Pilot → Reguły dostępu) to trzyzakładkowy, scentralizowany panel kontroli dla blocklist i whitelist opartych na IP i URL-ach:

  • Zablokowane IP — wszystkie adresy aktualnie zablokowane przez Ochronę logowania, Rate Limitera albo firewall. Każdy wiersz drukuje IP, powód blokady (np. firewall:path_traversal, 404_flood, firewall:sqli), czas dodania i przycisk Odblokuj. Prosty formularz na górze pozwala ręcznie zablokować dowolny IP z opcjonalnym powodem, a pole wyszukiwania filtruje po IP lub powodzie.
  • IP na whiteliście — adresy zwolnione z każdego testu (biuro, monitoring, serwer staging, Twój własny IP domowy).
  • URL-e na whiteliście — ścieżki zwolnione z rate limitera 404 (przydatne, gdy legalny endpoint legalnie zwraca 404 seriami).
Reguły dostępu — zakładka Zablokowane IP
Reguły dostępu — zakładka Zablokowane IP z formularzem ręcznej blokady, wyszukiwarką i akcją Odblokuj per wiersz; siostrzane zakładki pokrywają IP i URL-e na whiteliście.

Tego ekranu używaj do:

  • Odblokowania adresu, który złapał legalnego użytkownika nieumiejętnie wpisującego hasło.
  • Whitelistowania zaufanego IP (Twoje biuro, monitoring, serwer staging), żeby nie został przypadkiem zablokowany.
  • Whitelistowania URL-a, który celowo uderza w rate limit 404 (np. ścieżka próbująca wykorzystywana przez zewnętrzny monitoring).

Przegląd logu ataków

Attack Log (Security Pilot → Attack Log) rejestruje każde zablokowane żądanie, w tym blokady brute-force, trafienia firewalla, odpalenia rate limitera, odrzucenia form-spamu i odmowy REST API. Każdy wiersz niesie znacznik czasu, źródłowy IP, Typ ataku (np. RESTRICTION, REQUEST_URI, PATH_TRAVERSAL, COMMAND_INJECTION, POST_X), Listener reguły, który nałożył blokadę, oraz Request URI, które ją wyzwoliło. Akcja zbiorcza Wyczyść log kasuje stronę, a pasek narzędzi udostępnia wyszukiwanie tekstowe oraz filtry per IP i per listener.

Security Pilot — Attack Log
Attack Log — widok chronologiczny z odznakami typu ataku, listenerami reguł i akcjami zbiorczymi; przydatne i do przeglądu po incydencie, i do tuningu firewalla.

Log jest przydatny i do przeglądu po incydencie, i do tuningu firewalla: jeśli w logu pojawi się legalne żądanie do Twojej witryny, możesz zidentyfikować, która reguła była za to odpowiedzialna, i zdecydować, czy whitelistować żądanie, IP, czy doszlifować regułę.

Widget na kokpicie WordPressa

Security Pilot dodaje widget na standardowy ekran Kokpit (stronę, którą WordPress otwiera po zalogowaniu), żeby kluczowe liczby były widoczne od momentu logowania.

Security Pilot — widget na kokpicie WordPressa
Widget Security Pilot na kokpicie WordPressa — aktualna ocena literowa, liczniki zablokowanych IP i ataków oraz pięć najnowszych ataków z deep linkami do Attack Logu i Security Check.

Widget drukuje:

  • Najnowszą ocenę Security Check (A–F) i wynik liczbowy (np. A 95/100), wyrenderowane jako kolorowy pierścień.
  • Żywy licznik Zablokowanych IP zaciągany z tabeli Reguł dostępu.
  • Bieżący licznik Ataków zaciągany z Attack Logu.
  • Listę Ostatnich ataków — pięć ostatnich wierszy Attack Logu z odznaką typu, źródłowym IP i znacznikiem czasu.
  • Skróty w stopce do Attack Logu i Pełnego raportu bezpieczeństwa.

FAQ

Czy Security Pilot zastępuje inne wtyczki bezpieczeństwa?

Dla większości witryn — tak. Security Pilot pokrywa nagłówki HTTP, ochronę logowania, filtrowanie żądań, ograniczenia REST API, hardening i audyt. Jest celowo lekki, a nie „scyzorykowy”. Uruchomienie go równolegle z innym firewallem albo inną wtyczką do ochrony logowania jest technicznie możliwe, ale rzadko ma sens i może powodować podwójne odpalanie nakładających się reguł.

Czy nagłówki popsują moją stronę?

Wartości domyślne są zachowawcze. Dwa nagłówki, które najczęściej wymagają uwagi, to HSTS i Content-Security-Policy.

  • HSTS włączaj dopiero, gdy witryna jest w pełni osiągalna przez HTTPS, włącznie ze wszystkimi subdomenami, które chcesz objąć. Nagłówek jest cache’owany przez przeglądarki i nie da się go łatwo cofnąć.
  • Content-Security-Policy dostrajaj po obserwowaniu konsoli przeglądarki na realnych stronach pod kątem zablokowanych zasobów. Własne skrypty, fonty i analitykę często trzeba dodać do polityki.

Czy firewall żądań zablokuje legalny ruch?

Wzorce wykrywania celują w znane sygnatury ataków i są zwykle dość specyficzne. Jeśli legalne żądanie zostanie zablokowane, pojawi się w logu ataków razem z regułą, która wyzwoliła blokadę. Wtedy możesz odblokować IP i — jeśli wzorca naprawdę nie da się uniknąć — udokumentować wyjątek dla zespołu.

Czy wtyczka działa za CDN-em albo reverse proxy?

Tak. Wtyczka czyta źródłowy adres IP ze standardowych nagłówków żądania i potrafi poprawnie zidentyfikować odwiedzających za CDN-em, pod warunkiem, że Twoje środowisko hostingowe przekazuje właściwy nagłówek X-Forwarded-For (lub odpowiednik). Pilnuj, by żadna warstwa edge przed WordPressem nie obcinała nagłówków odpowiedzi dodawanych przez Security Pilota.

Czy mogę wyeksportować logi ataków albo listę zablokowanych IP?

Log ataków i tabela zablokowanych IP są w bazie WordPressa i da się je przeglądać bezpośrednio z poziomu admina. Do archiwizacji długoterminowej albo analizy off-site zrób backup bazy, jak dla każdych innych danych WordPressa.

Czy wyłączenie XML-RPC coś zepsuje?

XML-RPC jest używane przez starszego klienta Windows Live Writer, mobilne aplikacje WordPressa w niektórych konfiguracjach i nieliczne integracje zewnętrzne. Jeśli żadnej z nich nie używasz, wyłączenie XML-RPC to jeden z najskuteczniejszych jednoklikowych kroków hardeningu.

Czy ustawienia są zachowywane po dezaktywacji wtyczki?

Tak. Dezaktywacja Security Pilota zostawia konfigurację, log ataków i blocklistę w bazie, więc ponowna aktywacja przywraca poprzedni stan.

Rozwiązywanie problemów

Legalny użytkownik został zablokowany

Otwórz Zablokowane IP, znajdź wpis dla pechowego adresu i usuń blokadę. Jeśli ten sam użytkownik jest zablokowany wielokrotnie, rozważ:

  • Zwiększenie Maks. nieudanych prób dla zapominalskich użytkowników.
  • Dodanie IP użytkownika (albo IP NAT biura) do allowlisty.
  • Poproszenie użytkownika o reset hasła zamiast zgadywania.

Przeglądarka blokuje zasoby po włączeniu CSP

Content-Security-Policy jest domyślnie celowo rygorystyczna. Otwórz narzędzia deweloperskie przeglądarki i zajrzyj do zakładki Console — przeglądarka raportuje każdy zablokowany zasób razem z dyrektywą, która go odrzuciła. Dostosuj CSP, by uwzględnić zaufane origin-y (CDN, dostawca analityki, host fontów), na których Twoja witryna polega.

Strony dalej ładują się po HTTP po włączeniu HSTS

HSTS jest respektowane dopiero, gdy przeglądarka zobaczyła nagłówek co najmniej raz po HTTPS. Wejdź na witrynę bezpośrednio przez https://, żeby zasilić cache. Jeśli witryna nie jest jeszcze osiągalna przez HTTPS pod każdym anonsowanym URL-em, wyłącz HSTS do czasu zakończenia migracji.

Integracje REST API przestają działać

Jeśli integracja oparta na chronionej grupie endpointów przestaje działać, tymczasowo wyłącz ochronę dla tej grupy w Ochronie REST API i potwierdź, że integracja poprawnie się uwierzytelnia. Wiele integracji oczekuje wywołania jako uwierzytelniony użytkownik WordPressa; uwierzytelnione żądania nie są blokowane przez ten moduł.

Nagłówki nie są obecne w odpowiedzi

Niektóre hostingi albo reverse proxy obcinają lub nadpisują nagłówki odpowiedzi dodawane przez PHP. Zweryfikuj nagłówki narzędziem takim jak curl -I https://example.com/ albo inspektorem sieci w przeglądarce. Jeśli nagłówka brakuje, sprawdź dokumentację hostingu, jak przepuszczać własne nagłówki, albo dodaj nagłówek na edge’u, jeśli hosting tego wymaga.

Alerty e-mail nie docierają

Alerty e-mail używają funkcji wp_mail() WordPressa. Jeśli żaden e-mail nie przychodzi, problem prawie zawsze leży w konfiguracji poczty witryny, a nie w Security Pilocie. Zainstaluj wtyczkę poczty transakcyjnej (na przykład wtyczkę kierującą pocztę WordPressa przez SMTP) i przetestuj ponownie, wyzwalając blokadę z testowej przeglądarki.

Last updated on