All-In-One Security (AIOS) – безопасность и брандмауэр

Журнал изменений

5.4.6 — 27/Jan/2026

• FIX: PHP Fatal error: Uncaught Error: Call to a member function get_user_otp_algorithm() on null.
• FIX: Prevent redirection to settings when AIOS is installed through the onboarding wizard of another plugin.

5.4.5 — 05/Jan/2026

• FEATURE: Added onboarding wizard on activation of the plugin.
• FEATURE: Added reports function for UDC.
• FEATURE: Added additional commands for interoperability with UDC
• FIX: Logged in users table not correctly tracking multiple sessions.
• FIX: Removed scrolling from the PHP Rules tab so that Internet Bot settings, WP REST API, and other options are visible.
• FIX: Exempt UDC commands from brute force prevention.
• FIX: Login lockout save command for UDC.
• FIX: Update needed in spam protection command for UDC.
• FIX: Resolved incorrectly displayed some privileges in the debugging report for database information.
• TWEAK: Updated the rename login page URL parser to prevent a deprecated error caused by passing null to the rtrim() function.
• TWEAK: Update scanner command to output last scan time at end of scan for UDC.

5.4.4 — 5/Nov/2025

• FEATURE: Added new and improved existing modules for UpdraftCentral.
• FIX: The theme’s custom 404 page does not parse and instead displays the shortcodes for wp-login.php, due to the login page having been renamed.
• FIX: 404 detection was not working when using a custom 404 template page.
• ИСПРАВЛЕНИЕ: Предупреждение PHP Strict Standards для AIOWPSecurity_Base_Tasks::run_for_a_site()
• FIX: Changed slider control class name from slider to aiowps_slider and updated CSS to prevent conflict with other plugins.
• ИСПРАВЛЕНИЕ: Устранена устаревшая ошибка в fputcsv() путем предоставления необходимого параметра $escape при экспорте файлов CSV.

5.4.3 — 8/Sep/2025

• FEATURE: Added a feature to enforce the use of strong passwords by users
• FIX: Bypass Cookie based brute force prevention using AJAX request.
• FIX: PHP notice — the translation load text domain was called incorrectly.
• FIX: Resolved call to undefined function disk_total_space in wp-security-debug.php when the hosting provider has disabled this PHP function.
• FIX: Fatal error when accessing an array query parameter when the login page has been renamed.
• FIX: Chrome console error where the maths captcha referencing a missing input ‘id’, causing autofill and accessibility issues.
• FIX: The AIOS translation .pot file does not include TFA labels.
• FIX: When a user profile is updated, HIBP’s ‘Enforce on profile update’ setting incorrectly triggers an error if the password has not been changed.
• TWEAK: Added ‘aios_blocked_request_redirect_url’ filter to allow permanently blocked IPs to be redirected to a custom URL rather than 127.0.0.1.
• TWEAK: Create new AIOS tables and update current AIOS tables to use the InnoDB engine.
• TWEAK: Moved the ‘6G firewall rules’ feature to the PHP rules tab
• TWEAK: Moved the ‘Internet bots’ tab into the PHP rules tab
• TWEAK: Resolved issue where IP detection status was always off for Debugging tab.
• TWEAK: The Manually approve registered users list should display the error message «You cannot block your own IP address».

5.4.2 — 15/Jul/2025

• FEATURE: Ability to enforce checking passwords against the HIBP API when updating user profiles and resetting passwords.
• FEATURE: Add ability to upgrade all unsafe http calls on the site.
• FIX: Disabled application password link doesn’t go back to the correct place.
• FIX: Fatal in the firewall’s message store.
• FIX: Malformed URLs in User accounts tab.
• FIX: Users are logged out on Contact Form 7 submit if salt postfix enabled
• FIX: The ‘Set Password’ page does not load for the user when cookie-based brute-force protection is enabled.
• FIX: Disallow unauthorized REST request is enabled, but the /wp-json/ shows the rest routes and rest api details
• TWEAK: Add AJAX message store helper
• TWEAK: Disable user enumeration error; aios_user_lists_forbidden should return a 403 response code instead of a 500.
• TWEAK: Rename the WP Admin menu item from ‘WP Security’ to ‘AIOS’ and update the icon to current version.
• TWEAK: Show AJAX table action response in popup modal
• TWEAK: Make the plugin more PCP compliant
• TWEAK: Add a notice for PHP 5.6 end of support.
• TWEAK: Change url from twitter.com to x.com
• TWEAK: Made changes to the advert links in the thank you dashboard notice.

5.4.1 — 21/May/2025

• FIX: Call to undefined function AIOWPS\Firewall\sanitize_text_field() fatal error solved.
• FIX: Resolved an issue where some information in the debugging report email was inconsistent with the information shown at Dashboard > Debugging
• FIX: Fixed a “call to undefined function wp_strip_tags” error in wp-security-user-login.php
• FIX: Resolved an issue where raw HTML was displaying in the info box under User Security > User Accounts > User Display Name
• FIX: Renamed the login page when it was exposed via auth_redirect by other plugins (e.g., Gravity Forms preview)
• FIX: Fixed an issue where the password reset functionality did not work with the renamed login page feature
• FIX: Resolved missing translations on the login page after enabling the “Rename login page” feature
• FIX: Updated the custom login page layout to match the new default WordPress login page design
• FIX: Fixed the redirection issue occurring after plugin reactivation when the cookie brute force options are saved in the database
• FIX: Fixed the undefined variable $error in wp-security-user-security-commands.php
• FIX: Fixed the login lockout request issue
• FIX: Bulk «Delete selected» action in the Audit Log list was not working
• FIX: Corrected AIOWSPEC prefixes to AIOWPSEC
• FIX: The 5G Firewall switch is behaving inversely, enabling it removes .htaccess rules, while disabling adds them.
• FIX: Fixed the HTML code shown incorrectly on the .htaccess tab
• TWEAK: Updated links to point to our new website

5.4.0 — 27/Mar/2025

• ИСПРАВЛЕНО: заменены парсеры URI брандмауэра на методы, не относящиеся к WordPress
• ИСПРАВЛЕНО: решена проблема совместимости с PHP 5.6, вызванная оператором ?? в версии 5.3.10

5.3.10 — 26/Mar/2025

• FEATURE: Added commenting capability to IP whitelists
• FEATURE: Added diagnostics reporting
• FEATURE: Added a whitelist and user role-based access limit to the REST API firewall
• FIX: «Undefined index: path» error when front-end HTTP Authentication is enabled.
• FIX: Resolved dashboard translation issue where text lacked whitespace and was not properly translated
• TWEAK: Remove uses of unserialize without restriction of allowed_classes
• TWEAK: Refactored IP commands class to use response helper
• TWEAK: Removed WP REST API tab
• TWEAK: Switched «Critical Feature Status» toggle buttons on the dashboard to a status light system
• TWEAK: Updated the security strength meter on the dashboard
• TWEAK: Improved the dashboard widget to display a chart showing the number of logins over the last 7 days
• TWEAK: Enhanced the maintenance mode switch on the dashboard for consistency with the rest of the plugin
• TWEAK: Converted Brute Force menu actions to use AJAX
• НАСТРОЙКИ: обновленные сезонные уведомления

5.3.8 — 16/Dec/2024

• FIX: Updated the plugin notices to fix translation related fatal errors.

5.3.7 — 5/Dec/2024

• НАСТРОЙКИ: изменение кода ответа для заблокированных неавторизованных REST-запросов на 403.
• НАСТРОЙКИ: временно удалено ведение журнала брандмауэра

5.3.6 — 3/Dec/2024

• ИСПРАВЛЕНО: устранена проблема с классом AIOS_Firewall_Resource

5.3.5 — 24/Nov/2024

• FIX: Custom .htaccess rules are now properly escaped, with backslashes removed.
• FIX: Import settings failed when visitor lockout messages had text alignment or other formatting applied
• FIX: The audit log filter for event type now works correctly, even when the event type is translated into languages other than English
• FIX: Resolved text overflow in the blue box on the Settings > WP Version Info page
• FIX: Some user meta keys were not being removed after uninstalling the plugin
• FIX: Subsites no longer incorrectly detect the Database Prefix feature as active
• FIX: Prevented fatal errors from missing firewall resources, replacing them with debug log entries
• FIX: WordPress database error: BLOB, TEXT, GEOMETRY, or JSON columns cannot have a default value set
• FIX: The load_plugin_textdomain function is called during the init action, and translations are applied afterward
• FIX: Renamed login page is now using the WordPress translations
• TWEAK: Added a filter for PHP firewall rules templates
• НАСТРОЙКИ: обновлено поле кода страны для журналов аудита, теперь оно основано на IP-адресе (Premium)
• НАСТРОЙКА: улучшен текст на вкладке «Обнаружение 404»
• TWEAK: Moved the allowlist into the blacklist tab, and renamed it to «Block & Allow Lists»
• НАСТРОЙКИ: функция WP REST API перемещена на вкладку «Правила PHP»
• TWEAK: Refactored multiple command classes to use the new AJAX response helper method: Tools, File scan, Files, Settings, and Log commands classes
• НАСТРОЙКИ: обновлен пользовательский интерфейс для правил .htaccess, настройки Captcha и вкладок защиты файлов
• TWEAK: Added a note in Settings > Delete plugin settings tab
• TWEAK: Early calls to get_plugin_data() no longer require translations
• НАСТРОЙКИ: реорганизован класс команд брандмауэра для использования вспомогательного метода ответа
• TWEAK: Added a constant AIOS_DISABLE_HTTP_AUTHENTICATION. Define this in your wp-config.php to disable HTTP authentication

5.3.4 — 21/Oct/2024

• СВОЙСТВО: добавлена функция HTTP-аутентификации, которая позволяет защитить сайт с помощью логина/пароля.
• ИСПРАВЛЕНО: в общие настройки, добавлен новый метод сброса правил брандмауэра
• FIX: Resolved the issue with post cache which caused an issue with comment spam prevention
• TWEAK: Added a helper class for API requests
• НАСТРОЙКИ: удалены пробелы в конце предложений

5.3.3 — 16/Sep/2024

• Свойство: добавлена опция captcha для классической гостевой страницы оформления заказа WooCommerce.
• ИСПРАВЛЕНО: устранены проблемы с адаптивным макетом логотипа уведомления на панели управления на мобильных устройствах.
• ИСПРАВЛЕНО: виджет Turnstile captcha отображался несколько раз
• FIX: Solved memory issue for reading larger host system log file
• FIX: Removed .htaccess options from the Settings menu on Nginx, IIS and unsupported web servers
• FIX: Resolved UX popup issue and firewall allowlist sanitization
• FIX: Resolved an issue where bulk table actions were still executed even if the confirmation dialog was canceled.
• ИСПРАВЛЕНО: добавлена проверка на нуль для предотвращения предупреждений PHP в правилах брандмауэра
• TWEAK: Ajaxified the actions in the settings, filesystem security, spam prevention and user security menu
• TWEAK: Added Ajax support to list tables and the audit log
• TWEAK: Added CAPTCHA field to MemberPress forgot password and registration forms
• TWEAK: Excluded .htaccess tabs from settings if the server is not supported
• НАСТРОЙКА: обновлен пользовательский интерфейс правил брандмауэра и описание сканера вредоносных программ
• НАСТРОЙКА: изменен метод резервного копирования htaccess для генерации случайного имени файла
• НАСТРОЙКА: удален «запретить доступ к файлам WP по умолчанию» из .htaccess и добавлен «license.txt» в список удаления.

5.3.2 — 06/Aug/2024

• ИСПРАВЛЕНО: ошибка, позволявшая администраторам дочерних сайтов удалять журналы аудита других дочерних сайтов
• ИСПРАВЛЕНИЕ: отключен черный список на дочерних сайтах, поскольку брандмауэр на основе PHP в настоящее время применяется ко всему мульти-сайту
• ИСПРАВЛЕНО: проблема с получением диапазонов ip-адресов google bot
• TWEAK: Added extra protections in place before modifying the .htaccess file
• TWEAK: Actions in the tools, firewall and scanner menu are now processed via AJAX
• НАСТРОЙКА: обрезаны начальные и конечные пробелы во входных данных на вкладке поиска WHOIS
• TWEAK: Added a confirmation pop-up when users clear records in the Debug Logs table
• TWEAK: Added captcha support for the MemberPress plugin
• TWEAK: Improved the UX of the WP REST API options
• НАСТРОЙКА: внутренние улучшения кода для повышения удобства сопровождения
• НАСТРОЙКА: обновлен менеджер функций для повышения производительности
• TWEAK: Fixed the issue of blank tables on mobile view

5.3.1 — 26/Jun/2024

• СВОЙСТВО: добавлена CAPTCHA для страниц/записей, защищенных паролем
• ИСПРАВЛЕНО: Captcha не отображается на странице регистрации BuddyPress
• FIX: WooCommerce logout issue when the renamed login page and login whitelist features are both enabled
• FIX: Missing CAPTCHAs when multiple WooCommerce login and register forms are on the same page
• FIX: Fixed an issue with the 404 detection actions
• ИСПРАВЛЕНО: проблема с пользовательским интерфейсом при использовании изображения QR-кода 2FA
• TWEAK: Added the attribute data-cfasync=»false» to the default captcha url to allow loading on Cloudflare Rocket Loader
• НАСТРОЙКА: Очистка записей таблицы блокировки входа через 90 дней для ограничения размера. Для изменения значения по умолчанию была добавлена константа AIOS_PURGE_LOGIN_LOCKOUT_RECORDS_AFTER_DAYS.
• НАСТРОЙКА: Обновлен текст о частоте использования сканера вредоносных программ с ежедневного на еженедельный
• НАСТРОЙКА: Обновлен пользовательский интерфейс измерителя надежности пароля для инструмента паролей
• TWEAK: Add a ‘Lock IP’ and ‘Blacklist IP’ link to the IP column of the audit log.
• TWEAK: Enhance fake Googlebot detection. In the case where gethostbyaddr fails, the firewall will fallback to checking against known Googlebot IP ranges
• НАСТРОЙКА: Обновите заголовок столбца таблицы «Постоянные заблокированные IP-адреса», чтобы он соответствовал другим таблицам
• НАСТРОЙКА: Предотвращение предупреждений, когда DISALLOW_FILE_EDIT уже был использован
• TWEAK: Fix instances of one translation function being used for multiple sentences
• НАСТРОЙКА: улучшен UX во время вызовов AJAX
• НАСТРОЙКА: Удалены дублированные описания спам-комментариев

5.3.0 — 01/May/2024

• СВОЙСТВО: добавлена функция массового принудительного выхода из системы для вошедших пользователей
• ИСПРАВЛЕНО: проблема с функцией выхода из системы WooCommerce на странице своей учетной записи, когда включена функция «метод перебора» на основе файлов cookie
• FIX: Warning undefined array key SCRIPT_FILENAME
• FIX: Custom redirection after login not working if url contains the redirect_to parameter
• FIX: List of administrator accounts not showing on the user security page
• FIX: Issue with cookie based bruteforce prevention solved if salt postfix feature is on.
• FIX: Fixed country field not showing in the 404 event logs (Premium)
• FIX: Fixed country field not showing in the smart 404 blocked IP log (Premium)
• TWEAK: Fixed translation issue not showing as per admin user set language instead of site settings
• TWEAK: Firewall upgrade changes are applied without access to the admin interface
• TWEAK: Change the labels for the switches to a more appropriate wording
• НАСТРОЙКА: в результатах сканирования файлов, их размеры отображаются в удобочитаемом формате
• НАСТРОЙКА: обновлено сообщение по умолчанию для попыток получить доступ к wp-admin
• НАСТРОЙКА: внутренний рефакторинг кода обновления для улучшения ясности кода.
• НАСТРОЙКА: перенесите функцию ‘Блокировать фейковых роботов Google’ в брандмауэр на основе PHP
• НАСТРОЙКА: убрано требование наличия хотя бы одного IP-адреса для включения «Черного списка», «Белого списка входа» и «Белого списка IP-адресов для блокировки входа».
• TWEAK: Added error message when a user tries to block their own IP on registration approval
• TWEAK: Added method to update badge on AJAX call
• НАСТРОЙКА: внутренний рефакторинг класса AIOWPSecurity_Utility_File для улучшения ясности кода
• НАСТРОЙКА: обновление содержимого сезонных уведомлений для 2024 года

5.2.9 — 06/Mar/2024

• FIX: Remove call to update_event_table_column_to_timestamp in update routine
• FIX: Remove call to wp_timezone() which is only available in WP 5.3+

5.2.8 — 05/Mar/2024

• FIX: The user check that affects the Duo authentication plugin
• ИСПРАВЛЕНИЕ: процедура обновления базы данных теперь запускается без необходимости посещения интерфейса администратора или каждого отдельного сайта в мульти-сайте
• FIX: Some settings in the firewall menu not resetting after deactivating and reactivating the plugin.
• TWEAK: Audit log and 404 events CSV export file date time column is now in a human readable format not unix timestamp
• TWEAK: Debug log table existing datetime field converted to timestamp to be timezone independent
• TWEAK: Global meta table existing datetime field converted to timestamp to be timezone independent
• НАСТРОЙКА: в таблице постоянных блоков существующее поле datetime преобразовано в timestamp, чтобы не зависеть от часового пояса
• НАСТРОЙКА: рефакторинг действий элементов списка для дальнейшего улучшения ясности кода
• НАСТРОЙКА: удалено меню администрирования черного списка, как было объявлено ранее
• НАСТРОЙКА: удалено меню администратора, как было объявлено ранее
• Дополнение: удалены различные вкладки меню администратора, как было объявлено ранее
• НАСТРОЙКА: хранить результат поиска IP-адреса для других типов записей в таблице блокировки входа в систему
• НАСТРОЙКА: обновление подсказки для обзора в нижнем колонтитуле
• НАСТРОЙКА: удалено ограничение максимального размера загружаемого файла до 250 МБ с помощью фильтра aiowps_max_allowed_upload_config
• НАСТРОЙКА: улучшеное обнаружение спама в комментариях, для меньшего влияния на другие формы

5.2.7 — 06/Feb/2024

• SECURITY: Added nonce checks to various list table actions to prevent a CSRF vulnerability. Thanks to dhakal_ananda for disclosing this defect. This would allow an attacker who persuaded a logged-in administrator to visit a specially crafted link to perform actions on the 404 event records.

5.2.6 — 06/Feb/2024

• SECURITY: Removed unnecessary use of the «tab» query parameter on various admin menu pages to prevent a non-persistent XSS vulnerability. Thanks to Matthew Rollings for disclosing this defect. (This would allow an attacker who deliberately targets you whilst logged in as an administrator and persuades you to visit a link he controls to inject unwanted scripts on a single visit to your AIOS admin page).
• СВОЙСТВО: добавлено событие выхода из системы в журналы аудита
• СВОЙСТВО: добавлена ​​возможность удаления файла readme.html по умолчанию и файла wp-config-sample.php
• FIX: Correct some translation calls that were using the wrong text domain
• FIX: PHP notice caused by the file scanner being unable to read its data file
• FIX: Unlock request button was not showing and redirects to 127.0.0.1
• ИСПРАВЛЕНИЕ: ошибки базы данных для таблицы aiowps_login_lockdown во время установки плагина
• НАСТРОЙКА: рефакторинг пользовательского интерфейса 6G
• TWEAK: Added an option to set the Cloudflare Turnstile CAPTCHA theme
• TWEAK: Added CSS styling for audit log details column
• TWEAK: Dashboard critical feature status links fixed and only show features that can be enabled in a multisite subsite
• TWEAK: Deactivating the plugin now removes stored login info so on the next activation users are not force logged out
• TWEAK: Display json string instead of null if json_decode does not work for audit log details
• TWEAK: Event table existing datetime field converted to timestamp to be timezone independent
• НАСТРОЙКА: различные исправления для приведения кодовой базы в соответствие со стандартами кодирования
• НАСТРОЙКА: различные настройки, гарантирующие, что несколько предложений не передаются в одну функцию перевода
• TWEAK: Fix the broken UI for RSS and Atom firewall settings and added a more info box
• TWEAK: Fix the issue of unique ID in DOM
• НАСТРОЙКА: объединение вкладок «Имя пользователя» и «Отображаемое имя» в настройки безопасности пользователя
• НАСТРОЙКА: вкладка «Обнаружение 404» перенесена в меню администратора «Грубая сила»
• НАСТРОЙКА: вкладка «Редактирование файлов PHP» перемещена на вкладку «Защита файлов»
• НАСТРОЙКА: вкладка «Перечисление пользователей» перемещена на вкладку «Учётные записи пользователей» в меню безопасности пользователей
• НАСТРОЙКА: вкладка ‘WP Rest API’ перемещена в меню брандмауэра
• НАСТРОЙКА: вкладки «Защита от копирования» и «Рамки» перемещены в меню безопасности файловой системы
• НАСТРОЙКА: вкладка «Соль» перемещена в меню безопасности пользователя
• НАСТРОЙКА: вкладка «Диспетчер чёрного списка» перенесена в меню брандмауэра.
• НАСТРОЙКА: сброс пароля, удаление пользователей теперь фиксируется в журнале аудита
• НАСТРОЙКА: запретить блокировку IP-адреса 404, если на этом IP-адресе имеется текущая блокировка
• НАСТРОЙКА: унификация преобразования даты и времени с поддержкой часовых поясов пользователей
• TWEAK: Changed how empty data in ip lookup result is stored in the database
• НАСТРОЙКА: переработана страница меню брандмауэра, теперь на ней есть две вкладки для правил PHP и .htaccess
• TWEAK: Add captcha support for Contact Form 7
• TWEAK: Added a AJAX save settings and get features details badge function as part of ongoing work to add AJAX support to the plugin settings
• TWEAK: Enhance reset password email by adding IP info
• НАСТРОЙКА: удален несуществующий метатег imagetoolbar
• НАСТРОЙКА: в таблицах блокировки входа существующее поле datetime преобразовано в timestamp, чтобы не зависеть от часового пояса
• TWEAK: Code improvements — utilising WP_Error objects instead of arrays

5.2.5 — 25/Oct/2023

• SECURITY: On a multisite install, if using the AIOS feature for renaming and hiding the login page, a route existed for an attacker to discover the hidden login page, thus negating the usefulness of the feature. Thanks to Naveen Muthusamy for disclosing this defect.
• СВОЙСТВО: блокировка POST-запросов, содержащих пустые user-agent и referer
• СВОЙСТВО: добавлены данные обратного поиска IP-адреса в электронное письмо с уведомлением о блокировке входа в систему
• FIX: Prevent a fatal error when setting up the firewall if the host has disabled the function parse_ini_file
• FIX: Prevent the firewall message store from filling up with unused entries
• FIX: Prevent legitimate Googlebot traffic being blocked on sites where the gethostbyaddr function fails or is disabled
• ИСПРАВЛЕНО: проблема, из-за которой обновления MainWP не выполнялись корректно
• FIX: Prevent user enumeration via the REST API and oEmbed protocol
• FIX: User agent blacklist not matching all strings correctly
• FIX: Logged in user table not showing the correct information
• TWEAK: Improve comment spam detection by using hidden fields and cookies
• TWEAK: Login whitelist suggests both IPv4 and IPv6 addresses to whitelist
• Дополнение: действия в меню консоли теперь обрабатываются через AJAX
• TWEAK: Converted checkboxes in the admin menu pages to switches
• TWEAK: Add network_id and site_id column to debug logs table for differentiating logs between sites on multisite
• TWEAK: Combined various user admin menus into a new ‘User Security’ admin menu
• TWEAK: Export configuration filename now reflects the local timezone.
• TWEAK: Improve the UI/UX of the file scanner making way for future improvements
• Дополнение: изменен дизайн значков менеджера функций
• Дополнение: удалены различные вкладки меню администратора, как было объявлено ранее
• TWEAK: Add features that depend on other plugins to the feature manager conditionally
• TWEAK: Added a null check to function that removes wp meta info from scripts and styles src to prevent a PHP deprecation warning
• TWEAK: Audit log date and time are now displayed in the sites timezone
• Дополнение: предупреждение PHP о неопределенном ключе массива REQUEST_METHOD в файле rule-proxy-comment-posting.php
• Дополнение: когда TranslatePress активен, при выходе из системы через WooCommerce не должна отображаться страница 404, если включен параметр «переименовать страницу входа».

5.2.4 — 16/Aug/2023

• FIX: Ported firewall settings from disabling on upgrade

5.2.3 — 09/Aug/2023

• FIX: Fatal error «set_value() on null» when the firewall config is missing
• FIX: PHP notices when running under cron
• FIX: Revert change that caused the Brute force login whitelist to show the server IPs and not the users
• TWEAK: Add communication mechanism so that firewall can send data to WordPress
• Дополнение: удаление некорректных упоминаний файла .htaccess в правилах брандмауэра PHP

5.2.2 — 04/Aug/2023

• СВОЙСТВО: разрешающий список IP-адресов, которые обходят правила брандмауэра
• FIX: Fix get_class() on null fatal error when updating via ManageWP
• ИСПРАВЛЕНИЕ: уведомление об отсутствии файла или каталога, созданного файлом конфигурации брандмауэра
• ИСПРАВЛЕНИЕ: отправка письма об обновлении происходила только в том случае, если одно или несколько перенесенных правил были включены
• FIX: Fake Google bots are now blocked if bot server IP address does not resolve to a hostname
• FIX: Google reCaptcha now appears correctly on the WooCommerce checkout page
• FIX: Prevent Woocommerce auto login if manual registration approval is turned on
• FIX: Premium upgrade tab UI overlapping issue.
• ИСПРАВЛЕНО: разрешить управление режимом обслуживания через WP-CLI (Premium)
• FIX: Use the correct site id for login success events added to audit log table on Multisite
• ИСПРАВЛЕНО: добавлены отсутствующие возможности в список менеджеров функций
• ИСПРАВЛЕНО: предупреждение при использовании команды «Обновить все» через WP-CLI
• TWEAK: AIOS settings based IP address is now used instead of the REMOTE_ADDR server variable for multiple wrong 2FA code notification
• TWEAK: Added ‘aios_audit_log_record_event’ filter to allow events to not be recorded
• НАСТРОЙКА: улучшение структуры кода менеджера элементов функций для будущих изменений
• НАСТРОЙКА: белый список для входа в систему предлагает включить в белый список адреса IPv4 и IPv6.
• НАСТРОЙКА: переместили вкладку «Пользовательские правила» из раздела «Брандмауэр» на отдельную вкладку в разделе «Инструменты»
• Дополнение: переместили вкладку «Предотвратить хотлинкинг» на вкладку «Защита файлов» в меню «Безопасность файловой системы»
• Дополнение: все настройки CAPTCHA перенесены на вкладку «Настройки CAPTCHA» в меню «Грубая сила»
• Дополнение: вкладка «Инструмент пароля» перемещена в меню администратора «Инструменты»
• Дополнение: вкладка «Блокировка посетителей» перемещена в меню администратора «Инструменты»
• НАСТРОЙКА: вкладка «Приманка для регистрации пользователей» перенесена в меню администратора «Грубая сила»
• Дополнение: удалили «Таблицу активности учетной записи», поскольку эти записи также записываются в журнал аудита
• Дополнение: удалена вкладка «Неудачные записи входа в систему», как было объявлено ранее, теперь они записываются в журнал аудита
• НАСТРОЙКА: улучшение производительности кода таблицы списков
• Дополнение: удалено использование $_GET, $_POST, $_REQUEST из всех файлов шаблонов, что дает возможности для будущих улучшений

5.2.1 — 12/Jul/2023

• FIX: Include helper class file from loader
• TWEAK: Conditionally load TFA block JavaScript

5.2.0 — 10/Jul/2023

• SECURITY: Remove authentication data from the stacktrace before saving to the database. This defect meant that a site administrator had the potential, between releases 5.1.9 to 5.2.0 (which purges the existing data), to know what site users’ passwords are. This information has limited value (an admin can already reset anyone’s password) except insofar as the passwords may be re-used by users on other sites. In that «hostile admin» scenario, your site has other problems (since the hostile admin has a whole raft of equivalent ways of causing mischief to users, especially if not on multisite where a site admin is potentially not a super admin and may not be able to install or configure plugins). This changelog has been expanded in response to incorrect reports which suggested a wider problem (for example, they did not mention that the attacker needs to already be logged in as an admin to read the log, or that upgrading to 5.2.0 deletes the affected data).
• SECURITY: Set tighter restrictions on what subsite admins can do in a multisite.
• ИСПРАВЛЕНО: после редактирования файла сбрасываются исходные разрешения
• FIX: Corrected some broken links in the plugin
• FIX: Fatal error: cannot declare class
• ИСПРАВЛЕНИЕ: нормализация всех аргументов в трассировке стека
• FIX: Wrong login entries added to login activity table on multisite when user logs into subsite they don’t belong to.
• FIX: Too many redirects error for forced logout users solved
• TWEAK: For Cronjob, WP CLI and AIOS_DISABLE_EXTERNAL_IP_ADDR defined constant do not use external services for user IP addresses. Silenced api.ipify.org request failed warning.
• Дополнение: на странице сброса пароля отсутствует перевод и добавлена ​​кнопка создания пароля для переименованной страницы входа в систему
• TWEAK: Added ‘aios_audit_log_event_user_ip’ filter to allow filtering of IP addresses in the audit log
• TWEAK: Added action hook «aios_reset_all_settings» for reset all settings.
• Дополнение: переименована страница входа в систему, на которой теперь есть выпадающий список смены языка, и другие изменения в соответствии с WordPress 6.2

5.1.9 — 09/May/2023

• ДЕТАЛИ: IP-адреса — функциональность менеджера чёрного списка основана на PHP вместо правил .htaccess. Добавлена константа AIOS_DISABLE_BLACKLIST_IP_MANAGER, определите ее в вашем wp-config.php, чтобы отключить менеджер чёрных списков IP-адресов.
• ДЕТАЛИ: обнаружение спам-ботов, запись комментария, полное их удаление или пометка как спам.
• ДЕТАЛИ: шифрование секретных ключей TFA, которые хранятся в базе данных (дополнительная защита на случай взлома базы данных)
• ДЕТАЛИ: для таблицы журнала аудита добавлены массовые действия «Удалить все» и «Удалить отфильтрованное»
• ИСПРАВЛЕНО: предотвращение добавления Cloudflare Turnstile к формам входа, когда учетные данные не заданы
• ИСПРАВЛЕНО: изменение места загрузки обработчика событий журнала аудита, для предотвращения ошибки при удалении плагина
• ИСПРАВЛЕНО: проверки класса контекста для поддержки cli
• НАСТРОЙКА: супер админ мультисайта может получить доступ в консоль дочерних сайтов без повторного входа, если включен salt postfix
• НАСТРОЙКА: файл JavaScript капчи загружается без надобности на страницах сайта, если включена капча комментариев или пользовательская капча для входа в систему
• НАСТРОЙКА: изменены проверки одноразовых номеров, чтобы использовать внутреннюю функцию проверки возможностей пользователя и одноразовых номеров
• НАСТРОЙКА: регистрация пользователей и успешный вход в систему теперь регистрируются в журнал аудита
• НАСТРОЙКА: добавлен класс команд и переработаны обработчики AJAX
• НАСТРОЙКА: проверка капчи для избежания конфликтов с некоторыми плагинами, вызывающими код аутентификации WordPress
• НАСТРОЙКА: улучшение пользовательского интерфейса функции префикса таблиц базы данных.
• НАСТРОЙКА: обновления ядра WordPress теперь регистрируются в журнал аудита
• НАСТРОЙКА: обновления переводов теперь регистрируются в журнал аудита
• НАСТРОЙКА: добавление события изменения объекта в журнал аудита, когда информация об обновлении недоступна
• НАСТРОЙКА: автоматические электронные письма, отправленные AIOS, которые не удалось отправить из-за адреса from

5.1.8 — 11/April/2023

• ИСПРАВЛЕНО: обнаружение 404 — действия по занесению отдельных записей в черный список, удалению, временному блокированию перестали работать в 5.1.7
• ИСПРАВЛЕНО: непредвиденная фатальная ошибка при нулевом ‘set_value’
• ИСПРАВЛЕНО: удалены действия обработчика событий журнала аудита при удалении плагина, чтобы предотвратить ошибку
• ИСПРАВЛЕНО: удалены некоторые обработчики событий журнала аудита при удалении плагина, чтобы предотвратить ошибку
• ИСПРАВЛЕНО: получение правильного пути wp-config при установке в подкаталог
• НАСТРОЙКА: исключение AIOS_Helper::request_remote timed out проигнорировано.
• НАСТРОЙКА: имя класса Requests_IPv6 устарело в WordPress 6.2.
• НАСТРОЙКА: неудачные попытки входа в систему теперь регистрируются в журнал аудита

5.1.7 — 24/March/2023

• ИСПРАВЛЕНИЕ: Предотвращение фатальной ошибки при вызове get_server_detected_user_ip_address(), когда брандмауэр не настроен
• НАСТРОЙКА: уточнить заголовок уведомления консоли и изменить изображение.

5.1.6 — 21/March/2023

• FEATURE: добавлен журнал аудита
• FEATURE: добавьте опцию salt postfix для повышения безопасности вашего сайта
• FEATURE: общая библиотека, которую можно использовать из брандмауэра.
• FIX: переименование ярлыка логина, используемого как wp-login-RANDOM_SUFFIX, показывающего 404 страницу. Решена проблема и очищен код для активации на нескольких сайтах.
• FIX: конфликт дочерней темы Divi — обращение к неопределенной функции et_builder_get_fonts() в functions.php в строке 208 решено.
• FIX: вкладка настроек captcha в multisite установке дочерних сайтов не отображается
• FIX: Cron reschedule event error for hook aios_15_minutes_cron_event if plugin …