Плагин запрета иностранной авторизации для WordPress и WooCommerce
Первые (Firsts SEO) — RU Auth Compliance Pro — технический плагин для WordPress и WooCommerce, который помогает владельцам российских сайтов убрать рискованные способы авторизации: вход через иностранные OAuth/SSO-сервисы, регистрацию через зарубежные почтовые домены и кнопки social-login от Google, Apple, Facebook, Microsoft и других иностранных провайдеров.
Первые Firsts SEO — RU Auth Compliance Pro — плагин для WordPress, разработанный для сайтов, которым нужно привести авторизацию пользователей к требованиям российского законодательства и убрать вход через иностранные сервисы. Решение особенно актуально для интернет-магазинов, сервисных сайтов, личных кабинетов, форм регистрации, WooCommerce-проектов и сайтов, где пользователи могут создавать аккаунты.
Плагин не подключает Госуслуги, ЕБС или SMS-авторизацию сам по себе. Его задача — закрыть технически рискованные каналы: иностранные OAuth/SSO-провайдеры, регистрацию через иностранные email-домены, вход по Gmail/iCloud/Outlook и отображение кнопок social-login на страницах входа и регистрации.
Что блокирует плагин
Плагин может блокировать авторизацию и регистрацию через Google, Gmail, Apple ID, iCloud, Facebook, Instagram, Microsoft, Outlook, Hotmail, GitHub, GitLab, Discord, Yahoo, LinkedIn, Slack, Okta, Auth0 и другие иностранные OAuth/SSO-сервисы. Дополнительно он проверяет email-домены пользователей и запрещает регистрацию с адресами вида user@gmail.com, user@icloud.com, user@outlook.com, user@yahoo.com и аналогичными иностранными почтовыми доменами.
Для WordPress проверяются стандартная регистрация, вход по email, изменение email в профиле пользователя, REST API и мультисайт-регистрация. Для WooCommerce добавлена отдельная защита регистрации и создания аккаунта при оформлении заказа.
Что разрешено по умолчанию
По умолчанию плагин разрешает российские доменные зоны .ru, .su, .рф, а также популярные российские сервисы: Яндекс, Mail.ru, VK, OK, Rambler, Госуслуги/ЕСИА и ЕБС. Если у компании используется корпоративная почта на домене .com, .net, .org или другой международной зоне, такой домен можно добавить в белый список вручную.
Белые и чёрные списки доменов
В админке есть отдельная вкладка «Домены». Белый список нужен для разрешённых исключений: корпоративных доменов клиента, партнёрских доменов или технических доменов, которые должны проходить проверку. Чёрный список нужен для дополнительных иностранных сервисов, если они не входят во встроенную базу.
Большой список популярных иностранных почтовых сервисов уже встроен в плагин. Поэтому после установки обычно достаточно просканировать пользователей и добавить только реальные корпоративные домены конкретного сайта.
Сканер пользователей
В плагине есть сканер существующих пользователей. Он показывает аккаунты с иностранными или неразрешёнными email-доменами до включения строгого режима. Это важно, чтобы заранее увидеть администраторов, менеджеров, покупателей и старых клиентов, у которых указан Gmail, iCloud, Outlook или другой иностранный email.
Строгий режим для существующих аккаунтов выключен по умолчанию. Это сделано, чтобы после установки сайта не потерять доступ к админке и не заблокировать старых пользователей без предварительной проверки.
Журнал блокировок
Плагин ведёт журнал событий: попытки входа через иностранный OAuth, регистрацию с запрещённой почтой, смену email профиля, REST API-запросы и другие срабатывания. Журнал помогает понять, какой именно механизм сработал и какие домены стоит добавить в белый или чёрный список.
Режим аудита
Перед включением боевой блокировки можно использовать режим аудита. В этом режиме плагин фиксирует события в журнале, но не блокирует пользователей. Это удобно для проверки сайта, особенно если на нём уже есть база клиентов, WooCommerce-заказы или сторонние плагины авторизации.
Для каких сайтов подходит
Плагин подходит для WordPress-сайтов, интернет-магазинов WooCommerce, корпоративных сайтов с личным кабинетом, сервисных проектов, сайтов услуг, обучающих платформ, закрытых разделов, партнёрских кабинетов и любых проектов, где есть регистрация или вход пользователей.
Важное ограничение
Плагин является технической мерой снижения риска и не заменяет юридический аудит. Для полного соответствия требованиям сайта может понадобиться подключить разрешённые способы входа: российский номер телефона, ЕСИА/Госуслуги, ЕБС, Яндекс ID, VK ID, Mail.ru ID или другую российскую систему авторизации.
Установка
Установка выполняется стандартно: загрузить ZIP-архив в разделе «Плагины», активировать его, открыть «Настройки → RU Auth Compliance», просканировать пользователей, проверить белый список доменов и отключить иностранные social-login-провайдеры внутри сторонних плагинов, если они установлены.
Автор/Разработка: Павел Бородин, Первые — Firsts.
Скачать плагин RU Auth Compliance Pro
