Каждый день огромное количество сайтов подвергаются успешным хакерским атакам. Сайты на WordPress не являются исключением и могут стать легкой мишенью для атаки из-за уязвимости тем и плагинов, слабых паролей и устаревшего программного обеспечения. Поэтому в сегодняшней статье мы решили уделить внимание такой теме, как защита WordPress.
Ранее мы уже писали о защите сайта на WordPress, где говорили о том, что один из способов защитить сайт – использовать специальные плагины безопасности. В этой статье хотим рассмотреть тему таких плагинов чуть подробнее. Мы отобрали 6 плагинов для WordPress, которые смогут защитить сайт от различных хакерских атак, вредоносного программного обеспечения, спамеров и прочих неприятных вещей.
Из статьи вы узнаете:
iThemes Security
Этот плагин предлагает более 30 способов защиты сайта. Работает как с отдельными сайтами, так и с мультисайтами WordPress. Функционал плагина включает:
1. Защиту сайта:
- предотвращает брутфорс-атаки с помощью запрета доступа пользователям с большим количеством неправильных попыток входа на сайт;
- сканирует сайт и предоставляет отчеты о существующих уязвимостях и способах их устранения;
- запрещает доступ ботам и подозрительным пользователям;
- усиливает общую безопасность сервера;
- создает сильные надежные пароли для всех аккаунтов;
- принудительно использует SSL для страниц (если сервер поддерживает);
- распознает и блокирует многочисленные атаки на вашу файловую систему и базу данных.
2. Отслеживание сайта и сообщения об изменениях в файловой системе и базе данных, которые могут указывать на проблему:
- отслеживает ботов и попытки поиска уязвимости сайта;
- отслеживает неавторизованные изменения в файловой системе;
- сканирует сайт на вредоносное программное обеспечение;
- отправляет вам сообщения на электронную почту, когда какой-нибудь пользователь заблокирован за большое количество неправильных попыток входа на сайт или когда файл на вашем сайте изменен.
3. Скрытие типичных уязвимостей в безопасности WordPress:
- изменяет ссылки на панели управления WordPress, включая страницу входа на сайт, администраторскую страницу и прочее;
- полностью выключает возможности входа на сайт в течение заданного времени;
- удаляет сообщения о необходимости обновления тем и плагинов от пользователей, у которых нет прав их обновлять;
- удаляет Windows Live Write и RSD-информацию из заголовков;
- изменяет ID пользователя;
- изменяет префикс базы данных;
- изменяет путь к папке wp-content;
- убирает сообщения о неправильном входе в систему.
4. Создание регулярных резервных копий базы данных, которые позволяют быстро восстановить сайт в случае атаки. Можно создать график копирования и отправки на электронную почту базы данных.
5. Определение 404 ошибок на вашем сайте, которые могут влиять на SEO.
Стоимость: можно пользоваться бесплатно, но есть и платная версия Pro, которая включает в себя дополнительные функции. Их довольно много, вот некоторые из них:
- двухфакторная аутентификация пользователей;
- обновление WordPress salt-ключей и ключей безопасности;
- планировщик сканирования на вредоносные программы;
- настройка максимального срока действия паролей;
- Google reCAPTCHA;
- импорт\экспорт настроек (полезно, если у вас несколько сайтов).
Стоимость Pro-планов:
Blogger – $80 в год, 2 сайта.
Freelancer – $100 в год, 10 сайтов.
Developer – $150 в год, неограниченное количество сайтов.
Plugin Suite – $247 в год, developer-пакет с использованием всех плагинов разработчика.
Официальный сайт – https://ithemes.com/security/. Тут же можно купить платную версию.
Acunetix WP Security
Этот плагин проверяет сайт на различные уязвимости в безопасности и предлагает, как их можно устранить. Это может касаться паролей, прав доступа к файлам, отображения разной важной информации, защиты баз данных и прочего.
Основные возможности:
- поддержка мультисайтов;
- создание резервных копий баз данных;
- удаление сообщения о неправильном входе в систему на странице логина;
- добавление index.php файла в wp-content, wp-content/plugins, wp-content/themes и wp-content/ директорий с целью предотвращения просмотра списка каталогов;
- удаление отображения верcии WordPress отовсюду, кроме админчасти;
- удаление Really Simple Discovery и Windows Live Writer мета тэгов;
- скрытие версии WordPress в панели управления от пользователей, которые не являются администраторами;
- отчет о результатах сканирования сайта;
- отчет о правах доступа файлов после сканирования;
- отслеживание активности на вашем сайте в реальном времени;
- изменение префикса базы данных;
- отключение сообщений об ошибках в базе данных и PHP-ошибках.
Стоимость: бесплатно.
Статья по теме:
BulletProof Security
Защищает сайт от Remote File Inclusion, Code Injection, SQL Injection, XSS, блокирует попытки взлома. Плагин обеспечивает безопасность для настроек, логинов, паролей и других элементов, которые могут быть объектами взлома.
Функционал плагина включает:
- защиту с помощью .htaccess;
- скрытие папки плагинов;
- безопасность входа в систему и его отслеживание;
- автоматическое завершение сессии в случае простоя;
- установку срока действия авторизационного cookie-файла;
- резервное копирование базы данных и его логирование;
- изменение префикса базы данных;
- ведение журнала безопасности;
- логирование HTTP-ошибок;
- режим технического обслуживания для бэкэнда и фронтэнда сайта.
Стоимость: бесплатно. Есть платная версия с дополнительными функциями, например:
- отслеживание файлов в режиме реального времени;
- отслеживание вторжений в базу данных;
- расширенная информация о базе данных;
- файервол-плагин: автоматическое добавление в белый список и обновление IP-адресов в режиме реального времени;
- WordPress-защита от спама и защита от хакеров;
- защита php.ini файла (смотрите также: настройка php.ini).
Полный сравнительный список бесплатной и платной версии вы можете найти на сайте разработчика: https://www.ait-pro.com/bps-features/
Стоимость Bulletproof Security Pro: $59,95 (разовая оплата).
Официальный сайт – http://affiliates.ait-pro.com/
All in One Security and Firewall
Известный плагин для защиты от взлома WordPress. Он включает дополнительные брандмауэры для сайта, предоставляет различные методы защиты и дает по ним отчет.
Настройки файервола этого плагина разделены на три уровня «basic», «intermediate» и «advanced», что позволяет применять правила файервола постепенно, не нарушая работу сайта.
Функций у этого плагина (впрочем, как и у остальных в этой подборке) огромное количество – потянет на отдельную статью. Приведу здесь основные:
1. Защита аккаунтов:
- определяет аккаунт «admin» и предлагает поменять его на другой на ваше усмотрение;
- определяет и сообщает об аккаунтах, в которых логин и имя пользователя совпадают – такие аккаунты взломать легче;
- генерирует сильные пароли.
2. Защита входа в систему и регистраций на сайте:
- опция Login Lockdown – блокирует пользователей за определенное количество неверных попыток входа в систему;
- делает принудительный выход из системы для всех пользователей через установленное время;
- отслеживает активность в аккаунтах всех пользователей путем логирования информации;
- дает отчет о полном списке пользователей, которые выполнили вход в систему на данный момент;
- добавляет captcha в форму логина и форму регистрации;
- позволяет вручную подтверждать каждую новую регистрацию на сайте.
3. Защита базы данных:
- изменяет WP-префикс базы данных на любой другой;
- настраивает автоматическое резервное копирование.
4. Защита файловой системы:
- определяет папки и файлы с небезопасными правами доступа и меняет их на безопасные значения;
- запрещает редактировать файлы с PHP-кодом из администраторской панели управления;
- запрещает доступ к readme.html, license.txt и wp-config-sample.php файлам.
5. Функция файервола позволяет использовать защиту с помощью .htaccess файла. Этот файл обрабатывается вашим веб-сервером еще до обработки любого кода сайта, поэтому правила файервола останавливают вредоносные скрипты еще до того, как у них появится возможность достичь WP-кода.
6. Предотвращение брутфорс-атак.
7. Сканирование безопасности:
- отслеживание файловых изменений и уведомления об этом;
- сканирование таблиц базы данных на подозрительные строки, javascript и html код в базовых таблицах WordPress.
8. Защита от спам-комментариев:
- отслеживание наиболее активных IP, которые постоянно делают спам-комментарии и их блокировка;
- добавление captcha в форму комментариев WordPress.
9. Защита контента от копирования.
Стоимость: бесплатно.
Статья по теме:
Wordfence
Этот плагин безопасности WordPress сразу же после установки запустит автоматическое сканирование, чтобы проверить, не заражен ли уже ваш сайт. Поддерживает WordPress-мультисайты. Основные функции:
1. Файервол:
- защищает от взлома, распознавая вредоносный трафик и блокируя подозрительные попытки вторжения в систему;
- блокирует общие распространенные угрозы безопасности, например, Google-боты, вредоносное сканирование хакерами и ботнеты.
2. Блокировка:
- блокирует целые вредоносные сети. Включает проверку IP и домена при помощи сервиса WHOIS и блокирует вредоносные IP с помощью файервола;
- блокирует такие угрозы, как агрессивные поисковые роботы, скреперы и боты;
- блокирует и контролирует пользователей, которые нарушают правила безопасности на вашем сайте.
3. Безопасность входа на сайт:
- вход в аккаунт с помощью двухфакторной аутентификации;
- позволяет использовать только сложные пароли администраторам и пользователям;
- предотвращает брутфорс-атаки.
4. Сканирование безопасности:
- проверяет сайт на уязвимости типа Heartbleed;
- проверяет базовые файлы, темы и плагины по репозиторию версий WordPress.org на целостность и безопасность;
- позволяет просмотреть изменения в файлах и исправить их, если есть угроза безопасности;
- проверяет на наличие «черных ходов», которые создают дыры в безопасности (C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx и многие другие);
- сканирует на наличие вредоносных программ и фишинговых URL по Google Safe Browsing List во всех ваших комментариях, постах и файлах;
- сканирует на наличие троянских программ, подозрительного кода и прочих угроз.
5. Мониторинг:
- просматривает весь ваш трафик в режиме реального времени и создает отчет о потенциальных угрозах;
- отслеживает безопасность неавторизированных изменений;
- отслеживает дисковое пространство. Много DDoS-атак нацелены на потребление всего дискового пространства, чтобы спровоцировать отказ в работе сервиса.
Стоимость: бесплатно, но есть Премиум версия, которая включает: vip-поддержку, установку графика сканирования, аудит паролей, а также проверку IP-адреса сайта по Spamvertized.
Цена Премиум подписки – $8,25 в месяц. При оплате на год и более предоставляется скидка.
Официальный сайт – https://www.wordfence.com/
Статья по теме:
Sucuri Security
Sucuri Inc – это известная организация, которая занимается вопросами веб-безопасности, со специализацией в WordPress-безопасности.
Плагин Sucuri Security включает следующие возможности:
1. Аудит безопасности.
Отслеживает все события, связанные с безопасностью сайта. Любое изменение, которое может быть квалифицировано как угроза безопасности, плагин записывает. Регистрация действий происходит в SucuriCloud-сервисе для большей сохранности. Это гарантирует, что никто не сможет стереть данные отчетов. Если злоумышленнику удалось обойти систему безопасности вашего сайта, то вся информация о действиях будет сохранена в Sucuri Security Operations Center (SOC).
Эта функция особенно нужна для администраторов сайта и экспертов по безопасности, которым нужно понять, что и когда происходит с сайтом. Можно настроить уведомления о безопасности сайта на email.
2. Контроль целостности файлов.
Плагин проверяет соответствие оригинального (утвержденного) файла с текущим и если он отличается, то возможно безопасность под угрозой. Проверка осуществляется для всех базовых файлов, плагинов и тем.
3. Удаленное сканирование вредоносных программ.
Эта опция осуществляется при помощи инструмента Sucuri, который можно найти на бесплатном сканнере безопасности – SiteCheck.
4. Мониторинг «черного списка».
Плагин проверяет различные «черные списки», включая:
- Sucuri Labs
- Google Safe Browsing
- Norton
- AVG
- Phish Tank
- ESET
- McAfee Site Advisor
- SpamHaus
- Bitdefender
Это одни из самых больших списков, которые содержат сайты с проблемами в безопасности. Если ваш сайт был найден в таком списке, то Sucuri предлагает дополнительную опцию за отдельную плату – помощь в том, чтобы удалить ваш сайт из «черного списка» при помощи Website AntiVirus.
5. Эффективное усиление безопасности.
Плагин обеспечивает безопасность сайта с помощью: защиты .htacess, ограничений доступа к wp-includes папке, проверки ключей безопасности, верификации версии PHP, изменения префикса базы данных, удаления readme.html файла и прочего.
6. Действия по безопасности после взлома.
Если взлом сайта всё же произошел, плагин предложит:
обновить ключи безопасности;
обновить пароли всех пользователей;
обновить плагины.
7. Файервол (дополнительная функция за отдельную плату).
Это определенно лучшая функция, которую предлагает Sucuri. Файервол от:
- DoS и DDoS-атак;
- уязвимостей программного обеспечения;
- брутфорс-атак.
Стоимость: бесплатно, есть платные пакеты от $199 в год.
Официальный сайт – https://sucuri.net/
Советуем использовать именно такие комплексные плагины, позволяющие максимально охватить и покрыть все “дыры” в безопасности WordPress-сайта.
Делайте блог на хостинге с предустановленным WordPress!
Наша теплая поддержка на связи 24/7
А какую защиту для WordPress-сайта используете вы и чем именно она вам нравится?
Читайте также:
