6 лучших плагинов для защиты сайта на WordPress

Каждый день огромное количество сайтов подвергаются успешным хакерским атакам. Сайты на WordPress не являются исключением и могут стать легкой мишенью для атаки из-за уязвимости тем и плагинов, слабых паролей и устаревшего программного обеспечения. Поэтому в сегодняшней статье мы решили уделить внимание такой теме, как защита WordPress.

плагины безопасности wordpress

Ранее мы уже писали о защите сайта на WordPress, где говорили о том, что один из способов защитить сайт — использовать специальные плагины безопасности. В этой статье хотим рассмотреть тему таких плагинов чуть подробнее. Мы отобрали 6 плагинов для WordPress, которые смогут защитить сайт от различных хакерских атак, вредоносного программного обеспечения, спамеров и прочих неприятных вещей.

iThemes Security

плагин для защиты wordpress

Этот плагин предлагает более 30 способов защиты сайта. Работает как с отдельными сайтами, так и с мультисайтами WordPress. Функционал плагина включает:

1. Защиту сайта:

  • предотвращает брутфорс-атаки с помощью запрета доступа пользователям с большим количеством неправильных попыток входа на сайт;
  • сканирует сайт и предоставляет отчеты о существующих уязвимостях и способах их устранения;
  • запрещает доступ ботам и подозрительным пользователям;
  • усиливает общую безопасность сервера;
  • создает сильные надежные пароли для всех аккаунтов;
  • принудительно использует SSL для страниц (если сервер поддерживает);
  • распознает и блокирует многочисленные атаки на вашу файловую систему и базу данных.

2. Отслеживание сайта и сообщения об изменениях в файловой системе и базе данных, которые могут указывать на проблему:

  • отслеживает ботов и попытки поиска уязвимости сайта;
  • отслеживает неавторизованные изменения в файловой системе;
  • сканирует сайт на вредоносное программное обеспечение;
  • отправляет вам сообщения на электронную почту, когда какой-нибудь пользователь заблокирован за большое количество неправильных попыток входа на сайт или когда файл на вашем сайте изменен.

3. Скрытие типичных уязвимостей в безопасности WordPress:

  • изменяет ссылки на панели управления WordPress, включая страницу входа на сайт, администраторскую страницу и прочее;
  • полностью выключает возможности входа на сайт в течение заданного времени;
  • удаляет сообщения о необходимости обновления тем и плагинов от пользователей, у которых нет прав их обновлять;
  • удаляет Windows Live Write и RSD-информацию из заголовков;
  • изменяет ID пользователя;
  • изменяет префикс базы данных;
  • изменяет путь к папке wp-content;
  • убирает сообщения о неправильном входе в систему.

4. Создание регулярных резервных копий базы данных, которые позволяют быстро восстановить сайт в случае атаки. Можно создать график копирования и отправки на электронную почту базы данных.

5. Определение 404 ошибок на вашем сайте, которые могут влиять на SEO.

Стоимость: можно пользоваться бесплатно, но есть и платная версия Pro, которая включает в себя дополнительные функции. Их довольно много, вот некоторые из них:

  • двухфакторная аутентификация пользователей;
  • обновление WordPress salt-ключей и ключей безопасности;
  • планировщик сканирования на вредоносные программы;
  • настройка максимального срока действия паролей;
  • Google reCAPTCHA;
  • импорт\экспорт настроек (полезно, если у вас несколько сайтов).

Стоимость Pro-планов:
Blogger – $80 в год, 2 сайта.
Freelancer – $100 в год, 10 сайтов.
Developer – $150 в год, неограниченное количество сайтов.
Plugin Suite – $247 в год, developer-пакет с использованием всех плагинов разработчика.

Официальный сайт — https://ithemes.com/security/. Тут же можно купить платную версию.

Acunetix WP Security

плагин защиты админки wodpress

Этот плагин проверяет сайт на различные уязвимости в безопасности и предлагает, как их можно устранить. Это может касаться паролей, прав доступа к файлам, отображения разной важной информации, защиты баз данных и прочего.

Основные возможности:

  • поддержка мультисайтов;
  • создание резервных копий баз данных;
  • удаление сообщения о неправильном входе в систему на странице логина;
  • добавление index.php файла в wp-content, wp-content/plugins, wp-content/themes и wp-content/ директорий с целью предотвращения просмотра списка каталогов;
  • удаление отображения верcии WordPress отовсюду, кроме админчасти;
  • удаление Really Simple Discovery и Windows Live Writer мета тэгов;
  • скрытие версии WordPress в панели управления от пользователей, которые не являются администраторами;
  • отчет о результатах сканирования сайта;
  • отчет о правах доступа файлов после сканирования;
  • отслеживание активности на вашем сайте в реальном времени;
  • изменение префикса базы данных;
  • отключение сообщений об ошибках в базе данных и PHP-ошибках.

Стоимость: бесплатно.

BulletProof Security

защита wordpress от хакеров

Защищает сайт от Remote File Inclusion, Code Injection, SQL Injection, XSS, блокирует попытки взлома. Плагин обеспечивает безопасность для настроек, логинов, паролей и других элементов, которые могут быть объектами взлома.

Функционал плагина включает:

  • защиту с помощью .htaccess;
  • скрытие папки плагинов;
  • безопасность входа в систему и его отслеживание;
  • автоматическое завершение сессии в случае простоя;
  • установку срока действия авторизационного cookie-файла;
  • резервное копирование базы данных и его логирование;
  • изменение префикса базы данных;
  • ведение журнала безопасности;
  • логирование HTTP-ошибок;
  • режим технического обслуживания для бэкэнда и фронтэнда сайта.

Стоимость: бесплатно. Есть платная версия с дополнительными функциями, например:

  • отслеживание файлов в режиме реального времени;
  • отслеживание вторжений в базу данных;
  • расширенная информация о базе данных;
  • файервол-плагин: автоматическое добавление в белый список и обновление IP-адресов в режиме реального времени;
  • WordPress-защита от спама и защита от хакеров;
  • защита php.ini файла (смотрите также: настройка php.ini).

Полный сравнительный список бесплатной и платной версии вы можете найти на сайте разработчика: https://www.ait-pro.com/bps-features/

Стоимость Bulletproof Security Pro: $59,95 (разовая оплата).
Официальный сайт — http://affiliates.ait-pro.com/

All in One Security and Firewall

защита сайта вордпресс

Известный плагин для защиты от взлома WordPress. Он включает дополнительные брандмауэры для сайта, предоставляет различные методы защиты и дает по ним отчет.

Настройки файервола этого плагина разделены на три уровня «basic», «intermediate» и «advanced», что позволяет применять правила файервола постепенно, не нарушая работу сайта.

Функций у этого плагина (впрочем, как и у остальных в этой подборке) огромное количество — потянет на отдельную статью. Приведу здесь основные:

1. Защита аккаунтов:

  • определяет аккаунт «admin» и предлагает поменять его на другой на ваше усмотрение;
  • определяет и сообщает об аккаунтах, в которых логин и имя пользователя совпадают — такие аккаунты взломать легче;
  • генерирует сильные пароли.

2. Защита входа в систему и регистраций на сайте:

  • опция Login Lockdown — блокирует пользователей за определенное количество неверных попыток входа в систему;
  • делает принудительный выход из системы для всех пользователей через установленное время;
  • отслеживает активность в аккаунтах всех пользователей путем логирования информации;
  • дает отчет о полном списке пользователей, которые выполнили вход в систему на данный момент;
  • добавляет captcha в форму логина и форму регистрации;
  • позволяет вручную подтверждать каждую новую регистрацию на сайте.

3. Защита базы данных:

  • изменяет WP-префикс базы данных на любой другой;
  • настраивает автоматическое резервное копирование.

4. Защита файловой системы:

  • определяет папки и файлы с небезопасными правами доступа и меняет их на безопасные значения;
  • запрещает редактировать файлы с PHP-кодом из администраторской панели управления;
  • запрещает доступ к readme.html, license.txt и wp-config-sample.php файлам.

5. Функция файервола позволяет использовать защиту с помощью .htaccess файла. Этот файл обрабатывается вашим веб-сервером еще до обработки любого кода сайта, поэтому правила файервола останавливают вредоносные скрипты еще до того, как у них появится возможность достичь WP-кода.

6. Предотвращение брутфорс-атак.

7. Сканирование безопасности:

  • отслеживание файловых изменений и уведомления об этом;
  • сканирование таблиц базы данных на подозрительные строки, javascript и html код в базовых таблицах WordPress.

8. Защита от спам-комментариев:

  • отслеживание наиболее активных IP, которые постоянно делают спам-комментарии и их блокировка;
  • добавление captcha в форму комментариев WordPress.

9. Защита контента от копирования.

Стоимость: бесплатно.

Wordfence

защита вордпресс

Этот плагин безопасности WordPress сразу же после установки запустит автоматическое сканирование, чтобы проверить, не заражен ли уже ваш сайт. Поддерживает WordPress-мультисайты. Основные функции:

1. Файервол:

  • защищает от взлома, распознавая вредоносный трафик и блокируя подозрительные попытки вторжения в систему;
  • блокирует общие распространенные угрозы безопасности, например, Google-боты, вредоносное сканирование хакерами и ботнеты.

2. Блокировка:

  • блокирует целые вредоносные сети. Включает проверку IP и домена при помощи сервиса WHOIS и блокирует вредоносные IP с помощью файервола;
  • блокирует такие угрозы, как агрессивные поисковые роботы, скреперы и боты;
  • блокирует и контролирует пользователей, которые нарушают правила безопасности на вашем сайте.

3. Безопасность входа на сайт:

  • вход в аккаунт с помощью двухфакторной аутентификации;
  • позволяет использовать только сложные пароли администраторам и пользователям;
  • предотвращает брутфорс-атаки.

4. Сканирование безопасности:

  • проверяет сайт на уязвимости типа Heartbleed;
  • проверяет базовые файлы, темы и плагины по репозиторию версий WordPress.org на целостность и безопасность;
  • позволяет просмотреть изменения в файлах и исправить их, если есть угроза безопасности;
  • проверяет на наличие «черных ходов», которые создают дыры в безопасности (C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx и многие другие);
  • сканирует на наличие вредоносных программ и фишинговых URL по Google Safe Browsing List во всех ваших комментариях, постах и файлах;
  • сканирует на наличие троянских программ, подозрительного кода и прочих угроз.

5. Мониторинг:

  • просматривает весь ваш трафик в режиме реального времени и создает отчет о потенциальных угрозах;
  • отслеживает безопасность неавторизированных изменений;
  • отслеживает дисковое пространство. Много DDoS-атак нацелены на потребление всего дискового пространства, чтобы спровоцировать отказ в работе сервиса.

Стоимость: бесплатно, но есть Премиум версия, которая включает: vip-поддержку, установку графика сканирования, аудит паролей, а также проверку IP-адреса сайта по Spamvertized.

Цена Премиум подписки – $8,25 в месяц. При оплате на год и более предоставляется скидка.

Официальный сайт — https://www.wordfence.com/

Sucuri Security

плагин для защиты wordpress

Sucuri Inc – это известная организация, которая занимается вопросами веб-безопасности, со специализацией в WordPress-безопасности.

Плагин Sucuri Security включает следующие возможности:

1. Аудит безопасности.
Отслеживает все события, связанные с безопасностью сайта. Любое изменение, которое может быть квалифицировано как угроза безопасности, плагин записывает. Регистрация действий происходит в SucuriCloud-сервисе для большей сохранности. Это гарантирует, что никто не сможет стереть данные отчетов. Если злоумышленнику удалось обойти систему безопасности вашего сайта, то вся информация о действиях будет сохранена в Sucuri Security Operations Center (SOC).

Эта функция особенно нужна для администраторов сайта и экспертов по безопасности, которым нужно понять, что и когда происходит с сайтом. Можно настроить уведомления о безопасности сайта на email.

2. Контроль целостности файлов.
Плагин проверяет соответствие оригинального (утвержденного) файла с текущим и если он отличается, то возможно безопасность под угрозой. Проверка осуществляется для всех базовых файлов, плагинов и тем.

3. Удаленное сканирование вредоносных программ.
Эта опция осуществляется при помощи инструмента Sucuri, который можно найти на бесплатном сканнере безопасности — SiteCheck.

4. Мониторинг «черного списка».
Плагин проверяет различные «черные списки», включая:

  • Sucuri Labs
  • Google Safe Browsing
  • Norton
  • AVG
  • Phish Tank
  • ESET
  • McAfee Site Advisor
  • Yandex
  • SpamHaus
  • Bitdefender

Это одни из самых больших списков, которые содержат сайты с проблемами в безопасности. Если ваш сайт был найден в таком списке, то Sucuri предлагает дополнительную опцию за отдельную плату – помощь в том, чтобы удалить ваш сайт из «черного списка» при помощи Website AntiVirus.

5. Эффективное усиление безопасности.
Плагин обеспечивает безопасность сайта с помощью: защиты .htacess, ограничений доступа к wp-includes папке, проверки ключей безопасности, верификации версии PHP, изменения префикса базы данных, удаления readme.html файла и прочего.

6. Действия по безопасности после взлома.
Если взлом сайта всё же произошел, плагин предложит:
обновить ключи безопасности;
обновить пароли всех пользователей;
обновить плагины.

7. Файервол (дополнительная функция за отдельную плату).
Это определенно лучшая функция, которую предлагает Sucuri. Файервол от:

  • DoS и DDoS-атак;
  • уязвимостей программного обеспечения;
  • брутфорс-атак.

Стоимость: бесплатно, есть платные пакеты от $199 в год.

Официальный сайт — https://sucuri.net/

Советуем использовать именно такие комплексные плагины, позволяющие максимально охватить и покрыть все “дыры” в безопасности WordPress-сайта.

Выбрать хостинг для WordPress-сайта

А какую защиту для WordPress-сайта используете вы и чем именно она вам нравится?

Читайте также:

Евгения

Автор блога HOSTiQ. "Я не сумасшедший, просто моя реальность отличается от твоей".
Понравилась статья? Оставь свой голос!
  • OlegNesterov

    Полезная статья! После того как одновременно взломали два сайта, причем с разностью в несколько минут. Взлом был обнаружен с помощью панели google webmaster, там добавился левый пользователь, и пришло сообщение на емейл. В корне сайта появились две папки, в одно xml файлы с ссылками на страницы подгруженые на сайт, на одной была гитара)))) с описанием на иероглифах, возможно китайский, а в другой еще что то, не стал разбираться.

    Откатил файлы через панель хостера на две недели назад, и занялся безопасностью своих сайтов. Кстати JETPACK не спас, туфта.

    Почитал вашу статью, остановился на бесплатном «All in One Security and Firewall», в принципе в настройках все понятно, админку прятать умеет, htaccess тоже заполняет сам, блочит попытки перебора по ip (по крайней мере заявленно). В общем поставил на все сайт (3 шт), будем посмотреть!))) Спасибо!

    • Олег, рада, что статья была для Вас полезной! Безопасность сайта действительно важна, но некоторые не придают этому значения, а потом удивляются, почему их сайт взломали:)