В статье рассматриваются восемь наилучших плагинов для повышения безопасности WordPress, у многих из которых есть как бесплатная, так и платная версия с расширенными функциями для защиты от наиболее распространенных угроз
Около трети вебсайтов (37%) работают на WordPress, что делает эту систему управления контентом самой популярной в мире. WordPress используется везде, начиная от блогов и заканчивая интернет магазинами, которые собирают и обрабатывают информацию в соответствии со стандартами навроде PCI DSS. Хотя популярность позитивно влияет на развитие WordPress, но в то же время делает эту систему в качестве приоритетной цели у разного рода злоумышленников, поскольку в случае нахождения уязвимости становятся доступными сразу множество сайтов. Кроме того, плагины и шаблоны еще больше расширяют возможности для атаки.
В этой статье рассматриваются восемь наилучших плагинов для повышения безопасности WordPress, у многих из которых есть как бесплатная, так и платная версия с расширенными функциями для защиты от наиболее распространенных угроз. Однако даже если вы будете пользоваться бесплатными версиями, то серьезно улучшите безопасность вашего сайта.
1. WordFenceWordFence – один из самых популярных плагинов для защиты сайтов на базе WordPress, где доступно множество функций как для защиты, так и восстановления после успешных атак, как, например:
Защита от использования паролей, доступных вследствие утечки данных.
Мониторинг и анализ трафика в режиме реального времени.
Автоматическая блокировка подозрительного/вредоносного трафика и известных вредоносных IP-адресов.
Двухфакторная аутентификация для защиты от атак, где используются скомпрометированные пароли.
Мониторинг исходного кода для идентификации и отката вредоносных правок после атаки.
У WordFence также есть премиум версия, где доступны обновления IP-адресов для блокировки в режиме реального времени, правила фаервола и сигнатуры вредоносов. Кроме того, у владельцев платной версии есть доступ к расширенной поддержке и сервисам для проверки репутации вебсайтов.
Загрузить WordFence
2. BulletProof SecurityBulletProof Security представляет собой плагин для улучшения безопасности со множеством различных функций как в бесплатной, так и в премиальной версии. В бесплатной версии доступны следующие возможности:
Сканер вредоносов.
Встроенный фаерволл.
Защита базы данных и автоматические резервные копии.
Безопасность во время авторизации и мониторинг.
Настройка в один клик.
Безопасность и отслеживание ошибок протокола HTTP.
В расширенной версии есть дополнительные функции, связанные безопасностью исходных кодов и базы данных сайта.
Загрузить BulletProof Security
3. Sucuri SecuritySucuri Security – бесплатный плагин, разработанный компанией Sucuri, которая занимается безопасностью и аудитом. В этом плагине доступны следующие функции:
Мониторинг списков блокировки.
Мониторинг целостности файлов.
Оповещения.
Комплекс мероприятий для восстановления после успешной атаки.
Удаленное сканирование вредоносов.
Аудит безопасности.
Усиление безопасности сайта.
Помимо вышеуказанных функций в бесплатной версии компания Sucuri предлагает фаервол для сайта как часть расширенной поддержки. Также на сайте компании можно найти много полезной информации касаемо безопасности вашего сайта.
Загрузить Sucuri Security
4. iThemes Security (ранее назывался Better WP Security)iThemes Security – плагин с более чем 30 разными функциями для повышения безопасности сайта. В бесплатной версии доступно следующее:
Детектирование ошибки 404.
Блокировка ботов.
Защита от брутфорса.
Резервная копия базы данных.
Оповещения на электронную почту.
Детектирование изменений в файлах.
Сокрытие адресов для авторизации и админки.
Использование надежных паролей.
Блокировка панели управления в нерабочее время.
В расширенной версии есть дополнительные функции, включая поддержку двухфакторной аутентификации, истечение срока действия паролей и отслеживание активности пользователей. Эти возможности значительно облегчают детектирование и реагирование при компрометировании учетных записей в WordPress.
Загрузить iThemes Security
5. SecuPressSecuPress примечателен своим пользовательским интерфейсом. В бесплатной версии доступны следующие функции:
Защита от брутфорса.
Отключение XML-RPC.
Блокировка ботов и IP-адресов.
Фаервол.
Перемещение страницы авторизации.
Отслеживание активности пользователей.
В платной версии доступен встроенный планировщик, что полезно для тех, у кого нет времени выполнять задачи вручную. Помимо автоматизации есть следующие функции:
Резервная копия базы данных и файлов.
Блокировка на базе геолокации.
Сканирование вредоносов на PHP.
Двухфакторная аутентификация.
Загрузить SecuPress
6. All in One WP Security & FirewallAll in One WP Security & Firewall - еще один плагин, у которого есть бесплатная и расширенная версия. Все функции разделены на двенадцать категорий:
Безопасность учетных записей пользователей.
Безопасность авторизации пользователя.
Безопасность регистрации пользователя.
Безопасность базы данных.
Безопасность файловой системы.
Резервная копия и восстановление файлов htaccess и wp-config.php.
Списки блокировки.
Фаервол.
Защита от брутфорса.
Сканер безопасности.
Защита от спама в комментариях.
Защита от копирования текста сайта.
Каждая из вышеуказанных категорий содержит различные функции. Как обычно, в платной и расширенной версии возможностей намного больше.
Загрузить All In One WP Security & Firewall
7. Malcare SecurityMalcare Security позиционирует себя как наипростейший плагин для безопасности. Утверждается, что все настройки можно выполнить за минуту.
Помимо простой установки в этом платном плагине есть несколько полезных функций, включая:
Автоматическое удаление вредоносов.
Защиту от брутфорса.
Встроенный фаервол.
Защиту авторизации при помощи капчи.
Уведомления по электронной почте.
Отслеживание изменений в файлах.
Удаленное сканирование вредоносов.
Службы поддержки.
Усиление безопасности WordPress.
Загрузить Malcare Security
8. DefenderDefender – плагин, используемый в платформе WPMU Dev, в котором доступны следующие функции:
Защита от брутфорса.
Блокировка IP-адресов.
Двухфакторная аутентификация.
Сканирование основных файлов в WordPress.
Расширенная версия плагина доступна в платной подписке платформы WPMU DEV. Кроме дополнительных функций подписка дает доступ к другим премиальным плагинам.
Загрузить Defender
Дополнительные меры безопасности
Помимо упомянутых плагинов следует придерживаться и других зарекомендовавших себя практик в сфере безопасности. Советы, приведенные ниже, помогут вам повысить уровень безопасности сайта на базе WordPress:
Обновляйте WordPress. Разработчики WordPress регулярно выпускают патчи для недавно обнаруженных уязвимостей. Вследствие большой популярности WordPress эти бреши являются основной целью злоумышленников. Следите за обновлениями и всегда пользуйтесь последней версией WordPress.
Обновляйте плагины. Сама платформа WordPress является лишь частью кода, используемого на вашем сайте. В плагинах также могут быть уязвимости, наиболее популярные из которых, используемые многими сайтам, тоже являются лакомой целью злоумышленников. Старайтесь устанавливать обновления сразу же после выхода патчей.
Используйте только надежные плагины. К сожалению, не все плагины являются одинаково полезными, а некоторые даже делаются намеренно со злым умыслом. Используйте плагины от разработчиков с хорошей репутацией.
Используйте нестандартные имена пользователей. Если имя вашего административного аккаунта admin, для получения доступа к сайту злоумышленнику остается подобрать лишь пароль. Старайтесь использовать нестандартные имена пользователей, чтобы затруднить брутфорс.
Используйте сильные пароли. Слабые и повторно используемые пароли негативно влияют на безопасность вашего сайта. Встроенные ограничения на количество неудачных авторизаций не помогут, если пароль слабый, который злоумышленник сможет подобрать с первого раза. Схожая ситуация возникает, если тот же пароль используется в других учетных записях, которые стали доступны после утечки данных. Используйте сильный, длинный и случайный пароль.
Заключение
Хотя в вышеупомянутых плагинах в платных версиях доступно больше функций, даже в бесплатных версиях есть функции, которые помогут серьезно повысить уровень безопасности вашего сайта и защититься от наиболее распространенных угроз.
Сам WordPress далеко не идеален с точки зрения безопасности, и добавление хотя бы одного плагина поможет повысить устойчивость сайта к различным атакам. В платных версиях плагинов есть дополнительные функции, которые в том числе экономят время на ручную настройку, сканирование и восстановление после атаки.
Атаки на WordPress становятся всё более популярны, поэтому следует предприниматься хотя бы базовые меры по защите вашего сайта.
SECURITYLAB.RU