»  Безопасность  »  8 Лучших плагинов защиты Вордпресс

8 Лучших плагинов защиты Вордпресс

Последнее обновление:

Лучшие плагины защиты ВордпрессКаждый третий сайт в интернете работает на Вордпрессе, и их количество постоянно растет.

Эта популярность объясняется тем, что Вордпресс — очень хорошая система управления контентом. Но по умолчанию в ней нет никакой защиты от взлома.

Около 80% атак на CMS приходится на Вордпресс. Хакеры считают, что если получить контроль над одним сайтом, то таким же образом можно получить контроль над большим количеством сайтов, что в принципе логично. Сейчас на Вордпрессе работает более 100 млн. сайтов.

Хакеры используют ботов, которые обходят Вордпресс сайты с готовыми алгоритмами взлома. Если у вас нет от них защиты, то это лишь вопрос времени, когда такой бот придет на ваш сайт и взломает его по списку известных уязвимостей.

А если ваш сайт представляет интерес для хакера, то он придет и попробует взломать его вручную. Для защиты от ручного взлома вам потребуются более продвинутые способы защиты.

Безопасность сайта — важная основа любого сайта. В этой статье обзор 8 лучших плагинов безопасности Вордпресс. Выберите один из плагинов и установите на сайт.

Содержание:

  1. Sucuri Security
  2. Cloudflare
  3. Wordfence Security
  4. iThemes Security
  5. SiteLock
  6. Security Ninja
  7. All in One WP Security & Firewall
  8. BulletProof Security

У многих из этих плагинов есть файрвол. Файрволы бывают разных типов, и эти плагины используют разные типы файрволов.

Что такое Файрвол

Файрвол / Брандмауэр (WAF — web application firewall) работает как фильтр между сайтом и входящим трафиком. Файрвол наблюдает за трафиком и блокирует вредоносный код до того, как он попадет на сайт.

Существует три типа файрволов:

Файрвол на уровне DNS проводит весь трафик сайта через свой сервер. Плохой трафик фильтруется, хороший трафик проходит на сайт.

Файрвол на уровне сервера обычно представляет собой программу в ПО сервера, либо «фильтр» из набора типичных выражений или паттернов кода, которые часто используют хакеры. Этот тип файрвола эффективен и наименее ресурсозатратен.

Файрвол на уровне приложения (т.е. плагина) проверяет входящий трафик на вашем сайте, но до загрузки большинства скриптов Вордпресс. Обычно является комбинацией программы, которая обрабатывает трафик и набора типичных выражений и паттернов, которые используют хакеры, плюс интерфейс с данными наблюдения. Такой метод более ресурсозатратен, потому что нагрузка на обработку трафика и показ данных ложится на ваш сервер.

Лучше использовать файрвол на уровне DNS, потому что отдельный специально настроенный сервер занимается фильтрацией трафика, но это платная функция.

Файрвол на уровне приложения — более дешевый, но тоже платный вариант, который потребляет довольно много ресурсов на обработку и отображение данных.

Файрвол на уровне сервера эффективен, наименее ресурсозатратен, но не сообщает, если происходит какое-то событие, например, изменение в файлах или атака.

В конце статьи вы узнаете, как можно использовать несколько плагинов.

1. Sucuri

Sucuri Security — компания лидер по обеспечению безопасности Вордпресс сайтов. Сервис предлагает файрвол на уровне DNS, защиту от атак и внедрений вредоносного кода и удаление сайта из черных списков.

Весь трафик, идущий на сайт, проходит через их облачный прокси сервер, где проверяется каждый запрос к сайту. Безопасные запросы проходят к сайту, вредоносные запросы блокируются на их сервере.     

Сукури увеличивает производительность сайта, потому что уменьшается нагрузка на ваш сервер. Вашему серверу не приходится обрабатывать вредоносные запросы, в результате освободишиеся ресурсы используются на хороший трафик.

Платная версия защищает сайт от SQL-инъекций, XSS атак, RCE, RFU, троянов, бэкдоров и всех других известных угроз. Кроме этого, платная версия сервиса оптимизирует содержимое страниц и кеширует их на собственный CDN Anycast.

Чтобы настроить Сукури надо добавить A-записи на своем домене и направить их на облачный прокси сервер Сукури вместо своего сайта. 

Бесплатная версия имеет несколько ограниченную защиту.

Цена: Начинается со 199$ / год. Всё-в-одном. Лучшая платная защита сайта.

2. Cloudflare

Cloudflare хорошо известен своим бесплатным CDN сервисом, который также включает базовую защиту от DDoS атак. Но их бесплатный тариф не включает файрвол. Чтобы подключить WAF, нужно купить Pro подписку. 

Базовую защиту от атак обеспечивает файрвол на уровне DNS, который проверяет весь трафик на своих серверах. Это увеличивает защиту и производительность сайта.

Оптимизация и кеширование страниц на CDN ускоряет загрузку сайта. Распределенная сеть уменьшает вероятность отказа сервера на пиках нагрузки.

Тариф Pro включает защиту от DDoS атак третьего уровня и стоит 20$ в месяц. Для защиты от более продвинутых атак уровня 5 или 7 нужно оплатить подписку на тариф Business.

Недостатки Cloudflare в том, что у него нет сканирования сайта, удаления сайта из черных списков, нет наблюдения за изменением файлов на сайте и оповещения о таких изменениях, нет некоторых других стандартных методик защиты сайта.

Лучшее решение по производительности, условно хорошее по безопасности.

Цена: Начинается с 20$ / месяц.

3. Wordfence Security

Wordfence — популярный плагин безопасности Вордпресс со встроенным файрволом, который наблюдает за появлением на сайте вредоносного кода, наблюдает за изменениями в файлах, SQL-инъекциями, защищает сайт от DDoS, брут-форс и других видов атак.

Wordfence — файрвол уровня сервера и приложения, то есть часть вредоносного трафика блокируется на сервере, часть — на сайте.

Это эффективный способ борьбы с атаками на сайт, но в итоге довольно ресурсозатратный. Также у Wordfence нет сети CDN.

У плагина есть проверка сайта по запросу и по расписанию, возможность вручную контролировать трафик и блокировать подозрительные IP прямо в панели Вордпресс.

В бесплатной версии файрвол обновляется через 30 дней после занесения угрозы в базу плагина. Для включения онлайн обновлений нужно оформить Премиум подписку.

Мое личное мнение — плагин несколько сложный и запутанный, для освоения потребуется некоторое время.

Цена: Премиум версия начинается с 99$ / год за лицензию на 1 сайт. Хорошие скидки на лицензии для нескольких сайтов.

4. iThemes Security

iThemes Security — плагин из тройки лидеров, у которого есть база с последними хаками, бэкдорами и другими угрозами.

В бесплатной версии у плагина есть базовые настройки для защиты незараженного сайта, но если вы хотите знать, когда файлы изменялись и делать подробный скан сайта, вам нужно купить премиум версию.

Еще одна крутая функция платной версии — бэкап сайта. Если вы узнали, что сайт был взломан, вместо поиска взлома вы можете восстановить более раннюю версию сайта.

Цена: Начинается с 80$ / год за тариф Blogger.

5. SiteLock

SiteLock еще одна компания, которая предлагает DNS файрвол для защиты сайта от атак, сканирование сайта на вредоносный код и удаление вредоносного кода с сайта. 

Для защиты и ускорения загрузки сайта SiteLock предлагает DNS файрвол и свою сеть CDN. Сервис предлагает ежедневное сканирование сайта, наблюдение за изменениями в файлах, оповещение о событиях и удаление вредоносного кода.

Все тарифы включают базовую защиту от DDoS атак, более продвинутая защита от DDoS атак доступна в качестве аддона. На сайте вы можете разместить фирменный банер, на котором написано, что сайт защищен SiteLock.  

Цена: Начинается с 20$ / месяц за тариф Pro, и 200$ / месяц за тариф Business.

6. Security Ninja

Очень хороший плагин безопасности, который подключается к базе вредоносных IP. В базе находится более 600 млн. вредоносных адресов, которым можно полностью запретить вход на сайт, либо запретить только возможность авторизоваться.

У плагина много настроек для защиты сайта от разных видов атак, включая брут-форс атаки, атаки на базу данных, на устаревшие версии ПО и так далее. 

Есть 2 сканера по расписанию: сравнение файлов ядра с файлами в репозитарии Вордпресс и сканирование файлов на вредоносный код. Также есть логи событий, оповещение на е-мейл и оптимизация базы данных.

По сравнению с предыдущим плагином настраивается интуитивно.

Цена: Премиум версия начинается с 39$ / год за лицензию на 1 сайт. Лицензия на 1 сайт с лайф-тайм обновлениями стоит 89$.

Наверное, самый дешевый и в то же время эффективный премиум-плагин.

7. All in One WP Security & Firewall

Большой бесплатный плагин со множеством настроек, имеет встроенный файрвол на уровне сервера, защищает файлы сайта и базу данных. 

Меняет стандартную страницу авторизации, скрывает версию Вордпресс, меняет префикс базы данных и еще десятки других функций. Ко всем функциям есть описания.

Плагин скорее предназначен для предупреждения заражений, чем для лечения, поэтому его лучше устанавливать на свежий сайт. На мой взгляд, лучший бесплатный плагин.

В платной версии добавляется сканер сайта на наличие вредоносного ПО, проверка на нахождение сайта в черных списках поисковиков, сообщения на е-мейл о событиях сайта, ап-тайм сайта, очистка от заражений и удаление из черных списков.

Цена: Премиум версия начинается с 49,95$ / год за лицензию на 1 сайт. 

8. BulletProof Security

Еще один популярный плагин безопасности для Вордпресс, у которого есть файрвол на уровне сайта, защита страницы авторизации, бэкап базы данных, режим техобслуживания сайта и некоторые настройки для увеличения безопасности сайта. 

У плагина несколько сложный интерфейс, но в нем есть Мастер установки, который помогает настроить плагин и включает файрвол. 

В бесплатной версии плагина нет сканера файлов на заражение вредоносным кодом, в платной версии добавляется функция отслеживания вторжений и вредоносных файлов в папке .../uploads/

Цена: Бесплатная базовая версия плагина. Версия Pro стоит 59,95$ на неограниченное количество сайтов и life-time обновления. 

Заключение

Чем лучшую защиту предлагает сервис или плагин, тем дороже он стоит. Самую лучшую защиту и самый лучший сервис предлагает Sucuri: комплексная защита сайта, обработка всех входящих запросов на сервере Сукури, сеть CDN и гарантия бесплатного лечения сайта в случае, если сайт взломают. 

Cloudflare больше специализируется на ускорении сайта, но предлагает хороший уровень защиты, который можно усилить каким-нибудь плагином.

Wordfence предлагает хорошую защиту, но из минусов — годовая подписка и файрвол на уровне сайта, который будет нагружать сервер.

У плагина Security Ninja есть 2 сканера c расписанием сканирования, оповещение на емейл, подключение к динамической базе вредоносных IP и много других пассивных настроек.

К этим настройкам можно добавить несколько настроек вручную и усилить плагин до уровня хороших платных плагинов.

All in One WordPress Security — хороший бесплатный плагин, но в нем нет сканера сайта, нет расписания и оповещений на емейл. Все это находится в платной версии.

У всех плагинов есть свои плюсы и минусы. Как вариант, несколько плагинов можно объединить, но некоторые из них могут работать вместе, а некоторые — нет.

Приглашаю вас на курс, в котором вы настроите безопасность Вордпресс с помощью нескольких плагинов и нескольких ручных настроек, которые дополняют друг друга и используют файрволы всех трёх типов: Безопасность Вордпресс за 2 вечера.

Читайте также:

  1. Минимальная безопасность Вордпресс
  2. Подробное руководство по безопасности Вордпресс
  3. Бэкап сайта. Подробное описание

Надеюсь, статья была полезна. Оставляйте комментарии.

Поделиться в facebook
Поделиться в vk
Поделиться в email
Поделиться в telegram
Поделиться в whatsapp

Комментарии:

  1. Краткий обзор плагина безопасности Wordfence Security.

    Настройка:
    — если есть элементарные знания по защите и отличные знания английского языка (т.к. меня нет глубоких знаний английского языка, я просто перевел файл *.po), то программу можно настроить. И есть очень хорошая страница Help.
    — не очень понял Learning Mode (режим обучения), я недолго думая включил режим Enabled and Protecting (Включить и защищать).

    Firewall (защита):
    Wordfence включает в себя брандмауэр веб-приложений (WAF), который выявляет и блокирует вредоносный трафик. Он работает в конечной точке, обеспечивая глубокую интеграцию с WordPress. В отличие от облачных альтернатив, он не нарушает шифрование, не может быть обойден и не может пропускать данные. Интегрированный сканер вредоносных программ блокирует запросы, содержащие вредоносный код или контент.
    Но потребляет много оперативной памяти, при почти нулевой загрузке сайта (карантин) у меня на сервере поднималось до 325МБ.
    Большое количество настроек по Rate Limiting (Ограничению уровня защиты)

    Blocking (блокировка):
    Можно блокировать как IP, так и страны.
    Интересная настройка: Как долго блокируется IP-адрес, когда он нарушает правило, по умолчанию 5 мин.
    Есть отличная опция «Немедленно заблокируйте фальшивые поисковые роботы Google».
    Плагин определяет Человек или Бот зашел на сайт, но мне кажется, ошибается.
    При блокировке стран, обратите внимание, что если вы используете Google Ads (ранее Google AdWords) на своем сайте, вы можете получить штраф от Google за блокировку доступа к вашему сайту.
    У меня за 5 дней система заблокировала только 40.71.219.13 microsoft.com – 10 раз.

    Scan (сканирование):
    Сканер отличный, — проверяет от Есть ли этот сайт в черном списке доменов до Сканирования содержимого файлов на наличие вредоносных URL. 23 функции!
    При включении Все, потребляет много ресурсов, у меня до 486МБ.
    Но есть огромное количество настроек сканирования и можно выбрать, только-то, что Вы хотите сканировать и когда сканировать.
    Многие специалисты предлагают устанавливать плагин Wordfence Security, только ради сканера, а остальные опции отключать.

    Tools (инструменты):
    — Live Traffic (живой трафик), показывает вам, что происходит на вашем сайте в режиме реального времени, включая логины пользователей, попытки взлома и запросы, которые были заблокированы брандмауэром Wordfence
    — Diagnostics, показывает информацию, которую можно использовать для устранения неполадок, конфликтов, проблем конфигурации или совместимости с другими плагинами, темами или средой хоста.

    Login Security (защита входа в систему):
    Двухфакторная аутентификация (Two-Factor Authentication) только для мобильного телефона. Мне такое не очень нравиться, т.к. в своем телефоне, я не храню пароли, аккаунты и т.п.

    All Options (все параметры), наверное, с этой вкладки надо начинать настройку плагина Wordfence Security.
    На все настраиваемые опции дается ссылка на подробное и толковое объяснение.

    Отличная стр. Help (помощь)

    База данных:
    Если плагин iThemes Security добавил 10 таблиц, а Wordfence Security уже создал 21 таблицу.

    Появилось относительно много Исходящих соединений…

    Плагин Wordfence Security очень приличный, но требует побольше RAMа.

    Ответить
  2. Мой краткий обзор плагина безопасности iThemes Security.

    Есть меню рекомендуемой первичной установки «Проверка безопасности (Security Check)», но после этого надо зайти во все карточки (35 шт.) и проверить настройки.
    Каточек много и как по мне не очень удобно, — можно и забыть куда заходил, а куда нет.

    Сканирование – используют сканер https://ithemes.com/sitecheck. Но на сайт sucuri можно зайти и без плагина iThemes Security…

    Черный список IP- адресов – взят на сайте https://hackrepair.com/articles/website-security/how-to-block-bots-from-seeing-your-website-bad-bots-and-drive-by-hacks-explained. Можно и самостоятельно скачать и добавить в файл .htaccess…

    Очень интересная функция Режим «Нет на месте» (Away Mode). Есть два варианта, ежедневно или один раз. Например, можно заблокировать вход в админ. каждый день с 18:00 до 9:00, или закрыть вход на несколько дней.

    Есть, обязательный набор для любого плагина безопасности, такие функции как, блокировка IP, защита от грубой силы, обнаружение стр. 404, резервные копии базы данных и т.д.

    Блокировка 403 и 404 требует кропотливой и профессиональной настройки.

    За два дня iThemes Security не заблокировал ни один IP, следил за семью адресами…

    Функция отчета по оценке (Enable Grade Report). Есть кнопка «Решить все проблемы», но на 100% iThemes Security, сам выйти не может.

    Есть нужное и интересное, но только в Pro версии:
    Логин без пароля
    reCAPTCHA
    Планирование проверки на вредоносный код
    Панель управления безопасности
    Двухфакторная аутентификация
    Волшебная ссылка (Magic Links)
    Требования к паролю безопасности

    Любителей статистики ждут большие разочарования – нет хороших графиков, диаграмм и т.п. Есть информационная панель, но только в Pro версии, но как по мне очень не информативная.

    Как по мне, есть не нужная функция Атомическое обновление для WordPress, тем и плагинов.

    Очень хорошая страница на сайте iThemes Help Center, с подробным описанием практически все функций.

    Ответить
  3. Дмитрий,
    1. интересно Ваше мнение о плагине iThemes Security.

    2. У плагинов Wordfence Security и iThemes Security файрвол уровня сайта…
    Я встречал мнение, что iThemes Security для больших сайтов, а Wordfence Security для маленьких сайтов.

    3. Плагины безопасности потребляют много оперативной памяти?

    Ответить
    • Здравствуйте, Сергей,

      1. Это хороший плагин, но лично мне он не нравится.
      Мне не нравится его интерфейс, и я считаю, что в бесплатной версии слишком мало функций.
      Я думаю, что бесплатный iThemes Security раза в 4 меньше бесплатной версии Wordfence.
      В платной версии это хороший плагин.

      2. Я не слышал такого мнения, и я с ним не соглашусь.
      Скорее бесплатный iThemes Security для маленьких сайтов, потому что у него мало настроек.

      3. Сканеры потребляют довольно много. Все, что активно, что делает расчеты, потребляет относительно много.
      Правила для .htaccess, которые отсеивают плохие IP и вредоносные запросы очень экономичные.

      Ответить
      • Получается, что желательно не включать сканирование вредоносных программ по расписанию, а сканировать 1-2 раза в неделю.
        Не включать на постоянной основе Функцию (Grade Report) отчета об эффективности настроек безопасности. Не включать проверку пользователей, тем более, я один администратор.
        Наверное, желательно отключить все не нужное, — которое что-то анализирует.

        Закончу переводы iThemes Security и Wordfence и займусь тестированием.
        Времени свободного сейчас много. И не надо ночью сидеть — посетителей на сайте (учебная тематика) практически нет.

        Ответить
        • Верно, но не забывайте о балансе.
          Найдите такое соотношение, при котором сайт защищен и ресурсы использованы оптимально.
          Сканировать 1-2 раза в неделю — все-таки маловато, и во-вторых соотнесите с частотой бэкапа.
          Если сканер что-то найдет через неделю, а у вас последний бэкап 4 дня назад?

          Grade report может быть вообще не нужен.

          Могли бы написать, что узнали по результатам тестирования?

          Ответить
  4. Дмитрий,
    сейчас не очень большая активность на сайте и можно спокойно заняться техническим обслуживанием.
    Решил поставить плагин защиты Вордпресс. У меня стоят «Основные настройки безопасности Вордпресс», которые Вы рекомендовали.
    Т.к. во всех бесплатных плагинов файрвол уровня сайта, а остальные функции защиты почти одинаковые…
    Мне нравиться Wordfence, как по мне он более информативный.
    Займусь сейчас переводом .po (все плагины которые использую, я перевожу).

    Как по Вашему опыту, мой выбор плагина правильный?

    Ответить
    • Да, хороший плагин, я вас поддерживаю.
      Если вы потратите время на его перевод, и, соответственно, разберетесь, он обеспечит хороший уровень защиты.

      Ответить
  5. Здравствуйте!
    Спасибо за статью, обзоры, и минимальные сравнение плагинов/сервисов по безопасности.

    Вопрос такой: можно ли как то настроить дружный тандем из 2х плагинов на сайте?

    Понятно что два медведя в берлоге не очень хорошо,
    но всё же?

    У вас написано:
    «All in One WordPress Security, но в нем нет сканера сайта, нет расписания и оповещений на емейл.»
    а у Security Ninja наоборот, это есть))).

    Ответить
    • Да, хороший вопрос.
      Некоторые плагины можно удачно совместить.
      Через некоторое время я напишу подробную статью об этом.
      UPD. Вместо статьи получился курс.

      Ответить

Оставьте комментарий

Do NOT follow this link or you will be banned from the site!