8 Лучших плагинов защиты Вордпресс

Каждый третий сайт в интернете работает на Вордпрессе, и их количество постоянно растет.

Эта популярность объясняется тем, что Вордпресс — очень хорошая система управления контентом. Но по умолчанию в нем нет никакой защиты от взлома.

Около 80% атак на CMS приходится на Вордпресс. Хакеры считают, что если получить контроль над одним сайтом, то таким же образом можно получить контроль над большим количеством сайтов, что в принципе логично. Сейчас на Вордпрессе работает более 100 млн. сайтов.

Хакеры используют ботов, которые обходят Вордпресс сайты с готовыми алгоритмами взлома. Если у вас нет от них защиты, то это лишь вопрос времени, когда такой бот придет на ваш сайт и взломает его по списку известных уязвимостей.

А если ваш сайт представляет интерес для хакера, то он придет и попробует его взломать вручную. Для защиты от ручного взлома вам потребуются более продвинутые способы защиты.

Безопасность сайта — важная основа любого сайта. В этой статье обзор 8 лучших плагинов безопасности Вордпресс. Выберите один из плагинов и установите на сайт.

Содержание:

1. Sucuri Security
2. Cloudflare
3. Wordfence Security
4. iThemes Security
5. SiteLock
6. Security Ninja
7. All in One WP Security & Firewall
8. BulletProof Security

У многих из этих плагинов есть файрвол. Файрволы бывают разных типов, и эти плагины используют разные типы файрволов.

Что такое Файрвол

Файрвол / Брандмауэр (WAF — web application firewall) работает как фильтр между сайтом и входящим трафиком. Файрвол наблюдает за трафиком и блокирует вредоносный код до того, как он попадет на сайт.

Существует три типа файрволов:

Файрвол на уровне DNS проводит весь трафик сайта через свой сервер в Интернете. Плохой трафик фильтруется, хороший трафик проходит на сайт.

Файрвол на уровне сервера сайта обычно представляет собой программу в ПО сервера, либо «фильтр» из набора типичных выражений или паттернов кода, которые часто используют хакеры. Этот тип файрвола эффективен и наименее ресурсозатратен.

Файрвол на уровне приложения (т.е. плагин) проверяет входящий трафик на вашем сайте, но до загрузки большинства скриптов Вордпресс. Обычно является комбинацией программы, которая обрабатывает трафик и набора типичных выражений и паттернов, которые используют хакеры, плюс интерфейс с данными наблюдения. Это тоже хороший, но довольно ресурсозатратный способ, потому что нагрузка на обработку трафика и показ данных ложится на ваш сервер.

Лучше использовать файрвол на уровне DNS, потому что это отдельный специально настроенный сервер, который занимается фильтрацией трафика, но это платная функция.

Файрвол на уровне приложения — более дешевый, но тоже платный вариант, который потребляет довольно много ресурсов на обработку и отображение данных.

Файрвол на уровне сервера эффективен, наименее ресурсозатратен, но не сообщает, если происходит какое-то событие, например, изменение в файлах или атака.

Вы можете купить какой-то платный вариант, или использовать комбинацию из нескольких бесплатных способов защиты.

1. Sucuri

Sucuri Security — компания лидер по обеспечению безопасности Вордпресс сайтов. Сервис предлагает файрвол на уровне DNS, защиту от атак и внедрений вредоносного кода и удаление сайта из черных списков.

Весь трафик, идущий на сайт, проходит через их облачный прокси сервер, где проверяется каждый запрос к сайту. Безопасные запросы проходят к сайту, вредоносные запросы блокируются на их сервере.     

Сукури увеличивает производительность сайта, потому что уменьшается нагрузка на ваш сервер. Вашему серверу не приходится обрабатывать вредоносные запросы, в результате освободишиеся ресурсы используются на хороший трафик.

Платная версия защищает сайт от SQL-инъекций, XSS атак, RCE, RFU, троянов, бэкдоров и всех других известных угроз. Кроме этого, платная версия сервиса оптимизирует содержимое страниц и кеширует их на собственный CDN Anycast.

Чтобы настроить Сукури надо добавить A-записи на своем домене и направить их на облачный прокси сервер Сукури вместо своего сайта. 

В случае, если ваш сайт все-таки взломают, разработчики сервиса бесплатно очистят сайт от заразы и вернут его онлайн.

Если вы искали лучшую платную защиту Вордпресс сайта, то вы ее нашли.

Бесплатная версия имеет несколько ограниченную защиту.

Цена: Начинается со 199$ / год. Всё-в-одном. Лучшая платная защита сайта.

• Подробное описание Sucuri Security
• Мощная защита сайта с файрволом на уровне сервера на основе бесплатной версии Sucuri Security

2. Cloudflare

Cloudflare хорошо известен своим бесплатным CDN сервисом, который также включает базовую защиту от DDoS атак. Но их бесплатный тариф не включает файрвол. Чтобы подключить WAF, нужно купить Pro подписку. 

Базовую защиту от атак обеспечивает файрвол на уровне DNS, который проверяет весь трафик на своих серверах. Это увеличивает защиту и производительность сайта.

Кроме этого, вы можете настроить несколько правил для механической фильтрации трафика к важным страницам сайта: логин, админка, xmlrpc и так далее.

Оптимизация и кеширование страниц на CDN ускоряет загрузку сайта. Распределенная сеть уменьшает вероятность отказа сервера на пиках нагрузки.

Тариф Pro включает защиту от DDoS атак третьего уровня и стоит 20$ в месяц. Для защиты от более продвинутых атак уровня 5 или 7 нужно оплатить подписку на тариф Business.

Недостатки Cloudflare в том, что у него нет сканирования сайта, удаления сайта из черных списков, нет наблюдения за изменением файлов на сайте и оповещения о таких изменениях, нет некоторых других стандартных методик защиты сайта.

Лучшее решение по производительности, условно хорошее по безопасности, так как это неосновной функционал сервиса.

Цена: Начинается с 20$ / месяц.

• Как подключить Вордпресс к Cloudflare. Подробное описание.

3. Wordfence Security

Wordfence — популярный плагин безопасности Вордпресс со встроенным файрволом, который наблюдает за появлением на сайте вредоносного кода, наблюдает за изменениями в файлах, SQL-инъекциями, защищает сайт от DDoS, брут-форс и других видов атак.

Wordfence — файрвол уровня сервера и приложения, то есть часть вредоносного трафика блокируется на сервере, часть — на сайте.

Это эффективный способ борьбы с атаками на сайт, но довольно ресурсозатратный, потому что плагин использует ресурсы вашего сервера. Также у Wordfence нет сети CDN.

У плагина есть проверка сайта по запросу и по расписанию, возможность вручную контролировать трафик и блокировать подозрительные IP прямо в панели Вордпресс.

В бесплатной версии файрвол обновляется через 30 дней после занесения угрозы в базу плагина. Для включения онлайн обновлений нужно оформить Премиум подписку.

Мое личное мнение — плагин несколько сложный и запутанный, для освоения потребуется некоторое время.

Цена: Премиум версия начинается с 99$ / год за лицензию на 1 сайт. Хорошие скидки на лицензии для нескольких сайтов.

4. iThemes Security

iThemes Security — плагин из тройки лидеров, у которого есть база с последними хаками, бэкдорами и другими угрозами.

В бесплатной версии у плагина есть базовые настройки для защиты незараженного сайта, но если вы хотите знать, когда файлы изменялись и делать подробный скан сайта, вам нужно купить премиум версию.

Еще одна крутая функция платной версии — бэкап сайта. Если вы узнали, что сайт был взломан, вместо поиска взлома вы можете восстановить более раннюю версию сайта.

Цена: Начинается с 80$ / год за тариф Blogger.

5. SiteLock

SiteLock еще одна компания, которая предлагает DNS файрвол для защиты сайта от атак, сканирование сайта на вредоносный код и удаление вредоносного кода с сайта. 

Для защиты и ускорения загрузки сайта SiteLock предлагает DNS файрвол и свою сеть CDN. Сервис предлагает ежедневное сканирование сайта, наблюдение за изменениями в файлах, оповещение о событиях и удаление вредоносного кода.

Все тарифы включают базовую защиту от DDoS атак, более продвинутая защита от DDoS атак доступна в качестве аддона. На сайте вы можете разместить фирменный банер, на котором написано, что сайт защищен SiteLock.  

Цена: Начинается с 20$ / месяц за тариф Pro, и 200$ / месяц за тариф Business.

6. Security Ninja

Хороший плагин безопасности, который подключается к базе вредоносных IP. В базе находится более 600 млн. вредоносных адресов, которым можно полностью запретить вход на сайт, либо запретить только возможность авторизоваться.

Разработчик постоянно работает над плагином, улучшает функционал и интерфейс.

У плагина много настроек для защиты сайта от разных видов атак, включая брут-форс атаки, атаки на базу данных, на устаревшие версии ПО и так далее. 

Есть 2 сканера по расписанию: сравнение файлов ядра с файлами в репозитарии Вордпресс и сканирование файлов на вредоносный код. Также есть логи событий, оповещение на е-мейл и оптимизация базы данных.

По сравнению с предыдущим плагином настраивается интуитивно.

• Подробное описание Security Ninja Pro
• Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасности

Цена: Премиум версия начинается с 39,99$ / год за лицензию на 1 сайт. Лицензия на 1 сайт с лайф-тайм обновлениями стоит 119$.

Наверное, самый дешевый и в то же время эффективный премиум-плагин.

7. All in One WP Security & Firewall

Большой бесплатный плагин со множеством настроек, имеет встроенный файрвол на уровне сервера, защищает файлы сайта и базу данных. 

Меняет стандартную страницу авторизации, скрывает версию Вордпресс, меняет префикс базы данных и еще десятки других функций. Ко всем функциям есть описания.

Плагин скорее предназначен для предупреждения заражений, чем для лечения, поэтому его лучше устанавливать на свежий сайт. На мой взгляд, лучший бесплатный плагин.

В платной версии добавляется сканер сайта на наличие вредоносного ПО, проверка на нахождение сайта в черных списках поисковиков, сообщения на е-мейл о событиях сайта, ап-тайм сайта, очистка от заражений и удаление из черных списков.

Цена: Премиум версия начинается с 49,95$ / год за лицензию на 1 сайт. 

8. BulletProof Security

Еще один популярный плагин безопасности для Вордпресс, у которого есть файрвол на уровне сайта, защита страницы авторизации, бэкап базы данных, режим техобслуживания сайта и много других настроек для увеличения безопасности сайта. 

У плагина несколько сложный интерфейс, но в нем есть Мастер установки, который помогает настроить плагин и включает файрвол. 

В бесплатной версии плагина нет сканера файлов на заражение вредоносным кодом, в платной версии добавляется функция отслеживания вторжений и вредоносных файлов в папке .../uploads/. 

Цена: Бесплатная базовая версия плагина. Версия Pro стоит 69,95$ на неограниченное количество сайтов и life-time обновления. 

Заключение

Чем лучшую защиту предлагает сервис или плагин, тем дороже он стоит. Самую лучшую защиту и самый лучший сервис предлагает Sucuri: комплексная защита сайта, обработка всех входящих запросов на сервере Сукури, сеть CDN и гарантия бесплатного лечения сайта в случае, если сайт взломают. 

• Подробное описание бесплатного плагина Sucuri Security
• Мощная защита сайта с файрволом на уровне сервера на основе бесплатной версии Sucuri Security

Cloudflare больше специализируется на ускорении сайта, но предлагает хороший уровень защиты, который можно усилить каким-нибудь плагином.

• Как подключить Cloudflare к WordPress. Подробная инструкция

Wordfence предлагает хорошую защиту, но из минусов — годовая подписка и файрвол на уровне сайта, который будет нагружать сервер.

У плагина Security Ninja есть 2 сканера c расписанием сканирования, оповещение на емейл, подключение к динамической базе вредоносных IP и много других пассивных настроек.

К этим настройкам можно добавить несколько настроек вручную и усилить плагин до уровня хороших платных плагинов.

• Подробное описание Security Ninja Pro
• Дополнительные настройки для Security Ninja Pro

All in One WordPress Security — хороший бесплатный плагин, но в нем нет сканера сайта, нет расписания и оповещений на емейл. Все это находится в платной версии.

У всех плагинов есть свои плюсы и минусы. Как вариант, несколько плагинов можно объединить, но некоторые из них могут работать вместе, а некоторые — нет.

Приглашаю вас на курс, в котором вы настроите безопасность Вордпресс с помощью нескольких плагинов и нескольких ручных настроек, которые дополняют друг друга и используют файрволы всех трёх типов: Безопасность Вордпресс за 2 вечера. Настроил и забыл.

Или обращайтесь ко мне, я настрою безопасность на вашем сайте.

Читайте также:

1. Минимальная безопасность Вордпресс
2. Подробное руководство по безопасности Вордпресс
3. Бэкап сайта. Подробное описание

Надеюсь, статья была полезна. Оставляйте комментарии.