»  Безопасность  »  7 Лучших плагинов защиты Вордпресс

7 Лучших плагинов защиты Вордпресс

Последнее обновление:

7 Лучших Файрвол плагинов ВордпрессКаждый третий сайт в интернете работает на Вордпрессе, и их количество постоянно растет.

Эта популярность объясняется тем, что Вордпресс — очень хорошая система управления контентом. Но по умолчанию в ней нет никакой защиты от взлома.

Около 80% атак на CMS приходится на Вордпресс. Хакеры считают, что если получить контроль над одним сайтом, то таким же образом можно получить контроль над большим количеством сайтов, что в принципе логично. Сейчас на Вордпрессе работает около 80 млн. сайтов.

Хакеры используют ботов, которые обходят Вордпресс сайты с готовыми алгоритмами взлома. Если у вас нет от них защиты, то это лишь вопрос времени, когда такой бот придет на ваш сайт и взломает его по списку известных уязвимостей.

А если ваш сайт представляет интерес для хакера, то он придет и попробует взломать его вручную. Для защиты от ручного взлома вам потребуются более продвинутые способы защиты.

Безопасность сайта — важная основа любого сайта. В этой статье обзор 7 лучших плагинов защиты Вордпресс. Выберите один из плагинов и установите на сайт.

Содержание:

  1. Sucuri Security
  2. Cloudflare
  3. SiteLock
  4. Wordfence Security
  5. Security Ninja
  6. All in One WP Security & Firewall
  7. BulletProof Security

Что такое Файрвол

Файрвол / Брандмауэр (WAF — web application firewall) работает как фильтр между сайтом и входящим трафиком. Файрвол наблюдает за трафиком и блокирует вредоносный код до того, как он попадет на сайт.

Существует два типа файрволов:

Файрвол на уровне DNS проводит весь трафик сайта через свой сервер. Плохой трафик фильтруется, хороший трафик проходит на сайт.

Файрвол на уровне приложения проверяет входящий трафик на вашем сервере, но до загрузки большинства скриптов Вордпресс. Такой метод более ресурсозатратен, потому что нагрузка на обработку трафика ложится на ваш сервер.

Лучше использовать файрвол на уровне DNS, потому что отдельный специально настроенный сервер занимается фильтрацией трафика, но обычно это платная функция.

Файрвол на уровне сервера вы можете настроить с помощью бесплатного плагина или вручную.

1. Sucuri

Sucuri Security — компания лидер по обеспечению безопасности Вордпресс сайтов. Сервис предлагает файрвол на уровне DNS, защиту от атак и внедрений вредоносного кода и удаление сайта из черных списков.

Весь трафик, идущий на сайт, проходит через их облачный прокси сервер, где проверяется каждый запрос к сайту. Безопасные запросы проходят к сайту, вредоносные запросы блокируются на их сервере.     

Сукури увеличивает производительность сайта, потому что уменьшается нагрузка на ваш сервер. Вашему серверу не приходится обрабатывать вредоносные запросы, в результате освободишиеся ресурсы используются на хороший трафик.

Платная версия защищает сайт от SQL-инъекций, XSS атак, RCE, RFU, троянов, бэкдоров и всех других известных угроз. Кроме этого, платная версия сервиса оптимизирует содержимое страниц и кеширует их на собственный CDN Anycast.

Чтобы настроить Сукури надо добавить A-записи на своем домене и направить их на облачный прокси сервер Сукури вместо своего сайта. 

Бесплатная версия имеет несколько ограниченную защиту.

Цена: Начинается со 199,99$ / год. Лучшая платная защита сайта.

Оценка: Лучший сервис / плагин, 5 из 5. 

2. Cloudflare

Cloudflare хорошо известен своим бесплатным CDN сервисом, который также включает базовую защиту от DDoS атак. Но их бесплатный тариф не включает файрвол. Чтобы подключить WAF, нужно купить Pro подписку. 

Базовую защиту от атак обеспечивает файрвол на уровне DNS, который проверяет весь трафик на своих серверах. Это увеличивает защиту и производительность сайта.

Оптимизация и кеширование страниц на CDN ускоряет загрузку сайта. Распределенная сеть уменьшает вероятность отказа сервера на пиках нагрузки.

Тариф Pro включает защиту от DDoS атак третьего уровня и стоит 20$ в месяц. Для защиты от более продвинутых атак уровня 5 или 7 нужно оплатить подписку на тариф Business.

Недостатки Cloudflare в том, что у него нет сканирования сайта, удаления сайта из черных списков, нет наблюдения за изменением файлов на сайте и оповещения о таких изменениях, нет некоторых других стандартных методик защиты сайта.

Лучшее решение по производительности, условно хорошее по безопасности.

Цена: Начинается с 20$ / месяц.

Оценка: Хорошо, 4,7 из 5.   

3. SiteLock

SiteLock еще одна компания, которая предлагает DNS файрвол для защиты сайта от атак, сканирование сайта на вредоносный код и удаление вредоносного кода с сайта. 

Для защиты и ускорения загрузки сайта SiteLock предлагает DNS файрвол и свою сеть CDN. Сервис предлагает ежедневное сканирование сайта, наблюдение за изменениями в файлах, оповещение о событиях и удаление вредоносного кода.

Все тарифы включают базовую защиту от DDoS атак, более продвинутая защита от DDoS атак доступна в качестве аддона. На сайте вы можете разместить фирменный банер, на котором написано, что сайт защищен SiteLock.  

Цена: Начинается с 20$ / месяц за тариф Pro, и 200$ / месяц за тариф Business.

Оценка: Хорошо, 4,6 из 5.  

4. Wordfence Security

Wordfence — популярный плагин безопасности Вордпресс со встроенным файрволом, который наблюдает за появлением на сайте вредоносного кода, наблюдает за изменениями в файлах, SQL-инъекциями, защищает сайт от DDoS, брут-форс и других видов атак.

Wordfence — файрвол уровня локального сервера, то есть вредоносный трафик блокируется когда он приходит на сервер, но до загрузки сайта.

Это второй по эффективности способ борьбы с атаками на сайт, потому что большое количество вредоносных запросов нагружает сервер. Также у Wordfence нет сети CDN.

У плагина есть проверка сайта по запросу и по расписанию, возможность вручную контролировать трафик и блокировать подозрительные IP прямо в панели Вордпресс.

В бесплатной версии файрвол обновляется через 30 дней после занесения угрозы в базу плагина. Для включения онлайн обновлений нужно оформить Премиум подписку.

Мое личное мнение — плагин несколько сложный и запутанный, для освоения потребуется некоторое время.

Цена: Премиум версия начинается с 99$ / год за лицензию на 1 сайт. Хорошие скидки на лицензии для нескольких сайтов.

Оценка: Хорошо, 4,5 из 5.  

5. Security Ninja

Очень хороший плагин безопасности, который подключается к базе вредоносных IP. В базе находится более 600 млн. вредоносных адресов, которым можно полностью запретить вход на сайт, либо запретить только возможность авторизоваться.

У плагина много настроек для защиты сайта от разных видов атак, включая брут-форс атаки, атаки на базу данных, на устаревшие версии ПО и так далее. 

Есть 2 сканера по расписанию: сравнение файлов ядра с файлами в репозитарии Вордпресс и сканирование файлов на вредоносный код. Также есть логи событий, оповещение на е-мейл и оптимизация базы данных.

Файрвол работает на уровне сервера, поэтому использует минимальное количество ресурсов. Нет подключения к CDN.

По сравнению с предыдущим плагином настраивается интуитивно.

Цена: Премиум версия начинается с 39$ / год за лицензию на 1 сайт. Лицензия на 1 сайт с лайф-тайм обновлениями стоит 89$.

Наверное, самый дешевый и самый эффективный за свою цену премиум-плагин.

Оценка: Хорошо, 4,3 из 5.  

6. All in One WP Security & Firewall

Большой бесплатный плагин со множеством настроек, имеет встроенный файрвол на уровне сервера, защищает файлы сайта и базу данных. 

Меняет стандартную страницу авторизации, скрывает версию Вордпресс, меняет префикс базы данных и еще десятки других функций. Ко всем функциям есть описания.

Плагин скорее предназначен для предупреждения заражений, чем для лечения, поэтому его лучше устанавливать на свежий сайт. На мой взгляд, лучший бесплатный плагин.

В платной версии добавляется сканер сайта на наличие вредоносного ПО, проверка на нахождение сайта в черных списках поисковиков, сообщения на е-мейл о событиях сайта, ап-тайм сайта, очистка от заражений и удаление из черных списков.

Цена: Премиум версия начинается с 49,95$ / год за лицензию на 1 сайт. 

Оценка: Бесплатная версия Хорошо, 4,2 из 5.  

7. BulletProof Security

Еще один популярный плагин безопасности для Вордпресс, у которого есть файрвол на уровне сайта, защита страницы авторизации, бэкап базы данных, режим техобслуживания сайта и некоторые настройки для увеличения безопасности сайта. 

У плагина несколько сложный интерфейс, но в нем есть Мастер установки, который помогает настроить плагин и включает файрвол. 

В бесплатной версии плагина нет сканера файлов на заражение вредоносным кодом, в платной версии добавляется функция отслеживания вторжений и вредоносных файлов в папке .../uploads/

Цена: Бесплатная базовая версия плагина. Про версия стоит 59,95$ на неограниченное количество сайтов и life-time обновления. 

Оценка: Хорошо, 3,9 из 5. 

Заключение

Чем лучшую защиту предлагает сервис или плагин, тем дороже он стоит. Самую лучшую защиту и самый лучший сервис предлагает Sucuri: комплексная защита сайта, обработка всех входящих запросов на сервере Сукури, сеть CDN и гарантия бесплатного лечения сайта в случае, если сайт взломают. 

Cloudflare больше специализируется на ускорении сайта, но предлагает хороший уровень защиты, который можно усилить каким-нибудь плагином.

Wordfence предлагает очень хорошую защиту, но из минусов — годовая подписка и файрвол на уровне сайта, который будет нагружать сервер.

Очень хороший бесплатный плагин All in One WordPress Security, но в нем нет сканера сайта, нет расписания и оповещений на емейл. Все это находится в платной версии.

У плагина Security Ninja есть 2 сканера c расписанием сканирования, оповещение на емейл, подключение к динамической базе вредоносных IP и много других пассивных настроек.

К этим настройкам можно добавить несколько настроек вручную и усилить плагин до уровня защиты платной версии Wordfence.

У всех плагинов есть свои плюсы и минусы. Как вариант, несколько плагинов можно объединить, но некоторые из них могут работать вместе, а некоторые — нет.

Приглашаю вас на курс, в котором вы сможете настроить безопасность Вордпресс с помощью нескольких плагинов и нескольких ручных настроек, которые дополняют друг друга и хорошо работают друг с другом: Безопасность Вордпресс за 2 вечера.

Читайте также:

  1. Минимальная безопасность Вордпресс
  2. Безопасность Вордпресс для начинающих
  3. Подробное руководство по безопасности Вордпресс
  4. Бэкап сайта. Подробное описание

Надеюсь, статья была полезна. Оставляйте комментарии.

Комментарии:

  1. Дмитрий,
    сейчас не очень большая активность на сайте и можно спокойно заняться техническим обслуживанием.
    Решил поставить плагин защиты Вордпресс. У меня стоят «Основные настройки безопасности Вордпресс», которые Вы рекомендовали.
    Т.к. во всех бесплатных плагинов файрвол уровня сайта, а остальные функции защиты почти одинаковые…
    Мне нравиться Wordfence, как по мне он более информативный.
    Займусь сейчас переводом .po (все плагины которые использую, я перевожу).

    Как по Вашему опыту, мой выбор плагина правильный?

    Ответить
    • Да, хороший плагин, я вас поддерживаю.
      Если вы потратите время на его перевод, и, соответственно, разберетесь, он обеспечит хороший уровень защиты.

      Ответить
  2. Здравствуйте!
    Спасибо за статью, обзоры, и минимальные сравнение плагинов/сервисов по безопасности.

    Вопрос такой: можно ли как то настроить дружный тандем из 2х плагинов на сайте?

    Понятно что два медведя в берлоге не очень хорошо,
    но всё же?

    У вас написано:
    «All in One WordPress Security, но в нем нет сканера сайта, нет расписания и оповещений на емейл.»
    а у Security Ninja наоборот, это есть))).

    Ответить
    • Да, хороший вопрос.
      Некоторые плагины можно удачно совместить.
      Через некоторое время я напишу подробную статью об этом.

      Ответить

Оставьте комментарий

Do NOT follow this link or you will be banned from the site!