8 najlepszych wtyczek bezpieczeństwa WordPress do blokowania Twojej witryny

WordPress obsługuje ponad 35% wszystkich witryn w Internecie, co czyni go soczystym celem dla złośliwych cyberprzestępców na całym świecie.

Jeśli chcesz zabezpieczyć swoją witrynę lub witryny swoich klientów, dedykowana wtyczka bezpieczeństwa może wykonać za Ciebie wiele ciężkich zadań.

Aby pomóc Ci wybrać najlepszą wtyczkę bezpieczeństwa WordPress dla Twoich potrzeb, zebraliśmy osiem świetnych opcji, które mogą pomóc w zwiększaniu bezpieczeństwa, zaporze ogniowej i skanowaniu złośliwego oprogramowania.

Przyjrzyjmy się, zaczynając od krótkiego przeglądu tego, co faktycznie robi większość wtyczek bezpieczeństwa WordPress.

Bezpieczeństwo WordPressa to dość szeroki temat, więc kiedy mówię „Wtyczka bezpieczeństwa WordPress”, może obejmować szereg różnych funkcji.

Więc zanim przejdę do wtyczek, przejrzyjmy, czym są te różne funkcje wysokiego poziomu, abyś wiedział, co robi każde z tych narzędzi.

Podstawowe wzmocnienie zabezpieczeń jest rodzajem wychwytywania „zmian konfiguracji lub narzędzi, które zwiększają bezpieczeństwo witryny WordPress”.

Na przykład wtyczki bezpieczeństwa zwykle pomagają zabezpieczyć stronę logowania za pomocą takich funkcji, jak:

• Ograniczanie prób logowania
• Uwierzytelnianie dwuskładnikowe
• Zmiana adresu URL logowania do WordPressa
• Wymuszanie silnych haseł
• Ustawianie ważności hasła
• Dodawanie CAPTCHA

To wszystko są taktyki hartowania.

Inne popularne strategie utwardzania obejmują monitorowanie podstawowych plików WordPress w celu wykrycia, czy coś zostało zmienione, wyłączanie funkcji WordPress, takich jak XML-RPC, zatrzymywanie wyliczania użytkowników itp.

Inną taktyką, o której często wspomina się, jest zapora ogniowa.

Zasadniczo zapora sieciowa to coś, co znajduje się między Twoją witryną WordPress a jej odwiedzającymi. Zwykli odwiedzający nie mają problemu z korzystaniem z Twojej witryny, ale jeśli zapora wykryje złośliwą aktywność (poprzez adres IP, działania itp.), zablokuje tego odwiedzającego, zanim zdąży spowodować problem.

W WordPress zobaczysz to, co nazywa się zaporą sieciową lub WAF.

Należy zauważyć, że nie wszystkie zapory są takie same. To znaczy, tylko dlatego, że obie wtyczki oferują „firewall”, nie oznacza to, że te narzędzia są automatycznie takie same, ponieważ zapora jest tak dobra, jak zasady, których przestrzega.

Niektóre wtyczki zabezpieczające WordPress, takie jak Wordfence, stale aktualizują swoje reguły zapory w czasie rzeczywistym, aby dostosować się do pojawiających się zagrożeń bezpieczeństwa. Inne są w zasadzie statycznym zbiorem zasad, które nigdy się nie zmieniają. Oba mogą być przydatne – po prostu jedna będzie bardziej skuteczna w ochronie przed nowymi typami luk.

Inną popularną częścią wtyczek bezpieczeństwa WordPress jest skanowanie złośliwego oprogramowania. Prawdopodobnie znasz tę koncepcję, uruchamiając skanowanie na własnym komputerze.

Zasadniczo narzędzie przeskanuje Twoją witrynę w poszukiwaniu złośliwego kodu i zwróci raport o wszystkim, co znajdzie.

Ponownie, skuteczność skanowania złośliwego oprogramowania zależy od jego zasad i podejścia. To znaczy tylko dlatego, że dwie wtyczki wykonują „skanowanie złośliwego oprogramowania”, co nie czyni ich równymi.

Po pierwsze, podobnie jak w przypadku zapór, istnieją różnice w regułach wykrywania. Skaner złośliwego oprogramowania wykorzystuje „sygnatury złośliwego oprogramowania” do identyfikacji złośliwego oprogramowania. Jeśli więc Twój skaner złośliwego oprogramowania nie ma sygnatury nowego zagrożenia, może nie być w stanie go wykryć.

Po drugie, masz podejście. Niektóre wtyczki/narzędzia, takie jak popularne narzędzie Sucuri SiteCheck, skanują tylko front-end Twojej witryny. Może to wykryć złośliwe oprogramowanie, które można wykryć w interfejsie witryny, ale nie wykryje złośliwego oprogramowania, które czai się na serwerze.

Aby wykryć złośliwe oprogramowanie, które nie pojawia się w interfejsie witryny, musisz użyć skanera złośliwego oprogramowania, który skanuje wszystkie pliki na serwerze.

Pomijając to wprowadzenie, pomóżmy Ci wybrać najlepszą wtyczkę bezpieczeństwa WordPress dla Twoich potrzeb.

Oto osiem wtyczek, którym będziemy się przyglądać:

1. Sucuri
2. Bezpieczeństwo iThemes
3. Wszystko w jednym WP Security & Firewall
4. Bezpieczeństwo kuloodporne
5. Plecak odrzutowy
6. SecuPress
7. Cerber bezpieczeństwa
8. Wordfence

Sucuri to kolejne popularne narzędzie zabezpieczające witrynę. Sucuri składa się z dwóch części:

1. Darmowa wtyczka na WordPress.org
2. Płatna zapora ogniowa, monitorowanie i usługa czyszczenia po włamaniach

Bezpłatna wtyczka na WordPress.org pomaga głównie w podstawowym zwiększaniu bezpieczeństwa.

Daje ci różne zasady i wskazówki, które możesz zastosować, takie jak wyłączanie wtyczek w desce rozdzielczej i edytowanie motywów oraz blokowanie wykonywania PHP w niektórych wrażliwych katalogach.

Inne funkcje bezpieczeństwa obejmują możliwość:

• Monitoruj integralność plików pod kątem plików podstawowych
• Śledź nieudane próby logowania
• Otrzymuj powiadomienia o alertach bezpieczeństwa dla różnych działań
• Wymień skrypty i ramki iframe w swojej witrynie.

Poza tym wtyczka jest również dostarczana z usługą Sucuri SiteCheck do skanowania złośliwego oprogramowania. Jednak ważne jest, aby zrozumieć, że ta usługa po prostu skanuje fronton Twojej witryny w poszukiwaniu problemów — nie skanuje plików na serwerze, jak niektóre inne skany złośliwego oprogramowania. Nie potrzebujesz też wtyczki do korzystania z tego narzędzia – możesz je uruchomić ze strony Sucuri.

Dla większego bezpieczeństwa wtyczka może pomóc w połączeniu się z płatną usługą zapory Sucuri. Ta zapora ogniowa to oparty na chmurze WAF z regularnie aktualizowanymi zasadami zespołu Sucuri. Zapora umożliwia również:

• Dodaj określone adresy IP do białej lub czarnej listy
• Blokuj całe kraje
• Zabezpiecz wrażliwe obszary (takie jak pulpit / login WordPress) za pomocą CAPTCHA, uwierzytelniania dwuskładnikowego lub dodatkowych haseł.

Płatna usługa Sucuri może również pomóc w ochronie Twojej witryny przed atakami DDoS.

Cena: Wtyczka Sucuri jest w 100% darmowa. Zapora Sucuri kosztuje 19,98 USD miesięcznie, a cała platforma Sucuri (w tym wykrywanie i czyszczenie złośliwego oprogramowania) kosztuje 299,99 USD rocznie.

iThemes Security to wtyczka bezpieczeństwa freemium od… iThemes – stąd nazwa. Jeśli nie jesteś zaznajomiony, iThemes jest popularnym programistą odpowiedzialnym za szereg wtyczek, w tym BackupBuddy. iThemes został przejęty przez Liquid Web w 2018 roku.

iThemes Security koncentruje się na wzmacnianiu bezpieczeństwa WordPress. Pozwala połączyć się z usługą Sucuri SiteCheck w celu wykrywania złośliwego oprogramowania typu front-end – ale możesz po prostu uruchomić tę funkcję ze strony internetowej Sucuri, więc nie jest to tak naprawdę wbudowane skanowanie złośliwego oprogramowania.

Nie reklamuje zapory, ale zawiera funkcje, które pozwalają blokować niektóre boty i adresy IP. Dostępna jest również funkcja „ochrony przed brute force”, która może automatycznie blokować adresy IP, które próbowały brutalnie wymusić inne witryny WordPress.

Jeśli chodzi o wzmocnienie bezpieczeństwa, iThemes Security może pomóc w zabezpieczeniu procesu logowania za pomocą takich funkcji, jak:

• Ogranicz próby logowania
• Zmień adres URL logowania do WordPressa
• Google reCAPTCHA (płatne)
• Uwierzytelnianie dwuskładnikowe (płatne)
• Silne egzekwowanie hasła
• Wygaśnięcie hasła (płatne)

Oferuje również tryb „Away”, dzięki któremu możesz w zasadzie zablokować swoją witrynę w czasie, gdy nie masz do niej dostępu.

Inne funkcje zwiększające bezpieczeństwo obejmują:

• Wykrywanie zmiany pliku
• Zmień prefiks bazy danych
• Wyłącz edycję plików w desce rozdzielczej
• Rejestrowanie działań użytkownika ( płatne )
• Zmień ścieżkę treści wp

Jeśli potrzebujesz zarządzać wieloma witrynami WordPress, ma również integrację z iThemes Sync.

Cena: Darmowa wersja na WordPress.org. Wersja płatna zaczyna się od 80 USD.

All In One WP Security & Firewall to popularna wtyczka bezpieczeństwa WordPress, która jest w 100% darmowa.

Pomaga zaimplementować mnóstwo różnych funkcji zwiększania bezpieczeństwa, takich jak:

• Zmień prefiks bazy danych WordPress
• Monitoruj uprawnienia do plików
• Wyłącz edycję plików w desce rozdzielczej
• Monitorowanie integralności plików
• Ukryj numer wersji WordPressa

Zawiera również funkcje zabezpieczające proces logowania, takie jak:

• Ogranicz próby logowania
• Wymuś wylogowanie użytkowników po określonym czasie
• Dodaj reCAPTCHA dla ochrony logowania
• Dodaj określone adresy IP do białej listy
• Zatrzymaj wyliczanie użytkowników

Daje również „miernik siły bezpieczeństwa”, który pomoże Ci poprawić bezpieczeństwo Twojej witryny.

All In One WP Security & Firewall zawiera coś, co nazywa się zaporą ogniową, ale nie jest tak solidny, jak coś takiego jak Wordfence lub Sucuri. Jest to bardziej statyczny zestaw reguł – nie dostosowuje się do pojawiających się zagrożeń, takich jak inne wtyczki.

Cena: 100% za darmo na WordPress.org.

BulletProof Security to kolejna opcja, która oferuje kompleksowe podejście do bezpieczeństwa WordPress z:

• Hartowanie
• Zapora
• Skanowanie złośliwego oprogramowania

Darmowa wersja oferuje podstawowe hartowanie takie jak:

• Bezpieczeństwo logowania
• Zmień prefiks tabeli bazy danych
• Rejestrowanie bezpieczeństwa
• Kopia zapasowa bazy danych

Obejmuje również skanowanie w poszukiwaniu złośliwego oprogramowania w wersji bezpłatnej, a wersja płatna obejmuje ochronę w czasie rzeczywistym za pomocą systemu AutoRestore|Quarantine Intrusion Detection and Prevention System (ARQ IDPS) firmy BulletProof Security.

Wersja płatna dodaje również inne funkcje, takie jak:

• Monitorowanie bazy danych i sprawdzanie różnicowe
• Ochrona przesyłania
• Zapora sieciowa

Interfejs użytkownika wygląda na dość przestarzały i nie jest tak przyjemny jak inne narzędzia, ale BulletProof Security jest dobrze oceniany, jeśli chodzi o jego skuteczność.

Cena: Darmowa wersja na WordPress.org. Wersja płatna zaczyna się od 69,95 USD.

Jetpack to popularna wtyczka typu „wszystko w jednym” firmy Automattic, tych samych ludzi, którzy stoją za WordPress.com i WooCommerce.

W przeciwieństwie do wszystkich innych wtyczek z tej listy, Jetpack nie koncentruje się tylko na bezpieczeństwie WordPress, ale zawiera wiele funkcji bezpieczeństwa w swoich bezpłatnych i płatnych planach.

Darmowa wersja pomaga zabezpieczyć logowanie do WordPressa dzięki ochronie przed brute force oraz opcji bezpiecznego logowania na WordPress.com. Oznacza to, że możesz zalogować się do własnej witryny WordPress przy użyciu poświadczeń WordPress.com.

Płatne plany zapewniają również dostęp do kopii zapasowych i skanowania złośliwego oprogramowania (funkcje te były wcześniej nazywane VaultPress. Teraz VaultPress połączył się z Jetpack).

Funkcje tworzenia kopii zapasowych i skanowania są ze sobą powiązane, co czyni je wyjątkowymi. W przypadku większości narzędzi do skanowania złośliwego oprogramowania narzędzie skanuje pliki na rzeczywistym serwerze WordPress. Jest to dobre do łapania złośliwego oprogramowania, ale również pochłania zasoby na serwerze Twojej aktywnej witryny.

Dzięki Jetpack Jetpack najpierw tworzy kopię zapasową Twojej witryny w lokalizacji poza nią. Następnie skanuje kopię zapasową Twojej witryny w poszukiwaniu złośliwego oprogramowania, co oznacza, że ​​nie wpłynie to na wydajność Twojej aktywnej witryny.

W ramach swoich skanów Jetpack szuka:

• Zmiany w podstawowych plikach WordPress
• Powłoki internetowe
• Luki w zabezpieczeniach TimThumb

Jeśli Jetpack znajdzie coś złośliwego, może pomóc w naprawie problemu.

Cena: Niektóre funkcje są dostępne w wersji darmowej. Skanowanie złośliwego oprogramowania jest dostępne w abonamencie Premium i nowszym, który zaczyna się od 9 USD miesięcznie. Zapewnia to również dostęp do wielu innych funkcji Jetpack.

SecuPress to kolejna dobrze znana wtyczka bezpieczeństwa WordPress, która jest dostępna zarówno w wersji bezpłatnej, jak i płatnej.

SecuPress został pierwotnie uruchomiony przez WP Media, tę samą firmę, która stoi za popularną wtyczką WP Rocket. Jednak WP Media później przekazała własność obecnemu właścicielowi (który był jednym ze współzałożycieli WP Media). Zasadniczo jest to długa droga do powiedzenia, że ​​zobaczysz pewne podobieństwa projektowe do WP Rocket, ale te dwa nie są już tą samą jednostką.

Dzięki bezpłatnej wersji możesz:

• Blokuj adresy IP i złe boty
• Chroń swój login przed atakami typu brute force
• Ukryj stronę logowania
• Ukryj swoje wersje WordPress i WooCommerce
• Zarządzaj XML-RPC i REST API
• Rejestruj ważne działania użytkownika

Dostajesz również zaporę sieciową w wersji darmowej.

Wersja premium dodaje dodatkowe funkcje, takie jak:

• Uwierzytelnianie dwuskładnikowe w celu zabezpieczenia logowania
• Funkcje antyspamowe
• Kopia zapasowa bazy danych i plików
• Wykrywanie motywów lub wtyczek ze znanymi lukami w zabezpieczeniach
• Skanowanie złośliwego oprogramowania PHP
• Blokowanie kraju (geolokalizacja)
• Planowanie zadań

Jedną z wyróżniających cech SecuPress jest interfejs. Ma najprzyjemniejszy interfejs ze wszystkich narzędzi z tej listy, co jest szczególnie miłe, jeśli Twoi klienci kiedykolwiek go zobaczą. Ponownie, zdecydowanie możesz zobaczyć wpływ WP Rocket w interfejsie.

Cena: Darmowa wersja na WordPress.org. Wersja płatna zaczyna się od 65 USD.

Cerber Security to kolejna popularna, uniwersalna wtyczka bezpieczeństwa WordPress, która zawiera:

• Utwardzanie bezpieczeństwa
• Zapora
• Skanowanie złośliwego oprogramowania

Po pierwsze, jest pełen zasad zwiększających bezpieczeństwo, takich jak:

• Zmiana strony logowania WordPress
• Wyłączanie PHP w folderze przesyłania
• Zatrzymywanie wyliczania użytkowników
• Ograniczanie prób logowania
• Monitorowanie integralności plików
• Uwierzytelnianie dwuskładnikowe

Możesz także skonfigurować reguły, takie jak automatyczne blokowanie dowolnego adresu IP, który próbuje zalogować się przy użyciu nieistniejącej nazwy użytkownika. Możesz także tworzyć niestandardowe zasady oparte na rolach, takie jak wymaganie dwóch czynników dla administratorów i automatyczne wylogowanie ich po określonym czasie.

W ramach zapory otrzymujesz inspektora ruchu w czasie rzeczywistym, dzięki któremu możesz zobaczyć wszystko, co dzieje się w Twojej witrynie, w tym monitorowanie zarówno zalogowanych sesji, jak i odwiedzających. Dostajesz również reguły blokowania geograficznego.

Na koniec otrzymujesz skanowanie w poszukiwaniu złośliwego oprogramowania, w tym możliwość zaplanowania automatycznego uruchamiania skanowania.

Jeśli potrzebujesz zarządzać wieloma witrynami, zawiera również funkcję Cerber.Hub, która pozwala zarządzać wieloma witrynami z jednego pulpitu nawigacyjnego. Ten pulpit nawigacyjny jest hostowany samodzielnie, w przeciwieństwie do Wordfence. Jedna witryna WordPress zostanie wyznaczona jako „Master”, a następnie „Slave” inne instalacje na tym głównym pulpicie nawigacyjnym.

Cena: Darmowa wersja na WordPress.org. Wersja płatna zaczyna się od 99 USD.

Po pierwsze, WordPress zawiera mnóstwo narzędzi, które pomagają w podstawowym wzmacnianiu zabezpieczeń WordPressa, takich jak:

• Wyłączanie wykonywania kodu w katalogu uploads
• Ukrywanie twojej wersji WordPressa
• Zatrzymywanie wyliczania użytkowników

Otrzymasz również dedykowaną zakładkę Bezpieczeństwo logowania , z której możesz kontrolować środki bezpieczeństwa logowania, takie jak:

• Korzystanie z uwierzytelniania dwuskładnikowego (dla wszystkich użytkowników lub tylko niektórych ról użytkowników)
• Wyłączanie uwierzytelniania XML-RPC
• Dodanie reCAPTCHA na stronie logowania
• Ograniczenie nieudanych prób logowania (jest to część zapory)
• Wymuszanie silnych haseł

Wordfence zawiera również własny WAF . Zespół Wordfence stale dodaje nowe reguły w czasie rzeczywistym, aby dostosować się do pojawiających się zagrożeń. Możesz także skonfigurować sposób działania zapory, na przykład umieszczać na białej liście określone adresy IP i usługi.

Możesz także natychmiast zablokować adresy IP, które próbują uzyskać dostęp do określonych wrażliwych adresów URL. A dzięki wersji premium możesz blokować całe kraje za pomocą kierowania geograficznego.

Na koniec otrzymujesz również szczegółowe skanowanie w poszukiwaniu złośliwego oprogramowania. Te skany mogą skanować wszystkie pliki na twoim serwerze, a także sprawdzać inne problemy z bezpieczeństwem, takie jak:

• Złośliwe linki w komentarzach
• Nowo utworzeni administratorzy
• Nieaktualne motywy lub wtyczki
• Słabe hasła

Jest to więc rodzaj „ogólnego skanowania słabości zabezpieczeń WordPress”, który obejmuje również skanowanie złośliwego oprogramowania.

Otrzymujesz również reguły umożliwiające konfigurację częstotliwości i poziomu szczegółowości skanowania, co może pomóc w kontrolowaniu zasobów serwera zużywanych przez skanowanie.

Jeśli zarządzasz wieloma witrynami WordPress ( np. witrynami klientów ), Wordfence zawiera również narzędzie Wordfence Central, które umożliwia zarządzanie bezpieczeństwem wszystkich witryn z jednej centralnej lokalizacji. Możesz także tworzyć szablony ustawień programu Wordfence, które można szybko zastosować do nowych witryn i otrzymywać alerty, gdy coś się stanie w dowolnej witrynie.

Podstawowa wtyczka Wordfence i większość funkcji są bezpłatne. Istnieje jednak znacząca różnica, jeśli chodzi o reguły używane przez Wordfence do skanowania zapory sieciowej i złośliwego oprogramowania.

W wersji premium otrzymujesz aktualizacje tych zasad w czasie rzeczywistym. Tak więc, gdy tylko Wordfence wykryje zagrożenie (w sprawie którego jest dość proaktywny ), Wordfence natychmiast doda te reguły do ​​Twojej witryny.

Jednak w wersji bezpłatnej te aktualizacje reguł są opóźnione o 30 dni.

Cena: Wordfence jest dostępny za darmo na WordPress.org. Płatna wersja zaczyna się od 99 USD do użytku w jednej witrynie, z rabatami ilościowymi dla większej liczby witryn.

Nie! Nie na dłuższą metę.

Chociaż wszystkie te wtyczki bezpieczeństwa z pewnością pomagają zabezpieczyć Twoją witrynę, bezpieczeństwo WordPress nie jest tak proste, jak zainstalowanie wtyczki i wywołanie jej dziennie.

Nie oznacza to, że wtyczki bezpieczeństwa nie są przydatne – oznacza to po prostu, że jeśli nie robisz małych rzeczy dobrze, nawet wtyczka bezpieczeństwa nie będzie w stanie cię uratować.

Jedną z absolutnie najważniejszych rzeczy, które możesz zrobić, jest natychmiastowa aktualizacja podstawowego oprogramowania WordPress , wtyczek i motywu – zwłaszcza w przypadku mniejszych wersji bezpieczeństwa (np. WordPress 5.4.X ).

Według raportu Sucuri z 2019 r. Hacked Website , około połowa wszystkich witryn WordPress korzystała z nieaktualnej wersji podstawowego oprogramowania, gdy ich witryna została zainfekowana. Co więcej, 44% zhakowanych witryn korzystało z nieaktualnej wtyczki.

Krótko mówiąc, następujące działania są równie ważne, jeśli nie ważniejsze, niż korzystanie z wtyczki zabezpieczającej WordPress:

• Natychmiastowe aktualizowanie witryny i jej rozszerzeń pod kątem nowych wersji zabezpieczeń.
• Uważaj na rozszerzenia, które wybierasz (i nigdy nie instaluj pustych wtyczek z wątpliwych źródeł).
• Używanie silnych haseł, zwłaszcza na kontach administratorów.

Aby uzyskać więcej wskazówek, zapoznaj się z naszym kompletnym przewodnikiem dotyczącym zabezpieczania witryny WordPress .

A jeśli nie masz pewności, którą wtyczkę wybrać, z pewnością nie pomylisz się z Wordfence jako pierwszą opcją.