8 лучших плагинов безопасности WordPress для блокировки вашего сайта

WordPress поддерживает более 35% всех веб-сайтов в Интернете, что делает его привлекательной мишенью для злоумышленников по всему миру.

Если вы хотите защитить свой веб-сайт или веб-сайты своих клиентов, специальный плагин безопасности может сделать за вас большую часть тяжелой работы.

Чтобы помочь вам выбрать лучший плагин безопасности WordPress для ваших нужд, мы собрали восемь отличных вариантов, которые могут помочь с усилением безопасности, брандмауэрами и сканированием вредоносных программ.

Давайте начнем с краткого обзора того, что на самом деле делают большинство плагинов безопасности WordPress.

Безопасность WordPress - довольно обширная тема, поэтому, когда я говорю «плагин безопасности WordPress», он может включать в себя ряд различных функций.

Итак, прежде чем я перейду к плагинам, давайте рассмотрим, что представляют собой эти различные высокоуровневые функции, чтобы вы знали, что делает каждый из этих инструментов.

Базовое усиление безопасности - это своего рода универсальное средство для «изменений конфигурации или инструментов, которые делают ваш сайт WordPress более безопасным».

Например, плагины безопасности обычно помогают защитить страницу входа с помощью таких функций, как:

• Ограничение попыток входа в систему
• Двухфакторная аутентификация
• Изменение URL-адреса входа в WordPress
• Применение надежных паролей
• Установка срока действия пароля
• Добавление CAPTCHA

Все это ужесточающая тактика.

Другие популярные стратегии усиления безопасности включают мониторинг основных файлов WordPress на предмет изменений, отключение таких функций WordPress, как XML-RPC, остановку перечисления пользователей и т. Д.

Еще одна тактика, о которой вы часто упоминали, - это брандмауэр.

По сути, брандмауэр веб-сайта - это то, что находится между вашим сайтом WordPress и его посетителями. У постоянных посетителей нет проблем с использованием вашего сайта, но если брандмауэр обнаруживает вредоносную активность (через IP-адрес, действия и т. Д.), Он блокирует этого посетителя до того, как это вызовет проблему.

В WordPress вы увидите, что это называется брандмауэром веб-приложений или WAF.

Важно отметить, что не все брандмауэры одинаковы. То есть только потому, что оба плагина предлагают «брандмауэр», это не означает, что эти инструменты автоматически равны, потому что брандмауэр настолько хорош, насколько хороши правила, которым он следует.

Некоторые плагины безопасности WordPress, такие как Wordfence, постоянно обновляют свои правила брандмауэра в режиме реального времени, чтобы адаптироваться к возникающим угрозам безопасности. Другие в основном представляют собой статический набор правил, которые никогда не меняются. Оба могут быть полезны - просто один будет более эффективно защищать вас от новых типов уязвимостей.

Еще одна популярная часть плагинов безопасности WordPress - это сканирование на вредоносное ПО. Вероятно, вы знакомы с этой концепцией по сканированию на своем компьютере.

По сути, инструмент просканирует ваш сайт на предмет вредоносного кода и вернет отчет обо всем, что обнаружит.

Опять же, эффективность сканирования вредоносных программ зависит от его правил и подхода. То есть только потому, что два плагина выполняют «сканирование на наличие вредоносных программ», это не делает их равными.

Во-первых, как и в случае с брандмауэрами, у вас есть различия в правилах обнаружения. Сканер вредоносных программ полагается на «сигнатуры вредоносных программ» для выявления вредоносных программ. Поэтому, если ваш сканер вредоносных программ не имеет сигнатуры для возникающей угрозы, возможно, он не сможет ее обнаружить.

Во-вторых, у вас есть подход. Некоторые плагины / инструменты, такие как популярный инструмент Sucuri SiteCheck, сканируют только интерфейс вашего сайта. Это может отловить вредоносное ПО, которое можно обнаружить на внешнем интерфейсе вашего веб-сайта, но не обнаружит вредоносное ПО, скрытое на вашем сервере.

Чтобы обнаружить вредоносное ПО, которое не проявляется в интерфейсе вашего сайта, вам необходимо использовать сканер вредоносных программ, который сканирует все файлы на вашем сервере.

После этого введения давайте поможем вам выбрать лучший плагин безопасности WordPress для ваших нужд.

Вот восемь плагинов, которые мы рассмотрим:

1. Сукури
2. iThemes Безопасность
3. Все в одном WP Безопасность и брандмауэр
4. Пуленепробиваемая безопасность
5. Реактивный ранец
6. Секупресс
7. Cerber Security
8. Wordfence

Sucuri - еще один популярный инструмент безопасности веб-сайтов. Сукури состоит из двух частей:

1. Бесплатный плагин на WordPress.org
2. Платный брандмауэр, мониторинг и очистка от взлома

Бесплатный плагин на WordPress.org поможет вам в основном с базовым усилением безопасности.

Он предоставит вам различные правила и советы, которые вы можете применить, такие как отключение плагинов на панели инструментов и редактирования тем, а также блокирование выполнения PHP в определенных конфиденциальных каталогах.

Другие функции безопасности включают возможность:

• Мониторинг целостности файлов ядра
• Отслеживайте неудачные попытки входа в систему
• Получать уведомления о предупреждениях системы безопасности для различных действий
• Перечислите скрипты и фреймы на своем сайте.

Помимо этого, плагин также поставляется с сервисом Sucuri SiteCheck для сканирования вредоносных программ. Однако важно понимать, что эта служба просто сканирует интерфейс вашего сайта на наличие проблем - она ​​не будет сканировать файлы на вашем сервере, как некоторые другие проверки на наличие вредоносных программ. Вам также не нужен плагин для использования этого инструмента - вы можете запустить его с веб-сайта Sucuri.

Для большей безопасности плагин может помочь вам подключиться к платной службе брандмауэра Sucuri. Этот межсетевой экран представляет собой облачный WAF с регулярно обновляемыми правилами от команды Sucuri. Брандмауэр также позволяет:

• Добавить в белый или черный список определенные IP-адреса
• Блокировать целые страны
• Защитите конфиденциальные области (например, панель управления / логин WordPress) с помощью CAPTCHA, двухфакторной аутентификации или дополнительных паролей.

Платный сервис Sucuri также может помочь защитить ваш сайт от DDoS-атак.

Цена: плагин Sucuri на 100% бесплатный. Брандмауэр Sucuri стоит 19,98 долларов в месяц, а вся платформа Sucuri (включая обнаружение и очистку вредоносных программ) стоит 299,99 долларов в год.

iThemes Security - это бесплатный плагин безопасности от… iThemes - отсюда и название. Если вы не знакомы, iThemes - популярный разработчик ряда плагинов, включая BackupBuddy. iThemes была приобретена Liquid Web в 2018 году.

iThemes Security ориентирован на усиление безопасности WordPress. Он действительно позволяет подключиться к службе Sucuri SiteCheck для обнаружения вредоносных программ во внешнем интерфейсе, но вы можете просто запустить эту функцию с веб-сайта Sucuri, так что на самом деле это не встроенное сканирование вредоносных программ.

Он не рекламирует брандмауэр, но включает функции, позволяющие блокировать некоторых ботов и IP-адреса. Также есть функция «сетевой защиты от перебора», которая может автоматически блокировать IP-адреса, которые пытались перебить другие сайты WordPress.

Что касается усиления безопасности, iThemes Security может помочь вам защитить процесс входа в систему с помощью таких функций, как:

• Ограничить попытки входа в систему
• Измените URL-адрес входа в WordPress
• Google reCAPTCHA (платно)
• Двухфакторная аутентификация (платно)
• Надежное применение пароля
• Срок действия пароля (оплачивается)

Он также предлагает режим «Нет на месте», с помощью которого вы можете заблокировать свой сайт в то время, когда у вас нет доступа к нему.

К другим функциям усиления безопасности относятся:

• Обнаружение изменения файла
• Изменить префикс базы данных
• Отключить редактирование файлов на панели инструментов
• Ведение журнала действий пользователя ( платно )
• Изменить путь к wp-content

Если вам нужно управлять несколькими сайтами WordPress, он также имеет интеграцию с iThemes Sync.

Цена: Бесплатная версия на WordPress.org. Платная версия начинается от 80 долларов.

All In One WP Security & Firewall - популярный плагин безопасности WordPress, который на 100% бесплатный.

Это поможет вам реализовать множество различных функций повышения безопасности, таких как:

• Измените префикс базы данных WordPress
• Мониторинг разрешений файлов
• Отключить редактирование файлов на панели инструментов
• Мониторинг целостности файлов
• Скрыть номер версии WordPress

Он также включает функции для защиты вашего процесса входа в систему, такие как:

• Ограничить попытки входа в систему
• Принудительный выход пользователей из системы через определенное время
• Добавьте reCAPTCHA для защиты входа в систему
• Внесите определенные IP-адреса в белый список
• Остановить перечисление пользователей

Это также даст вам «измеритель силы безопасности», который поможет вам улучшить безопасность вашего сайта.

All In One WP Security & Firewall включает в себя так называемый брандмауэр, но он не такой надежный, как Wordfence или Sucuri. Это скорее статический набор правил - он не адаптируется к возникающим угрозам, как эти другие плагины.

Цена: 100% бесплатно на WordPress.org.

BulletProof Security - еще один вариант, который предлагает комплексный подход к безопасности WordPress с:

• Закалка
• Межсетевой экран
• Сканирование вредоносного ПО

Бесплатная версия предлагает базовое усиление, такое как:

• Безопасность входа
• Изменить префикс таблицы базы данных
• Журнал безопасности
• Резервное копирование базы данных

Он также включает сканирование вредоносных программ в бесплатной версии, в то время как платная версия включает в себя защиту в реальном времени с помощью BulletProof Security's AutoRestore | Quarantine Intrusion Detection and Prevention System (ARQ IDPS).

Платная версия также добавляет другие функции, такие как:

• Мониторинг базы данных и дифференциальная проверка
• Защита загрузки
• Плагин брандмауэра

Пользовательский интерфейс выглядит довольно устаревшим и не так приятен, как другие инструменты, но BulletProof Security хорошо известен, когда дело доходит до его эффективности.

Цена: Бесплатная версия на WordPress.org. Платная версия стоит от 69,95 долларов.

Jetpack - популярный универсальный плагин от Automattic, тех же разработчиков, что и WordPress.com и WooCommerce.

В отличие от всех других плагинов в этом списке, Jetpack не ориентирован только на безопасность WordPress, но он включает в себя множество функций безопасности в своих бесплатных и платных планах.

Бесплатная версия помогает защитить ваш вход в WordPress с помощью защиты от перебора и возможности использовать безопасный вход на WordPress.com. То есть вы можете войти на свой собственный сайт WordPress, используя свои учетные данные WordPress.com.

С платными планами вы также получаете доступ к резервным копиям и сканированию на наличие вредоносных программ (эти функции ранее назывались VaultPress. Теперь VaultPress объединен с Jetpack).

Функции резервного копирования и сканирования связаны вместе, что делает их уникальными. С большинством инструментов сканирования вредоносных программ инструмент сканирует файлы на вашем реальном сервере WordPress. Это хорошо для обнаружения вредоносных программ, но также потребляет ресурсы на сервере вашего действующего веб-сайта.

С помощью Jetpack Jetpack сначала создает резервную копию вашего сайта за пределами площадки. Затем он сканирует резервную копию вашего сайта на наличие вредоносных программ, что означает, что это не повлияет на производительность вашего действующего веб-сайта.

В рамках сканирования Jetpack ищет:

• Изменения в основных файлах WordPress
• Веб-оболочки
• TimThumb уязвимости

Если Jetpack действительно обнаружит что-то вредоносное, это может помочь вам решить проблему.

Цена: Некоторые функции доступны в бесплатной версии. Сканирование на вредоносное ПО доступно для премиум- плана и выше, стоимость которого начинается от 9 долларов в месяц. Это также дает вам доступ ко многим другим функциям Jetpack.

SecuPress - еще один известный плагин безопасности WordPress, который поставляется как в бесплатной, так и в платной версиях.

Первоначально SecuPress был запущен WP Media, той же компанией, что и популярный плагин WP Rocket. Однако позже WP Media передала право собственности текущему владельцу (который был одним из соучредителей WP Media). По сути, это длинный способ сказать, что вы увидите некоторое сходство дизайна с WP Rocket, но это уже не одно и то же.

В бесплатной версии вы можете:

• Блокировать IP-адреса и плохих ботов
• Защитите свой логин от атак грубой силы
• Скрыть страницу входа
• Скройте свои версии WordPress и WooCommerce
• Управление XML-RPC и REST API
• Регистрировать важные действия пользователя

Вы также получаете брандмауэр в бесплатной версии.

Премиум-версия добавляет дополнительные функции, такие как:

• Двухфакторная аутентификация для защиты вашего входа в систему
• Особенности антиспама
• Резервное копирование базы данных и файлов
• Обнаружение тем или плагинов с известными уязвимостями безопасности
• Сканирование вредоносных программ PHP
• Блокировка страны (геолокация)
• Планирование задач

Отличительной особенностью SecuPress является интерфейс. У него самый приятный интерфейс из всех инструментов в этом списке, что особенно приятно, если ваши клиенты когда-либо его увидят. Опять же, вы определенно можете увидеть влияние WP Rocket в интерфейсе.

Цена: Бесплатная версия на WordPress.org. Платная версия стоит от 65 долларов.

Cerber Security - еще один популярный универсальный плагин безопасности WordPress, который включает:

• Повышение безопасности
• Межсетевой экран
• Сканирование вредоносного ПО

Во-первых, он содержит правила усиления безопасности, такие как:

• Изменение страницы входа в WordPress
• Отключение PHP в папке загрузок
• Остановка перечисления пользователей
• Ограничение попыток входа в систему
• Мониторинг целостности файлов
• Двухфакторная аутентификация

Вы также можете установить правила, такие как автоматическая блокировка любого IP-адреса, который пытается войти в систему с несуществующим именем пользователя. Вы также можете создавать настраиваемые политики на основе ролей, например, требующие двухфакторной настройки для пользователей-администраторов и автоматического выхода из системы через определенное время.

В составе брандмауэра вы получаете инспектор трафика в режиме реального времени, где вы можете видеть все, что происходит на вашем сайте, включая мониторинг как сеансов, вошедших в систему, так и посетителей. Вы также получаете правила геоблокировки.

Наконец, вы получаете сканирование на наличие вредоносных программ, включая возможность автоматического запуска сканирования.

Если вам нужно управлять несколькими сайтами, он также включает функцию Cerber.Hub, которая позволяет вам управлять несколькими сайтами с одной панели управления. Эта панель управления является автономной, в отличие от Wordfence. Вы назначаете один сайт WordPress как «Главный», а затем как «Подчиненный», остальные устанавливаются на эту главную панель управления.

Цена: Бесплатная версия на WordPress.org. Платная версия стоит от 99 долларов.

Во-первых, WordPress включает в себя множество инструментов, помогающих с базовым усилением безопасности WordPress, таких как:

• Отключение выполнения кода в каталоге загрузок
• Скрытие вашей версии WordPress
• Остановка перечисления пользователей

Вы также получаете специальную вкладку Безопасность входа, из которой вы можете контролировать меры безопасности входа в систему, такие как:

• Использование двухфакторной аутентификации (для всех пользователей или только для определенных ролей пользователей)
• Отключение аутентификации XML-RPC
• Добавление reCAPTCHA на страницу входа
• Ограничение неудачных попыток входа в систему (это часть брандмауэра)
• Применение надежных паролей

Wordfence также включает собственный WAF . Команда Wordfence постоянно добавляет новые правила в режиме реального времени, чтобы приспособиться к возникающим угрозам. Вы также можете настроить работу брандмауэра, например занести в белый список определенные IP-адреса и службы.

Вы также можете немедленно заблокировать IP-адреса, которые пытаются получить доступ к определенным конфиденциальным URL-адресам. А с премиум-версией вы можете блокировать целые страны с помощью геотаргетинга.

Наконец, вы также получаете подробное сканирование на наличие вредоносных программ. Это сканирование может сканировать все файлы на вашем сервере, а также проверять другие проблемы безопасности, такие как:

• Вредоносные ссылки в комментариях
• Недавно созданные пользователи-администраторы
• Устаревшие темы или плагины
• Слабые пароли

Так что это своего рода «общее сканирование уязвимостей WordPress», которое также включает сканирование вредоносных программ.

Вы также получаете правила для настройки частоты и глубины сканирования, которые могут помочь вам контролировать ресурсы сервера, потребляемые вашим сканированием.

Если вы управляете множеством сайтов WordPress ( например, клиентскими сайтами ), Wordfence также включает в себя инструмент Wordfence Central, который позволяет вам управлять безопасностью всех ваших сайтов из одного центра. Вы также можете создавать шаблоны настроек Wordfence, которые можно быстро применять к новым сайтам и получать предупреждения, когда что-то происходит на любом из ваших сайтов.

Основной плагин Wordfence и большинство функций бесплатны. Однако есть заметная разница в правилах, которые Wordfence использует для сканирования брандмауэра и вредоносных программ.

В премиум-версии вы получаете обновления этих правил в режиме реального времени. Поэтому, как только Wordfence обнаруживает угрозу ( что довольно активно ), Wordfence немедленно добавляет эти правила на ваш сайт.

Однако в бесплатной версии эти обновления правил задерживаются на 30 дней.

Цена: Wordfence доступен бесплатно на WordPress.org. Платная версия начинается с 99 долларов за использование на одном сайте, со скидками за объем для большего количества сайтов.

Нет! Отнюдь не.

Хотя все эти плагины безопасности, безусловно, помогают защитить ваш сайт, безопасность WordPress не так проста, как установка плагина и завершение работы.

Это не означает, что плагины безопасности бесполезны - это просто означает, что если вы не делаете мелочи правильно, даже плагин безопасности не сможет вас спасти.

Одна из самых важных вещей, которую вы можете сделать, - это оперативно обновлять основное программное обеспечение WordPress , плагины и тему, особенно для второстепенных выпусков безопасности (например, WordPress 5.4.X ).

Согласно отчету Sucuri о взломанных веб - сайтах за 2019 год, около половины всех сайтов WordPress использовали устаревшую версию основного программного обеспечения, когда их сайт был заражен. Более того, 44% взломанных веб-сайтов использовали устаревшие плагины.

Короче говоря, следующие действия так же важны, если не более важны, чем использование плагина безопасности WordPress:

• Своевременное обновление вашего сайта и его расширений для выпусков безопасности.
• Будьте осторожны с выбранными расширениями (и никогда не устанавливайте обнуленные плагины из сомнительных источников).
• Использование надежных паролей, особенно для учетных записей администратора.

Для получения дополнительных советов ознакомьтесь с нашим полным руководством по защите вашего сайта WordPress .

И если вы не уверены, какой плагин выбрать, вы точно не ошибетесь, выбрав Wordfence в качестве первого варианта.