ТОП-7 плагинов безопасности для защиты WordPress

Плагины безопасности для Wordpress

Безопасность – одна из важнейших составляющих в обслуживании и продвижении любого сайта. Несмотря на популярность и продвинутость, WordPress – самая уязвимая CMS в мире. Сотни, а то и тысячи WordPress-сайтов ежедневно подвергаются взломам и атакам. При этом жертвами стают не только крупные, но и мелкие сайты, которые вопросам кибербезопасности никогда не уделяли много времени. К счастью за последние годы появились много решений в виде специальных плагинов, которые возьмут все хлопоты и заботы по безопасности на себя. Я собрал подборку лучших, на мой взгляд, плагинов для защиты сайтов под управлением CMS WordPress.

Wordfence

Итак, начну свой рейтинг с самого популярного и стабильного на сегодняшний день плагина – WordFence Security.

Wordfence Security – Firewall & Malware Scan

Это не просто плагин, а целый комбайн, который включает в себя и Malware Scanner, и Web Application Firewall (WAF), и Security Information and Event Management (SIEM). Все это интегрируется на ваш сайт бесплатно. Wordfence регулярно обновляется и был установлен уже более 4 миллиона раз, что говорит не только о его популярности, но и стабильности и работоспособности.

ТОП-7 плагинов безопасности для защиты WordPress

Полезные функции:

  • Регулярное сканирование сайта на вредоносный код (руткиты, трояны, эксплойты);
  • Проверка подлинности файлов, анализ уязвимости тем и плагинов, проверка обновлений;
  • Непрерывный мониторинг файловой системы, проверка целостности ядра, отслеживание “аномалий” и несанкционированных действий;
  • Защита от CSRF (Cross-Site Request Forgery), XSS (Cross Site Scripting), LFI (Local File Inclusion), XXE (External Entity Expansion), XML RPC атак, Brute Force переборов, SQLi/PHPi и т.д.
  • Уведомления по email о любых изменениях и действиях на сайте, информативные отчеты;
  • Поддержка двухфакторной 2FA-авторизации с большим количеством настроек;
  • Поддержка reCaptcha;
  • Скрытие страницы входа;
  • Блокировка по IP, управление white и black-листами;
  • Анализ трафика на сайте, анализ URL, анализ кодов ответа сервера, whois lookup;
  • Оптимизация под Apache/Nginx веб-серверы;
  • Поддержка режима Learning Mode для создания индивидуальных правил фаервола под ваш сервер/сайт/CMS;
  • Совместимость с другими плагинами безопасности, например Sucuri, Uptime Robot и др.;
  • Возможность деактивировать плагин с полным его удалением из базы данных;
  • Возможность осуществлять все настройки из одного раздела: Wordfence -> All options;
  • Отлична документация.

Недостатки:

  • Нет защиты от DOS/DDOS атак (WordFence работает как WAF “конечной точки” и при DDOS падает вместе с сайтом. Но DDOS защиту легко включить на уровне сервера);
  • Нет защиты от SSRF (Server-side request forgery);
  • Отсутствие заготовок (сниппетов) для .htaccess (напр. блокировка выполнения PHP в директориях, запрет просмотра дерева каталогов и т.д.);
  • Плагин создает дополнительную нагрузку на CPU и RAM сервера, особенно при сканировании. Если у вас слабый сервер или огромная посещаемость сайта – потребуется индивидуальный тюнинг;
  • Отсутствие оптимизации под LiteSpeed сервер – чтобы плагин заработал необходимо вручную в Webadmin Console указать путь к файлу конфигурации wordfence-waf.php.

ТОП-7 плагинов безопасности для защиты WordPress

ТОП-7 плагинов безопасности для защиты WordPress

В завершение скажу, что перепробовал множество других плагинов и использую Wordfence как основной. Это полностью автоматизированное коробочное решение, которое подходит для большинства WordPress-сайтов. Существует большая разница между “WordPress с Wordfence” и “WordPress без Wordfence”. Первый вариант куда надежнее. А нагрузку можно снизить за счет отключения автоматического сканирования в разделе “All Options -> Scan Options”.

Sucuri

Достаточно качественный и простой в освоении плагин для улучшения безопасности WordPress. Работает сразу из коробки без какой-либо дополнительной настройки. Его можно установить и использовать вместе с другими плагинами безопасности, например Wordfence.

Sucuri Security – Auditing, Malware Scanner and Security Hardening

Особенности плагина:

  • Облачный межсетевой экран Firewall (WAF), блокирует атаки до того как они достигают хоста (может применяться для защиты от DOS; доступен в PRO версии);
  • Мониторинг любых изменений на сайте и мгновенное уведомление по email;
  • Проверка IP сайта в черных списках популярных онлайн-сервисов, антивирусных и поисковых систем (Google Safe Browsing, ESET, McAfee, Yandex, Opera);
  • Проверка сайта на Malware: JavaScript, iFrames, редиректы, спам, “аномалии”;
  • Формирование подробных отчетов;
  • Большое количество готовых настроек для устранения известных “дыр” безопасности WordPress.

ТОП-7 плагинов безопасности для защиты WordPress

Sucuri внушает доверие, но все-таки в своей бесплатной версии как основной брандмауэр не годится – рекомендую использовать его именно как дополнение к основному WAF.

All-in-One Security

ТОП-плагин безопасности для WordPress. Полностью бесплатный, глубоко интегрируется в систему и получает доступ ко всем корневым файлам и директория WordPress, что дает ему возможность полностью контролировать весь сайт и ядро CMS. Но с ним нужно быть повнимательнее – при неправильных настройках способен вывести из строя сайт.

All In One WP Security & Firewall

Настроек в AIO Security множество, плагин осуществляет комплексную защиту сайта:

  • Сканирование и защита файловой системы
  • Защита авторизации
  • Защита пользователей
  • Защита базы данных
  • Защита файловой системы
  • Защита от брутфорс-переборов
  • Защита от ботов
  • Защита от спама
  • Управление черным списком
  • Создание бекапа базы данных

ТОП-7 плагинов безопасности для защиты WordPress

Плагин очень мощный и информативный, не конфликтует с другими плагинами и темами, предоставляет неограниченные возможности, содержит множество виджетов, переведен на русский язык, к каждому пункту есть своя подсказка, что упрощает освоение. По нему можно изучать кибербезопасность сайтов на WordPress.

Нагрузка на сервер у AIOWPS не настолько высокая как у Wordfence Security, хотя, на мой взгляд, они разные – All In One Security больше “твикер”, а Wordfence – сканер и фаервол.

Недостатки:

  • С All in One Security легко “переборщить”. Большое количество модулей не всегда гарантирует требуемую безопасность и влияет на доступность и скорость сайта. К примеру, не рекомендуется включать “Режим обслуживания” и выходить из админки – рискуете больше в нее не войти. Проверяйте и тестируйте плагин на локальном сервере, прежде чем запускать на рабочих сайтах;
  • Плагин получает доступ к файлам настроек, файлам конфигурации, таким как .htaccess, wp-config, robots и другим, а поэтому необходимо внимательно перепроверять работу сайта после активации каждого модуля защиты, чтобы случайно не причинить вред самому себе.

iThemes Security

Простенький плагин для настройки и тюнинга CMS WordPress с “прицелом” на безопасность. Вполне подойдет для начинающих, которые не хотят вникать и разбираться в сложных настройках All in One, Wordfence или Sucuri, но в то же время хотят как-то защищать себя.

iThemes Security (ранее Better WP Security)

Полезные функции, которыми обладает плагин в бесплатной версии:

  • Security Check
  • Global Settings
  • Notification Center
  • User Groups
  • Away Mode
  • Banned Users
  • Password Requirments
  • SSL
  • System Tweaks
  • WordPress Tweaks
  • WordPress Salts
  • 404 Detection

iThemes не содержит ничего лишнего и относительно прост в настройке. Как и предыдущие, имеет встроенные средства защиты и обнаружения, но также содержит много интересных функций для администрирования. Тем не менее, похоже, что по-настоящему ощутить всю мощь этого инструмента можно только в Premium версии.

BBQ Firewall

Фаервол для WordPress, который не требует настройки. Работает по принципу – “установил и забыл”. С одной стороны – удобно, с другой – вы не сможете настроить под себя. Данное решение подойдет для вебмастеров и админов в обслуживании большого количества сайтов. Судя по оценкам и отзывам, BBQ Firewall неплохо справляется с поставленными задачами:

BBQ Firewall

Возможности плагина:

  • SQL injection attacks
  • Executable file uploads
  • Directory traversal attacks
  • Unsafe character requests
  • Excessively long requests
  • PHP remote/file execution
  • XSS, XXE, and related attacks
  • Protects against bad bots
  • Protects against bad referrers
  • Blocks a wide range of malicious URL requests
  • Scans all types of requests: GET, POST, PUT, DELETE, etc.

WP Cerber Security

Несмотря на столь громкое название “Цербер”, не самый хитовый, удобный и функциональный плагин (ИМХО). Некий “закос” под Wordfence и iThemes Security, но с минимальным набором функций. Тем не менее его можно пробовать ставить на каких-то небольших и не сложных проектах – стабильность и работоспособность у него на уровне. Также Cerber Security может пригодиться на стадии тестирования и аудита, исследования проблем безопасности WordPress.

WP Cerber Security, Anti-spam & Malware Scan

В бесплатной версии Cerber содержит пару интересных функций, например отправка подозрительных IP в исследовательскую лабораторию Cerber Lab, а также журналирование и протоколирование любой активности в системе, и дальнейший экспорт всей этой информации в CSV.

ТОП-7 плагинов безопасности для защиты WordPress

Shield Security

Средство аудита безопасности сайтов на WordPress. Чем-то напоминает Wordfence – в состав входит аналогично Malware/Vulnerability Scanner, Монитор трафика, блокировка XMLRPC, reCaptha, и еще много чего. Но веб-интерфейс явно не оптимизирован под пользователя. Все настройки разбросаны по разным вкладкам, которых тут не один десяток, из-за чего работа в нем немного утомляет:

Shield Security — Scanners, Security Hardening, Brute Force Protection & Firewall

В целом плагин на любителя. Много кому понравился и пригодился.

WPScan

Сканер уязвимости WordPress. Проверит все плагины и темы по собственной базе уязвимостей, которая регулярно обновляется и пополняется новыми сигнатурами. WPScan четко укажет на недостатки безопасности CMS, покажет какие плагины необходимо обновить, предоставит справочную информацию о найденных уязвимостях. Полезно при комплексной настройке и аудите безопасности сайтов.

WPScan – WordPress Security Scanner

Выводы

Однозначно самым функциональным плагином является All-In-One Security.

Самым стабильным – Wordfence.

А в сочетании с плагином Sucuri они оба обеспечивают достаточный хороший фон безопасности для любого сайта на WordPress.

Конечно, чтобы гарантировать более-менее надежную защиту, необходимо разбираться в настройке сервера, и тюнинг CMS это всего лишь малая часть из того, что необходимо сделать. В следующих статьях я рассмотрю защиту сайта на уровне Backend.

голосов
Рейтинг статьи
Подписка на сайт KRV

Получайте регулярные обновления на почту!   


Author
Konrad Ravenstone/ автор статьи
Специалист по информационной и компьютерной безопасности. Системный интегратор, администратор. Занимаюсь комплексным обслуживанием веб-сайтов и IT инфраструктуры. Подробнее>>
Поделиться материалом в соцсетях:
KRV — IT блог о веб-технологиях, и не только
0 комментариев
Встроенные отзывы
Просмотреть все комментарии
0
Оставьте свой комментарийx
()
x