8 Лучших плагинов защиты Вордпресс

Лучшие плагины защиты WordPress
Каждый третий веб-сайт в интернете работает на Вордпрессе, и их число постоянно растет.

Эта популярность объясняется тем, что WordPress — хорошая система управления контентом. Но по умолчанию в нем нет никакой защиты от взлома.

Около 80% атак на CMS приходится на WordPress. Хакеры считают, что если приобрести контроль над одним веб-сайтом, то таким же образом можно приобрести контроль над большим числом веб-сайтов, что в принципе логично. Теперь на Вордпрессе работает более 100 млн. веб-сайтов.

Хакеры используют ботов, которые обходят WordPress веб-сайты с готовыми алгоритмами взлома. Если у вас нет от них защиты, то это лишь вопрос времени, когда такой бот придет на веб-сайт и взломает его по списку известных уязвимостей.

А если веб-сайт представляет интерес для хакера, то он придет и попробует его взломать вручную. Для защиты от ручного взлома вам потребуются более продвинутые методы защиты.

Безопасность веб-сайта — важная основа любого веб-сайта. В данной статье обзор 8 лучших плагинов безопасности WordPress. Выберите один из плагинов и установите на веб-сайт.

В данной статье мы рассмотрим:

  1. Sucuri Security
  2. Cloudflare
  3. Wordfence Security
  4. iThemes Security
  5. SiteLock
  6. Security Ninja
  7. All in One WP Security & Firewall
  8. BulletProof Security

У многих из данных плагинов есть файрвол. Файрволы бывают различных типов, и данные плагины используют различные типы файрволов.

Что такое Файрвол

Файрвол / Брандмауэр(WAF — web application firewall) работает как фильтр между веб-сайтом и входящим трафиком. Файрвол наблюдает за трафиком и блокирует вредоносный код до того, как он попадет на веб-сайт.

Существует три типа файрволов:

Файрвол на уровне DNS проводит весь трафик веб-сайта через сервер в Интернете. Плохой трафик фильтруется, хороший трафик проходит на веб-сайт.

Файрвол на уровне сервера веб-сайта обычно представляет собой программу в ПО сервера, либо «фильтр» из набора типичных выражений или паттернов кода, которые часто используют хакеры. Этот тип файрвола эффективен и наименее ресурсозатратен.

Файрвол на уровне приложения(т.е. плагин) проверяет входящий трафик на веб-сайте, но до загрузки большинства скриптов WordPress. Обычно будет комбинацией программы, которая обрабатывает трафик и набора типичных выражений и паттернов, которые используют хакеры, плюс интерфейс с данными наблюдения. Это тоже хороший, но довольно ресурсозатратный метод, так как нагрузка на обработку трафика и показ данных ложится на сервер.

Лучше использовать файрвол на уровне DNS, так как это отдельный специально настроенный сервер, который занимается фильтрацией трафика, но это платная функцию.

Файрвол на уровне приложения — более дешевый, но тоже платный вариант, который потребляет довольно много ресурсов на обработку и вывод данных.

Файрвол на уровне сервера эффективен, наименее ресурсозатратен, но не сообщает, если происходит какое-то событие, к примеру, изменение в файлах или атака.

Вы можете без труда купить какой-то платный вариант, или использовать комбинацию из нескольких бесплатных методов защиты.

1. Sucuri


Sucuri Security — Auditing, Malware Scanner and Security Hardening

Sucuri Security — компания лидер по обеспечению безопасности WordPress веб-сайтов. Сервис предоставляет файрвол на уровне DNS, защиту от атак и внедрений вредоносного кода и удаление веб-сайта из черных списков.

Весь трафик, идущий на веб-сайт, проходит через их облачный прокси сервер, где проверяется каждый запрос к веб-сайту. Безопасные запросы проходят к веб-сайту, вредоносные запросы блокируются на их сервере.

Сукури увеличивает производительность веб-сайта, так как уменьшается нагрузка на сервер. Вашему серверу не приходится обрабатывать вредоносные запросы, в результате освободишиеся ресурсы используются на хороший трафик.

Платная версия защищает веб-сайт от SQL-инъекций, XSS атак, RCE, RFU, троянов, бэкдоров и всех иных известных угроз. Кроме этого, платная версия сервиса оптимизирует содержимое страниц и кеширует их на собственный CDN Anycast.

Чтобы изменить Сукури нужно добавить A-записи на домене и направить их на облачный прокси сервер Сукури вместо веб-сайта. 

В случае, если веб-сайт все-таки взломают, разработчики сервиса бесплатно очистят веб-сайт от заразы и вернут его онлайн.

Если вы искали лучшую платную защиту WordPress веб-сайта, то вы ее нашли.

Бесплатная версия имеет в себя пару ограниченную защиту.

Цена: Начинается со 199$ / год. Всё-в-одном. Лучшая платная защита веб-сайта.

  • Подробное описание Sucuri Security
  • Мощная защита веб-сайта с файрволом на уровне сервера на основе бесплатной версии Sucuri Security

2. Cloudflare


Cloudflare

Cloudflare отлично известен вашим бесплатным CDN сервисом, который также имеет базовую защиту от DDoS атак. Но их бесплатный тариф не имеет файрвол. Чтобы подключить WAF, необходимо купить Pro подписку. 

Базовую защиту от атак обеспечивает файрвол на уровне DNS, который проверяет весь трафик на ваших серверах. Это увеличивает защиту и производительность веб-сайта.

Кроме этого, вы можете изменить пару правил для механической фильтрации трафика к важным страницам веб-сайта: логин, админка, xmlrpc и так далее.

Оптимизация и кеширование страниц на CDN ускоряет загрузку веб-сайта. Распределенная сеть уменьшает вероятность отказа сервера на пиках нагрузки.

Тариф Pro имеет защиту от DDoS атак третьего уровня и следует 20$ в месяц. Для защиты от более продвинутых атак уровня 5 или 7 необходимо оплатить подписку на тариф Business.

Недостатки Cloudflare в том, что у него нет сканирования веб-сайта, удаления веб-сайта из черных списков, нет наблюдения за изменением файлов на веб-сайте и оповещения о таких изменениях, нет некоторых иных стандартных методик защиты веб-сайта.

Лучшее решение по производительности, условно хорошее по безопасности.

Цена: Начинается с 20$ / месяц.

  • Как подключить WordPress к Cloudflare. Подробное описание.

3. Wordfence Security


Wordfence Security — антивирус, брандмауэр и сканер вредоносных программ

Wordfence — популярный плагин безопасности WordPress со встроенным файрволом, который наблюдает за появлением на веб-сайте вредоносного кода, наблюдает за изменениями в файлах, SQL-инъекциями, защищает веб-сайт от DDoS, брут-форс и иных видов атак.

Wordfence — файрвол уровня сервера и приложения, то есть часть вредоносного трафика блокируется на сервере, часть — на веб-сайте.

Это эффективный метод борьбы с атаками на веб-сайт, но довольно ресурсозатратный в итоге. Также у Wordfence нет сети CDN.

У плагина есть проверка веб-сайта по запросу и по расписанию, функция вручную контролировать трафик и блокировать подозрительные IP напрямую в панели WordPress.

В бесплатной версии файрвол обновляется через 30 дней после занесения угрозы в базу плагина. Для включения онлайн обновлений необходимо оформить Премиум подписку.

Мое личное мнение — плагин пару сложный и запутанный, для освоения потребуется некоторое время.

Цена: Премиум версия начинается с 99$ / год за лицензию на 1 веб-сайт. Хорошие скидки на лицензии для нескольких веб-сайтов.

4. iThemes Security


iThemes Security(ранее Better WP Security)

iThemes Security — плагин из тройки лидеров, у которого есть база с последними хаками, бэкдорами и иными угрозами.

В бесплатной версии у плагина есть базовые параметра для защиты незараженного веб-сайта, но если вы хотели бы знать, когда файлы изменялись и делать подробный скан веб-сайта, вам необходимо купить премиум версию.

Ещё одна крутая функцию платной версии — бэкап веб-сайта. Если вы узнали, что веб-сайт был взломан, вместо поиска взлома вы можете восстановить более раннюю версию веб-сайта.

Цена: Начинается с 80$ / год за тариф Blogger.

5. SiteLock


SiteLock Security

SiteLock ещё одна компания, которая предоставляет DNS файрвол для защиты веб-сайта от атак, сканирование веб-сайта на вредоносный код и удаление вредоносного кода с веб-сайта. 

Для защиты и ускорения загрузки веб-сайта SiteLock предоставляет DNS файрвол и сеть CDN. Сервис предоставляет ежедневное сканирование веб-сайта, наблюдение за изменениями в файлах, оповещение о событиях и удаление вредоносного кода.

Все тарифы включают базовую защиту от DDoS атак, более продвинутая защита от DDoS атак доступна в виде аддона. На веб-сайте вы можете разместить фирменный банер, на котором написано, что веб-сайт защищен SiteLock.

Цена: Начинается с 20$ / месяц за тариф Pro, и 200$ / месяц за тариф Business.

6. Security Ninja


Security Ninja — Secure Firewall Secure Malware Scanner

Очень хороший плагин безопасности, который подключается к базе вредоносных IP. В базе находится более 600 млн. вредоносных адресов, которым можно без труда в полном объеме запретить вход на веб-сайт, либо запретить только функция авторизоваться.

Последнее время разработчик крепко за него взялся и постоянно улучшает функционал и интерфейс.

У плагина много параметров для защиты веб-сайта от различных видов атак, включая брут-форс атаки, атаки на базу данных, на устаревшие версии ПО и так далее. 

Есть 2 сканера по расписанию: сравнение файлов ядра с файлами в репозитарии WordPress и сканирование файлов на вредоносный код. Также есть логи событий, оповещение на е-мейл и оптимизация базы данных.

По сравнению с предыдущим плагином настраивается интуитивно.

  • Подробное описание Security Ninja Pro
  • Как усилить защиту Security Ninja Pro до лучших премиум-плагинов безопасности

Цена: Премиум версия начинается с 39,99$ / год за лицензию на 1 веб-сайт. Лицензия на 1 веб-сайт с лайф-тайм обновлениями следует 119$.

Наверное, самый дешевый и в то же время эффективный премиум-плагин.

7. All in One WP Security & Firewall


All In One WP Security Firewall

Большой бесплатный плагин со множеством параметров, имеет в себя встроенный файрвол на уровне сервера, защищает файлы веб-сайта и базу данных. 

Меняет стандартную страницу авторизации, скрывает версию WordPress, меняет префикс базы данных и ещё десятки иных возможностей. Ко всем возможностям есть описания.

Плагин скорее предназначен для предупреждения заражений, чем для лечения, так что его лучше устанавливать на свежий веб-сайт. На мой взгляд, лучший бесплатный плагин.

В платной версии добавляется сканер веб-сайта на наличие вредоносного ПО, проверка на нахождение веб-сайта в черных списках поисковиков, сообщения на е-мейл о событиях веб-сайта, ап-тайм веб-сайта, очистка от заражений и удаление из черных списков.

Цена: Премиум версия начинается с 49,95$ / год за лицензию на 1 веб-сайт. 

8. BulletProof Security


BulletProof Security

Ещё один популярный плагин безопасности для WordPress, у которого есть файрвол на уровне веб-сайта, защита страницы авторизации, бэкап базы данных, режим техобслуживания веб-сайта и много иных параметров для увеличения безопасности веб-сайта. 

У плагина пару сложный интерфейс, но в нем есть Мастер установки, который помогает изменить плагин и имеет файрвол. 

В бесплатной версии плагина нет сканера файлов на заражение вредоносным кодом, в платной версии добавляется функцию отслеживания вторжений и вредоносных файлов в папке .../uploads/

Цена: Бесплатная базовая версия плагина. Версия Pro следует 69,95$ на неограниченное число веб-сайтов и life-time обновления. 

Заключение

Чем лучшую защиту предоставляет сервис или плагин, тем дороже он следует. Самую лучшую защиту и самый лучший сервис предоставляет Sucuri: комплексная защита веб-сайта, обработка всех входящих запросов на сервере Сукури, сеть CDN и гарантия бесплатного лечения веб-сайта в случае, если веб-сайт взломают. 

  • Подробное описание бесплатного плагина Sucuri Security
  • Мощная защита веб-сайта с файрволом на уровне сервера на основе бесплатной версии Sucuri Security

Cloudflare больше специализируется на ускорении веб-сайта, но предоставляет хороший уровень защиты, который можно усилить каким-нибудь плагином.

  • Как подключить Cloudflare к WordPress. Подробная инструкция

Wordfence предоставляет хорошую защиту, но из минусов — годовая подписка и файрвол на уровне веб-сайта, который будет нагружать сервер.

У плагина Security Ninja есть 2 сканера c расписанием сканирования, оповещение на емейл, подключение к динамической базе вредоносных IP и много иных пассивных параметров.

К данным параметрам можно добавить пару параметров вручную и усилить плагин до уровня хороших платных плагинов.

  • Подробное описание Security Ninja Pro
  • Дополнительные параметра для Security Ninja Pro

All in One WordPress Security — хороший бесплатный плагин, но в нем нет сканера веб-сайта, нет расписания и оповещений на емейл. Все это находится в платной версии.

У всех плагинов есть плюсы и минусы. Как вариант, пару плагинов можно объединить, но некоторые из них могут работать вместе, а некоторые — нет.

Приглашаю вас на курс, в котором вы настроите безопасность WordPress при помощи нескольких плагинов и нескольких ручных параметров, которые дополняют друг друга и используют файрволы всех трёх типов: Безопасность WordPress за 2 вечера. Настроил и забыл.

Читайте также:

  1. Минимальная безопасность WordPress
  2. Подробное руководство по безопасности WordPress
  3. Бэкап веб-сайта. Подробное описание

Надеюсь, статья была полезна. Оставляйте комментарии.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *