Злоумышленники ведут серийный «обстрел» сайтов на базе WordPress в надежде найти и скомпрометировать уязвимые. В прицеле – старые, давно не обновлявшиеся плагины с XSS-уязвимостями.
Новость от cnews.ru от 28 мая: уже миллион сайтов на WordPress атакован с 24 тыс. IP-адресов
Хакеры пытаются перенаправить пользователей на сторонние вредоносные ресурсы или подсадить бэкдор. Атаки осуществлялись как минимум с 24 тыс. адресов. Атаки начались 28 апреля 2020 г.; к 3 мая количество предпринятых попыток атаковать сайты на WordPress перевалило за 20 млн.
«Вероятнее всего, злоумышленники ведут «ковровую бомбардировку» в надежде зацепить уязвимый ресурс, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — КПД у этой кампании вряд ли очень высокий: как видно, не так много сайтов содержат уязвимые плагины. Хотя нельзя исключать, что вышеприведенным списком мишени не ограничиваются. В любом случае, администраторам ресурсов рекомендуется произвести у себя весеннюю уборку, обновить все плагины и избавиться от не поддерживаемых».
Предлагаем обзор 10 лучших плагинов защиты WordPress
1. WordFence Плагин безопасности WordPress
WordFence - самый загружаемый плагин безопасности WordPress с 1+ миллионами активных установок на сегодняшний день. Это полнофункциональный, мощный и постоянно обновляемый плагин безопасности для WordPress.
Этот плагин обеспечивает защиту от взлома, вредоносных программ, вредоносного трафика и других функций, которые делают WordFence одним из самых мощных бесплатных плагинов для безопасности WordPress .
Вот некоторые функции WF, которые добавляют дополнительный уровень безопасности WordPress:
- WordPress Firewall.
- Особенности блокировки.
- Сканирование безопасности.
- Безопасность входа.
- Особенности мониторинга.
- Multi-Site Security.
- Основная тема и плагины поддерживаются.
- Совместимо с IPv6.
WordFence также имеет API премиум-класса, который добавляет дополнительные функции, такие как блокировка страны, сканирование по расписанию, расширенная поддержка и двухфакторная аутентификация, что позволяет входить в WordPress с помощью пароля и мобильного телефона. Премиум-план также проверяет, используется ли IP вашего сайта для рассылки спама.
2. iThemes Security (ранее Лучшая WP Security)
Это бесплатный плагин безопасности WordPress от известных тем WordPress и плагинов разработчика iThemes. Он дает пользователю более 30 способов защитить сайт на WordPress.
С одной стороны, он поставляется с установкой в один клик для легкой настройки плагина, с другой стороны, его расширенные параметры безопасности могут быть легко настроены с панели инструментов.
iThemes Security выполняет следующие функции:
- исправляет распространенные уязвимости безопасности,
- помогает пользователям выбирать надежные пароли,
- останавливает автоматические атаки
- выполняет другие функции безопасности.
- Для удобства обслуживания на панели инструментов плагина есть контрольный список безопасности.
3. Плагин Sucuri Security для WordPress
Sucuri является известным и авторитетным среди пользователей WordPress и обеспечивает безопасность веб-сайтов. Плагин WordPress Security является инструментом сканирования и мониторинга для WordPress.
Этот бесплатный плагин WordPress Security имеет 4 основных функции:
- аудит активности безопасности,
- удаленный сканер вредоносных программ,
- мониторинг целостности файлов
- общее усиление безопасности WordPress.
Этот бесплатный плагин безопасности предназначен для опытных пользователей и разработчиков, так как требует понимания кодов и файлов в WordPress. Рекомендуем использовать этот плагин с другим плагином безопасности WP, таким как WordFence или iThemes Security, чтобы обеспечить наилучший уровень безопасности.
4. MalCare Security and Firewall
Еще один интересный бесплатный плагин безопасности для WordPress - MalCare Security and Firewall. Как следует из названия, плагин является одновременно и плагином безопасности, и брандмауэром. Он также поставляется со встроенной системой защиты входа в систему, которая защищает панель администратора WordPress от попыток блокировать попытки входа в систему.
- Сканер вредоносных программ плагина сканирует код вашего сайта на наличие 100 сигналов вредоносного кода. Эти сканирования вредоносных программ выполняются автоматически ежедневно.
- Плагин отслеживает изменения файлов для раннего обнаружения вредоносной активности вредоносных программ и вирусов.
- Включает интеллектуальный межсетевой экран на основе правил. Брандмауэр отслеживает весь трафик, включая посещения, попытки входа в систему и ошибки, и сохраняет их в базе данных.
- Серверы MalCare регулярно собирают данные со всех сайтов, анализируют их и используют для предотвращения атак на сайты в своей сети.
- Так как большая часть работ выполняется на стороне MalCare, а не на клиентской, то выполняя процессы безопасности на серверах MalCare, плагин не повлияет на производительность и скорость вашего сайта.
Более того, если необходимо больше функций безопасности, можно воспользоваться премиальной службой безопасности MalCare, которая включает автоматическое удаление вредоносных программ, встроенные резервные копии за пределами площадки и многое другое.
5. Все в одном WP Безопасность и брандмауэр
Все в одном Плагин WordPress Security & Firewall является одним из наиболее предпочтительных плагинов WordPress Security для начинающих. Благодаря удобному интерфейсу, который упрощает настройку параметров безопасности.
Этот бесплатный плагин безопасности для WordPress значительно улучшит безопасность вашего сайта
- Мощный брандмауэр предотвращает изменение кода WordPress вредоносными скриптами.
- Брандмауэр также блокирует фальшивые боты Google от сканирования вашего сайта и может предотвратить горячие ссылки на изображения вашего сайта.
- Плагин имеет мощные функции безопасности, такие как блокировка входа в систему, чтобы IP-адрес не мог угадать ваш пароль, постоянно делая неудачные попытки входа в систему «Brute Force Attack».
- Имеет очень полезный инструмент, который помогает создать надежный пароль для вашей учетной записи.
Shield Security - бесплатный плагин безопасности для WordPress, который имеет высокий рейтинг в каталоге плагинов WordPress.org. Плагин фокусируется на том, чтобы быть максимально незаметным, сводя к минимуму предупреждения и уведомления и автоматизируя большинство функций. Он поставляется с управляемым мастером настройки, который упрощает настройку плагина Shield Security.
Возможности плагина Shield Security включают
- Защита от автоматических атак грубой силы, выполняемых ботами, путем ограничения попыток входа в систему
- Автоматически заносит в черный список нарушающие IP-адреса
- Обнаружение вредоносных изменений файлов путем сканирования файлов ядра WordPress
- Встроенная автоматическая защита от спама
- Двухфакторная аутентификация через электронную почту и приложение Google Authenticator
В рамках наших экспертных услуг мы бесплатно переведем ваш сайт на наш сервер. Это связано с важными параметрами безопасности, которые мы применяем для сайтов на WordPress, расположенных на нашем сервере, чтобы предотвратить возможности взлома.
7. Cerber Security, защита от спама и вредоносных программ
Еще один высококлассный бесплатный плагин безопасности для WordPress - это Cerber. Плагин поможет защитить ваш блог на WordPress путем ограничения попыток входа в систему, сканирования файлов сайта и папок на наличие вредоносных программ.
Cerber Security также поставляется с проверкой целостности файлов, двухфакторной аутентификацией, запланированными проверками, защитой от спама и ботов, черными / белыми списками IP-адресов и многим другим…
8. Пуленепробиваемая безопасность
Пуленепробиваемая безопасность Плагин WordPress защищает ваш веб-сайт / блог WordPress, добавляя мощный брандмауэр, защищая базу данных и создавая ее резервные копии, а также от атак входа в систему Brute Force.
Он также сканирует файл .htaccess на наличие вредоносных кодов, которые могут повлиять на скорость и безопасность веб-сайта. Плагин легко настраивается благодаря мастеру установки одним нажатием, кроме того, вы также можете настроить его расширенные параметры, активировав ручной режим.
9. Плагин безопасности Acunetix WP
Этот бесплатный и всеобъемлющий плагин безопасности WordPress поможет вам защитить ваш сайт, созданный на WordPress, выполняя сканирование на наличие уязвимостей.
Этот плагин также скрывает версию WordPress для не-администраторов на внутренней панели, удаляет мета-тег WP Generator из основного кода, защищает права доступа к файлам, пароли и позволяет легко выполнять резервное копирование базы данных WordPress и другие параметры безопасности.
10. Google Authenticator
Google Authenticator - последний плагин безопасности WordPress в нашем списке. Он добавляет двухэтапную или двухфакторную аутентификацию в WordPress, вместо входа в систему с использованием только имени пользователя и пароля, для каждого нового устройства выполняется другой метод аутентификации, например, для текстовых сообщений, голосового вызова или мобильного приложения.
Этот второй метод аутентификации требуется один раз для каждого устройства. Плагин также поддерживает ключи безопасности, подключенные к USB-порту.
Ответственность за безопасность вашего веб-сайта лежит на вас, поэтому доверяйте профессионалам установку WordPress и защиту вашего сайта.
Мы имеем большой опыт работы с сайтами на WordPress
Команда АВАНЗЕТ обладает действительно огромным опытом (более 10-ти лет) и знаниями во всех областях веб-разработки, технической поддержки и обслуживания сайтов на WordPress. Мы готовы помочь вам во всех вопросах: от установки защиты, улучшения показателей конверсии, привлечения большего количества потенциальных клиентов и просто организовать стабильную повседневную работу вашего ресурса.
Если вы заметили, что ваш сайт взломали, значит ему нужна Надежная защита и обслуживание сайта на WordPress. Обращайтесь в веб-студию АВАНЗЕТ, будем рады помочь.
