В данной статье мы перечислим коммерческие и бесплатные плагины, которые помогут обеспечить безопасность сайта, созданного на CMS WordPress.
*Примечание: все цены указаны в долларах и являются актуальными на момент написания статьи.
1. SUCURI
SUCURI – это облачный межсетевой экран, CDN, мониторинг и защита от DDoS, и все это в одном флаконе.
Это самостоятельный, нейтральный касательно платформы сервис, который совместим с любыми CMS или веб-настройками. В первую очередь, он подходит для использования с WordPress, Joomla, Drupal и Magento.
Данный комплект инструментов обойдется читателям в 199,99$ в год. В нем есть все, о чем можно просить (сканирование взломов, мониторинг черного списка, защита от DDoS, CDN, SSL, межсетевой экран), а также поддержка 24/7 и 30-дневная гарантия возврата денег.
2. Wordfence
Wordfence в настоящее время уже стал именем нарицательным в английском языке, инструмент является одним из лучших плагинов типа «freemium». Даже после более 2 миллионов активных установок он сохраняет за собой почти идеальный рейтинг и считается обязательно необходимым для установки (по словам опытных администраторов WordPress).
Настоящее «сокровище» этого плагина спрятано в его премиум-версии, приобретая которую пользователь получает возможность использовать межсетевой экран, а также другие сногсшибательные функции (фильтрацию IP-адресов, блокировку по стране, сканирование бэкдора).
Вишенка на торте – это панель управления отчетами, доступная прямо из меню администратора WordPress.
Данный инструмент обойдется читателям в 99$ в год.
3. iThemes Security
iThemes – достаточно известное имя в сфере управления хостингами WordPress, но у них также есть удивительный плагин безопасности премиум-класса под названием iThemes Security. Это еще один инструмент, который дает пользователю возможность воспользоваться некоторыми полезными функциями программы для своей выгоды.
- «File change detection»: WordPress (почти) полностью посвящен файлам и тому, что в них содержится. Когда плагин добавляется в систему, он «приносит с собой» свои файлы; когда ядро обновляется, несколько файлов заменяются. Это означает, что если кто-то получит доступ к веб-сайту пользователя и будет внедрять вредоносный код, изменения файлов – это одна из первых вещей, на которую нужно обратить внимание.
- «404 detection»: наибольшую угрозу для большинства веб-сайтов представляют не отчаянные хакеры, а боты, которые продолжают свои бессмысленные, но тщательные атаки. К примеру, бот WordPress, предназначенный для взлома системы, начнет с поиска ключевых URL-адресов в настройках, что могут быть скомпрометированы. Например, он может искать слова: «/admin», «/members-only», «/private», надеясь найти страницу, которая предоставляет доступ к сайту после взлома пароля. Поскольку этот бот может только догадываться и перебирать варианты один за другим, он сгенерирует множество 404 (не найденных) запросов на сервере. Другими словами, он попросит, чтобы его заблокировали, тем самым сообщая об имеющейся проблеме.
Читатели смогут защитить до 10 веб-сайтов за 127$ в год (это примерно 12,7$ в год за один сайт).
4. Cloudflare
Скорее всего, читатели уже слышали о Cloudflare ранее – это одно из лучших предложений, когда речь заходит о высокопроизводительной CDN. Конечно, имеется в виду, что вы не исследовали CDN самостоятельно, тогда Cloudflare, вероятно, первое, что приходит на ум.
Pro plan – это инструмент безопасности отраслевого уровня, что используется такими компаниями, как Discord, Crunchbase, Udacity, ZenDesk, Cisco.
Cloudflare совместим не только с WordPress. Это чрезвычайно серьезное, высокопроизводительное предложение для компаний, у которых все движется с бешеной скоростью и которые не могут позволить себе никаких проблем с безопасностью, какими бы незначительными они ни были.
Pro plan стоит достаточно дорого (базовый вариант обойдется читателям в 20$ в месяц), но он содержит такие приятные функции, как оптимизация изображений и мобильных устройств.
5. Malcare
Читатели могут защитить свой сайт WordPress от вредоносных программ с помощью плагина Malcare.
В наши дни, когда непрерывно растет количество хакеров и спам-сайтов, заразиться различными вирусами относительно легко, поэтому всегда нужно быть к этому готовым. К счастью, такие плагины, как Malcare, позволяют мгновенно удалить вредоносные программы с сайтов вручную или автоматически, в зависимости от предпочтений владельца.
Самое замечательное в этом плагине то, что он запускается и готов к работе уже через минуту. Вдобавок к этому, он не замедляет работу веб-сайта, потому что выполняет сканирование на серверах.
Даже если веб-сайт уже взломан и заражен, Malcare может исправить эту ситуацию менее чем за минуту, не манипулируя ни одним из «чистых» файлов. Поскольку профилактика лучше, чем лечение, его алгоритм может обнаруживать даже самые сложные угрозы, которые представляют значительную опасность для данных и активов. Malcare продолжит блокировать их в режиме реального времени, как только обнаружение будет завершено.
Помимо упомянутых выше функций, в нем также есть дополнительные параметры, которые могут оказаться очень полезными, такие как:
- массовое обновление веб-сайта (включает в себя обновление темы, плагинов);
- укрепление защиты веб-сайта с использованием лучших методов безопасности;
- постоянная связь с членами команды для продумывания оборонительных действий;
- интеллектуальный вход на основе капчи для предотвращения попыток проникновения вредоносных ботов.
После добавления этого надежного плагина на свой сайт WordPress у хакеров не будет шансов манипулировать ресурсом.
6. Google Authenticator
Google Authenticator для WordPress – это простой плагин, который позволяет добавить двухфакторную аутентификацию. Приложение аутентификатор доступно для скачивания на устройствах iPhone и Android.
Можно активировать двухфакторную аутентификацию для каждого пользователя поверх обычного пароля.
7. WP Security Audit Log
WP Security Audit Log помогает регистрировать каждое отдельное событие на веб-сайте. Он также совместим с WordPress. Используя этот плагин, пользователь может обеспечить ресурсу безопасность и производительность, а также грамотно организовать весь рабочий процесс.
Плагин уже установили более 70 000 раз. Он является неотъемлемым инструментом для администраторов WordPress и специалистов в сфере ИБ.
Характерные черты:
- отслеживает практически все действия на сайте WordPress;
- отслеживает действия пользователя, такие как смена пароля;
- отчетность составляется с точностью до миллисекунд;
- записывает IP-адреса.
8. WPS Hide Login
WPS Hide – это простой плагин, который позволяет легко изменять URL-адрес входа администратора. Деактивация плагина возвращает сайт точно в то состояние, в котором он был раньше.
Изменение URL-адреса администратора станет хорошей идеей, если необходимо скрыть страницу входа от злоумышленника, чтобы избежать автоматических атак типа брутфорс.
9. BulletProof Security
BulletProof Security предлагает своим клиентам сканер вредоносных программ, межсетевой экран, безопасный вход в систему, резервное копирование БД, защиту от спама.
Этот плагин имеет мастер настройки в один клик, с помощью которого пользователь может защитить свой сайт.
Характерные черты:
- сканер вредоносных программ;
- защита .htaccess;
- выход из сеанса;
- мониторинг входа в систему, ведение журнала безопасности;
- защита от спама по эл. почте;
- встроенный межсетевой экран.
BulletProof Security также имеет PRO-версию, которая включает в себя расширенные параметры обеспечения безопасности сайта.
10. Cerber Security
Cerber Security защищает сайт от хакерских атак, спама, троянов и вредоносных программ.
Можно смягчить последствия атак брутфорс, ограничив количество попыток входа в систему с помощью запросов XML-RPC / REST API или используя файлы cookie для аутентификации.
Характерные черты:
- разрешает или ограничивает доступ в соответствии с белым списком;
- автоматически обнаруживает и перемещает спам-комментарии в корзину или запрещает их добавление;
- «режим цитадели» для защиты от атак брутфорс;
- есть защита от DDOS-атак;
- скрывает wp-login.php и wp-signup.php от возможных атак;
- немедленно блокирует IP-адрес или подсеть при попытке войти в систему с несуществующим именем пользователя;
Плагин является бесплатным.
11. Block Bad Queries
Block Bad Queries (или BBQ) проверяет весь входящий трафик и без шума блокирует вредоносные запросы, содержащие неприятные вещи, такие как eval(, base64_ и чрезмерно длинные строки запроса.
Это простое, но прекрасное решение для сайтов, которые не могут использовать надежный межсетевой экран .htaccess.
Характерные черты:
- помогает блокировать атаки с использованием SQL-инъекций;
- сканирует весь входящий трафик и блокирует вредоносные запросы;
- предоставляет статистику, связанную с ущербом и количеством проведенных атак;
- помогает блокировать атаки типа «directory traversal».
12. Anti-Malware Security and Brute-Force Firewall
Anti-Malware Security and Brute-Force Firewall запускает полную проверку сайта, чтобы автоматически удалить известные угрозы безопасности и скрипты бэкдора.
Он также включает в себя межсетевой экран, который блокирует SoakSoak и другие вредоносные программы, не позволяя им использовать Revolution Slider и другие плагины.
Характерные черты:
- отключение XMLRPC;
- предотвращение атак брутфорс и DDoS-атак;
- проверка целостности основных файлов.
Anti-Malware Security and Brute-Force Firewall – это программное обеспечение с открытым исходным кодом и, следовательно, бесплатное.
13. All In One WP Security & Firewall
All In One WP Security & Firewall – комплексный, простой в использовании, стабильный и постоянно обновляемый плагин WordPress, который добавляет дополнительный уровень безопасности и межсетевой экран на сайт. С помощью различных инструментов он обеспечивает соблюдение надлежащих политик безопасности.
Характерные черты:
- принудительное создание надёжных паролей;
- препятствование работы вредоносных ботов;
- блокировка входа в систему на основе IP-адреса или иных действий;
- защита от атак брутфорс, XSS.
Автор переведенной статьи: Ankush.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Pulse.