Плагины        08 июня 2017        433         0

Лучшие плагины для безопасности WordPress: обзор

Лучшие плагины для безопасности сайтов на WordPress - обзорCMS WordPress не самодостаточна, для полноценной работы с ней требуется установка сторонних плагинов. Это не обошло стороной и обеспечение безопасности: из-за популярности движка, для него написано множество автоматических сканеров и вирусов, а хакеры быстро и беспощадно эксплуатируют открывающиеся уязвимости. Чтобы противостоять им, нужны специальные инструменты.

 

 

All In One WP Security

Плагин All In One WP Security
На панели настроек есть индикатор, шкала которого отображает уровень безопасности сайта. Есть неполная русская локализация, у опций присутствуют краткие описания. Блоки настроек располагаются на отдельных страницах с несколькими вкладками.

 

Пример панели управления All In One WP Security:

Панель управления плагина All In One WP Security

Возможности плагина All In One WP Security

  • Управление блокировками, просмотр логов и информации о системе.
  • Создание резервных копий для: «.htaccess», «wp-config.php», базы данных.
  • Импорт и экспорт настроек плагина.
  • Удаление информации о версии WordPress.
  • Отображение информации о профилях пользователей, которые являются небезопасными (популярные ники, ник совпадает с логином и прочее).
  • Противодействие перебору паролей с множеством опций для тонкой настройки. Отслеживание ошибочных авторизаций, настройка длительности сессий, журналы активности аккаунтов, отображение активных сессий.
  • Вывод CAPTCHA на странице регистрации, скрытые поля для выявления роботов.
  • Смена префикса таблиц БД.
  • Проверка прав для файлов и директорий, отключение редактора кода. Запрет доступа к: «readme.html», «license.txt» и «wp-config-sample.php». Просмотр системных журналов.
  • WHOIS поиск по домену или IP-адресу.
  • Чёрный список IP-адресов и user-агентов.
  • Многофункциональный файрвол, предотвращающий множество типов атак и прочие нежелательные действия. Содержит отслеживание ошибок 404, блокировку ссылок на изображения с других сайтов, фильтры запросов и многое другое.
  • Изменение адреса страницы авторизации. Доступ к авторизации только при наличии специального Cookie. CAPTCHA в форме авторизации и восстановлении пароля. Белый список IP-адресов для авторизации. Отсев роботов с помощью скрытых полей.
  • Уменьшение спама в комментариях (противодействие ботам). Автоматическая блокировка спамеров по IP-адресу. Есть поддержка BuddyPress.
  • Отслеживание изменений в файлах и автоматическое уведомление на e-mail при их обнаружении.
  • Режим обслуживания для сайта, когда доступ есть только у администраторов.
  • Блокировка копирования текста со страниц сайта.
  • Предотвращение показа сайта через фреймы.
  • Предотвращение доступа к профилям пользователей по ссылкам с ID (отключение нумерации).

 

iThemes Security

Плагин iThemes Security

Богатый функционалом плагин, в котором есть всё необходимое, чтобы защитить сайт на WordPress от множества типов атак. Важная особенность: бесплатная версия не является сильно урезанной, благодаря чему данное решение и набрало популярность. Есть возможность настроить уведомления, белые и чёрные списки, тексты сообщений, поведение модулей. Присутствует частичный перевод на русский язык.

Блоки настроек iThemes Security

  1. Проверка безопасности — быстрое включение основных модулей в один клик.
  2. Основные настройки — включение некоторых модулей, управление оповещениями, белыми и чёрными списками, отображаемыми сообщениями. Там же настраивается время блокировок.
  3. Отслеживание ошибки 404 — обнаружение и предотвращение сканирования сайта на уязвимости.
  4. Режим «Нет на месте» — войти на сайт можно только в заданное время.
  5. Заблокированные пользователи — управление банами по различным характеристикам.
  6. Local Brute Force Protection — защита от перебора паролей.
  7. Резервные копии базы данных — настройка автоматического бэкапа БД, который может отправляться по e-mail.
  8. Обнаружение изменений файлов — модуль, который выдаёт уведомления при изменениях в коде, что весьма полезно для обнаружения взлома.
  9. File Permissions — проверка правильности установленных прав для файлов и директорий.
  10. Network Brute Force Protection — та же защита от перебора, но усовершенствованная: используется централизованная база данных о попытках взлома. Имеют значение не только локальные действия хакера, но и атаки на другие сайты.
  11. SSL — включение шифрования для всего сайта или его части.
  12. Strong Password Enforcement — принудительное использование сложных паролей для выбранной группы пользователей.
  13. Тонкая подстройка системы — блокировка различных видов атак, содержит множество функций по защите сайта.
  14. Подстройка WordPress — такой же по смыслу блок с идентичным описанием.
  15. WordPress Соли — предназначается для изменения солей.
  16. Спрятать страницу входа на сайт — изменение стандартных адресов регистрации и входа, чтобы злоумышленники не могли их найти для попыток атаки.
  17. Пользователь с правами администратора — изменение атрибутов пользователя с ID 1.
  18. Изменить место хранения контента — использование другой директории вместо «wp-content», что отсеивает автоматические атаки.
  19. Change Database Table Prefix — изменение префикса таблиц в базе данных. Это усложняет работу взломщикам и отсеивает некоторые вирусы.
  20. Server Config Rules — отображает настройки, которые нужно внести в файл «.htaccess» вручную.
  21. Правила wp-config.php — то же самое, только для файла «wp-config.php».

 

Пример панели настроек плагина iThemes Security:

Панель настройки плагина iThemes Security

Версия «PRO» содержит ещё 9 дополнительных блоков, усиливающих безопасность WordPress.

 

Wordfence Security

Плагин Wordfence Security

Похож на iThemes Security и All In One WP Security, но содержит лишь самые основные опции, которые есть у аналогов. В них входит:

  • сканирование сайта;
  • многофункциональный файрвол;
  • чёрный список (различные блокировки);
  • отображение текущей активности на сайте;
  • проверка сложности паролей (используются словари);
  • отслеживание изменений в файлах;
  • предотвращение перебора паролей;
  • отключение нумерации пользователей;
  • белый список IP-адресов, на которые не действуют блокировки;
  • скрытие версии WordPress;
  • противодействие спаму;
  • экспорт и импорт настроек;
  • и некоторые другие возможности.

Не имеет русской локализации, полностью на английском языке, поэтому, если у вас есть трудности с переводом, то лучше выбрать другой плагин.

 

Security Ninja

Плагин Security Ninja
Плагин для сканирования сайта на уязвимости и проблемы. В бесплатной версии доступно только проведение основных тестов безопасности. Но полная версия представляет интерес, в ней есть:

  • Сканирование файлов WordPress: поиск проблем и модификаций в них, автоматическое восстановление.
  • Автоматическая проверка и исправление 30 известных проблем.
  • Сканирование антивирусом.
  • Отслеживание 50 различных действий и отправка логов на e-mail.
  • Запланированные сканирования с уведомлением по e-mail.

 

Заключение

Мы рассмотрели пожалуй три самых популярных плагина для настройки безопасности CMS WordPress плюс один плагин, который можно использовать изредка для сканирования.  На наш взгляд они все хороши, но мы бы использовали их в том порядке, как они перечислены в статье.

Коротко основные итоги:

  • All In One WP Security — богатый функционал, индикатор безопасности, русифицированный интерфейс;
  • iThemes Security — отличный функционал, частичная русификация, простота использования;
  • Wordfence Security — базовые настройки безопасности, нет русского языка;
  • Security Ninja — использование только время от времени для сканирования сайта, в бесплатной версии достаточно урезанный функционал, нет русского языка.

Существуют и другие плагины, не заслуживающие подробного рассмотрения, так как похожи на представленные аналоги, но по сравнению с ними имеют значительно урезанный функционал. Вот некоторые из них:

  • BulletProof Security;
  • Acunetix WP Security;
  • Jetpack от WordPress.com.

 

_______________________________________

Читайте также — 12 шагов на пути к безопасности WordPress

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *