Обзор: 7 лучших плагинов для защиты сайта на WordPress

В этой статье я расскажу про лучшие плагины защиты WordPress от взлома, спама в комментариях, вирусов, брутфорс и других типов атак. Есть много способов взломать сайт на этой CMS, не все плагины могут защитить от них. Я отобрал наиболее эффективные плагины безопасности Вордпресс.

Также рекомендую ознакомиться:

Перед тем как перейти к описанию правильной защиты сайта от вирусов и малвара, хотелось порекомендовать хостинг NETX. Использую его с августа 2019 года, до сих пор не было проблем. Цены не просто удивляют, а поражают. За 16 долларов в год я получаю 15 ГБ SSD и возможность разместить 5 сайтов. Когда закончится срок действия других хостингов - перенесу их все сюда.

Как составлялся ТОП

Многие составляют рейтинги по популярности. Я считаю такой подход неправильным. Если один плагин был разработан в 2012 году, с того момента его установило больше пользователей, чем разработанный в 2016. Это естественно. К тому же, старые плагины более известны, но не всегда лучше.

Количество установок не говорит о качестве плагина. Я смотрю на оценки и их соотношение к инсталляциям. Да и не факт, что все установки активные. А вот выбор пользователей о чем-то говорит. В этой подборке плагинов я собрал те, у которых средняя оценка 5. Оговорюсь, что это мое субъективное мнение. Каким плагином защитить сайт – выбирать вам.

№7 Wordfence Security

Логотип Wordfence Security в официальном репозитории WordPress

Плагин недоступен на русском языке, есть только английская версия. В бесплатной версии Wordfence Security можно настроить такие параметры файрвола:

  • Черный и белый список IP адресов;
  • Заблокировать доступ к определенным URL сайта;
  • Настроить более 100 правил защиты от атак (для этого нужно разбираться в них);
  • Ограничить частоту и время попыток входа (защита от брутфорс);
  • Задать правила использования логинов и паролей.

Отдельно можно задать правила для роботов Google, отображения страницы 404. Блокировка пользователей, попытавшихся залогиниться через админку работает отлично. За 24 минуты у меня было 29 попыток несанкционированного входа!

Журнал Попыток входа в админку, заблокированных плагином Wordfence Security
Попытки входа в админку, блокированные плагином Wordfence Security.

Среди инструментов есть проверка WHOIS по IP адресу, диагностика сайта. В последней много технической информации, которую простому пользователю не понять. Но для продвинутых админов она будет полезной.

Для защиты от брутфорса есть возможность настроить 2-х факторную аутентификацию, капчу. Настроек маловато, так что защита от перебора логинов-паролей так себе. Например, нельзя задать собственный адрес страницы входа в панель администратора.

Не понимаю, почему у плагина такое количество установок. Наверное, от того что в нем есть базовые настройки безопасности, которые многих устраивают. Но, их можно обойти, если за дело возьмется профессиональный взломщик или хакер. Единственное что радует – хороший сканер уязвимостей.

Плагин Wordfence Security имеет гадкую особенность. Он после деинсталляции оставляет мусорные строки в файлах .htaccess и .user.ini. Это не влияет на работу сайта, пока не потребуется перенести его на другой хостинг. Сегодня решал проблему.

Если после переезда ресурса на другой хостинг выдается ошибка: «Страница недоступна сайт пока не может обработать этот запрос http error 500», проверьте эти файлы. В них прописан путь к wordfence-waf.php. Он остается старым и вызывает ошибку.

Если вы не используете плагин Wordfence Security, смело удаляйте все, что с ним связано. В файлах .htaccess и .user.ini это все, что находится между строками «# Wordfence WAF» и «# END Wordfence WAF». После этого проблема будет решена.

Официальная страница: https://www.wordfence.com/.

Плагин в репозитории WordPress: https://ru.wordpress.org/plugins/wordfence/.

№6 WP Hide & Security Enhancer

Простой в управлении плагин, с помощью которого можно организовать базовую защиту сайта на WordPress. Можно использовать в качестве дополнительной меры безопасности. К сожалению, описания функций плагина доступны только на английском.

Изображение WP Hide & Security Enhancer в репозитории ВордПресс

Особенность WP Hide & Security Enhancer: он прячет многое, через что злоумышленники могут получить доступ. Плагин позволяет изменить:

  • Адрес расположения файлов тем;
  • Расположение файла стилей style.css;
  • Адрес системных папок Вордпресс;
  • URL комментариев, записей автора, результатов поиска;
  • Путь к XML-RPC;
  • Отдельные мета-данные из HTML кода страницы;
  • Рабочие файлы уз корневой папки.

С помощью плагина защиты можно управлять JSON REST и показом слэша в конце адреса страницы. Можно настроить показ и скрытие верхней панели администратора для разных типов участников.

Кроме этого есть много других настроек, которые применяются к отдельным элементам и файлам. Если подойти к ним с умом, можно уменьшить риск взлома сайта. Похожего функционала нет ни у одного плагина защиты сайта от вредоносного ПО и атак.

WP Hide & Security Enhancer – не совсем стандартный способ защиты сайта. Мое мнение – этот плагин стоит установить и настроить, несмотра на то что его рейтинг 4,5. Единственный нюанс: обязательно сделайте резервную копию настроек:

Сохранение настроек WP Hide & Security Enhancer
Плашка для сохранение настроек для сброса WP Hide & Security Enhancer.

Официальная страница: https://www.wp-hide.com/.

Плагин в репозитории WordPress: https://ru.wordpress.org/plugins/wp-hide-security-enhancer/.

№5 Cerber Security

Довольно неплохой плагин, русифицирован, но переводы оставляют желать лучшего. Подойдет для небольших сайтов, на взлом которых нецелесообразно тратить много ресурсов. Настройки простые, но защитить от средних атак поможет.

Изображени плагина Cerber Security в официальном репозитории

В плагине безопасности WP Cerber Security реализована сильная защита от входа в панель администратора. Доступно много опций, таких как:

  • Настройка количества и частоты попыток входа;
  • Белые и черные списки IP с гибкими настройками;
  • Взаимодействие с Cerber Lab (облачной базе вредоносных IP-адресов);
  • Сиена URL страницы входа в админку;
  • Блокировка доступа к XML-RPC, RSS, Atom и RDF, рабочим системным файлам.

В плагине можно настроить отдельные опции для каждого типа пользователя (администратор, редактор, подписчик и т.д.). Сюда входят перенаправления при входе и выходе, время сессии, двухфакторная авторизация.

Также есть встроенный сканер файлов ресурса. К сожалению, автоматическое сканирование, очистку, восстановление и перемещение в карантин можно настроить только в платной версии. В бесплатной доступно только ручное сканирование. Плагин отслеживает:

  • Появление новых файлов;
  • Изменения в существующих файлах;
  • Контрольные суммы;
  • Нежелательные (опасные) расширения;
  • Несопровождаемые файлы.
Тарифы Cerber Security
Тарифы плагина Cerber Security.

У WP Cerber Security есть хорошая защита от спама в комментариях. Он автоматически определяет ботов. Также есть возможность включить и отключить reCAPTCHA для разных типов заполняемых полей и форм.

У плагина есть своя уникальная фишка – Cerber.Hub. с помощью этой функции можно настроить доступ ко всем своим сайтам. После их подключения, можно управлять каждым сайтом, не выходя из административной панели основного. К сожалению, функция доступна только в платной версии. В бесплатной она работает в режиме «только чтение».

Как в большинстве плагинов безопасности сайта на WordPress, у WP Cerber Security есть возможность импорта и экспорта настроек, диагностика технических характеристик ресурса и сервера, журналы сканирования. Кроме них полезных инструментов нет.

В общем, плагин хорош, но в бесплатной версии многого не хватает. Базовых настроек хватит для защиты среднего уровня. Но сильный хакер или взломщик сможет обойти ее без каких-то особых проблем.

Официальная страница: https://wpcerber.com/.

Плагин в репозитории WordPress: https://ru.wordpress.org/plugins/wp-cerber/.

№4 NinjaFirewall

Неплохой плагин, который решает специфические задачи. К сожалению, доступен только на английском, французском и русском языке. Думаю, он стал популярным, так как во многих других плагинах нет контроля за определенными изменениями на сайте.

Логотип плагин NinjaFirewall в репозитории WordPress

Чтобы получить доступ ко всем настройкам, плагин нужно переключить в режим Full WAF. Тогда вы сможете блокировать или разрешить прямой доступ к файлам php в папках:

  • wp-admin;
  • wp-includes;
  • wp-content;
  • cache.

Также можно разрешить или запретить сканирование и карантин разных типов запросов по переменным. Обычному пользователю WordPress это не понадобится. Разобраться с необходимостью работы с переменными сможет только обладающий определенными знаниями.

У плагина есть сканер, который отслеживает изменения файлов системы. Он может быть запущен вручную, но есть возможность настроить автоматическое сканирование. Сканер вредоносных программ был исключен из NinjaFirewall. Вместо него был создан отдельный плагин NinjaScanner.

Логотип плагшина NinjaScanner

У плагина NinjaFirewall защиты WordPress есть гибкая система настройки уведомлений. Вы будете получать оповещения на электронную почту, когда на сайте произойдет определенное действие. Например:

  • Загрузка плагина;
  • Активация плагина;
  • Установка темы;
  • Обновление движка Вордпресс.

Также есть простенькая защита от брутфорса. При ее включении невозможно зайти под логином admin. Можно настроить ввод капчи, включить защиту от ботов, защитить xmlrpc.php. Интересная особенность плагина – защита может быть включена постоянно, или только когда ваш сайт атакуют.

У NinjaFirewall есть 275 встроенных правил защиты. По умолчанию они все включены, но могут быть деактивированы вручную. Правила служат для защиты от специфических атак на сайт. Это основное достоинство плагина, благодаря ему можно защититься от большинства вариантов взлома сайта.

Платная версия плагина стоит от 27 до 100 долларов в год. В бесплатной версии нет таких инструментов:

  • Блокирование входа по геолокации и IP;
  • Защита отдельных URL от просмотра;
  • Защита от спама в комментариях;
  • Управления плагином на других сайтах из одной админки;
  • Многого другого.

Преимущество плагина NinjaFirewall проявляются тогда, когда к сайту имеют доступ несколько пользователей с разными ролями (редактор, автор и т.д.). Вы можете отслеживать и контролировать их действия. В остальном плагин слабоват. Но он станет хорошим дополнением к другим плагинам защиты сайта на Вордпресс от взлома.

Официальная страница: https://nintechnet.com/ninjafirewall/wp-edition/.

Плагин в репозитории WordPress: https://ru.wordpress.org/plugins/ninjafirewall/.

№3 BulletProof Security

Короший плагин защиты от взлома и вирусов. Качественно переведен на русский язык. Есть ряд полезных и необходимых функций, возможность сканирования и настройки базы данных. Но некоторые возможности доступны только в платной версии BulletProof Security Pro.

BulletProof Security в репозитории WordPress

У плагина сильный сканер файлов с продвинутыми настройками. Он проверяет наличие вредоносного кода не только в системных файлах, но и в базе данных. К сожалению, настроить автоматическое сканирование можно только в платной Pro версии.

Вход в админку сайта можно защитить, ограничив количество попыток авторизации. Также есть возможность поставить капчу. В платной версии ее можно установить на другие формы: BuddyPress, регистрации, восстановления пароля и т.д.

У плагина BulletProof Security есть хороший функционал для работы с базами данных. Вы можете создавать резервные копии или назначить график для их создания. Архивы будут сохраняться в указанной папке на хостинге. Также можно переименовать префикс БД. Его вы можете установить вручную, или воспользоваться генератором.

Интересная функция BulletProof Security – создание страницы заглушки. Она показывается пользователям, когда сайт на обслуживании. Например, во время обновления тем, плагинов и т.д. вы можете вставить собственный текст, изображения, анимацию и видеоролик. Для этого в плагине есть блок с классическим WYSIWYG редактором.

Страница заглушки при обновлении плагинов WordPress
Страница заглушки при обновлении плагинов.

Для особо требовательных есть возможность настроить внешний вид рабочей панели плагина. Не знаю, кому это может понадобиться. Наверное, тем, кому нечем заняться :) В общем впечатление неплохое. Но ему не хватаем многих возможностей, реализованных в других плагинах защиты сайтов.

Официальная страница: https://www.ait-pro.com/.

Плагин в репозитории WordPress: https://ru.wordpress.org/plugins/bulletproof-security/.

№2 Shield Security

Хороший плагин защиты интернет-ресурса с большим количеством возможностей. Почти полностью переведен (качественно) на русский. Платная версия – всего 1$/месяц. Я его использую на своих сайтах.

Логотип Shield Security

У плагина защиты сайта Shield Security есть интересная опция – можно установить администратора безопасности. Это конкретный пользователь, который может изменять настройки. Для всех остальных можно указать ограничения, действия, которые они не могут совершать. Пример:

  • Администрирование пользователей;
  • Действия с плагинами (установка, активация и т.д. по выбору);
  • Действия с темами (активация, изменения параметров и т.д.);
  • Работа со страницами.

В бесплатной версии есть простой фильтр для пользователей. Вы задаете максимальное количество попыток входа и время блокировки. В платной есть гораздо больше настроек для обнаружения таких людей.

Сканер плагина включается в ручном режиме, в платной версии можно настроить график. Позволяет отслеживать изменения файлов CMS WordPress, находить несвойственные системе файлы и плагины, которые давно не обновлялись. В платной версии он ищет:

  • Вредоносные программы (Malware);
  • Изменения файлов плагинов и шаблонов;
  • Уязвимости.

В Pro версии есть еще одна интересная возможность: White Label. Эта функция полезна, если вы хотите скрыть плагин от детекторов или администрируете чужой сайт. Можно настроить имя плагина, логотип, описание, домашнюю страницу.

White Label Shield Security
Настройки White Label в плагине Shield Security.

Брандмауэр защищает от основных типов атак. Shield Security имеет мощную защиту от ботов, пытающихся войти в административную панель сайта. По желанию можно настроить:

  1. Таймаут между попытками входа, восстановления пароля, регистрации, оформления заказа;
  2. Идентификацию с помощью письма на электронную почту пользователя;
  3. Дополнительную проверку через Google Authenticator и/или Yubikey;
  4. Замену стандартной страницы входа wp-login, wp-admin на произвольный адрес, задаваемый администратором безопасности.

Для защиты от спама в комментариях используется встроенный список стоп-слов. Можно установить минимальный таймаут. Если комментарии будут оставляться пользователем чаще, будут применены действия. Можно включить опцию подтверждения, что пишет человек, а не робот – установить флажок.

В качестве дополнительных опций есть возможность включить или выключить автообновление плагинов, передачу определенных данных браузерам посетителей. Можно отключить XML-RPC, REST API, редактор файлов. Есть опции отключения тега WP Generator, обмана ботов путем предоставления неправильной версии WordPress, фишинга имен пользователей.

Официальная страница: https://onedollarplugin.com/.

Плагин в репозитории WordPress: https://ru.wordpress.org/plugins/wp-simple-firewall/.

№1 All In One WP Security & Firewall

Хороший плагин защиты сайта на WordPress, непонятно почему недооцененный. Наверное, большинству пользователей лень в нем разбираться. Поэтому количество позитивных оценок мало, по отношению к инсталляциям. Качественно переведен на русский, всего поддерживает 11 языков.

All In One WP Security & Firewall в репозитории WordPress

All In One WP Security & Firewall позволяет управлять входом в админ панель сайта – количеством попыток, таймаутом, блокировкой, белым списком айпи адресов. Есть возможность блокировать конкретные IP, юзер-агенты (User-Agent) как в файле robots.txt.

В отличие от большинства плагинов безопасности, этот позволяет работать с базой данных. Есть возможность настроить автоматический бэкап, который будет отправляться на указанный e-mail. Можно задать собственный префикс имен БД. Это затруднит взлом сайта через базы данных.

Касательно файлов ресурса, через плагин можно:

  • Установить разрешение в формате 0755, 0644 и т.д.;
  • Запретить редактирование файлов из админки;
  • Запретить доступ к информационным файлам Вордпресс;
  • Смотреть логи изменений.

У файрволла плагина много полезных настроек. Некоторые из них непонятны простым пользователям, но в подсказках все хорошо разъяснено. От брутфорс атак (методом перебора логина и пароля) можно защититься следующими методами:

  1. Изменить URL страницы входа в панель администратора;
  2. Установить капчу;
  3. Создать белый список IP адресов, кроме которых никто не сможет войти в систему;
  4. Сгенерировать в браузере файл куки, с помощью которого можно будет залогиниться;
  5. Создать скрытое поле для роботов, не видное пользователям людям.

Для защиты от спама в комментариях используется можно использовать CAPTCHA и блокировку ботов. Есть специальные настройки для BuddyPress и BBPress – можно установить капчу.

У плагина защиты сайта All In One WP Security & Firewall есть два автоматических сканера. Первый отслеживает изменения в файлах системы. Второй ищет вредоносный код. К сожалению, его нужно подключать отдельно, он платный. Есть три варианта услуги, их стоимость:

  • 9,95$/месяц;
  • 49,95$/год;
  • 18,95$/месяц.
Тарифы All In One WP Security & Firewall
Тарифы All In One WP Security & Firewall.

В качестве дополнительных опций можно запретить:

  • Использование правой кнопки мыши для показа меню;
  • Показ содержимого сайта через iframe;
  • Заблокировать доступ к WordPress REST API;
  • Запретить показ пользователей через URL с запросом /?author=.

По моему мнению, плагин отличный и недооценен. В нем нет сложных настроек для продвинутых пользователей и администраторов. Но функционала бесплатной версии достаточно для защиты от атак среднего уровня.

Официальная страница: https://www.wordfence.com/.

Плагин в репозитории WordPress: https://ru.wordpress.org/plugins/wordfence/.

В этой статье я описал плюсы и минусы семи лучших плагинов защиты сайта на WordPress. Надеюсь, она была вам полезной. Напишите в комментариях, какими плагинами безопасности пользуетесь вы. Не забудьте поделиться публикацией с друзьями!

Полезные ссылки


Дешевый виртуальный, VPS и VDS хостинг. Цена от 1.7 $ в месяц. Есть тестовый период. Этот сайт размещен на нем – СМОТРЕТЬ ТАРИФЫ.

Отличная CPA платформа для заработка на своем сайте, email рассылках, группах и пабликах в соцсетях – ССЫЛКА НА ПЛАТФОРМУ.

Проверка конкуренции фразы в Яндекс, парсинг ключей из Wordstat, анализ домена, страниц, ключевой фразы, кластеризация. – ПОСМОТРЕТЬ СЕРВИС.

Рекламная сеть push рассылок с самыми выгодными и удобными условиями. Прием любых сайтов, частые выплаты без задержек. – ССЫЛКА НА СЕТЬ.

Парсинг ключей из Wordstat ("W", "!W", "[!W]", [!W]), сравнение ТОП Яндекса, анализ ТОП-30, парсинг подсказок, выгрузка в excel, KeyCollector – ПОДРОБНЕЕ ТУТ.

Кррутая биржа копирайтинга. Много готовых SEO-оптимизированных статей для вебмастеров. Возможность заработать для копирайтеров – ПОСЕТИТЬ БИРЖУ.
Понравилась статья? Поделиться с друзьями:
Комментариев: 1
  1. Роман

    +

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:
Помните, что все комментарии проходят ручную модерацию. Запрещены: мат, оскорбления, спам, разжигание ненависти и все, что не понравится модератору :)

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (4 оценок, среднее: 4,75 из 5)
Загрузка...
Мы используем cookie-файлы для лучшего представления сайта. Используя этот сайт, вы соглашаетесь с использованием cookie-файлов.
Принять
Политика конфиденциальности