Обновлено: 30 мая 2022
В этой статье я расскажу про лучшие плагины защиты WordPress от взлома, спама в комментариях, вирусов, брутфорс и других типов атак. Есть много способов взломать сайт на этой CMS, не все плагины могут защитить от них. Я отобрал наиболее эффективные плагины безопасности Вордпресс.
Также рекомендую ознакомиться:
- Бесплатные плагины содержания статьи WordPress;
- 12 WordPress плагинов построения графиков и диаграмм;
- Обзор лучших плагинов оптимизации изображений;
- 11 бесплатных плагинов похожих записей WordPress.
Перед тем как перейти к описанию правильной защиты сайта от вирусов и малвара, хотелось порекомендовать хостинг NETX. Использую его с августа 2019 года, до сих пор не было проблем. Цены не просто удивляют, а поражают. За 16 долларов в год я получаю 15 ГБ SSD и возможность разместить 5 сайтов. Когда закончится срок действия других хостингов - перенесу их все сюда.
Как составлялся ТОП
Многие составляют рейтинги по популярности. Я считаю такой подход неправильным. Если один плагин был разработан в 2012 году, с того момента его установило больше пользователей, чем разработанный в 2016. Это естественно. К тому же, старые плагины более известны, но не всегда лучше.
Количество установок не говорит о качестве плагина. Я смотрю на оценки и их соотношение к инсталляциям. Да и не факт, что все установки активные. А вот выбор пользователей о чем-то говорит. В этой подборке плагинов я собрал те, у которых средняя оценка 5. Оговорюсь, что это мое субъективное мнение. Каким плагином защитить сайт – выбирать вам.
№7 Wordfence Security
Плагин недоступен на русском языке, есть только английская версия. В бесплатной версии Wordfence Security можно настроить такие параметры файрвола:
- Черный и белый список IP адресов;
- Заблокировать доступ к определенным URL сайта;
- Настроить более 100 правил защиты от атак (для этого нужно разбираться в них);
- Ограничить частоту и время попыток входа (защита от брутфорс);
- Задать правила использования логинов и паролей.
Отдельно можно задать правила для роботов Google, отображения страницы 404. Блокировка пользователей, попытавшихся залогиниться через админку работает отлично. За 24 минуты у меня было 29 попыток несанкционированного входа!
Среди инструментов есть проверка WHOIS по IP адресу, диагностика сайта. В последней много технической информации, которую простому пользователю не понять. Но для продвинутых админов она будет полезной.
Для защиты от брутфорса есть возможность настроить 2-х факторную аутентификацию, капчу. Настроек маловато, так что защита от перебора логинов-паролей так себе. Например, нельзя задать собственный адрес страницы входа в панель администратора.
Не понимаю, почему у плагина такое количество установок. Наверное, от того что в нем есть базовые настройки безопасности, которые многих устраивают. Но, их можно обойти, если за дело возьмется профессиональный взломщик или хакер. Единственное что радует – хороший сканер уязвимостей.
Плагин Wordfence Security имеет гадкую особенность. Он после деинсталляции оставляет мусорные строки в файлах .htaccess и .user.ini. Это не влияет на работу сайта, пока не потребуется перенести его на другой хостинг. Сегодня решал проблему.
Если после переезда ресурса на другой хостинг выдается ошибка: «Страница недоступна сайт пока не может обработать этот запрос http error 500», проверьте эти файлы. В них прописан путь к wordfence-waf.php. Он остается старым и вызывает ошибку.
Если вы не используете плагин Wordfence Security, смело удаляйте все, что с ним связано. В файлах .htaccess и .user.ini это все, что находится между строками «# Wordfence WAF» и «# END Wordfence WAF». После этого проблема будет решена.
Официальная страница: https://www.wordfence.com/.
Плагин в репозитории WordPress: https://ru.wordpress.org/plugins/wordfence/.
№6 WP Hide & Security Enhancer
Простой в управлении плагин, с помощью которого можно организовать базовую защиту сайта на WordPress. Можно использовать в качестве дополнительной меры безопасности. К сожалению, описания функций плагина доступны только на английском.
Особенность WP Hide & Security Enhancer: он прячет многое, через что злоумышленники могут получить доступ. Плагин позволяет изменить:
- Адрес расположения файлов тем;
- Расположение файла стилей style.css;
- Адрес системных папок Вордпресс;
- URL комментариев, записей автора, результатов поиска;
- Путь к XML-RPC;
- Отдельные мета-данные из HTML кода страницы;
- Рабочие файлы уз корневой папки.
С помощью плагина защиты можно управлять JSON REST и показом слэша в конце адреса страницы. Можно настроить показ и скрытие верхней панели администратора для разных типов участников.
Кроме этого есть много других настроек, которые применяются к отдельным элементам и файлам. Если подойти к ним с умом, можно уменьшить риск взлома сайта. Похожего функционала нет ни у одного плагина защиты сайта от вредоносного ПО и атак.
WP Hide & Security Enhancer – не совсем стандартный способ защиты сайта. Мое мнение – этот плагин стоит установить и настроить, несмотра на то что его рейтинг 4,5. Единственный нюанс: обязательно сделайте резервную копию настроек:
Официальная страница: https://www.wp-hide.com/.
Плагин в репозитории WordPress: https://ru.wordpress.org/plugins/wp-hide-security-enhancer/.
№5 Cerber Security
Довольно неплохой плагин, русифицирован, но переводы оставляют желать лучшего. Подойдет для небольших сайтов, на взлом которых нецелесообразно тратить много ресурсов. Настройки простые, но защитить от средних атак поможет.
В плагине безопасности WP Cerber Security реализована сильная защита от входа в панель администратора. Доступно много опций, таких как:
- Настройка количества и частоты попыток входа;
- Белые и черные списки IP с гибкими настройками;
- Взаимодействие с Cerber Lab (облачной базе вредоносных IP-адресов);
- Сиена URL страницы входа в админку;
- Блокировка доступа к XML-RPC, RSS, Atom и RDF, рабочим системным файлам.
В плагине можно настроить отдельные опции для каждого типа пользователя (администратор, редактор, подписчик и т.д.). Сюда входят перенаправления при входе и выходе, время сессии, двухфакторная авторизация.
Также есть встроенный сканер файлов ресурса. К сожалению, автоматическое сканирование, очистку, восстановление и перемещение в карантин можно настроить только в платной версии. В бесплатной доступно только ручное сканирование. Плагин отслеживает:
- Появление новых файлов;
- Изменения в существующих файлах;
- Контрольные суммы;
- Нежелательные (опасные) расширения;
- Несопровождаемые файлы.
У WP Cerber Security есть хорошая защита от спама в комментариях. Он автоматически определяет ботов. Также есть возможность включить и отключить reCAPTCHA для разных типов заполняемых полей и форм.
У плагина есть своя уникальная фишка – Cerber.Hub. с помощью этой функции можно настроить доступ ко всем своим сайтам. После их подключения, можно управлять каждым сайтом, не выходя из административной панели основного. К сожалению, функция доступна только в платной версии. В бесплатной она работает в режиме «только чтение».
Как в большинстве плагинов безопасности сайта на WordPress, у WP Cerber Security есть возможность импорта и экспорта настроек, диагностика технических характеристик ресурса и сервера, журналы сканирования. Кроме них полезных инструментов нет.
В общем, плагин хорош, но в бесплатной версии многого не хватает. Базовых настроек хватит для защиты среднего уровня. Но сильный хакер или взломщик сможет обойти ее без каких-то особых проблем.
Официальная страница: https://wpcerber.com/.
Плагин в репозитории WordPress: https://ru.wordpress.org/plugins/wp-cerber/.
№4 NinjaFirewall
Неплохой плагин, который решает специфические задачи. К сожалению, доступен только на английском, французском и русском языке. Думаю, он стал популярным, так как во многих других плагинах нет контроля за определенными изменениями на сайте.
Чтобы получить доступ ко всем настройкам, плагин нужно переключить в режим Full WAF. Тогда вы сможете блокировать или разрешить прямой доступ к файлам php в папках:
- wp-admin;
- wp-includes;
- wp-content;
- cache.
Также можно разрешить или запретить сканирование и карантин разных типов запросов по переменным. Обычному пользователю WordPress это не понадобится. Разобраться с необходимостью работы с переменными сможет только обладающий определенными знаниями.
У плагина есть сканер, который отслеживает изменения файлов системы. Он может быть запущен вручную, но есть возможность настроить автоматическое сканирование. Сканер вредоносных программ был исключен из NinjaFirewall. Вместо него был создан отдельный плагин NinjaScanner.
У плагина NinjaFirewall защиты WordPress есть гибкая система настройки уведомлений. Вы будете получать оповещения на электронную почту, когда на сайте произойдет определенное действие. Например:
- Загрузка плагина;
- Активация плагина;
- Установка темы;
- Обновление движка Вордпресс.
Также есть простенькая защита от брутфорса. При ее включении невозможно зайти под логином admin. Можно настроить ввод капчи, включить защиту от ботов, защитить xmlrpc.php. Интересная особенность плагина – защита может быть включена постоянно, или только когда ваш сайт атакуют.
У NinjaFirewall есть 275 встроенных правил защиты. По умолчанию они все включены, но могут быть деактивированы вручную. Правила служат для защиты от специфических атак на сайт. Это основное достоинство плагина, благодаря ему можно защититься от большинства вариантов взлома сайта.
Платная версия плагина стоит от 27 до 100 долларов в год. В бесплатной версии нет таких инструментов:
- Блокирование входа по геолокации и IP;
- Защита отдельных URL от просмотра;
- Защита от спама в комментариях;
- Управления плагином на других сайтах из одной админки;
- Многого другого.
Преимущество плагина NinjaFirewall проявляются тогда, когда к сайту имеют доступ несколько пользователей с разными ролями (редактор, автор и т.д.). Вы можете отслеживать и контролировать их действия. В остальном плагин слабоват. Но он станет хорошим дополнением к другим плагинам защиты сайта на Вордпресс от взлома.
Официальная страница: https://nintechnet.com/ninjafirewall/wp-edition/.
Плагин в репозитории WordPress: https://ru.wordpress.org/plugins/ninjafirewall/.
№3 BulletProof Security
Короший плагин защиты от взлома и вирусов. Качественно переведен на русский язык. Есть ряд полезных и необходимых функций, возможность сканирования и настройки базы данных. Но некоторые возможности доступны только в платной версии BulletProof Security Pro.
У плагина сильный сканер файлов с продвинутыми настройками. Он проверяет наличие вредоносного кода не только в системных файлах, но и в базе данных. К сожалению, настроить автоматическое сканирование можно только в платной Pro версии.
Вход в админку сайта можно защитить, ограничив количество попыток авторизации. Также есть возможность поставить капчу. В платной версии ее можно установить на другие формы: BuddyPress, регистрации, восстановления пароля и т.д.
У плагина BulletProof Security есть хороший функционал для работы с базами данных. Вы можете создавать резервные копии или назначить график для их создания. Архивы будут сохраняться в указанной папке на хостинге. Также можно переименовать префикс БД. Его вы можете установить вручную, или воспользоваться генератором.
Интересная функция BulletProof Security – создание страницы заглушки. Она показывается пользователям, когда сайт на обслуживании. Например, во время обновления тем, плагинов и т.д. вы можете вставить собственный текст, изображения, анимацию и видеоролик. Для этого в плагине есть блок с классическим WYSIWYG редактором.
Для особо требовательных есть возможность настроить внешний вид рабочей панели плагина. Не знаю, кому это может понадобиться. Наверное, тем, кому нечем заняться В общем впечатление неплохое. Но ему не хватаем многих возможностей, реализованных в других плагинах защиты сайтов.
Официальная страница: https://www.ait-pro.com/.
Плагин в репозитории WordPress: https://ru.wordpress.org/plugins/bulletproof-security/.
№2 Shield Security
Хороший плагин защиты интернет-ресурса с большим количеством возможностей. Почти полностью переведен (качественно) на русский. Платная версия – всего 1$/месяц. Я его использую на своих сайтах.
У плагина защиты сайта Shield Security есть интересная опция – можно установить администратора безопасности. Это конкретный пользователь, который может изменять настройки. Для всех остальных можно указать ограничения, действия, которые они не могут совершать. Пример:
- Администрирование пользователей;
- Действия с плагинами (установка, активация и т.д. по выбору);
- Действия с темами (активация, изменения параметров и т.д.);
- Работа со страницами.
В бесплатной версии есть простой фильтр для пользователей. Вы задаете максимальное количество попыток входа и время блокировки. В платной есть гораздо больше настроек для обнаружения таких людей.
Сканер плагина включается в ручном режиме, в платной версии можно настроить график. Позволяет отслеживать изменения файлов CMS WordPress, находить несвойственные системе файлы и плагины, которые давно не обновлялись. В платной версии он ищет:
- Вредоносные программы (Malware);
- Изменения файлов плагинов и шаблонов;
- Уязвимости.
В Pro версии есть еще одна интересная возможность: White Label. Эта функция полезна, если вы хотите скрыть плагин от детекторов или администрируете чужой сайт. Можно настроить имя плагина, логотип, описание, домашнюю страницу.
Брандмауэр защищает от основных типов атак. Shield Security имеет мощную защиту от ботов, пытающихся войти в административную панель сайта. По желанию можно настроить:
- Таймаут между попытками входа, восстановления пароля, регистрации, оформления заказа;
- Идентификацию с помощью письма на электронную почту пользователя;
- Дополнительную проверку через Google Authenticator и/или Yubikey;
- Замену стандартной страницы входа wp-login, wp-admin на произвольный адрес, задаваемый администратором безопасности.
Для защиты от спама в комментариях используется встроенный список стоп-слов. Можно установить минимальный таймаут. Если комментарии будут оставляться пользователем чаще, будут применены действия. Можно включить опцию подтверждения, что пишет человек, а не робот – установить флажок.
В качестве дополнительных опций есть возможность включить или выключить автообновление плагинов, передачу определенных данных браузерам посетителей. Можно отключить XML-RPC, REST API, редактор файлов. Есть опции отключения тега WP Generator, обмана ботов путем предоставления неправильной версии WordPress, фишинга имен пользователей.
Официальная страница: https://onedollarplugin.com/.
Плагин в репозитории WordPress: https://ru.wordpress.org/plugins/wp-simple-firewall/.
№1 All In One WP Security & Firewall
Хороший плагин защиты сайта на WordPress, непонятно почему недооцененный. Наверное, большинству пользователей лень в нем разбираться. Поэтому количество позитивных оценок мало, по отношению к инсталляциям. Качественно переведен на русский, всего поддерживает 11 языков.
All In One WP Security & Firewall позволяет управлять входом в админ панель сайта – количеством попыток, таймаутом, блокировкой, белым списком айпи адресов. Есть возможность блокировать конкретные IP, юзер-агенты (User-Agent) как в файле robots.txt.
В отличие от большинства плагинов безопасности, этот позволяет работать с базой данных. Есть возможность настроить автоматический бэкап, который будет отправляться на указанный e-mail. Можно задать собственный префикс имен БД. Это затруднит взлом сайта через базы данных.
Касательно файлов ресурса, через плагин можно:
- Установить разрешение в формате 0755, 0644 и т.д.;
- Запретить редактирование файлов из админки;
- Запретить доступ к информационным файлам Вордпресс;
- Смотреть логи изменений.
У файрволла плагина много полезных настроек. Некоторые из них непонятны простым пользователям, но в подсказках все хорошо разъяснено. От брутфорс атак (методом перебора логина и пароля) можно защититься следующими методами:
- Изменить URL страницы входа в панель администратора;
- Установить капчу;
- Создать белый список IP адресов, кроме которых никто не сможет войти в систему;
- Сгенерировать в браузере файл куки, с помощью которого можно будет залогиниться;
- Создать скрытое поле для роботов, не видное пользователям людям.
Для защиты от спама в комментариях используется можно использовать CAPTCHA и блокировку ботов. Есть специальные настройки для BuddyPress и BBPress – можно установить капчу.
У плагина защиты сайта All In One WP Security & Firewall есть два автоматических сканера. Первый отслеживает изменения в файлах системы. Второй ищет вредоносный код. К сожалению, его нужно подключать отдельно, он платный. Есть три варианта услуги, их стоимость:
- 9,95$/месяц;
- 49,95$/год;
- 18,95$/месяц.
В качестве дополнительных опций можно запретить:
- Использование правой кнопки мыши для показа меню;
- Показ содержимого сайта через iframe;
- Заблокировать доступ к WordPress REST API;
- Запретить показ пользователей через URL с запросом /?author=.
По моему мнению, плагин отличный и недооценен. В нем нет сложных настроек для продвинутых пользователей и администраторов. Но функционала бесплатной версии достаточно для защиты от атак среднего уровня.
Официальная страница: https://www.wordfence.com/.
Плагин в репозитории WordPress: https://ru.wordpress.org/plugins/wordfence/.
В этой статье я описал плюсы и минусы семи лучших плагинов защиты сайта на WordPress. Надеюсь, она была вам полезной. Напишите в комментариях, какими плагинами безопасности пользуетесь вы. Не забудьте поделиться публикацией с друзьями!
Полезные ссылки
Плагин для заработка на чужом видео с YouTube и автоматической вставки тематических видеороликов во все записи на сайте – ТЕСТИРУЙТЕ И ЗАРАБАТЫВАЙТЕ.
Дешевый виртуальный, VPS и VDS хостинг. Цена от 1.7 $ в месяц. Есть тестовый период. Этот сайт размещен на нем – СМОТРЕТЬ ТАРИФЫ.
Отличная CPA платформа для заработка на своем сайте, email рассылках, группах и пабликах в соцсетях – ССЫЛКА НА ПЛАТФОРМУ.
Проверка конкуренции фразы в Яндекс, парсинг ключей из Wordstat, анализ домена, страниц, ключевой фразы, кластеризация. – ПОСМОТРЕТЬ СЕРВИС.
Рекламная сеть push рассылок с самыми выгодными и удобными условиями. Прием любых сайтов, частые выплаты без задержек. – ССЫЛКА НА СЕТЬ.
Крутая биржа копирайтинга. Много готовых SEO-оптимизированных статей для вебмастеров. Возможность заработать для копирайтеров – ПОСЕТИТЬ БИРЖУ.
+
Спасибо за такие дельные советы, очень понравилось. Все таки защита блога или сайта - это важная составляющая развития проекта! Кстати, в дополнение к этой статье, рекомендую прочесть статью: https://conicheva84.ru/sozdaj-sajt-sam/zashhita-wordpress-ot-vzloma/, из которой узнал, нужна ли защита вообще, как узнать, что сайт атакуют, пошаговая инструкция защиты веб-сайта от брутфорса, простой способ защиты сайта от взлома, советы по безопасности веб-сайта.