Мошенники могут попытаются атаковать сайт, чтобы взломать админку, украсть пароли пользователей, изменить код сайта, получить доступ к конфиденциальной информации, разместить скрытые ссылки или еще как-то навредить ресурсу. Из-за таких атак можно потерять клиентов, позиции в выдаче, репутацию или даже сам сайт.
WordPress сам по себе достаточно защищенный движок, но базовой защиты недостаточно.
Повысить безопасность сайта помогут специальные плагины, они не сделают сайт полностью неуязвимым для любых атак, но будут препятствовать злоумышленникам.
Плагины для защиты сайта на WordPress
All In One WP Security & Firewall
Плагин защищает учетные записи пользователей, файлы кода, делает безопаснее вход на сайт через личные кабинеты, делает резервные копии баз данных.
Что делает плагин:
- добавляет капчу на страницу регистрации и в форму входа на сайт, чтобы оградить от спама;
- блокирует вход пользователям с определенным IP на время или навсегда и дает временный блок после нескольких неудачных попыток войти;
- дает просматривать активности учетных записей пользователей;
- делает резервные копии базы данных автоматически;
- создает резервные копии исходных файлов .htaccess и wp-config.php;
- обнаруживает уязвимости в учетных записях, к примеру, с одинаковым именем и логином;
- генерирует сложные пароли;
- отключает редактирование некоторых файлов из админки, чтобы защитить PHP-код;
- закрывает доступ к файлам readme.html, license.txt и wp-config-sample.php;
- устанавливает межсетевые экраны для защиты от вредоносных скриптов.
Подробнее о функциях безопасности на странице плагина.
Понятно о настройке плагина:
All In One WP Security & Firewall переведен на русский язык, установка бесплатна.
BulletProof Security
Плагин сканирует вредоносный код, защищает авторизацию на сайте, не пропускает спам, делает резервные копии.
Что делает плагин:
- защищает файлы wp-config.php, php.ini и php5.ini через файл .htaccess;
- включает режим технических работ;
- проверяет права на редактирование папок и файлов в админке;
- не пропускает спам с помощью функции JTC-Lite;
- создает резервные копии автоматически или вручную, отправляет архивы по e-mail;
- ведет журналы ошибок и журнал безопасности.
Подробнее о функциях безопасности на странице плагина.
Плагин переведен на русский язык. Он бесплатный, есть премиум версия с расширенными возможностями защиты сайта и предупреждения атак.
Wordfence Security
Защищает CMS от взлома и атак вредоносного ПО благодаря защите входа в систему сайта, сканированию изменений кода, попыток входа и уведомлениям о подозрительных активностях.
Что делает плагин:
- сравнивает основные темы и плагины с тем, что находится в репозитории WordPress.org и при расхождениях сообщает владельцу сайта;
- выполняет функции антивируса, проверяет сайт на уязвимости;
- проверяет сообщения и комментарии на подозрительный контент и ссылки.
В бесплатной версии доступны и другие функции.
Премиум версия дает чуть больше:
- проверяет, попал ли сайт или IP в черный список спама или сайтов с проблемами в безопасности;
- включает двухфакторную идентификацию для входа;
- составляет черный список и блокирует все запросы от IP из базы.
Подробнее о функциях безопасности на странице плагина.
Не переведен на русский, базовую версию можно скачать бесплатно.
Disable XML-RPC Pingback
Сайт закрывает возможную уязвимость XML-RPC, через которую мошенники могут атаковать другие сайты и замедлять работу вашего ресурса.
Что делает плагин:
- Удаляет pingback.ping и pingback.extensions.getPingbacks из интерфейса XML-RPC;
- удаляет X-Pingback из HTTP-заголовков.
Плагин на английском языке, установка бесплатна.
iThemes Security
Старое название - Better WP Security. Плагин защищает при входе в панель администратора, выполняет функции антивируса.
Что делает плагин:
- включает двухфакторную авторизацию при входе в администраторскую панель;
- сканирует код сайта и сигнализирует, если находит подозрительные изменения;
- мониторит сайт на автоматизированные атаки и блокирует их;
- генерирует сложные пароли;
- отслеживает активность аккаунтов пользователей;
- включает Google reCAPTCHA при входе на сайт;
- дает возможность создавать временные доступы в админке;
- ограничивает редактирование файлов в админке.
Подробнее о функциях безопасности на странице плагина.
Переведен на русский язык и доступен бесплатно.
Sucuri Security
Комплексный плагин, отслеживающий изменения в файлах сайта и выполняющий функции антивируса.
Что делает плагин:
- проверяет код сайта на подозрительные изменения и присылает уведомления;
- сканирует вредоносные программы и запрещает доступ;
- создает черный список IP и запрещает им взаимодействие с сайтом;
- фиксирует IP посетителей, которые безуспешно пытаются войти на сайт, и блокируют их на ограниченное время;
- автоматически проверяет сайт на вирусы и отправляет отчеты на e-mail.
В премиум-версии создает сетевой экран для дополнительной защиты от атак. Подробнее о функциях безопасности на странице плагина.
Плагин не переведен на русский язык, доступен для бесплатного скачивания.
Keyy Two Factor Authentication
Плагин для защиты панели администратора от злоумышленников, делает доступ в админку удобнее и быстрее.
Что делает плагин:
- защищает сайт от взломов;
- хранит защищенный пароль на устройстве, его не нужно вводить при входе;
- позволяет ходить в админку по отпечатку пальца;
- администраторам нескольких сайтов дает переключаться между панелями в один клик.
Плагин не переведен, доступен бесплатно.
WWPass Two-Factor Authentication
Плагин для защиты от проникновения злоумышленников в панель администратора.
Что делает плагин:
- добавляет QR-код для сканирования при попытке войти в админку;
- дает доступ к бесплатному использованию менеджера паролей PassHub.
Доступно бесплатное скачивание версии на английском.
Если злоумышленникам удалось что-то сделать с сайтом, и нужно восстановить его прежнее состояние, помогут бэкапы. Обычно хостеры периодически делают резервные копии, но на всякий случай лучше делать бэкапы самому. Некоторые плагины из подборки могут делать копии, а также есть отдельные решения для бэкапов.
Плагины для бэкапов сайта на WordPress
BackWPup – WordPress Backup Plugin
Плагин для создания резервных копий и восстановления прежних версий сайта.
Что делает плагин:
- делает бэкапы полного сайта с контентом;
- экспортирует XML WordPress;
- собирает установленные плагины в файл;
- проверяет и восстанавливает базы данных;
- отсылает копии на внешние облачные хранилища, email или передает по FTP.
Платная PRO-версия шифрует архивы с бэкапами и восстанавливает резервные копии за пару кликов.
Доступен бесплатно, есть платная PRO-версия, не переведен на русский.
UpdraftPlus WordPress Backup Plugin
Что делает плагин:
- копирует и восстанавливает данные в один клик;
- делает автоматические резервные копии по расписанию;
- проверяет и восстанавливает базы данных;
- отправляет бэкапы в облако, на Google-диск и в другие места хранения по выбору.
Расширенная версия дает больший выбор мест для хранения копий и другие дополнительные функции.
Не переведен на русский, доступен бесплатно.
VaultPress
Еще один плагин для резервного копирования и надежного хранения копий.
Что делает плагин:
- ежедневно автоматически копирует все файлы сайта с контентом и комментариями;
- восстанавливает сайт из копии по клику;
- защищает сайт от атак и вредоносного ПО.
Работает бесплатно для одного сайта, хранит данные 30 дней. За дополнительную плату можно наблюдать за несколькими сайтами из одной панели и хранить данные дольше.
Плагин не переведен на русский язык, доступен для установки бесплатно.
Почитать по теме:
Что выбрать: SaaS, IaaS или PaaS? Сравнение облачных моделей ПО
Сайтам необходима защита от злоумышленников, чтобы они не смогли получить доступ к секретной информации, использовать ваш ресурс для атак на другие сайты, рассылать письма клиентам и нарушать стабильную работу ресурса. Плагины ставят мошенникам препятствия, защищают пользовательские данные и код сайта, а системы резервного копирования откатят сайт до прежнего состояния, если злоумышленникам все-таки удалось навредить.
