8 лучших плагинов WordPress для защиты от вирусов. Вордпресс защита сайта


Защита WordPress от базовых угроз, вирусов и атак

 

CMS WordPress является хорошо защищенной системой, но в любой системе можно найти уязвимые места. Разработчики WordPress стараются сделать защиту CMS более надежной с каждым новым выпуском, но злоумышленники также не сидят сложа руки. Поэтому, для защиты своего сайта от взлома, вирусов и атак вам придется принимать некоторые меры самостоятельно.

Я могу дать несколько практических советов по защите WordPress, которые помогут вам защитить WordPress сайт от базовых угроз, вирусов и атак.

Основные меры по защите WordPress

Защитить WordPress от базовых угроз не сложно, для этого достаточно предпринять некоторые меры. Для того, чтобы упростить  поставленный задачи, я рекомендую воспользоваться плагином "Better WP Security".

После установки и активации плагина на WordPress, пройдите в админку сайта на страницу настроек "Better WP Security", и создайте резервную копию базы данных, на всякий случай.

Создание резервной копии с помощью плагина better wp security

Затем, для того чтобы позволить плагину производить изменения в файлах вашего сайта и движка, вы должны дать разрешение, нажатием на соответствующую кнопку.

Разрешить плагину изменять файлы WordPress - защита WordPress

На следующей станице, для того чтобы защитить сайт от базовых атак, необходимо включить эту опцию нажатием на соответствующую кнопку.

Защищаем WordPress т базовых атак

Но то еще не все. После того как вы выполните первые требования плагина, перед вами откроется таблица, в которой будут указаны все потенциальные точки уязвимости вашего сайта. Для защиты вашего WordPress сайта необходимо исправить все недочеты в защите.

Устранение уязвимостей WordPress

Перед вами откроется примерно следующая таблица уязвимостей, в которой красным цветом подсвечены критические уязвимости, а желтым и синим подсвечены не критические уязвимости, но их также нужно устранять.

Для примера, я взял стандартный незащищенный блог на WordPress. Давайте вместе устраним все известные нам уязвимости в WordPress.

Таблица уязвимостей WordPress сайта
1. Проверка сложности пароля для всех пользователей

Для того чтобы обеспечить сложными паролями всех пользователей, нужно исправить первую уязвимость. Пройдите по ссылке "Нажмите, чтобы исправить" и на открывшейся странице выберите пункт как на рисунке снизу "Strong Password Role - Subscriber". Тем самым, пароли всех ваших пользователей будут проходить проверку сложности.

Установить сложные пароли для всех пользователей WordPress
2. Убираем дополнительную информацию из заголовка WordPress

WordPress по умолчанию публикует в заголовке сайта много дополнительной информации, которой могут воспользоваться злоумышленники. Для удаления подобной информации поставьте галочку в соответствующем поле. Но будьте внимательны, это действие может повлечь за собой неработоспособность некоторых приложений и сервисов, которые каким либо образом обращаются к вашему блогу через протокол XML-RPC.

Удаляем лишнюю информациюю из заголовков WordPress сайта
3. Скрываем обновления от не администраторов

Третий пункт у нас в порядке, если у вас не так, то рекомендую вам скрыть доступные обновления от не администраторов. Вашим пользователям эта информация все равно будет бесполезной, а вот злоумышленники могут ею воспользоваться.

4. Поменять логин администратора

Аккаунт администратора WordPress по умолчанию имеет логин admin, и об этом все знают. Поэтому ваш сайт взломать проще. Для того чтобы усложнить взлом сайта, рекомендую переименовать ваш администраторский аккаунт. Для этого перейдите по ссылке "Кликните здесь, чтобы переименовать администратора" и введите новое имя администратора в соответствующее поле.

Поменять имя администратора в WordPress
5. Поменяйте ID администратора

Аккаунту администратора по умолчанию присваивается и ID=1, что также заведомо известно злоумышленникам, поэтому этот параметр нужно поменять. Плагин better wp security поменяет ID администратора за один клик.

6. Поменять префикс таблиц базы данных WordPress

По умочанию таблицы базы данных WordPress имеют префикс wp_. Рекомендуется поменять префикс на любой другой. Даже если ваша база данных уже наполнена информацией, то плагин better wp security поменяет префикс таблиц вашей базы без потери данных. Рекомендовано перед этим действием сделать резервную копию базы данных, что мы и сделали в самом начале.

Изменить префикс таблиц базы данных в WordPress
7. Спланируйте создание резервных копий

Для регулярного создания резервной копии вашей базы данных, задайте некоторые условия и введите ваш e-mail, куда будут отправляться копии базы данных. Тем самым вы в любое время сможете восстановить базу данных из копии, при необходимости.

Планирование бэкапов на WordPress
8. Запретить доступ к админке в определенное время

Этот параметр не является критическим, но, все же, если вы переживаете за безопасность вашего WordPress сайта, то пожалуй стоит запретить хаотичный доступ к админке, и разрешить доступ только в определенное время, например в то время, когда вы собираетесь работать с сайтом.

9. Заблокируйте подозрительные хосты

Если вы знаете IP адреса подозрительных хостов, с которых может быть произведена атака на ваш сайт, то занесите эти IP адреса в бан лист, и доступ к сайту с этих IP будет закрыт.

10. Защитить логин от перебора

По умолчанию плагин защищает логин от перебора и после 3-х неудачных попыток блокирует IP адрес.

11. Скрыть админку WordPress

Этот пункт не является критическим, но все же будет полезно скрыть админку WordPress. Скрытие WordPress админки происходит путем переименования директории с админ панелью. Физически админ панель будет лежать в той же папке, но по адресу http://ваш_сайт.ru/wp-admin она будет недоступна.

Изменить директорию админ панели WordPress - скрть админку

Скройте админ панель WordPress, для этого введите новые имена для директорий в соответствующие поля и поставьте галочку для включения данной опции.

Скрываем админку WordPress с помощью плагина
12. Защитить файл .htaccess и скрыть каталоги от просмотра

Рекомендую вам скрыть каталоги сайта от свободного просмотра, а также защитить файл .htaccess. Также вы можете запретить выполнять различные запросы к сайту через адресную строку. Напоминаю, что данные действия могут вызвать конфликт с некоторыми плагинами и темами.

Защитить файл .htaccess и скрыть каталоги от просотра
18. Запрещаем запись файлов wp-config.php и .htaccess

Некоторые пункты были по умолчанию выполнены, поэтому предлагаю вам выполнить наиболее важный 18 пункт защиты, который поможет запретить перезапись файлов wp-config.php и .htacces. Этот пункт очень важен, потому что от сохранности файлов wp-config.php и .htacces может зависеть работоспособность вашего сайта.

Запретить запись файлов wp-config.php и .htaccess
20. Переименовать папку с содержимым wp-content

Также вы можете переименовать папку с основным содержимым сайта wp-content. Нестандартное размещение файлов усложнит злоумышленникам доступ к ним.

21. Установка безопасного соединения с WordPress

Для работы с WordPress вы можете использовать безопасное соединение SSL, но для начала удостоверьтесь, что данный протокол поддерживается сервером, на котором размещается ваш сайт.

 

Вот таким образом, с помощью плагина "better wp security" вы можете защитить WordPress от базовых угроз, вирусов и атак.

www.onwordpress.ru

6 лучших плагинов для безопасности для Wordpress

6 лучших плагинов для безопасности в WordPress

WordPress является одной из наиболее известных платформ для блогов. Ещё более она известна из-за своих удивительных плагинов. Однако имеется небольшой недостаток — это безопасность WordPress, в принципе как и любая cms.

Следовательно, для многих пользователей и разработчиков WordPress есть угроза, что их WordPress сайт может быть легко взломан. Поэтому пользователям предлагается использовать для своих блогов плагины для защиты, чтобы обезопасить свой контент.

Здесь предлагается список 6 лучших WordPress плагинов для защиты, которые являются известными и абсолютно надёжными.

Вы можете использовать любой из нижеперечисленных WordPress плагинов для защиты и сделать ваш блог полностью защищённым от попыток взлома.

 

1. iThemes Security

iThemes Security, прежде известный как Better WP Security, является одним из лучших WordPress плагинов для защиты от взлома. Он проверяет многие важные области вашего блога и старается обеспечить их защиту.

Он защищает ваш сайт более чем 30 способами. Он легко скрывает вашу личную информацию, такую, как пароль, логин и т.д. Это полный пакет, который делает ваш блог безопасным и защищённым.

 

2. Acunetix WP Security

Acunetix WP Security – это бесплатный WordPress плагин для защиты. Он поможет вам сделать ваш WordPress блог полностью защищённым и безопасным.

Он также предлагает меры безопасности для вашего блога, которые заключаются в том, что он выделяет области и предлагает вам сделать их более безопасными.

Он делает безопасной установку вашего WordPress, обеспечивает защиту аккаунта и регистрационных данных вашего блога. Это совершенно бесплатный плагин.

 

3. BulletProof Security

BulletProof Security – ещё один известный и удивительный WordPress плагин для защиты. Он защищает ваш WordPress блог от RFI, CRLF, Base64, Code Injection, SQL Injection, XSS и эффективно блокирует и останавливает попытки взлома.

Он может защищать ваши настройки, установки, логины, пароли и все элементы, которые могут быть объектами для взлома. Он поддерживает версии WP 3.0 или выше.

 

4. All in One Security and Firewall

Это ещё один отличный и по-настоящему заметный плагин для защиты от взлома. All in One Security and Firewall включает дополнительные брандмауэры, чтобы защитить ваш блог. Говорят, что этот плагин защищает ваш сайт со всех сторон.

Он предоставляет вам различные меры и даёт отчёт о мерах безопасности вашего блога. Удивительным является то, что он не влияет на скорость вашего блога и при этом совершенно бесплатен.

 

5. Wordfence

Wordfence – также бесплатный WordPress плагин для защиты. Wordfence защищает ваш блог и, наряду с этим, он делает ваш блог в 50 раз более быстрым.

Когда вы устанавливаете этот плагин на свой блог, он начинает автоматическое сканирование, чтобы проверить, не является ли уже ваш сайт заражённым.

Этот плагин бесплатный, но вы можете также купить премиум версию, в которой можете наслаждаться многими другими функциями.

 

6. Antivirus

Antivirus – последний в этом списке удивительных и лучших WordPress плагинов для защиты. Он проверяет вашу тему, установки WordPress и другие инструменты и плагины на предмет заражения.

Он предназначен для борьбы с вредоносными программами, уязвимостями и спамом. Он имеет чрезвычайно много функций и может быть очень полезен в том, чтобы сохранить вашу работу и защитить ваш блог. [alert-announce]Так же можно проверить ваш сайт на наличие вирусов с помощью скрипта Ай-болит. Плюс можно скачать версию под Windows и проверять файлы сайта, шаблона или плагина у себя на компьютере. [/alert-announce]

Заключение

Это список 6 лучших WordPress плагинов для защиты. Их можно порекомендовать использовать для своего блога, просто, чтобы обеспечить его безопасность и сохранность своего труда.

Если у вас есть вопросы, можете задавать их нам, мы постараемся на них ответить как можно скорее. Не забывайте поделиться WordPress плагинами для защиты с вашими друзьями и знакомыми, чтобы помочь им также сделать свои блоги более безопасными.

clubwp.ru

3 лучших плагина для защиты Wordpress

Привет, друзья. Сегодня мы поговорим о безопасности нашего бизнеса в Интернете. В жизни случается всякое и наши ресурсы не застрахованы от различных неприятностей и неожиданностей. Информация нематериальна, поэтому легко может быть испорчена или уничтожена. Есть риски связанные с оборудованием, на котором размещаются сайты, где-то мы сами можем «накосячить», также никто не застрахован от злых умыслов посторонних.

За время ведения своего блога я сталкивался и с первым и со вторым и с третьим. И хакеры ломали мои сайты и сам, бывало, делал что-то не так. Но, к счастью, все обошлось благодаря заранее организованной защите.

В своем блоге я использую несколько плагинов, которые помогают снизить риски. О них я вам сейчас расскажу. Про первый я уже рассказывал в своем курсе по созданию сайта, а 2 других освещаю впервые.

Плагины защиты для WordPress

Конечно, защита wordpress может быть организована и другими способами и плагинами, но я пользуюсь этими. Про установку плагинов я рассказывать не буду, так как уже рассказал об этом тут (найдите в статье необходимый видео урок) буду показывать лишь то, как осуществить их настройку.

1. Плагин WordPress Database Backup

Этот плагин позволяет сохранять резервные копии базы данных вашего сайта как в автоматическом, так и в ручном режиме. Их можно скачивать напрямую на компьютер или отправлять себе по электронной почте. Для того, чтобы вы лучше понимали. Этот плагин полностью сохраняет информационную часть сайта – тексты, их оформление, данные о пользователях и других компонентах сайта, но он не сохраняет сами файлы. Картинки и темы оформления вам стоит сохранять самостоятельно.

Этот плагин не обязательно скачивать к себе на компьютер, он есть в базе плагинов для wordpress, поэтому легко устанавливается через администраторскую панель, через поиск плагинов.

Видео урок по настройке WordPress Database Backup

Если вам не удобно смотреть видео, я продублирую настройку текстом и скриншотами.

Как установить WordPress Database Backup

Для начала войдите в админке вашего блога в раздел установка плагинов и выберите раздел поиск плагинов. В окне поиска введите «wp db backup».

В списке плагинов он должен появиться на первом месте, если не так, то пролистайте чуть ниже. Вод название плагина будет кнопка установить. С ее помощью устанавливаете плагин. После установки нажимаете на ссылку активировать.

После этого приступаем к его настройкам. Для этого в панели управления блогом нужно найти вкладку инструменты и в ней ссылку Резервное копирование. Нажимайте на нее.

Какие таблицы сохранять?

В начале настройки нам предлагается выбрать те таблицы базы данных, которые будут копироваться. Среди них есть те, которые сохраняются всегда и те, которые мы можем сохранять дополнительно. Если даже вы оставите все по умолчанию — будет нормально. Если понимаете, что значат и какие функции выполняют те или иные таблицы – проставьте нужные галочки.

Сохранение копии «здесь и сейчас»

Следующий пункт «Настройки резервного копирования» отвечает за резервное копирование «здесь и сейчас». Это тот самый ручной режим, когда мы можем прямо в данный момент сделать резервную копию базы данных. По большому счету, все, что мы может тут настроить – это место для сохранения резервной копии. Первый пункт сохраняет файл на сервере хостинг провайдера. Второй пункт скачивает его на компьютер. Третий вариант позволяет отправить на электронную почту.

Кнопка «создать архив», начинает сохранение.

Если вам нужно сделать срочное копирование, например, перед большими изменениями сайта, то используйте эту функцию.

Резервное копирование по расписанию

Резервное копирование базы данных плагином WordPress Database Backup по расписанию – это как раз то, за что я его люблю. В жизни постоянно крутишься в делах и из-за суеты можешь забыть что-то сделать, или просто не хватит времени. А с помощью этой функции сайт сам все делает с заданной периодичностью.

Можно настроить копирование на разные интервалы времени от одного часа до двух раз в месяц. Все зависит от того, как часто вы добавляете новые посты на сайт. Пишете часто – делайте резервную копию чаще, а если у вас выходит одна статья в неделю, то и раз в неделю достаточно.

Кроме того, для автоматического копирования есть отдельный список сохраняемых таблиц. Одним словом, указываете периодичность, выбираете нужные таблицы, указываете свой почтовый ящик, куда будут приходить копии, и жмете «запомнить расписание».

На этом настройка этого плагина закончена. Переходим к следующему.

2. Плагин для защиты админки Login LockDown

Этот плагин для wordpress защищает администраторскую часть сайта от взлома, когда злоумышленники пытаются подобрать пароль простым перебором. Login LockDown устанавливает ограничение на количество попыток ввода пароля. То есть, если кто-то попытается подобрать пароль и ошибется несколько раз (вы сами указываете сколько), то админка заблокируется и попасть в нее будет нельзя.

Кстати, кроме самого проникновения внутрь сайта, такие попытки несанкционированного входя приводят к повышению нагрузки на сервер, так как, как правило, сопровождаются большим количеством запросов. В некоторых случаях это может привести к перегрузке и потери работоспособности. Классифицировать такую проблему можно как DoS атака. Здесь я писал что такое DoS и DDoS атаки и как от них защититься.

Перед тем как рассказать о настройке плагина, хочу дать одну рекомендацию, относящуюся к этой же теме. Не используйте стандартный логин администратора, который дает wordpress, так как он легко угадывается. Если у вас будет логин отличающийся от стандартного, получить доступ к админке будет намного сложнее.

Установка и настройка плагина Login LockDown

Как и в случае с прошлым плагином, Login LockDown находится в базе вордпресс, поэтому он устанавливается также через поиск плагинов. Находим, устанавливаем, активируем.

После этого через закладку параметры заходим в Login LockDownТам есть несколько полей, в которых по умолчанию проставлены значения всех параметров.В принципе, можно ничего не менять. Если захотите настроить плагин под себя, то поля означают следующее:

Max Login Retries – максимальное количество попыток ввода логина/пароля до блокировки. Если указано 3 и вы 3 раза ввели неверный пароль – админка блокируется.

Retry Time Period Restriction (minutes) – время, на которое блокируется админка при неверном вводе пароля.

Lockout Length (minutes) – время, на которое блокируется админка при максимально допустимом количестве неверных вводов логина. Обратите внимание, здесь отслеживается неверный ввод логина. То есть тот кто вводит данные не знает логин.

Lockout Invalid Usernames? – включать или не включать усиленную блокировку из предыдущего пункта.

Mask Login Errors? – скрывать или нет сообщение о том, что неверно введен логин.

Устанавливаете нужные вам значения и жмете кнопку подтверждения – Update Setting.

3. Плагин для wordpress — AntiVirus

Название этого плагина говорит само за себя. Он ищет вирусы и разные шпионские добавки в коде шаблона вашего сайта. Он не имеет такого навороченного функционала, как антивирусные программы для персональных компьютеров. Работает AntiVirus очень просто – сканирует файлы и, если находит подозрительные коды, сообщает о них владельцу через электронную почту и в админ панели.

Автоматически защитить файлы wordpress он не может, вы уже сами должны проверить все что он заподозрил и либо оставить, либо удалить.

Установка и настройка AntiVirus

Уже по традиции мы через админку входим в поиск плагинов. Он есть в базе wordpress, поэтому устанавливается быстро и легко.

Настроек он никаких не требует. И начинает работать сразу после активации. Единственное, что вы можете сделать руками – это сиюминутно просканировать свой сайт. Для этого после активации, необходимо в администраторской панели открыть закладку AntiVirus. Там будет кнопка «Scan the Theme Templates now» — она запускает мгновенную проверку.Также, на этой странице можно указать почтовый ящик, на который плагин будет отправлять сообщения. Если этого не сделать, все письма будут отправляться на адрес администратора сайта.

В результатах сканирования подсвечиваются все подозрительные коды. Но не нужно сразу бросаться их удалять. Подозрительные не значит вредоносные. Каждый элемент стоит проверить. Если вы разбираетесь в php, для вас не составит труда разобраться с проблемой.

Но если вы не специалист в программировании (я тоже не специалист) – не отчаивайтесь. Вы можете просто сравнить те файлы, которые AntiVirus отметил как подозрительные с исходными файлами вашего шаблона – они должны быть либо на вашем компьютере, либо на официальном сайте создателя темы. Если эти участки кода есть в оригинале, значит все в порядке.

Каждый проверенный элемент вам нужно подтвердить, нажав кнопку «There is no virus» — больше плагин не будет воспринимать этот элемент как подозрительный.

Как и все дополнительные плагины для wordpress, AntiVirus нагружает сервер и снижает скорость работы сайта, поэтому я рекомендую не держать его в активном состоянии постоянно, периодически включайте его для проверки.

Резюме

Защита wordpress на самом деле не является таким уж трудным занятием. Конечно, на 100% от всех случаев жизни не застраховаться никак — постоянно хакеры находят новые лазейки, а ты натыкаешься на новые решения проблем, но небольшие меры предосторожности и несколько полезных плагинов позволят вам спать спокойно, не переживая за работу вашего сайта.

  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(8 голосов, в среднем: 4.5 из 5)

biznessystem.ru

5 лучших плагинов для настройки безопасности и защиты вашего сайта на WordPress

WordPress является популярной CMS, которую легко использовать. Вот почему множество новичков выбирают WordPress для создания динамичных веб-сайтов. Но они сталкиваются с трудностями выбора системы безопасности. Поскольку WordPress переполнен разнообразными решениями по её обеспечению.

Знание современных и актуальных систем безопасности может помочь людям спасти свои веб-сайты от взлома, но не все новички хотят углубляться в код. Да, мы имеем в виду энтузиастов и новичков, которые хотят обезопасить свой веб-сайт, не используя код.

В этой статье мы постараемся помочь вам защитить ваш веб-сайт, вне зависимости от ваших знаний кода WordPress.

Смотрите также:

Итак, давайте поговорим о безопасности в WordPress для новичков.

Безопасность WordPress для новичков

Если вы хотите усилить безопасность вашего WordPress сайта, не используя код, или если вы хотите, чтобы кто-то позаботился о системе безопасности за вас, то эта статья для вас. Тут вы найдёте для этого бесплатные и премиум инструменты.

Как оказалось, для безопасности WordPress существует масса приложений. Вы найдёте более 1000 вариантов, если просто введёте в поиск по WordPress плагинам слово «безопасность». Но появляется проблема выбора. На какой плагин можно положиться? Мы используем несколько плагинов уже более 5 лет и расскажем о некоторых из них.

Плагины, которые мы перечислим, входят в список наиболее популярных на WordPress на сегодняшний день. Вы не пожалеете, если выберете один из них.

Начнём мы наш список с iThemes Security потому, что его используют на более 700,000 сайтах.

Крис Вигман создал этот плагин, который впоследствии купили iThemes. Мы говорим это по двум причинам:
  1. Крис является потрясающим разработчиком, и мы доверяем его работе
  2. iThemes – это одна из сильнейших компаний WordPress, все её плагины обновляются довольно часто и имеют отличную техническую поддержку.

На данный момент — это наилучший плагин безопасности. Он возглавляет список с 700,000 активными установками. Он предлагает более 30 способов защиты вашего веб-сайта WordPress.

После установки просто дайте плагину сделать свою работу. Он выполняет функции поиска, удаления и защиты в дальнейшем от вредоносных программ. Этот плагин могут легко настроить под свои нужды как новички, так и опытные пользователи.

iThemes Security защищает от большинства угроз. Он блокирует вредоносные аккаунты, проверяет изменения в базовых файлах, сохраняет надёжные пароли, скрывает логин и админ страницу, и многое другое.

Премиум версия имеет несколько дополнительных опций и стоит от $80 за год защиты для двух сайтов.

2. Sucuri

Sucuri на рынке премиум плагинов WordPress имеет репутацию престижного плагина. Разработчики проделали отличную работу, следуя новейшим течениям в сфере безопасности, чем обезопасили тысячи веб-сайтов WordPress.

Для WordPress у Sucuri есть бесплатный плагин для аудита, сканера вредоносных программ и повышения уровня безопасности вашего сайта. Но премиум версия стоит каждой своей копейки. Цена в месяц начинается от $16,66. Если вы профессионал и хотите найти лучший плагин для обеспечения безопасности вашего сайта, то обязательно обратите внимание на Sucuri.

Sucuri предоставляет полный цикл для отслеживания и предотвращения нападения и взлома вашего веб-сайта. В него входят WAF брандмауэр, антивирус и служба удаления вредоносных программ. По любым вопросам вы всегда можете обратиться в службу поддержки.

Помимо обнаружения вредоносных программ и защиты вашего сайта, Sucuri работает и с взломами. Предположим, что ваш сайт взломали. Плагин удалит вредоносное программное обеспечение в течение 12 часов, а также пришлёт вам уведомление о любом вредоносном действии.

Sucuri также предлагает такие функции как регулярные бэкапы, защита и сканирование в реальном времени, сертификаты SSL, защита от DDoS атак, идентификация DNS и изменения WHOIS, и многое другие.

3. VaultPress

Регулярное создание резервных копий тоже принадлежит к числу мер для обеспечения безопасности сайта. За разумную цену VaultPress обеспечивает своих клиентов созданием бэкапов и работой системы безопасности. В набор функций входят также регулярное сканирование сайта, автоматические бэкапы, техническая поддержка.

Мы начали использовать этот плагин, как только он вышел. Команда поддержки помогла нам отследить и решить несколько проблем с безопасностью некоторых сторонних плагинов. Мы можем без сомнений порекомендовать этот плагин для создания резервных копий и сканирования системы.

Если сайт таки удалось взломать, то VaultPress очень быстро возвращает вам контроль над веб-сайтом.

4. Wordfence Security

Wordfence Security – это ещё один плагин для настройки безопасности, который доступен как в платной, так и в бесплатной версии. Его используют более миллиона веб-сайтов. Его мощный Web Application Firewall с Threat Defense Feed защитит ваш веб-сайт от взлома. Обе эти функции блокируют угрозы, к примеру, поддельные Google Bots, Botnets и так далее.

Плагин имеет надежный механизм сканирования, который уведомляет вас о всех подозрительных действиях. Он отслеживает не только вредоносное программное обеспечение, но и любые изменения в файлах, внедрение кода, попытки входа в систему и прочее.

Wordfence Security предлагает уникальную функцию Live Traffic View, которая показывает статистику вашего веб-сайта в режиме реального времени. Это значит, что вы успеете принять своевременные меры при попытках взлома вашего сайта.

Плагин содержит Falcon Engine, который обеспечивает быстрый процесс кэширования. Также наравне с функциями управления кэшем существуют 2 режима кэширования, и это возможность очистить кэш и отслеживание использования кэша.

Чтобы получить расширенный список функций, нужно установить премиум версию.

5. All In One WP Security & Firewall

All In One WP Security & Firewall – это уникальный плагин, который очень нравится пользователям. Его легко настроить, а потом просто наслаждаться защищённостью своего сайта. На данный момент у него более 400,000 установок на сайты, что ставит его в один ряд с iThemes Security.

С интуитивно понятным набором функций вы можете вывести безопасность вашего сайта на новый уровень. Интересной особенностью является система оценки безопасности, которая варьируется от 0 до 470. Так вы поймёте, какой веб-компонент нуждается в дополнительной защите. Вся информация отображается в консоли.

Для избежания поломки сайта All In One WP Security & Firewall работает в 3 режимах: базовый, средний и расширенный. Для начала вы можете выбрать базовый режим, а потом перейти на следующие.

В набор функций этого плагина входят также запрет на прямые ссылки изображений, защита от атак, управление префиксом базы данных, защита с помощью брандмауэра, блокировка IP адресов и многое другое.

Итоги

Всегда необходимо заботиться о безопасности своего веб-сайта. Это ставит вас в более выгодное положение в сравнении с теми, кто решил игнорировать этот вопрос. Существует ещё несколько достойных плагинов помимо тех, которые мы уже назвали. Но мы выносим такой вердикт:

  • Лучший бесплатный плагин —iThemes Security
  • Лучший премиум плагин —Sucuri

А какие плагины для настройки безопасности используете вы? Расскажите нам в комментариях!

hostenko.com

8 лучших плагинов WordPress для защиты от вирусов / Wordpress плагины / Постовой

Wordpress плагины: 8 лучших плагинов WordPress для защиты от вирусов

Wordpress, без сомнения, одна из самых популярных в мире систем управления контентом. Ею пользуются миллионы людей и неудивительно, что она привлекает к себе внимание «плохих парней».

Пользователи Wordpress загружают и устанавливают на свои блоги и сайты всевозможные дополнения и темы. К сожалению, не всегда можно быть уверенными в их безопасности и безобидности. Платные темы и плагины имеют вполне конкретных разработчиков, которые дорожат своей репутацией и, как правило, их продукты — это продукты более высокого качества и вероятность получить вместе с продуктом зловредный код гораздо ниже. Впрочем, из любого правила есть исключения. Некоторые добавляют вполне безобидный код для обеспечения обратной связи, некоторые делают это совсем для других целей… Да и от ошибок никто не застрахован. Даже в самой Wordpress иногда выявляют уязвимости, которые позволяют злоумышленнику внедрить свой код в ее ядро

В общем, если вы серьезно относитесь к вопросам безопасности, вы должны подозревать всех и вся.

К счастью, имеются продукты, которые позволяют проверить весь ваш блог, включая дополнительно устанавливаемые темы и плагины на предмет присутствия уязвимостей и зловредного кода. Далее я расскажу о восьми из них, хотя, конечно же, их гораздо больше.

Это хорошие качественные продукты, которые поднимут защищенность вашего сайта на качественно новый уровень.

Sucuri Security
Sucuri Security — один из лидирующих инструментов в области безопасности сайтов. Он очень активно используется Wordpress-сообществом и под его защитой находится огромное количество сайтов и блогов.

Sucuri обеспечивает несколько уровней и направлений защиты, среди которых:

  • Протоколирование всех операций так или иначе связанных с безопасностью
  • Мониторинг целостности файлов
  • Сканирование на наличие вредоносных скриптов
  • Уведомление о риске попадания вашего сайта в черные списки (плагин работает с такими движками как Sucuri Labs, Google Safe Browsing, Norton, AVG, ESET и др.)
Выполнение определенных мероприятий в случае взлома сайта или его компроментации. В целом, это надежный и хорошо зарекомендовавший себя плагин, обеспечивающий качественную защиту вашего сайта.

Wordpress плагины: 8 лучших плагинов WordPress для защиты от вирусов и malware

Wordfence Security
Wordfence Security выполняет глубокую и тщательную проверку сайта на предмет уязвимостей как в самом ядре Wordpress, так и в темах и плагинах.

Он использует сервисы WHOIS для мониторинга соединений и способен блокировать целые сети благодаря встроенному брендмауэру. При выявлении новых атак (даже если им подвергся другой сайт с установленным WordFence) происходит автоматическое обновление набора правил брендмауэра для наиболее эффективного противостояния угрозам.

Wordfence Security бесплатен и имеет открытый код, однако предлагаемая премиум подписка позволит еще больше защитить ваш сайт благодаря обновлению брендмауэра, malware-сигнатур и списка «черных» IP-адресов в режиме реального времени

Стоимость премиум-подписки: до $99 в год (имеются значительные скидки при приобретении нескольких ключей или на более длительный срок)

Wordpress плагины: 8 лучших плагинов WordPress для защиты от вирусов и malware

AntiVirus
AntiVirus работает так же, как обычный антивирус — выполняет ежедневное сканирование всего сайта (в том числе тем, шаблонов и баз данных), отправляя отчет на заданный e-mail. Сканирование и очистка следов выполняются также при удалении плагинов.

При обнаружении подозрительных или опасных действий уведомления об этом направляются на тот же электронный адрес и отображаются в админпанели.

Wordpress плагины: 8 лучших плагинов WordPress для защиты от вирусов и malware

Quttera Web Malware Scanner
Очень мощный сканер, который выполняет поиск таких уязвимостей, как вредоносные скрипты, трояны, бэкдоры, черви, программы-шпионы, эксплойты, вредоносные iframes, редиректы, обфускацию и другие нежелательные или опасные изменения кода. Кроме того, плагин проверяет не попал ли ваш сайт в черные списки.

Стоимость: бесплатно, однако расширенные возможности, такие как устранение обнаруженных уязвимостей и очистка от вредоносных файлов предоставляется на платной основе (от $119 в год)

Wordpress плагины: 8 лучших плагинов WordPress для защиты от вирусов и malware

Anti-Malware
Anti-Malware сканирует и обезвреживает известные на данный момент уязвимости, включая backdoor-скрипты. Автоматически обновляет антивирусные базы, что позволяет обнаруживать самые свежие вирусы и эксплойты. Встроенный файерволл блокирует внедрение в слайдеры и некоторые другие плагины вируса SoakSoak и других эксплойтов.

После регистрации на gotmls.net вы получите дополнительно защиту от атак методом «грубой силы» (brute-force attack) и DDoS-атак, а также проверку целостности ядра Wordpress.

Wordpress плагины: 8 лучших плагинов WordPress для защиты от вирусов и malware

WP Antivirus Site Protection
WP Antivirus Site Protection сканирует все важные, с точки зрения безопасности, файлы, включая темы, плагины и загружаемые файлы в папке uploads. Найденные зловреды и вирусы будут немедленно удалены или перемещены в карантин.

Wordpress плагины: 8 лучших плагинов WordPress для защиты от вирусов и malware

Exploit Scanner
Exploit Scanner не удаляет подозрительный код — он оставляет это «грязное» дело администратору. Но зато он хорошо выполняет не менее важную и более трудоемкую операцию по его поиску. И будьте уверены он его найдет, будь он в базе данных или в обычных файлах.

Wordpress плагины: 8 лучших плагинов WordPress для защиты от вирусов и malware

Centrora Security
Плагин Centrora Security выполнен по принципу «швейцарского ножа» — это комплексный инструмент для всесторонней защиты сайта от всех типов угроз. Он имеет встроенный firewall, модуль резервного копирования и ряд сканеров, выполняющих проверку прав доступа, поиск зловредного кода, спама, SQL-инъекций и прочих уязвимостей.

Wordpress плагины: 8 лучших плагинов WordPress для защиты от вирусов и malware

postovoy.net

Подборка плагинов для защиты WordPress

В продолжении вчерашней темы о защите блога подготовил подборку полезных плагинов для защиты Вашего блога. Итак встречайте 22 плагина для защиты Вашего блога на WordPress.

AntiVirus WordPress - Плагин регулярно сканирует файлы вашего блога и уведомляет вас в случае найденных вирусов. Возможен запуск проверки вручную.

Anonymous WordPress Plugin Updates – Плагин для анонимной проверки обновления WordPress на сервере. При этом он не отсылает ссылки блога, его плагины и версию WordPress.

AskApache Password Protect - Плагин для ограничения доступа к административному интерфейсу блога, с помощью пароля, настроенного через файл конфигурации .htaccess. Очень полезный плагин, который спрашивает дополнительный пароль, при попытке попасть в админку блога.

Anti-XSS attack — предупреждение и защита от XSS-атак Вашего блога.

Bad Behavior - Проверяет IP посетителя по базе Project Honey Pot, чтобы узнать, не спамер ли это. Если данный IP есть в базе распространителей вредоносного кода, плагин может запретить ему доступ к сайту.

Belavir - Плагин, с помощью которого в «Панели управления» («Доска объявлений») вы будете видеть, какие файлы вордпресса изменились.

Force SSL - Плагин для работы с WordPress блогом, через зашифрованное SSL соединение. Все данные при работе с блогом будут зашифрованы и не могу быть перехвачены злоумышленником.

Iodized_salt — Плагин не позволяет злоумышленнику использовать ворованные cookies с другими IP – адресами.

Last Logins - Плагин поможет отследить кто, когда и с какого IP входил в админку. Также каждому пользователю сообщается с точностью до секунды, когда он последний раз логинился, а если были неудачные попытки входа с его логином — плагин сообщит об этом факте (IP, дата, сколько было попыток).

Limit Login Attempts - Этот плагин блокирует пользователя на 20 минут после того, как он четыре раза подряд вводит неверный пароль (четыре попытки установлены по умолчанию, этот параметр можно регулировать). Хороший способ обезопасить себя от атак по подбору паролей. (Аналог – Login LockDown)

Login LockDown - Аналог Limit Login Attempts.

Replace WP version — Злоумышленник может посмотреть версию WordPress на вашем блоге, что упростит поиск уязвимостей для совершения атаки на блог. Данный плагин подменяет или полностью удаляет строчку которая отображает версию WordPress.

Sabre - Если на вашем блоге открыта регистрация для всех пользователей, этот плагин поможет остановить фальшивые регистрации, которые осуществляются ботами. Он добавляет разные типы капчи в форму для регистрации.

Semisecure Login - Плагин увеличивает безопасность логина в WordPress, используя MD-5 шифрование на стороне клиента. Для работы плагина необходима поддержка скриптов Java. Если поддержка Java отключена, то пароль шифроваться не будет, и авторизация будет проходить обычным способом.

Secure WordPress - Этот плагин защищает файлы WordPress с помощью набора несложных функций. Он скрывает информацию о версии WordPress от всех, кроме администраторов, а также прячет директорию с плагинами.

Secure Files - Плагин который позволяет вам скачивать и закачивать файлы вне папки вашего блога, для повышения сохранности файлов. Также возможно настроить возможность скачивать файлы, только зарегистрированным пользователям.

TTC WordPress Security Tool - это плагин отслеживает и защищает блог от XSS атак, блокирует IP адреса людей, ботов, роботов которые жестоко себя ведут по отношению к Вашему блогу.

WordPress Hotlink protection - Запрещает другим сайтам использовать изображения с Вашего сайта.

WP Security Scan - сканирует настройки WordPress на уязвимости в системе безопасности и предлагает меры по исправлению данных дыр. Функций тьма, он позволяет создавать надежные пароли, проверяет файл базы данных безопасности, скрывает версию WP, защищает админ-панель и многое другое.

WordPress Exploit Scaner - Этот плагин ищет в файлах блога, постах, комментариях, таблицах Ваших баз данных что-либо подозрительное. Он также анализирует список активных плагинов.

WordPress Firewall - Этот плагин WordPress отслеживает веб-запросы с блога для выявления и предотвращения наиболее распространенных атак.

Два плагина, которые помогут Вам в случаи если не помогли все остальные 😉

WordPress Database Backup - С этим плагином все легко и просто, его необходимо устанавливать сразу же после того, как вы установили свой WordPress блог. Плагин может делать резервные копии базы данных WordPress, и отправлять на E-Mail администратору. Резервное копирование может производиться автоматически, нужно просто один раз, настроить этот плагин.

BackUpWordPress - В отличии от первого плагина, этот плагин делает полную резервную копию вашего блога, базы данных, плагины, файлы самого WP и файлы которые вы загружали в ваш блог. Есть множество настроек, касающихся автоматизации бэкапа, уведомления о сделанных бэкапах и восстановление из резервной копии. Еще много интересных и полезных функций.

Если Вы знаете еще плагины которые должны войти в эту коллекцию - пишите в комментах, обязательно добавлю!

www.wp-info.ru

Как защитить WordPress-сайт с помощью .htaccess

Как защитить WordPress-сайт с помощью .htaccess

WordPress является самой популярной CMS в мире с более чем 70 миллионами пользователей, но так ли безопасна эта CMS? В этой статье Paul Maloney покажет вам, как защитить ваш сайт на WordPress с помощью .htaccess.

WordPress, без сомнения, самая популярная CMS в данный момент, значительно опережая другие альтернативы, такие как Joomla и Drupal.

Как защитить WordPress-сайт с помощью .htaccess

WordPress имеет очень большое и активное сообщество, которое создает большое количество плагинов, тем и хаков, но популярность имеет и свои минусы... Сайты на Wordpress постоянно подвергаются попыткам взлома.

Наша задача, как пользователей WordPress (кроме вклада в WordPress-сообщества) держать наш сайт в безопасности от людей, которым мы не хотим давать доступ к сайту.

Есть множество плагинов, чтобы укрепить защиту WordPress, такие как Login LockDown, который фиксирует IP-адреса и блокирует их после определенного числа неудачных попыток входа в систему, он помогает против подбора пароля.

Другой плагин WP Security Scan, проверяет ваш сайт на наличие уязвимостей и предлагает возможные методы для исправления ошибок, которые он нашел.

Как защитить WordPress-сайт с помощью .htaccess

Одним из самых игнорируемых методов безопасности является отказ от установки самых последних обновлений и исправлений на ваш сайт.

Настройка файла .htaccess

Наряду с использованием плагинов, есть ряд способов защиты, которые вы можете применить с помощью файла .htaccess, в сочетании с плагинами и регулярными обновлениями - это повысит уровень безопасности вашего сайта и даст вам дополнительный уровень защиты.

Я расскажу о некоторых способах защиты, и покажу вам, как и где можно добавить фрагменты кода, которые помогут вам обезопасить ваш сайт.

Типичный .htaccess файл в WordPress выглядит примерно так:

# BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPress

Я бы советовал любые изменения в файл .htaccess добавлять после #END WordPress.

Это позволит вам не сломать какой-либо базовый функционал в WordPress. До внесения изменений в файл .htaccess я настоятельно рекомендую сделать резервное копирование данных и сохранить их в безопасном месте!

Защита WP-config.php

WP-config.php - это файл в корневом каталоге, который хранит информацию о вашем сайте, а также о базе данных.

Чтобы предотвратить доступ к wp-config.php добавьте следующие строки в ваш файл .htaccess:

 <Files wp-config.php> order allow,deny deny from all </Files>

Доступ в админку только с вашего IP

Вы можете ограничить доступ в админку по IP-адресу, для этого вам нужно будет создать новый файл .htaccess в обычном текстовом редакторе и загрузить его в свою папку wp-admin.

Cледующий код запрещает доступ в админку для всех IP-адресов, за исключением вашего IP-адреса, но имейте в виду, если у вас динамический IP, вам, возможно, придется регулярно изменять этот файл, в противном случае вам также будет отказано в доступе!

 order deny,allow allow from 202.090.21.1 (замените это (202.090.21.1) на ваш IP адрес) deny from all

Баним подозрительных пользователей

Если вы обнаружили в логах, что кто-то пытается взломать ваш сайт или посылает очень много запросов к вашему сайту, то вы можете запретить ему доступ к сайту с помощью этого простого кода в .htaccess:

 <Limit GET POST> order allow,deny deny from 202.090.21.1 allow from all </Limit>

Этот пользователь или бот теперь не сможет получить доступ к сайту пока не сменит IP адрес. Но вы можете добавить сколько угодно запрещенных IP адресов, например:

 <Limit GET POST> order allow,deny deny from 202.090.21.1 deny from 204.090.21.2 allow from all </Limit>

Запрет на просмотр списка файлов в каталоге

Так как WordPress в настоящее время очень популярен, многие знают структуру WordPress и знают, где искать, чтобы выяснить какие плагины можно использовать или какие-либо другие файлы, которые могут дать много информации о Вашем сайте, один из способов борьбы с этим является запрет на просмотр каталогов.

 Options All -Indexes

Запрет на доступ к wp-content

Папка wp-content содержит изображения, темы и плагины, это очень важная папка WordPress, так что имеет смысл предотвратить несанкционированный доступ к ней.

Это потребует создания отдельного файла .htaccess, который должен находиться в папке wp-content, что позволит пользователям просматривать изображения, CSS-файлы и т.д., но защищает важные PHP-файлы:

 Order deny,allow Deny from all <Files ~ ".(xml|css|jpe?g|png|gif|js)$"> Allow from all </Files>

Индивидуальная защита файлов

Есть определенные файлы, которые вы можете защитить отдельно, а не блокировать всю папку. Например данный код показывает как вы можете предотвратить доступ к файлу .htaccess. Имя файла может быть изменено на любой файл, который вы хотите защитить:

 # Protect the .htaccess <files .htaccess=""> order allow,deny deny from all </files>

Защита .htaccess

Звучит безумно, да? Мы тратим так много времени, беспокоясь, все ли последние обновления безопасности установлены, но мы упускаем из виду тот факт, что файл .htaccess остается открытым для атак.

Этот код запрещает просмотр любого файла на вашем сайте, который начинается с ".hta", это защитит его и сделает немного более безопасным.

 <Files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </Files>

Итак, мы рассмотрели как запретить доступ посторонним в админку, как предотвратить просмотр каталогов, защитить ваш файл wp-config.php, защитить папку wp-content и отдельные файлы, и даже как защитить файл .htaccess.

Этот список способов защиты отнюдь не исчерпывается данными вариантами, есть ряд других вещей, которые вы можете сделать, чтобы защитить ваш сайт с помощью .htaccess. Но способы, которые я показал, помогут защитить наиболее важные файлы и папки на вашем сайте и сохранить их вдали от любопытных глаз.

Перевод статьи с www.netmagazine.com

Если у Вас возникли вопросы, то для скорейшего получения ответа рекомендуем воспользоваться нашим форумом

Комментарии:

Добавить комментарий

www.webmasters.by