На WordPress сейчас работает более 40% всех веб-сайтов. Это свидетельствует о его гибкости, простоте использования и множестве доступных бесплатных плагинов и тем. Но это также означает, что WordPress является гигантской мишенью для злоумышленников и ботов.
Они постоянно сканируют систему на предмет устаревших установок и уязвимостей нулевого дня. Атаки грубой силы на вход в систему поражают даже самые малопосещаемые сайты.
Владельцам сайтов стало совершенно необходимо принимать дополнительные меры безопасности. Некоторые из них принимаются на уровне сервера, но многое можно сделать и в самом WordPress. На самом деле, существует множество бесплатных плагинов, которые укрепляют WordPress и обеспечивают дополнительный уровень защиты.
Limit Login Attempts Reloaded
Брутфорсы — это такая неприятность, что существует целая категория плагинов, посвященных их пресечению. Limit Login Attempts Reloaded поможет вам взять ситуацию под контроль. Он позволяет устанавливать ограничения на вход в систему и блокировать IP-адреса нарушителей на определенный период времени.
Кроме того, вы можете выбрать уведомление о блокировке IP-адреса. Для сайтов, которые подвергаются большому количеству атак, это может оказаться слишком сложной задачей. Поэтому более эффективным может оказаться периодическая проверка журнала заблокированных попыток.
Sucuri Security
Sucuri Security включает в себя набор функций, направленных на информирование администраторов сайтов. Плагин будет сканировать ваши файлы на наличие подозрительного кода, известных уязвимостей и уведомлять вас о любых найденных проблемах. Кроме того, ваш сайт будет проверен на наличие блокирующих списков и сообщит, если он был отмечен.
Вы также найдете полезный журнал действий, связанных с безопасностью, который поможет вам отслеживать изменения, вносимые на ваш сайт. Достигнув уровня премиум-версии, вы сможете активировать брандмауэр, оптимизацию производительности и многое другое.
WordFence
С миллионами активных установок WordFence является одним из самых популярных плагинов. Он регулярно сканирует вашу установку на наличие вредоносного кода и имеет брандмауэр реального времени, который поможет защитить ваш сайт от известных (и неизвестных) угроз.
Расширенные функции, такие как блокировка IP-адресов и защита от перебора логинов, позволяют владельцам сайтов быть спокойными. Премиум-версия включает блокировку по странам, двухфакторную аутентификацию, а брандмауэр обновляется в режиме реального времени.
JetPack
В последние годы JetPack — универсальный инструмент WordPress — добавил несколько отличных функций безопасности. Включена защита от грубой силы при входе в систему (и на приборной панели WP с гордостью отображается количество предотвращенных попыток входа в систему).
Также есть функция единого входа, которая работает с вашей учетной записью WordPress.com. Платные тарифные планы добавляют блокировку спама, сканирование вредоносных программ и многое другое.
iThemes Security
Этот пакет безопасности (в виде плагина) защитит ваш сайт с помощью защиты от перебора, обнаружения изменений файлов, требования от пользователей вводить надежные пароли и даже поможет вам запустить весь сайт в SSL. Версия Pro позволяет сканировать вредоносные программы, устанавливать срок действия пароля и многое другое.
All In One WP Security & Firewall
Этот плагин сканирует учетные записи пользователей вашего сайта, чтобы убедиться, что имя пользователя и его отображаемое имя не совпадают — основной метод, используемый ботами для захвата логинов. Регистрация пользователей также может быть настроена на одобрение администратором — это означает, что у вас будет возможность отклонить учетные записи, которым вы не доверяете.
Также вы найдете защиту от перебора, брандмауэр, сканирование вредоносных программ и защиту конфигурационных файлов.
BulletProof Security
BulletProof Security обеспечит дополнительную защиту файла .htaccess вашего сайта, логинов, истечения срока действия cookie, а также позволит создавать резервные копии базы данных. Вы также можете установить временное ограничение для неработающих сессий WordPress, которое выведет пользователя из системы после определенного периода бездействия.
Really Simple SSL
Одна из лучших вещей, которые вы можете сделать для безопасности — это включить SSL на вашем сайте. Как только вы приобретете SSL-сертификат и установите его на свой сервер, Really Simple SSL обеспечит оптимизацию вашей установки WordPress для работы под HTTPS.
Shield WordPress Security
Ранее известный как WordPress Simple Firewall, этот плагин автоматически блокирует вредоносные URL-адреса и запросы. Он также защитит ваш блог от комментариев спам-ботов и добавит двухфакторную аутентификацию.
Hide My WordPress
Одним из признаков того, что сайт работает под управлением WordPress, является использование стандартных URL-адресов /wp-admin/ и wp-login.php. Hide My WordPress позволяет безопасно переименовать эти шлюзы входа, чтобы избежать атак.
Обратите внимание, что следует соблюдать осторожность при включении более одного плагина безопасности. Некоторые из них могут конфликтовать друг с другом и привести либо к краху сайта, либо к серьезному снижению производительности. Если вы планируете использовать более одного плагина безопасности, проведите исследование, чтобы узнать, как они сосуществуют.
Хотя не существует серебряной пули для защиты WordPress (или любой другой CMS), есть шаги, которые вы можете предпринять, чтобы предотвратить вредоносные атаки. Большинство ботов и хакеров ищут легкие цели. Использование плагина безопасности значительно усложняет процесс взлома.
