Статьи

48 способов обеспечить безопасность вашего сайта WordPress

Эта статья является частью серии, созданной в сотрудничестве с SiteGround . Спасибо за поддержку партнеров, которые делают возможным использование SitePoint.

Хакеры. Уязвимости. Грубая сила. Malware. Отказ в обслуживании. Человек посередине. Фишинг. Все страшные слова. Мы живем в опасном онлайн-мире!

Ваш сайт был взломан? У меня есть, и мы не одни. В 2012 году более 70% сайтов WordPress были уязвимы для атак, и с тех пор мало что изменилось. Что вы сделали, чтобы защитить сайт WordPress?

В этой статье мы собрали советы по безопасности из предыдущих статей SitePoint, из нашего собственного опыта и из Интернета и организовали их так, как я надеюсь, вы найдете полезными и понятными. И самое главное, легко действовать.

Многофункциональные плагины безопасности WordPress полезны (и мы расскажем о них в нашей следующей статье), но безопасность требует больше, чем просто установка плагина и уход. Это требует тщательной стратегии и постоянной бдительности. Будьте активными, а не реактивными. Другими словами, не думайте, что ваш сайт безопасен — разработайте план безопасности, прежде чем вас взломают!

При этом не существует такой вещи, как 100% безопасность. Вы можете добиться снижения рисков и найти баланс (для вас) между безопасностью и удобством.

Безопасность — это не совсем безопасные системы. Такая вещь вполне может быть непрактичной или невозможной для поиска и / или поддержания. Однако безопасность — это снижение риска, а не устранение риска. Речь идет о применении всех соответствующих средств управления, доступных вам, в разумных пределах, которые позволят вам улучшить ваше общее положение, уменьшая шансы сделать себя целью, а затем получить взлом ». — codex.wordpress.org

Где вы должны сосредоточить свое внимание? В статье за ​​прошлый год WP White Security опубликовал следующую статистику о взломанных сайтах:

  • 41% были взломаны через уязвимость безопасности на их хостинговой платформе
  • 29% были взломаны из-за проблем безопасности в используемой ими теме WordPress
  • 22% были взломаны из-за проблем безопасности в плагинах WordPress, которые они использовали
  • 8% были взломаны, потому что у них был слабый пароль

Вот где дыры в вашей защите. Имейте это в виду при создании стратегии безопасности.

OK. Имея это в виду, вот 40 способов защитить ваш сайт WordPress. Выберите те, которые имеют смысл для вас и вашего сайта.

Безопасный WordPress

1. Держите WordPress в актуальном состоянии

Последний из WordPress, скорее всего, более безопасен, чем предыдущий, и имеет меньше уязвимостей. Так что держите его в актуальном состоянии — это операция в один клик. Сначала сделайте резервную копию своего сайта!

Обновления WordPress редко вызывают проблемы, но если вы хотите быть осторожными, сначала обновите их на тестовом сервере. Или, если вы хотите, чтобы WordPress автоматически обновлялся сам, примените следующий код к своему файлу wp-config.php :

 #Enable all core updates, including minor and major: define ( 'WP_AUTO_UPDATE_CORE', true ); 

Если вы не хотите обновлять свой WordPress вручную, рассмотрите хостинг-провайдера, такого как наш партнер SiteGround , у которого есть специальный инструмент автоматического обновления, доступный на всех планах.

2. Регулярно создавайте резервные копии вашего сайта

Убедитесь, что вы регулярно делаете резервные копии своего сайта WordPress. Резервное копирование данных и файлов WordPress может сыграть решающую роль в чрезвычайной ситуации. Если ничего не помогает, вам не придется начинать с нуля!

Запланируйте свои резервные копии, чтобы вы не забыли их, и время от времени выполняйте тестовое восстановление.

Дальнейшее чтение:

3. Включить SSL для WordPress Data Security

Включите SSL для защиты вашего сайта WordPress. Уровень защищенных сокетов зашифровывает всю информацию, отправляемую на ваш сайт и с него, обеспечивая его конфиденциальность и предотвращая атаки «посредник», когда третья сторона прослушивает или изменяет связь между клиентом и сервером. В качестве бонуса он также может повысить ваш Google PageRank.

Адрес SSL-сертифицированного сайта начинается с HTTPS, а сайт, не сертифицированный по SSL, начинается с HTTP. Лучше активировать HTTPS перед установкой WordPress, но можно обновить настройки WordPress, если вы добавите его позже. Хостинг-провайдеры, такие как SiteGround, предлагают бесплатные SSL-сертификаты.

Дальнейшее чтение:

4. Безопасный wp-config.php

Заблокируйте wp-config.php — это единственное место, которое содержит множество важных данных, касающихся вашей базы данных, имени пользователя и пароля. Только у вас должен быть доступ.

Чтобы запретить доступ к этому файлу, вы должны добавить приведенный ниже код в верхней части файла .htaccess :

 <files wp-config.php> order allow,deny deny from all </files> 

5. Переместить wp-config.php

Переместите файл wp-config.php в папку над вашей установкой WordPress. Это сделает его недоступным для любого, кто использует браузер, что означает, что у взломщика меньше шансов найти его.

Дальнейшее чтение:

6. Скрыть номер версии WordPress

Некоторые версии WordPress имеют известные уязвимости. Кто-то, знакомый с этими уязвимостями, может узнать, какую версию вы используете, потому что она показана в заголовке HTML каждой страницы.

Удалите эту информацию, добавив следующую строку в файл functions.php вашей темы:

 remove_action('wp_head', 'wp_generator'); 

Вам также следует удалить файл readme.html , который также содержит номер версии WordPress.

7. Удалите ссылки WordPress из вашей темы

Кто-то попытается взломать WordPress, только если узнает, что вы его используете. Так что держите это в секрете! Удалите все ссылки на WordPress из ваших файлов тем.

Найдите и удалите ссылки из header.php которые выглядят так:

 <meta name="generator" content="WordPress" /> 

8. Отключите отчеты об ошибках PHP

Хакеры могут использовать сообщения об ошибках в своих интересах. Например, ошибка из темы или плагина может отображать путь к вашему серверу.

Чтобы отключить отчеты об ошибках, добавьте следующий код в файл wp-config.php :

 error_reporting (0); @ini_set ('display_errors', 0); 

9. Изменить секретные ключи по умолчанию

Когда вы устанавливаете WordPress, в ваш файл wp-config.php записываются четыре секретных ключа. Они улучшают шифрование информации, хранящейся в cookie-файлах пользователя, и затрудняют взлом вашего пароля.

Используйте Генератор секретных кодов WordPress, чтобы получить новые ключи и скопировать их в файл wp-config.php .

Защитите свои темы и плагины

51% взломанных сайтов из-за проблем с безопасностью тем и плагинов. Особое внимание уделите этому разделу!

10. Держите ваши темы и плагины в актуальном состоянии

Не просто обновляйте WordPress, убедитесь, что ваши темы и плагины также актуальны. Каждый из них является потенциальной задней дверью вашего сайта, и каждая новая версия, вероятно, будет иметь меньше уязвимостей.

11. Выберите темы и плагины, которые активно поддерживаются и регулярно обновляются

Если в теме или плагине обнаружены уязвимости безопасности, вы бы хотели, чтобы они были устранены как можно быстрее. Этого не произойдет с темой или плагином, который больше не поддерживается. По возможности, убедитесь, что используемые вами темы и плагины активно поддерживаются.

Дальнейшее чтение:

12. Удалите темы и плагины, которые вы не используете

Если каждая тема и плагин являются потенциальным задним ходом, максимально снизьте риск. Если вы не используете его, удалите его. Недостаточно деактивировать плагины — нажмите «Удалить»!

13. Ограничить доступ к вашему каталогу плагинов

Ограничьте доступ к каталогу плагинов WordPress: www.your-domain.com/wp-content/plugins/ . В противном случае, просматривающий папку может увидеть, какие плагины вы используете, изучить их на предмет потенциальных уязвимостей.

Запретите доступ, загрузив в каталог пустой файл index.html . В качестве альтернативы добавьте следующую строку в начало вашего файла .htaccess в корневой папке:

 Options –Indexes 

14. Исключите плагин и редактор тем

На панели инструментов WordPress есть встроенный плагин и редактор тем. Этот редактор может быть использован для закрытия всего вашего сайта, если взломана одна из ваших учетных записей.

Если вы не пользуетесь редактором регулярно, лучше его отключить. Вставьте следующее в ваш файл wp-config.php :

 // Disallow file edit define( 'DISALLOW_FILE_EDIT', true ); 

Защитите свои логины

8% взломанных сайтов вызваны слабыми паролями. Вот несколько методов для повышения безопасности ваших процедур входа в систему.

15. Изменить имя администратора

Избегайте использования имени пользователя по умолчанию для администратора или таких явных имен, как «администратор», имени вашего сайта или вашего собственного имени. Их слишком легко угадать, а взломанная учетная запись администратора более опасна, чем учетная запись автора.

Выберите подходящее имя пользователя администратора при настройке WordPress. Если ваш сайт уже использует «admin», то создайте нового пользователя-администратора, затем удалите старого или, в качестве альтернативы, используйте плагин, такой как Username Changer .

16. Используйте безопасный пароль

Выберите сложный пароль, состоящий из букв, цифр и символов. Вот несколько советов:

  • Не выбирайте пароль, который похож на ваше имя пользователя.
  • Не выбирайте пароль, который похож на имя вашего сайта.
  • Не выбирайте пароль, который является обычным словом с несколькими простыми изменениями.
  • Избегайте словарных слов.
  • Попробуйте использовать случайную строку символов.
  • Подумайте об использовании хорошего инструмента управления паролями для безопасного создания, хранения сложного пароля.

Вот несколько инструментов, которые могут сгенерировать для вас безопасный пароль:

Наконец, убедитесь, что вы не используете тот же пароль, который вы используете в другом месте. Все пароли должны быть уникальными.

17. Заставьте всех пользователей иметь надежные пароли

Это не хорошо, если вы используете надежный пароль, но остальная часть команды не так прилежна. Вам не нужны слабые звенья в цепочке.

Вы можете убедиться, что каждый использует надежный пароль, используя такой плагин, как Force Strong Passwords .

18. Регулярно меняйте пароль

Чем дольше вы используете один и тот же пароль, тем больше времени вы даете хакерам взломать его. Укороти окно возможностей!

Меняйте свой пароль как минимум несколько раз в год. И поощряйте других пользователей делать то же самое.

19. Используйте двухфакторную аутентификацию (2FA)

Двухфакторная аутентификация (2FA) повышает безопасность при входе в систему, требуя уникальный код в дополнение к имени пользователя и паролю. Код генерируется для одноразового использования приложением или отправляется на устройство / смартфон с помощью SMS.

Дальнейшее чтение:

20. Ограничить попытки входа

Предоставьте хакерам меньше возможности угадать ваш пароль и защитите свой сайт от атак методом перебора, ограничив число возможных попыток входа в систему. Это автоматически заблокирует экран входа в систему после настраиваемого количества попыток и сообщит администратору по электронной почте.

Вы можете ограничить количество попыток входа в систему, используя один из этих плагинов:

21. Используйте CAPTCHA или reCAPTCHA на экране входа

В дополнение к имени пользователя и паролю, используйте CAPTCHA или reCAPTCHA на экране входа в систему. Пользователю предлагается ввести то, что он видит на изображении, в виде текста, что является полезным способом предотвращения попыток ботнетов войти в систему с помощью грубой силы.

Дальнейшее чтение:

22. Добавить секретный вопрос на экран входа

Добавление секретного вопроса на экран входа в WordPress затрудняет получение несанкционированного доступа. Вы можете сделать это, установив плагин WP Security Questions .

23. Автоматический выход из режима ожидания

Иногда пользователи могут отойти от экрана, когда они вошли в систему, создав угрозу безопасности — кто-то может захватить их сеанс, изменить пароли или внести изменения в свою учетную запись.

Вы можете автоматически отключать неактивных пользователей с помощью плагина Idle User Logout .

24. Назначьте пользователям минимально возможную роль

Пользователи — самое слабое место любой системы. Это слабое место наиболее опасно, когда у них есть права администратора.

Мало кому на самом деле нужен административный доступ. WordPress предлагает ряд альтернативных ролей на выбор:

  • Редактор: тот, кто может публиковать и управлять своими и чужими постами
  • Автор: тот, кто может публиковать и управлять своими сообщениями
  • Автор: тот, кто может писать и управлять своими сообщениями, но не может их публиковать.

25. Используйте принудительный SSL для входа

Принудительный SSL — это относительно простое изменение, которое может иметь огромное значение. Даже если вы не шифруете весь свой сайт, убедитесь, что у ваших пользователей есть безопасные страницы входа. Вам понадобится современный SSL-сертификат для этого.

26. Удалить сообщения об ошибках со своей страницы входа

При каждой неудачной попытке входа в систему сообщения об ошибках на вашей странице входа могут дать подсказки хакерам. Удалите их, добавив следующую строку кода в файл темы functions.php :

 add_filter('login_errors',create_function('$a', "return null;")); 

27. Измените свой URL для входа в WordPress

Зная, что URL-адрес администратора WordPress — это wp-admin , любой хакер может легко начать атаковать грубой силой. Уменьшите риск подвергнуться атаке, изменив этот URL, чтобы хакеры не смогли его найти.

WPS Hide Login — самый простой плагин для достижения этой цели.

28. Скрыть имя автора

Для входа в WordPress вам понадобится имя пользователя и пароль. По умолчанию WordPress позволяет легко находить имена пользователей ваших авторов. Согласно DreamHost, неплохо бы спрятать имя пользователя автора, чтобы убедиться, что вы не облегчаете работу хакера.

Для этого скопируйте и вставьте в файл functions.php :

 add_action('template_redirect', 'bwp_template_redirect'); function bwp_template_redirect() { if (is_author()) { wp_redirect( home_url() ); exit; } } 

29. Защита паролем wp-login.php

Это для продвинутых пользователей. Вы можете обеспечить еще один уровень безопасности, требуя входа на стороне сервера перед отображением экрана входа в WordPress.

Узнайте больше здесь:

30. Защитите каталог wp-admin

Если только вы (или ваши авторы, но не участники или читатели) должны войти в систему, wp-login.php доступ к вашему файлу /wp-admin/ folder или wp-login.php .

Если вы входите только с домашнего компьютера, ограничьте экран входа только этим компьютером. Захватите свой домашний IP-адрес (используя whatismyip.com или аналогичный) и добавьте эти строки в файл .htaccess в папке администратора WordPress (заменив xx.xxx.xxx.xxx на ваш IP-адрес):

 <Files wp-login.php> order deny,allow Deny from all Allow from xx.xxx.xxx.xxx </Files> 

Чтобы разрешить доступ к нескольким компьютерам (офис / дом / ноутбук или пользователь1 / пользователь2 / пользователь3), добавьте еще одну инструкцию Разрешить из xx.xxx.xxx.xxx в новой строке.

31. Отключить XML-RPC

XML-RPC позволяет пользователям подключаться к WordPress удаленно через клиенты блогов и используется для трекбэков и пингбэков. Он был включен по умолчанию начиная с WordPress 3.5.

К сожалению, хакеры могут использовать его для DDoS-атак, поэтому, если вы не используете эти функции, рассмотрите возможность отключения XML-RPC.

Это можно сделать с помощью одного из следующих плагинов:

Защитите базу данных и файлы WordPress

32. Используйте строгие имена баз данных MySQL

Старайтесь не называть свою базу данных «wordpress» идентификатором пользователя «user» и паролем «password». Вы устанавливаете базу данных только один раз, поэтому делайте ее настолько сложной, насколько вам нравится. Если вы их забыли, вы можете проверить подробности в wp-config.php .

33. Установите надежные пароли для вашей базы данных

Используйте надежный пароль для WordPress для доступа к базе данных. Смотрите наши подсказки пароля в # 16 выше.

34. Измените префикс таблицы базы данных WordPress

При установке WordPress таблицы используют префиксы таблиц, такие как Wp_ по умолчанию. Зная это, хакеры с автоматизированными инструментами могут определить структуру вашей базы данных. Измените префикс, чтобы стало труднее выполнять запросы SQL-инъекций и другие атаки.

35. Используйте SFTP для подключения к вашему серверу

Используйте соединение SFTP (безопасный FTP) при подключении к вашему серверу. Это гарантирует, что связь между вашей машиной и сервером защищена. Большинство хостов, таких как SiteGround, предлагают SFTP.

Дальнейшее чтение:

36. Ограничить права доступа к файлам

Защитите безопасность вашего сайта, установив минимальные разрешения для файлов:

  • Установите для CHMOD значение 755 для папок. Только владелец будет иметь права на запись, а другие будут иметь права на чтение и выполнение.
  • Установите для CHMOD значение 644 для файлов. Владельцы имеют права на чтение и запись, а другие могут только читать файлы.

37. Монитор для вредоносных программ

Если нарушение действительно произойдет, вы не хотите, чтобы вредоносные программы были недоступны для ваших посетителей. Вам нужно решение, которое будет регулярно проверять наличие зараженных файлов.

Существует несколько решений для сканирования на стороне сервера, включая Sucuri . Некоторые хостинг-провайдеры, такие как SiteGround , настраивают его «из коробки».

Выберите провайдера безопасного хостинга

41% взломанных сайтов из-за уязвимостей безопасности на платформе хостинга. Поэтому будьте особенно внимательны при выборе или смене вашего хостинг-провайдера.

38. Выберите лучший план хостинга, который вы можете себе позволить

Ваш сайт WordPress безопасен только как ваша учетная запись хостинга. Если он использует старую уязвимую версию PHP, не имеет значения, что вы делаете для защиты WordPress.

Важно, чтобы вы выбрали хостинг-провайдера, который отдает приоритет безопасности. Некоторые из функций, которые вы должны искать:

  • Поддержка последних версий PHP и MySQL
  • Изоляция аккаунта
  • Брандмауэр веб-приложений
  • Система обнаружения вторжений
  • Проактивные обновления и патчи
  • Быстрый мониторинг сервера
  • Ежедневные резервные копии

SiteGround, наш предпочтительный хостинг-провайдер , предоставляет все это и многое другое.

Дальнейшее чтение:

39. Воспользуйтесь преимуществами решений безопасности вашего хостинг-провайдера

Несколько компаний теперь предлагают безопасный, управляемый хостинг WordPress с отличными решениями безопасности, такими как WP Engine, SiteGround и Media Temple. Они тратят время, усилия и опыт на настройку своих инструментов для максимальной эффективности.

Например, WP Engine автоматически обновит WordPress и ключевые плагины и отключит плагины, которые, как известно, вызывают проблемы с производительностью и безопасностью. Они предоставляют аппаратные брандмауэры и конфигурацию, гарантирующие, что атаки распределенного отказа в обслуживании (DDoS) не приведут к остановке вашего сайта.

SiteGround предоставляет автоматические обновления для ядра и плагинов WordPress, эффективную изоляцию учетных записей ch-root для всех учетных записей на общих серверах и сложные системы, которые блокируют вредоносных ботов и злоумышленников.

Плагины безопасности

40. Установите хорошие плагины безопасности

Мы сосредоточились на плагинах с высоким рейтингом, которые охватывают целый ряд функций безопасности, а не чудеса одного трюка. Если у вашего хостинг-провайдера еще нет комплексного решения по безопасности, установка одного из них станет отличным первым шагом в вашей стратегии безопасности.

Мы пропустили ваш любимый плагин безопасности? Дайте нам знать об этом в комментариях.

41. WordFence

  • Стоимость: бесплатно, премиум от $ 99 / год
  • Активные установки: более 2 миллионов
  • Оценка: 4.8 из 5 звезд (3 048 отзывов)

Wordfence Security на 100% бесплатен и имеет открытый исходный код. Мы также предлагаем ключ API Premium, который предоставляет вам расширенную поддержку, блокировку по странам, сканирование по расписанию, аудит паролей, обновления в реальном времени для канала защиты от угроз, двухфакторную аутентификацию, и мы даже проверяем, используется ли IP-адрес вашего веб-сайта для Spamvertize.

WordFence включает в себя следующие функции безопасности:

  • Межсетевой экран. WAF с автоматически обновляемыми правилами брандмауэра, которые блокируют общие угрозы безопасности WordPress.
  • Блокировка функций. Блокировка известных злоумышленников, вредоносных сетей и других угроз безопасности в режиме реального времени.
  • Безопасность входа. Двухфакторная аутентификация, усиленные надежные пароли, защита от атак методом перебора.
  • Сканирование безопасности. Сканирует основные файлы, темы и плагины на наличие вредоносных программ и бэкдоров, а также проверяет файлы, которые были изменены.
  • Мониторинг. Отслеживает трафик в режиме реального времени, включая ботов и обратный DNS, отслеживает изменения DNS и дисковое пространство.

42. Все в одном WP Безопасность и брандмауэр

  • Стоимость: бесплатно
  • Активные установки: 500 000+
  • Оценка: 4.8 из 5 звезд (669 отзывов)

Комплексный, простой в использовании, стабильный и хорошо поддерживаемый плагин безопасности … Он снижает риски безопасности, проверяя наличие уязвимостей, а также внедряя и применяя последние рекомендуемые практики и методы безопасности WordPress.

All In One WP Security & Firewall включает следующие функции безопасности:

  • Безопасность учетных записей пользователей. Измените имя пользователя по умолчанию для администратора, проверьте отображаемые имена пользователей, совпадающие с именами пользователей, инструмент для проверки надежности пароля, остановите перечисление пользователей.
  • Безопасность входа пользователя. Блокировка входа в систему (защита от перебора), выход из системы активных пользователей, просмотр неудачных попыток входа в систему, IP-адреса из белого списка, информация о том, кто вошел в систему, CAPTCHA.
  • Безопасность регистрации пользователей. Включить ручное утверждение, CAPTCHA, Honeypot.
  • Безопасность базы данных. Установите префикс WP по умолчанию, запланируйте автоматическое резервное копирование.
  • Безопасность файловой системы. Выявление и исправление небезопасных разрешений, отключение редактирования файлов в WP Admin, мониторинг системных журналов.
  • Резервное копирование и восстановление файлов htaccess и wp-config.php. Простое резервное копирование, восстановление и изменение этих важных файлов.
  • Функциональность черного списка. Запретить пользователей на основе IP-адреса или диапазона, либо путем указания пользовательских агентов.
  • Межсетевой экран. Добавьте защиту брандмауэра через htaccess, правила брандмауэра, которые останавливают вредоносные скрипты.
  • Брутфорс логин и предотвращение атак. Защита на основе файлов cookie, CAPTCHA в форме входа, переименование URL-адреса формы входа, Honeypot.
  • Поиск в Whois Получите полную информацию о подозрительном хосте.
  • Сканер безопасности. Уведомления об изменении файлов, сканирование таблиц базы данных на наличие подозрительных строк.
  • Безопасность спама в комментариях. Блокируйте IP-адреса спамеров, добавьте CAPTCHA в форму комментариев.
  • Фронтальная защита от копирования текста. Отключает щелчок правой кнопкой мыши, выделение текста и параметр копирования.

43. Безопасность IThemes

  • Стоимость: бесплатно, Pro: 2 сайта по 80 долларов в год, 10 сайтов по 100 долларов в год, безлимитные сайты по 150 долларов в год, срок действия Gold 297 долларов.
  • Ранее назывался Better WP Security
  • Активные установки: 800 000+
  • Оценка: 4.7 из 5 звезд (3 812 отзывов)

iThemes Security Pro берет на себя догадки из безопасности WordPress. Вам не нужно быть профессионалом в области безопасности, чтобы использовать плагин безопасности, поэтому iThemes Security Pro позволяет легко защитить и защитить ваш сайт WordPress.

Бесплатная версия дает вам некоторую защиту, но Pro версия включает в себя следующие функции безопасности:

  • Двухфакторная аутентификация. «Используйте мобильное приложение, такое как Google Authenticator или Authy, чтобы сгенерировать код или получить сгенерированный код по электронной почте».
  • WordPress Соли и Ключи Безопасности. «Плагин iThemes Security позволяет легко обновлять ключи и соли WordPress».
  • Планирование сканирования вредоносных программ. «Проверяйте ваш сайт на наличие вредоносных программ автоматически каждый день. Если проблема найдена, электронное письмо отправлено с деталями. ”
  • Безопасность пароля. «Генерация надежных паролей прямо с экрана вашего профиля».
  • Срок действия пароля. «Установите максимальный срок действия пароля и заставьте пользователей выбирать новый пароль. Вы также можете заставить всех пользователей немедленно выбрать новый пароль (при необходимости) ».
  • Google reCAPTCHA. «Защитите свой сайт от спамеров».
  • Регистрация действий пользователя. «Отслеживайте, когда пользователи редактируют контент, входят в систему или выходят из системы».
  • Настройки импорта / экспорта. «Экономит время при настройке нескольких сайтов WordPress».
  • Виджет приборной панели. «Управляйте важными задачами, такими как пользовательский бан и сканирование системы, прямо с панели управления WordPress».
  • Сравнение файлов онлайн. «Когда обнаруживается изменение файла, он сканирует источник файлов, чтобы определить, было ли изменение вредоносным или нет. В настоящее время работает только в ядре WordPress, но плагины и темы появятся ».
  • Временное повышение привилегий. «Предоставьте подрядчику или кому-либо другому временный администратор или редактор доступа к вашему сайту, который автоматически перезагрузится».
  • wp-cli Интеграция. «Управляйте безопасностью своего сайта из командной строки».

44. Sucuri Security

  • Стоимость: бесплатно, базовая $ 199 / год, профессиональная $ 299 / год, бизнес-$ 499 / год
  • Активные установки: 300 000+
  • Оценка: 4.6 из 5 звезд (260 отзывов)

Мы сохраняем ваш сайт в безопасности и без взлома! Платформа Sucuri — это набор инструментов, предназначенных для полной безопасности веб-сайта. Платформа Sucuri без дополнительных затрат и скрытых платежей является доступной, простой в развертывании и поддерживается командой профессионалов в вашем распоряжении.

Sucuri является частью решения по обеспечению безопасности многих качественных хостинг-провайдеров, включая SiteGround . SiteGround является ценным инструментом для защиты сайтов своих клиентов от вредоносных программ, поскольку он сканирует каждую ссылку, доступную с домашней страницы сайта, на ежедневной основе. Включает в себя следующие функции безопасности:

  • Очистить и восстановить взломанные сайты. «Профессиональная команда реагирования на инциденты безопасности доступна 24/7/365».
  • Предотвращение атак и взлома. «Облачное решение WAF / IPS, разработанное для предотвращения взломов и атак».
  • Непрерывный мониторинг. «Постоянный мониторинг и оповещение о любых проблемах безопасности».

Бесплатный плагин безопасности WordPress включает в себя следующие функции:

  • Ведение журнала аудита безопасности
  • Мониторинг целостности файлов
  • Удаленное сканирование вредоносных программ
  • Мониторинг черного списка
  • Эффективное усиление безопасности
  • Действия безопасности после взлома
  • Уведомления о безопасности

45. Jetpack , в который теперь входит VaultPress

  • Стоимость: бесплатно, персональная ($ 39 / год), премиум ($ 99 / год), профессиональная ($ 299 / год)
  • Активные установки: более 3 миллионов
  • Оценка: 4.1 из 5 звезд (1,330 отзывов)

Jetpack (от Automattic, который приносит вам WordPress) делает больше, чем просто безопасность. Это в основном приносит особенности WordPress.com остальным из нас, что является привлекательным. Для обеспечения безопасности и резервного копирования в платные планы входит VaultPress.

VaultPress — это сервис резервного копирования и сканирования в режиме реального времени, разработанный и созданный Automattic, той же компанией, которая управляет (и создает резервные копии!) Миллионами сайтов на WordPress.com.

VaultPress теперь работает на Jetpack и без труда создает резервные копии всех записей, комментариев, файлов мультимедиа, изменений и настроек панели мониторинга на вашем сайте на наших серверах. С VaultPress вы защищены от хакеров, вредоносных программ, случайного повреждения и сбоев хоста.

VaultPress включает в себя следующие функции безопасности:

  • Резервные копии. «Комплексные ежедневные или в режиме реального времени автоматические резервные копии, хранящиеся в нашем внешнем цифровом хранилище, оптимизированные для WordPress и лучше, чем ваш хост».
  • Восполнение. «Даже в самые стрессовые моменты у нас есть твоя спина. Восстановите все ваше присутствие в Интернете быстро и легко, не нуждаясь в хосте ».
  • Сканирование файлов. «Автоматическое обнаружение и устранение вирусов, вредоносных программ и других уязвимостей, которые могут быть скрыты на вашем сайте».
  • Автоматическое восстановление файлов. «Исправьте обнаруженные вирусы, вредоносное ПО и другие опасные угрозы одним щелчком мыши».
  • Защита от спама. «Защитите своих SEO, читателей и репутацию бренда, автоматически блокируя всех спамеров».

46. BulletProof Security

  • Стоимость: бесплатно, Pro $ 59,95 (одноразовая покупка)
  • Активные установки: 100 000+
  • Оценка: 4.7 из 5 звезд (302 отзывов)

BulletProof Security Pro имеет потрясающий послужной список. BPS Pro общедоступна уже более 5 лет и установлена ​​на более чем 30 000 веб-сайтов по всему миру. Ни один из этих 30 000+ сайтов за 5+ лет не был взломан.

100% взломать сайт бесплатно. Если ваш сайт был взломан после установки BPS Pro, мы бесплатно очистим ваш взломанный сайт. Мы можем легко предложить эту замечательную сделку, потому что ваш сайт никогда не будет взломан, если у вас установлен BPS Pro.

Бесплатная версия включает в себя следующие функции безопасности:

  • Мастер настройки одним щелчком
  • Защита сайта .htaccess (брандмауэры)
  • Скрытые плагины папок / файлов cron (HPF)
  • Безопасность входа и мониторинг
  • Выход из режима ожидания (ISL)
  • Истечение срока действия файла cookie (ACE)
  • Резервное копирование БД: полное / частичное, ручное / запланированное, электронная почта / почтовый индекс, cron удаление старых резервных копий, ведение журнала
  • Смена префикса таблицы БД
  • Журнал безопасности
  • Протоколирование ошибок HTTP

Pro версия добавляет эти функции:

  • Система обнаружения и предотвращения вторжений AutoRestore (ARQ IDPS)
  • Карантинная система обнаружения и предотвращения вторжений (ARQ IDPS)
  • Монитор файлов в реальном времени (IDPS)
  • Система обнаружения вторжений DB Monitor (IDS)
  • DB diff tool: инструмент сравнения данных
  • Состояние БД и информация
  • Плагин Firewall (IP Firewall): автоматическое внесение в белый список и обновление IP-адреса в режиме реального времени
  • JTC анти-спам / анти-хакер
  • Загружает папку защиты от эксплойтов (UAEG)
  • Настраиваемая безопасность сайта php.ini
  • F-Lock: блокировка файлов только для чтения
  • Дополнительные параметры ведения журнала
  • S-Monitor: ядро ​​мониторинга и оповещения
  • Pro Tools: 16 мини-плагинов

47. SecuPress

  • Стоимость: бесплатно, 1 сайт $ 57,60 / год, 3 сайта $ 144 / год, 10 сайтов $ 288 / год, неограниченное количество сайтов $ 479 / год
  • Активные установки: 5000+
  • Оценка: 4.8 из 5 звезд (19 отзывов)

Защитите свой WordPress с помощью сканирования вредоносных программ, блокировки ботов и подозрительных IP-адресов. Получите полный набор инструментов безопасности WordPress бесплатно или в качестве профессионального плагина.

Если вы активны, наш бесплатный плагин безопасности WordPress — отличный выбор! Нет времени активировать еженедельное сканирование? Тогда SecuPress Pro — это путь. Наш плагин заботится обо всем с помощью автоматизированных задач.

SecuPress включает в себя следующие функции:

  • Анти-перебор логин
  • Заблокированные IP-адреса
  • Межсетевой экран
  • Оповещения о безопасности
  • Сканирование вредоносных программ (Pro)
  • Заблокировать страну по геолокации
  • Защита ключей безопасности
  • Блокировать посещения от плохих ботов
  • Уязвимые плагины и определение тем (Pro)
  • Отчеты о безопасности в формате PDF (Pro)

48. Безопасность ниндзя

  • Стоимость: один сайт $ 29 (1 год обновления / поддержка), мульти-сайт $ 79 (1 год обновления / поддержка), навсегда неограниченный $ 199
  • Активные установки: 6000+
  • Рейтинг: 5 из 5 звезд (6 отзывов)

Безопасность Ниндзя помогает тысячам людей оставаться в безопасности и предотвращать простои из-за проблем безопасности. Более 50 тестов предоставят исчерпывающий обзор безопасности вашего сайта.

Бесплатная версия позволяет вам достичь следующего:

  • Выполните более 50 тестов безопасности, включая атаки методом перебора.
  • Проверьте свой сайт на наличие уязвимостей и дыр в безопасности.
  • Принять превентивные меры против атак.
  • Предотвращение 0-дневных атак.
  • Используйте включенные фрагменты кода для быстрых исправлений.
  • Атака грубой силы на учетные записи пользователей для проверки надежности пароля.
  • Многочисленные тесты параметров установки.
  • Файловые права.
  • Версия скрывается.
  • 0-дневные тесты.
  • Тестирование режимов отладки и автообновления.
  • Тесты конфигурации базы данных.
  • Apache и PHP связанные тесты
  • WP варианты тестов.

Вы можете еще больше защитить, используя следующие модули Pro:

  • Базовый сканер. «Легко отслеживать состояние ваших основных файлов WP. Иметь четкое представление о файлах, которые изменены, но не должны, и восстановить их одним щелчком мыши ».
  • Сканер вредоносных программ. «Мощный эвристический алгоритм поиска вредоносных программ проверит все ваши темы, плагины, загруженные файлы и таблицу параметров на наличие подозрительного содержимого».
  • Авто починка. «Если вам не нравится создавать резервные копии, редактировать файлы, возиться с кодом и пачкать руки — Security Ninja PRO сделает все за вас. Исправьте проблемы безопасности одним щелчком мыши ».
  • Регистратор событий. «Мониторинг, отслеживание и регистрация более 50 событий на сайте в деталях. От действий пользователя до публикации правок и изменений виджетов — Event Logger видит все ».
  • Запланированный сканер. «Сделайте так, чтобы Security Ninja автоматически проверял ваши сайты, включая сканирование основных файлов. Если есть какие-либо изменения, вы будете уведомлены по электронной почте ».