Как защитить wordpress от вируса. Лучшие WordPress-плагины для защиты от вирусов

Мошенники могут попытаются атаковать сайт, чтобы взломать админку, украсть пароли пользователей, изменить код сайта, получить доступ к конфиденциальной информации, разместить скрытые ссылки или еще как-то навредить ресурсу. Из-за таких атак можно потерять клиентов, позиции в выдаче, репутацию или даже сам сайт.

WordPress сам по себе достаточно защищенный движок, но базовой защиты недостаточно.

Статистика заражений за 2017 год

Повысить безопасность сайта помогут специальные плагины, они не сделают сайт полностью неуязвимым для любых атак, но будут препятствовать злоумышленникам.

Плагины для защиты сайта на WordPress

All In One WP Security & Firewall

Плагин защищает учетные записи пользователей, файлы кода, делает безопаснее вход на сайт через личные кабинеты, делает резервные копии баз данных.

Что делает плагин:

• добавляет капчу на страницу регистрации и в форму входа на сайт, чтобы оградить от спама;
• блокирует вход пользователям с определенным IP на время или навсегда и дает временный блок после нескольких неудачных попыток войти;
• дает просматривать активности учетных записей пользователей;
• делает резервные копии базы данных автоматически;
• создает резервные копии исходных файлов.htaccess и wp-config.php;
• обнаруживает уязвимости в учетных записях, к примеру, с одинаковым именем и логином;
• генерирует сложные пароли;
• отключает редактирование некоторых файлов из админки, чтобы защитить PHP-код;
• закрывает доступ к файлам readme.html, license.txt и wp-config-sample.php;
• устанавливает межсетевые экраны для защиты от вредоносных скриптов.

Панель управления плагином

Понятно о настройке плагина:

All In One WP Security & Firewall переведен на русский язык, установка бесплатна.

BulletProof Security

Плагин сканирует вредоносный код, защищает авторизацию на сайте, не пропускает спам, делает резервные копии.

Что делает плагин:

• защищает файлы wp-config.php, php.ini и php5.ini через файл.htaccess;
• включает режим технических работ;
• проверяет права на редактирование папок и файлов в админке;
• не пропускает спам с помощью функции JTC-Lite;
• создает резервные копии автоматически или вручную, отправляет архивы по e-mail;
• ведет журналы ошибок и журнал безопасности.

Подробнее о функциях безопасности на странице плагина.

Сканер вредоносного кода

Плагин переведен на русский язык. Он бесплатный, есть премиум версия с расширенными возможностями защиты сайта и предупреждения атак.

Wordfence Security

Защищает CMS от взлома и атак вредоносного ПО благодаря защите входа в систему сайта, сканированию изменений кода, попыток входа и уведомлениям о подозрительных активностях.

Что делает плагин:

• сравнивает основные темы и плагины с тем, что находится в репозитории WordPress.org и при расхождениях сообщает владельцу сайта;
• выполняет функции антивируса, проверяет сайт на уязвимости;
• проверяет сообщения и комментарии на подозрительный контент и ссылки.

В бесплатной версии доступны и другие функции.

Премиум версия дает чуть больше:

• проверяет, попал ли сайт или IP в черный список спама или сайтов с проблемами в безопасности;
• включает двухфакторную идентификацию для входа;
• составляет черный список и блокирует все запросы от IP из базы.

Подробнее о функциях безопасности на странице плагина.

Сканер безопасности

Не переведен на русский, базовую версию можно скачать бесплатно.

Disable XML-RPC Pingback

Сайт закрывает возможную уязвимость XML-RPC, через которую мошенники могут атаковать другие сайты и замедлять работу вашего ресурса.

Что делает плагин:

• Удаляет pingback.ping и pingback.extensions.getPingbacks из интерфейса XML-RPC;
• удаляет X-Pingback из HTTP-заголовков.

Установка плагина

Плагин на английском языке, установка бесплатна.

iThemes Security

Старое название - Better WP Security. Плагин защищает при входе в панель администратора, выполняет функции антивируса.

Что делает плагин:

• включает двухфакторную авторизацию при входе в администраторскую панель;
• сканирует код сайта и сигнализирует, если находит подозрительные изменения;
• мониторит сайт на автоматизированные атаки и блокирует их;
• генерирует сложные пароли;
• отслеживает активность аккаунтов пользователей;
• включает Google reCAPTCHA при входе на сайт;
• дает возможность создавать временные доступы в админке;
• ограничивает редактирование файлов в админке.

Подробнее о функциях безопасности на странице плагина.

Настройки плагина

Переведен на русский язык и доступен бесплатно.

Sucuri Security

Комплексный плагин, отслеживающий изменения в файлах сайта и выполняющий функции антивируса.

Что делает плагин:

• проверяет код сайта на подозрительные изменения и присылает уведомления;
• сканирует вредоносные программы и запрещает доступ;
• создает черный список IP и запрещает им взаимодействие с сайтом;
• фиксирует IP посетителей, которые безуспешно пытаются войти на сайт, и блокируют их на ограниченное время;
• автоматически проверяет сайт на вирусы и отправляет отчеты на e-mail.

В премиум-версии создает сетевой экран для дополнительной защиты от атак. Подробнее о функциях безопасности на странице плагина.

Сообщения о подозрительных активностях

Плагин не переведен на русский язык, доступен для бесплатного скачивания.

Keyy Two Factor Authentication

Плагин для защиты панели администратора от злоумышленников, делает доступ в админку удобнее и быстрее.

Что делает плагин:

• защищает сайт от взломов;
• хранит защищенный пароль на устройстве, его не нужно вводить при входе;
• позволяет ходить в админку по отпечатку пальца;
• администраторам нескольких сайтов дает переключаться между панелями в один клик.

Пример работы

Плагин не переведен, доступен бесплатно.

WWPass Two-Factor Authentication

Плагин для защиты от проникновения злоумышленников в панель администратора.

Что делает плагин:

• добавляет QR-код для сканирования при попытке войти в админку;
• дает доступ к бесплатному использованию менеджера паролей PassHub .

Пример работы плагина

Доступно бесплатное скачивание версии на английском.

Если злоумышленникам удалось что-то сделать с сайтом, и нужно восстановить его прежнее состояние, помогут бэкапы. Обычно хостеры периодически делают резервные копии, но на всякий случай лучше делать бэкапы самому. Некоторые плагины из подборки могут делать копии, а также есть отдельные решения для бэкапов.

Плагины для бэкапов сайта на WordPress

BackWPup – WordPress Backup Plugin

Плагин для создания резервных копий и восстановления прежних версий сайта.

Что делает плагин:

• делает бэкапы полного сайта с контентом;
• экспортирует XML WordPress;
• собирает установленные плагины в файл;
• отсылает копии на внешние облачные хранилища, email или передает по FTP.

Платная PRO-версия шифрует архивы с бэкапами и восстанавливает резервные копии за пару кликов.

Управление архивами резервных копий

Доступен бесплатно, есть платная PRO-версия, не переведен на русский.

UpdraftPlus WordPress Backup Plugin

Что делает плагин:

• копирует и восстанавливает данные в один клик;
• делает автоматические резервные копии по расписанию;
• проверяет и восстанавливает базы данных;
• отправляет бэкапы в облако, на Google-диск и в другие места хранения по выбору.

Расширенная версия дает больший выбор мест для хранения копий и другие дополнительные функции.

Настройка хранения резервных копий

Не переведен на русский, доступен бесплатно.

VaultPress

Еще один плагин для резервного копирования и надежного хранения копий.

Что делает плагин:

• ежедневно автоматически копирует все файлы сайта с контентом и комментариями;
• восстанавливает сайт из копии по клику;
• защищает сайт от атак и вредоносного ПО.

Работает бесплатно для одного сайта, хранит данные 30 дней. За дополнительную плату можно наблюдать за несколькими сайтами из одной панели и хранить данные дольше.

Рабочая панель

Плагин не переведен на русский язык, доступен для установки бесплатно.

Сайтам необходима защита от злоумышленников, чтобы они не смогли получить доступ к секретной информации, использовать ваш ресурс для атак на другие сайты, рассылать письма клиентам и нарушать стабильную работу ресурса. Плагины ставят мошенникам препятствия, защищают пользовательские данные и код сайта, а системы резервного копирования откатят сайт до прежнего состояния, если злоумышленникам все-таки удалось навредить.

Безопасностью вашего блога нужно заниматься с самого начала, не откладывая это на расплывчатое «раскручусь и займусь». Тем более что сейчас перед вами подробная инструкция о том, как защитить сайт на wordpress от взлома, вирусов и других неприятностей.

Я раньше задумывалась о безопасности, но не так серьезно. А после этой статьи на сайте А.Борисова подошла к делу серьезно. Нашла в интернете все проблемные места системы и методы их устранения. Получилась довольно большая статья из 14 пунктов!

Как защитить сайт на wordpress

1. Сменить стандартный логин. Первым делом хакеры пробивают такие популярные логины как admin, user, moderator, administrator. Если вы используете один из них, значит вы сделали за злоумышленников половину работы. Особенно часто используется admin – короткий, легко запоминается, сразу видно что важная шишка, поэтому владельцы сайтов не изменяют его на что-то более сложное.

Существует много вариантов, как сменить этот логин, но самый простой:

• Зайти в админку, зайти в раздел Пользователи – нажать Добавить.
• Придумать новому пользователю сложный логин (можно просто набор букв-цифр), и выбрать Роль – Администратор.
• Выйти из текущего пользователя (справа наверху выбрать Выйти).
• Зайти под новым пользователем, которого вы только что создали.
• Поработать с этого аккаунта: создать новые статьи, отредактировать старые, добавить/удалить плагины. В общем проверить, действительно ли он обладает всеми полномочиями Администратора.
• Удалить пользователя с ником admin.

2. Ставим сложный пароль – это именно тот случай, когда использовать свой стандартный пароль в виде qwerty нельзя. Нужно придумать уникальный пароль, очень сложный, из 20-символов с разным регистром, цифрами и разными символами. Если боитесь забыть, запишите в бумажный блокнот. Но не храните его на компьютере. Как придумать сложный пароль можно прочитать в этой статье .

Сложный пароль должен быть не только в админку wordpress, но и для других сервисов, связанных с сайтом: почта, хостинг и т.п.

3. Скрываем логин – как бы вы не пытались придумать супер сложный логин, существует лазейка, позволяющая увидеть его и скопировать. Для этого введите в адресную строку http://Ваш_домен.ru?author=1, подставив ваш домен. Если ссылка не превращается в /author/admin, где admin ваш новый логин, значит все в порядке.

Но если все же там отображается ваш логин, нужно срочно его скрыть с помощью специальной команды в файле functions.php:

/* Подмена логина в комментариях */
function del_login_css($css) {foreach($css as $key => $class) {
if(strstr($class, «comment-author-впишите_действующий_логин»)) {
$css[$key] = ‘comment-author-впишите_вымышленный_логин’; } }
return $css; }
add_filter(‘comment_class’, ‘del_login_css’);

Теперь настраиваем переодресацию на главную страницу, для этого нужно открыть файл.htaccess в корневой папке (с помощью filezilla), и здесь после строчки

RewriteRule . /index.php [L]

Добавить данный текст:

RedirectMatch Permanent ^/author/реальный_логин$ http://Ваш_домен.ru

4. Своевременно обновляем WordPress. Время от времени появляются новые версии, уведомления висят прямо в панели управления. Сделайте резервную копию сайта, обновите и проверьте работоспособность. Чем новее, тем сложнее взломать систему – появляются новые уровни защиты, и старые методики взлома не работают.

5. Скрываем версию WordPress от чужих глаз. По умолчанию данная информация отображается в коде страниц, а злоумышленникам не стоит ее сообщать. Зная вашу версию, ему будет легче распознать бреши и взломать систему.

Так что откройте functions.php для редактирования, а затем добавьте строчку:

remove_action(‘wp_head’, ‘wp_generator’);

Эта простая функция запрещает выводить данные о системе.

6. Удаляем license.txt и readme.html из корневой папки. Сами по себе они не нужны, но с их помощью можно легко прочитать информацию о вашей системе и узнать версию WordPress. Они автоматически появляются снова, если вы обновите wordpress. Так что чистите файлы каждый раз, когда установите обновления.

7. Скрываем папки wp-includes, wp-content и wp-content/plugins/. Для начала проверьте, видно ли содержимое этих папок посторонним. Просто подставьте в ссылки ваш домен и откройте в браузере ссылки:

• http://Ваш_домен/wp-includes
• http://Ваш_домен/wp-content
• http://Ваш_домен/ wp-content/plugins

Если при переходе на эти страницы вы видите папки и файлы, значит нужно скрыть информацию. Делается это очень и очень просто – создайте пустой файл с названием index.php и поместите в эти директории. Теперь при переходе будет открываться этот файл, т.е. пустая страничка без какой-либо информации.

8. Не ставьте бесплатные темы – это уже из личного опыта информация, хотя об этом пишут все и каждый. Но я решила обойти систему, и поставила на другой свой сайт бесплатную тему из интернета – очень уж она мне понравилась. И сначала все было хорошо.

Примерно через полгода я стала проверять исходящие ссылки с сайта, и обнаружила 3 непонятные ссылки. Найти их на самих страницах я не смогла – очень уж хитро их спрятали. После изучения вопроса нашла информацию, что это очень распространенная проблема, когда в бесплатные шаблоны встраивают код для удаленного размещения ссылок. Пришлось потратить целый вечер, но проблему исправила и теперь все в порядке. Но сколько вреда могло это нанести!

9. Установите нужные плагины для защиты , но обязательно устанавливайте с официального сайта ru.wordpress.org или из панели управления.

• Limit Login Attempts – для ограничения попыток авторизироваться. Если 3 раза неправильно ввести логин и пароль, доступ будет заблокирован на N минут/часов. Вы сами устанавливаете число попыток и время блокировки.
• Wordfence Security – плагин для проверки сайта на вирусы и вредоносные изменения в кодах. Для запуска достаточно установить и нажать Scan. Но после проверки желательно отключить, чтобы не создавать дополнительную нагрузку на сайт. Проверяйте блог на вирусы хотя бы раз в месяц.
• WordPress Database Backup – автоматически высылает на почту резервную копию базы данных вашего сайта. Регулярность можно установить самостоятельно – раз в день или еженедельно.
• Rename wp-login.php – изменяет адрес входа в панель управления со стандартного http://Ваш_домен/wp-admin.
• Anti-XSS attack – защищает блог от XSS-атак.

10. Проверьте компьютер на вирусы – иногда вирусы приходят прямо из вашего компьютера. Так что поставьте хорошую антивирусную программу и своевременно обновляйте ее.

11. Систематически делайте резервные копии – или с помощью плагина WordPress Database Backup, или вручную. У некоторых хостеров это происходит автоматически, так что вы в любой момент можете восстановить сайт при проблемах.

12. Работайте с проверенным хостером , ведь во многом безопасность сайта зависит от качества хостинга. Я месяц назад перебралась на Макхост , и разница с предыдущим ощутима (переезд описала в этой статье). Рекомендовать настоятельно не буду, так как я с ними совсем недолго, хотя подруга с ними год и нарадоваться не может. В общем не берите тарифы за 100 рублей ради экономии, потом можно дорого поплатиться.

13. Разные почтовые ящики для сайта и хостинга . Из вордпресса весьма просто вытащить почтовый ящик, потом его можно взломать и получить доступ к данным. А если хостинг привязан к нему, будет не сложно сменить пароль и забрать сайт себе. Так что заведите отдельный ящик для хостинга, чтобы никто его не знал и не видел.

14. Подключите выделенный IP адрес , чтобы не соседствовать с порно-сайтами, сайтами под фильтром или с вирусами. Так что если у вас есть возможность – получите отдельный IP, чтобы не волноваться из-за этого. Кстати, в сфере блоггеров ходят неподтвержденные слухи, что выделенный IP улучшает позиции в поисковой выдаче.

Теперь вы знаете самые простые способы как защитить сайт на wordpress, и от банальных угроз будете избавлены. Но помимо этого существует еще много других опасностей, от которых так просто не спастить. Как раз для таких серьезных ситуаций Юрий Колесов создал курс «

Меня взломали. Знаете как страницу во ВКонтакте. Но они не клянчили денег, а насоздавали множество “левых” страниц с ссылками на разные сайты. Тогда я задумался над защитой своего блога. И я нашел идеальное решение.

Первое что я сделал это обратился в техподдержку с просьбой восстановить мой сайт за день до взлома и уже через десять минут у меня был мой нормальный блог.

Потом я установил множество плагинов для защиты ВордПресса от взлома. Но блог стал жутко тормозить. Страницы грузились по пять десять секунд. Это очень долго.

Я начал искать плагины которые не так сильно нагружают систему. Читал отзывы по этим плагинами и все чаще стал натыкаться на All In One WP Security. По описанию он мне очень понравился и я решил поставить его себе на блог. И он защищает меня до сих пор, так как ничего лучше я не встречал.

Что умеет All In One WP Security (защита wordpress всё в одном):

• Делает резервные копии базы данных, файла конфигурации wp-config. и файла.htaccess
• Смена адреса страницы авторизации
• Скрывает информацию о версии WordPress
• Защита админки – блокировка при неправильной авторизации
• Защита от роботов
• И ещё много чего полезного

Я смело могу сказать, что плагин безопасности All In One WP Security – это лучшая защита wordpress сайта.

Настройка All In One WP Security

Зайдя в отдел Настройки, первым делом нужно сделать резервные копии:

• база данных;
• файл wp-config;
• файл htaccess

Делается это на первой странице настройки плагина All In One WP Security.

Сделайте бэкап (резервную копию) перед началом работы

Пройдусь только по самым важным пунктам.

пункты настройки плагина all in one wp security

Панель управления

Тут нас встречает счетчик “Измеритель безопасности”. Он показывает уровень защиты сайта. Ваш сайт должен быть как минимум в зеленой зоне. Не надо гнаться за максимальной планкой – лишние настройки могут нарушить функционал сайта. Добейтесь золотой середины.

Счетчик защиты сайта на wordpress

Когда вы будете изменять настройки защиты плагина, то увидете в каждом пункте зелёный щит с цифрами – это и есть те цифры которые прибавляются к общему счету безопасности.

цифра прибавляется к общему счету безопасности

Настройки

Вкладка WP Version Info

Чекаем галочку Удаление метаданных WP Generator.

Удаление метаданных WP Generator

Делается это для того, чтобы в коде не отображалась установленная у вас версия движка WordPress. Злоумышленники знают в какой версии есть уязвимости, и зная установленную у вас версию ВордПресса смогут быстрее взломать ваш сайт.

Администраторы

Пользовательское имя WP

Если у вас логин для входа в админку admin, то обязательно меняем его. Admin это самый популярный логин. Многие ЦМСки предлагают его по умолчанию, а людям просто лень его менять.
Злоумышленники используют различные программы для взлома сайтов. Эти программы подбирают логины и пароли пока не найдут подходящую комбинацию.
Поэтому не используйте логин admin.

Отображаемое имя

Если ваш ник совпадает с логином, то обязательно меняем логин или ник.

Пароль

Если ввести тут свой пароль, то плагин покажет за какое время можно взломать ваш сайт.
Рекомендации по усилению надёжности пароля:

• Пароль должен состоять из букв и цифр
• Используйте строчные и прописанные буквы
• Не используйте короткие пароли (минимум 6 символов)
• Желательно наличие в пароле спецсимволов (% # _ * @ $ и подробных)

Сложность пароля

Авторизация

вкладка Блокировка авторизаций

Обязательно включаем. Если в течении 5 минут кто-то неправильно введёт пароль 3 раза, то IP заблокируется на 60 минут. Можно поставить и больше, но лучше этого не делать. Может случится так, что вы сами неправильно введёте пароль и будете потом ждать месяцы или даже годы:)
Отмечаем галочку “Сразу заблокировать неверные пользовательские имена”.
Допустим ваш логин hozyainsayta, и если кто-то введёт другой логин (например login), то его IP адрес автоматически заблокируется.

опции блокировки авторизации

Автоматическое разлогинивание пользователей

Ставим галочку. Если вы зайдёте в админку сайта с другого компьютера и забудете выйти из админки, то через указанный промежуток времени система сама вас разлогинит.
Я ставлю 1440 минут (это 24 часа).

Опции автоматического разлогинивания пользователей

Регистрация пользователей

Подтверждение вручную

Чекаем “Активировать ручное одобрение новых регистраций”

Ручное одобрение новых регистраций

CAPTCHA при регистрации

Тоже ставим галочку. Это отсекает попытки зарегистрироваться боту-роботу, так как роботы не справляются с капчей.

Registration Honeypot (бочка мёда)

Отмечаем. И не оставляем роботам не единого шанса. Эта настройка создает дополнительное невидимое поле (типа Введите сюда текст). Это поле видят только роботы. Так как они автоматически заполняют все поля, то и в это поле что-то напишут. Система автоматически блокирует те попытки регистрации у которых будет заполнено это поле.

Защита базы данных

Префикс таблиц БД

Если ваш сайт существует уже достаточно давно и на нем много информации, то изменять префикс базы данных следует с максимальной осторожностью

обязательно сделайте резервную копию БД

Если вы только что создали свой сайт, то можете смело менять префикс.

Префикс таблиц Базы данных

Резервное копирование базы данных

Включаем автоматическое создание бэкапов.
Выбираем частоту создание резервных копий.
И количество файлов с этими резервными копиями, которые будут храниться. Потом они начнут перезаписывается.
Если вы хотите, чтобы эти файлы дополнительно посылались на вашу электронную почту, то отмечаем соответствующую галочку. У меня для этих целей в почтовом ящике заведена отдельная папка, туда пересылаются все бекапы (моих и клиентских сайтов).

Настройки резервного копирования Базы данных

Защита файловой системы

Тут меняем права доступа к файлам, чтобы все было зелёным.

Редактирование файлов php

Ставим в том случае, если вы не редактируете файлы через админку. Вообще вносить какие либо изменения в файлы нужно через программы ftp-менеджеры (типо файлзилла). Так в случае какого либо “косяка” всегда можно отменить предыдущее действие.

Запрещаем доступ. Этим действием мы сможем скрыть важную для хакеров информацию.

Черный список

Если у вас уже есть IP адреса которым вы хотите запретить доступ к сайту, то включайте эту опцию.

Блокировка пользователей по IP

Файрволл

Базовые правила файрволла.

Файрволл и брандмауэр это программный комплекс представляющий собой фильтр несанкционированного трафика.

Эти правила вносятся в файл.htaccess, поэтому сначала делаем его резервную копию.

Теперь можно проставить нужные галочки:

Активировать основные функции брандмауэра Защита от уязвимости XMLRPC и Pingback WordPress
Блокировать доступ к debug.log

Дополнительные правила файрволла

На этой вкладке отмечаем следующие галочки:

• Отключить возможность просмотра директорий
• Отключить HTTP-трассировку
• Запретить комментарии через прокси
• Запретить вредоносные строки в запросах (Может нарушить функциональность других плагинов)
• Активировать дополнительную фильтрацию символов (Тоже действуем с осторожностью, надо смотреть как влияет на работоспособность сайта)
  У каждого пункта есть кнопка “+ Подробнее” там вы можете почитать подробно про каждую опцию.

6G Blacklist Firewall Rules

Отмечаем оба пункта. Это проверенный список правил который дает плагин для безопасности wordpress сайта.

Настройки файрволла (брандмауэра)

Интернет-боты

Могут появиться проблемы с индексацией сайта. Я данную опцию не включаю.

Предотвратить хотлинки

Ставим галочку. Что-бы изображения с вашего сайта не показывались на других сайтах по прямой ссылке. Эта функция снижает нагрузку с сервера.

Детектирование 404

Ошибка 404 (такой страницы нет) появляется при ошибочном вводе адреса страницы. Хакеры перебором пытаются найти страницы с уязвимостями и поэтому вводят много несуществующих урлов в короткий промежуток времени.
Такие попытки взлома будут заноситься в таблицу на этой странице и чекнув галочку – вы сможете блокировать их IP адреса на указанное время.

Настройки отслеживания ошибок 404

Защита от брутфорс-атак

По умолчанию у всех сайтов на Вордпрессе одинаковый адрес страницы авторизации. И поэтому злоумышленники точно знают где начать взламывать сайт.
Эта опция позволяет изменить адрес этой страницы. Это очень хорошая защита wordpress сайта. Обязательно меняем адрес. Я эту галочку не отметил, потому-что мой автоматически изменил мне эту страницу во время установки системы.

Защита от брутфорс-атак с помощью куки

Я не стал включать эту настройку, так как есть вероятность блокировки самого себя при входе с разных устройств.

CAPTCHA на логин

Если на вашем сайте много пользователей или у вас интернет-магазин, то можете включать Капчу при авторизации во всех пунктах.

Защита капчей при авторизации

Белый список для логина

Заходите в админку только с домашнего компа и вы единственный пользователь своего сайта? Тогда впишите свой АйПи адрес и всем остальным доступ к странице авторизации будет закрыт.

Wordfence Security выполняет глубокую и тщательную проверку сайта на предмет уязвимостей как в самом ядре Wordpress, так и в темах и плагинах.

Он использует сервисы WHOIS для мониторинга соединений и способен блокировать целые сети благодаря встроенному брендмауэру . При выявлении новых атак (даже если им подвергся другой сайт с установленным WordFence) происходит автоматическое обновление набора правил брендмауэра для наиболее эффективного противостояния угрозам.

Wordfence Security бесплатен и имеет открытый код, однако предлагаемая подписка позволит еще больше защитить ваш сайт благодаря обновлению брендмауэра, malware-сигнатур и списка «черных» IP-адресов в режиме реального времени

Стоимость премиум-подписки: до $99 в год (имеются значительные скидки при приобретении нескольких ключей или на более длительный срок)

AntiVirus

AntiVirus работает так же, как обычный антивирус - выполняет ежедневное сканирование всего сайта (в том числе тем, и баз данных), отправляя отчет на заданный e-mail. Сканирование и очистка следов выполняются также при удалении плагинов.

При обнаружении подозрительных или опасных действий уведомления об этом направляются на тот же электронный адрес и отображаются в админпанели.

Quttera Web Malware Scanner

Очень мощный сканер , который выполняет поиск таких уязвимостей, как вредоносные скрипты, трояны, бэкдоры, черви, программы-шпионы, эксплойты, вредоносные iframes, редиректы, обфускацию и другие нежелательные или опасные изменения кода. Кроме того, плагин проверяет не попал ли ваш сайт в черные списки.

Стоимость: бесплатно, однако расширенные возможности, такие как устранение обнаруженных уязвимостей и очистка от вредоносных файлов предоставляется на платной основе (от $119 в год)

Anti-Malware

Anti-Malware сканирует и обезвреживает известные на данный момент уязвимости, включая backdoor-скрипты. Автоматически обновляет антивирусные базы, что позволяет обнаруживать самые свежие вирусы и эксплойты. Встроенный файерволл блокирует внедрение в слайдеры и некоторые другие плагины вируса SoakSoak и других эксплойтов.

WP Antivirus Site Protection

WP Antivirus Site Protection сканирует все важные, с точки зрения безопасности, файлы, включая темы, плагины и загружаемые файлы в папке uploads. Найденные зловреды и вирусы будут немедленно удалены или перемещены в карантин.

Exploit Scanner

Exploit Scanner не удаляет подозрительный код - он оставляет это «грязное» дело администратору. Но зато он хорошо выполняет не менее важную и более трудоемкую операцию по его поиску . И будьте уверены он его найдет, будь он в базе данных или в обычных файлах.

Centrora Security

Плагин Centrora Security выполнен по принципу «швейцарского ножа» - это комплексный инструмент для всесторонней защиты сайта от всех типов угроз. Он имеет встроенный firewall , модуль резервного копирования и ряд сканеров, выполняющих проверку прав доступа, поиск зловредного кода, спама, SQL-инъекций и прочих уязвимостей.

Привет, друзья. Сегодня мы поговорим о безопасности нашего бизнеса в Интернете. В жизни случается всякое и наши ресурсы не застрахованы от различных неприятностей и неожиданностей. Информация нематериальна, поэтому легко может быть испорчена или уничтожена. Есть риски связанные с оборудованием, на котором размещаются сайты, где-то мы сами можем «накосячить», также никто не застрахован от злых умыслов посторонних.

За время ведения своего блога я сталкивался и с первым и со вторым и с третьим. И хакеры ломали мои сайты и сам, бывало, делал что-то не так. Но, к счастью, все обошлось благодаря заранее организованной защите.

В своем блоге я использую несколько плагинов, которые помогают снизить риски. О них я вам сейчас расскажу. Про первый я уже рассказывал , а 2 других освещаю впервые.

Плагины защиты для WordPress

Конечно, защита wordpress может быть организована и другими способами и плагинами, но я пользуюсь этими. Про установку плагинов я рассказывать не буду, так как уже (найдите в статье необходимый видео урок) буду показывать лишь то, как осуществить их настройку.

1. Плагин WordPress Database Backup

Этот плагин позволяет сохранять резервные копии базы данных вашего сайта как в автоматическом, так и в ручном режиме. Их можно скачивать напрямую на компьютер или отправлять себе по электронной почте. Для того, чтобы вы лучше понимали. Этот плагин полностью сохраняет информационную часть сайта – тексты, их оформление, данные о пользователях и других компонентах сайта, но он не сохраняет сами файлы. Картинки и темы оформления вам стоит сохранять самостоятельно.

Этот плагин не обязательно скачивать к себе на компьютер, он есть в базе плагинов для wordpress, поэтому легко устанавливается через администраторскую панель, через поиск плагинов.

Видео урок по настройке WordPress Database Backup

Если вам не удобно смотреть видео, я продублирую настройку текстом и скриншотами.

Как установить WordPress Database Backup

Для начала войдите в админке вашего блога в раздел установка плагинов и выберите раздел поиск плагинов. В окне поиска введите «wp db backup».

В списке плагинов он должен появиться на первом месте, если не так, то пролистайте чуть ниже. Вод название плагина будет кнопка установить. С ее помощью устанавливаете плагин. После установки нажимаете на ссылку активировать.

После этого приступаем к его настройкам. Для этого в панели управления блогом нужно найти вкладку инструменты и в ней ссылку Резервное копирование. Нажимайте на нее.

Какие таблицы сохранять?

В начале настройки нам предлагается выбрать те таблицы базы данных, которые будут копироваться. Среди них есть те, которые сохраняются всегда и те, которые мы можем сохранять дополнительно. Если даже вы оставите все по умолчанию – будет нормально. Если понимаете, что значат и какие функции выполняют те или иные таблицы – проставьте нужные галочки.

Сохранение копии «здесь и сейчас»

Следующий пункт «Настройки резервного копирования» отвечает за резервное копирование «здесь и сейчас». Это тот самый ручной режим, когда мы можем прямо в данный момент сделать резервную копию базы данных. По большому счету, все, что мы может тут настроить – это место для сохранения резервной копии. Первый пункт сохраняет файл на сервере хостинг провайдера. Второй пункт скачивает его на компьютер. Третий вариант позволяет отправить на электронную почту.

Кнопка «создать архив», начинает сохранение.

Если вам нужно сделать срочное копирование, например, перед большими изменениями сайта, то используйте эту функцию.

Резервное копирование по расписанию

Резервное копирование базы данных плагином WordPress Database Backup по расписанию – это как раз то, за что я его люблю. В жизни постоянно крутишься в делах и из-за суеты можешь забыть что-то сделать, или просто не хватит времени. А с помощью этой функции сайт сам все делает с заданной периодичностью.

Можно настроить копирование на разные интервалы времени от одного часа до двух раз в месяц. Все зависит от того, как часто вы добавляете новые посты на сайт. Пишете часто – делайте резервную копию чаще, а если у вас выходит одна статья в неделю, то и раз в неделю достаточно.

Кроме того, для автоматического копирования есть отдельный список сохраняемых таблиц. Одним словом, указываете периодичность, выбираете нужные таблицы, указываете свой почтовый ящик, куда будут приходить копии, и жмете «запомнить расписание».

На этом настройка этого плагина закончена. Переходим к следующему.

2. Плагин для защиты админки Login LockDown

Перед тем как рассказать о настройке плагина, хочу дать одну рекомендацию, относящуюся к этой же теме. Не используйте стандартный логин администратора, который дает wordpress, так как он легко угадывается. Если у вас будет логин отличающийся от стандартного, получить доступ к админке будет намного сложнее.

Установка и настройка плагина Login LockDown

Как и в случае с прошлым плагином, Login LockDown находится в базе вордпресс, поэтому он устанавливается также через поиск плагинов. Находим, устанавливаем, активируем.

После этого через закладку параметры заходим в Login LockDown

Там есть несколько полей, в которых по умолчанию проставлены значения всех параметров.

В принципе, можно ничего не менять. Если захотите настроить плагин под себя, то поля означают следующее:

Max Login Retries – максимальное количество попыток ввода логина/пароля до блокировки. Если указано 3 и вы 3 раза ввели неверный пароль – админка блокируется.

Retry Time Period Restriction (minutes) – время, на которое блокируется админка при неверном вводе пароля.

Lockout Length (minutes) – время, на которое блокируется админка при максимально допустимом количестве неверных вводов логина. Обратите внимание, здесь отслеживается неверный ввод логина. То есть тот кто вводит данные не знает логин.

Lockout Invalid Usernames? – включать или не включать усиленную блокировку из предыдущего пункта.

Mask Login Errors? – скрывать или нет сообщение о том, что неверно введен логин.

Устанавливаете нужные вам значения и жмете кнопку подтверждения – Update Setting.

3. Плагин для wordpress – AntiVirus

Название этого плагина говорит само за себя. Он ищет вирусы и разные шпионские добавки в коде шаблона вашего сайта. Он не имеет такого навороченного функционала, как антивирусные программы для персональных компьютеров. Работает AntiVirus очень просто – сканирует файлы и, если находит подозрительные коды, сообщает о них владельцу через электронную почту и в админ панели.

Автоматически защитить файлы wordpress он не может, вы уже сами должны проверить все что он заподозрил и либо оставить, либо удалить.

Установка и настройка AntiVirus

Уже по традиции мы через админку входим в поиск плагинов. Он есть в базе wordpress, поэтому устанавливается быстро и легко.

Настроек он никаких не требует. И начинает работать сразу после активации. Единственное, что вы можете сделать руками – это сиюминутно просканировать свой сайт. Для этого после активации, необходимо в администраторской панели открыть закладку AntiVirus. Там будет кнопка «Scan the Theme Templates now» – она запускает мгновенную проверку.

Также, на этой странице можно указать почтовый ящик, на который плагин будет отправлять сообщения. Если этого не сделать, все письма будут отправляться на адрес администратора сайта.

В результатах сканирования подсвечиваются все подозрительные коды. Но не нужно сразу бросаться их удалять. Подозрительные не значит вредоносные. Каждый элемент стоит проверить. Если вы разбираетесь в php, для вас не составит труда разобраться с проблемой.

Но если вы не специалист в программировании (я тоже не специалист) – не отчаивайтесь. Вы можете просто сравнить те файлы, которые AntiVirus отметил как подозрительные с исходными файлами вашего шаблона – они должны быть либо на вашем компьютере, либо на официальном сайте создателя темы. Если эти участки кода есть в оригинале, значит все в порядке.

Каждый проверенный элемент вам нужно подтвердить, нажав кнопку «There is no virus» – больше плагин не будет воспринимать этот элемент как подозрительный.

Как и все дополнительные плагины для wordpress, AntiVirus нагружает сервер и снижает скорость работы сайта, поэтому я рекомендую не держать его в активном состоянии постоянно, периодически включайте его для проверки.

Резюме

Защита wordpress на самом деле не является таким уж трудным занятием. Конечно, на 100% от всех случаев жизни не застраховаться никак – постоянно хакеры находят новые лазейки, а ты натыкаешься на новые решения проблем, но небольшие меры предосторожности и несколько полезных плагинов позволят вам спать спокойно, не переживая за работу вашего сайта.