10 популярных плагинов для безопасности WordPress. Плагин безопасности вордпресс


Безопасность плагина WordPress

Ваш код работает! Но безопасен ли он? Есть ли вероятность что через ваш плагин, злоумышленник может получить доступ к сайту? Имейте в виду, что ваш код может быть запущен на сотнях, может быть, даже миллионах сайтов, поэтому безопасность имеет первостепенное значение.

Особое внимание безопасности нужно уделять при создании страницы настроек плагина, создании и манипулировании шорткодами или при сохранение и преобразование дополнительных данных, связанных с записью в БД и выводом на экран.

Есть общие модели, которым можно следовать, чтобы обеспечить безопасность кода. Разобьем их на три:

1. Безопасный ввод

Каждый раз, когда PHP код получает какие-то данные:

Очень важно убедиться, что это безопасно. Cделать это можно путем проверки и очистки данных.

2. Очистка вывода

Каждый раз, когда заголовок записи, мета данные, или любые другие данные предоставляются пользователю - выводятся на экран, их нужно очищать. Очистка нужна чтобы предотвратить атаки типа: Cross-Site Scripting (XSS - межсайтовый скриптинг).

В WordPress для такой очистки предусмотрен ряд функций все они начинаются с префикса esc_, например esc_html().

3. Проверка прав доступа

Для предотвращения несанкционированных изменений настроек плагина или совершения действий, которые пользователь не имеет права выполнять, нужно проверять права доступа.

WordPress предлагает два пути:

Оба эти типа защиты нужно использовать совместно, т.е. один дополняет другой...

Полезные ссылки по теме безопасности WordPress

wp-kama.ru

5 лучших плагинов для безопасности и защиты сайта

Знание современных и актуальных систем безопасности может помочь людям спасти свои веб-сайты от взлома, но не все новички хотят углубляться в код. Да, мы имеем в виду энтузиастов и новичков, которые хотят обезопасить свой веб-сайт, не используя код.

В этой статье мы постараемся помочь вам защитить ваш веб-сайт, вне зависимости от ваших знаний кода WordPress.

Безопасность WordPress для новичков

Если вы хотите усилить безопасность вашего WordPress сайта, не используя код, или если вы хотите, чтобы кто-то позаботился о системе безопасности за вас, то эта статья для вас. Тут вы найдёте для этого бесплатные и премиум инструменты.

Как оказалось, для безопасности WordPress существует масса приложений. Вы найдёте более 1000 вариантов, если просто введёте в поиск по WordPress плагинам слово «безопасность». Но появляется проблема выбора. На какой плагин можно положиться? Мы используем несколько плагинов уже более 5 лет и расскажем о некоторых из них. Плагины, которые мы перечислим, входят в список наиболее популярных на WordPress на сегодняшний день. Вы не пожалеете, если выберете один из них.

iThemes Security

Начнём мы наш список с iThemes Security потому, что его используют на более 700,000 сайтах.

Крис Вигман создал этот плагин, который впоследствии купили iThemes. Мы говорим это по двум причинам:

  1. Крис является потрясающим разработчиком, и мы доверяем его работе
  2. iThemes – это одна из сильнейших компаний WordPress, все её плагины обновляются довольно часто и имеют отличную техническую поддержку.

На данный момент — это наилучший плагин безопасности. Он возглавляет список с 700,000 активными установками. Он предлагает более 30 способов защиты вашего веб-сайта WordPress.

После установки просто дайте плагину сделать свою работу. Он выполняет функции поиска, удаления и защиты в дальнейшем от вредоносных программ. Этот плагин могут легко настроить под свои нужды как новички, так и опытные пользователи. iThemes Security защищает от большинства угроз. Он блокирует вредоносные аккаунты, проверяет изменения в базовых файлах, сохраняет надёжные пароли, скрывает логин и админ страницу, и многое другое.

Премиум версия имеет несколько дополнительных опций и стоит от $80 за год защиты для двух сайтов.

 

Sucuri

Sucuri на рынке премиум плагинов WordPress имеет репутацию престижного плагина. Разработчики проделали отличную работу, следуя новейшим течениям в сфере безопасности, чем обезопасили тысячи веб-сайтов WordPress.

Для WordPress у Sucuri есть бесплатный плагин для аудита, сканера вредоносных программ и повышения уровня безопасности вашего сайта. Но премиум версия стоит каждой своей копейки. Цена в месяц начинается от $16,66. Если вы профессионал и хотите найти лучший плагин для обеспечения безопасности вашего сайта, то обязательно обратите внимание на Sucuri.

Sucuri предоставляет полный цикл для отслеживания и предотвращения нападения и взлома вашего веб-сайта. В него входят WAF брандмауэр, антивирус и служба удаления вредоносных программ. По любым вопросам вы всегда можете обратиться в службу поддержки. Помимо обнаружения вредоносных программ и защиты вашего сайта, Sucuri работает и с взломами. Предположим, что ваш сайт взломали. Плагин удалит вредоносное программное обеспечение в течение 12 часов, а также пришлёт вам уведомление о любом вредоносном действии.

Sucuri также предлагает такие функции как регулярные бэкапы, защита и сканирование в реальном времени, сертификаты SSL, защита от DDoS атак, идентификация DNS и изменения WHOIS, и многое другие.

 

VaultPress

Регулярное создание резервных копий тоже принадлежит к числу мер для обеспечения безопасности сайта. За разумную цену VaultPress обеспечивает своих клиентов созданием бэкапов и работой системы безопасности. В набор функций входят также регулярное сканирование сайта, автоматические бэкапы, техническая поддержка. Мы начали использовать этот плагин, как только он вышел. Команда поддержки помогла нам отследить и решить несколько проблем с безопасностью некоторых сторонних плагинов. Мы можем без сомнений порекомендовать этот плагин для создания резервных копий и сканирования системы.

Если сайт таки удалось взломать, то VaultPress очень быстро возвращает вам контроль над веб-сайтом.

 

Wordfence Security

Wordfence Security – это ещё один плагин для настройки безопасности, который доступен как в платной, так и в бесплатной версии. Его используют более миллиона веб-сайтов. Его мощный Web Application Firewall с Threat Defense Feed защитит ваш веб-сайт от взлома. Обе эти функции блокируют угрозы, к примеру, поддельные Google Bots, Botnets и так далее.

Плагин имеет надежный механизм сканирования, который уведомляет вас о всех подозрительных действиях. Он отслеживает не только вредоносное программное обеспечение, но и любые изменения в файлах, внедрение кода, попытки входа в систему и прочее.

Wordfence Security предлагает уникальную функцию Live Traffic View, которая показывает статистику вашего веб-сайта в режиме реального времени. Это значит, что вы успеете принять своевременные меры при попытках взлома вашего сайта. Плагин содержит Falcon Engine, который обеспечивает быстрый процесс кэширования. Также наравне с функциями управления кэшем существуют 2 режима кэширования, и это возможность очистить кэш и отслеживание использования кэша.

Чтобы получить расширенный список функций, нужно установить премиум версию.

 

All In One WP Security & Firewall

All In One WP Security & Firewall – это уникальный плагин, который очень нравится пользователям. Его легко настроить, а потом просто наслаждаться защищённостью своего сайта. На данный момент у него более 400,000 установок на сайты, что ставит его в один ряд с iThemes Security.

С интуитивно понятным набором функций вы можете вывести безопасность вашего сайта на новый уровень. Интересной особенностью является система оценки безопасности, которая варьируется от 0 до 470. Так вы поймёте, какой веб-компонент нуждается в дополнительной защите. Вся информация отображается в консоли.

Для избежания поломки сайта All In One WP Security & Firewall работает в 3 режимах: базовый, средний и расширенный. Для начала вы можете выбрать базовый режим, а потом перейти на следующие. В набор функций этого плагина входят также запрет на прямые ссылки изображений, защита от атак, управление префиксом базы данных, защита с помощью брандмауэра, блокировка IP адресов и многое другое.

 

Итоги

Всегда необходимо заботиться о безопасности своего веб-сайта. Это ставит вас в более выгодное положение в сравнении с теми, кто решил игнорировать этот вопрос. Существует ещё несколько достойных плагинов помимо тех, которые мы уже назвали. Но мы выносим такой вердикт:

 

Источник: wpcafe.org

designmojo.ru

Плагин безопасности All In One WP Security & Firewall для Wordpress

Я уже рассматривал плагин по комплексной защите блога WordPress iThemes Security, но решил потестить еще один All In One WP Security & Firewall. Ну и оставить на своих сайтах лучший вариант. Итак, устанавливаем.

решил потестить еще один All In One WP Security & Firewallрешил потестить еще один All In One WP Security & Firewall

Переходим на главную страницу плагина All In One WP Security & Firewall. Видим следующую картину. И сразу же видим «Измеритель уровня безопасности». Мой сайт набрал 50 баллов из 470-ти возможных. Что же, не густо. Возможно после его настройки уровень подрастет. Но не следует стремится получить максимально возможный балл, так как это может вызвать проблемы работы с сайтом. В правой части видим «Диаграмму безопасности нашего сайта».

Переходим на главную страницу плагина All In One WP Security & Firewall. Видим следующую картину.Переходим на главную страницу плагина All In One WP Security & Firewall. Видим следующую картину.

Настройки

Администраторы

Пользовательское имя WP

При установке WordPress автоматически присваивает администратору имя пользователя «admin» (если Вы вручную не измените его). Многие хакеры пытаются воспользоваться этой информацией, применяя для нападения «Брутфорс-атаку», когда они систематично подбирают пароль, используя слово «admin» в качестве имени пользователя. Поэтому рекомендуется его изменить на любое другое.

Отображаемое имя

Когда Вы публикуете пост или отвечаете на комментарий, WordPress обычно отображает Ваш «никнейм». По умолчанию отображаемое имя пользователя идентично логину аккаунта. Для безопасности рекомендуется поменять его, чтобы никто не мог узнать под каким логином вы авторизуетесь.

Пароль

Плохой пароль — это наиболее распространенная уязвимость на большинстве сайтов, и, как правило, первое, что будет делать хакер, чтобы проникнуть на сайт — попытается подобрать пароль. В данном разделе можно проверить надежность пароля, используемого вами. Если хакер будет подбирать ваш пароль, то здесь можно прикинуть время, которое он затратит.

Если хакер будет подбирать ваш пароль, то здесь можно прикинуть время, которое он затратит.

Если хакер будет подбирать ваш пароль, то здесь можно прикинуть время, которое он затратит.

Авторизация

Один из распространенных способов, используемых хакерами для проникновения на сайт, является Брутфорс-атака. Так называются многократные попытки входа методом подбора паролей. Помимо выбора надежных паролей, мониторинга и блокирования IP-адресов, участвующих в повторных неудачных попытках входа в течение короткого периода времени, блокировка количества попыток авторизации и ограничение периода времени для таких попыток, является очень эффективным способом противодействия этим типам атак.

Блокировка авторизаций

Ошибочные попытки авторизации

Ошибочные попытки авторизацииОшибочные попытки авторизации

Здесь отображаются записи о безуспешных попытках входа на Ваш сайт. Приведенная ниже информация может пригодиться, если Вам нужно провести исследование попыток авторизации — здесь отображается диапазон IP, имя пользователя и ID (если возможно) и время/дата неуспешной попытки входа на сайт.

Опции автоматического разлогирования пользователя

Установка ограничения срока действия сессии администрирования — это простой способ защиты от несанкционированного доступа к Вашему сайту с Вашего компьютера. Эта опция позволяет установить временной период, после истечения которого сессия администратора истекает и пользователю надо будет авторизоваться заново.

Журнал активности аккаунта

Здесь отображается активность администраторов на Вашем сайте. Приведенная ниже информация может пригодиться, если Вы будете проводить исследование пользовательской активности, так как здесь будут показаны последние 50 событий авторизации с данными имени пользователя, IP-адресом и временем входа.

Журнал активности аккаунтаЖурнал активности аккаунта

Активность сессий

Здесь отображаются все пользователи, которые в настоящий момент авторизованы на Вашем сайте. Если Вы подозреваете, что в системе есть активный пользователь, которого не должно быть, тогда Вы можете их заблокировать, проверив их адрес IP в списке внизу, и добавив их в черный список.

Активность сессийАктивность сессий

Регистрация пользователя

Подтверждение в ручную

Если Ваш сайт позволяет людям самим создавать свои аккаунты через регистрационную форму WordPress, тогда можете свести количество СПАМ и левых регистраций до минимума, подтверждая каждую регистрацию вручную. Данная функция автоматически помечает аккаунты новых регистраций как «pending/в ожидании» пока администратор их не активирует. В этом случае нежеланные зарегистрировавшиеся не могут логиниться не имея Вашего подтверждения. Все недавно зарегистрированные аккаунты Вы можете увидеть в удобной таблице внизу, и также там можно одновременно выполнить активацию, деактивацию или удаление нескольких аккаунтов.

Captca при регистрации

Данная функция позволяет Вам добавить поле CAPTCHA на странице регистрации WordPress. Кроме того, пользователи, которые пытаются зарегистрироваться, должны ответить на простой математический вопрос. Если ответ неверный, плагин не даст им зарегистрироваться. Так как у меня уже установлена каптча от гугла — я не стал активировать данную функцию.

Защита Базы данных

Префикс таблиц БД

Рекомендуется перед изменением префикса создать DB Backup базы данных. Вдруг накосячите.

Резервное копирование БД

Защита Файловой системы

Доступ к файлам

Установки разрешений на чтение/запись для файлов и папок WordPress, позволяющие управлять доступом к этим файлам. При первоначальной установке WordPress автоматически присваивает разумные права доступа к своей файловой системе. Однако, иногда люди или плагины изменяют разрешения на определенные директории и файлы, снижая таким образом уровень безопасности своего сайта, установив неверные права доступа. Эта опция сканирует все важные директории и файлы ядра WordPress и подсвечивает все небезопасные настройки.

Установки разрешений на чтение/запись для файлов и папок WordPress, позволяющие управлять доступом к этим файламУстановки разрешений на чтение/запись для файлов и папок WordPress, позволяющие управлять доступом к этим файлам

Установите рекомендуемые значения.

Редактирование файлов PHP

По умолчанию из панели администрирования WordPress позволяется редактировать PHP-файлы плагинов и тем. Это первейшее подспорье хакеру, получившему доступ в консоль администратора, предоставляющее ему возможность выполнить любой код на Вашем сервере.Данная опция отключает возможность редактирования файлов из панели администратора.

На мой взгляд — это не очень полезная функция. Ведь тот же хакер может в этом же плагине снять галочку, если получит доступ к вашему профилю администратора. В результате вам будут доставлены неудобства, так как для вставки кода того же счетчика, придется лезть на хостинг.

Доступ к файлам WP

Данная опция запретит доступ к таким файлам как readme.html, license.txt и wp-config-sample.php, которые создаются во время установки WordPress и не несут в себе системной нагрузки, но ограничение доступа к этим файлам позволит Вам скрыть от хакеров важную информацию (такую как версия WordPress).

Системные журналы

Ваш сервер периодически может публиковать отчеты об ошибках в специальных файлах, которые называются «error_log». В зависимости от характера и причин ошибки, Ваш сервер может создать несколько файлов журналов в различных каталогах Вашей установки WordPress. Просматривая время от времени эти журналы, Вы будете в курсе любых основных проблем на Вашем сайте и сможете воспользоваться этой информацией для их решения.

WHOIS-поиск

Эта функция позволяет получить детальную информацию об IP-адресе или домене. Удобная функция, так как вам будет любопытно узнать информацию об адресах злоумышленников. Не потребуется лезть в Интернет в поисках подобных сервисов.

Эта функция позволяет получить детальную информацию об IP-адресе или домене.Эта функция позволяет получить детальную информацию об IP-адресе или домене.

Черный список

Функция «Черный список» позволяет блокировать определенные IP-адреса, диапазоны и юзер-агенты, отказывая в доступе к сайту тем пользователям и ботам, которые использовали эти IP-адреса для спама или по другим причинам. Данная функция реализуется добавлением в файл .htaccess определенных правил.

Чтобы получить возможность включить данную опцию и получить 15 баллов безопасности, необходимо ввести хотя бы один ip-адрес или юзер-агент.

Черный списокЧерный список

Файрволл

Базовые правила файрволла

Опции в этой вкладке позволяют применить некоторые базовые правила защиты для Вашего сайта. Данная функциональность брандмауэра достигается методом добавления в Ваш файл .htaccess некоторых специальных директив. Активация этих опций не должна иметь никакого влияния на общую функциональность Вашего сайта, но при желании Вы можете создать backup Вашего .htaccess файла, перед тем, как включите эти настройки.

Эта опция запустит следующий базовый механизм защиты на Вашем сайте:

  1. Защитит файл htaccess от несанкционированного доступа.
  2. Отключит сигнатуру сервера в ответах на запросы.
  3. Ограничит лимит на размер загружаемых файлов до 10Мб.
  4. Защитит Ваш файл wp-config.php от несанкционированного доступа.

Вышеперечисленная функциональность будет достигнута методом добавления в файл .htaccess определенных директив и не должна повлиять на общую работоспособность Вашего сайта. Однако, просто на всякий случай, рекомендуется предварительно сделать резервную копию файла .htaccess.

WordPress XMLRPC & Pingback Vulnerability Protection

Данная функция необходима тем, кто через смартфоны публикует и редактирует записи на своем блоге. Если вам это не нужно — смело отключайте. Таким образом злоумышленник не сможет:

  1. Перегрузить сервер запросами и вывести тем самым его из строя (DoS-атака).
  2. Взломать внутренние маршрутизаторы.
  3. Просканировать порты внутренней сети, чтобы получить информацию от различных хостов на сервере.

Помимо усиления защиты сайта, эта опция поможет значительно снизить нагрузку на Ваш сервер, особенно если Ваш сайт получает много нежелательного трафика, нацеленного на XML-RPC API.

Block access to Debug Log File

Дополнительные правила файрволла

В этой вкладке Вы можете активировать дополнительные настройки файрволла для защиты Вашего сайта. Эти опции реализуются методом добавления определенных правил в Ваш файл .htaccess. В силу определенных особенностей, эти правила могут нарушить функциональность некоторых плагинов, поэтому рекомендуется до их включения сделать backup файла .htaccess.

6G Blacklist Firewall Rules

Включите данные опции, если хотите выполнить:

  1. Блокировку запрещенных символов, обычно используемых в хакерских атаках.
  2. Блокировку вредоносных закодированных строк в URL, таких как «.css» и т.п.
  3. Защиту от распространенных шаблонов вредоносного кода и специфических эксплойтов (последовательностей команд, использующих известные уязвимости) в URL.
  4. Блокировку запрещенных символов в параметрах запросов.

Enable 6G Firewall Protection. Эта опция активирует 6G-защиту на Вашем сайте.

Enable legacy 5G Firewall Protection. Эта опция активирует 5G-защиту на Вашем сайте.

Интернет-боты

Данная функция проверяет, содержит ли поле User Agent information строчку «Googlebot». В таком случае, функция выполняет несколько тестов для того, чтобы убедится, действительно ли это — бот от Google. Если да, тогда позволяет боту работать дальше. Отнеситесь к данной функции с осторожностью, чтобы не получить проблем с индексацией в случае ошибки.

Предотвратить хотлинки

Хотлинк — когда кто-то на своем сайте показывает изображение, которое, на самом деле, находится на Вашем сайте, используя прямую ссылку на исходник изображения на Вашем сервере. Так как изображение, которое показывается на чужом сайте, предоставляется с Вашего сайта, для Вас это может привести к потерям скорости и ресурсов, потому что Вашему серверу приходится передавать эту картину людям, которые видят ее на чужом сайте. Данная функция предотвращает прямые хотлинки на изображения с Ваших страниц, добавив несколько инструкций в Ваш файл .htaccess.

Детектирование 404

Ошибка 404 или «Страница не найдена» возникает, когда кто-то запрашивает страницу, которой нет на Вашем сайте. Большинство ошибок 404 случаются, когда посетитель написал URL страницы с ошибкой или использовал старую ссылку на страницу, которой уже нет. Однако, иногда можно заметить большое количество ошибок 404 подряд за относительно короткое время с одного и того же адреса IP, с запросами URL страниц, которых нет. Такое поведение может означать, что хакер пытается найти какую-то специальную страницу или URL со злым умыслом.

Вы можете заблокировать любые IP-адреса, которые записаны в таблице «Логи ошибок 404» внизу. Для того, чтобы заблокировать адрес IP, наведите мышь на графу ID и нажмите на ссылку «Заблокировать временно» для соответствующего адреса IP.

Custom rules

Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.

Защита от брутфорс-атак

Переименовать страницу логина

Эффективная мера защиты от перебора паролей — изменение адреса страницы логина. Обычно, для того, чтобы логиниться в WordPress, Вы набираете базовый адрес сайта, и затем wp-login.php (или wp-admin).

Защита от брутфорс-атак с помощью куки

Captcha на логин

Данная функция позволяет Вам добавить поле CAPTCHA на странице логина WordPress.

Белый список для логина

Функция белого списка All In One WP Security дает возможность открыть доступ на страницу логина WordPress только с определенных адресов или диапазонов IP. Добавьте список белых ip-адресов или диапазонов ip. Все остальные адреса будут заблокированы, как только пытаются открыть страницу логина.

Бочка с медом (honey pot)

Данная функция позволяет добавить специальное, скрытое поле «honeypot» на странице логина. Оно будет видно только роботам. Т.к. роботы обычно заполняют все поля в форме логина, они отправят и какое-то значение в специальном, скрытом поле медового бочка (honey pot). Поэтому, если плагин видит, что данное поле было заполнено, робот, который пытается логиниться на Вашем сайте, будет перенаправлен на свой собственный адрес, а именно — http://127.0.0.1.

Защита от SPAM

Спам в комментариях

Отслеживание IP-адресов по спаму в комментариях

Должен быть установлен плагин Akismet.

BuddyPress

Данная функция добавит CAPTCHA с простой математической задачей в форму регистрации BuddyPress. Добавление поле CAPTCHA в регистрационной форме — простой способ значительно снизить количество спам-регистраций от роботов, без изменения правил в файле .htaccess.

Сканнер

Режим обслуживания

Эта опция позволяет перевести Ваш сайт в режим обслуживания, сделав невозможным просмотр сайта посетителями, за исключением администраторов. Это может быть очень полезным, если Вы что-то настраиваете, меняете дизайн, проверяете работу плагинов и т.д. и т.п.

Разное

После настройки некоторых правил безопасности получилось набрать 230 баллов.

После настройки некоторых правил безопасности получилось набрать 230 баллов. После настройки некоторых правил безопасности получилось набрать 230 баллов.

Оценить статью

Плагин безопасности All In One WP Security & Firewall для WordPress

5 (100%) 1 голос[ов]

xn----dtbhaczojgfgnqij1lhf2b.xn--p1ai

10 популярных плагинов для безопасности WordPress

Когда речь заходит о безопасности на WordPress-сайте, то все веб-администраторы делятся на 2 категории. В первую группу входят те администраторы WordPress, которые пользуются всеми возможными плагинами для защиты сайта. А вторая группа — это те, кто живут в счастливом неведении и не подозревают, что могут сотворить с их сайтом хакеры, вредоносное ПО и спамеры, и потому не используют никаких плагинов для безопасности своего ресурса.

Неважно, из какой вы группы веб-администраторов, вот вам список плагинов для безопасности WordPress, чтоб вы могли выбрать что-то для защиты своего сайта.

1. Simple Backup

Этот WordPress-плагин был разработан для создания и скачивания бесплатных резервных копий вашего WordPress-сайта. Примечание: плагин Simple Backup создает специальную папку в корне вашей WordPress-установки с именем формата ‘simple-backup’. Порой такую папку надо будет создавать вручную (если вы получаете сообщение об ошибке при автоматическом запуске). Требования: PHP 5.2 или выше, WordPress 3.3 или новее, Linux Style Server, mysqldump (для бэкапа баз данных) и tar, zip, gzip, или bzip.

2. Ask Apache Password Protect

Весьма необычный плагин для обеспечения безопасности. В отличие от аналогичных плагинов, он работает не на уровне приложения, а на уровне сети, не используя php, чтобы предотвратить возможные атаки. Ask Apache Password Protect был разработан для остановки атак еще до того, как эти атаки коснутся конкретно вашего блога. Требования: веб-сервер Apache и поддержка хостингом файлов .htaccess.

3. Login Dongle

С этим плагином никто, кроме вас, не сможет получить доступ. Всё очень просто. Плагин защищает всю вашу информацию об авторизации при помощи защитного вопроса и дополнительного слоя защиты. Примечание: Страницу авторизации этот плагин не меняет, так что ответ на то, какой у вас защитный вопрос, злоумышленники не смогут узнать по странице. Кроме того, совместим с другими плагинами для авторизации. Требования: WordPress 1.0 или новее.

Плагин был разработан так, чтобы вы и ваши пользователи не видели, как работает встроенная опция авторизации, регистрации или сбрасывания пароля для входа на сайт WordPress. Плюс вы сможете добавить на страницу входа настраиваемый контент. Требования: WordPress 3.3 или новее.

5. Exploit Scanner

Этот плагин будет вести поиск по файлам WordPress и по БД для поиска любых признаков подозрительной вредоносной активности, а также проверяет имена файлов. При этом он не удаляет всё подряд. Вы сами решите, что надо удалить, а что оставить. Требования: WordPress 3.3 или новее.

6. WordPress AntiVirus

Простой в использовании плагин для автоматического регулярного мониторинга всех подозрительных "инъекций". Он способен предупредить вас о возможной угрозе хакерского взлома. Кроме того, в нем есть поддержка разных языков. Требования: PHP 5.1 и WordPress 2.8 и новее.

7. Acunetix WP Security

Еще один бесплатный плагин для обеспечения перечня защитных действий. Так, он сканирует ваш блог на ошибки безопасности, предлагает решения для найденных уязвимостей, проверяет разрешения файловой системы, скрывает версию движка, удаляет мета-теги из кода ядра и т.д. Требования: WordPress 3.0 или выше, PHP5.

8. WordPress HTTPS (SSL)

Этот плагин был создан как пакетное решение (включающее 'private' и 'shared' SSL, принудительную защищенную авторизацию, панель администрирования безопасности, поиск частичных ошибок) для WordPress SSL. Требования: WordPress 3.0 или выше.

9. Anti-spam plugin

Этот плагин блокирует спам в комментариях в автоматическом режиме и не виден при этом ни админам, ни пользователям. Основные преимущества – в отсутствии "капчи", проверочных вопросов или сложных настроек. Требования: WordPress 3.0 или новее.

10. Theme Authenticity Checker

Этот плагин сканирует все файлы темы и сообщает, если найдет какой-то вредоносный код. Отличный инструмент для борьбы с рекламой. Но прежде чем "выпилить" из кода темы любую рекламу, постарайтесь связаться с авторами темы и уточнить, общая это информация или всё-таки рекламная ссылка. Требования: WordPress 3.0 или больше.

Источник: WPHacks.com

hostenko.com

Подборка плагинов безопасности для WordPress « Все о WEB программировании

28.02.2012 Ромчик

3

Плагины безопасности для WordPressДоброго времени суток. Решил посвятить данный пост безопасности WordPress. А сподвигло меня на это несколько сообщений от знакомых, что их ресурсы на WordPress подверглись атаке. Некоторым повезло, а некоторым нет. Их ресурс был взломан. Ну последствия взлома понятны: много геморроя с восстановлением. Так, давайте не ждать, когда нас начнут ломать, а предпринимать превентивные действия. Дальше я сделал небольшую подборку плагинов для безопасности WordPress.

WP Security ScanИ первым в нашем рейтинге плагинов безопасности WoredPress стоит WP Security Scan.WP Security Scan проверяет Ваш ресурс на предмет уязвимости в системе безопасности и предлагает корректирующие действия. Сканирует:

Скачать данный плагин можно с официального сайта плагинов WordPress.Secure WordPressПлагин Secure WordPress удаляет информацию об ошибке на странице авторизации, добавляет index.html в папку плагина, скрывает версию WordPress и многое другое, что поможет защитить ваш ресурс.Скачать данный плагин можно с официального сайта плагинов WordPress.Chap Secure LoginДанный плагин позволяет зашифровать Ваш пароль перед отправкой. Пароль шифруется с помощью SHA-256 алгоритма.Скачать данный плагин можно с официального сайта плагинов WordPress.Login LockDownЗамечательный плагин, который записывает с какого ip адреса была осуществлена попытка входа на сайт. Если с одного диапазона ip адресов осуществляется несколько неудачных попыток авторизации за короткий промежуток времени, то плагин блокирует данный диапазон. Который администратор может разблокировать в ручную из админки.Скачать данный плагин можно с официального сайта плагинов WordPress.TAC (Theme Authenticity Checker)Данный плагин сканирует тему на наличие вредоносного кода. При обнаружении такого указывает файл и номер строки в которой был найден данный код.Скачать данный плагин можно с официального сайта плагинов WordPress.

На этом подборку плагинов безопасности я завершаю. И помните проблему легче предотвратить, чем устранить.Если у Вас есть свои соображения по поводу безопасности WordPress делитесь ими в комментариях. Думаю, что это будет всем интересно.Если Вам понравились материалы данного блога, то подпишитесь на RSS-рассылку, чтобы не пропустить выхода новых постов.А на этом все. Будьте бдительны.

Понравилась статья? Поделись с друзьями.

web-programming.com.ua

10 популярных плагинов безопасности для WordPress

10 популярных плагинов безопасности для WordPressКогда речь заходит о защите сайта, то, как правило, всех веб-мастеров можно разделить на два типа. К первому относятся администраторы, которые модернизируют свои сайты благодаря многим плагинам безопасности. Ко второму же можно отнести тех, кто может и не подозревать о различных опасностях. Они могут и не знать о вредоносных кодах, ссылках, различных вирусах и тому подобное. 

Независимо от того, к какому типу веб-мастеров или блоггеров относитесь вы, ниже я привожу список плагинов безопасности WordPress, о которых должен знать каждый:

защита сайта WordPress

Итак, это был обзор 10 популярных плагинов безопасности для CMS WordPress. Конечно же, существует много и других подобных модулей, но я рекомендую вам сперва обратить свое внимание на эти плагины, так как они наиболее востребованы среди веб-мастеров и обычных блоггеров. Удачного блоггинга!

Сказать спасибо кнопками ниже:

alpha-byte.ru

10 плагинов для безопасности WordPress

опубликовано 31 марта 2011 г.

10-plaginov-dlya-bezopasnosti-WordPress

Плагины для безопасности

Небольшая подборка из 10 плагинов, которая позволяет значительно повысить уровень безопасности блога WordPress. Для удобства выложил плагины для скачивания единым архивом.

Anonymous WordPress Plugin Updates — плагин проверяет обновления WordPress анонимно, то есть не отсылает информацию о вашем блоге такую, как установленные плагины и версию CMS.

Limit Login Attempts – ограничивает количество попыток ввода пароля для входа в админку. Присутствуют функции отображения логов и блокировки пользователей по ip-адресам. Плагин имеет широкий набор настроек. Рекомендую.Sabre – защита от автоматических регистраций на сайте. Если блог позволяет любому пользоваться зарегистрироваться, то рано или поздно возникнет проблема автоматических регистраций – спам боты не дремлют, помните об этом. Плагин Sabre позволяет решить эту проблему.

Secure WordPress – плагин позволяет скрыть версию WordPress от глаз посторонних. Скрыть эту информацию можно и вручную, об этом мы поговорим позже.

Semisecure Login – плагин, шифрующий пароли в MD-5. Внимание, для работы плагина необходима поддержка Java.

Wp Db Backup – плагин создает резервные копии базы данных блога и отправляет их на электропочту, либо позволяет сохранить копию БД на компьютер или хостинг. Есть возможность настроить резервное копирование по расписанию. Один из самых необходимых плагинов для работы с WordPress. Сейчас много альтернативных плагинов, выполняющих функции Wp-Db-Backup, но я по привычке пользуюсь именно им.

Wp Security Scan – плагин позволяет просканировать блог на предмет возможных угроз и исправить уязвимости в безопасности. Очень полезный плагин. Работает не только с паролями, но и с базой данных, например, позволяет сменить префикс таблиц. Также плагин проверяет, правильно ли установлены права доступа на системные папки.

Anti-XSS attack – плагин позволяет предотвратить XSS-атаки на сайт.

WordPress File Monitor – плагин отслеживает любые изменения, происходящие в файлах движка WordPress, и информирует владельца сайта об этом, отправляю письма по почте.

AntiVirus WordPress – миниантивирус для сайта. Плагин сканирует файлы WordPress на наличие вредоносного кода.

Данный подбор плагинов поможет значительно повысить безопасность вашего блога и лишить вас большого количества проблем. Практически у каждого плагина есть свои альтернативы, некоторые плагины частично дублируют функции другие, так что не обязательно использовать их все вместе. Также я не упоминал о плагинах, противодействующих спаму на блоге, об этом поговорим в другой раз.

Плагины для безопасности WordPress скачать одним архивом

Похожие посты

и обсудить его с другими читателями.

adminpab.ru


Смотрите также

Prostoy-Site | Все права защищены © 2018 | Карта сайта