Создание блога (новостного сайта)
Плагины

Безопасность и защита сайта: плагины для WordPress

Безопасность сайта в большей мере заключается в защите от взлома. Если шаблон или плагин скачан из сомнительных источников и установлен на сайт, скорее всего там “зашито” все, что нужно злоумышленникам, и никакой антивирус или плагин безопасности не спасет. Следует понимать, что лечение от вирусов – штука хлопотная и дорогостоящая, поэтому лучше не рисковать, чтобы не платить дважды или трижды. К тому же, не исключена полная потеря данных, а это зря потраченная работа и/или деньги. Лучше установить бесплатный шаблон, чем “ломанный” премиум, этот же принцип касается и плагинов.

Если мы говорим о безопасности, то следует подразумевать не просто установку программного обеспечения по принципу “поставил и забыл”, но и комплекс мер, направленных на усложнение и ограничение доступа к административной части, БД и файлам. В этой статье мы остановимся на плагинах безопасности, которые позволяют сделать все это.

iThemes Security

Один из самых распространенных в Рунете плагинов безопасности (ссылка). Не знаю, как он работает у других пользователей, но у меня он очень сильно грузил сервер, причем даже на самых минимальных настройках. Поэтому я его только тестировал, но в дальнейшем не использовал, потому что иметь на сайте наполовину работающий плагин безопасности нет смысла. Возможно, со следующими обновлениями проблема нагрузки на сервер была ликвидирована, но я нашел более интересное решение – следующий плагин полностью дублирует все функции iThemes Security и совершенно не ощущается по нагрузкам.

All in One Security and Firewall

С помощью этого плагина (ссылка) можно создать кое-какую защиту. Она не является серьезной, скорее это что-то вроде “защиты от честных людей”, чтобы любой начинающий хакер не мог вот так просто взять и взломать все. Но у него есть ряд полезных функций, которые я использую как вспомогательные:

  • изменение префикса таблиц БД;
  • Изменение логина администратора (если у вас логин admin, что нежелательно);
  • резервное копирование БД на сервер и емейл;
  • изменение адреса входа в административную часть (по умолчанию это vashsayt.com/wp-admin, а можно изменить, к примеру, на vashsayt.com/aos482fa)
  • возможность ставить капчу на комментарии, регистрацию и вход в админку.

Также у All in One Security and Firewall есть функция сканера, которая призвана отслеживать изменения в файлах. В реальной жизни она мало что отследит, поскольку при каждом обновлении плагинов или самого WordPress она показывает изменения во всех обновленных файлах, обычно их несколько сотен. Вряд ли у кого-то надолго хватит терпения просматривать все изменения во всех файлах на предмет появления зловредного кода, который еще кстати нужно увидеть.

Файервол у этого плагина хотя и носит это громкое название, но по сути является блокировкой к некоторым файлам, функциям и папкам (они же директории). Весь список ограничений внесен в файл htaccess.

Также есть стандартные функции (но не менее полезные) ограничения попыток входа в админку, возможность создавать черный список и еще некоторые мелочи вроде запрета на копирование текста с сайта. Плагин не грузит сервер, поскольку не выполняет никаких активных действий, за исключением разве что сканирования файлов. Но и защита от него “такая себе”. Поскольку на моей памяти взломанный сайт, на котором был установлен плагин All in One Security and Firewall (правда, не на максимальных настройках), я не могу рекомендовать этот плагин как достаточную защиту. В этом вам поможет следующий плагин.

Wordfence Security — Firewall & Malware Scan

Если первые два плагина переведены на русский и в них новички могут относительно без проблем разобраться, то Wordfence (ссылка) доступен только на английском, что делает знакомство с ним более трудоемким. В процессе эволюции разработчики усложнили панель, и сегодня, чтобы разобраться в настройках (которые раньше были наглядно представлены на одной странице), нужна или помощь уже разобравшихся товарищей, или еще больше времени. Тем не менее, игра стоит свеч, потому что лучшей защиты для сайта не найти. Чтобы облегчить эту задачу, я просто дам файл настроек, которые можно импортировать, не забыв изменить емейл на свой.

Большинство функций плагина стандартные – фаервол, сканнер, черный список, блокировка по IP и т.п. Но преимущества плагина не в длинном перечне функций, а в том, как он выполняет свою работу. Плагин блокирует доступ к уязвимым файлам и директориям, а также пресекает попытки взлома благодаря фаерволу. Фаервол постоянно обновляется, совсем как десктопный антивирус, что позволяет эффективно бороться с новыми методами проникновения. Именно этот самообучающийся фаервол и является самым значимым элементом, защищающим сайт от злоумышленников, хотя и остальные функции также важны. В результате получается очень мощная “стена”, которую пока что на доступных мне сайтах не пробил никто. Регулярно приходят уведомления от плагина об атаках на сайт, о заблокированных инъекциях в файлы сайта и БД. Остается только догадываться, как поживают те сайты, у которых защиты никакой нет.

В наличии есть сканнер, который не только отслеживает изменения в файлах, а сравнивает их с оригинальными файлами из репозитория Вордпресс. Также плагин ограничивает и/или блокирует к сайту, если превышено количество обращения к файлам (можно задать отдельно количество для ботов, людей, для ошибок 404 и др). Но самая интересная функция Wordfence – возможность видеть всех посетителей сайта в режиме live и блокировать их. Незаменимо при нашествии ботов и другой нечисти. Конечно, ботов лучше блокировать в robots.txt, но это применимо только к некоторым, основная масса ботов не обращает внимания на директивы в robots.txt. В этом случае их можно “выловить” при помощи Wordfence, но блокировать не по IP (большинство ботов заходят с большого количества IP), а с помощью Hostname или Referrer.

После нескольких лет работы Wordfence на двух десятках сайтов взломов не было, поэтому я могу рекомендовать этот плагин как максимально возможную защиту на сегодняшний день. В комплексе с All in One Security and Firewall они создают прекрасный тандем, с которым можно спать спокойно. Важно, Wordfence совершенно не грузит сервер, поскольку все операции выполняются на стороне разработчиков.

Leave a Comment