Атакуют за успешные статьи на vc.ru. Пишу подробно как защитить ваш сайт на WordPress (upd. снова началось)

Меня зовут Максим Кульгин, и моя компания clickfraud занимается защитой от скликивания рекламы в «Яндекс.Директ». Каждый раз, когда мы публикуем статью, и если она вдруг становится популярной, начинается атаки на наши сайты. Атаки не очень профессиональные, бессмысленные, но неприятные и мы, на основе опыта, подготовили очень большое руководство для самостоятельно защиты.

upd. от 17.12 - наши сайты снова мучают. Сотня тысяч заявок на сброс пароля WordPress, которые забивают почтовые ящики и почтовый сервер. И где у нас нет рекапчи - сотня тысяч заявок из формы обратной связи.... Автор этого дерьма - скажи, зачем? У нас не банк, не крипта - ЗАЧЕМ? Ты недавно стал половозрелым и хвастаешься соседям по парте в школе? В чем сакральный смысл действий?

Недавно вышло наше последняя статья на этом ресурсе «Самостоятельный парсинг ваших конкурентов», и посмотрите что происходило на сайте - пришло 80 000+ (!) заявок в форму обратной связи. Наш почтовый сервер просто "впал в кому" и обычная почта перестала ходить, т.к. образовалась огромная очередь. "Плохие парни" обошли reCapcha v3 и только включение reCapcha v2, где нужно находить мотоциклы, горы и пальмы, сгладило ситуацию.

Нам было не очень сильно страшно :), хотя понервничали изрядно. Мы профессионально занимаемся не только парсингом, но и защитой от скликивания, и наши специалисты в итоге справились с проблемой (до этого был бессмысленный и беспощадный DDOS...). А что в подобном случае делать предпринимателям малого и среднего бизнеса, у которых сайт — главный источник дохода — собран зачастую самостоятельно из «кусочков» WordPress и хостится где-то «там»?

Размышляя в таком русле, мы поняли, что для самостоятельно администрирующих свои сайты предпринимателей надо собрать и систематизировать список уже готовых и простых решений, которые если и не наверняка, то в значительной степени усилят безопасность веб-сайта, собранного на WordPress (в конце статьи есть мои контакты в Телеграм, можно написать, если останутся вопросы или потребуются уточнения, плюс в этом канале я писал довольно подробно, как происходила атака и наша реакция на нее).

Защита сайта - это как установка сигнализации на машину. Или оформление КАСКО. Потребуются некоторые затраты времени, может быть, денег. Зато выяснится, что по ночам, оказывается, могут сниться спокойные и счастливые сны, а не только кошмары :)

Взломы, вредоносное ПО, проникновения через уязвимости, спам — это лишь некоторые из угроз «на слуху». Существует огромная индустрия «в тени», и поверьте, никогда не уменьшится количество желающих попользоваться вашим сервером, заполучить данные о посетителях и клиентах или, в конце концов, просто вывести из строя ваш бизнес (как вот прям сейчас пытаются сделать с нами).

Кому-то на первый взгляд может показаться, что речь идет о риске временных финансовых потерь. Всё намного опаснее. Это покушение на доверие клиентов, которое есть основа дохода и благополучия в будущем.

Большинство полезных плагинов стоят денег (мы поговорим об этом ниже). Некоторые бесплатны. Есть такие, которые хоть и платные, но ими можно пользоваться бесплатно, смирившись с некоторой ограниченной функциональностью. У нас, кстати, есть опыт покупки с помощью карты BSB Банка Белоруссии - работает.

Важно понять не сколько стоит тот или иной плагин, а что он делает. А цены на хорошие инструменты имеет смысл сравнивать с потенциальным ущербом (уменьшенным с учетом вероятности, конечно), который случится если их не использовать.

В ядре WordPress изначально уже предусмотрены некоторые меры безопасности. Но это всё стандартные решения, а они достаточно просты и хорошо известны злоумышленникам. Поэтому задача — дополнить стандартный арсенал уникальными плагинами и многократно усилить безопасность. Некоторые из них имеют вообще сногсшибательные возможности.

Функционал многих плагинов пересекается в той или иной степени, и стоило немало трудов рассортировать их по категориям для удобства. Получились следующие разделы:

Чтобы было проще воспринимать расценки, мы округлили «маркетинговые» цены до «просто понятных». Например, «19,99» мы округляем до «20», вместо «199» пишем «200». Правда, получается завышение где-то от цента до доллара, зато суть улавливается без дополнительных умственных калькуляций.

В конце каждого описания будет ссылка на официальный сайт и/или страничку на платформе WordPress.

При составлении обзора не обошлось без неожиданностей и философских размышлений. Впрочем, обо всем по порядку.

Итак…

Разработчики включили в плагин аудит, сканер вредоносных программ и множество общих мер по улучшению безопасности. Предлагаются как платные версии, так и бесплатная. Для большинства случаев вполне хватит и бесплатной. К примеру, не каждому нужен межсетевой экран, предоставляемый на платном тарифном плане.

В число бесплатных функций входит и модуль аудита безопасности, который поможет оценить насколько хорошо задействованы возможности плагина по защите. Он включает в себя: мониторинг целостности файлов, поддержку черного списка, уведомления о проблемах безопасности и рекомендации по её улучшению.

Платная подписка, в дополнение, позволяет подключиться к их специальным информационным каналам, созданным для обслуживания и поддержки клиентов, а также дает возможность проводить более частые проверки (например, выполнять сканирование каждые 12 часов).

Тарифные планы

Все платные тарифы дают 30-дневную гарантию возврата денег, если что-то не понравится.

Что говорит в пользу Sucuri Security

Официальный сайт: sucuri.net

Страничка на платформе WordPress: wordpress.org/plugins/sucuri-scanner

Плагин безопасности iThemes Security (ранее известный как Better WP Security) имеет на вооружении более чем 30 приемов для предотвращения таких «неприятностей», как взломы и проникновения.

Особое внимание уделяется распознаванию уязвимостей в сторонних плагинах и устаревшем программном обеспечении, применяемости слабых паролей, отслеживании состояния сайта — всё это делает iThemes универсальным плагином безопасности для работы на WordPress.

Хотя бесплатная версия и обладает некоторым базовым функционалом, здесь всё-таки лучше сразу настраиваться хотя бы на минимальную платную подписку: она даст поддержку по заявкам, круглогодичное обновление плагинов и поддержку до двух веб-сайтов. Для обслуживания большего количества сайтов потребуется более дорогой тарифный план.

Что касается основных функций в платных версиях, то предлагается надежное хранение паролей, блокировка нежелательных пользователей, резервное копирование данных, двухфакторная аутентификация.

Нет смысла здесь описывать все тридцать подходов которые iThemes может использовать для защиты, тем более на разных тарифных планах список возможностей будет разным. В любом случае такое богатство и разнообразие возможностей потребует тщательного ознакомления.

Цены начинаются со 100 долларов в год, и будут зависеть от числа поддерживаемых сайтов. Как и в предыдущем случае имеется пробный 30-дневный период использования с гарантией возврата средств.

Тарифные планы

Что говорит в пользу iThemes Security

Официальный сайт: ithemes.com

Страничка на платформе WordPress: wordpress.org/plugins/better-wp-security

Wordfence Security — один из самых популярных плагинов безопасности WordPress и на то есть веская причина. Авторам удалось добиться успеха в сочетании простоты настройки с мощными возможностями защиты. Продуманный и безопасный алгоритм входа в систему, средства восстановления после инцидентов безопасности — это уже не так просто. А одно из главных преимуществ Wordfence в том, что с легкостью можно получить представление об общих тенденциях трафика и попытках взлома.

Поскольку очень много функционала доступно и без оформления подписки, то можно сказать, что Wordfence — одно из наиболее впечатляющих бесплатных решений для обеспечения безопасности, включающее в себя всё: от межсетевого экрана до защиты от атак методом прямого перебора.

Тарифные планы

Предусмотрено две версии: бесплатная и платная. Платная начинается со 100 долларов в год за один сайт.

Создатели плагина стараются удешевить его для разработчиков, предоставляя большие скидки при использовании на нескольких сайтах. Например, купив более 15 лицензий, можно получить скидку 25% (получается 75 долларов в год за один сайт).

Интересный вариант получается для фрилансеров: убедить заказчика в необходимости серьезности подхода к защите, предложить скидку, которую тот бы так просто не получил и, таким образом, выделиться на фоне конкурентов. Конечно, вариант не для всех случаев, а только если заказчик захочет платить ещё и за безопасность.

Структура скидок выглядит так:

Что говорит в пользу WordFence Security

Официальный сайт: wordfence.com

Страничка на платформе WordPress: wordpress.org/plugins/wordfence

Ещё один из самых многофункциональных бесплатных плагинов, который имеет интуитивно понятный интерфейс и даже поддержку клиентов.

Очень хорош для начинающих тем, что помимо хорошей визуализации, отражающей показатели в виде графиков, объясняет «что и как» следует сделать для улучшения невосприимчивости сайта к атакам.

Функции разбиты на три категории: Basic, Intermediate и Advanced, и плагин будет удобно использовать не только новичкам, но и профессиональным разработчикам — они не будут чувствовать себя стесненными в возможностях настройки.

В своей работе плагин в основном защищает учетные записи пользователей, файлы и базы данных, блокирует попытки незаконного входа в систему и повышает безопасность при регистрации новых пользователей.

Тарифные планы

Бесплатен!

Что говорит в пользу All-In-One Security

Страничка на платформе WordPress: wordpress.org/plugins/all-in-one-wp-security-and-firewall

Плагин активно разрабатывается, обновляется и, похоже, содержит больше функций, чем большинство конкурирующих решений: «карантин», оповещения по электронной почте, защита от спама, автоматическое восстановление и многое другое.

Может использоваться как универсальный плагин безопасности WordPress, особенно учитывая, что он осуществляет резервное копирование данных и управляет безопасностью входа в систему.

Прежде чем решиться на платную версию, можно сначала попробовать бесплатный вариант, который включает в себя следующие инструменты:

Этот плагин нельзя назвать самым удобным для начинающих. Но он хорошо подойдет продвинутым разработчикам, которые захотят воспользоваться уникальными настройками и функциями, такими как защита от эксплойтов и блокировка FTP. Помимо этого, есть мастер автоматической настройки, который сделает этот нелегкий процесс несколько проще.

Тарифные планы

Есть две версии: платная и бесплатная. Платная предусматривает однократный платеж в 70 долларов и предусматривает всё тот же 30-дневный срок для возврата денег.

Что говорит в пользу BulletProof Security

Официальный сайт: ait-pro.com

Страничка на платформе WordPress: wordpress.org/plugins/bulletproof-security

Это довольно универсальный плагин, но мы будем рассматривать прежде всего его возможности по предотвращению угроз, вызванных вирусами и вредоносным ПО. Плагин разработан Джулио Потье, автором WP Rocket и Imagify, одним из первых соучредителей WP Media.

В число несомненных достоинств можно отнести очень продуманный пользовательский интерфейс, который делает работу простой и понятной.

Бесплатная версия имеет защиту от перебора паролей, блокировку IP-адресов, межсетевой экран, блокировку ботов (за что часто хотят денег в других плагинах безопасности), а сканирование ПО позволяет предпринять меры ещё до того, как вредоносный код проявит себя.

Платная версия включает в себя ещё больше возможностей: оповещения и уведомления, двухфакторную аутентификацию, блокировку IP-адреса на основе геолокации, специализированное сканирование PHP-скриптов и формирование отчетов в PDF.

Тарифные планы

Есть бесплатная версия, подходящая для простых случаев: сканирования вредоносных программ и блокировки ботов. Стоимость платной версии начинается с 70 долларов в год за один сайт. Цена «за сайт» резко падает, если набирается 5, 10, 25 и уж тем более 200 сайтов.

Есть дополнительные продукты и услуги: - профессиональная конфигурация: 120 долларов; - удаление вредоносных программ: 360 долларов; - обучение безопасного использования WordPress: 450 долларов; - поддержка по другим вопросам безопасности: 40 долларов.

Что говорит в пользу SecuPress

Официальный сайт: secupress.me

Страничка на платформе WordPress: wordpress.org/plugins/secupress

Примечание. Официальный сайт тоже во всю использует блокировку входа на основе данных геолокации и туда бывает не попасть так просто: «403 Forbidden» по причине «Bad GeoIP».

WPScan (WordPress security scanner) придерживается другого подхода. В нем используется созданная вручную база данных по уязвимостям, которая обновляется ежедневно как специалистами по безопасности, так и сообществом. Труд по поддержанию базы данных финансируется Automattic (владелец WordPress, WooCommerce и некоторых плагинов из нашего обзора), а сама база данных включает более 21 000 известных уязвимостей.

Благодаря этому WPScan может сканировать на наличие известных уязвимостей и саму версию WordPress, и используемые плагины, и темы.

Помимо списка известных уязвимостей данный плагин имеет и другие проверки безопасности, такие как: чтение и анализ log-файлов, резервное копирование файлов wp-config.php, отображение списка пользователей со слабыми паролями и многое другое.

Даже бесплатная версия имеет API, который подойдет для большинства простых случаев (application program interface — программный интерфейс, позволяющий настроить совместную работу с другими программами). API бесплатной версии имеет ограничение на количество вызовов и если потребуется использовать плагин более интенсивно, придется переходить на платную версию.

Если нужен только сканер вредоносного кода, то не исключено, что WPScan — это самый подходящий выбор.

Тарифные планы

Бесплатная версия позволяет выполнять в день до 25 запросов к API. Обычно этого хватает для простого сайта с парой десятков плагинов. Стоимость платной будет зависеть от количества доступных вызовов API.

Предлагаются следующие тарифы:

Что говорит в пользу WPScan

Официальный сайт: wpscan.com/wordpress-security-scanner

Страничка на платформе WordPress: wordpress.org/plugins/wpscan

Security Ninja — это настоящий ветеран в безопасности WordPress, один из первых плагинов, созданный специально для этих целей. Сначала продавался на CodeCanyon (с четырьмя доступными дополнениями), а потом (в 2016 году) авторы перешли на модель «freemium».

Все дополнения были упразднены и решено было оставить только две версии: платную и бесплатную. Основной модуль (а только он доступен бесплатно) выполняет более 50 разных проверок безопасности, начиная от сканирования файлов на наличие вредоносных включений, заканчивая оценкой разрешений MySQL и различных настроек PHP.

Устойчивость паролей пользователей к атаке методом прямого перебора проверяется… методом прямого перебора! Это должно отсеять учетные записи с такими слабыми паролями, как «12345» или «пароль».

Вообще столь большое внимание, уделяемое сложности паролей, на самом деле полностью оправдано. Обычные пользователи не задумываются ни о чём. И если их не обучать (а иногда и принуждать) действовать правильно, то они сначала будут страдать сами, затем беспокоить поддержку, а в конце концов писать гневные отзывы «в интернетах».

Security Ninja не просто предоставляет инструменты автоматизированного противодействия хакерским атакам. Плагин дает подробное объяснение по каждому тесту, что просто неоценимо для тех, кто хочет детально разобраться во всём. Но и это ещё не всё! Кроме автоматизированного подхода доступны все тонкости для регулирования вручную.

Всегда важно соблюсти баланс между автоматизацией и гибкостью. Security Ninja предлагает отличную альтернативу часто встречающемуся подходу «нажмите здесь, чтобы исправить там»: можно просто просмотреть список предупреждений сканера уязвимостей, а уже потом решить что делать и как.

Тарифные планы

Можно выбрать краткосрочный ежемесячный план (стоимость которого начинается с 9 долларов в месяц) или наоборот — воспользоваться неограниченным пакетом(начиная с единовременного платежа в 140 долларов за Starter).

Что говорит в пользу Security Ninja

Официальный сайт: wpsecurityninja.com

Страничка на платформе WordPress: wordpress.org/plugins/security-ninja

Облачный сканер угроз безопасности, который просматривает сайт целиком для выявления всего: от проблем с плагинами до подозрительных IP-адресов. Защита от ботов очень удобна. Быстрый поиск вредоносного кода работает отлично.

Плагин оснащен инструментом удаления вредоносного кода «в один клик». Такое внимание скорости удаления подобных нежелательных фрагментов происходит не только от желания защитить своих посетителей. Важно чтобы поисковые системы не углядели ничего подозрительного. В противном случае можно навлечь пессимизацию поисковой выдачи, что является, пожалуй, самым страшным ночным кошмаром любого, кто заинтересован в жизнеспособности своего веб-проекта.

В дополнение интеллектуальный процесс отслеживает огромное количество сторонних сайтов, которые потенциально могут оказать негативное влияние.

Имеется система быстрого оповещения на случай, если сайт «лёг». Это, безусловно, недопустимый сценарий развития событий, но — если уж это произошло — то, чем скорее будет реагирование на атаку, тем быстрее всё заработает снова, и тем меньше в итоге окажется ущерб.

Наконец, защита от вредоносного кода прекрасно справляется со своей работой, оставаясь при этом достаточно легкой, чтобы не замедлять общую работу сайта. И это при том, что громоздкость подобных плагинов стала уже своего рода устоявшимся стандартом.

Тарифные планы

Бесплатная версия включает в себя проверку на вредоносный код, межсетевой экран, защиту входа в систему и обнаружение ботов.

Использование платных тарифов предлагает дополнительные инструменты, такие как: мгновенное удаление вредоносного кода, обновления межсетевого экрана в режиме реального времени и возможность просмотра взломанных файлов. Вот расценки на тарифные планы:

Указанные цены подразумевают поддержку одного веб-сайта, но стоимость будет расти по мере увеличения их количества.

Авторы также предоставляют множество дополнений: резервное копирование в режиме реального времени (100 долларов в год за один сайт), почасовое резервное копирование и сканирование (500 долларов в год за сайт), регрессионное тестирование с визуализацией (100 долларов в год за сайт) и дополнительные окружения, специально предназначенные для разработки и тестирования (20 долларов в месяц за использование одного окружения).

Что говорит в пользу MalCare

Официальный сайт: malcare.com

Страничка на платформе WordPress: wordpress.org/plugins/malcare-security

Ещё одно отличное решение для проведения тщательной проверки сайта на наличие вредоносного кода, выявления подозрительных IP-адресов и борьбы с ботами.

Сервис использует облачные технологии для автоматического распознавания и предотвращения угроз, а владельцам сайта предоставляется вся информация, необходимая для улучшения мер безопасности.

Плагином можно пользоваться бесплатно, но для доступа к большинству возможностей необходимо иметь аккаунт в их облачном сервисе. Чем плагин хорош? Прежде всего постоянным наблюдением за подозрительными IP-адресами и мониторингом вредоносного кода.

Подключение к облаку также помогает избежать большинства типичных действий, которые обычно предпринимаются по обеспечению безопасности на серверах, что дает и удобство и приемлемую скорость работы сайта.

Плагин довольно прост в применении: показывается список файлов, которые потенциально могут вызвать проблемы. Однако потребуются неслабые программистские навыки, чтобы разобраться в том, что собственно не так в подозрительных файлах…

Что же делать?!

Взмах купюр (или произнесение CVV-заклинания) решает все сложности: пользователи платной версии могут отправить подозрительные файлы специалистам CleanTalk и, таким образом, передать эстафету демонстрации программистских навыков настоящим профессионалам. Ну, а те уже вернут файлы без вредоносного кода.

Система, конечно, не настолько автоматизирована как у некоторых конкурентов, зато эффективность и точность сканера на высоте.

В дополнение есть функции предотвращения атаки методом прямого перебора, проверка исходящих ссылок, двухфакторная авторизация и многое другое.

Тарифные планы

Плагин преподносится как бесплатный, но, как уже стало ясно, бесплатно им полноценно пользоваться не получится, и нужно завести аккаунт в их облачной службе безопасности, чтобы востребованный функционал заработал.

Вот некоторые цены, предлагаемые облачной службой безопасности CleanTalk (с учётом округления):

Что говорит в пользу Security & Malware Scan

Официальный сайт: cleantalk.org/help/security-malware-scanner

Страничка на платформе WordPress: wordpress.org/plugins/security-malware-firewall

Многим, кто использует WordPress, название Jetpack покажется знакомым. Может быть даже среди читающих эту статью найдутся те, кто его уже использует или пробовал использовать в прошлом.

Такой популярности есть два объяснения.

Во-первых, у него просто потрясающее количество функций. А во-вторых, он создан ребятами из самой команды WordPress (та самая Automattic).

Конечно, многообразие функциональных возможностей стоит того, чтобы в них разобраться. Тут и модули для повышения скорости работы, и мониторинг, и резервное копирование и миграции… Но главная сила данного плагина — остановить наплыв спама и ботов.

Множество инструментов, включенных в состав плагина, доступны даже и для бесплатного использования. Что будет ещё одним дополнительным плюсом для тех, кто хочет сэкономить или просто не считает нужным покупать что-то сверх необходимости.

К примеру, модуль общей защиты блокирует подозрительную активность и является бесплатным. Базовая функциональность также поддерживает защиту от атак методом перебора паролей и позволяет просматривать активность пользователей.

Что касается защиты от спама, то это лучший вариант для автоматического поиска и удаления нежелательных комментариев. Причем это штука уже «из коробки» работает с WooCommerce и другими подобными площадками для электронной коммерции.

Тарифные планы

Jetpack предлагает свою знаменитую защиту от спама (на базе Akismet) бесплатно. Однако для большинства других функций безопасности требуется подписка.

Можно получать резервные копии сайта примерно за 9 долларов в месяц, но для доступа к таким инструментам, как сканирование вредоносного кода в режиме реального времени и защита форм от нежелательной почты, требуется тарифный план стоимостью под 25 долларов в месяц. Неплохим утешением может стать то, что на Jetpack часто действуют скидки аж до 50%.

Что говорит в пользу Jetpack

Официальный сайт: jetpack.com

Страничка на платформе WordPress: wordpress.org/plugins/jetpack

Astra Security Suite — это универсальный пакет безопасности, с которым не нужно беспокоиться ни о вредоносном коде, ни о SQL-инъекциях, ни о спаме в комментариях, ни о переборе паролей, ни о более чем 100 других видах угроз. То есть можно обойтись установкой одного плагина, который возьмет на себя работу по нейтрализации всех видов опасностей. При этом «суперинтуитивная» приборная панель Astra не перегружена сотней кнопок, которые легко могли бы заставить схватиться за голову.

Как и у предыдущего героя нашего рассказа у Astra самая сильная сторона — защита от спама и ботов. Используемые алгоритмы настолько хитроумные, что могут выявить даже ботов, маскирующихся под поведение поисковых систем. Перехватываются все виды спама: от нежелательных комментариев, до SEO-cпама (от search engine optimization — спам, оказывающий влияние на работу поисковых систем).

Наряду с борьбой со спамом и ботами Astra проводит регулярные проверки сайта, а также помогает восстановить его после взлома (лучше бы вообще не допускать этого, но «надо надеяться на лучшее, а готовиться к худшему»).

Список, охватывающий виды потенциальных атак, с которыми справляется плагин, довольно внушительный: это и прямой перебор паролей, и SQL-инъекции, и использование backdoor’ов WordPress, и SEO-хаки, и хаки монетизации, и многое другое.

Тарифные планы

Плагин не бесплатен. Его можно установить на веб-сайт, но он ничего не будет делать, до тех пор пока не будет оформлена подписка на один из следующих тарифных планов:

Что говорит в пользу Astra Security

Официальный сайт: getastra.com

Страничка на платформе WordPress: wordpress.org/plugins/getastra

Stop Spammers Security — ещё один прекрасный плагин для минимизации спама, причем не только спама в комментариях! Плагин идентифицирует и блокирует спам, приходящий через сторонние плагины, формы, комментарии и другие пути.

Можно настроить определенные механизмы блокировки, в том числе на основе данных геолокации или просто подозрительного поведения.

Идея плагина заключается в создании пользовательской формулы блокировки спама, основанной на конкретных потребностях сайта. То есть, имеется множество различных настроек, и можно определить что блокировать, а что — нет.

Чтобы усилить защиту от спама, Stop Spammers Security объединяет приемы, описанные выше, с мерами безопасности при входе в систему, такими как: разгадывание капчи, включение режима «только для участников» или требование подтверждения пользователем права доступа всякий раз, когда он пытается войти на сайт.

Тарифные планы

Основные функции (такие как: возможность блокировки за подозрительное поведение, спам-слова, спам-комментарии) доступны в бесплатной версии. Платная версия более функциональна, а стоимость начинается с 30 долларов в год за один сайт и растет по мере добавления новых лицензий.

Функции, эксклюзивные для платной версии, включают межсетевой экран на уровне сервера, противодействие входу методом перебора паролей, экспорт журналов, поддержку Contact Form 7 и многое другое.

Что говорит в пользу Stop Spammers Security

Официальный сайт: stopspammers.io

Страничка на платформе WordPress: wordpress.org/plugins/stop-spammer-registrations-plugin

Titan Anti-spam and Security объединяет целый набор инструментов для предотвращения спама (или по крайней мере сокращения его количества). В дополнение предоставляется более-менее стандартное определение типичных угроз безопасности, таких как присутствие вредоносного кода. Плагин проводит регулярные проверки и сообщает всякий раз, когда нечто подозрительное пытается получить доступ к сайту.

Всё это работает совместно с настройками межсетевого экрана, что позволяет уточнить множество дополнительных параметров для блокировок. Интерфейс достаточно прост в том числе для понимания новичками, поскольку разносит функции по отдельным вкладкам, а не сваливает всё на одну страницу, делая её по сложности похожей на пульт управления космическими ракетами.

Таким образом, можно легко управлять любым элементом, будь то межсетевой экран, средство сканирования или журнал ошибок.

Среди всех достоинств данного плагина хочется особенно выделить статистику по борьбе со спамом, которая отображает график всех спам-атак за последнюю неделю. Это помогает понять: работает ли плагин вообще, насколько эффективно он это делает и не стал ли сайт мишенью для спамеров.

Технически можно было бы использовать Titan Anti-spam and Security в качестве одного универсального плагина безопасности. Однако, он хорош прежде всего благодаря своему самообучающемуся механизму защиты от спама. Не надо объяснять насколько важно для серьезного проекта исключить возможность появления нежелательных текстов среди комментариев своих многочисленных пользователей.

Тарифные планы

Бесплатная версия поставляется со стандартной блокировкой спама среди комментариев. Платная версия со всеми своими дополнительными функциями защиты от спама имеет несколько тарифных планов:

Что говорит в пользу Titan

Страничка на платформе WordPress: wordpress.org/plugins/anti-spam

Плагин призван скрыть сам факт использования WordPress. Да, иногда лучше «не нарываться». Если злоумышленники не будут знать, какая используется CMS (content management system — система управления содержимым) или — что ещё хуже для них и лучше для нас — будут обмануты, то их возможности по организации атаки сводятся до исчезающе малых шансов.

Плагин умеет переигрывать такие инструменты определения CMS, как Wappalyzer или BuiltWith.

Hide My WP опирается на систему обнаружения вторжений (IDS, intrusion detection system — на языке специалистов) для предотвращения атак в режиме реального времени. Он также использует доверенную сеть, которая начинает обезвреживать неизвестных злоумышленников уже прямо в момент установки плагина.

Ну, и самое главное — это хороший инструмент для переименования и сокрытия папок плагинов, файлов WordPress, файлов URL-адресов для входа, что делает внутреннее устройство сайта невидимым для интернет-проходимцев.

Тарифные планы

Hide My WP — это платный плагин.

Первоначальный взнос за простую лицензию составит около 30 долларов, что даст 6 месяцев поддержки. Дальнейшая поддержка будет стоить чуть больше 8 долларов за 12 месяцев. Цены, кстати, меняются со временем. Раньше он стоил 24 доллара в качестве первоначального взноса и 17 долларов за 12 дополнительных месяцев (как можно заметить на иллюстрации, декларируется скидка с 19 долларов).

Первоначальный взнос за расширенную лицензию составит чуть меньше 100 долларов и почти 30 долларов за каждые 12 дополнительных месяцев.

Что говорит в пользу Hide My WP

Официальный сайт: codecanyon.net/item/hide-my-wp-amazing-security-plugin-for-wordpress/4177158

Примечание. Как предупреждают авторы плагина: берегитесь похожих по названию решений! Этот плагин продается только на codecanyon.

Как и в предыдущем случае рассматриваемый плагин манипулирует файлами WordPress, чтобы скрыть такие вещи, как: плагины, темы, страницу входа в систему и тому подобное. Это простой и быстрый способ помешать злоумышленнику собрать достаточное количество данных для организации атаки. Или просто скопировать файлы и воспользоваться записанной в них информацией.

Чтобы сделать жизнь немножко проще, плагин WP Hide использует методы перезаписи URL-адресов (которые используются для доступа к файлам) вместо физического переноса файлов и каталогов. Вся эта титаническая для человека работа выполняется автоматически после установки плагина.

Еще одна черта, которая делает этот плагин уникальным, заключается в том, что он скрывает и блокирует файлы WordPress по умолчанию — вместо того, чтобы просто менять слаги, оставляя эти файлы по-прежнему доступными для хакеров.

(Прим. «Слаг» — это часть URL-адреса, которая однозначно идентифицирует страницу относительно доменного имени и легко читается не только роботами, но и человеком.

Например, в адресе «https://www.example.com/one-two», «one-two» — это слаг.)

Наконец, разработчики позаботились о том, чтобы исключить потенциально негативное влияние других плагинов, установленных тем или же основных файлов — всего, что может сказаться на работоспособности сайта.

Всё это делает данный плагин одним из лучших в сокрытии URL-адресов WordPress, учетных данных, настроек и тому подобных вещей.

Тарифные планы

Бесплатная версия работает с блокировкой файлов, перезаписью URL-адресов и даже пользовательской функцией URL-адреса входа. Разработчики заявляют, что «у простых сайтов на WordPress не должно быть проблем с бесплатной версией».

Платная версия становится актуальной, если задействованы сложные плагины, темы, а также если используется другой сервер нежели IIS или Apache.

Всегда можно перейти с бесплатной версии на платную, для чего предусмотрены следующие тарифы:

Как не сложно догадаться из названий, стоимость лицензии будет зависеть от количества обслуживаемых сайтов.

Страничка на платформе WordPress: wordpress.org/plugins/wp-hide-security-enhancer

Главная и основная функция WP fail2ban — защита от перебора паролей. Выше встречалось множество плагинов со встроенной защитой против этой атаки. Однако данный плагин использует необычный подход.

Все попытки входа в систему — независимо от их характера или успешности — документируются в журнале syslog с использованием LOG_AUTH. И в отличии от более традиционного подхода, заключающегося лишь в выборе «блокировать пользователя или нет», данный плагин предоставляет несколько больше вариантов действий: пользователя можно подвергнуть «жесткой» блокировке (немедленной), «мягкой» (незаметной для блокируемого) или «экстра» блокировке (настраиваемой особенным образом).

Установка и подготовка к работе предельно простая. Всё что нужно сделать — это установить плагин и не мешать ему работать.

Авторы добавляют всё новые и новые функции в дополнение к защите от атак методом перебора паролей. Все здесь перечислять смысла нет. Из уникального это: фильтрация попыток входа с пустыми именами пользователей и инструмент настройки для Cloudflare.

Да, плагин когда-то был очень простым. И все отзывы сводились к «работает безупречно». Однако, по мере добавления возможностей и увеличения сложности, всё чаще встречаются отзывы тех, у кого «что-то пошло не так». Надо сказать, что немногочисленное недовольство не связано с вопросами безопасности — здесь не удалось найти нареканий.

Тарифные планы

Раньше был бесплатным. Теперь есть и платная и бесплатная версии. Дается 2-х недельный период для пробного использования.

Что говорит в пользу fail2ban

Страничка на платформе WordPress: wordpress.org/plugins/wp-fail2ban

Устанавливать плагины, несущие одну возможность не всегда оправдано. Это связано с тем, что можно взять такой комбайн, как iThemes Security Pro, и получить любую функциональность, наряду с десятками других.

Однако двухфакторная аутентификация — это совсем другая история, так как не так уж много плагинов, способных её предложить несмотря на то, что радикально повышается безопасность входа. Поэтому она так часто встречается на сайтах банков и платежных систем.

Плагин Google Authenticator от miniOrange добавляет ещё один уровень безопасности к модулю входа. Учитывая, что большинство попыток взлома происходит на странице входа на сайт, такое усиление безопасности нельзя посчитать излишним.

В дополнение к обычному паролю плагин отправит push-уведомление на телефон или задействует какую-либо другую форму аутентификации, например, использующую QR-код или секретный вопрос.

Подверженность сайта проникновениям уменьшается на порядок, поскольку практически невероятно, чтобы злоумышленник получил доступ к ещё и другим устройствам, таким как смартфон.

Разным группам можно задавать разный уровень сложности аутентификации. Например, администраторам сайта жизнь можно и не усложнять, учитывая их общую грамотность в вопросах безопасности. А вот для рядового пользователя, забывающего свой e-mail, не говоря уже о паролях вида «123», подобная дополнительная проверка будет не лишней.

Тарифные планы

Главный инструмент — двухфакторная аутентификация — доступен и на бесплатном тарифе.

Более продвинутые функции и предложения, такие как: неограниченное количество сайтов и пользователей, дополнительные методы аутентификации, методы резервного входа в систему и вход без пароля — требуют подписки на один из следующих тарифов:

Что говорит в пользу этого плагина

Официальный сайт: miniorange.com

Страничка на платформе WordPress: wordpress.org/plugins/miniorange-2-factor-authentication

Раньше был ещё один очень популярный плагин — WP Cerber Security. Чего там только не было?! И анти-спам, и сканирование вредоносного кода, и защита страницы входа (почему он и должен был оказаться в этом разделе).

Хотя почему «был»? Может ещё и будет! Но сейчас на его странице можно увидеть следующее:

Может возникнуть резонный вопрос: «А зачем писать о плагине, который нельзя использовать?»

Это прекрасный пример, который заставит задуматься об уровне доверия ко всем сторонним плагинам, в том числе, рассматриваемым в этой статье.

Да, высокая популярность программного продукта с точки зрения разработки означает миллионы тестов в разных условиях, разных средах, системными администраторами разного уровня подготовки. Что, в свою очередь, лучше всего прочего может обосновать допустимость его применения.

Поэтому собранные в этом обзоре плагины вполне можно считать достойными и безопасными для использования. Они вообще лучшие из имеющихся!

Но, как видно на этом примере, никогда нельзя математически стопроцентно полагаться на программное обеспечение. Это справедливо для любого ПО, а не только для плагинов WordPress.

А в критических и жизненно важных ситуациях — как например, в инженерном оснащении пилотируемой ракеты-носителя — происходит дублирование систем безопасности и выстраивание параллельно работающих систем контроля и защиты.

Этот подход можно взять на вооружение и веб-мастерам и системным администраторам. Поэтому, в том числе, в обзор включены плагины с пересекающейся функциональностью.

Что говорит в пользу WP Cerber Security

Если плагин оживет и все вопросы безопасности будут благополучно разрешены разработчиками, это будет означать, что он создан и поддерживается ответственной и высокопрофессиональной командой.

Официальный сайт: wpcerber.com/wp-cerber-security-9-3

Страничка на платформе WordPress: wordpress.org/plugins/wp-cerber

С техническими подробностями инцидента можно ознакомиться по ссылке: nvd.nist.gov/vuln/detail/CVE-2022-2939

И снова мы встречаемся с командой Automattic, создателями универсального плагина Jetpack (он номер 11 в нашем рассказе). Только здесь мы имеем дело не со «швейцарским ножом» на все случаи, а с отдельным инструментом, специально предназначенным именно для резервного копирования данных.

Работа Jetpack VaultPress основана на технологиях WordPress.com (А мы помним, что авторы плагинов серии Jetpack входят в команду разработчиков самого WordPress.) Такое взаимодействие подразумевает использование инфраструктуры высочайшего уровня, что является гарантией безопасной и безотказной работы. (При этом не забываем случай из предыдущего примера.)

Резервное копирование хоста может отнять много времени и усилий, и упрощение тяжелой рутины с помощью такого надежного помощника — отличный способ снять с себя ещё одну головную боль.

Поскольку любой сайт электронной коммерции немыслим без использования технологий резервного копирования по понятным причинам — потеря финансовых данных по операциям с клиентами, помимо убытков, приведет к краху репутации — авторы плагина при разработке решили идти по пути полной совместимости с WooCommerce.

Тарифные планы

Для использования плагина нужно иметь действующую подписку на тарифный план Jetpack, включающий услуги по резервному копированию. Выше мы уже отмечали, что это будет стоить около 10 долларов в месяц.

Что говорит в пользу VaultPress

Страничка на платформе WordPress: wordpress.org/plugins/jetpack-backup

Примечание. Если будете попадать через поисковую систему, не спутайте со старой страничкой предыдущей версии, которая по прежнему поддерживается разработчиками, но регистрация новых пользователей не доступна.

Миссия Shield Security заключается в том, чтобы «ни один веб–сайт не остался без внимания», причем для каждого сайта, независимо от инвестиционных возможностей владельцев, должна быть доступна «безопасность профессионального уровня».

Для достижения этой цели авторы включили в бесплатную версию потрясающее количество возможностей.

Разработчики Shield Security считают, что надо сделать всё для того, чтобы не пришлось восстанавливать сайт после атаки. Для этого плагин начнет блокировать «посетителя» как только заметит, что тот исследует сайт в поисках уязвимостей.

Ключевой используемый подход состоит в том, чтобы снять с владельцев сайта все заботы по обеспечению его бесперебойной работы. Что включает в себя том числе и автоматически принимаемые меры при обнаружении проникновения или краха.

Плагин подходит как для начинающих, так и для опытных пользователей. Работа начинается сразу же с момента активации плагина. Все опции полностью задокументированы.

Тарифные планы

Ядро Shield Security предоставляется бесплатно. Заявляется что так будет всегда.

Специалисты нуждаются в дополнительных возможностях, а коммерческие предприятия в круглосуточной поддержке. И то и другое можно получить по платной подписке: - Shield Pro: 12 долларов в месяц; - Shield Pro Agency: 60 долларов в месяц; - Shield Customer Support: дополнительные 60 долларов в год.

Что говорит в пользу Shield Security

Страничка на платформе WordPress: wordpress.org/plugins/wp-simple-firewall

Основные функции направлены на противодействия таким угрозам, как: backdoor-скрипты, SQL-инъекции, уязвимости странички входа и тому подобное. Немаловажная функция — восстановление сайта после повреждения файлов.

И вновь (как и в предыдущем примере) всё происходит само-собой, без привлечения человека.

Это относительно простой для использования плагин, многие действия совершаются «в один клик».

Тарифные планы

Бесплатная версия включает в себя: сканирование сайта на предмет обнаружения вредоносного кода, меры против использования известных уязвимостей и межсетевой экран.

Самые полезные функции доступны в платной версии: это контроль целостности файлов и противодействие DDoS-атакам. Платная версия доступна за необязательное пожертвование разработчику.

Что говорит в пользу данного плагина

Страничка на платформе WordPress: wordpress.org/plugins/gotmls

WP Activity Log журналирует все процессы на сайте, что позволяет проанализировать поведение пользователей и выявить тех, кто пришел на сайт не для того, чтобы им воспользоваться по прямому назначению.

Всё протоколирование происходит в режиме реального времени, что позволяет немедленно реагировать на появляющиеся угрозы.

Данных для анализа хватит: теги, категории, виджеты, профили, всевозможные изменения, публикации, комментарии… И это если не перечислять более технические элементы: метаданные, заголовки, URL-адреса…

Если у вас команда: кто-то занимается администрированием, кто-то работает с контентом, модераторы следят за порядком… — вся деятельность будет отражена в журнале, а это несомненное подспорье в деле контроля трудовой активности. И всегда ясно что и кем сделано.

Тарифные планы

Бесплатная версия будет только журналировать. И всё.

Все остальные возможности, такие как поиск и уведомления доступны только на платных версиях.

В чем разница? Авторы создали великолепнейшую сравнительную таблицу: wpactivitylog.com/pricing

Что говорит в пользу WP Activity Log

Официальный сайт: wpwhitesecurity.com/wordpress-plugins/wp-activity-log

Страничка на платформе WordPress: wordpress.org/plugins/wp-security-audit-log

SSL (secure sockets layer — уровень защиты соединений) обеспечивает секретность онлайн соединений и сокрытие передаваемых данных от посторонних глаз. Без использования подобных средств шифрования нет смысла даже начинать разговор про защиту личных данных, противодействие хакерам или задумываться о ведении электронной коммерции.

Плагин действительно прост в использовании. Он самостоятельно выполнит все необходимые настройки для полноценного использования SSL. Это основа. А в дополнение предлагаются дополнительные меры для улучшения защищенности сайта, в том числе посредством использования их специального сервера.

Использование SSL потребует поддержки данной возможности на стороне хостинг-провайдера. Там где плагин не сможет сделать всё сам, он выдаст подробные инструкции (какие-то минимальные технические знания всё же потребуются).

Если действующего SSL-сертификата нет, то плагин может создать его (будет задействован Let’s Encrypt).

Что также существенно, плагин возьмет на себя всю заботу по решению типичных проблем при использовании балансировщика нагрузки, прокси-сервера или неверной обработки заголовков. Все внутренние URL-адреса сайта автоматически будут перенастроены на использование протокола HTTPS.

Тарифные планы

Весь базовый функционал, необходимый для работы с SSL, полностью бесплатен. Платные версии добавляют такие возможности, как: списки предварительной загрузки, средства исправления смешанного контента (когда часть ссылок использует безопасный протокол, часть — нет) и заголовки безопасности.

Что говорит в пользу Really Simple SSL

Страничка на платформе WordPress: https://wordpress.org/plugins/really-simple-ssl/

Теперь, когда мы кратко рассмотрели имеющиеся плагины из числа лучших и проверенных временем, а также коснулись их потенциальных возможностей, не лишним будет подвести некоторый итог и собрать разрозненные кусочки информации в целостную картину. Итак.

Для комплексной безопасности:

Для поиска вредоносного кода, вирусов и блокировки подозрительных IP-адресов:

Для борьбы со спамом и ботами:

Для защиты входа в систему:

Для резервного копирования:

Для предотвращения взлома:

Для ведения журналов безопасности:

Для работы с SSL:

Следует так же иметь ввиду, что рассмотренные функции частично могут предоставляться и хостинговой площадкой.

Существующих плагинов для WordPress — несметное количество, и невозможно охватить все из них. Мы отобрали самые популярные и активно поддерживаемые разработчиками. Если есть что-то, что, по вашему мнению, должно быть включено в этот список, напишите, пожалуйста, в комментариях.

Если вы занимаетесь электронной коммерцией, то ваши страхи не ограничатся защитой сайта от прямых угроз. Скликивание рекламы становится настоящим бичом сетевого предпринимательства. Особенную опасность скликивание представляет для малого и среднего бизнеса, когда бюджет жестко ограничен и рекламная кампания, пусть даже и маленькая по своему масштабу, зачастую финансируется на последние деньги.

Ведь идея этой подборки родилась как раз таки во время атаки, которую устроили злопыхатели после выхода нашей очередной популярной статьи про парсинг. Парсинг, или иначе сбор открытых данных — ещё одно наше направление деятельности, нацеленное на помощь бизнесу.

И так каждый раз. Интересно, что они придумают сегодня?

Где можно почитать больше информации? Я регулярно пишу в Телеграмм наш опыт. Подписывайтесь, если хотите посмотреть на «изнанку» ИТ бизнеса в России или пишите мне с вопросами @maximkulgin.