Меня зовут Максим Кульгин, и моя компания clickfraud занимается защитой от скликивания рекламы в «Яндекс.Директ». Каждый раз, когда мы публикуем статью, и если она вдруг становится более-менее популярной, начинается атаки на наши сайты. Атаки не профессиональные, бессмысленные, но неприятные и мы, на основе опыта, подготовили очень большое руководство для самостоятельно защиты.

upd. от 17.12 - наши сайты снова мучают. Сотня тысяч заявок на сброс пароля WordPress, которые забивают почтовые ящики и почтовый сервер. И где у нас нет рекапчи - сотня тысяч заявок из формы обратной связи.... Автор этого дерьма - скажи, зачем? У нас не банк, не крипта - ЗАЧЕМ? Ты недавно стал половозрелым и хвастаешься соседям по парте в школе? В чем сакральный смысл действий? Если мы платили за тариф по пакету писем, понесли бы финансовый ущерб (у нас свой hmailserver).

Недавно вышло наше последняя статья на этом ресурсе «Самостоятельный парсинг ваших конкурентов», и посмотрите что происходило на сайте - пришло 80 000+ (!) заявок в форму обратной связи. Наш почтовый сервер просто "впал в кому" и обычная почта перестала ходить, т.к. образовалась огромная очередь. "Плохие парни" обошли reCapcha v3 и только включение reCapcha v2, где нужно находить мотоциклы, горы и пальмы, сгладило ситуацию.

Нам было не очень сильно страшно :), хотя понервничали изрядно. Мы профессионально занимаемся не только парсингом, но и защитой от скликивания, и наши специалисты в итоге справились с проблемой (до этого был бессмысленный и беспощадный DDOS...). А что в подобном случае делать предпринимателям малого и среднего бизнеса, у которых сайт — главный источник дохода — собран зачастую самостоятельно из «кусочков» WordPress и хостится где-то «там»?

Передаю слово специалисту (простите за плохое форматирование, статья большая, редактор стал жутко тормозить):

В чем суть прошедшей DDoS? На каждый запрос пользователя запускается отдельный процесс интерпретатора скриптов PHP, который запускал по очереди файлы WP, плагинов, выполнял запросы к БД, делал какие-то вычисления. Число отдельных процессов конечно - это основная проблема. Нельзя запустить их очень много (т.е. обработать одновременно много заходов пользователей), потому что они начинают конкурировать между собой за ресурсы процессора и все вычисления, связанные с показом страницы для отдельного пользователя, начинают занимать десятки, а то и сотни секунд. Нельзя запустить их очень мало - тогда входящие запросы от посетителей начнут становиться в очередь, что также вызовет долгий отклик сайта с точки зрения пользователя.

Есть два способа отсечь DDoS атаку:

1. Фильтровать запросы до того, как они уйдут на сайт, т.е. избегать множества запущенных процессов сайта.

2. Сделать так, чтобы сайт успевал быстро отдать кому угодно свои страницы - не важно, боту или реальному посетителю. Я все выходные работал над обоими вопросами. Когда у нас была DDoS, в какой-то момент этот человек начал делать 4 вещи (перечисляю их скопом, не в хронологическом порядке):

3. Открыл браузер и вручную стал отсылать запросы в форму обратной связи. Может, использовал какое-то средство автоматизации, но это было и для него явно сложно, ибо частота отправки в Gravity Forms была сильно ниже, чем в Contact Form.

4. С помощью StormCrawler начал обходить все страницы сайта, чтобы его нагрузить (вызвать множество процессов).

5. Начал запрашивать страницу /blog/, которая, ввиду того, что у нас тысячи постов в базе, нагружала процессор сервера.

6. Начал запрашивать главную страницу сайта. В Фактически из 24 ядер было нагружено 3 только для нужд clickfraud.ru, а это очень много и негативно влияло на все остальные операции.

   Что я сделал:

7. Тут Максим помог, добавив рекапчу. Какое-то время злоумышленник вообще не мог ничего отправлять. Потом, когда я переключил на рекапчу v3, все же процесс спама пошел, но медленно. Но на v2 я не мог переключить, т.к. GF ломал встроенную защиту сервера от ботов, переписывая куки в сессии пользователя.

8. Тупо вписал в скрипт functions.php шаблона сайта, что как только зайдет пользователь с UserAgent, содержащим "StormCrawler", отправлять IP в список блокировки файрволла. Т.е. такие боты могли только один раз зайти на сайт, затем файрволл отсекал их даже до подхода к другому ПО сервера, на уровне операционной системы.

9. Когда он пытался нагрузить запросами типа POST страницу /blog/, я добавил правило отправки IP в файрволл по этому признаку. Человек POST в /blog/ не может отправить. В воскресенье этот человек догадался сменить POST на обычный GET и подключил новый пул IP адресов. Так как я ранее изучал посещаемость отдельных страниц clickfraud.ru, я знал, что люди редко заходят в раздел /blog/, чаще сразу с главной попадают на посты или из поисковых систем. Так что я на 5 минут добавил правило банить всех, кто заходит в /blog/. Атакующий спустя некоторое время сменил пул IP адресов. Я увидел нагрузку, снова включил правило. И так несколько раз. В итоге IP у него, видимо, закончились и это, судя по всему, вызвало у него истерику.

А вот с главной страницей все сложно. Нельзя банить тех, кто отсылает какие бы то ни было запросы на главную страницу - POST, GET, не важно. Я начал искать способ сделать так, чтобы главная страница открывалась так быстро и не напряжно для сервера, чтобы и посетители были довольны, и боты подавились. Обнаружил, что WP плагин для ПО OpenLiteSpeed, который управляет модулем кеширования на серверном уровне, научился многим трюкам.

Самое главное для меня было то, что ему можно указать HTML класс объекта на странице и он его подгрузит позже - когда в браузере проскроллят до него. Я добавил в список объект .wpdt-c - это как раз таблички. Проблема показа табличек wpDataTables не только в том, что они запрашивают много инфы (я, кстати, пробежался по SQL запросам и добавил парочку индексов, которые не догадался добавить давным-давно, что ускорило работу с SQL базой сайта), но и то, что для показа контекта wpDatatables вызывает сначала скрипт wp-ajax.php, который в свою очередь запрашивает табличку и подгружает на странице. Без оптимизации получалось, что процессов PHP для показа главной запускалось два: один для показа страницы, другой для подгрузки через AJAX содержимого таблицы.

После смены плагина кеширования запускался только один процесс, и то гостям подставляется статическая страничка, а второй скрипт запускается только при фактическом скролле до таблички. И вот тут возникает затык, который вы сейчас видите: табличка подгружается не всегда. А всё потому, что сайт перегружен несовместимыми плагинами, которые ломают JavaScript события, отвечающие за отслеживание действий пользователя, а также за работу невидимой рекапчи и некоторых других незначительных анимаций.

Мешают следующие плагины:

1. Gravity Forms - он некорректно инициализирует рекапчу, стирая часть кук, а также ломает очередность загрузки скриптов, из-за чего плагин кеширования не может оптимизировать JavaScript код на страницах сайта. На что менять - не знаю, плагинов обратной связи ну очень много, их раздолье.

2. Google Analytics для WordPress от MonsterInsights - этот плагин подгружает аналитику, но делает через одно место. Кстати, авторы этого плагина перекупили другой плагин и внедрили новые функции вопреки пользовательскому соглашению старого плагина, я по этому вопросу спорил с представителем Automattic, которые занимаются WP и каталогом, меня тогда вежливо послали, сказав, что это норма. Можно заменить, просто вписав JS код аналитики в настройки шаблона.

3. Notibar - WordPress Notification Bar - он ломает верстку шаблона, добавляя полосу сверху, из-за чего сбивается много чего на страничках, что имеет отношение к отслеживанию прокрутки до элемента и порядку показа анимаций. Нужно заменить на что-то другое, например в самом UX Builder шаблона добавить строчку и кнопку, а я пропишу скрипт показа только 1 раз, например, и повешу на кнопку скрытие. В целом, такие плагины работают не всегда корректно, и для нашего сайта нет оптимального варианта.

4. Сам шаблон, а точнее компонент встроенного конструктора UX Builder под названием Banner, внутри которого расположен, например, первый блок с текстом и иконками, который появляется при открытии страницы. Он срабатывает как раз при прокрутке до элемента. Так как мы его видим сразу после открытия сайта, он и срабатывает. Увы, не знаю почему, это работает не так, как нужно, из-за чего опять-таки не всё, что ниже баннера, не может "лениво подгружаться" во время прокрутки. Нужно заменить его на обычный блок. У меня ноутбук не тянет редактор UX Builder, я не могу сам переверстать страницы, перетащив в обычный компонент Row содержимое баннера. Помогите, пожалуйста, с этим.

Размышляя в таком русле, мы поняли, что для самостоятельно администрирующих свои сайты предпринимателей надо собрать и систематизировать список уже готовых и простых решений, которые если и не наверняка, то в значительной степени усилят безопасность веб-сайта, собранного на WordPress (в конце статьи есть мои контакты в Телеграм, можно написать, если останутся вопросы или потребуются уточнения, плюс в этом канале я писал довольно подробно, как происходила атака и наша реакция на нее).

Защита сайта - это как установка сигнализации на машину. Или оформление КАСКО. Потребуются некоторые затраты времени, может быть, денег. Зато выяснится, что по ночам, оказывается, могут сниться спокойные и счастливые сны, а не только кошмары :)

Взломы, вредоносное ПО, проникновения через уязвимости, спам — это лишь некоторые из угроз «на слуху». Существует огромная индустрия «в тени», и поверьте, никогда не уменьшится количество желающих попользоваться вашим сервером, заполучить данные о посетителях и клиентах или, в конце концов, просто вывести из строя ваш бизнес (как вот прям сейчас пытаются сделать с нами).

Кому-то на первый взгляд может показаться, что речь идет о риске временных финансовых потерь. Всё намного опаснее. Это покушение на доверие клиентов, которое есть основа дохода и благополучия в будущем.

Большинство полезных плагинов стоят денег (мы поговорим об этом ниже). Некоторые бесплатны. Есть такие, которые хоть и платные, но ими можно пользоваться бесплатно, смирившись с некоторой ограниченной функциональностью. У нас, кстати, есть опыт покупки с помощью карты BSB Банка Белоруссии - работает.

Важно понять не сколько стоит тот или иной плагин, а что он делает. А цены на хорошие инструменты имеет смысл сравнивать с потенциальным ущербом (уменьшенным с учетом вероятности, конечно), который случится если их не использовать.

В ядре WordPress изначально уже предусмотрены некоторые меры безопасности. Но это всё стандартные решения, а они достаточно просты и хорошо известны злоумышленникам. Поэтому задача — дополнить стандартный арсенал уникальными плагинами и многократно усилить безопасность. Некоторые из них имеют вообще сногсшибательные возможности.

Функционал многих плагинов пересекается в той или иной степени, и стоило немало трудов рассортировать их по категориям для удобства. Получились следующие разделы:

• Всесторонняя защита и мониторинг

• Обнаружение вирусов, зловредного кода, подозрительных IP-адресов

• Борьба со спамом и ботами

• Обман злоумышленников

• Защита процессов аутентификации

• Резервное копирование

• Противодействие взлому

• Ведение журнала активности

• Использование SSL

Чтобы было проще воспринимать расценки, мы округлили «маркетинговые» цены до «просто понятных». Например, «19,99» мы округляем до «20», вместо «199» пишем «200». Правда, получается завышение где-то от цента до доллара, зато суть улавливается без дополнительных умственных калькуляций.

В конце каждого описания будет ссылка на официальный сайт и/или страничку на платформе WordPress.

При составлении обзора не обошлось без неожиданностей и философских размышлений. Впрочем, обо всем по порядку.

Итак…

Всесторонняя защита и мониторинг

1. Sucuri Security

Разработчики включили в плагин аудит, сканер вредоносных программ и множество общих мер по улучшению безопасности. Предлагаются как платные версии, так и бесплатная. Для большинства случаев вполне хватит и бесплатной. К примеру, не каждому нужен межсетевой экран, предоставляемый на платном тарифном плане.

В число бесплатных функций входит и модуль аудита безопасности, который поможет оценить насколько хорошо задействованы возможности плагина по защите. Он включает в себя: мониторинг целостности файлов, поддержку черного списка, уведомления о проблемах безопасности и рекомендации по её улучшению.

Платная подписка, в дополнение, позволяет подключиться к их специальным информационным каналам, созданным для обслуживания и поддержки клиентов, а также дает возможность проводить более частые проверки (например, выполнять сканирование каждые 12 часов).

Тарифные планы

• FREE;

• Basic Firewall: 10 долларов в месяц;

• Pro Firewall: 20 долларов в месяц;

• Basic Platform: сканирование, межсетевой экран и CDN (content delivery network — географически распределенная сеть прокси-серверов): 200 долларов в месяц;

• Pro Platform: 300 долларов в месяц;

• Business Platform: 500 долларов в месяц.

Все платные тарифы дают 30-дневную гарантию возврата денег, если что-то не понравится.

Что говорит в пользу Sucuri Security

• предлагается множество вариантов SSL-сертификатов;

• круглосуточный чат по обслуживанию клиентов, поддержка по электронной почте и специальной системе обработки заявок;

• мгновенное уведомление, если на сайте что-то не так;

• расширенная защита от DDoS-атак (доступна не на всех тарифных планах);

• достаточно впечатляющий функционал на бесплатном тарифе: мониторинг списков блокировок, сканирование вредоносных программ, контроль целостности файлов, советы по улучшению безопасности;

• на тарифном плане Pro Platform и выше предоставляются отчеты после восстановления системы, SLA для настройки оборудования (service-level agreement — соглашение по обслуживанию на стороне сервиса), мониторинг списка блокировок, исправление взломов и многое другого.

Официальный сайт: sucuri.net

Страничка на платформе WordPress: wordpress.org/plugins/sucuri-scanner

2. iThemes Security

Плагин безопасности iThemes Security (ранее известный как Better WP Security) имеет на вооружении более чем 30 приемов для предотвращения таких «неприятностей», как взломы и проникновения.

Особое внимание уделяется распознаванию уязвимостей в сторонних плагинах и устаревшем программном обеспечении, применяемости слабых паролей, отслеживании состояния сайта — всё это делает iThemes универсальным плагином безопасности для работы на WordPress.

Хотя бесплатная версия и обладает некоторым базовым функционалом, здесь всё-таки лучше сразу настраиваться хотя бы на минимальную платную подписку: она даст поддержку по заявкам, круглогодичное обновление плагинов и поддержку до двух веб-сайтов. Для обслуживания большего количества сайтов потребуется более дорогой тарифный план.

Что касается основных функций в платных версиях, то предлагается надежное хранение паролей, блокировка нежелательных пользователей, резервное копирование данных, двухфакторная аутентификация.

Нет смысла здесь описывать все тридцать подходов которые iThemes может использовать для защиты, тем более на разных тарифных планах список возможностей будет разным. В любом случае такое богатство и разнообразие возможностей потребует тщательного ознакомления.

Цены начинаются со 100 долларов в год, и будут зависеть от числа поддерживаемых сайтов. Как и в предыдущем случае имеется пробный 30-дневный период использования с гарантией возврата средств.

Тарифные планы

• Basic: 100 долларов в год за 1 сайт;

• Plus: 200 долларов в год за 5 сайтов;

• Agency: 300 долларов в год за 10 сайтов.

Что говорит в пользу iThemes Security

• обнаружение изменений файлов, что жизненно важно, поскольку большинство веб-администраторов и не замечают, когда это происходит;

• дополнительный уровень защиты для страницы с использованием интеграции Google reCAPTCHA и двухфакторной аутентификации;

• сравнение локальных файлов WordPress с соответствующей официальной версией WordPress, чтобы понять, есть ли какие-либо подозрительные изменения;

• добавление дополнительного уровня сложности к ключам аутентификации;

• на крайний случай, мгновенная блокировка административной панели у всех пользователей;

• множество повседневно необходимых функций, таких как: обнаружение ошибок 404, защита от прямого перебора, понуждение пользователя к придумыванию надежного пароля;

• блокировка пользователей, предпринимающих перебор паролей;

• частичное резервное копирование веб-сайта и принудительное использование SSL.

Официальный сайт: ithemes.com

Страничка на платформе WordPress: wordpress.org/plugins/better-wp-security

3. Wordfence Security (наш любимый, но замедляет сайты ощутимо)

Wordfence Security — один из самых популярных плагинов безопасности WordPress и на то есть веская причина. Авторам удалось добиться успеха в сочетании простоты настройки с мощными возможностями защиты. Продуманный и безопасный алгоритм входа в систему, средства восстановления после инцидентов безопасности — это уже не так просто. А одно из главных преимуществ Wordfence в том, что с легкостью можно получить представление об общих тенденциях трафика и попытках взлома.

Поскольку очень много функционала доступно и без оформления подписки, то можно сказать, что Wordfence — одно из наиболее впечатляющих бесплатных решений для обеспечения безопасности, включающее в себя всё: от межсетевого экрана до защиты от атак методом прямого перебора.

Тарифные планы

Предусмотрено две версии: бесплатная и платная. Платная начинается со 100 долларов в год за один сайт.

Создатели плагина стараются удешевить его для разработчиков, предоставляя большие скидки при использовании на нескольких сайтах. Например, купив более 15 лицензий, можно получить скидку 25% (получается 75 долларов в год за один сайт).

Интересный вариант получается для фрилансеров: убедить заказчика в необходимости серьезности подхода к защите, предложить скидку, которую тот бы так просто не получил и, таким образом, выделиться на фоне конкурентов. Конечно, вариант не для всех случаев, а только если заказчик захочет платить ещё и за безопасность.

Структура скидок выглядит так:

• лицензия на 1 сайт: 100 долларов в год;

• лицензии на 2-4 сайта: 90 долларов в год (скидка 10%);

• лицензии на 5-9 сайтов: 85 долларов в год (скидка 15%);

• лицензии на 10-14 сайтов: 80 долларов в год (скидка 20%);

• лицензии на 15 сайтов и более: 75 долларов в год (скидка 25%).

Что говорит в пользу WordFence Security

• очень «продвинутая» бесплатная версия;

• большая экономия для разработчиков сайтов;

• полнофункциональный межсетевой экран с возможностью ручной блокировки и блокировки по отдельным странам, защита от перебора, защита от угроз в реальном времени;

• сканирующая часть плагина противодействует вредоносным программам, спаму и прочим типичным угрозам;

• поддерживается проверка файлов на внедрения, причем не только файлов WordPress;

• отслеживание трафика, наблюдение за посетителями-людьми и посетителями-ботами (отличая их от ботов поисковых систем), регистрация входов и выходов из системы;

• доступ к некоторым уникальным инструментам, таким как подтверждение входа в систему с использованием мобильного телефона и аудит веб-сайта;

• фильтр спама в комментариях устраняет необходимость установки отдельного плагина;

• наблюдение за безопасностью установленных плагинов: обновляются ли, не заброшены ли авторами, не были ли они удалены из репозитория плагинов WordPress (обычно из-за того, что небезопасны или взломаны).

Официальный сайт: wordfence.com

Страничка на платформе WordPress: wordpress.org/plugins/wordfence

4. All-In-One Security (AIOS)

Ещё один из самых многофункциональных бесплатных плагинов, который имеет интуитивно понятный интерфейс и даже поддержку клиентов.

Очень хорош для начинающих тем, что помимо хорошей визуализации, отражающей показатели в виде графиков, объясняет «что и как» следует сделать для улучшения невосприимчивости сайта к атакам.

Функции разбиты на три категории: Basic, Intermediate и Advanced, и плагин будет удобно использовать не только новичкам, но и профессиональным разработчикам — они не будут чувствовать себя стесненными в возможностях настройки.

В своей работе плагин в основном защищает учетные записи пользователей, файлы и базы данных, блокирует попытки незаконного входа в систему и повышает безопасность при регистрации новых пользователей.

Тарифные планы

Бесплатен!

Что говорит в пользу All-In-One Security

• богатый функционал, собранный в одном плагине;

• хороший инструмент управления блокировками, с помощью которого легко настроить конкретные требования против нежелательных пользователей;

• резервное копирование и восстановление файлов .htaccess и .wp-config;

• хорошая визуализация с помощью графиков: один показывает насколько защищен сайт, другой отражает проблемные области;

• кнопка экстренной блокировки на случай неконтролируемых ситуаций;

• есть возможность не допустить отображение содержимого на других сайтах, использующих для этого фреймы;

• можно скрывать часть информации на сайте от ботов и злоумышленников;

• плагин является бесплатным без каких-либо ухищрений и неожиданностей.

Страничка на платформе WordPress: wordpress.org/plugins/all-in-one-wp-security-and-firewall

5. BulletProof Security

Плагин активно разрабатывается, обновляется и, похоже, содержит больше функций, чем большинство конкурирующих решений: «карантин», оповещения по электронной почте, защита от спама, автоматическое восстановление и многое другое.

Может использоваться как универсальный плагин безопасности WordPress, особенно учитывая, что он осуществляет резервное копирование данных и управляет безопасностью входа в систему.

Прежде чем решиться на платную версию, можно сначала попробовать бесплатный вариант, который включает в себя следующие инструменты:

• безопасный вход в систему и мониторинг;

• резервное копирование и восстановление базы данных;

• MScan Malware Scanner;

• инструменты для защиты от спама и проникновения;

• журнал безопасности;

• сокрытие папок плагинов;

• режим технического обслуживания;

• мастер настройки;

Этот плагин нельзя назвать самым удобным для начинающих. Но он хорошо подойдет продвинутым разработчикам, которые захотят воспользоваться уникальными настройками и функциями, такими как защита от эксплойтов и блокировка FTP. Помимо этого, есть мастер автоматической настройки, который сделает этот нелегкий процесс несколько проще.

Тарифные планы

Есть две версии: платная и бесплатная. Платная предусматривает однократный платеж в 70 долларов и предусматривает всё тот же 30-дневный срок для возврата денег.

Что говорит в пользу BulletProof Security

• несколько уникальных инструментов: BPS Pro ARQ (определение проникновения), ARQ IDPS (система предотвращения угроз), запланированные проверки cURL, блокировка директорий и многое другое;

• бесплатная версия содержит достаточно функций для обычного сайта;

• резервное копирование данных есть даже в бесплатной версии;

• сокрытие каталогов с плагинами;

• режим технического обслуживания — не часто встречается как встроенная в плагин функциональность;

• система журналирования ошибок HTTP и инцидентов безопасности помогает отслеживать уязвимости;

• заставляет придумывать надежные пароли;

• напоминания о доступных обновлениях.

Официальный сайт: ait-pro.com

Страничка на платформе WordPress: wordpress.org/plugins/bulletproof-security

Обнаружение вирусов, зловредного кода, подозрительных IP-адресов

6. SecuPress

Это довольно универсальный плагин, но мы будем рассматривать прежде всего его возможности по предотвращению угроз, вызванных вирусами и вредоносным ПО. Плагин разработан Джулио Потье, автором WP Rocket и Imagify, одним из первых соучредителей WP Media.

В число несомненных достоинств можно отнести очень продуманный пользовательский интерфейс, который делает работу простой и понятной.

Бесплатная версия имеет защиту от перебора паролей, блокировку IP-адресов, межсетевой экран, блокировку ботов (за что часто хотят денег в других плагинах безопасности), а сканирование ПО позволяет предпринять меры ещё до того, как вредоносный код проявит себя.

Платная версия включает в себя ещё больше возможностей: оповещения и уведомления, двухфакторную аутентификацию, блокировку IP-адреса на основе геолокации, специализированное сканирование PHP-скриптов и формирование отчетов в PDF.

Тарифные планы

Есть бесплатная версия, подходящая для простых случаев: сканирования вредоносных программ и блокировки ботов. Стоимость платной версии начинается с 70 долларов в год за один сайт. Цена «за сайт» резко падает, если набирается 5, 10, 25 и уж тем более 200 сайтов.

Есть дополнительные продукты и услуги: - профессиональная конфигурация: 120 долларов; - удаление вредоносных программ: 360 долларов; - обучение безопасного использования WordPress: 450 долларов; - поддержка по другим вопросам безопасности: 40 долларов.

Что говорит в пользу SecuPress

• пользовательский интерфейс — один из самых продуманных: начинающие смогут работать вполне комфортно;

• предусмотрено 35 разных проверок безопасности;

• платная версия добавляет такие немаловажные возможности, как: оповещения об инцидентах безопасности, более тщательная проверка на наличие вредоносных программ и возможность блокировать пользователей на основе данных геолокации;

• возможность изменить URL-адрес для входа в административную панель WordPress, что помогает спрятать её от ботов;

• обнаружение уязвимых тем и плагинов, контроль их целостности для предотвращения включения вредоносного кода;

• обнаружение и блокировка подозрительных IP-адресов;

• предотвращает проникновение с помощью перебора паролей;

• отчеты о безопасности, которые можно сохранять в PDF.

Официальный сайт: secupress.me

Страничка на платформе WordPress: wordpress.org/plugins/secupress

Примечание. Официальный сайт тоже во всю использует блокировку входа на основе данных геолокации и туда бывает не попасть так просто: «403 Forbidden» по причине «Bad GeoIP».

7. WPScan

WPScan (WordPress security scanner) придерживается другого подхода. В нем используется созданная вручную база данных по уязвимостям, которая обновляется ежедневно как специалистами по безопасности, так и сообществом. Труд по поддержанию базы данных финансируется Automattic (владелец WordPress, WooCommerce и некоторых плагинов из нашего обзора), а сама база данных включает более 21 000 известных уязвимостей.

Благодаря этому WPScan может сканировать на наличие известных уязвимостей и саму версию WordPress, и используемые плагины, и темы.

Помимо списка известных уязвимостей данный плагин имеет и другие проверки безопасности, такие как: чтение и анализ log-файлов, резервное копирование файлов wp-config.php, отображение списка пользователей со слабыми паролями и многое другое.

Даже бесплатная версия имеет API, который подойдет для большинства простых случаев (application program interface — программный интерфейс, позволяющий настроить совместную работу с другими программами). API бесплатной версии имеет ограничение на количество вызовов и если потребуется использовать плагин более интенсивно, придется переходить на платную версию.

Если нужен только сканер вредоносного кода, то не исключено, что WPScan — это самый подходящий выбор.

Тарифные планы

Бесплатная версия позволяет выполнять в день до 25 запросов к API. Обычно этого хватает для простого сайта с парой десятков плагинов. Стоимость платной будет зависеть от количества доступных вызовов API.

Предлагаются следующие тарифы:

• Start: 5 долларов в месяц;

• Professional: 25 долларов в месяц;

• Enterprise: индивидуальное ценообразование.

Что говорит в пользу WPScan

• собственная, постоянно обновляемая база данных по уязвимостям;

• возможность регулярных проверок файлов самой системы WordPress, анализ журнала debug.log и так далее;

• оповещение по электронной почте при обнаружении уязвимости;

• планировщик сканирования;

• отслеживание слабых паролей;

• просмотр и скачивание отчетов;

• интеллектуальная оценка рисков для получения общей картины безопасности сайта;

• сканер безопасности, который позволяет увидеть сайт глазами атакующего хакера;

• по каждой обнаруженной уязвимости будут предложены ссылки и справочные материалы для помощи в её закрытии;

• даже есть программа вознаграждений за обнаружение уязвимостей.

Официальный сайт: wpscan.com/wordpress-security-scanner

Страничка на платформе WordPress: wordpress.org/plugins/wpscan

8. Security Ninja

Security Ninja — это настоящий ветеран в безопасности WordPress, один из первых плагинов, созданный специально для этих целей. Сначала продавался на CodeCanyon (с четырьмя доступными дополнениями), а потом (в 2016 году) авторы перешли на модель «freemium».

Все дополнения были упразднены и решено было оставить только две версии: платную и бесплатную. Основной модуль (а только он доступен бесплатно) выполняет более 50 разных проверок безопасности, начиная от сканирования файлов на наличие вредоносных включений, заканчивая оценкой разрешений MySQL и различных настроек PHP.

Устойчивость паролей пользователей к атаке методом прямого перебора проверяется… методом прямого перебора! Это должно отсеять учетные записи с такими слабыми паролями, как «12345» или «пароль».

Вообще столь большое внимание, уделяемое сложности паролей, на самом деле полностью оправдано. Обычные пользователи не задумываются ни о чём. И если их не обучать (а иногда и принуждать) действовать правильно, то они сначала будут страдать сами, затем беспокоить поддержку, а в конце концов писать гневные отзывы «в интернетах».

Security Ninja не просто предоставляет инструменты автоматизированного противодействия хакерским атакам. Плагин дает подробное объяснение по каждому тесту, что просто неоценимо для тех, кто хочет детально разобраться во всём. Но и это ещё не всё! Кроме автоматизированного подхода доступны все тонкости для регулирования вручную.

Всегда важно соблюсти баланс между автоматизацией и гибкостью. Security Ninja предлагает отличную альтернативу часто встречающемуся подходу «нажмите здесь, чтобы исправить там»: можно просто просмотреть список предупреждений сканера уязвимостей, а уже потом решить что делать и как.

Тарифные планы

• Free: как ясно из названия, это бесплатный тарифный план;

• Starter: 50 долларов в год;

• Plus: 150 долларов в год;

• Pro: 200 долларов в год;

• Agency: 250 долларов в год.

Можно выбрать краткосрочный ежемесячный план (стоимость которого начинается с 9 долларов в месяц) или наоборот — воспользоваться неограниченным пакетом(начиная с единовременного платежа в 140 долларов за Starter).

Что говорит в пользу Security Ninja

• модуль проверки безопасности (который доступен в бесплатной версии) выполняет более 50 тестов;

• модуль автоматического исправления может устранить любые обнаруженные проблемы;

• проверка целостности ядра WordPress путем сравнения с соответствующей копией на wordpress.org;

• cканирование плагинов и тем в поисках подозрительного кода и вредоносных программ;

• огромный список «плохих» IP-адресов и возможность их автоматической блокировки;

• регистрация всех значимых событий на сайте: от входа пользователей в систему до изменения настроек;

• доступно планирование регулярных проверок;

• помощь в оптимизации базы данных для повышения скорости работы сайта;

• самые различные тесты, такие как: тесты отладки, тесты конфигурации базы данных, тесты параметров WordPress;

• платная версия поддерживает ещё более глубокие проверки, включая обнаружение нежелательных файлов в корневой директории, и так далее.

Официальный сайт: wpsecurityninja.com

Страничка на платформе WordPress: wordpress.org/plugins/security-ninja

9. MalCare Security

Облачный сканер угроз безопасности, который просматривает сайт целиком для выявления всего: от проблем с плагинами до подозрительных IP-адресов. Защита от ботов очень удобна. Быстрый поиск вредоносного кода работает отлично.

Плагин оснащен инструментом удаления вредоносного кода «в один клик». Такое внимание скорости удаления подобных нежелательных фрагментов происходит не только от желания защитить своих посетителей. Важно чтобы поисковые системы не углядели ничего подозрительного. В противном случае можно навлечь пессимизацию поисковой выдачи, что является, пожалуй, самым страшным ночным кошмаром любого, кто заинтересован в жизнеспособности своего веб-проекта.

В дополнение интеллектуальный процесс отслеживает огромное количество сторонних сайтов, которые потенциально могут оказать негативное влияние.

Имеется система быстрого оповещения на случай, если сайт «лёг». Это, безусловно, недопустимый сценарий развития событий, но — если уж это произошло — то, чем скорее будет реагирование на атаку, тем быстрее всё заработает снова, и тем меньше в итоге окажется ущерб.

Наконец, защита от вредоносного кода прекрасно справляется со своей работой, оставаясь при этом достаточно легкой, чтобы не замедлять общую работу сайта. И это при том, что громоздкость подобных плагинов стала уже своего рода устоявшимся стандартом.

Тарифные планы

Бесплатная версия включает в себя проверку на вредоносный код, межсетевой экран, защиту входа в систему и обнаружение ботов.

Использование платных тарифов предлагает дополнительные инструменты, такие как: мгновенное удаление вредоносного кода, обновления межсетевого экрана в режиме реального времени и возможность просмотра взломанных файлов. Вот расценки на тарифные планы:

• Basic: 100 долларов в год;

• Plus: 150 долларов в год;

• Pro: 300 долларов в год.

Указанные цены подразумевают поддержку одного веб-сайта, но стоимость будет расти по мере увеличения их количества.

Авторы также предоставляют множество дополнений: резервное копирование в режиме реального времени (100 долларов в год за один сайт), почасовое резервное копирование и сканирование (500 долларов в год за сайт), регрессионное тестирование с визуализацией (100 долларов в год за сайт) и дополнительные окружения, специально предназначенные для разработки и тестирования (20 долларов в месяц за использование одного окружения).

Что говорит в пользу MalCare

• облачная система сканирования вредоносного кода, которая анализирует весь сайт целиком;

• защита от ботов не только их определяет, но и помогает заблокировать;

• интеллектуальная система мониторинга подключаемых модулей и межсетевой экран для предотвращения вторжений;

• защита входа в систему борется с хакерами, пытающимися проломиться через страницу авторизации;

• устраняет необычные источники трафика и позволяет блокировать IP-адреса на основе данных геолокации;

• типовые действия совершаются «в один клик»;

• поддержка капчи для создания препятствия ботам, ломящимся через страницу авторизации;

• оптимизация сайта, на основе лучших практик всей отрасли (причем процесс занимает всего нескольких секунд);

• мониторинг безотказной работы;

• защита от неординарных угроз, таких как: вирусные взломы favicon, кража файлов cookie и взломы с использованием списков блокировок Google;

• опции для просмотра информации о взломах и мгновенного устранения проблем.

Официальный сайт: malcare.com

Страничка на платформе WordPress: wordpress.org/plugins/malcare-security

10. Security & Malware Scan от CleanTalk

Ещё одно отличное решение для проведения тщательной проверки сайта на наличие вредоносного кода, выявления подозрительных IP-адресов и борьбы с ботами.

Сервис использует облачные технологии для автоматического распознавания и предотвращения угроз, а владельцам сайта предоставляется вся информация, необходимая для улучшения мер безопасности.

Плагином можно пользоваться бесплатно, но для доступа к большинству возможностей необходимо иметь аккаунт в их облачном сервисе. Чем плагин хорош? Прежде всего постоянным наблюдением за подозрительными IP-адресами и мониторингом вредоносного кода.

Подключение к облаку также помогает избежать большинства типичных действий, которые обычно предпринимаются по обеспечению безопасности на серверах, что дает и удобство и приемлемую скорость работы сайта.

Плагин довольно прост в применении: показывается список файлов, которые потенциально могут вызвать проблемы. Однако потребуются неслабые программистские навыки, чтобы разобраться в том, что собственно не так в подозрительных файлах…

Что же делать?!

Взмах купюр (или произнесение CVV-заклинания) решает все сложности: пользователи платной версии могут отправить подозрительные файлы специалистам CleanTalk и, таким образом, передать эстафету демонстрации программистских навыков настоящим профессионалам. Ну, а те уже вернут файлы без вредоносного кода.

Система, конечно, не настолько автоматизирована как у некоторых конкурентов, зато эффективность и точность сканера на высоте.

В дополнение есть функции предотвращения атаки методом прямого перебора, проверка исходящих ссылок, двухфакторная авторизация и многое другое.

Тарифные планы

Плагин преподносится как бесплатный, но, как уже стало ясно, бесплатно им полноценно пользоваться не получится, и нужно завести аккаунт в их облачной службе безопасности, чтобы востребованный функционал заработал.

Вот некоторые цены, предлагаемые облачной службой безопасности CleanTalk (округлены до 5 долларов):

• 1 веб-сайт: 50 долларов в год;

• 3 веб-сайта: 25 долларов в год;

• 5 веб-сайтов: 35 долларов в год;

• 10 веб-сайтов: 65 долларов в год;

• 20 веб-сайтов: 120 долларов в год;

• 40 веб-сайтов: 180 долларов в год;

• неограниченное количество веб-сайтов: 20 долларов в месяц.

Что говорит в пользу Security & Malware Scan

• работает с использованием облачного сканера вредоносного кода, гарантируя, что вы не тратите впустую ресурсы сервера;

• антивирусное сканирование наряду с функциями обнаружения вредоносного кода;

• все клиенты получают автоматизированный межсетевой экран;

• ежедневные отчеты, журнал аудита и мониторинг трафика в режиме реального времени;

• проверка всех исходящих ссылок;

• сканирование выполняется автоматически ежедневно, а результаты сохраняются в облаке в течение нескольких месяцев;

• неискушенные в программировании для устранения проблем могут отправлять подозрительные файлы команде CleanTalk;

• плагин имеет некоторые функции безопасности входа в систему, такие как: защита от перебора, журналы попыток входа и блокировка для определенных стран или IP-адресов;

• при возникновении угрозы администратору отправляется уведомление по электронной почте.

Официальный сайт: cleantalk.org/help/security-malware-scanner

Страничка на платформе WordPress: wordpress.org/plugins/security-malware-firewall

Борьба со спамом и ботами

11. Jetpack

Многим, кто использует WordPress, название Jetpack покажется знакомым. Может быть даже среди читающих эту статью найдутся те, кто его уже использует или пробовал использовать в прошлом.

Такой популярности есть два объяснения.

Во-первых, у него просто потрясающее количество функций. А во-вторых, он создан ребятами из самой команды WordPress (та самая Automattic).

Конечно, многообразие функциональных возможностей стоит того, чтобы в них разобраться. Тут и модули для повышения скорости работы, и мониторинг, и резервное копирование и миграции… Но главная сила данного плагина — остановить наплыв спама и ботов.

Множество инструментов, включенных в состав плагина, доступны даже и для бесплатного использования. Что будет ещё одним дополнительным плюсом для тех, кто хочет сэкономить или просто не считает нужным покупать что-то сверх необходимости.

К примеру, модуль общей защиты блокирует подозрительную активность и является бесплатным. Базовая функциональность также поддерживает защиту от атак методом перебора паролей и позволяет просматривать активность пользователей.

Что касается защиты от спама, то это лучший вариант для автоматического поиска и удаления нежелательных комментариев. Причем это штука уже «из коробки» работает с WooCommerce и другими подобными площадками для электронной коммерции.

Тарифные планы

Jetpack предлагает свою знаменитую защиту от спама (на базе Akismet) бесплатно. Однако для большинства других функций безопасности требуется подписка.

Можно получать резервные копии сайта примерно за 9 долларов в месяц, но для доступа к таким инструментам, как сканирование вредоносного кода в режиме реального времени и защита форм от нежелательной почты, требуется тарифный план стоимостью под 25 долларов в месяц. Неплохим утешением может стать то, что на Jetpack часто действуют скидки аж до 50%.

Что говорит в пользу Jetpack

• приличный уровень безопасности для небольшого веб-сайта даже на бесплатном тарифе;

• платные версии доступны по разумной цене, при этом пользователь получает полную поддержку;

• защита от спама — лучшее решение, которое можно найти, учитывая, что Akismet «закапывает» целые полчища надоедливых спам-комментариев, да так, что об этом никто и не догадывается;

• платные тарифы превращают плагин в настоящий комбайн безопасности;

• управление обновлениями сторонних плагинов осуществляется полностью через Jetpack;

• исчезает необходимость в других плагинах: есть функции для маркетинга по электронной почте, работе с социальными сетями, доступны всевозможные настройки сайта и оптимизации;

• защита от прямого перебора дается бесплатно;

• статистика сайта отображается прямо на главной панели управления WordPress;

• CDN (content delivery network — сеть бесплатной доставки контента) помогает ускорять работу сайта;

• мониторинг времени простоя.

Официальный сайт: jetpack.com

Страничка на платформе WordPress: wordpress.org/plugins/jetpack

12. Astra Security

Astra Security Suite — это универсальный пакет безопасности, с которым не нужно беспокоиться ни о вредоносном коде, ни о SQL-инъекциях, ни о спаме в комментариях, ни о переборе паролей, ни о более чем 100 других видах угроз. То есть можно обойтись установкой одного плагина, который возьмет на себя работу по нейтрализации всех видов опасностей. При этом «суперинтуитивная» приборная панель Astra не перегружена сотней кнопок, которые легко могли бы заставить схватиться за голову.

Как и у предыдущего героя нашего рассказа у Astra самая сильная сторона — защита от спама и ботов. Используемые алгоритмы настолько хитроумные, что могут выявить даже ботов, маскирующихся под поведение поисковых систем. Перехватываются все виды спама: от нежелательных комментариев, до SEO-cпама (от search engine optimization — спам, оказывающий влияние на работу поисковых систем).

Наряду с борьбой со спамом и ботами Astra проводит регулярные проверки сайта, а также помогает восстановить его после взлома (лучше бы вообще не допускать этого, но «надо надеяться на лучшее, а готовиться к худшему»).

Список, охватывающий виды потенциальных атак, с которыми справляется плагин, довольно внушительный: это и прямой перебор паролей, и SQL-инъекции, и использование backdoor’ов WordPress, и SEO-хаки, и хаки монетизации, и многое другое.

Тарифные планы

Плагин не бесплатен. Его можно установить на веб-сайт, но он ничего не будет делать, до тех пор пока не будет оформлена подписка на один из следующих тарифных планов:

• Pro: начиная с 20 долларов в месяц;

• Advanced: 40 долларов в месяц;

• Business: 120 долларов в месяц.

Что говорит в пользу Astra Security

• устанавливается как плагин WordPress, и нет необходимости изменять многие сетевые настройки;

• предлагается немедленная очистка от вредоносного кода;

• надежный межсетевой экран, который останавливает такие атаки, как: SQL-инъекции, XSS, внедрение кода, вредоносные боты, атака прямым перебором паролей, SEO-спам и более 100 других кибератак;

• защита от спама охватывает всё: от SEO-спама до мусора в комментариях;

• последовательное отслеживание ботов;

• ежедневные отчеты по электронной почте с информацией о количестве остановленных атак, успешных и не успешных входах в систему за каждый час и о многом другом;

• загрузка вредоносных файлов блокируется автоматически;

• полный аудит безопасности, включая логику бизнес-ошибок на сайте;

• интуитивно понятная панель мониторинга регистрирует все атаки и дает возможность блокировать или разрешать вход по списку стран, диапазону IP-адресов, URL-адресов и так далее;

• доступ к платформе раздачи вознаграждений, где можно предоставить хакерам безопасный способ сообщить о любой уязвимости, которую они обнаружат на сайте;

• специалисты Astra выполняют проверку по каждому сообщению.

Официальный сайт: getastra.com

Страничка на платформе WordPress: wordpress.org/plugins/getastra

13. Stop Spammers Security

Stop Spammers Security — ещё один прекрасный плагин для минимизации спама, причем не только спама в комментариях! Плагин идентифицирует и блокирует спам, приходящий через сторонние плагины, формы, комментарии и другие пути.

Можно настроить определенные механизмы блокировки, в том числе на основе данных геолокации или просто подозрительного поведения.

Идея плагина заключается в создании пользовательской формулы блокировки спама, основанной на конкретных потребностях сайта. То есть, имеется множество различных настроек, и можно определить что блокировать, а что — нет.

Чтобы усилить защиту от спама, Stop Spammers Security объединяет приемы, описанные выше, с мерами безопасности при входе в систему, такими как: разгадывание капчи, включение режима «только для участников» или требование подтверждения пользователем права доступа всякий раз, когда он пытается войти на сайт.

Тарифные планы

Основные функции (такие как: возможность блокировки за подозрительное поведение, спам-слова, спам-комментарии) доступны в бесплатной версии. Платная версия более функциональна, а стоимость начинается с 30 долларов в год за один сайт и растет по мере добавления новых лицензий.

Функции, эксклюзивные для платной версии, включают межсетевой экран на уровне сервера, противодействие входу методом перебора паролей, экспорт журналов, поддержку Contact Form 7 и многое другое.

Что говорит в пользу Stop Spammers Security

• плагин содержит инструменты для уведомления владельца сайта, обнаружения подозрительного поведения, помещения ботов в «карантин»;

• блокировка стран, в которых чаще всего замечается подозрительная активность;

• минимизация всех видов спама на сайте, начиная от того, что приходит через формы, и заканчивая нежелательными сообщениями в комментариях;

• противодействие обману путем сокращения URL-адресов, электронным письмам, рассылаемым с одноразовых аккаунтов, другим способам сокрытия личности «проблемного» пользователя;

• можно блокировать пользователей за недопустимые имена, а также по содержанию самих сообщений или на основе IP-адреса;

• режим обязательного для пользователей запроса на доступ к сайту;

• возможность размещения капчи на странице входа в систему;

• поддержка режима «только для участников», чтобы гарантировать, что доступ к контенту получают только определенные пользователи;

• межсетевой экран с дополнительными возможностями (в платной версии);

• управление уведомлениями, настройки импорта, экспорта, тематические страницы (в платной версии);

• встроенная контактная форма и поддержка Contact Form 7 (в платной версии).

Официальный сайт: stopspammers.io

Страничка на платформе WordPress: wordpress.org/plugins/stop-spammer-registrations-plugin

14. Titan Anti-spam and Security

Titan Anti-spam and Security объединяет целый набор инструментов для предотвращения спама (или по крайней мере сокращения его количества). В дополнение предоставляется более-менее стандартное определение типичных угроз безопасности, таких как присутствие вредоносного кода. Плагин проводит регулярные проверки и сообщает всякий раз, когда нечто подозрительное пытается получить доступ к сайту.

Всё это работает совместно с настройками межсетевого экрана, что позволяет уточнить множество дополнительных параметров для блокировок. Интерфейс достаточно прост в том числе для понимания новичками, поскольку разносит функции по отдельным вкладкам, а не сваливает всё на одну страницу, делая её по сложности похожей на пульт управления космическими ракетами.

Таким образом, можно легко управлять любым элементом, будь то межсетевой экран, средство сканирования или журнал ошибок.

Среди всех достоинств данного плагина хочется особенно выделить статистику по борьбе со спамом, которая отображает график всех спам-атак за последнюю неделю. Это помогает понять: работает ли плагин вообще, насколько эффективно он это делает и не стал ли сайт мишенью для спамеров.

Технически можно было бы использовать Titan Anti-spam and Security в качестве одного универсального плагина безопасности. Однако, он хорош прежде всего благодаря своему самообучающемуся механизму защиты от спама. Не надо объяснять насколько важно для серьезного проекта исключить возможность появления нежелательных текстов среди комментариев своих многочисленных пользователей.

Тарифные планы

Бесплатная версия поставляется со стандартной блокировкой спама среди комментариев. Платная версия со всеми своими дополнительными функциями защиты от спама имеет несколько тарифных планов:

• 1 сайт: 55 долларов в год;

• 3 сайта: 160 долларов в год;

• 6 сайтов: 320 долларов в год.

Что говорит в пользу Titan

• плагин не требует ввода капчи, что не отпугивает лишний раз пользователей;

• самообучающийся инструмент для борьбы со спамом, работающий в фоновом режиме, алгоритм которого обучается на конкретном целевом сайте;

• все спам-комментарии удаляются немедленно;

• можно задать правила межсетевому экрану и запустить сканирование для обнаружения вредоносного кода;

• можно блокировать IP-адреса в режиме реального времени;

• журнал атак хранит все случаи подозрительной активности, что позволяет проводить исследования и делиться записями, к примеру, со специалистами по сетевой безопасности;

• расширенные правила блокировки на основе имени хоста, IP-адреса, имени пользователя, источника запроса и многого другого;

• сканер безопасности использует более 1000 сигнатур, а в платной версии — до 6000;

• можно регулировать скорость сканирования;

• возможно задать расписание сканирования, например, ежемесячно или еженедельно;

• можно удалять ненужные файлы прямо на панели мониторинга;

• плагин требует придумывания надежного пароля;

• можно скрыть версию WordPress.

Страничка на платформе WordPress: wordpress.org/plugins/anti-spam

Обман злоумышленников

15. Hide My WP

Плагин призван скрыть сам факт использования WordPress. Да, иногда лучше «не нарываться». Если злоумышленники не будут знать, какая используется CMS (content management system — система управления содержимым) или — что ещё хуже для них и лучше для нас — будут обмануты, то их возможности по организации атаки сводятся до исчезающе малых шансов.

Плагин умеет переигрывать такие инструменты определения CMS, как Wappalyzer или BuiltWith.

Hide My WP опирается на систему обнаружения вторжений (IDS, intrusion detection system — на языке специалистов) для предотвращения атак в режиме реального времени. Он также использует доверенную сеть, которая начинает обезвреживать неизвестных злоумышленников уже прямо в момент установки плагина.

Ну, и самое главное — это хороший инструмент для переименования и сокрытия папок плагинов, файлов WordPress, файлов URL-адресов для входа, что делает внутреннее устройство сайта невидимым для интернет-проходимцев.

Тарифные планы

Hide My WP — это платный плагин.

Первоначальный взнос за простую лицензию составит около 30 долларов, что даст 6 месяцев поддержки. Дальнейшая поддержка будет стоить чуть больше 8 долларов за 12 месяцев. Цены, кстати, меняются со временем. Раньше он стоил 24 доллара в качестве первоначального взноса и 17 долларов за 12 дополнительных месяцев (как можно заметить на иллюстрации, декларируется скидка с 19 долларов).

Первоначальный взнос за расширенную лицензию составит чуть меньше 100 долларов и почти 30 долларов за каждые 12 дополнительных месяцев.

Что говорит в пользу Hide My WP

• можно скрыть названия тем, плагинов, административную панель, поменять ссылки, URL-адрес для входа и многое другое;

• блокировка прямого доступа к файлам WordPress;

• искажение имен важных сущностей, которые используются в WordPress;

• блокировка доступа к списку каталогов;

• уведомление о любом подозрительном поведении с полной информацией о субъекте, включая имя пользователя, IP-адрес, дату и тому подобное;

• использует доверенную сеть, которая автоматически блокирует трафик с «плохих» IP-адресов;

• прост в использовании: развертывание осуществляется выбором «в один клик» одной из готовых настроек;

• совместим с multisite, apache, Nginx, IIS, темами и другими плагинами безопасности.

Официальный сайт: codecanyon.net/item/hide-my-wp-amazing-security-plugin-for-wordpress/4177158

Примечание. Как предупреждают авторы плагина: берегитесь похожих по названию решений! Этот плагин продается только на codecanyon.

16. WP Hide and Security Enhancer

Как и в предыдущем случае рассматриваемый плагин манипулирует файлами WordPress, чтобы скрыть такие вещи, как: плагины, темы, страницу входа в систему и тому подобное. Это простой и быстрый способ помешать злоумышленнику собрать достаточное количество данных для организации атаки. Или просто скопировать файлы и воспользоваться записанной в них информацией.

Чтобы сделать жизнь немножко проще, плагин WP Hide использует методы перезаписи URL-адресов (которые используются для доступа к файлам) вместо физического переноса файлов и каталогов. Вся эта титаническая для человека работа выполняется автоматически после установки плагина.

Еще одна черта, которая делает этот плагин уникальным, заключается в том, что он скрывает и блокирует файлы WordPress по умолчанию — вместо того, чтобы просто менять слаги, оставляя эти файлы по-прежнему доступными для хакеров.

(Прим. «Слаг» — это часть URL-адреса, которая однозначно идентифицирует страницу относительно доменного имени и легко читается не только роботами, но и человеком.

Например, в адресе «https://www.example.com/one-two», «one-two» — это слаг.)

Наконец, разработчики позаботились о том, чтобы исключить потенциально негативное влияние других плагинов, установленных тем или же основных файлов — всего, что может сказаться на работоспособности сайта.

Всё это делает данный плагин одним из лучших в сокрытии URL-адресов WordPress, учетных данных, настроек и тому подобных вещей.

Тарифные планы

Бесплатная версия работает с блокировкой файлов, перезаписью URL-адресов и даже пользовательской функцией URL-адреса входа. Разработчики заявляют, что «у простых сайтов на WordPress не должно быть проблем с бесплатной версией».

Платная версия становится актуальной, если задействованы сложные плагины, темы, а также если используется другой сервер нежели IIS или Apache.

Всегда можно перейти с бесплатной версии на платную, для чего предусмотрены следующие тарифы:

• Single Site: 40 долларов в год;

• Developer: 130 долларов в год.

Как не сложно догадаться из названий, стоимость лицензии будет зависеть от количества обслуживаемых сайтов.

Страничка на платформе WordPress: wordpress.org/plugins/wp-hide-security-enhancer

Защита процессов аутентификации

17. WP fail2ban

Главная и основная функция WP fail2ban — защита от перебора паролей. Выше встречалось множество плагинов со встроенной защитой против этой атаки. Однако данный плагин использует необычный подход.

Все попытки входа в систему — независимо от их характера или успешности — документируются в журнале syslog с использованием LOG_AUTH. И в отличии от более традиционного подхода, заключающегося лишь в выборе «блокировать пользователя или нет», данный плагин предоставляет несколько больше вариантов действий: пользователя можно подвергнуть «жесткой» блокировке (немедленной), «мягкой» (незаметной для блокируемого) или «экстра» блокировке (настраиваемой особенным образом).

Установка и подготовка к работе предельно простая. Всё что нужно сделать — это установить плагин и не мешать ему работать.

Авторы добавляют всё новые и новые функции в дополнение к защите от атак методом перебора паролей. Все здесь перечислять смысла нет. Из уникального это: фильтрация попыток входа с пустыми именами пользователей и инструмент настройки для Cloudflare.

Да, плагин когда-то был очень простым. И все отзывы сводились к «работает безупречно». Однако, по мере добавления возможностей и увеличения сложности, всё чаще встречаются отзывы тех, у кого «что-то пошло не так». Надо сказать, что немногочисленное недовольство не связано с вопросами безопасности — здесь не удалось найти нареканий.

Тарифные планы

Раньше был бесплатным. Теперь есть и платная и бесплатная версии. Дается 2-х недельный период для пробного использования.

Что говорит в пользу fail2ban

• есть выбор степени блокировки пользователя;

• интеграция с CloudFlare и прокси-серверами;

• журналирование комментариев для предотвращения спама или неприемлемого содержания;

• есть возможность блокировать пользователей сразу же, даже не дав им приступить к процессу входа в систему;

• предоставляется API для интеграции со сторонними плагинами, включая Gravity Forms и уже упоминавшуюся выше Contact Form 7;

• панель мониторинга покажет какие угрозы приходится предотвращать снова и снова;

• поддерживается конфигурация для множества сайтов.

Страничка на платформе WordPress: wordpress.org/plugins/wp-fail2ban

18. miniOrange’s Google Authenticator

Устанавливать плагины, несущие одну возможность не всегда оправдано. Это связано с тем, что можно взять такой комбайн, как iThemes Security Pro, и получить любую функциональность, наряду с десятками других.

Однако двухфакторная аутентификация — это совсем другая история, так как не так уж много плагинов, способных её предложить несмотря на то, что радикально повышается безопасность входа. Поэтому она так часто встречается на сайтах банков и платежных систем.

Плагин Google Authenticator от miniOrange добавляет ещё один уровень безопасности к модулю входа. Учитывая, что большинство попыток взлома происходит на странице входа на сайт, такое усиление безопасности нельзя посчитать излишним.

В дополнение к обычному паролю плагин отправит push-уведомление на телефон или задействует какую-либо другую форму аутентификации, например, использующую QR-код или секретный вопрос.

Подверженность сайта проникновениям уменьшается на порядок, поскольку практически невероятно, чтобы злоумышленник получил доступ к ещё и другим устройствам, таким как смартфон.

Разным группам можно задавать разный уровень сложности аутентификации. Например, администраторам сайта жизнь можно и не усложнять, учитывая их общую грамотность в вопросах безопасности. А вот для рядового пользователя, забывающего свой e-mail, не говоря уже о паролях вида «123», подобная дополнительная проверка будет не лишней.

Тарифные планы

Главный инструмент — двухфакторная аутентификация — доступен и на бесплатном тарифе.

Более продвинутые функции и предложения, такие как: неограниченное количество сайтов и пользователей, дополнительные методы аутентификации, методы резервного входа в систему и вход без пароля — требуют подписки на один из следующих тарифов:

• Premium Lite: 100 долларов в год;

• Premium: 200 долларов в год;

• Enterprise: начинается с 60 долларов в год и растет с увеличением числа пользователей.

Что говорит в пользу этого плагина

• по сути, это самое лучшее, что можно сделать для затруднения проникновения через страницу входа;

• можно выбрать какой метод двухфакторной аутентификации является наиболее оптимальным;

• для разных групп пользователей можно задать разный способ аутентификации;

• очень простая интеграция;

• можно задать необходимость ответов на контрольные вопросы или подтверждения нажатием ссылки, отправленной на электронную почту;

• можно активировать одноразовый пароль через Whatsapp, Telegram, SMS или электронную почту;

• можно гибко настраивать политику паролей: от входа без пароля вообще, до требования придумывания пароля высокой сложности;

• множество дополнительных функций, таких как: защита файлов, мониторинг, блокировка на основе данных гео-локации, блокировка по IP-адресам, резервное копирование базы данных;

• разработчики плагина продают несколько дополнений для запоминания устройств, управления сеансами, ограничения страниц, перенаправления на основе атрибутов и многого другого.

Официальный сайт: miniorange.com

Страничка на платформе WordPress: wordpress.org/plugins/miniorange-2-factor-authentication

19. WP Cerber Security

Раньше был ещё один очень популярный плагин — WP Cerber Security. Чего там только не было?! И анти-спам, и сканирование вредоносного кода, и защита страницы входа (почему он и должен был оказаться в этом разделе).

Хотя почему «был»? Может ещё и будет! Но сейчас на его странице можно увидеть следующее:

Может возникнуть резонный вопрос: «А зачем писать о плагине, который нельзя использовать?»

Это прекрасный пример, который заставит задуматься об уровне доверия ко всем сторонним плагинам, в том числе, рассматриваемым в этой статье.

Да, высокая популярность программного продукта с точки зрения разработки означает миллионы тестов в разных условиях, разных средах, системными администраторами разного уровня подготовки. Что, в свою очередь, лучше всего прочего может обосновать допустимость его применения.

Поэтому собранные в этом обзоре плагины вполне можно считать достойными и безопасными для использования. Они вообще лучшие из имеющихся!

Но, как видно на этом примере, никогда нельзя математически стопроцентно полагаться на программное обеспечение. Это справедливо для любого ПО, а не только для плагинов WordPress.

А в критических и жизненно важных ситуациях — как например, в инженерном оснащении пилотируемой ракеты-носителя — происходит дублирование систем безопасности и выстраивание параллельно работающих систем контроля и защиты.

Этот подход можно взять на вооружение и веб-мастерам и системным администраторам. Поэтому, в том числе, в обзор включены плагины с пересекающейся функциональностью.

Что говорит в пользу WP Cerber Security

Если плагин оживет и все вопросы безопасности будут благополучно разрешены разработчиками, это будет означать, что он создан и поддерживается ответственной и высокопрофессиональной командой.

Официальный сайт: wpcerber.com/wp-cerber-security-9-3

Страничка на платформе WordPress: wordpress.org/plugins/wp-cerber

С техническими подробностями инцидента можно ознакомиться по ссылке: nvd.nist.gov/vuln/detail/CVE-2022-2939

Резервное копирование

20. Jetpack VaultPress Backup

И снова мы встречаемся с командой Automattic, создателями универсального плагина Jetpack (он номер 11 в нашем рассказе). Только здесь мы имеем дело не со «швейцарским ножом» на все случаи, а с отдельным инструментом, специально предназначенным именно для резервного копирования данных.

Работа Jetpack VaultPress основана на технологиях WordPress.com (А мы помним, что авторы плагинов серии Jetpack входят в команду разработчиков самого WordPress.) Такое взаимодействие подразумевает использование инфраструктуры высочайшего уровня, что является гарантией безопасной и безотказной работы. (При этом не забываем случай из предыдущего примера.)

Резервное копирование хоста может отнять много времени и усилий, и упрощение тяжелой рутины с помощью такого надежного помощника — отличный способ снять с себя ещё одну головную боль.

Поскольку любой сайт электронной коммерции немыслим без использования технологий резервного копирования по понятным причинам — потеря финансовых данных по операциям с клиентами, помимо убытков, приведет к краху репутации — авторы плагина при разработке решили идти по пути полной совместимости с WooCommerce.

Тарифные планы

Для использования плагина нужно иметь действующую подписку на тарифный план Jetpack, включающий услуги по резервному копированию. Выше мы уже отмечали, что это будет стоить около 10 долларов в месяц.

Что говорит в пользу VaultPress

• дешевле чем у аналогов такого же уровня;

• панель управления удобна и понятна даже для новичков;

• резервные копии могут создаваться вручную, в режиме реального времени или используя планировщик;

• статистика показывает распределение по времени интенсивности посещений и инцидентов безопасности;

• эксперты VaultPress помогут не только с резервным копированием, но и с восстановлением данных;

• резервное копирование всего: от комментариев пользователей до плагинов и тем;

• простое и понятное восстановление файлов «в один клик» до состояния произвольной точки времени;

• выбор места хранения архива;

• журнал активности хранится до 30 дней.

Страничка на платформе WordPress: wordpress.org/plugins/jetpack-backup

Примечание. Если будете попадать через поисковую систему, не спутайте со старой страничкой предыдущей версии, которая по прежнему поддерживается разработчиками, но регистрация новых пользователей не доступна.

Противодействие взлому

21. Shield Security

Миссия Shield Security заключается в том, чтобы «ни один веб–сайт не остался без внимания», причем для каждого сайта, независимо от инвестиционных возможностей владельцев, должна быть доступна «безопасность профессионального уровня».

Для достижения этой цели авторы включили в бесплатную версию потрясающее количество возможностей.

Разработчики Shield Security считают, что надо сделать всё для того, чтобы не пришлось восстанавливать сайт после атаки. Для этого плагин начнет блокировать «посетителя» как только заметит, что тот исследует сайт в поисках уязвимостей.

Ключевой используемый подход состоит в том, чтобы снять с владельцев сайта все заботы по обеспечению его бесперебойной работы. Что включает в себя том числе и автоматически принимаемые меры при обнаружении проникновения или краха.

Плагин подходит как для начинающих, так и для опытных пользователей. Работа начинается сразу же с момента активации плагина. Все опции полностью задокументированы.

Тарифные планы

Ядро Shield Security предоставляется бесплатно. Заявляется что так будет всегда.

Специалисты нуждаются в дополнительных возможностях, а коммерческие предприятия в круглосуточной поддержке. И то и другое можно получить по платной подписке: - Shield Pro: 12 долларов в месяц; - Shield Pro Agency: 60 долларов в месяц; - Shield Customer Support: дополнительные 60 долларов в год.

Что говорит в пользу Shield Security

• один из немногих плагинов безопасности, который не всем разрешает менять настройки;

• защищает от вторжений, взломов и ботов;

• автоматически предпринимает меры противодействия, такие как блокировка пользователей и восстановление файлов;

• обладает интеллектуальными функциями защиты, самостоятельными настолько, чтобы никого не беспокоить бесконечными раздражающими уведомлениями;

• единственный плагин безопасности, который бесплатно предлагает целых три вида двухфакторной аутентификации;

• добавляет безопасности к разным формам заполнения данных, таким как регистрационная или сброса пароля;

• есть защита от перебора паролей, межсетевой экран и ограниченный доступ администратора к системе безопасности.

Страничка на платформе WordPress: wordpress.org/plugins/wp-simple-firewall

22. Anti-Malware Security and Brute-force Firewall

Основные функции направлены на противодействия таким угрозам, как: backdoor-скрипты, SQL-инъекции, уязвимости странички входа и тому подобное. Немаловажная функция — восстановление сайта после повреждения файлов.

И вновь (как и в предыдущем примере) всё происходит само-собой, без привлечения человека.

Это относительно простой для использования плагин, многие действия совершаются «в один клик».

Тарифные планы

Бесплатная версия включает в себя: сканирование сайта на предмет обнаружения вредоносного кода, меры против использования известных уязвимостей и межсетевой экран.

Самые полезные функции доступны в платной версии: это контроль целостности файлов и противодействие DDoS-атакам. Платная версия доступна за необязательное пожертвование разработчику.

Что говорит в пользу данного плагина

• автоматическое или ручное сканирование системы по выявлению backdoor-скриптов и SQL-инъекций;

• межсетевой экран обладает рядом инструментов для защиты установленных плагинов;

• выявление уязвимых версий скриптов;

• проверка основных файлов на наличие известных проблем;

• автообновление списка актуальных угроз для сайтов на WordPress.

Страничка на платформе WordPress: wordpress.org/plugins/gotmls

Ведение журналов безопасности

23. WP Activity Log

WP Activity Log журналирует все процессы на сайте, что позволяет проанализировать поведение пользователей и выявить тех, кто пришел на сайт не для того, чтобы им воспользоваться по прямому назначению.

Всё протоколирование происходит в режиме реального времени, что позволяет немедленно реагировать на появляющиеся угрозы.

Данных для анализа хватит: теги, категории, виджеты, профили, всевозможные изменения, публикации, комментарии… И это если не перечислять более технические элементы: метаданные, заголовки, URL-адреса…

Если у вас команда: кто-то занимается администрированием, кто-то работает с контентом, модераторы следят за порядком… — вся деятельность будет отражена в журнале, а это несомненное подспорье в деле контроля трудовой активности. И всегда ясно что и кем сделано.

Тарифные планы

Бесплатная версия будет только журналировать. И всё.

Все остальные возможности, такие как поиск и уведомления доступны только на платных версиях.

• Starter: 100 долларов в год;

• Professional: 140 долларов в год;

• Business: 150 долларов в год;

• Enterprise: 200 долларов в год.

В чем разница? Авторы создали великолепнейшую сравнительную таблицу: wpactivitylog.com/pricing

Что говорит в пользу WP Activity Log

• записывается абсолютно вся активность на сайте;

• видно всё, что делали пользователи;

• доступно много технической информации, такой как: IP-адреса, дата-время и прочее;

• много возможностей для поиска по записям;

• журнал можно сохранять, архивировать и отправлять по сети;

• для работы с журналом можно использовать стороннее ПО;

• в числе тех, кто пользуется плагином, всемирно известные компании: Amazon, Disney, NASA, Sony, Intel.

Официальный сайт: wpwhitesecurity.com/wordpress-plugins/wp-activity-log

Страничка на платформе WordPress: wordpress.org/plugins/wp-security-audit-log

Лучшее для SSL

24. Really Simple SSL

SSL (secure sockets layer — уровень защиты соединений) обеспечивает секретность онлайн соединений и сокрытие передаваемых данных от посторонних глаз. Без использования подобных средств шифрования нет смысла даже начинать разговор про защиту личных данных, противодействие хакерам или задумываться о ведении электронной коммерции.

Плагин действительно прост в использовании. Он самостоятельно выполнит все необходимые настройки для полноценного использования SSL. Это основа. А в дополнение предлагаются дополнительные меры для улучшения защищенности сайта, в том числе посредством использования их специального сервера.

Использование SSL потребует поддержки данной возможности на стороне хостинг-провайдера. Там где плагин не сможет сделать всё сам, он выдаст подробные инструкции (какие-то минимальные технические знания всё же потребуются).

Если действующего SSL-сертификата нет, то плагин может создать его (будет задействован Let’s Encrypt).

Что также существенно, плагин возьмет на себя всю заботу по решению типичных проблем при использовании балансировщика нагрузки, прокси-сервера или неверной обработки заголовков. Все внутренние URL-адреса сайта автоматически будут перенастроены на использование протокола HTTPS.

Тарифные планы

Весь базовый функционал, необходимый для работы с SSL, полностью бесплатен. Платные версии добавляют такие возможности, как: списки предварительной загрузки, средства исправления смешанного контента (когда часть ссылок использует безопасный протокол, часть — нет) и заголовки безопасности.

• Personal: 30 долларов в год;

• Professional: 70 долларов в год;

• Agency: 170 долларов в год.

Что говорит в пользу Really Simple SSL

• установка SSL-сертификата «в один клик»;

• быстрое сканирование сайта, чтобы узнать задействованы ли где в ссылках безопасные соединения;

• проверка правильности работы SSL на всех страницах после его включения;

• можно включить HSTS (HTTP Strict Transport Security — принудительная активация защищённого соединение);

• исправление смешанного контента;

• отчеты и советы на панели управления WordPress;

• всю работу можно провернуть очень быстро, за считанные секунды при должной сноровке.

Страничка на платформе WordPress: https://wordpress.org/plugins/really-simple-ssl/

Заключение

Теперь, когда мы кратко рассмотрели имеющиеся плагины из числа лучших и проверенных временем, а также коснулись их потенциальных возможностей, не лишним будет подвести некоторый итог и собрать разрозненные кусочки информации в целостную картину. Итак.

Для комплексной безопасности:

• Sucuri Security;

• iThemes Security;

• Wordfence Security;

• All In One WP Security & Firewall;

• BulletProof Security.

Для поиска вредоносного кода, вирусов и блокировки подозрительных IP-адресов:

• SecuPress;

• WPScan;

• Security Ninja;

• MalCare Security

• Security & Malware Scan от CleanTalk.

Для борьбы со спамом и ботами:

• Jetpack;

• Astra Web Security;

• Stop Spammers Security;

• Titan Anti-spam.

• Для сокрытия от злоумышленников:

• Hide My WP;

• WP Hide & Security Enhancer.

Для защиты входа в систему:

• WP fail2ban;

• Google Authenticator от miniOrange.

Для резервного копирования:

• VaultPress.

Для предотвращения взлома:

• Shield Security;

• Anti-Malware Security and Brute-force Firewall.

Для ведения журналов безопасности:

• WP Activity Log.

Для работы с SSL:

• Really Simple SSL.

Следует так же иметь ввиду, что рассмотренные функции частично могут предоставляться и хостинговой площадкой.

Существующих плагинов для WordPress — несметное количество, и невозможно охватить все из них. Мы отобрали самые популярные и активно поддерживаемые разработчиками. Если есть что-то, что, по вашему мнению, должно быть включено в этот список, напишите, пожалуйста, в комментариях.

Если вы занимаетесь электронной коммерцией, то ваши страхи не ограничатся защитой сайта от прямых угроз. Скликивание рекламы становится настоящим бичом сетевого предпринимательства. Особенную опасность скликивание представляет для малого и среднего бизнеса, когда бюджет жестко ограничен и рекламная кампания, пусть даже и маленькая по своему масштабу, зачастую финансируется на последние деньги.

Где можно почитать больше информации? Я регулярно пишу в Телеграмм наш опыт. Подписывайтесь, если хотите посмотреть на «изнанку» ИТ бизнеса в России или пишите мне с вопросами @maximkulgin.